陈瑞华:企业合规出罪的三种模式
作者:陈瑞华,北京大学法学院教授
来源:《比较法研究》2021年第3期
目录
一、问题的提出
二、企业犯罪的两种形态
三、主观过错免除模式
四、法定管理义务履行模式
五、合规考察免责模式
六、合规出罪模式的未来选择
摘要:对于发生在企业内部的犯罪行为,根据其究竟是由企业集体决策实施,还是由关联人员实施后企业承担连带性刑事责任,可以将其区分为系统性企业犯罪和非系统性企业犯罪。从比较法的角度来看,企业实施合规管理体系可以从三个方面发挥免除刑事责任的效果:一是免除企业的主观罪过;二是履行法定的管理义务;三是接受合规考察,消除潜在的制度隐患。对于系统性企业犯罪案件,前两种合规出罪模式都是无法适用的,检察机关最多可以将那些情节轻微的案件,纳入合规考察的对象,并根据其实施有效合规计划的效果,作出免除刑事责任的决定。而对于非系统性企业犯罪案件,上述三种合规出罪模式都有适用的空间。其中,企业已经建立合规管理体系的,可以成为切割企业责任与关联人员责任的依据,也可以成为证明不存在主观罪过或失职行为的证据。而对于那些已经构成犯罪的企业而言,通过接受合规考察,重建合规管理体系,消除既有商业模式和经营方式中的“犯罪因素”,可以说服检察机关作出合规不起诉的决定。
关键词:合规出罪;系统性企业犯罪;非系统性企业犯罪;主观罪过免除模式;法定管理义务履行模式;合规考察免责模式。
问题的提出
在加强民营企业司法保护的政策背景下,我国检察机关开始探索实施企业合规不起诉制度。与传统的相对不起诉制度不同,检察机关适用合规不起诉的主要理由不是行为人犯罪情节轻微,依照刑法可以免除处罚,而是企业在积极配合、有效补救的前提下推行企业合规计划,对其管理制度进行了认真整改,消除了企业管理上的制度漏洞和隐患,对于企业再次犯罪进行了有效的预防。检察机关通过采取合规考察措施,对于实施有效合规计划的涉案企业,最终作出不起诉的决定。这种合规不起诉制度的适用,使得企业合规成为检察机关作出无罪处理的直接依据,合规因此具有了重要的“出罪”功能。
但是,在企业合规不起诉制度的探索过程中,对于合规是否以及应否具有出罪功能,企业合规不起诉究竟适用于哪些企业犯罪案件,法学界和司法界都存在着一些不同的认识。部分学者认为,基于欧美国家的法制经验,也基于合规管理体系所发挥的预防犯罪的功能,企业合规应具有实体出罪和程序出罪的双重功能。其中,在实体法上,企业合规应成为涉案企业提出无罪抗辩的法定事由。在程序法上,检察机关根据企业实施合规体系所作的合规不起诉决定,本身就具有“合规出罪”的效果。但是,一些刑法学者则认为,在企业构成犯罪后,企业建立合规体系只能成为减轻刑事处罚的依据,而不应成为对其宣告无罪的正当事由。这与自然人实施犯罪行为后即便再改过自新,也不足以成为对其免除责任的依据是同样的道理。这些学者甚至认为,即便是在合规不起诉领域,合规也不能单独成为免除企业刑事责任的依据,而需要结合其他因素,如犯罪情节轻微、单位积极配合调查、单位实施有效的补救措施等,才能成为检察机关作出不起诉的依据。
而在司法实践领域,不同地方的检察官对于企业合规的功能给予不同的解释。有些地方检察机关认为,企业合规是一套程序复杂而代价高昂的公司治理体系,应主要适用于那些涉嫌犯有严重犯罪的大型企业,而不宜适用于涉嫌轻微犯罪的中小型企业。有的检察官明确指出,应当将“合规不起诉”与“相对不起诉”加以分离,对于那些直接责任人可能被判处三年有期徒刑以下刑罚的单位犯罪,检察机关直接适用相对不起诉就可以了,没有必要对其适用合规考察制度。但是,也有不少地方的检察机关对于合规不起诉的制度试验,则持相对谨慎的态度。这些检察机关将合规不起诉视为相对不起诉的一种形态,将企业犯罪与企业责任人犯罪捆绑在一起,认为只有对那些直接责任人可能被判处三年有期徒刑以下刑罚的单位犯罪案件,才可以适用合规不起诉制度。而对于那些直接责任人可能被判处三年有期徒刑以上刑罚的单位犯罪案件,检察机关则不得将其纳入合规考察的对象,而最多将合规作为宽大量刑的依据。
检察机关在探索合规不起诉制度的过程中确实要考虑我国的特殊情况,而无法照搬照抄欧美国家的相关法律制度。例如,对于涉嫌犯罪的企业,检察机关首先对其科处高额罚款,然后才与其达成暂缓起诉协议或者不起诉协议;这种在欧美司空见惯的合规考察制度,可能并不适合我国的情况。又如,美国和欧洲国家将企业与企业内部高级管理人员加以分离,对企业经过合规监管认为已经实施有效合规计划的,可以作出不起诉的决定,而对于企业内部直接责任人员则提起公诉。这种“放过企业,但要严惩责任人”的制度设计,可能难以为我国所采纳。因为按照我国的单位犯罪制度,对单位内部直接责任人追究刑事责任的前提,是单位构成犯罪,而假如单位不构成犯罪的话,对直接责任人定罪判刑就失去了依据。再如,对于涉嫌严重商业贿赂、洗钱、侵犯个人数据隐私等犯罪的企业,欧美检察机关都可以与其达成暂缓起诉协议,责令其在考察期限内建立或者完善合规管理体系,并可以根据其实施合规计划的效果来作出不起诉的决定。但是,受罪刑法定和罪刑相适应等基本原则的限制,我国检察机关对涉嫌犯罪的企业在适用合规不起诉方面,不可能享有太大的自由裁量权。对于涉嫌特别重大犯罪的企业,检察机关无法适用合规不起诉制度,而只能将合规作为提出宽大量刑建议的依据。
尽管如此,欧美国家将合规纳入刑法体系之中,充分发挥了合规的刑事激励功能。这是一条可资借鉴的法制经验。事实上,没有任何企业愿意主动实施这种代价昂贵的合规管理体系,也没有任何行业协会能够强制企业建立较为完善的合规计划。有效的合规计划通常建立在效果显著的合规激励机制的基础上。而目前公认的合规激励机制莫过于行政监管部门的行政激励机制与刑事执法部门的刑事激励机制。其中,对于那些涉嫌犯罪的企业而言,由检察机关根据其推进合规管理的效果,来作出是否给予宽大刑事处理的决定,这属于效果最为显著的激励机制。而要发挥这种刑事激励的效果,检察机关无非有两种选择:一是作出无罪处理;二是提出宽大的量刑建议。相比之下,对于涉嫌犯罪的企业而言,合规出罪比合规宽大量刑具有更大的吸引力。毕竟,一个企业一旦被定罪,即便受到宽大刑事处罚,所带来的也无非主要是罚金数额的降低而已。而企业一旦被作出无罪处理,就不仅可以避免被戴上“犯罪人”的帽子,防止受到刑事处罚,而且还可以避免受到各种资格剥夺的严厉后果。
正因为如此,我们在探索企业合规不起诉制度的过程中,应当引入合规出罪制度,确保企业推进合规管理可以成为免除刑事责任的依据。而要达成这一制度变革,我们需要对合规出罪的问题作出理论上的分析和论证。本文首先将企业犯罪区分为两种形态:一是系统性企业犯罪形态;二是非系统性企业犯罪形态。在此基础上,笔者将合规出罪区分为三种模式:一是“主观罪过免除模式”;二是“法定管理义务履行模式”;三是“合规考察免责模式”。笔者将分析这三种合规出罪模式的构成要素和正当根据,并对我国未来的刑事合规制度作出预测和评论。本文所要论证的主要观点是,针对不同类型的企业犯罪形态,应适用相对应的合规出罪模式,使得企业合规真正成为司法机关免除企业刑事责任的依据,从而发挥社会综合治理的效果。
企业犯罪的两种形态
要研究合规出罪问题,需要对企业犯罪的形态作出适当的区分。企业作为具有法律拟制人格的主体,可以独立承担刑事责任。这一制度最初确立在英美法之中。迄今为止,英美法所确立的企业刑事归责原则主要是替代责任原则和同一性原则。根据前一原则,企业对其员工或代理人在职务范围内为实现企业利益所实施的犯罪行为,应承担相同性质的刑事责任。而根据后一原则,企业内部的董事、经理等高级管理人员才属于企业的高级代理人,他们为实现企业利益所实施的犯罪行为,应当由企业与他们共同承担刑事责任。这两种归责原则都将企业内部代理人的犯罪行为,推定为企业犯罪行为,所适用的案件通常都不是企业集体决策所实施的犯罪案件。
