中兴事件概述（中兴事件概述50字）

刑事合规

刑事合规理念的国内法表达

——以“中兴通讯事件”为切入点

李本灿

一、问题的提出

2018年4月16日，美国商务部发布公告，7年内禁止美国企业与中兴通讯展开任何业务往来。后历经近两个月的紧张谈判，最终于6月7日，中兴与美国商务部工业安全局(BIS)达成和解协议。协议内容为，中兴通讯向美国政府支付10亿美元罚款，另行支付4亿美元的代管资金，如果再次违规，则予以没收；必须在30天之内更换董事会，施行最为严格的合规管理制度。{1}对于该事件，除了要进行技术上的反思之外，更需要就事件本身进行追问，美国政府为什么可以对中兴实施制裁？通过对中兴通讯事件始末的仔细考察不难发现，其之所以被选择作为制裁对象，问题首先出在自身。实际上，在不远的过去，即2017年3月6日，中兴通讯就因违反美国政府出口管制规定，受到刑事追诉，最终与美国司法部签署了修订了的认罪协议，最终同意支付约8.9亿美元的罚金[1]。此后，其仍继续实施相关违规行为，严重背离了认罪协议中的相关义务，因而直接招致了此次制裁。可以说，自身合规意识淡薄，直接招致了此次“灾难”。此次和解协议中，除了巨额罚款外，多数条款主要集中于中兴通讯的合规治理体系的改善，原因也在于此。因此，对于中兴通讯事件，比罚单更沉重的反思应当是，法律如何回应合规管理制度。

在国家“一带一路”经济带建设的倡议背景下，越来越多企业需要走出去，因而会面临前所未有的刑事风险。尤其是，诸如《萨班斯法案》404条款以及英国的《2010贿赂罪法案》具有域外效力，更加显著提高了企业面临的刑事风险。风险的提高使得相应的受制裁可能性增加，因而，降低风险的迫切性也会随之提高。刑事合规正是风险刑法以及全球化的结果。{2}“合规计划以及这些制度框架内其他现代治理工具的优点尤其表现在一个全球的与复杂的风险社会中。……这尤其依赖于对于当事公司的特别知识，这些公司的全球活动能力，以及它们对于防止犯罪之核心控制手段的掌握。这些控制手段既包括公司内部的等级制的指示权，也包括对重要信息系统的拥有。国家制定的规范有时并不符合公司的具体情况，而与这些国家规范相比，公司的自制可以是一个有效得多的方法。”{3}263-264因为刑事合规具有公私共治的双重优点，因而形成了合规立法的世界潮流。对于公司而言，因其活动自身承担巨大风险，因而，对风险保持理性的敏感度会导向一种对风险予以界分的政策，在此意义上，合规对于公司而言有其意义，也是必须的。{4}KPMG公司的调查结果也表明：84%的公司致力于合规管理[2]。经过对我国企业犯罪治理政策及其效果的反思，笔者也曾建议借鉴刑事合规理念，重构企业犯罪治理的刑事政策。{5}实现企业犯罪治理模式由单一模式向合作治理模式的转型。{6}值得欣喜的是，《刑法修正案(九)》第28条新增了“拒不履行信息网络安全管理义务罪”。该条的设立将会“倒逼”企业积极履行安全管理义务，亦即，通过刑法手段推动企业内控的实践已经在我国相关立法中得到体现。尽管如此，这只是个别立法现象，其适用范围具有很大的局限性。因而，未来的刑事立法如何全面贯彻刑事合规理念，亦即，刑事合规理念的未来愿景如何，值得借助中兴通讯事件，展开深入讨论。

二、刑事合规的实质解读

(一)合规的“英国模式”

1.英国的合规立法

传统上，英国对企业犯罪的处罚采取的是等同责任原则，亦即，将企业高层的行为等同于企业的行为进行刑事苛责，但是这样的责任形式本身比较狭窄。于是，2007年的《企业过失杀人与企业杀人法》规定了新的责任形式，对于企业提出了管理体制上的要求。该法规定：如果因其组织和管理活动严重背离其应当承担的义务而导致人员死亡，那么该部分所规定的组织应当承担刑事责任；在判断是否存在重大义务违反时，应考虑组织是否遵守相关健康和安全法规，同时应当考虑是否存在容易导致犯罪行为的态度、政策以及惯例[3]。这种组织责任形式被广泛认为极大地促进了企业自我管理的提升，其实这也就是实质意义上的企业合规计划。这种情况同样出现在2010年的《反贿赂法案》。该法第7条“商业组织预防腐败失败的法律效果”部分第(2)部分规定，如果该商业组织拥有旨在预防组织成员实施犯罪行为的足够的措施，则构成合法辩护；第9条规定，国务大臣应当制定关于预防组织成员犯罪的适当程序和措施的指南并进行适时修订[4]。2011年英国司法部发布了细化第9条的具体指导意见，设定了组织建立合规计划的6条原则，亦即，适当程序；高层践行；风险评估；尽职审查；沟通；监控和检查[5]。

