刑事合規的制度邊界

李本燦

(山東大學 法學院，山東青島 266237)

一、問題的提出

文獻中反復提及的是，合規是全球化、風險刑法的產物。(1)參見Thomas Rotsch, ZStW 2013, S.495, 497.經濟的全球化意味著企業所面臨的制裁風險的全球化。也就是說，企業不僅可能面臨國內法的制裁，其還可能受到其他國家或國際性組織的禁止或命令性規范的規制。公司犯罪制度的普遍引入，使得全球性風險呈現顯著的刑事化特征。風險加大客觀催生了規避風險的需求和欲望，為此，企業紛紛通過自我管理的方式控制風險。(2)參見高秦偉：《跨國私人規制與全球行政法的發展》，載《當代法學》2016年第5期。從國家的角度而言，其試圖從外部對企業施加影響，但作用甚微，甚至適得其反。(3)參見Prittwitz Cornelius,Risiko und Strafrecht, Vittorio Klostermann Verlag, 1993, S.138f.企業與國家的利益在大的方向上具有一致性，但在微觀層面，企業有自身利益，企業內部規范并非總是與國家規范保持價值和目標上的一致性，而企業內部規范作為次級規范，對員工的行為可能有更大的影響。例如，不合理的銷售目標設定對員工越軌行為具有刺激作用。(4)參見[美]莎莉·S·辛普森等：《關于企業環境犯罪控制策略的實證分析》，李本燦譯，載陳興良主編：《刑事法評論(第36卷)》，北京大學出版社2015年版，第171頁。因此，如何保證企業自身規范與國家的禁止性規范在價值和目標上的一致性，具有重要意義，這也是國家推動合規激勵制度的動因。合規激勵制度不僅保證國家規范得到良好貫徹，有效預防公司內部不法行為，其還可以為國家節約司法資源。另一個更為隱蔽的意義是，合規制度會對刑事管轄權和刑事司法協助產生深遠影響。(5)參見石磊：《刑事合規：最優企業犯罪預防方法》，載《檢察日報》2019年1月26日。詳言之，合規制度正在規避國家間的刑事司法協助以及國家司法管轄主權。(6)參見Ulrich Wastl, NStZ 2009, S.71ff.當然，也不排除其它不為人知的目的，例如通過合規規則將全球企業納入主權國的規制范圍，任意創設聯結點，以高額罰款/金處罰企業，將其當作“提款機”。

基于以上原因，刑事合規制度正在席卷全球：從美國的《聯邦量刑指南》《薩班斯法案》，到意大利的《231號法令》、英國的《賄賂罪法案》、法國的《薩賓II法案》，再到歐盟的《通用數據保護條例》。應當說，經濟的全球化需要經濟規則的全球化，從這個意義上講，合規制度的推行已成大勢所趨，不可違逆。為了應對我國企業“走出去”過程中的合規風險，國家發改委等六部委聯合出臺了《企業海外經營合規管理指引》；國務院國資委發布了《中央企業合規管理指引(試行)》；我國刑法中的單位犯罪制度也在推動特別領域的合規制度上起到了重要作用，例如，拒不履行信息網絡安全管理義務罪創設了網絡犯罪治理中的合規制度。(7)參見李本燦：《拒不履行信息網絡安全管理義務罪的兩面性解讀》，載《法學論壇》2017年第3期。然而，一般性的刑事合規制度尚未設立。中國刑法學界對于刑事合規制度已經展開了廣泛研究，對于未來的合規立法而言，現有成果都是有益的參考。然而，從域外經驗來看，刑事合規制度已經偏離了合理的價值預期，基于此，從另一個側面，從比較法的角度限定刑事合規的制度邊界，也是一項富有價值的研究工作。本文的問題意識以及學術價值也恰在于此。