直到20世纪后期,企业承担刑事责任的制度才为部分大陆法国家所确立。无论是意大利还是法国,都受到上述英美归责原则的影响,确立了法人犯罪制度。在法国,根据“代表责任”原则,只有作为企业代表的机关或者企业代表为实现企业利益所实施的犯罪行为,才可以由企业承担刑事责任。而根据意大利2001年6月8日通过的第231号立法法令(以下简称“第231号法律”),公司内部享有管理职权并代表公司承担责任的人,以公司的名义或者为实现公司的利益,在意大利或者国外实施的具有主观意图的犯罪行为,应当由公司承担法律责任。上述人员主要包括代表公司或者实际管理或控制公司的董事和经理,以及受到上述董事和经理指导和监督的个人。第231号法律明确规定,实施有效合规体系,可以免除企业的刑事责任;但是,企业发生系统性犯罪行为的情况除外。可见,在意大利等大陆法国家,合规出罪制度主要适用于代表、管理或控制企业的人所实施的犯罪行为,而不适用于企业的系统性犯罪行为。
我国刑法向来不承认替代责任原则和同一性原则,而是确立了“主客观相统一”的原则,在追究单位刑事责任方面,强调无论是单位内部主管人员还是直接责任人员,都要以单位的名义,为实现单位的利益,并体现单位的意志,所实施的犯罪行为才能由单位承担刑事责任。通常情况下,我国的单位犯罪主要是指经单位集体决定或者经单位负责人决定所实施的犯罪行为。至于那些由某一代表、管理或控制企业的人员所实施的犯罪行为,究竟要不要由企业承担刑事责任,在理论上和实践中都存在着一些争议。原则上,这些人员的行为唯有体现单位的集体意志,才能追究单位的刑事责任。由此看来,无论是在英美法、大陆法还是在中国法中,根据犯罪行为是否由企业通过集体决策或者授意来加以实施,可以将企业犯罪分为两种基本形态:一是系统性企业犯罪;二是非系统性企业犯罪。 所谓系统性企业犯罪,是指企业作为一种具有法律人格的商业组织,经过集体决策或者经由企业负责人作出决定所实施的危害社会行为。这种“系统性企业犯罪”可以分为两种具体形态:一是经企业内部集体决策所实施的犯罪行为,二是经企业负责人授权或者授意所实施的犯罪行为。前者通常发生在企业董事会、高级管理团队等经过集体讨论和表决来决定实施犯罪行为的情况之下。例如,某企业董事会决定实施走私、虚开增值税发票、侵犯商业秘密、污染环境、制造或者销售假药等犯罪行为,某公司管理团队决定采取非法经营、侵犯公民个人信息、非法吸收公众存款等商业模式或经营方式,等等,这些都属于由企业决策机构集体决定实施的系统性犯罪行为。后一种系统性企业犯罪行为则是由企业内部负责人授权或者授意实施的犯罪行为。这种企业的董事会或者管理团队并没有作出实施犯罪行为的决定,但企业的董事长、总经理等负责人却作出授权或者授意某一部门、子公司、高级管理人员、员工、第三方等实施犯罪行为的决定。例如,在排放污染物方面,企业并没有作出集体决定,但是,企业董事长、总经理指令或者许可下属实施排放污染物的行为。这种污染环境犯罪行为也属于系统性企业犯罪行为。
所谓非系统性企业犯罪行为,则是指在没有企业集体决策,也没有企业负责人作出授权或授意的情况下,企业内部的某一高管、董事、员工、子公司、第三方等关联人员,以企业名义并为实现企业利益而实施了犯罪行为,由于企业对这类行为采取了接受、纵容态度,或者没有采取制止或纠正措施,因此,该行为被推定为企业犯罪行为。相对于系统性企业犯罪行为而言,非系统性企业犯罪行为在认定上存在一定的争议。通常情况下,无论是企业内部的高管、员工,还是子公司、第三方,要认定其“以企业名义”或者“为实现企业利益”,都是不存在困难的。只要有证据证明这些人员利用参与企业经营管理的机会,其行为的意图在于提升企业的竞争优势,增加企业的商业机会,或者提高企业的经营业绩,就足以认定上述两个事实。但是,究竟如何认定这些人员的意志体现了企业整体的“主观意志”,这却是一个非常困难的问题。在这一方面,英美法都确立了一种严格责任原则,也就是在代理人或者高级代理人实施犯罪行为的情况下,推定企业承担刑事责任。一些大陆法国家尽管没有确立这种严格责任制度,却也接受根据代表、管理或控制企业的人员的犯罪行为,来追究企业刑事责任的观点。我国刑法并不承认严格责任原则,但在认定那种由企业内部管理人员犯罪行为所引发的企业刑事责任问题上,在实践中也遵循着一种“主观意志推定”规则,也就是对于高管、员工、子公司或第三方的犯罪行为,只要企业不采取禁止、纠正、预防等措施的,就推定其承担刑事责任。
在对企业犯罪作出上述区分的前提下,再来考察合规出罪问题,就可以作出较为清晰的评价。原则上,对于系统性的企业犯罪行为,由于企业既实施了危害社会的行为,也具有明显的主观罪过,因此应当追究企业的刑事责任。对这类案件,在刑法中确立合规出罪机制,并没有太大的空间。确实诚如部分刑法学者所说,对这类案件,企业建立或者承诺建立合规管理体系,最多只能作为宽大量刑的依据,而不能成为作出无罪处理的法定事由。与此同时,在适用企业合规不起诉制度时,对于系统性的企业犯罪案件,除非犯罪情节轻微,企业存在积极配合调查、认真补救和有效整改的行为,否则,一般也不宜将其纳入合规考察的适用对象。原则上,对系统性企业犯罪案件,大体上可以只对直接责任人可能被判处3年有期徒刑以下刑罚的案件适用合规考察措施,对其在考察期内实施有效合规计划的,可以作出不起诉的决定。这里的合规不起诉就可以被视为一种特殊的相对不起诉。
相反,对于那些非系统性企业犯罪案件,在确立严格责任制度的前提下,刑法应当建立专门的合规出罪机制。原则上,在企业没有建立合规管理体系的情况下,企业对于员工、高管、子公司、第三方的犯罪行为,应当被推定存在主观罪过,承担刑事责任。但是,在企业已经实施合规管理体系的情况下,企业对上述关联人员尽到了注意、监督、管理责任,对他们的违法违规行为采取了禁止、预防和惩戒措施,就足以证明企业不存在危害社会的主观罪过,实现了对上述人员的责任切割,不再承担刑事责任。另一方面,对于那些违法违规发生频率较高、企业容易发生管理失控的领域,刑法还可以确立若干“失职类企业犯罪”,也就是将企业没有积极履行监管义务导致关联人员出现犯罪行为的情况,认定企业构成特定的失职犯罪。在此情况下,企业假如没有实施有效合规计划的,这种失职性犯罪即告成立;而假如企业建立了有效合规计划,对关联人员承担了积极的监督和管理义务,那么,对于关联人员所实施的犯罪行为,企业就不再成立失职犯罪。
而在探索企业合规不起诉的过程中,对于非系统性企业犯罪案件,原则上,检察机关只要认为企业建立合规管理体系或者作出建立合规计划的意愿的,都可以将其纳入合规考察的对象,对其适用附条件不起诉制度。在考察期限内,这类企业只要建立合规管理体系,遵守所作的合规承诺,有效实施了合规管理体系,检察机关就可以作出不起诉的决定。对于这类案件,检察机关就没有必要将适用对象限制在轻微刑事案件,而可以对那些直接责任人可能被判处10年有期徒刑以下刑罚的单位犯罪案件,适用合规考察制度。 由此看来,我们可以根据企业犯罪的不同类型,将合规出罪制度分为三种模式:一是“主观过错免除模式”,二是“管理义务履行模式”,三是“合规考察免责模式”。其中,前两种模式适用于非系统性企业犯罪案件,最后一种模式则既适用于非系统性企业犯罪案件,也适用于轻微的系统性企业犯罪案件。至于较为重大的系统性企业犯罪案件,则不存在合规出罪的制度空间。
主观过错免除模式
所谓主观过错免除模式,是指企业通过建立和实施有效合规计划,来证明自身对于关联人员所实施的犯罪行为不存在主观过错,从而免除其刑事责任的合规出罪模式。我国刑法没有确立刑事合规制度,也没有将合规作为企业免责的法定依据。但在司法实践中,遇有企业内部管理人员或者员工实施犯罪行为时,企业有证据证明采取了合规管理措施,如发布合规政策和员工手册,对员工或管理人员进行过诸如培训、惩戒、奖励等合规管理的,司法机关可以据此认定企业对于上述犯罪行为的发生不存在主观过错,从而免除其刑事责任。2017年兰州市中级人民法院判决的数位雀巢员工侵犯公民个人信息,而雀巢公司因为建立了合规体系而不承担刑事责任的案件,就是一个典型的例子。