2.意大利的合规立法

传统意大利法不承认企业犯罪，犯罪是个人行为，刑罚的目的在于改造个体，这一点在意大利宪法中有明确说明[6]。然而，企业犯罪愈发严重的社会现实同样发生在意大利，2003年乳制品巨头“帕玛拉特”因长期的财务欺诈等原因而申请破产的事实就说明了这一点。而且，意大利还承担着国际公约中要求惩治法人商业贿赂等行为的国际义务，这一点在OECD通过的《禁止在国际商业交易活动中贿赂外国公职人员的公约》中就有要求。此外还有《保护欧洲共同体金融利益公约》《反贿赂欧洲共同体官员或欧盟成员国官员公约》中规定的相关义务。为此，意大利立法机关于2001年6月8日颁行了第231号法令，该法令的颁布解决了上述问题，但同时要避免与宪法的冲突。法令本身强调了组织体本身的罪责，即企业组织责任。如果组织的高级职员或者其下属职员从事犯罪活动，则企业要为此负责，但是企业可以通过证明其已经采取了适当的措施去预防和监督犯罪而免除责任。{7}这就是范红旗教授笔下的“结构性疏忽”。为了避免这种结构疏忽责任，“公司应当建立关系到犯罪行为实施风险的指导方针和管理体制，并且管理体制还应当具体并且适应具体的风险，公司仅仅建立起笼统的管理体制是远远不够的。首先公司应当识别有发生犯罪行为风险的活动领域，风险的性质在公司不同的经营领域可能也会不同，对此公司应当指明；其次公司应当制定指导原则，以便管理人员作出公司决策时可以遵守，包括旨在降低刑事犯罪活动风险的对于财务支出的指导原则；最后公司有责任保证管理机构全面了解公司的活动和管理。”{8}298

第231号法令也具体规定了一个合格的内部管理体制所应具备的五个要素[7]。需要指出的是，在该法令刚刚颁行之时，法人犯罪的范围仅仅限定在诸如腐败、诈骗以及诈骗国家财产等犯罪，以使该法令与传统法不至于过分偏离，但是这种情况自2002年3月有所改变，法人犯罪范围有所扩张，从针对国家财产的犯罪扩大到了类似的针对私人的犯罪。{9}110

3.日本的合规立法

周振杰指出，“在美国的影响下，日本政府早在20世纪80年代就开始推动企业制定、实施适法计划[8]。1987年，日本的旧通商产业省对出口关联企业提出了实施适法计划的要求，为进一步推动企业适法计划的应用，1987年11月，通商产业省在《出口贸易管理令实施规则》中要求，在申请出口许可之际必需附适法计划。1988年2月，为提高出口申请审查手续的效率，出台了事前提出适法计划，接受审查，之后再进行出口许可申请的制度，也即，企业的适法计划实质上成为了获得出口许可的必要条件。20世纪90年代，随着《反垄断法》执行的加强，反垄断领域企业适法计划的重要性显著提高。为此，日本于1991年先后颁布了《反垄断法适法计划辅导》与《反垄断法适法计划手册》，对必要的基本事项作了简洁的规定。以上述两项文件以及其后颁布的立法为基础，日本经济的各界逐渐制定了统一的指导守则，要求企业制定、实施适法计划。”{10}由此可推知，此处的合规主要是对于企业建立内控措施的一种法律指导意见，即通过法律的形式督促企业建立合规制度，但是究竟是否是本文理解的刑事合规，还值得讨论。刑事合规的内涵可以从不同的角度理解：从企业视角看，其目标不仅在于预防犯罪，而且意在发挥刑罚的抑制作用；从国家视角看，合规意味着司法效率的提高。{2}亦即，刑事合规不同于合规管理，从渊源看，合规管理要远早于刑事合规，两者的重要区别之一就是，是否蕴含刑事政策意义。{6}尽管如此，本文仍然认为日本存在刑事合规的实践。具体来说，主要是通过管理监督过失理论的引入而完成的。经过对系列火灾事故判例的总结之后，我国学者指出：“不问起火的原因为何，追究防火管理责任主体独立的管理监督过失责任，以事前的安全体制确立义务违反为过失实行行为的内容；火灾事故案存在起火原因的不可预测这一特殊因素，宾馆、商场的经营者即使再集中精神也不可能对他人自我答责的放火、失火行为存在具体的预见。而如果采取不作为犯构造，以安全体制确立义务违反作为过失的实行行为，就可以不必再执着于‘起火’这一恼人的中间因素。只要存在怠于确立安全体制的不作为，因此导致了结果发生，行为人对安全体制不完备的情况下如果发生火灾就会致人死伤存在认识，就可以实现处罚。”{11}121、142甲斐克则教授也认为：守法计划的真正落实一定会影响到法人刑事责任的议论，尤其是在过失犯罪的注意义务标准及两罚规定中的选任、监督义务的讨论。{12}355-357这也就意味着，监督管理过失理论的普遍适用，客观上倒逼企业积极履行监督管理义务，确立安全管理体制，否则就该当了过失犯罪的实行行为。这就是具有日本特色的刑事合规。

(二)合规的“美国模式”

