刑事合规与企业治理
作者:蒋力飞律师
前言
2020年3月,最高人民检察院启动首批涉案企业合规改革试点工作。包括深圳南山、深圳宝安、上海浦东、上海金山等6家基层检察院。
2021年5月,国资委表示:中央企业全部成立合规委员会。
涉案企业合规改革试点,主要是检察机关针对已经产生“刑事风险”且处于刑事案件“审查起诉阶段”的涉案企业合规,一旦通过合规考察的涉案企业,检察机关可以作出不捕、不诉的决定或不判处实刑的建议。
一、刑事合规与企业合规
与上述“审查起诉阶段”涉案企业合规不同,本文所讨论的“刑事合规”的范畴,主要聚焦于企业日常经营阶段,尚未产生“刑事风险”时的刑事风险预防。
由此,本文所指刑事合规,是以刑事法律规范等标准来识别、评估、预防和控制企业在经营管理活动中潜在刑事风险的一系列措施。
2018年,国资委《中央企业合规管理指引(试行)》对于企业合规做了如下定义:企业合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
可见,从企业合规的构成看,包括传统合规与刑事合规两个部分。刑事合规是企业合规的组成部分。其次,刑事合规不是传统合规,更不是要取代传统合规,它是对传统合规针对性的补充。再次,刑事合规并非囊括企业合规所有内容,仅侧重于刑事风险预防的专项合规。
二、刑事合规的必要性
我的团队做了初步统计,刑法中与企业相关的罪名约149个左右。换句话来讲,企业经营过程中,这149个罪名就像遍布在企业周围的149根无形的红线,很多企业可能不知道这些红线的存在或边界,是否触碰也无法知晓。一旦触发红线,这个时候再回过头来弥补,可能已经来不及了。
根据《中央企业合规管理指引》分类,企业“市场交易领域”涉及29个罪名,“财务税收领域”涉及33个罪名,“知识产权领域”涉及7个罪名,而“其他领域”(主要指数据安全、网络安全、个人隐私等)有46个罪名。参考北京师范大学中国企业家犯罪预防研究中心《中国企业家犯罪分析报告》针对2018年涉案企业案发环节统计,“日常经营环节”案发占比36.03%,“融资环节”案发占比24.81%,“财务管理环节”案发占比8.84%。
由此可以看出,企业在日常经营、融资、财务管理等环节,在“市场交易”、“财务税收”、“知识产权”等领域都属于刑事风险高发地,必须引起企业高度关注。特别是在依法治国背景下,提高企业这些环节和领域的刑事风险防范意识显得十分迫切。
三、刑事合规在企业治理中的运用
在这里,通过一个案例加以说明。
2011年至2013年,郑某等6名雀巢公司员工为推销奶粉,通过支付好处费等手段,从兰州市多家医院医务人员处获取孕产妇姓名、手机号等信息共计12万余条。
2016年10月,兰州市城关区人民法院判决,郑某等人构成侵犯公民个人信息罪。之后,郑某等人以涉案行为属于单位犯罪等理由提出上诉。
二审期间,雀巢公司提供公司规章、员工承诺函等各种证据,以证明雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施犯罪为个人行为。
2017年5月,兰州市中级人民法院作出终审裁定:对于上诉人关于构成单位犯罪的辩护理由不予支持,维持原判。【来源:(2016)甘0102刑初605号,(2017)甘01刑终89号】
该案审理发生在2016年至2017年期间,审理思路没有直接用到我们今天所说的刑事合规,但仍然被业界称为“企业合规无罪抗辩第一案”。这是因为在案件审理中,雀巢公司的相关制度的设置及有效实施,让法院认定员工实施的犯罪行为系个人行为,这就在员工个人责任和企业责任之间设置了一道“防火墙”,有效切割了员工个人责任和企业责任。
然而,此案分析不能“浅尝为止”,我们再假设,如果当初雀巢公司没有事先对员工进行合规培训,或事先对员工进行了合规培训,但因为管理混乱没有保留相应的合规培训的完整记录。进而导致在审理期间无法提供相关证据予以佐证,那么,雀巢公司很有可能被认定为单位犯罪。
这也是企业治理中刑事合规预防刑事风险的真正价值所在。
四、企业治理中刑事风险的预防用
因为长期写作的关系,我习惯于把一些表象“拆解细化”,进而对“拆解细化”的因素加以分析,最后把分析结果系统融合。对于“企业刑事风险”的研析亦沿用此逻辑。
1、行为人。
讨论企业刑事风险预防,首先要解决是“谁”实施了可能触发刑事风险的违法行为?假设一个企业犯罪,是企业自身实施的违法行为吗?显然不是。企业是众多人员的集合平台,企业自身不可能实施违法行为,但是代表企业意志的人员或集体所实施的行为通常被视为企业行为。换一句话来讲,我们在研究企业刑事风险预防之前,必须要识别引起刑事风险的违法行为的实际实施人,显得尤为重要。