一般说来,主观过错免责模式具有三个基本构成要素:一是企业内部员工、高级管理人员、子公司、第三方、被并购方等作为企业关联人员,以实现企业利益为目的实施了犯罪行为;二是企业对于上述关联人员的行为承担无过错责任;三是企业以建立或实施合规计划为依据,证明自身对上述关联人员实施了有效的合规管理,实施了禁止上述人员实施违法犯罪行为的合规政策,建立了旨在预防违法违规行为的合规管理流程,因此,企业既不存在追求或者放任危害社会结果发生的故意,也不存在因疏忽大意或过于自信而导致危害社会结果发生的过失。
(一)比较法上的分析
主观过错免除模式普遍存在于英美法国家企业合规制度之中。这些国家确立的替代责任原则和同一性原则,强调企业承担刑事责任的基础,要么是公司代理人在职责范围内为公司利益实施了犯罪行为,要么是公司内部的董事、经理等高级管理人员在职责范围内为实现利益所实施的犯罪行为。在上述两种情形下,企业都要承担法律责任,也就是因为代理人或者高级管理人员的犯罪行为而承担整体性的刑事责任。企业要免除自身的刑事责任,与代理人或高级管理人员的责任进行有效切割,就必须提出证据证明自身建立并实施了有效的合规管理体系,尽到了合规管理义务,对这些人员的犯罪行为既不存在授意行为也没有失职行为,由此说服司法机关对企业作出无罪处理决定。
根据替代责任或雇主责任原则,企业内部员工为实现企业利益而实施犯罪行为的,企业应对此承担刑事责任。根据同一性原则,代表企业主观意志的高级管理人员实施犯罪行为的,企业也应对此承担刑事责任。但是,企业假如能够证明已经建立了有效的合规管理体系,如发布了企业合规政策和员工行为手册,建立了合规组织体系,对于员工和高管所实施的违法行为明令禁止并建立了惩戒机制,实施了内部合规培训制度,等等,就可以证明自身不存在主观过错,上述员工或高管的犯罪行为纯属个人行为,从而推翻严格责任。美国法律确立了“母子公司连带责任”原则,对于与母公司存在代理关系的子公司实施犯罪行为的,母公司应当承担刑事责任。但是,假如母公司实施了有效的合规管理体系,制定了与子公司关系的合规文件,对子公司实施了合规管理制度,如合规培训、风险评估、持续沟通、合规监控、惩戒机制、制度整改等,就可以实现与子公司责任的有效切割,不再承担刑事责任。与此同时,对于作为商业伙伴的第三方,包括上游的供货商、提供商,中游的代理商、服务商,下游的承包商、销售商等,美国法律也适用替代责任原则,要求企业对其犯罪行为承担刑事责任。而企业要实现出罪的结果,就要承担证明责任,证明自身建立了针对上述第三方的合规管理制度,包括合规培训、合规尽职调查、分级管理、退出机制等,由此方能实现与这些第三方的责任切割。不仅如此,美国法律还确立了“继承责任”原则,要求在发生企业合并或收购行为时,收购企业对于被收购企业在并购之前所实施的犯罪行为,承担无过错刑事责任。而收购企业要推翻这种继承责任,就需要证明自身进行过有效的并购前尽职调查,并在收购完成后加强了对被并购企业的合规管理和内部控制。
近年来,一些大陆法国家在刑法中确立了合规出罪制度。尽管这些国家并没有确立源自英美法的替代责任原则和同一性原则,但是,那些代表企业利益并行使管理职权的高级管理人员所实施的犯罪行为,应当由企业承担刑事责任。而企业一旦实施有效的合规计划,就有可能被免除刑事责任。例如,根据意大利法律,在受到刑事指控的情况下,公司可以通过证明已经实施有效的合规计划来进行积极的无罪抗辩。其中,对于普通员工所实施的犯罪行为,公司可以通过证明已经实施足以有效预防犯罪行为的合规计划而免除刑事责任。而对于高级管理人员所实施的犯罪行为,公司除了证明已经实施了有效的合规计划以外,还需要证明以下两点:一是监督机构已经进行了充分的监控;二是该高级管理人员通过欺骗性手段规避公司内部控制体系,实施了犯罪行为。
意大利法律还对作为出罪依据的有效合规计划确立了六项标准:一是确定公司业务中的风险活动或风险领域;二是确定适合预防犯罪的财政资源处理方式;三是提供旨在规划公司决议形成和实施的具体协议(政策),以防止潜在的犯罪发生;四是授权一个具有自主控制权的监督机构,负责监控公司建立合规计划的进展情况;五是为特定公司员工和代表提供持续培训;六是对于不遵守231号法律所确立的公司准则的员工和代表,采取相应的纪律惩戒。
西班牙刑法典第31条第2款也规定,企业实施有效预防犯罪的合规体系的,对公司内部人员所实施的犯罪行为不承担刑事责任。企业要想达到出罪效果,就需要对以下事实承担证明责任:企业已有效采纳并执行了合规体系;合规组织和人员被充分授权,具有独立性和专业性;组织充分行使了监督和控制职能;未发生系统性犯罪行为。
西班牙刑法典也对有效合规体系的标准作出了规定:一是开展风险评估,识别可能构成犯罪的活动及行为;二是建立企业行使决策权和执行决策的政策和流程;三是实施适当的财务会计管理;四是及时报告潜在风险和违规行为;五是建立纪律处分制度,以适当惩处任何违规行为;六是定期更新合规体系,如果合规体系的规定严重违反法律或行业标准,或者企业的组织结构或活动发生组织变更,则应进行定期验证,并在必要时对合规体系进行修正。
很显然,无论是意大利还是西班牙,在将合规出罪机制确立在法律之中时,都将企业实施有效合规计划作为切割企业责任与企业内部人员责任的重要根据。而这种责任切割之所以能够成功,主要原因就在于实施合规体系是体现企业尽到管理责任和注意义务的重要根据,内部人员的犯罪行为超出了企业的授权或者授意,其主观意志不能等同于企业自身的主观意志。
(二)我国司法实践中的“合规无罪抗辩”
在我国刑事司法实践中,对于公司员工或者高级管理人员实施犯罪行为的案件,司法机关需要同时查明以下三个事实:一是是否以单位名义实施违法行为;二是是否为实现单位利益而实施违法行为;三是违法行为是否体现单位的集体意志。对于前两个问题,司法机关认定起来并不存在太大困难。在很多企业员工或高级管理人员利用职务之便来实施商业贿赂、欺诈、侵犯他人权益的案件中,行为人经常以“单位员工”或者“单位高管”的名义,打着单位的旗号从事违法行为;他们之所以从事违法行为,既有提高个人业绩的考虑,也会在客观上带来增加单位商业利润、提高单位商业竞争力的后果。可能容易发生争议的是“是否体现单位意志”的问题。假如单位在合规管理上存在重大疏漏,既没有发布商业行为准则、合规政策和员工行为守则,也没有建立包括合规风险评估、合规培训、内部举报等在内的合规机制,那么,单位对于员工违法违规行为的发生,就可能难辞其咎,存在着管理上的重大主观过错,司法机关据此可以追究企业的刑事责任。
2017年甘肃省兰州市中级人民法院对雀巢公司员工侵犯公民个人信息案件的终审判决,就试图走出上述困境。兰州市中级人民法院的裁定书认为:“单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司手册、员工行为规范等证据证实,雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施的犯罪为个人行为。”
可以看出,即便在没有确立企业严格责任的情况下,我国刑法也存在着合规出罪的制度空间。假如企业在员工或管理人员发生犯罪行为之后,向司法机关证明自身建立了合规管理体系,证明自己对员工或管理人员尽到了合规管理责任,对合规风险尽到了注意义务和防范义务,对违规行为进行了及时识别和监控,在违规事件发生后有一套积极配合、有效补救和认真整改的应对机制,那么,司法机关就可以据此认定,该员工或管理人员的行为不符合企业的合规政策,违背了企业的规章制度,脱离了企业的合规流程,与企业的意志相悖,纯属其个人行为。这样,合规管理体系的建立和实施,就可以证明企业不存在主观上的故意或者过失,因此对员工行为不承担刑事责任。
(三)主观过错免除模式的正当依据