1.美国的合规立法

现代意义上的企业合规可以追溯到20世纪初公共安全机构出现之时，但是，制度化的刑事合规制度却被认为首次出现在《美国联邦量刑指南》第八章中的“组织量刑规则”。该章导言部分开篇就指出：“本章旨在维持预防、发现和举报犯罪的内在机制，使对组织及其代理人的制裁总体上能够提供公正的惩罚、足够的威慑和对组织的激励。”[9]至于如何激励企业维持内部控制系统，该章进一步指出：如果企业建立了有效的合规系统，那么，可以减轻其刑罚。依照规定的量刑标准，该减轻幅度最高可达95%；如果企业怠于合规，最高可处4倍罚金[10]。《指南》中的合规计划制度，在《萨班斯法案》中得到进一步加强。具体来说，主要是被称为“最昂贵条款”的404条款：“为了达到404条款的要求，上市公司要保证对交易进行财务记录的每一个环节都有相应的内部控制制度，例如对交易的条件、合同成交的记录、付款和交货的时间、业务的具体负责人员等作出详细的记录和制定相应的控制措施，此外，还需要及时总结出内部控制中存在的缺陷并提出具体的补救措施。”{13}为了有效推动内控，该法案不惜显著提高相关领导人员的刑事责任以及企业的罚金。值得注意的是，通过强化个人责任，推动内部控制的方式，在2015年经耶茨签署的《公司违法行为个人责任指令》(又称“耶茨备忘录”)中得到进一步加强。“耶茨备忘录强调执法过程中个人配合，也要求涉案个人承担相应责任，这一指令表现出美国司法部欲将企业高层绳之以法的倾向；如果企业内部人员实施了违法行为，法律顾问首先要迅速采取调查措施并予以制裁，再根据不同国家的法律规定，将调查信息披露给相应的执法部门，为企业争取获得宽大处理的可能性。”{14}由以上论述可见，美国主要依靠刑罚激励推动企业内部控制，而且，这种激励机制得到了不断强化。

2.德国的合规立法

受传统罗马法的影响，德国传统刑法并不承认法人责任，刑法是以具有道德可谴责性的个体为制裁对象的实体法。虽然在特定的历史阶段德国曾经承认对于组织可以施加刑事惩罚，例如对于税务犯罪，但是第二次世界大战之后德国刑法取消了这样的条款。{15}175虽然如此，这并不意味着企业不能成为处罚对象。具体来说，主要是通过行政罚款的方式进行的。起初，只有部分条款零星规定了企业责任，但是，1968年的《秩序违反法》第30条被引入了。该条是企业责任的一般条款，根据其规定，只要高层管理人员实施了刑事犯罪或者行政犯罪，就可以对企业施加罚款。{15}176尽管在法律性质上存在罚金和行政罚款的区分，但是，罚款与罚金刑一样，可以对公司产生效果，即受罚的“痛苦”感受。因此，作为量刑政策[11]的合规计划在德国也具有了存在的基础，实际上合规计划在德国也具有了巨大的市场。对于德国的相关立法，Sieber教授进行了系统的梳理，他指出：“在德国，旨在预防犯罪的合规计划主要是设立在金融机构里，《反洗钱法》第14条第2款第2项要求金融机构建立旨在防止洗钱行为的‘适当的保护和控制机制’。这种机制提出的要求包括：员工要可靠(第14条第2款第3项)；他们要定期接受关于洗钱方法的培训(第14条第2款第4项)；确立一个与刑事追诉机关进行联络的主管人员(第14条第2款第1项)。《银行法》第25a条也规定了全面的组织义务，据此金融机构应当指定一个‘适当的专门机构’，由其负责法律制定的执行。比如，这样的专门机构可以是‘负责反洗钱与反欺诈行为的适当的业务与客户安全机构’(第25a条第1款第3项)，也可以是‘对业务活动进行全面记录的机构’(第25a条第1款第2项)，以及是设立了‘内部控制程序’的‘适当而有效的风险管理机构’(第25a条第1款第3句)。《证券交易法》第33条还规定了广泛的组织义务，该法的规定在过去几年中变得越来越细，越来越全面，而且被联邦财政部的一个规章予以细化。根据第33条第1款第1项，证券服务公司为了履行法定义务，还应‘制定适当的原则，预留资金，设立程序’，特别是要设立一个长期性与有效性的合规职能，从而能够独立地履行职责。”{3}244-245不同于美国的是，德国刑事实体法对于合规计划的刑罚激励效果并未明确规定，或者难以立即予以明确。尽管如此，如果员工已经采取了合规措施，还仍然犯罪或者违反秩序行为，那么根据《刑事诉讼法典》第153条之思想，从正当化、不法、非难可能性以及进行追究的公共利益的角度，公司制裁就可以被免除了。从实践看，合规计划在制裁裁量中发挥了重要的作用，亦即，任何有效的合规计划将被作为一个减轻情节在制裁裁量中进行考虑，而合规不仅仅是事前的，事后针对相关犯罪建立合规计划，预防类似犯罪行为的再次发生也会导致制裁量的减轻，西门子公司事后的合规措施就被积极地考虑进罚款的裁量上了。{15}193-194在Ferrostaal案的审理中，位于慕尼黑的拜仁第一州法院对企业处罚的罚款金额为公司对内容管理系统(CMS, Content Management System)投入金额的一半(即：3000万欧元)，亦即，因为企业合规管理系统的存在，其罚款金额被显著减轻了。{16}9由此可见，德国的刑事合规与美国的合规立法在精神上具有融通之处。