二、預防性措施的制度邊界

(一)企業經營自由權與合規計劃的標準化

在企業合規管理問題上，不管是從世界范圍看，還是具體到中國，正在形成一種不好的現象，即試圖將合規管理標準化。例如，“反賄賂管理體系國際標準”中對于企業內部審核提出要求：“組織應按計劃的時間間隔開展內部審核，以證實反賄賂管理體系是否符合組織自身對反賄賂管理體系的要求；是否符合本國際標準的要求”。(8)《反賄賂管理體系：要求及使用指南國際標準》(文件號：ISO 37001: 2016〔E〕)。中國標準化研究院頒布的《合規管理體系指南》(9)文件號：GB/T 35770-2017/ISO19600:2014。已經于2018年7月1日開始實施；深圳市標準化指導性技術文件《反賄賂管理體系》(10)文件號：SZDB/Z 245-2017。也已經于2017年7月1日起實施。合規標準化對于合規制度的推行以及有效性評估固然有益，但也會產生與基本權的沖突問題：合規標準化是否可能與企業經營自由權相沖突？事實上，在很多國家，企業的經營自由受到憲法的嚴格保護，企業組織結構形式應以有效促進經濟活力為宗旨，不應當受制于嚴苛的官僚式的規則。(11)參見Günter Heine, New Developments in Corporate Criminal Liability in Europe: Can Europeans Learn from the American Experience or Vice Versa, Saint Louis-Warsaw Transatlantic Law Journal, 1998, p.178.例如，“從《德國基本法》第12條的職業自由可以推導出公民開業自由與工商活動自由；第2條1款所規定的一般行為自由是基本權利中的基本條款，具有補充性功能，此項基本權利包含著經濟方面的行動自由，保障企業自主決定其經濟行為、契約自由和消費自由。”(12)汪玉濤：《德國經濟憲法及其啟示》，載《中國行政管理》2012年第11期。盡管經濟自由受到一定程度的限制，即通過“社會國原則”加以平衡，但后者主要以消除市場經濟弊端、追求社會公平正義為宗旨；政府經濟權力同樣受到基本權利的束縛，以嚴格的依法行政和比例原則來保證政府經濟行為之合法性與合理性。(13)參見汪玉濤：《德國經濟憲法及其啟示》，載《中國行政管理》2012年第11期。在美國，盡管不存在諸如德國憲法中的“職業自由”“學術自由”等具體的權利條款，但從一般自由條款中間亦可推導出企業的經營自由。企業的經營自由被認為是理所當然的。與此相應，盡管美國被認為是刑事合規規則的最大輸出國，但“組織量刑規則”并未設定程式化的合規標準，其所提出的合規七要素也僅僅是原則性指導，“組織規模”“業務性質”“組織前科”這三個因素對于合規有效性的評估也有影響。(14)參見U.S.Sentencing Guideline Manual §8B 2.1(b)& Commentary(2018).也就是說，合規計劃的構建應當遵從個別化原則。回到我們國家，《憲法》第16條、17條明確了國有、集體企業的“自主經營權”；從第11條“國家保護個體經濟、私營經濟等非公有制經濟的合法權利和利益”出發，也可以推論出，私營企業在法律范圍內也具有自主經營的權利。

需要指出的是，企業經營自由并非毫無邊界，其必須在法律范圍內自由經營。然而，法律的限制也并非毫無邊界，其也必須受到比例原則的限制。公司經營本身不僅關涉公司自身的利益，也關涉公共利益，尤其是對于公眾公司而言。因此，公司經營自由必須受到公司法基本規則的限制，例如，公司法對于特定公司必須實繳資本的要求；公司法對于有限責任公司以及股份有限公司的組織機構的不同要求。這些基本要求客觀上保障了公司自身的平穩運行，也已經最低限度保障了公司不對外輸出人的或物的風險。從“合規管理本質上是自我管理”這一基本觀點出發，公司法的基本制度設計就是一種合規管理制度，其他規范性文件可以在此基礎上進行補充，例如，在現有公司治理框架內，明確董事會、監事會、經理層、法律事務機構以及其它業務部門的合規職責以及相互關系，并特別強調合規管理牽頭部門的獨立性。(15)國務院國資委：《中央企業合規管理指引(試行)》第4-11條。合規管理有效性的關鍵是建構一條自上而下的責任鏈條以及自下而上的信息流，以此保證合規部門的獨立性，除此之外，其它的要求都可能是多余的。

簡言之，合規計劃的設計應當堅持個別化原則，標準化嘗試難以保證制度有效性，也可能形成過度規制，侵害企業經營自由的憲法權利。

(二)比例原則與內部控制強度

作為行政法領域的基本原則，比例原則意指行政權配置應當兼顧行政目的與行政相對人權益，并在兩者之間保持某種平衡，使得行政權既為實現行政目的之絕對必要，又盡可能小地影響行政相對人權益。它包括適當性原則、必要性原則、相稱性原則(又稱狹義比例性原則)。(16)參見江國華：《中國行政法(總論)》(第二版)，武漢大學出版社2017年版，第52-53頁。“適當性原則處理的是手段與目的之間的關系，要求政府機關采取的手段必須能夠或有助于實現行政目的；必要性原則處理的是手段與手段之間的關系，要求政府機關在多種達到行政目的的手段中選擇侵害最小的手段；相稱性原則處理的是手段的結果與目的之間的關系，要求政府機關對希望保護的利益和所可能損害的利益進行衡量，如果一項行政措施所損害的利益大于其所保護的利益，就不得采用該行政措施。”(17)張明楷：《法益保護與比例原則》，載《中國社會科學》2017年第7期。現如今，很多國家已經將比例原則上升為憲法原則。在我國，憲法雖未明確規定比例原則，但有學者分別從《憲法》第51條(18)參見姜昕：《比例原則研究——一個憲政視角》，法律出版社2008年版，第174頁。、第5條(19)參見馬懷德主編：《行政法與行政訴訟法》，中國政法大學出版社1989年版，第53頁。以及《立法法》第6條(20)參見陳新民：《中國行政法學原理》，中國政法大學出版社2002年版，第42頁。推導出了比例原則。更可取的解釋路徑是：我國現行《憲法》第33條3款以及《立法法》第6條為比例原則提供了部分憲法規范根據；2004憲法修正案第10條3款、13條3款則表明，我國《憲法》已經確立了公私利益平衡的原則。(21)參見門中敬：《比例原則的憲法地位與規范依據——以憲法意義上的寬容理念為分析視角》，載《法學論壇》2014年第5期。