在企业关联人员实施犯罪行为的情况下,为什么企业建立有效的合规计划,就可以证明企业不存在主观过错,并进而不承担刑事责任呢?对于这一问题,我们可以提出“企业独立意志理论”和“有效监管理论”,来作出理论上的论证。
首先,根据“企业独立意志理论”,企业作为一种生命有机体,尽管不像自然人那样具有生理意义上的意识和意志,却可以具有法律意义上的意识和意志。传统的法人犯罪理论,将企业承担刑事责任的基础建立在企业内部人员的犯罪行为基础上,忽略了企业的独立意识和意志。其实,无论是企业管理人员、内部员工、子公司,还是作为第三方的合作伙伴,他们的犯罪行为不一定体现企业的整体意志。在无法查明这些人员的行为是否体现企业意志的情况下,如何判断企业应否承担刑事责任就成为一个十分关键的问题。一般来说,企业经过集体决策所发布的公司章程、合规政策、员工行为手册,就属于体现其整体意志的“抽象企业行为”。而企业针对合规管理问题所采取的合规风险评估、尽职调查、合规培训、合规文化传播、合规奖惩、制度整改等措施,则属于体现企业整体意志的“具体企业行为”。通过上述抽象企业行为和具体企业行为,企业向我们展示了与关联人员完全不同的意识和意志。一方面,企业已经意识到关联人员可能实施违法违规乃至犯罪行为,通过颁布合规章程、合规政策和员工手册,承担了注意义务和警示义务,这显示出企业对关联人员可能出现违法违规行为存在着清醒的认识,并对自身通过实施合规管理来防范内部违规行为发生的情况,也有着清晰的判断。另一方面,对于关联人员的行为可能造成的危害社会的后果,企业通过合规管理机制,对有关责任人采取过惩戒措施,采取了预防、制止、识别违法违规行为的动态管理流程,这体现了企业不存在追求、放任危害结果发生的主观意志,也显示出企业没有诸如疏忽大意或者过于自信等方面的过失。因此,在企业已经实施合规管理体系的情况下,企业已通过合规管理行为显示出不鼓励甚至禁止违法违规行为的主观意志,任何关联人员所实施的犯罪行为,已经不再体现企业的主观意识和主观意志,而纯属其个人行为。正是这种合规管理体系的建立,发挥了将企业责任与关联人员责任加以切割的作用。
其次,根据“有效监管理论”,一个企业一旦成长到规模较大的程度,就经常面临着外部监管失灵的问题。如何加强企业的内部监管,使得为数众多的关联人员依法依规从事经营活动,防止企业发生诸多方面的法律风险,就成为公司治理的现实难题。通常说来,企业决策层即使拥有“火眼金睛”,可以对全企业内部的经营行为“明察秋毫”,也难以禁绝那些发生在高管、员工、子公司、第三方身上的违法违规行为。例如,尽管企业董事会再三发布禁令,但分管经营的高管为追求业绩,也有可能鼓励或者放任本部门人员采取侵犯个人信息、非法经营、虚开发票等违法行为;尽管企业管理层反复强调环境保护问题,但分管环保的高管或者员工为降低经营成本,仍有可能采取违法排放污染物的行为;尽管企业制定了相关的依法经营的政策,某一子公司为寻求商业机会,仍然可能采取侵犯商业秘密等违法行为;尽管企业要求供应商、代理商、分销商采取依法经营行为,但这些第三方为增强自身的竞争实力,仍然可能采取包括商业贿赂在内的违法行为。对于上述违法违规行为,那些行政监管部门要想从外部进行有效的预防、识别和应对,不仅成功几率较低,而且效果并不显著。在外部监管效果不佳的情况下,加强企业内部的自我监管,就成为预防企业违法犯罪行为的必由之路。但是,建立合规体系,推行合规管理机制,是一种成本高昂的治理方式。假如没有外部的强大激励,几乎没有任何企业愿意主动采取这种公司治理方式。其中,对于建立合规管理体系的企业,确立合规出罪机制,使其对于企业关联人员的犯罪行为,不再承担刑事责任,这就是一种最为重要的激励机制。而要达到这种合规激励的效果,刑法就需要确立一种主观意志推断逻辑,那就是在企业建立合规管理体系的情况下,推定企业具有预防、阻止关联人员违法犯罪行为的意识和意志,而不再承担由关联人员的行为所可能引发的刑事责任。因此,实施合规管理体系,既是证明企业不具有犯罪过错的根据,也可以成为对企业豁免刑事责任的依据。
以上两个方面的论证,对于那些非系统性企业犯罪案件都是适用的。毕竟,在犯罪既不是企业集体决策实施也不是企业负责人决定实施的情况下,区分企业责任与企业关联人员责任的关键,在于判断企业是否对关联人员的犯罪行为存在主观过错。而合规机制的建立和实施,恰恰起到切割企业责任与关联人员责任的效果,也有助于实现企业对关联人员的有效内部监管。但是,企业一旦实施系统性犯罪行为,企业的主观意识和意志都可以得到较为充分的证明,企业的犯罪行为和主观过错都可以得到清楚的认定。在此情况下,企业即便建立了合规管理体系,也属于形同虚设,无法发挥有效预防和制止违法犯罪行为的效力。这种合规管理体系的存在,最多能够成为对企业进行宽大刑事处罚的依据,而无法成为免除其刑事责任的依据。
法定管理义务履行模式
所谓“法定管理义务履行模式”,是指在法律确立“失职性犯罪”的情况下,企业通过建立或者实施合规管理体系来证明自己履行了法律规定的监督和管理义务,从而免除了自身的刑事责任,达成合规出罪的效果。这种模式适用的前提,是在企业关联人员实施特定犯罪行为的情况下,法律推定企业在预防、阻止关联人员犯罪方面存在失职行为。而企业推行合规管理体系,则成为企业证明自身不存在失职行为的依据,也成为免除刑事责任的依据。在企业没有通过集体决策或者负责人作出决定而实施犯罪的情况下,“失职性犯罪”其实属于企业没有履行法定管理义务而导致的犯罪行为。所谓“失职性犯罪”,是指企业因对内部员工、高管、子公司、第三方等关联人员在监督和管理上存在重大失职行为,致使上述关联人员实施了犯罪行为,并造成严重危害社会的后果。在这类犯罪的法定构成要件中,企业拒不履行法律或行政法规所规定的管理义务,是其承担刑事责任的前提条件之一。而这种法定管理义务,则与实施合规管理义务具有包容或者重合的关系。企业在受到这类失职性犯罪的指控之后,假如能够证明自身履行了法定的管理义务,建立了合规管理体系,就足以推翻有关存在失职的指控,达到合规免责的效果。
具体说来,法定管理义务履行模式具有以下三个方面的构成要素:一是法律为企业确立了特定的强制合规义务,要求企业建立合规管理体系;二是在企业内部关联人员实施特定违法犯罪行为的情况下,企业没有对员工、高管、子公司、第三方等关联人员履行监督管理义务,存在失职行为;三是企业一旦建立或者实施合规管理体系,就可以将此作为抗辩事由,证明企业发布了合规政策和员工行为守则,对这些关联人员进行了合规培训,对违法违规人员作出过惩戒,尽到了合规管理义务,因此被免除刑事责任。
(一)英国的刑事合规经验
英国在企业刑事归责方面一直奉行替代责任和同一性责任并行的原则,但相比之下,同一性责任原则适用的范围更为广泛。近年来,随着大型企业集团从事商业贿赂、违反税收征管等方面的违法犯罪活动日益严重,传统的企业归责原则在有效追究企业刑事责任方面显示出越来越明显的局限性。例如,根据替代责任原则,企业会因为员工、第三方的违法行为而受到责任追究,这很容易造成企业刑事追责的泛滥。又如,根据同一性原则,企业内部的高级管理人员或者高级董事的行为和意志,才被归属于企业的整体行为和主观意志,这对于认定小型企业的刑事责任可能不存在较大困难,但对于拥有众多员工、公司治理结构极其复杂的大型企业集团而言,要确定哪些高级管理人员或董事的意志等同于公司意志,经常会存在多方面的困难,而要追究这类企业的刑事责任,也会变得步履维艰。这也是英国近年来对大型企业启动刑事诉讼程序少之又少的原因。2010年,英国通过了《反贿赂法》,在反商业贿赂领域确立了一种新型的罪名——“商业组织预防贿赂失职罪”。2017年,英国在反金融犯罪领域又确立了两种新罪名:一是“商业组织预防逃避英国税收失职罪”;二是“商业组织预防逃避外国税收失职罪”。这些新型罪名具有一种“预防特定犯罪存在失职行为”的入罪模式,在企业员工、第三方等实施相关犯罪行为时,企业本身要承担严格责任,构成一种失职类犯罪。只不过,英国刑法并没有确立企业与员工同罪的刑事责任,而是确立了一种企业因员工犯罪而承担独立失职犯罪的责任。从后果上看,这一失职类罪名要比员工所构成的贿赂、逃税等罪名,在刑事处罚上要轻得多。