1)管理者
企业管理者通常指实际控制人、股东、董监高等人员。
管理者的身份,导致他们在企业经营中实施的行为很容易被联想(认定)为代表企业意志,进而与个人意志行为相混淆。如果管理者实施了给企业带来利益的违法行为,区分到底属于企业意志还是个人意志,则显得尤为必要,企业承担“非企业意志”的举证责任无形中加重。
2)员工
员工在企业经营中实施的行为,既可能是企业授意实施的职务行为,也有可能是为一己之私的个人行为,比如上一期【刑事合规与企业治理(二)】文章中提及的“雀巢员工侵犯公民个人信息案”中的雀巢公司的那六名销售员。庭审中,销售员称:“之所以收集公民个人信息是为完成公司的婴儿配方奶粉指标,是按照公司要求所做,获取的信息也是提供给公司的,属于职务行为”。然而,面对雀巢公司提供的证据(雀巢公司指示、电访调研资料、销售员签署的培训和测试文件以及承诺书等),法院最终采纳了雀巢公司的证据和主张,认定销售员违法公司管理规定,为提升个人业绩而实施的犯罪,属于个人行为。
3)外部人
还有一类比较隐蔽,但也非常重要,通常指企业外部供应商/合作商。也就是经营期间,企业与外界相关人员、企事业单位、社团组织等主体之间发生的业务合作或交易服务。一旦这些合作/交易供应商为达成与企业的合作/交易而实施的违法行为,如果企业没有做好事先充分的风险防范隔离的话,那么外部人引发的违法风险很可能会引火至企业。比如企业委托异地第三方中介机构于当地进行项目投标服务,第三方中介机构为达到中标目的,违法串标或实施商业贿赂,引发刑事风险。由此,查明企业是否合谋参与实施违法串标或实施商业贿赂,也将成为办案机关的侦查方向之一。
本文中,将上述管理者、员工、外部人三类人员统称为“行为人”,下文“行为人”同义。
2、法益。
当行为人在经营中实施某个行为后,必然会产生积极或消极的法律评价---合法或非法。什么时候会产生消极的法律评价呢?就是当行为人的行为触犯了《刑法》所保护的利益时,而这个被保护的权益这就是法益。
通常,大多数企业都知道虚开发票、偷逃税等属于违法行为,对于这种认知度防范度比较高的法益我称之为已知法益。也就是通过广泛的法治普及以及内部合规组织系统的培训,已经知道的法益。与之相对立的是未知法益。在这里,我所指的未知法益,它本身是存在的,是《刑法》已经明确保护的利益,但是这些法益,企业并不知晓。换句话讲,当企业不知道某种法益的存在,而在经营中又无意侵害到这些法益,就属于未知法益。而未知法益恰恰是极易产生刑事经营风险的一个重点领域,也是企业刑事风险预防的重中之重。
为什么“未知法益”会普遍存在?其一,因为随着社会经济的发展,新增法益不断涌现。比如这些年国家加大对数据安全、网络安全、个人信息等利益的保护,很多企业没有及时建立相应的规章制度和系统性组织学习。其二,企业缺乏对刑事风险预防的重视,特别是中小型民营企业,对刑事合规建设方面的漠视和投入更显单薄。
3、刑事合规实施主体。
如上文所述,未知法益是企业潜在刑事风险的重要因素。面对企业,如何将未知法益向已知法益的转变,除了企业法务自身业务不断精进突破局限外,依靠外部律师专业团队通过刑事合规服务来实现,则是重要的途径。
通过外部律师在企业内部设立相关规章制度,同时向行为人实施系统培训,将未知法益转变为已知法益,这就在行为人个人责任和企业责任之间设置了一道“防火墙”。有效切割了行为人个人责任和企业责任。
五、涉案企业在“审查起诉阶段”的“合规”补救机制
2020年3月,最高人民检察院启动涉案违法犯罪依法不捕、不诉、不判处实刑的企业合规监管试点工作。
今年4月2日,最高人民检察院会同全国工商联专门召开会议,全面推开涉案企业合规改革试点工作。会议强调:“无论是无论是民营企业还是国有企业,无论是中小微企业还是上市公司,只要涉案企业认罪认罚,能够正常生产经营、承诺建立或者完善企业合规制度、具备启动第三方机制的基本条件,自愿适用的,都可以适用第三方机制。
现通过图表,展示一下涉案企业合规机制:
首先,涉案企业合规发生在“审查起诉阶段”,考核主体是检察机关。也就是说,企业已经产生刑事风险,刑事追责程序已启动,且案件已移送检察机关。涉案企业合规只能在“审查起诉阶段”适用,考察主体只能是检察机关。考察对象只能是涉案企业。
其次,检察机关决定对符合条件的涉案企业适用“合规”时,需要涉案企业签署“认罪认罚具结书”与“接受考察承诺书”。当然,“合规”适用是双向的,涉案企业可以同意也可以不同意。如果同意适用“合规”程序时,必须要同意“认罪认罚”和“接受考察”。