從憲法中的比例原則出發，國家對公司的控制應當符合比例性。盡管合規治理是一種自我管理，但因為外部激勵制度的存在，其也具有了“規制了的自治”的色彩，(22)參見[德]烏爾里希·齊白：《全球風險社會與信息社會中的刑法：二十一世紀刑法模式的轉換》，周遵友、江溯等譯，中國法制出版社2012年版，第247頁。比例原則理應被準用。也就是說，企業(主)應當采取的是所有可能的(對應適當性原則)、必要的(對應必要性原則)和可期待的(對應相稱性原則)措施。(23)參見BGH NStZ 1997, S.545f.可能性可以具體區分為事實上的可能性與法律上的可能性，事實和法律上不可能的措施不能被要求。(24)參見Rogall, in: Lothar Senge(Hrsg.), Karlsruher Kommentar zum Gesetz über Ordungswidrigkeiten, 3.Aufl.Verlag C.H.Beck, 2006,§130 Rn.38.事實上的可能性主要涉及企業的經濟能力，即監督措施應當與企業的經濟能力相適應，在缺乏經濟能力的情況下，只存在采取無需花費的措施這種可能性，特別是采取利用政府信息這種形式。(25)[德]丹尼斯·伯克：《論作為降低涉企犯罪損害預期值措施的刑法上要求的企業監督》，黃禮登譯，載李本燦等編譯：《合規與刑法：全球視野的考察》，中國政法大學出版社2018年版，第284-285頁。法律上的不可能涉及期待可能性問題。必要性即手段的適格性與最輕微手段性。適格性意味著監督措施具有影響行為的效果，可以有效降低企業關聯性的錯誤行為，使得與企業相關的義務得到遵守；最輕微手段性意味著選取對監督義務人影響最小的措施。(26)參見Dennis Bock, ZIS 2009, S.74.需要特別指出的是，那種近乎必然的蓋然性是不必要的，概率本身僅僅對結果歸因有意義，適格性僅僅要求行為人選取在當時的情況下能最確定防止后果發生的行為。(27)參見Weigend, in: Leipziger Kommentar-StGB, 12.Aufl., 2007,§13 Rn.63.也就是說，對適格性的評價應當采取事前視角，而非事后視角。

最后的也是最值得討論的是期待可能性的問題。從(法律上的)可能性與適格性中都可以推論出期待可能性問題。也就是說，對企業而言，經濟上過分顯著的投入不具有法律上的可能性與適格性，也可能影響行為可期待性的判斷。本文總的觀點是，借用針對自然人犯罪的期待可能性理論來評估監督強度；所放棄的利益與所保護的利益要總體上相對平衡，不能過分懸殊。因此，監督強度的評估問題也就轉化為，如何評估損害預期值？總得來說，損害預期值=預期損害發生概率×預期損害利益大小。(28)這個問題可以詳細參見[德]丹尼斯·伯克：《論作為降低涉企犯罪損害預期值措施的刑法上要求的企業監督》，黃禮登譯，載李本燦等編譯：《合規與刑法：全球視野的考察》中國政法大學出版社2018年版，第295-306頁。

1.預期損害發生概率。損害發生概率=具有刑法意義的員工行為的數量×每個具體的員工行為可罰性的蓋然性。這也就意味著，(1)員工行為數量越多，損害預期值越大，相應地，監督措施愈應當深入。在公司員工行為顯著稀少的情況下，公司領導自身即可以承擔監督職責；在員工行為眾多的情況下，監督鏈條就必須深入地分級，構建不發生斷裂的監督與責任鏈條。(2)單個員工行為可罰性的概率越大，損害預期值越大，相應地，監督措施愈應當深入。員工行為的可罰性概率受到規制強度、行為復雜性、員工質量的影響。規制強度與行為復雜性涉及行業的復雜性以及相對應的規范的復雜性。例如，進出口業務可能涉及的不僅包括國內法，還包括國外、國際法，相比于單純國內業務，其可罰性概率要更高；金融領域相比于普通的服務領域，因為涉及公眾利益，規則更多、更復雜，相應地，行為觸犯法律的可能性也就更大。員工質量是一個相對的標準。一般而言，高質量(例如經過嚴格培訓)的員工實施具有可罰性行為的概率相對較低，所需監督強度也相應降低，但是，這并不絕對。即便是身處要職者，也不代表著更高的法忠誠度；經濟犯罪通常不會在工作開始時出現，但經過時間積累，哪怕是高質量員工，也可能積累了犯罪的知識和可能性。(29)參見Bussmann/Matschke, CCZ 2009, S.132, 135.因此，對于具體員工的違規可能性的評估，也需要結合違規記錄等情況綜合判斷，不能單一依靠素質高低。