失职入罪制度的实施,客观上造成企业入罪的难度大为降低。为避免这种扩大入罪的制度产生不合理的负面作用,就需要建立与之相互平衡的无罪抗辩制度。基于这一原理,英国法律对于上述三种失职类犯罪,都确立了合规无罪抗辩的机制。企业只要提出证据,证明已经制定了“充分程序”来预防贿赂或者逃税行为的,就可以不承担刑事责任。所谓的“充分程序”,也就是足以发挥预防犯罪功能的合规管理机制,也就是包括“相称程序原则”“高层承诺原则”“风险评估原则”“尽职调查原则”“有效沟通原则”“监控和评估原则”等在内的六项合规管理体系。由此,一个商业组织的“关联人员”,只要为获取或保留该组织的业务,或者为获取或保留该组织的商业优势,而实施贿赂行为的,该商业组织就应承担证明自身存在合规管理体系的义务,由此来证明自身不承担预防犯罪的失职责任。这种合规出罪模式,可以被称为“管理义务履行出罪模式”。
(二)我国刑法确立的管理义务履行出罪制度
为督促企业有效履行对员工、子公司、第三方等相关方的管理责任,追究企业在预防上述人员犯罪方面的失职责任,我国刑法也确立了以企业为特殊犯罪主体的失职性犯罪。目前,最典型的失职类罪名是“拒不履行信息网络安全管理义务罪”。根据我国刑法,要构成这一罪名,需要同时具备以下四个要件:一是法律或行政法规为网络服务提供者确立了网络安全管理义务;二是企业没有履行这些法定的管理义务;三是监管部门责令企业采取改正措施,企业拒不改正;四是企业拒不履行网络安全管理义务的行为,造成违法信息大量传播,或者致使用户信息泄露,或者造成其他严重后果。
根据立法原意,企业只要拒不履行上述法律所确立的“网络安全管理义务”,经监管部门责令改正而拒不改正,并造成法定严重后果的,企业就应承担相应的刑事责任。这种责任属于企业因以下双重“不作为”而引发的刑事责任:一是在责令员工、子公司、第三方等相关人员遵守法定网络安全管理义务方面,存在不作为或者失职的情况;二是对于监管部门提出的改正措施,存在抗拒或者消极应对的情况。在此情况下,涉案企业假如不进行积极的无罪抗辩,司法机关就有可能对其采取刑事追诉措施,乃至追究其刑事责任。那么,涉案企业究竟如何进行无罪抗辩呢?在这一问题上,我国刑法没有确立法定的无罪抗辩事由,更没有像英国法律那样,明确将企业遵守有关企业合规的“充分程序”作为法定的无罪抗辩事由。尤其是,我国刑法所要求的“网络安全管理义务”是否等同于网络数据和个人信息保护领域的“合规管理义务”,这也是存在争议的。不过,刑法所说的“信息网络安全管理义务”,主要是指我国法律和行政法规为网络经营者所确立的管理义务,这些管理义务至少部分具有堵塞网络管理漏洞、消除数据保护制度隐患、避免个人信息受到非法侵犯的性质,也可以在一定程度上发挥防范、识别网络合规风险的功能,因此,至少有一部分可以被视为一种“网络合规管理义务”。例如,我国现行网络安全法确立了网络运营者的“网络运行安全义务”和“网络信息安全义务”。这些义务包含着一些企业商业行为准则的内容,无论是企业的网络合规政策,还是员工行为准则,都应将其纳入其中,使其成为嵌入企业经营流程之中的合规要求。其中,网络运行安全主要有:按照网络安全等级保护要求履行法定安全保护义务;网络产品和服务符合国家标准的强制性要求;与用户签订协议或者确认提供服务时,要求用户提供真实身份信息;制定网络安全事件应急预案,及时处置系统漏洞等安全风险,等等。网络信息安全义务则主要包括:对所收集的用户信息严格保密;收集或使用个人信息遵循合法、正当和必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,征得被收集者同意;不得泄露、篡改、毁损所收集的个人信息,未经被收集者同意不得向他人提供个人信息;采取技术措施和其他必要措施,确保所收集的个人信息安全,防止信息泄露、损毁、丢失,在发生个人信息泄露、毁损或者丢失的情况时,立即采取补救措施,等等。
随着我国对网络安全管理和个人信息保护的逐步加强,未来将有一系列法律和行政法规对网络经营者确立进一步的网络安全管理义务。这些法律和行政法规所确立的网络安全管理义务,在对企业商业行为准则和合规政策作出强调的同时,更是对网络合规组织体系、合规实施程序作出了较为明确的界定。例如,正在征求意见中的数据安全法和个人信息保护法,都要求数据和个人信息处理企业建立全流程数据安全管理制度,设立数据安全负责人和管理机构,指定个人信息保护负责人,负责对相关信息处理活动和保护措施进行监督,这显然属于建立合规管理组织体系的要求。两部法律草案还要求企业组织开展数据安全教育培训,加强数据风险监测;对数据活动和法定重要信息处理活动展开定期风险评估,并向主管部门报送风险评估报告。这显然属于防范合规风险的程序流程。两部法律草案要求企业提供数据交易中介服务时,要求数据提供方说明数据来源,审核交易双方的身份,留存审核和交易记录,防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除的必要措施;定期对个人信息处理活动和保护措施进行合法性审计。这显然属于合规风险识别方面的要求。不仅如此,两部法律草案还要求企业在发现数据安全风险或者发生信息泄露情况时及时采取补救措施,并通知有关信息保护部门。这显然属于违规事件发生后的合规应对措施。正因为法律和行政法规所确立的网络安全管理义务具有合规管理义务的功能,因此,企业就可以根据自身“履行网络安全管理义务”为由,提出无罪抗辩事由。具体而言,假如企业提出证据证明自身已经建立了网络合规管理体系,也就相当于履行了信息网络安全管理义务,从而证明自身不存在失职或者不作为的情况,司法机关就可以终止追究其刑事责任,认定其不构成拒不履行网络安全管理义务罪。
(三)管理义务履行模式的理论根基
通过追究企业在预防关联人员犯罪方面的失职责任,来迫使企业履行建立合规管理体系的义务,并给予企业合规出罪的机会,这是管理义务履行出罪模式的基本特征。这方面的刑事立法,无论是在英国还是在中国,都才处于刚刚起步的阶段。应当说,这一模式对于系统性企业犯罪案件是无法适用的。毕竟,在系统性企业犯罪案件中,犯罪行为是由企业整体实施的,企业也具有实施犯罪的主观意图。企业即便建立合规体系,也无法否定企业具有实施犯罪的主观过错。与此同时,这一模式对于一般的非系统性企业犯罪案件也是不适用的。毕竟,企业在这种案件中所承担的是管理失职责任,合规体系的建立,不是为了切割企业责任与关联人员的责任,而是为了证明企业在预防或阻止关联人员犯罪方面不存在失职行为,因此不必承担失职性刑事责任。那么,在失职性犯罪案件中建立这种管理义务履行模式,究竟具有怎样的理论依据呢?我们可以从三个方面对此作出简要的论证。
首先,这种合规出罪模式为企业确立了强制合规义务,设定了“不合规即有罪”的构成模式,可以有效地推动企业建立合规管理体系。一般情况下,对于非系统性企业犯罪案件,刑法所采取的是“合规即有可能出罪”的处理方式。但是,这种出罪方式有一个明显的局限性,即企业建立合规体系只创造一种合规出罪的可能性。因为这种建立或者实施合规管理体系的行为,究竟能否证明企业不存在犯罪故意或者过失,能否切断企业与关联人员的责任,这都是不确定的,取决于司法人员的自由裁量。这就有可能大大降低合规的刑法激励效果。相反,对于特定的非系统性企业犯罪案件,刑法一旦确立管理义务履行出罪模式,就等于为企业确立了强制合规的义务。在这种“不合规即有罪”的责任追究模式下,企业为规避可能的刑事法律风险,不得不建立合规计划,实施有效的合规管理体系。如果说“合规即有可能无罪”的模式,只是为企业提供了一种合规奖励机制的话,那么,这种“不合规即有罪”的责任追究模式,则为企业确立了一种合规惩罚制度。相比之下,在推动企业实施和完善合规体系方面,这种管理义务履行出罪模式可以发挥更为明显的激励效果。对于那些在企业内部发生关联人员实施上述犯罪行为的企业,刑法通过建立一种特殊的严格责任,推定企业在预防、阻止关联人员犯罪方面存在失职行为,也就是存在主观过失,这就将提出无罪抗辩的义务转到企业身上。为寻求积极的无罪抗辩,企业就需要提出建立或者实施合规管理体系的证据,证明自身不存在失职行为,尽到了注意、预防或者阻止关联人员犯罪的义务。对于那些没有建立合规管理体系的企业而言,这种抗辩无疑是难以说服司法人员的,只能承受被定罪的后果;这种情况会促使这些企业尽快实施合规管理体系,避免再次出现类似的被追究失职责任的情况。而对于那些尚未被追究责任的企业而言,它们为吸取教训,避免重蹈覆辙,会尽快建立合规计划,或者实施有效的合规管理体系。因此,管理义务履行模式的实施,无论是对涉案企业,还是对其他企业,都可以最大限度地激发其建立有效合规管理体系的动力。