(三)两种模式的内在同一性

从立法表象上看，合规的“英国模式”和“美国模式”有所不同。前者以英国立法最为典型：通过独立构罪的方式，亦即，通过独立罪名“商业组织预防贿赂失职罪”的设立，推动组织体进行腐败犯罪的自我管理；后者以美国最为典型：通过量刑的激励，推动企业内控。然而，两者具有内在的一致性，亦即，都是以刑法手段为媒介，促进组织体自觉进行合规管理。尽管出于类型化、明晰化的需要，文章对于合规类型进行了区分，但是，两者并无不可逾越的界限。例如，《美国联邦量刑指南》最初的旨意是，通过量刑的激励推动企业内控，但是随着《联邦检察官规则》的出台，合规越来越多的成为罪与非罪的判断依据。上文提到的德国案例中，主要是通过制裁激励促进企业内控的，但是，独立构罪或者通过入罪的方式促进相关责任人员进行自我管理的方式，在德国法中也有迹可循，例如，德国《刑法》第357条规定了“引诱下属犯罪”，该条就通过独立构罪的方式，督促对于公务员具有监督、控制关系的人员进行自我管理。“企业领导层应为危险保证人，这一点并不会被通过特定法律规定所形成的观念，如《德国违反秩序法》第130条中损害监督义务行为的构成要件或者职务犯罪(《德国刑法典》第357条中容忍行为的构成要件)所否定，而是会被证实。”{17}德国联邦最高法院也认可了该院第五刑事审判庭的一份判决意见，并且从被告人“作为法律部和内部审计领导”的地位中推导出了该合规官的保证人义务[12]。所有这些均表明，通过独立构罪的模式推动组织体合规在德国法中已经存在。从这个意义上说，Sieber教授所坚持的观点“从德国现行法来看，这样的激励效果目前还几乎没有发生，因为这里的合规计划对于量刑或免于起诉产生的相应效果尚未明确规定，或者难以立即予以明确，这也是德国法不同于美国法和意大利法的地方”{3}261是值得进一步讨论的。

归结上文所述，一个简短的观点是：刑事合规的两个核心要素是内部控制机制和刑事法手段；其目的是a)降低组织风险，或者是b)对刑事处罚产生积极影响，并最终借此以提高企业的价值。{2}如果站在这个角度理解刑事合规，那么就可以对其范畴加以拓展，亦即，只要涉及到上述两个核心要素，借助刑事法手段，构罪或者是量刑，以推动组织体自我管理的相关立法和实践，都属于刑事合规范畴。无论是日本以“业务过失致人死亡罪”推动内部管理机制建立的实践，还是我国刚刚增加的“拒不履行信息网络安全管理义务罪”都具备了刑事合规理念的影子。

三、刑事合规理念的国内法表达

(一)《刑法修正案(九)》第28条的解读

1.前置性法规的内控要求

某种意义上说，计算机网络改变了人类的生活方式，网络信息安全已经成为必须要关注的国家问题。然而，网络信息的碎片化、媒介分散化决定着，政府层面的监管难以有效实现，而服务商本身已然成为网络空间的重要治理力量。{18}事实上，鉴于网络服务商在网络犯罪控制上的独特优势，诸多法律、行政法规等已经确立了其安全保障义务，也就是说，网络安全领域的合规管理在诸多前置性法规之中已经得到确认，例如：

《全国人民代表大会常务委员会关于加强网络信息保护的决定》第4条规定：“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时，应当立即采取补救措施。”

《即时通信工具公众信息服务发展管理暂行规定》第5条规定：“即时通信工具服务提供者应当落实安全管理责任，建立健全各项制度，配备与服务规模相适应的专业人员，保护用户信息及公民个人隐私，自觉接受社会监督，及时处理公众举报的违法和不良信息。”

《计算机信息网络国际联网安全保护管理办法》第10条规定：“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当负责本网络的安全保护管理工作，建立健全安全保护管理制度，落实安全保护技术措施，保障本网络的运行安全和信息安全，负责对本网络用户的安全教育和培训。”

尤其值得注意的是，最新实施的《网络安全法》第21条也明确规定了服务商的合规管理义务：网络运营者应当按照网络安全等级保护制度的要求，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

2.《刑法修正案(九)》第28条对网络服务商内控义务的进一步确认

在Thomas Rotsch、Ulrich Sieber教授关于刑事合规的权威著述中，多处提及刑事合规是风险社会以及风险刑法产物的观点。尽管在学理上存在对于风险社会概念的质疑，但是，风险的增多以及不确定性的增强是不争的事实；在风险社会的背景下，为了实现风险的控制，刑法自身也在发生着体系性改变。具体来说，刑法体系从惩罚倾向的体系向预防导向的体系发生转变。通过对国内外最新的立法进行总结，不难发现，预防导向的刑法体系主要通过如下两种方式控制风险：第一，控制基点的前置化。例如，对于预备犯的正犯化、持有型犯罪的增设等。第二，控制基点的多元化。传统上认为，犯罪控制是国家的任务；犯罪控制主要依赖于国家刑事手段，亦即，单一的大棒政策。然而，单一控制手段具有难以克服的缺点，例如，国家距离犯罪较远，难以贴身盯防，及时控制犯罪；犯罪的专业化需要专业化的手段，这一点在企业犯罪中尤其明显，这是有限的国家司法资源难以完全实现的。基于此，风险控制基点逐步呈现多元化的趋势。具体来说，国家通过“义务下沉”的方式，分派责任于“组织体”，例如对于企业犯罪控制义务的强调；对于党政机构犯罪控制义务的施加等。