2.預期損害利益大小。預期損害的大小與預期損害的法益的重要性成正比，預期損害的法益越重大，所需要的監督強度越大。對于企業來講，合規投入主要表現為經濟投入，因此，在預期損害表現為經濟損害時，進行利益衡量即可，不需要過多討論。值得討論的是，當存在利益種類的跨越時，監督強度如何設定？例如，當行為可能影響重大的生命健康法益，甚至多數人的生命健康法益(公共法益)或者國家利益時，如何設定監督強度？本文的初步看法是，既然損害預期值不能降低至零(已成共識)，那就意味著有一部分風險是社會必須容忍的，例如對于核電可能產生的風險已經被其可能帶來的利益抵消了。這也就意味著，對于這類風險，一方面應當要求企業采取更強有力的監督措施，另一方面也應當保持利益平衡。如果在能力范圍內仍無法避免大概率、高頻率風險的發生，那么，這類企業就是社會清理的對象了。

(三)技術監控的人身權邊界

以上兩點主要闡明的是，過度規制可能對于公司權利造成侵害。除此之外，公司職員也可能成為過度規制的受侵害者。在當下的公司內部治理中，尤其值得關注的是技術監控與職員人身權邊界的問題。從學理上講，主流觀點已經認可了公司領導人對于員工行為的監督者保證人義務。(30)參見Schünemann, Unternehmenskriminalit?t und Strafrecht , Carl Heymanns Verlag KG, 1979, S.102ff;[德]羅克辛：《德國刑法學總論(第2卷)》，王世洲等譯，法律出版社2013年版，第32節，邊碼137。出于利益維護考慮，企業通常也都會采取措施監督員工在工作場所的職務行為。(31)參見張新寶：《隱私權法律保護》，群眾出版社2004年版，第235頁。在電子技術發達的今天，勞動者監控主要是通過技術設施完成的，應當說，監督員工行為是單位的義務，也是權利。然而，即便是在工作場所，員工隱私權也并非不受保護。盡管我國的《勞動法》、《勞動合同法》均未涉及員工隱私權，但在《侵權法》第2條明確規定了公民的隱私權；從《憲法》第38條的人格尊嚴條款亦可推導出公民隱私權。因此，如何平衡勞動者的隱私權與企業的監督權成為企業內部治理中的重要問題。

對于權利沖突與平衡問題，從來沒有標準答案，它與一個國家基本的法律規定以及權利觀念密不可分。例如，同屬經濟高度發達地區，歐洲和美國就存在不同的勞動者隱私觀念。在美國聯邦層面，對于勞動者隱私權的保護主要是通過《電子通信隱私法案》進行的。盡管該法案規定了攔截電子通信信息行為以及未經授權侵入電子信息設備的行為違法，但又為此設定了若干例外；此外，法院對于該法案也傾向于限縮解釋，擴大雇主的監控權限。(32)參見Gail Lasprogata, Nancy J.King, Sukanya Pillay, Regulation of Electronic Employee Monitoring: Identifying Fundamental Principles of Employee Privacy through a Comparative Study of Data Privacy Legislation in the European Union, United States and Canada, Stanford Technology Law Review, vol.4, 2004, p.36.可以說，在勞動者隱私權保護這個問題上，美國法站在了雇主一邊。究其原因，是因為美國的隱私權觀念是建立在“獨處權”的理念之上的，這種獨處權在家庭等私人空間受到絕對保護，但在勞動場所，由于其半公開的屬性，勞動者的隱私期待被大大降低了；相比之下，雇主的知情權更為重要，因為這樣可以保證競爭力以及經營管理效率。(33)參見羅有康：《勞動者隱私權保護制度比較研究——兼論我國勞動者隱私權保護制度的立法思考》，復旦大學2009年優秀碩士論文，第30頁。相比之下，《歐盟隱私指令》則體現出對勞動者人格尊嚴的重視，亦即，從人格尊嚴條款推導出對勞動者的隱私權保護。基于此，“單面透視玻璃”“錄像機監控”“竊聽設備”都不被允許，這些行為甚至可能違反德國刑法第201條。作為例外，員工同意以及涉及雇主重大利益的情況下，上述行為方被允許；“保護重大的雇主利益所需的情況”不包括防止雇員或顧客偷竊等情況，原因在于，雇傭專門人手也能起到同樣效果；只有在緊急防衛或者類似的情況下，才有所不同。(34)[德]沃爾夫岡·多伊普勒：《德國勞動法》(第11版)，王倩譯，上海人民出版社2016年版，第225-226頁。