再次,涉案企业签署“认罪认罚具结书”、“接受考察承诺书”后,检察机关就要组织第三方专业人员针对涉案企业建立/实施合规计划。合规计划是针对企业涉嫌的罪名,对于引发犯罪的企业内部治理结构、规章制度、人员培训等问题和漏洞进行全面梳理,通过制定完备的合规管理规范、构建有效的合规组织体系、健全合规风险防范及违规应对机制等方式,在制度上有效防止犯罪再次发生。通常第三方专业人员系由行业专家、学者、律师、会计师等构成,来辅助涉案企业参与合规计划的制定。
第四,合规计划制定完成后,涉案企业需要按照“合规计划”落实整改。之后,检察机关对涉案企业“合规计划”的落实整改予以考察,是否完成“合规计划”所制定的目标。
第五,最后,检察机关会根据涉案企业考察的结果,作出不捕、不诉的决定或不适用实刑的量刑建议。
由此可见,涉案企业合规既不是头痛医头,对漏洞的打补丁,也不是否定企业已有合规体系,实施全面合规体系建设。它是有针对性地识别违法行为背后的合规管理漏洞,制定新的合规考察标准,是对企业已有合规体系的补充和加强。
,六、刑事风险防范的常见误区
误区一,集体决策是责任豁免的“安全锁”。
众所周知,集体决策方式是企业重要的内控制度之一,但集体决策往往令人产生错觉。有些人以为,只要经过集体讨论的事情,杜绝个人决策的因素,就不会对对个人法律风险。即便是集体决策错误,也是法不责众。从司法实践看,如果集体决策最终错误,并最终产生刑事风险,除企业承担刑事责任外,负有领导责任的法定代表人、主要负责人,仍有承担相应刑事责任的风险。
误区二,层层审批是风险隔离的“保护网”。
企业治理中,各司其职的审批制度已经非常普及。长期制式化的流程使得很多人只看会签栏的签字,而忽视审批事项本身合法性。复杂的审批程序如果流于形式,经办人员以“例行公事”的心态审批,看似经过复杂的内控程序,反而麻痹审批人的风控意识。一旦所审批事项本身存在重大违法违规,很容易导致企业陷入刑事风险的泥潭。
因此,审批程序的设置需要以实质性审查作为审批标准,并定期对审批事项进行刑事合规有效性分析。
误区三,第三方评估是隔离风险的“防火墙”。
第三方评估是借助第三方的专业知识和客观中立的社会地位,针对重大事项作出专业性评估意见,进而企业依据第三方评估意见作出最终经营决策行为。通常,国有企业在重大交易、重大决策前都会启动第三方评估等程序。但是如果评估、尽调存在方法不规范,企业决策人员也未对评估、尽调结果进行纠正。导致国有资产流失,很可能会被认定为国有公司人员失职罪的风险。近些年,企业改制中国有资产流失热点事件时有发生,很多都聚焦于第三方评估环节。因此,企业应对“第三方评估”的流程、方法和结论也实施相应的实质性审查,最大限度的做好市场交易“守门员”的职责。
七、企业经营中易发刑事风险领域
2021年,华诚所设立刑事合规部,作为“刑事合规部”负责人,我组织团队系统研究不同行业、不同业态领域、不同发展阶段企业出现刑事风险的特点和规律。
这些年,随着数字经济、互联网技术的商业普及,以及个人信息的广泛使用,企业日常经营触及个人信息、大数据,依托互联网进行数据信息传输等场景比比皆是。由此,国家通过立法加大对数字安全、网络安全、个人信息保护的力度。
2017年6月1日《中华人民共和国网络安全法》实施;2020年1月1日实施《中华人民共和国密码法》;2021年9月1日《中华人民共和国数据安全法》实施;2021年11月1日《中华人民共和国个人信息保护法》实施。随着这些法律的出台,与之相关的侵犯公民个人信息罪、非法获取计算机信息系统数据非法控制计算机信息系统罪、非法利用信息网络罪等九个罪名也越来越多的受到关注。因此,企业在数据使用、个人信息保护、网络安全场景存在潜在高发刑事风险。
此外,《刑法》中有个罪名比较“特殊”---非法经营罪,该罪名虽只是一个罪名,但是所对应的犯罪行为却在不断的增加,如同“口袋”一样,所以,又称之为“口袋罪”。
我特意罗列梳理了一下,目前非法经营罪所调整“非法经营行为”的类型已经达到59种之多。其中,刑法第225条“非法经营罪”所调整的非法经营行为的类型有6种,司法解释/文件调整的非法经营行为的类型有25种,行业法律法规调整的非法经营行为的类型有28种。这些大量存在的被“非法经营罪”所调整的非法经营行为也是企业潜在易发刑事风险领域,值得广大企业关注和警惕。
本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。