对于党政机构犯罪控制义务的施加，主要表现在主体责任制的践行：主体责任人不仅仅被赋予了腐败犯罪控制的纪律性义务，刑事法义务也逐步得到认可，例如，***玩忽职守案等典型案例均表明，“一把手”负有腐败犯罪的监督管理义务，而这一点完全可以通过对第397条玩忽职守、滥用职权罪的教义解释得到确证。当然，通过对主体责任人施加刑事法义务仅仅是手段，目的在于推动党政机构的内控。关于党政机构的内控义务，中央纪委2011年发布的《关于加强廉政风险防控的指导意见》已经有所体现，亦即，要求各级党政机构借鉴公司治理经验，将风险管理理论与现代质量管理方法引入反腐倡廉机制建设。这一点也逐渐得到刑事法的认可，即通过刑事责任的方式敦促党政机构内部管理机制的建立。与党政机构类似，企业的犯罪控制义务也逐步得到确认，旨在通过义务的施加，促进内部合规管理系统的建立和完善。不同之处在于，组织体的刑事义务还不具有普遍意义，更多的是，国家在价值判断的基础上，赋予不同的组织不同的刑事法义务。具体来说，国家应当在充分的形势评估的基础上，有选择性地赋予部分企业某种特定的义务，甚至，在条件成熟时，可以通过量刑激励的方式，赋予企业普遍的内控义务。

具体到网络服务商，基于以下原因，应当赋予其网络犯罪控制的刑事法义务：首先，网络的发展“成就”了网络犯罪，传统犯罪网络化态势明显；其次，网络服务商具有网络犯罪控制的技术能力和优势；最后，刑事法手段能更好推动企业内控。前文已经提及，前置性的行政法规，尤其是《网络安全法》中已经全面规定了网络服务商的义务，因而，此处有必要回答如下问题：在行政法规已经规定了网络服务商的义务的情况下，为什么还要动用刑事法手段推动网络服务商的合规管理？答案蕴含于刑事法手段与行政法手段的功能性差异，亦即，立法者认为，刑事法手段能更好地促使网络服务商履行内控义务，因而，公司法中董事的勤勉义务以及由此展开而产生的内控义务不能成为否定刑事合规制度的事由；前置性行政法规定的网络违规行为治理义务也不能成为否定刑事合规制度的根据。在本文看来，这种认识是成立的：义务意味着责任，不同的义务意味着不同的责任。相比于行政责任而言，刑事责任显然具有更大的威慑力，尤其是对于善于计算的企业而言。这一点在合规计划广为推行的美国司法实践中可以明显看出[13]。此外，刑事合规制度的意义在于，其契合了法人责任的本质，构建了法人责任的出罪路径：传统上，无论是美国的“替代责任”，还是英国的“等同责任”，都是建立在个人责任基础之上，以个人责任作为连接点的责任形式，然而，这种责任形式存在处罚范围过于宽泛和处罚条件过于严苛的缺陷。{19}更重要的是，这种责任形式并未反映法人责任的本质，亦即，作为与自然人并列的适格法律主体，其责任为什么依赖于对自然人责任的认定，而不是从组织体自身寻找责任根据。事实上，无论是美国此后的“集合责任”，还是意大利的“结构性疏忽”以及德国学者结合卢曼的系统论展开的法人责任理论，都是在解决这个问题，即从组织体自身寻找责任根据。刑事合规制度正是这种科学认知的产物，也因此为企业提供了出罪路径，使得责任追究更加符合法治精神。

对于网络服务商的刑事责任，《刑法修正案(九)》之前已经确立，即主要是通过司法解释的形式完成。其中，对于“管理责任”的规定主要是两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》第3条。该条被认为是“共犯正犯化”的正式运用。经过对“共犯正犯化”思路的反思，有学者认为，应当直接通过立法的形式确立网络服务商的管理责任，明确服务商的行为规范。{18}实际上，《修正案(九)》第28条正是这种思路的体现，亦即，该条通过立法的形式确立了网络服务商的内控义务。

(二)《刑法修正案(九)》第8条第2款的解读

1.前置性法规的内控要求

近年来，道路交通安全事故以及危险品运输过程中事故频发，尤其是系列校车安全事故的发生，造成了严重后果及社会影响。为此，国家制定了相应的法规规章，对于相关行为进行规范。其规范内容明显受到了管理学中内部控制的影响，明确规定了相关单位的合规管理义务，例如：

《中华人民共和国道路运输条例》第8条规定：“申请从事客运经营者应当具备健全的安全生产管理制度及适格的车辆、驾驶人员。”《校车安全管理条例》第10条规定：“配备校车的学校和校车服务提供者应当建立健全校车安全管理制度，配备安全管理人员，加强校车的安全维护，定期对校车驾驶人进行安全教育，组织校车驾驶人学习道路交通安全法律法规以及安全防范、应急处置和应急救援知识，保障学生乘坐校车安全；第39条规定：随车照管人员在发现驾驶人无校车驾驶资格，饮酒、醉酒后驾驶，或者身体严重不适以及校车超员等明显妨碍行车安全情形时，应制止校车开行。”《道路危险货物运输管理规定》第二章明确规定：“从事道路危险货物运输经营者应具备健全的安全生产管理制度；第三章对于专用车辆及设备管理进行了详细的规定。”