勞動法的本質是國家干預勞動關系，它所體現的是一個清晰的憲法價值位階；它是現代經濟社會高度發展的產物，在自由主義和國家干預主義的交錯中呈現出其存在的樣態及功能價值。(35)林嘉：《勞動法的原理、體現與問題》，法律出版社2016年版，第27頁。也就是說，勞動法一直在管制與放松管制之間搖擺。在缺乏勞動法依據的情況下，我國合規監控的人身權邊界也應當在絕對管制與絕對自由之間尋求平衡。首先，如果過于放松，絕對遵從意思自治原則，則可能影響職員憲法權利的實現，尤其是在我國憲法明確保護人格尊嚴的情況下；其次，如果過度管制，則勢必影響單位的知情權。鑒于此，筆者認為，在堅持勞動者人格利益高于雇主經濟利益的大前提下，(36)參見胡玉浪：《電子郵件監視與勞動者隱私權的法律保護》，載《法治研究》2009年第3期。應堅持“知情、合法合理、安全、公共利益”的原則。所謂知情，是指職員的事前同意，并知曉所搜集的個人數據的內容、存放方式、用途等情況。基于此，秘密的信息搜集則不被允許；所謂合法合理，是指手段合法并且符合比例原則，例如，對于更衣室等極度隱私的地方，不允許任何電子監控；對于純粹公共用途的郵箱進行信息搜集沒有問題，但如果公司并不禁止郵箱或者通訊工具的私用，則對于信息跟蹤手段要進行限制，禁止跟蹤私人信息；所謂安全，是指不僅要保證所搜集信息不被任意泄露，還應當保證目的落空后及時銷毀數據；所謂公共利益，是指如果所搜集數據涉及重大公共利益，則外部揭弊并不涉及員工的隱私侵害。

三、外部激勵措施的制度邊界

(一)不合規不能成為反向激勵的事由

在立法例上，合規往往被視為正向激勵的事由。例如合規可以成為英國《賄賂罪法案》第7條的辯護事由，起到出罪作用；合規可以成為美國組織量刑中減輕處罰的根據。(37)參見U.S.Sentencing Guideline Manual §8C 2.5(f)(g)(2018).有疑問的是，不合規能否成為反向激勵的事由，例如，是否可以加重刑罰？筆者曾經從《美國聯邦量刑指南》8C 2.5(b)(f)項推導出了不合規將會加重處罰的根據。高層參與確實體現了更大的罪責，然而，高層參與本身是評價是否存在有效合規計劃的重要考量因素，如果高層積極構建合規體現了合規的有效性，從而減輕責任點數，那么，高層參與犯罪理應抵消所減輕的責任點數，即責任點數保持原有水平而非加重責任。在高層參與作為加重處罰的重要根據的情況下，只能認為不合規是刑罰的加重事由。同樣的解釋也發生在8C 2.5(f)(g)項與8C 2.5(e)(38)參見U.S.Sentencing Guideline Manual §8C 2.5(e)(f)(g)(2018).項之間的關系：盡管(f)和(g)項分別使用了“有效的合規和倫理計劃”、“自我報告、合作和認罪”的不同表述，但這些都是合規計劃的核心含義；與此相對，(e)項則將“不采取合理措施預防……”作為責任點數增加(3點)的根據，而“不采取預防措施”即為“不合規”的同意表達，很明顯，“不合規”已經成為責任加重的根據。也就是說，在美國法中，不合規成為刑罰加重的根據。據我國學者介紹，澳大利亞法也將不合規作為加重處罰的根據。(39)參見周振杰：《企業適法計劃與企業犯罪預防》，載《法治研究》2012年第4期。在學理上，孫國祥教授表面上看反對筆者的觀點：“既然是否實施刑事合規能夠成為入罪的依據，就沒有理由否定刑事合規與刑事制裁輕重的勾連，不能排除企業對刑事合規的敵視成為從重情節。”(40)孫國祥：《刑事合規的理念、機能和中國的構建》，載《中國刑事法雜志》2019年第2期。為了證明這個觀點，孫國祥教授例舉了相關司法解釋關于“多次實施違法行為、事后妨礙、對抗調查，可以從重處罰”的規定。然而不得不說，這是師徒二人的錯誤交鋒。事實上，我并不排斥不合規可以從重處罰的觀點，而只是認為，不合規不能成為加重刑罰的根據。從量刑的基本理論來看，責任刑決定刑罰的上限，預防刑決定刑罰的下限。(41)參見李冠煜：《量刑責任概念的理解與適用》，載《當代法學》2016年第5期。作為預防刑的因素(部分場合)，企業合規制度表征了其預防必要性降低，因此，可以在責任刑限度內調節刑罰，這種調節當然包括從輕和從重。例如，企業不實施合規制度，多次發生違法行為，當然可以從重處罰。這種情況下，公司不合規承擔了品格證據的作用。但是，無論如何都不能因為公司不合規而突破責任刑，加重公司刑罰，這是量刑的基本規則。總之，無論是作為責任刑，還是預防刑的考慮因素，企業不合規都不是加重處罰的理由。

