从涉案企业合规不起诉的落地看企业合规制度的构建_北京转创国际管理咨询有限公司广东分公司

合规“compliance”已然是时下非常热门的一个话题。合规作为舶来品早年常见于外资企业，后来陆续有了央企、国企及民企的跟进，如18年的《中央企业合规管理指引》中的正式规定，但由于缺少本国法律制度上的基础，因此适用和讨论的空间相对有限，但自2020年3月最高检带动的涉案企业合规监管试点工作以来，合规尤其是刑事合规的制度性构建正式提上议题，合规的概念外延得到扩张，这种自上而下、以检察院为主导的企业合规整改迅速推进和倡导揭示合规的价值，因此受到广泛关注。2021年6月以来关于涉案企业合规第三方监督评估机制建立的指引、办法陆续出台，具有中国特色的本土合规不起诉制度基建初步落成，糅合了第三方监督评估要求，以事前预防、事中补救、事后整改三阶段为核心的大合规范式，既是检方在进行合规考察时的评判要素，也是企业未雨绸缪查漏补缺时的参考依据。最高检至今已陆续发布三批典型案例，结合案例来看一下企业怎样构建和完善合规制度非常有参考价值。总的来说，企业在构建和落实合规制度时应该妥善处理好以下几个关系。

一、处理好专项合规和全面合规的关系。

合规即成本。对于所有企业来说，保障企业发展盈利是第一要义，快速推进全面合规的成本无疑太高，在容易出现刑事风险或行政风险的特定领域进行专项合规可能是企业从成本角度考虑的觉悟。但是在2022年4月份发布的《涉案企业合规建设、评估和审查办法（试行）》中第21条明确提到：“涉案企业应当以全面合规为目标、专项合规为重点，并根据规模、业务范围、行业特点等因素变化，逐步增设必要的专项合规计划，推动实现全面合规。”从这里可以看出，如果企业涉案，在后续接受检察院主导的合规整改时，很可能需要面对检方或者第三方监督委员会要求的以全面合规作为目标的彻底改造的。在最高检第一批发布的合规典型案例三中：深圳市王某某、林某某、刘某乙对非国家工作人员行贿案[1]中，某音响设备供应商Y公司业务员王某某为了在客户B公司设备采购中获得照顾，向B公司采购员刘某甲陆续支付了好处费25万元，并在刘某甲暗示下向B公司技术总监行贿24万元，由Y公司经审核批准，通过第三方账户转出行贿款，深圳市南山区检查机关了解到Y公司是拟上市的重点企业，且在音响设备领域处于国内领先地位，因此不仅围绕商业贿赂犯罪相关的企业内部治理存在问题为其制定了合规计划，而且在回访时针对企业可能涉及的知识产权等合规问题进一步提出了指导意见，推动企业查漏补缺并重启上市申报程序。

这里给我们的启示是，对于企业来讲，一方面如果没有提前做好全面合规体系构建的准备，那么即使得到机会接受合规整改的，后期需要付出的成本以及精力可能非常巨大的；另一方面，不能把检察院主导的合规不起诉制度简单理解成一对一的辩诉交易，其在合规考察期之外，还会有对企业一个长期的跟踪和回访，这种考察很可能是全面而不是仅局限于涉案的某一个领域。

二、构建好事前、事中和事后合规的体系

分析最高检颁布的几个合规典型案例同样可以发现，检方要求涉案企业提交合规计划或者整改方案中要求企业完善的很多举措，从“事后诸葛亮”的角度来看，都可能可以通过事前合规预防体系或者事中危机处理机制中来应对。以近期较热的数据合规为例，在第三批公布的全国首例数据领域刑事合规不起诉案件[2]中，涉案企业Z公司通过数据爬虫技术非法获取某外卖平台的信息数据，给该外卖平台造成4万元的损失，触犯了非法获取计算机信息系统数据罪，随后向检察院申请适用合规监督考察程序。我们可以清晰地发现，检方在引导Z公司进行合规整改时适用了循序渐进的三阶段大合规体系：

第一步是事后合规整改，在于消除不法行为及不法行为所产生的后果，会考察企业是否全面停止涉案违法行为并积极进行赔偿，或者退缴违法所得，在本案中，Z公司围绕管理措施、技术措施、制度进行自查整改，Z公司与E公司达成合规数据交互约定，彻底销毁相关爬虫程序及源代码，对非法获取的涉案数据进行无害化处理，并与E平台API数据接口直连，实现数据来源合法化；

第二步是建立事前、事中的合规预防、控制体系，主要包括以下几个层次：

首先是管理层与相关从业人员的自查自纠。在本案中Z公司误将爬虫技术认为是业内公开的技术代码，并未想过这样使用会构成犯罪，因此合规整改中要求明确企业负责人、高管以及业务员对于涉数据安全保护违法违规行为是否有了深刻的认识，对造成企业发生涉数据违法违规行为的内因和外因是否进行了全面分析——其实这里也涉及到一个事前合规的认识问题。爬虫技术本身不违法，但未经授权访问或抓取数据，或是将通过爬虫手段获取的数据用以实施违法犯罪行为的则会涉及刑事风险。早年湖南九象[3]、杭州魔蝎[4]等案件均揭示了相关数据爬虫行为的刑事违法性，一些贷超平台和大数据服务商违规收集用户隐私数据，售卖至套路贷平台等，给消费者的财产安全带来隐患，刑事司法学界包括律师也对相关行为的刑事合规风险有过广泛而深入的探讨，如果一些涉案企业能从这些案例中得到警醒，更早的重视和落实包括风险评估及控制在内的事前合规，损失和成本自然远远低于案发后再整改。当下《网络安全法》《数据安全法》和《个人信息保护法》等数据信息领域的上位法框架规则基本成型，强监管已然来临。