2.《刑法修正案(九)》第8条第2款对相关责任人内控义务的进一步确认

鉴于校车业务、旅客运输及危险品运输的法益关联重大，在系列突发事故的直接刺激下，交通领域的刑事法规范得以扩张。这种扩张主要表现为危险驾驶罪的设立及规制范围的拓展。对于前述前置法规、规章确立的安全管理义务，《刑法修正案(九)》第8条第2款进行了进一步强化，亦即，通过刑事责任的方式，促进机动车所有人、管理人对于校车业务、旅客运输以及危险品运输进行严格的合规管理。尽管对于危险驾驶罪的设立及其规制扩张存在诸多理论争议，但是，从刑事合规理念在交通刑法领域的引入这个角度讲，这也是合理的。对于上述特定业务过程中引入刑事合规制度，也恰恰印证了笔者曾经的建言，即刑事合规理念首先应当在关涉民众生命、健康安全的关键领域展开。{20}

(三)进一步地延伸解读

1.对法释〔2000〕33号的解读

2000年11月10日最高法发布了《关于审理交通肇事刑事案件具体应用法律若干问题的解释》，该《解释》第7条规定：单位主管人员、机动车辆所有人或者机动车辆承包人指使、强令他人违章驾驶造成重大交通事故，具有本解释第二条规定情形之一的，以交通肇事罪定罪处罚。尽管有学者认为，该条款的设立等于在我国刑法中确立了过失犯罪的共同犯罪理论，{21}但是，本文认为，这里的“以交通肇事罪定罪处罚”，区别于《解释》第5条第2款中的“以交通肇事罪的共犯论处”，其并非对共同过失犯罪理论的确立，而是管理监督过失在我国刑法中的体现[14]。也就是说，《解释》第7条意在通过刑事责任的施加，促使相关责任人员认真履行安全行车的管理义务。结合前述前置法规、规章的内控规定，以及《中华人民共和国道路交通安全法》总则第6条“机关、部队、企业事业单位、社会团体以及其他组织，应当对本单位的人员进行道路安全教育”的规定，可以说，刑事合规的理念在交通刑法中也有所体现。在此理论确证的基础之上，需要特别注意的是，《解释》第7条中的责任主体以及行为方式只能理解为提示性规定，责任的认定不应当拘泥于此。例如，当对于驾驶人员具有管理监督义务的其他人员未能履行义务，造成重大交通事故的，也应当以交通肇事罪认定。从这个意义上说，江桂柱、甘健奇等交通肇事、重大责任事故案的定性就值得商榷[15]。因为被告人江桂柱、甘健奇作为具有资质的汽车驾驶人员，应当履行管理义务，及时制止不具有驾驶资格的其他人驾驶客车，否则，可能因管理监督过失而构成交通肇事罪。尽管重大责任事故罪也可以对其行为进行评价，但是，在公共交通管理范围内，因违反交通运输管理法规造成重大事故的，定交通肇事罪显然比重大责任事故罪要合适。{11}199同样的道理，当监督管理人员并未采取强令、指使行为，而只是采取劝说、鼓动、建议等方法，也同样意味着对管理监督义务的懈怠，可能构成交通肇事罪。

2.其他相关条款

除上述条款之外，刑法典中多处体现出刑事合规的理念，主要包括：重大责任事故罪、强令违章冒险作业罪、重大劳动安全事故罪、大型群众性活动重大安全事故罪、危险物品肇事罪、工程重大安全事故罪、教育设施重大安全事故罪、消防责任事故罪等。一方面，相关前置性法规均规定了相关单位的内控义务；另一方面，刑法确立了相关责任人员的内控义务，对该义务的违反，将导致刑事责任的承担。而且，2007年两高联合发布的《关于办理危害矿山生产安全刑事案件具体应用法律若干问题的解释》对于刑法条文中的“直接负责的主管人员和其他直接责任人员”进行了范围拓展，此举必将进一步促进工程合规的开展[16]。

四、刑事合规未来愿景的展望

(一)立法的进一步回应

现代社会之下，政府规制难以应对各种复杂的经济社会问题。强化个人、企业、市场的自我意识极为重要；然而，在引进构建于自愿基础上的社会自我规制时，需要更多的社会自我规制诱因，设计更为精巧的框架立法。{22}从刑事法的角度讲，因为合规管理与责任、注意义务违反等问题的内在关联，以刑罚激励推动企业自我规制是一个合理的选择。一个可行的方向是：通过管理过失以及刑罚激励，赋予特定人员保证人义务等方式，对合规管理进行“多面夹击”。