(二)保證人的義務范圍不應無限擴展

1.前置性行政法規不能成為刑事義務的聯結點。從國家視角觀察，推動企業合規的激勵機制首先是將合規與單位刑罰建立聯系。(42)參見萬方：《企業合規刑事化的發展及啟示》，載《中國刑事法雜志》2019年第2期。以美國法為代表的立法例與學術研究，包括我們國家當下的合規制度研究，都屬于這種模式。然而，需要提出的問題是，在不承認法人犯罪的法域中如何建構刑事合規制度？即便是我國，法人犯罪也具有片段性，即法人僅為部分行為承擔刑事責任，例如，單位實施的貸款詐騙就不能構成單位犯罪。這種情況下，如何通過對單位的激勵推動專項合規就成為問題。事實上，如果將以美國為代表的模式稱為組織體抑制模式，那么，必然存在另一種模式，即個人抑制模式。而且，在同一個國家，兩種模式并非互相排斥。也就是說，即便是在通過單位刑罰激勵建構刑事合規制度的國家，同時也存在通過對個人施加責任推動其履行合規建構義務的制度安排。例如，《薩班斯法案》顯著強化白領犯罪刑事責任，以此推動其履行內控義務的方式，就是個人抑制模式。個人抑制模式的典型代表是德國，其主要方式是，賦予合規官監督者保證人義務，以此建構內部合規機制。也就是說，當合規官發現公司內部存在職務關聯性不法行為時，其具有監督管理義務。(43)參見BGHSt 54, 44, Rn.27.

主流觀點認為，合規官對于公司內部職務關聯性不法行為的監督者保證人義務是派生性義務：因為具有命令以及組織權能，企業領導人具有危險源(不區分人的危險與物的危險)監督義務，經過授權，合規官取得了派生性的監督義務，這種義務的形成不需要獨立的命令支配權能，只需要能隨時通知領導即可。(44)參見Dannecker/Dannecker, JZ 2010, S.990.也就是說，一方面，應當肯定合規官具有繼受性的監督者保證人義務；另一方面，因為其缺乏必要的命令指示權，其只能通過信息傳遞，完成自己的義務，經過信息傳遞，責任回轉給了公司領導。(45)Konu也表達了與本文類似的看法：“直接的犯罪阻止義務是不存在的，因為合規官缺乏命令權；然而，其具有采取組織措施阻止犯罪的義務，及時上報(Eskalation)就是一項合適的組織措施。”Vgl.Konu, Die Garantenstellung des Compliance-Officers, Duncker & Humblot, 2014, S.90.值得討論的問題是，當公司領導對于合規官傳遞的信息不作為，或者違法行為本身就來自于領導集體，此時的內部揭弊無法有效阻止不法行為時，合規官是否具有外部揭弊的義務？在文獻中，有學者一方面從德國《有價證券交易法》(WpHG)第10條1款1句、第33條1款2句中推導出來了合規官的外部揭弊義務；另一方面又認為，這種義務的違反僅僅是違反秩序的行為(Ordnungswidrigkeit)。(46)參見Johannes Sebastian Blassl, Zur Garantenpflicht des Compliance-Beauftragten, Peter Lang, 2017, S.220.在本文看來，這種觀點是可取的：合規官的內部揭弊義務的實質根據是，經過授權或者從合同的附隨義務中可以推導出其為公司利益負責的義務，但其不需要為公共利益負責；然而，在部分場合，法律規定了公民或者特定自然人為公共利益負責的義務，例如德國刑法138條以及上述德國《有價證券交易法》的相關條款。即便如此，從這些條款推導出的義務也具有不同的性質，即需要區分刑事義務與行政性義務。具體到合規官的義務，除非發生德國刑法138條的情況，其不具有刑事上的外部揭弊義務；德國《有價證券法》中規定的外部揭弊義務的違背僅可能產生秩序違反(非刑事)責任。