其次是建立合规制度。在明确为何会发生犯罪后，针对企业抗风险薄弱环节构建事前的合规预防体系，通常是以完整可行的合规计划体现，并建设内部合规管理机构，可以是部门的形式也可以是个人的形式，对企业收集、储存、使用、加工信息数据的安全管理制定制度规范并对可能存在的风险评估监测，建立内部数据安全保护制度和操作规程，确定数据处理的操作权限，对数据实行分级分类管理，制定常态化合规管理制度，开展合规年度报告。在整改过程中，检察院发出建议书要求“规范技术汇报审批流程，建立技术应用合规评估制度，避免技术滥用”，重点就是对企业搜集的数据来源的合法性评估，消除内部管理盲区。同时Z公司也与相关平台签订数据处理协议，同多家大型互联网企业达成数据合作以搭建合法第三方数据获取的机制，助力后续数据业务的合规平稳开展。

最后是出现合规问题时的处置应对预案，建立健全数据违法违规行为问责制度和举报调查制度，明确违反合规计划的纪律处分和法律后果，并制定数据安全事件应急预案，决定数据安全事件进入紧急处置状态并指挥对数据安全事件的补救与通知上报。在本案中Z公司加入区级态势感知平台，提升安全威胁的识别、响应处置能力及数据及时脱敏、加密，增强网络攻击防护能力。

三、衡平好企业和个人的关系

如果以合规视域下的单位独立意志论来考量企业合规的出罪功能，我们会发现，作为法人人格具现化的各类制度、体系，需要达到预期的效果，最终还是要依仗个人的落实。企业和个人的微妙在于，企业的运转离不开个人努力——不管是企业的运营，还是企业合规的落实；而所有的合规制度，不管是礼品还是捐赠制度，利益冲突制度，还是供应商管理制度，都是希望通过对人的精细化管理，从而避免人“犯错”，但人之所以为人，总是有欲望的，比如希望送更高价格的礼品以获取更多利益，住更贵的酒店以更舒适，从这种角度上来讲，所有的合规制度都是反人性的，这也正是合规重要的目的和功能之一—防患于未然，但另一方面，当出现合规问题时，企业或者企业的实控人又希望合规制度能够起到一定的屏障作用来避免单位涉及刑事犯罪的风险。

目前公布的合规案例大部分是同时存在单位和个人刑事责任的双罚制犯罪，而在合规不起诉案例中，常见的是企业通过合规整改或者事前合规以避免单位犯罪，从这个角度讲，企业也就有了更倾向于推进合规的动力。但是，个人呢？怎样使得个人在推动合规中有更多的动力？或者说缓和这种企业与个人的张力？监管也作出了一些尝试，比如在最近一些案例合规计划的有效性评估要素中，对各领域的不同刑事风险，都提出企业需要设立专门的管理部门或是负责人对该领域负责合规体系构建以及监督考察。《关于建立涉案企业合规第三方监督评估机制的指导意见》第三条明确指出，第三方机制适用范围不仅包括单位犯罪案件，还包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。也就是说，企业员工实施了与企业生产经营活动密切相关的犯罪，则企业可能存在重大的合规漏洞，因此有必要对企业进行刑事合规整改；但对企业进行刑事合规整改后能否将其效用惠及于企业员工，即将企业的刑事合规整改作为从宽处理企业员工个人犯罪的重要事由，仍然存在争议。

在第三批发布的涉案企业合规典型案例二[5]中，K公司的总经理王某某得知公司与某上市公司达成合作意向的信息后，两次将内幕信息泄露给其好友，涉嫌泄露内幕信息罪。案发后，检察机关结合实际情况监督引导K公司及其必要的关联公司、子公司进行刑事合规整改。起诉后，检察机关结合相关企业的整改情况向法院提出了对企业员工宽缓处理的量刑建议，即将企业刑事合规整改作为从宽处理企业员工个人犯罪的事由之一。这实际上也为今后的涉案企业合规业务打开了一扇窗，我国大部分民营企业都是自然人控股，人合性大于制度性约束，实控人或高管是企业运转的实质核心，若企业合规能够惠及涉案的个人，自然能够调动企业和个人推进合规建设的积极性。

四、把握好形式合规与实质合规的转化

涉案企业合规第三方监督评估机制的目的在于希望企业能够建立原生性的自治生态系统，通过完善合规体系获得避免再度涉及刑事风险的能力，既能够缓解我国司法压力，激发企业的自主能动性，也能够提升我国企业的综合素质水平，不致于在越来越频繁的跨国贸易中遭遇境外的调查和制裁。

因此，无论是从最高检推进企业合规监管工作的期望，还是从企业自身出发的长远价值考量，实质合规都应当是最终且唯一的目标。企业自主合规建设工作以及检察院所要求的合规计划，都会提到对企业合规文化的培育，甚至是以此影响和改造商事交往过程中的合作伙伴，这是实质合规的最终形态。而形式合规、纸面合规之所以无法消除的原因，是合规体系的构建与维护本身是需要大量投入与长期坚持的前瞻性工作，是额外平添的“义务”和“负担”。将合规落到实处，事实上是对企业自治提出更高的要求。制度构建是第一步，但同时也需要因地制宜，有的放矢，根据企业自身实际情况调整细化实施方案。企业所在行业合规环境，企业整体人员合规意识，企业内部合规人员话语权，方方面面均需要兼顾，又要选择性的做出取舍和让步，绝非成立一个部门/岗位，引入一套体系/模板就能够达成的。对于有能力的头部企业，自然是倡导其作为行业榜样，全面落实推进合规制度，并能够进行合规文化输出，致力于改善行业风气，但是对于大部分中小企业，不加思辨的照搬照抄可能效果适得其反，必须把握好形式与实质合规的平衡。