对于管理监督过失，有学者提出在职务关系领域增设“监督过失罪”，{23}有学者提出不必专门设立“监督过失罪”，而应当增设“业务过失致人死伤罪”。{11}345-349后一种观点，作者对于管理监督过失的论述主要是以日本的系列失火案为线索展开的，因而，出于组织体内的过失与组织体外的过失均等处罚的考虑，宜统一在“业务过失致人死伤罪”之下。然而，管理监督过失的适用不能仅仅限于可能致人死伤的生产经营领域，金融等领域内的合规管理同样可以通过管理过失理论来推动，在这方面，“业务过失致人死伤罪”就没有评价空间。而且，尽管组织体内的管理人员与组织体外的公务人员同样对于法益保护处于支配状态，但是，这并不等于要使其承担同样的责任，因为身份的不同决定了责任的差异。组织体内的相关责任人员处于法益保护的第一位，而组织体外的监督者则处于补充性地位，前者承担业务过失致人死伤的相关犯罪，后者承担玩忽职守类相关犯罪，完全可以做到罚当其罪。因而，这种观点为本文所不取。至于前一种观点，亦即，有必要专门在职务关系领域内增设“监督过失罪”，这种观点有悖于本文“通过管理过失理论推动企业自我管理”的初衷，而且将会导致新增罪名与现有玩忽职守罪功能的重合。具体来说，本文意义上的管理过失的规制对象主要是企业相关责任人员，意在通过刑事责任，倒逼其自觉进行内部控制，因而与公务人员的渎职并无关联；因为玩忽职守罪具有责任主体的限制，通常表现为管理监督过失，因而，在职务关系领域新增“监督过失罪”显得立法过剩。总之，在玩忽职守之外新增公务领域内的“监督过失罪”的观点亦为本文所不取。一个可行的思路是，增设“业务监督过失罪”，以此推动业务领域内管理机制的建立和执行。与此相似的方式是，赋予特定人员以保证人义务，例如企业的合规官。对此，上文已经提到，2009年的德国判例已经确立了合规官的保证人义务，从刑事政策上讲，这种做法是可取的，因为这样可以最大限度保证合规部门的独立性，使其真正履行安全保障义务。

需要注意的是，上述两种方式主要是通过对特定人员施加责任，以敦促其自觉组织内部管理。可以说，这是一种“间接模式”。与此相对，将合规计划的推行直接与企业责任挂钩也是一种可行的方式。具体来说，将合规计划的推行作为企业违规行为出罪或者减轻处罚的事由。例如，企业可以举证，其已经建立并执行了有效的合规计划，尽到了合理的注意和结果回避义务，因而不应承担监督不力的责任。这一点得到了德国学者Frisch的支持，其认为：适当的合规计划可以作为排除法人刑事可罚性的事由，因为法人已经通过特定组织在活动范围内以适当的方式采取了所要求的避免犯罪行为发生的措施，因而就不存在法人自身的不法了。{24}但是，从拟制化的“人”的角度讲，法人的合规管理仅仅是其“良善”的内在品质的证明，很多情况下并不当然阻却在个别化的行为中的不法，而仅仅是对其进行“道德考量”的因素之一，亦即合规并不当然阻却不法，可能仅仅影响刑罚裁量。这一点在United States v. Hilton Hotels Corp.案之中得到确定，即合规计划的存在并不必然免除公司因其职员的犯罪行为而应承担的责任[17]。因此，合规的刑罚意义也应当在未来的立法中加以体现。

刑事合规这样一个陌生概念与传统大陆法系刑法的过失犯理论相比，到底有什么不同？这个概念是否具有本质上的新颖之处？对该疑问，文章做两点回应：首先，两者存在理论旨意上的根本不同。合规计划制度的本质是，如何运用刑事手段推动组织体进行合规管理，而传统的过失犯罪理论更多地关注过失的认定标准问题，即什么是过失。对于如何推动组织体的合规管理，传统的过失犯罪理论是一个有效的理论工具。例如，日本通过管理监督责任的引入推动组织体建立、健全防火管理机制的实践。但是，合规计划的推动并不是仅仅依赖于管理过失理论的引入，通过赋予特定人保证人义务的方式也可以促进其自觉组织内部管理。例如，通过危险驾驶罪的适用范围拓展，当然可以促进单位的机动车管理人员认真执行内部管理机制；其次，依照合规理念，对于组织体自身责任的认定，已经摆脱了传统法人责任中通过个人的故意或过失来认定法人的罪责的方式。换言之，“行为人的犯罪故意或过失等主观因素也不再对企业刑事责任产生影响，企业的守法状况以及内部管理活动等客观要素成为了判断刑事责任的主要依据”。{10}

(二)自由保障视角下合规管理刑罚意义的限缩

合规管理的推行需要巨大的资源投入，尤其是对于小型企业，合规可能成为巨大的负担，因此，所有旨在推动企业合规普遍展开的制度设计必须对此予以合理考虑，否则可能构成对企业自由的不当干涉。就刑事合规的美国经验而言，因其制度设计及合规实践偏离了自由价值而受到普遍质疑。这种偏离主要表现在两个方面：一则，合规的缺失成为是否对公司进行刑事指控的重要考量因素；二则，因不合规，公司遭受加重的刑罚。对于前者，美国量刑委员会的资料显示，超过90%遭到联邦法院定罪的均为员工人数在50人以下的小公司。{25}对于大型公司而言，因其具有内部控制机制，因而多以缓起诉协议、民事或者行政处罚或者公司内部员工个人受到追诉的方式避免了刑事责任。{26}也就是说，在可诉可不诉的情况下，企业是否实施内部控制机制成为检察官考虑的关键因素，不具备内部控制机制无疑成为对于小型企业从重处理的因素。对于后者，可结合组织量刑的相关规则加以解答。