這一點結論對于我們國家具有意義：一方面，合規機制的有效構建離不開責任機制的建立，(47)實際上，當下反腐實踐中的主體責任制就充當了這樣的機制，構建了公共機構的反腐敗合規機制。詳見李本燦：《公共機構腐敗治理合規路徑的構建》，載《中國刑事法雜志》2019年第2期。合規官的監督者保證人義務應當被肯定；另一方面，合規官的監督者保證人義務不應無限擴大，在刑法尚未對這種義務做出規定之前，前置性的行政義務不能成為刑事義務的聯結點。例如，我國《反洗錢法》第15條明確規定了金融機構的反洗錢義務，但這只是行政性義務，不能由此推導出領導人以及合規負責人的刑事義務。

2.保證人義務不應針對外部第三人。學理上多數觀點肯定的是，公司領導人對于公司財產和名譽具有保護者保證人義務。(48)參見Berndt, StV 2009, S.690.有疑問的是，公司領導人以及合規人員對于外部第三人是否具有保護者保證人義務？學理上有一種觀點是：在通過“合規承諾”(Compliance Commitments)、“行為守則”(Codes of Conducts)或者“合規政策”(Compliance Policies)等形式發布具有自我義務設定性質(Selbstverpflichtungen)的合規宣言，或者通過合同的方式約定合規標準時，如果這種承諾或者約定使得合同相對方產生了超過一般程度的信賴進而撤除了自我保護措施，那么，保護者保證人義務就產生了。(49)參見Johannes Sebastian Blassl, Zur Garantenpflicht des Compliance-Beauftragten, Peter Lang, 2017, S.388ff.在本文看來，這種觀點是不可取的：第一，合規起到的不是減輕責任的作用，相反，其加重了企業與個人責任，是否符合罪刑法定主義原則存在疑問。在這個問題上，對于公司自身的財產的保護者保證人義務以及對于職員職務關聯行為的監督者保證人義務則并不相同，因為這兩種義務可以從公司法中的勤勉義務中推導出來。對于外部第三人的保護者保證人義務則沒有任何法定根據；第二，保證人義務是責任鏈條的擴展，它的范圍應當嚴格限定在非自主性的脆弱法益的需保護性升高的場合。“當法益可以由主體自由處分時，法益主體自主決定使該法益處于脆弱狀態的，其他相關人則不負有救助義務。”(50)張明楷：《刑法學》(第五版)，法律出版社2016年版，第158頁。公司的場合也是一樣，其自身具有第一位的自我保護義務，合規承諾并不會改變這一點。因為合規承諾而撤除第一位的自我保護，是對法益的自由處分，由此并不能引導出合同相對方的保護者保證人義務。第三，從法政策的角度講，這種觀點也不應當被支持。如果由合規承諾、行為守則(合規的必備要素)推導出企業對合同相對方的保護者保證人義務，那么，沒有企業愿意合規，因為旨在降低企業風險的合規制度顯著加大了自身風險。一個不被真心執行的合規制度，不僅不能達到國家推行該制度的目的，還會造成社會資源的浪費。

(三)由實害犯到抽象危險犯的轉化不應被無限擴展

據我國學者介紹，“法國2016年通過的《關于提高透明度、反腐敗以及促進經濟生活現代化的2016-1691號法案》(又稱“薩賓第二法案”)第17條規定，建立合規制度是相關企業及其高管人員應當履行的一項積極義務。如果企業沒有主動建立合規管理制度，企業可能將面臨巨額罰金，企業高管可能面臨監禁。”(51)魏昌東：《監督職能是國家監察委員會的第一職能：理論邏輯與實現路徑》，載《法學論壇》2019年第1期。如果這個說法準確，那么就意味著，刑事合規制度正在經歷制度轉型：如果從刑事法手段與自我管理兩個角度來理解刑事合規，(52)參見李本燦：《刑事合規理念的國內法表達——以“中興通訊事件”為切入點》，載《法律科學》2018年第6期。那么，單位犯罪制度就是刑事合規制度，旨在以刑罰的方式推動單位自我管理。在單位故意犯罪的場合，難以認定單位存在有效的合規制度，以至于出現了不法行為；在單位過失的場合，有缺陷的合規制度所產生的不被允許的風險在危害結果中實現了。也就是說，以往的刑事合規制度都是以實害行為或結果的出現為處罰前提。然而，法國的《薩賓第二法案》改變了這種模式，單純處罰不履行合理組織體的塑造義務的行為。簡言之，法國法實現了由實害犯向抽象危險犯的轉變。