其次,这种合规出罪模式将企业管理义务与合规义务加以整合,使得企业承担合规管理义务成为一种刑法义务,大大提高了企业合规的法律地位。英国《反贿赂法》确立了企业合规的六项“充分程序”,我国刑法也要求企业承担行政法规所确立的“信息网络安全管理义务”。由于这种企业管理义务主要是针对员工、高管、子公司、第三方等关联人员而确立的,其中必然包含着预防、识别和应对这些人员违法违规行为的管理义务,因此,这种企业管理义务包含着企业合规管理义务的内容。通过将合规管理义务纳入刑法的轨道,企业合规就成为企业所要承担的刑法义务,这就使得合规管理不再仅仅属于企业的内部治理方式,而成为企业所要承担的刑事法律义务。而企业不履行这种法律义务的,就要直接承担失职犯罪的责任。这种合规出罪模式显然大大提升了企业合规的法律地位。
再次,企业承担了法定的管理义务,足以证明对关联人员的犯罪行为不存在主观过失,因此不承担在预防、阻止这些人员犯罪方面的失职责任。所谓企业失职性犯罪,其实就是企业存在主观过失所造成的犯罪行为。这种过失主要表现在企业没有尽到足够的管理义务,致使员工、管理人员、子公司和第三方实施了违法违规行为,乃至造成了危害社会的后果。而合规管理体系的建立,足以证明企业对关联人员尽到了注意义务,履行了监督和管理责任,对于这些人员的行为所造成的危害社会后果,企业既不存在疏忽大意,也不存在过于自信,而是在预防违法行为、识别违规事件、应对犯罪案件等方面作出了充分的准备和努力。但是,由于这些关联人员自身故意不遵守企业所设立的规章制度和管理规范,致使企业管理体系出现失灵现象。对于建立合规管理体系的企业而言,这些关联人员的犯罪行为属于一种“意外事故”或者“不可抗力事件”,超出企业管理体系所能预测、应对和处置的范围。因此,恰恰合规体系的建立,切断了企业管理与关联人员犯罪行为之间的联系,成为企业不承担过失责任的直接依据。
合规考察免责模式
前两种合规出罪模式,都是刑法对已经推行合规管理的企业所建立的一种无罪抗辩制度。就像自然人可以正当防卫、紧急避险为依据作出无罪抗辩一样,企业也可以将自身建立合规管理体系作为无罪抗辩的法定事由。与此不同的是,在检察机关实施合规考察制度的情况下,对于那些已经构成犯罪的涉案企业,在责令其积极配合、有效补救的基础上,将其纳入合规考察的对象,责令其建立有效合规计划,并根据其推进合规管理、展开制度整改的效果,作出不起诉的决定。对于这种企业通过接受合规考察来说服司法机关免除刑事责任的制度,我们可以称之为“合规考察免责模式”。最早确立合规考察免责模式的是美国。20世纪90年代以来,美国联邦检察机关将“审前转处协议”制度适用到企业犯罪案件之中,确立了暂缓起诉协议和不起诉协议制度。涉嫌犯罪的企业经过与检察机关协商后达成协议的,可以在缴纳高额罚款、积极配合、有效补救的基础上,在商定的合规考察期内实施有效合规计划,检察机关根据企业推行合规管理的效果,作出是否提起公诉的决定。由于接受合规考察的企业一旦实施有效的合规计划,就可以获得无罪处理,避免遭受灾难性的后果,因此,大多数接受合规考察的企业都积极履行合规义务,这在客观上推动了合规管理体系的普遍推广。20年后,这一合规考察免责模式逐渐被英国、法国等国家所接受。2014年,英国确立了暂缓起诉协议制度,检察机关在法院的司法监督下推行针对涉案企业的合规考察免责制度。其后,法国、澳大利亚、加拿大、新加坡等国家,都以英国模式为样本,确立了暂缓起诉协议制度。自2020年以来,随着企业合规制度被广泛纳入企业监管机制,我国检察机关开始进行企业合规不起诉制度的改革探索。在最高人民检察院的指导下,一些地方检察机关开始试行“企业合规考察制度”。对于涉嫌轻微犯罪的企业,在其认罪认罚并具有合规意愿的前提下,检察机关将其纳入合规考察的对象,在所设定的考察期内,责令企业聘请外部独立监管人,推行合规管理机制,对于成功建立合规管理体系的企业,检察机关经审核验收后作出不起诉的决定。由于这种合规不起诉制度的适用对象都是已经构成犯罪的企业,检察机关经过合规考察后对其作出不起诉的决定,因此,这种制度具有“合规考察出罪”的性质。
这种合规考察免责模式的基本特征有四:一是企业依据刑法已经构成特定的犯罪;二是企业自愿认罪认罚,积极配合调查,认真采取补救挽损措施,并具有进行制度整改的意愿;三是检察机关将企业纳入合规考察的对象,责令其聘请外部独立监管人,在考察期内建立和推行合规管理体系;四是经过合规考察,检察机关对于建立有效合规计划的企业,作出不起诉的决定,从而免除其刑事责任。
(一)作为出罪依据的合规考察
我国的合规不起诉制度尽管与西方的暂缓起诉协议制度存在较大差异,但大体上形成了一种“合规考察免责”模式。对于这一点,有人可能会提出质疑,认为在合规不起诉制度实施中,合规并不是企业出罪的唯一根据,而是一项重要的考量因素。企业假如不认罪认罚,不配合执法部门的调查取证,不采取赔偿、退款退赃、补缴税款、修复环境等补救挽损措施,那么,即便建立了合规管理机制,检察机关也不会作出不起诉的决定。根据这一理由,有人不认为合规是检察机关作出不起诉决定的唯一依据,甚至否定合规考察制度的出罪功能。其实,通过比较法的简单考察就可以发现,无论是暂缓起诉协议还是不起诉协议,都属于涉嫌犯罪的企业与检察机关达成的附条件的不起诉合同。在美、英、法等国,检察机关通常设置三年左右的考察期,将决定起诉的时间加以延后,并与涉案企业签订一份书面协议。涉案企业所要承担的义务主要是:承认犯罪事实;缴纳高额罚款;恢复原状;缴纳违法所得;向被害方加以赔偿;配合执法机关的持续调查;撤换或者改组董事会或高级管理团队;处罚对企业犯罪负有直接责任的人员;实施有效的合规计划;接受检察机关委派的合规监管人,接受合规监督和考察。
通过考察欧美国家暂缓起诉协议或不起诉协议的条款,可以发现企业要承担一系列合同义务,但其核心仍然是实行有效合规计划的义务。一般而言,企业已经建立合规管理体系,是检察机关与其达成协议的前提条件之一。对于一个从来没有建立合规计划的企业,要与检察机关达成这种协议,可能性是微乎其微的。而在达成上述协议之前,企业要提供令检察机关满意的改进合规管理的方案。这一方案一经得到批准,就会被放置在暂缓起诉协议或不起诉协议之中,成为检验企业是否实行有效合规计划的依据。而在协议所确立的诸项条款中,考察期本身就是为督促企业实施合规计划而设置的;那些缴纳罚款、积极配合、认真补救等方面的条款也是确保企业实施有效合规计划的必要措施,甚至可以说是检察机关启动合规考察的前提条件。而协议一经签署,合规考察程序一旦启动,那么,决定检察机关是否作出不起诉决定的因素就主要是企业履行各项义务的情况。通常而言,企业不采取诸如认罪、缴纳罚款、积极配合、有效补救等保障性措施的,检察机关就连合规考察程序都不会启动。因此,在考察期结束后,真正决定检察机关是否作出不起诉决定的因素,主要是合规进展情况。可见,在西方国家的刑事诉讼中,合规显然具有出罪的功能。