《组织量刑》第八章2.5(f)部分规定了“防止和发现违法行为的有效措施”的法律效果，即：如已有防止和发现违法行为的有效措施，但仍然发生某犯罪行为，则减少3点(责任点数，据此决定罚金倍比关系)。在对于实施了合规计划的企业予以量刑奖励的同时，该条还规定，本款不适用于某些人员参与、放任或者放纵犯罪行为的情形，这些人员即组织的高层人员，组织内雇员人数在200以上的、实施犯罪行为的下属单位的高层人员，或对防止和发现违法行为的措施负有管理或执行责任的人。如果组织的直接管理人员参与犯罪，则可以反推出，该组织没有防止和发现违法行为的有效措施[18]。而在该条2.5(b)项中，规定了不同规模企业的高层人员参与、放任或放纵犯罪或者直接主管人员放任犯罪的加重处罚原则，例如，2.5(b)(2)中规定，有下列情形之一者，加4点：组织的雇员人数在1000以上，并且(i)该组织高层人员参与、放任或放纵犯罪，或者(ii)直接主管人员放任犯罪，并影响到整个组织[19]。结合这两条可以看出，在企业不存在有效的合规计划时，法律将加重企业的刑事责任。对此，国外学者也表达了相同观点：“合规计划不仅可以减轻处罚，亦可以成为加重处罚的事由。如果企业仅仅采取了没有效果的控制措施来装潢门面，那么，这些因素可能成为加重事由予以考虑。”{15}193

对于美国的经验，我们应当批判性地借鉴。基于以下四个原因，本文认为，我们应当将刑事合规暂且定位为“激励机制”，而非“惩罚机制”：一则，我国的公司治理水平相对较低，对于相当数量的小型企业来说，合规理念尚未完全形成，其发展需要一个过程，因而暂时不宜通过加重刑罚的方式推行，只能予以诱导；二则，合规管理需要巨大的资源投入，大型企业相对更容易进行合规管理，如果允许以合规缺失为由加重刑罚，则会造成显著的不公；三则，从自然人犯罪的法理讲，道德上的良善可以成为从轻的理由，但不宜以非善为由加重刑罚。同样，作为拟制的“人”，企业自觉合规是良好企业公民的表征；企业自觉合规表明其努力履行注意和结果回避义务，进而免除或者降低了其可责性，但不合规并没有升高可责性程度；四则，从我国的相关规章看，合规亦没有被定位为一项普遍的公司义务：尽管财政部等五部委颁布了《企业内部控制配套指引》及其《配套措施》，此外还包括《证券公司内部控制指引》等规章、规定，但内部控制的普遍义务是否确立还存在疑问：承担法定的内部控制义务的董事范围较窄(仅限于金融机构和上市公司)；相关立法的位阶较低；有关内部控制的规定实践中并未得到有效执行；关于董事内部控制义务的直接规定较为抽象，不具操作性(实践中也没有董事因违反内部控制义务而承担责任的事例)。{27}概而言之，我国企业内部控制的立法及实践尚处于起步阶段。这种情况下，作为保障法的刑法自然不能冒然确立一项具有普遍适用性的企业义务，更不能将不合规作为加重刑罚的情节予以考量。总之，作为一项政策工具，尽管不能否定这样的可能性，亦即，当公司治理水平总体较高的情况下，赋予公司普遍的合规义务，并在刑事政策上将不认真合规作为从重处罚情节，但是，结合上述分析，当下我们只宜将刑事合规视为一种激励机制，亦即，不合规不能成为加重刑罚的理由。

五、结语

中兴通讯事件已经尘埃落定，其促使我们反思，如何通过法律手段推动企业合规，避免经济全球化过程中的合规风险。对此，刑事法律应当有所作为。刑事合规的合理性根据在于，其与法人责任根据具有内在一致性，或者说，法人刑事责任制度决定了，我们需要用刑事法手段推动企业合规。从刑事手段和内部治理这两个关键词来理解，刑事合规理念在我国刑法之中亦可觅得印迹，拒不履行信息网络安全管理义务罪就是例证。尽管如此，立法如何进一步跟进，促进合规管理的普遍展开，值得进一步讨论。一个可行的思路是：设立“业务监督过失罪”，并赋予合规官等特定人员以保证人义务。如此，则可在安全生产领域、网络监管领域等之外，推动组织体合规。此外，责任不仅是一个有和无的问题，即使难以实现行为的正当化，合规亦可以成为刑罚量定的参考因素，因为合规的开展是良善企业公民的表征。因此，合规的刑罚意义也应当在未来的立法中加以体现。从自由保障、公正实现以及我国的立法实际等角度考虑，合规应当成为刑罚的减轻事由，而不是加重刑罚的根据。

来源：《法律科学》2018年第6期，注释略

【免责说明：本文仅代表作者个人观点，与本公众号无关。其原创性以及文中陈述文字和内容未经本公众号证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本公众号不作任何保证或承诺，请读者仅作参考。】