在我国近年来的合规不起诉改革探索中,检察机关推行“合规考察制度”,经过合规考察所作的不起诉被称为“企业合规不起诉”,这都显示出企业合规在这一制度构建中的关键作用。从基本制度逻辑来看,检察机关对于涉案企业通常会进行两次审查:一是审查企业是否符合合规考察的条件;二是审查企业是否符合合规不起诉的适用条件。在第一次审查中,检察机关要审查的内容是多方面的,通常包括犯罪事实是否得到证明;企业是否认罪认罚;企业是否有推行合规管理的可能;企业是否采取了退款、退赃、补缴税款、修复环境等补救挽损措施,等等。可以说,涉案企业的认罪认罚、积极配合、有效补救等行为,对于检察机关将企业纳入合规考察程序,是非常重要的考量因素。但是,检察机关一旦作出合规考察或者附条件不起诉的决定,就会责令企业承担新的合规义务,如聘请合规监管人,并与其签署合规监管协议;提交刑事合规计划,构建有效的企业合规制度;服从检察机关、合规监管人的监督;披露相关事实信息;定期报告合规建设进展情况;及时披露并制止可能存在的违法犯罪行为,等等。因此,在合规考察期结束之前,检察机关要对企业进行第二次审查,审查的核心问题就是企业履行刑事合规义务的情况,尤其是执行有效合规计划的实际效果。可以说,在决定是否不起诉方面,检察机关所要考虑的核心问题主要是,企业是否建立并实施了有效的合规计划,原有的制度隐患是否已经消除,原有的制度漏洞是否已经堵塞,所提出的整改方案是否得到执行,企业再次违法犯罪的可能性是否明显降低。
因此,在检察机关所要考量的诸多因素中,企业是否实施有效合规计划,显然是决定是否作出不起诉决定的关键因素。其他包括认罪认罚、积极配合、有效补救等在内的因素,尽管也是检察机关作出合规考察决定的主要考量因素,但合规考察程序一旦启动,它们就会让位于合规管理体系是否建立的问题。涉案企业一旦按照所承诺的合规方案,在考察期内实施了合规管理体系,检察机关就可以此为依据,对企业作出无罪处理。这充分显示出,在被纳入合规考察之后,企业推行合规管理,具有明显的出罪功能。
(二)对非系统性犯罪企业作出无罪处理的根据
在探索合规不起诉改革过程中,检察机关对于那些认罪认罚、具有合规意愿并采取积极补救挽损措施的涉案企业,都适用了合规考察制度,并进而作出了合规出罪的决定。但是,根据前面的分析,企业犯罪可以有系统性犯罪与非系统性犯罪之分。对于实施系统性犯罪的企业,检察机关适用合规考察免责机制的空间并不是太大。而对于那些构成非系统性犯罪的企业,则具有合规考察制度的较大空间。那么,究竟为什么要对那些实施非系统性犯罪的企业适用合规考察免责机制呢?其实,非系统性企业犯罪的本质在于,企业的犯罪行为不是通过集体决策或者企业负责人决定实施的,而是企业的某一关联人员以企业名义和为实现企业利益所实施的,企业因为对此没有建立严格的合规管理体系或者没有采取预防、阻止措施,而承担了一种推定性刑事责任。检察机关一旦将这类企业纳入合规考察对象,对其采取合规监管措施,促使其建立一种有效的合规计划,就可以达到三方面的积极效果:一是对于那些为犯罪所破坏的法益,企业通过建立合规机制进行了成功修复和补救;二是通过制度整改、改造商业模式和建立内部自我监管机制,有效地预防企业再次发生类似的犯罪行为;三是通过出罪处理避免企业承受灾难性损失,有效地维护了公共利益。对于这三个方面,下面依次作出简要分析。
首先,根据“法益修复理论”,企业建立有效合规计划本身意味着对业已受损的法益进行了补救和修复,这是对企业采取合规出罪措施的主要依据。按照传统的刑法理念,犯罪是一种侵害法益的危害社会行为,这些法益既可能是国家利益、社会公共利益,也可能是被害人的利益。我们之所以要对犯罪人追究刑事责任,就是要发挥刑法的报应和威慑功能,剥夺那些侵害法益的人违法所获取的利益,并使其遭受利益损失和相应的痛苦。可以说,传统理论秉持的是一种“向后看”的观点,侧重对侵害法益者的惩罚。但是,按照合规考察的理念,企业接受合规考察后建立有效合规计划的,对那些为犯罪所侵害的法益采取了修复和补救措施,使得对企业追究刑事责任的基础不复存在。这是一种“向前看”的视角,强调对修复法益的企业的宽大处理。在非系统性企业犯罪案件中,直接实施犯罪的都是企业管理人员、员工、子公司、第三方等关联人员,企业本身因为在合规管理方面存在过错而被卷入刑事诉讼程序之中。通过接受检察机关的合规考察机制,企业采取了一系列积极应对措施,如认罪认罚,配合执法部门的调查执法活动;积极披露和报告犯罪行为;严惩负有直接责任的关联人员;采取了赔偿被害人、补缴税款、缴纳违法所得、恢复原状等补救挽损措施。不仅如此,企业还针对管理上的漏洞和制度上的隐患,采取了有针对性的积极整改措施,建立了一套旨在预防、识别和应对合规风险的治理体系。可以说,包括建立合规体系在内,企业实施了一系列“法益修复”行为,对于那些为犯罪所破坏的法益进行了全方位的修补。其中,企业的配合执法行为有利于全面查清犯罪案件事实,补救挽损行为则有利于挽回国家、社会和被害人的损失,惩戒直接责任人的行为可以从人事上消除企业再次出现犯罪行为的可能性,建立合规体系的行为则可以从制度上预防犯罪行为的再次发生。上述法益修复行为足以显示出,对于那些建立有效合规计划的企业而言,企业犯罪所造成的社会危害性已经降到最低程度,对企业继续定罪,既是没有必要的,也是不公平的。基于这一有效修复法益的效果而言,对接受合规考察的企业采取合规出罪的处理,是具有正当性的。
其次,根据“有效预防犯罪理论”,企业通过建立有效合规计划,加强了内部合规管理,消除了关联人员再次犯罪的可能性。这是对企业作出合规免责的又一依据。传统的刑法理论建立在“有罪必罚”的基础上,遵循罪责刑相适应的原则,对于构成犯罪的行为人,一律按照法定构成要件来加以定罪。即便行为人事后采取了积极有效的预防犯罪措施,确保再次犯罪的可能性明显降低,也不足以抵消其本应承担的刑事责任。作为一种例外,只有在案件存在诸如正当防卫、紧急避险等法定无罪抗辩事由的情况下,司法机关才有可能对行为人作出无罪处理。但是,这些法定的无罪抗辩事由,主要是针对自然人而设定的,对于实施危害社会行为的企业,则没有设立这方面的出罪事由。
但是,与自然人不同,企业是一种具有法律拟制人格的商业组织,内部有极为复杂的治理结构。对涉嫌犯罪的企业设立合规出罪机制,可以对其建立内部控制机制、预防犯罪发生,产生强大的激励效果。在企业发生非系统性犯罪行为的情况下,其关联人员实施了犯罪行为,企业存在的问题主要是缺乏有效的管理体系和内控机制,其治理方式在阻止、预防关联人员犯罪方面存在结构性缺陷。而企业一旦接受检察机关的合规考察,建立了较为完善的合规管理体系,就可以在三个方面发挥有效的预防犯罪效果:一是对原来存在“原罪”的商业模式和经营方式作出了有效改造,消除了原有的违法、违规乃至犯罪因素;二是针对特有的合规风险,加强了对内部违法违规行为的预防、识别效果,例如通过发布专项合规政策和员工行为守则,建立合规培训制度,督促员工和子公司依法依规经营;通过实施合规风险评估、合规尽职调查、合规风险定期报告等制度,将第三方的经营活动纳入合规监控体系;通过建立内部举报机制、建立合规审计制度,及时识别可能发生的违法违规事件,等等;三是通过建立合规内部调查、合规整改、合规奖惩等制度,及时堵塞原有的管理漏洞,消除原有的制度隐患,完善合规管理体系。通过实施合规治理体系,企业建立一套针对关联人员的内部监管体系,对行政机关外部监管的局限性进行了必要的弥补。这一内部监管体系以合规管理为手段,以企业管理人员、员工、子公司、第三方乃至被并购企业为监管对象,以督促上述关联人员依法依规经营为主要目标,从而形成了一种有效预防犯罪发生的管理体系。要激发企业实施这种自我监管、预防犯罪的积极性,检察机关就需要给予企业较为强大的激励机制。因此,对于成功地建立了旨在预防犯罪的自我监控机制的涉案企业,检察机关通过设立合规出罪机制就可以发挥有效的激励作用。试想一下,没有这种合规考察免责机制,有哪一家企业愿意主动从事这种耗时费力而难以产生直接经济效益的合规管理呢?
再次,根据“公共利益考量理论”,对一个经过合规考察而成功建立合规管理体系的犯罪企业,检察机关作出不起诉的决定,这更加符合社会的公共利益。传统的刑事诉讼理论坚持起诉法定与起诉裁量相结合的理念,对一个依据刑法构成犯罪的人,只要达到法定证明标准的,一般都要统一提起公诉。只有在犯罪情节轻微、依照刑法不需要判处刑罚的案件,检察机关才可以作出不起诉的决定。而对于犯罪情节较重的案件,检察机关则没有不起诉的制度空间。对于单位犯罪案件,检察机关原则上要依据直接责任人员可能被判处三年有期徒刑以下刑罚的情况,对单位或者直接责任人员作出不起诉的决定。 而在企业接受合规考察的案件中,企业依照检察机关的监管要求,建立了有效的合规计划,加强了内部监控体系,有效地预防内部关联人员再次犯罪的发生。对于这样的涉案企业,基于公共利益的考量,检察机关就没有必要提起公诉,而采取合规出罪的处理方式。具体说来,合规出罪机制可以从以下方面维护公共利益:一是避免企业可能被宣告破产的结局,防止由于企业员工下岗失业、投资者遭受损失、第三方投资失败等所带来的社会矛盾和社会冲突;二是避免企业或者企业直接责任人被定罪的结果,防止出现诸如企业无法上市、被取消特许经营资格、被吊销营业执照等方面的情况;三是避免因为企业被定罪而可能带来的税收流失、经济滑坡、新兴产业受挫等灾难性后果;四是激励一些富有科技含量的涉案企业,通过建立有效合规计划,改造经营方式和商业模式,得到可持续发展,最终可能成为具有旺盛生命力的“百年老店”。检察机关通过实施合规考察制度,对于涉案企业不是简单地进行证据审查和构成要件审查,而要进行“公共利益的考量”,并根据维护公共利益的需要来决定是否提起公诉。这是一种检察理念和公诉方式的重大革新。根据这种理念,检察机关不再单纯地追求“有罪则捕”“有罪就诉”或者“有罪必罚”,而是以追求公共利益最大化为目标,对于建立内部监控体系、预防关联人员犯罪的涉案企业,采取合规出罪的处理方式。这种对国家刑罚权的适度放弃,恰恰更符合国家和社会的利益。
(三)对实施轻微系统性犯罪的企业适用合规考察的依据
上述合规考察免责的理论根据,对于那些实施非系统性犯罪的企业都是适用的。但是,对于那些由企业集体决策或者由企业负责人决定实施的犯罪案件而言,上述出罪根据可能无法全部适用。毕竟,这类企业具有实施犯罪行为的“主观意志”,企业决策层几乎成为一种犯罪集团,企业所出台的政策和所作出的决定都是具有犯罪倾向的。对这类企业进行合规考察,对其经营模式和商业模式加以改造,并确立一种由企业对关联人员实施内部监管机制,可能难以发挥实际的效果。对于这种由企业集体决策或者负责人决定实施的犯罪,并不具有合规出罪的太大空间。
尽管如此,对于情节轻微的系统性企业犯罪,根据起诉裁量原则的要求,检察机关仍然可以对其适用相对不起诉。而在适用相对不起诉过程中,检察机关也可以将这种犯有轻微系统性犯罪的企业,纳入合规考察的对象,并在其确实建立有效合规计划之后,对其作出不起诉的决定。既然如此,我们就需要回答一个问题:为什么对实施轻微系统性犯罪的企业,也可以作出合规考察免责的决定?对于这一问题,笔者可以提出一种“程序出罪理论”,由此作出简要的解释。在我国目前的刑事立法中,存在着大量过于严厉的实体入罪条款,使得企业承受着越来越大的刑事法律风险。我国刑法对企业犯罪确立了越来越多的罪名,且几乎都是法定犯,也就是从行政不法行为转化过来的犯罪。企业犯罪的入罪门槛较低,且与行政不法行为呈现出“同质化”的状态,除了“情节严重”、“数额较大”、“造成严重后果”、“受到行政处罚后拒不改正”等因素以外,几乎没有实质性的差异。企业犯罪的覆盖面较广,且出现了继续入罪扩大化的发展趋势,从食品药品安全、税收征管、金融管理、知识产权保护、环境保护、公司企业监管,直到网络安全、数据保护等数十个生产经营领域,企业可能触犯的罪名已经达到150个以上。在这种“实体入罪”越来越普遍而严厉的背景下,检察机关为避免企业遭受不必要的刑事制裁,需要建立一种“程序出罪”的机制,来发挥调和和弥补的功能。毕竟,这类系统性犯罪尽管是由企业集体决策或者负责人决定实施的,但危害后果并不严重。假如企业经过合规监管程序建立了有效的合规计划,就足以预防犯罪的再次发生,检察机关就没有必要对其提起公诉,而可以作出宽大的刑事处理。这种针对实施系统性犯罪的企业所作出的合规出罪决定,既符合社会公共利益,也体现了惩办与宽大相结合的刑事政策,属于对“实体入罪”现象的一种程序补救。
当然,对于这类系统性企业犯罪,检察机关在进行合规考察过程中可以提出更为严格的合规要求。除了责令企业聘请合规监管人、设置较长考验期以外,还应当对直接责任人作出较为严厉的惩戒。例如,检察机关可以责令这类企业解散董事会,更换管理团队,并对有关直接责任人作出严厉处罚。又如,检察机关可以提出更为严格的合规整改要求,如设置更长时间的考察期限,责令企业聘请更为专业的合规监管人团队,所提出的合规整改要求也更为全面具体。再如,检察机关可以发布更为具体的合规指引,提出更为明确的合规验收标准。
合规出罪模式的未来选择
在将企业犯罪作出区分的前提下,我们分析了合规出罪的三种模式,并对这些合规出罪的正当根据作出了论证。分析至此,我们可以提出总结性意见,并对那些困扰我国合规不起诉制度改革的问题作出解答。
首先可以肯定的是,企业建立有效的合规计划,可以在不同类型的案件中发挥不同的出罪功能。对于一般的非系统性企业犯罪案件而言,合规机制的存在,可以成为证明企业不具有犯罪故意或者过失的直接依据,发挥切割企业责任与关联人员刑事责任的功能。而对于那些失职性犯罪案件而言,合规管理体系的建立,则可以成为企业承担法定管理义务、不存在失职行为的依据,并进而发挥免除失职责任的功能。但在企业已经构成犯罪的案件中,检察机关通过将其纳入合规考察程序,对其作出免除刑事责任的决定,这可以发挥修复法益、预防犯罪和内部有效监管的作用。至于那些犯有系统性犯罪的企业,因为企业存在着明显的主观过错,一般没有合规出罪的太大空间。唯有在轻微案件中,检察机关可以将建立合规管理体系作为情节轻微的表现方式,并据此作出不起诉决定。这种合规出罪针对实体入罪过于严厉的问题,发挥程序出罪的功能。
其次,“合规不起诉”与“相对不起诉”并不能完全划等号。原则上,相对不起诉是检察机关对犯罪情节轻微的涉案企业所作的一种宽大刑事处理,具有一种“裁量出罪”的性质。而合规不起诉则是检察机关对于那些接受合规考察并建立有效合规计划的涉案企业,以修复法益、有效预防犯罪和建立自我监管机制为依据所作出的宽大刑事处理,具有一种“合规出罪”的性质。对于非系统性企业犯罪案件而言,无论情节轻重,都可以适用合规出罪机制。而对于系统性企业犯罪而言,合规出罪机制没有太大的适用空间。只有那些情节轻微的案件,检察机关才可以给予企业适用合规考察的机会,并将建立有效合规计划作为情节轻微的依据,从而作出不起诉的决定。在这种情况下,合规不起诉就与相对不起诉发生了竞合关系。因此,很多检察官所作的“合规不起诉只适用于轻微刑事案件”的论断,对于系统性企业犯罪案件是可以成立的,但对于非系统性企业犯罪案件并不适用。
再次,合规不起诉究竟适用于企业还是直接责任人呢?在非系统性企业犯罪案件中,企业关联人员实施犯罪在先,企业因其存在主观过错或者发生失职行为而被归责在后。但假如企业以实施合规管理为依据,提出了有效的无过错或者无失职抗辩,那么,这类企业犯罪就可以转变为自然人犯罪,也就是相关关联人员单独承担刑事责任。因此,单位犯罪与直接责任人的刑事责任就可以发生必要的分离。这完全契合一个基本的合规理论:“尽量放过企业,但要严惩责任人”。但是,在系统性企业犯罪案件中,企业犯罪仍然要遵循传统的归责原则,那就是企业构成犯罪,是直接责任人构成犯罪的前提和基础。因此,对这类案件适用合规不起诉,就无法将企业犯罪与直接责任人犯罪进行分离。检察机关假如要对企业适用合规考察免责制度,就需要将企业与直接责任人一并作出不起诉处理。不过,这类案件都是轻微企业犯罪案件,无论是对企业还是对直接责任人,在适用相对不起诉方面都不存在法律障碍。
最后,企业合规不起诉究竟是适用于中小微企业,还是大型企业集团呢?经验表明,非系统性企业犯罪案件通常发生在大型企业集团的生产经营过程之中,这类企业具有内部复杂的治理结构,也有为数众多的商业伙伴,并会发生频率较高的投资并购活动,关联人员发生犯罪行为的几率较高,且在内部治理上要投入极大的成本。对于这类大型企业而言,企业合规不起诉的适用,可以加强企业的内部监管,克服外部监管失灵的难题,有效地发挥预防犯罪的效果。相反,系统性企业犯罪案件经常发生在中小微企业的经营活动之中。对于这类企业,检察机关适用合规不起诉的空间并不大,大体上可以适用于情节轻微的企业犯罪案件。很多检察机关将适用对象界定为“直接责任人可能被判处三年有期徒刑以下刑罚的案件”,大体是可以成立的。但对于这类企业,检察机关应当在要求其更换董事会和管理团队、严惩责任人的基础上责令其作出积极配合和有效补救挽损措施,并适用更为严格的合规监管程序。