傳統的核心刑法主要集中于對個人法益的保護，多以法定危害結果的出現為必要。然而，風險刑法理念正在對現代刑法進行全面改造，表現之一就是抽象危險犯的大量增加。抽象危險犯是法益保護的前置，更有利于法益保護目的的實現。從世界范圍來看，抽象危險犯主要分布在危害公共安全罪、公務犯罪、妨害司法犯罪以及金融犯罪等領域。一方面，刑法需要保護具體的利益，另一方面，也需要對利益實現的機會、條件、制度進行擴張性保護。例如，刑法通過對安全行車的條件的保障(例如，危險駕駛罪的設置)，間接實現了利益保護；對于司法秩序的保障(例如，偽證罪的設置)，客觀上保證了訴訟參與者的利益；對于證券期貨交易的公正、公平、公開運行秩序的保障，客觀上保證了金融交易主體的利益。(53)參見謝杰、王延祥：《抽象危險犯的反思性審視與優化展望——基于風險社會的刑法保護》，載《政治與法律》2011年第2期。從這個角度講，抽象危險犯具有積極意義。然而，它應當有一個邊界，在權利保障與社會保護之間實現平衡。在平衡點這個問題上沒有標準答案。法國通過抽象危險犯的方式推動反腐機制私有化有其深刻的社會背景，即在歐盟的推動下，建構廉潔、透明的市場環境需要。在腐敗犯罪嚴重的國家，這種方式可能就難以推行，否則會形成過罪化的風險或者象征性立法。對于我們國家而言，通過類似法國的方式推動公司合規需要謹慎。首先，合規理念在我國剛剛起步，在缺少前置法的情況下，貿然通過過于強硬、前置的抽象危險犯方式推動合規治理，違背刑法的最后手段性原則；其次，明確性原則難以把握。在抽象危險犯的邊界問題上，“和刑事罰的施行相聯系的危險行為必須恰當地考慮《德意志聯邦共和國基本法》第103條第2款精確地概括的定型化之明確性原則。”(54)[德]約克·艾斯勒：《抽象危險犯的基礎和邊界》，蔡桂生譯，載趙秉志主編：《刑法論叢(第14卷)》，法律出版社2008年版，第339頁。尤其是在合規計劃的有效性問題上，至今沒有標準答案，這也就意味著，無法評估行為是否滿足抽象危險的要求。(55)在危險駕駛的判斷問題上，毒駕難以入刑，很大的原因就在于難以量化確定。參見孫國祥：《構成要素行政性標準的過罪化風險與防范》，載《法學》2017年第9期。

需要說明的是，筆者主張：由實害犯到抽象危險犯的轉化不應被無限擴展。言外之意是，如果在合理限度內，法國的做法也具有可借鑒之處。本文的初步構想是，結合法益的重要性程度，在未來的立法中，可以適當引入這種模式。例如，在上市公司(利益涉眾)強制推行合規制度更為可取；在關乎國民生命健康重大法益的領域(例如疫苗、食品、藥品、重大工程等)推行強制性合規制度更為可取；在金融領域(利益涉眾，更關乎國家金融穩定)強制推行合規制度更為可取。

四、企業內部調查的制度邊界

(一)刑事訴訟法的基本原則是否應當適用到公司內部調查？

近幾年，中國刑事訴訟法學界對于行政執法中取得的證據與刑事訴訟的銜接問題進行了大量的研究，形成了豐碩的成果。如果再往前走一步，一個更大的問題是，公司內部調查與刑事訴訟法的銜接問題。

隨著經濟全球化的發展，公司業務已經跨越了國界，呈現極度復雜性。這就意味著，公司已經形成了相對封閉的系統。傳統針對自然人犯罪的偵查模式已經難以適應全球化了的公司犯罪：第一，公司的相對封閉性與業務復雜性使得偵查力量難以進入，或者難以有效實現偵查目的；第二，司法管轄權極大限制了主權國家的偵查權。這就決定了，某些國家難以完成的偵查工作很大程度上依賴于企業自身。這尤其依賴于企業的經濟能力、專業能力以及較少受司法主權限制(少部分國家對于跨國的員工訪談有限制，例如法國)的優勢。據我國學者介紹，在西門子公司全球行賄案中，公司花費8.5億美金在全球幾十個國家進行內部調查，并將調查結果移交給了美國司法部和證券交易委員會，最終使得司法部放棄對西門子公司的刑事指控，雙方達成刑事和解協議。(56)參見陳瑞華：《西門子的合規體系》，載《中國律師》2019年第6期。甚至，從20世紀70年代開始，美國證券交易委員會所辦案件多由企業本身完成內部調查。(57)參見[美]盧西恩·E·德爾文：《國際白領犯罪與國際化的內部調查》，朱霽康譯，載《交大法學》2016年第2期。這就給我們提出了刑事訴訟私有化的邊界問題。(58)參見Ulrich Sieber, ZStW 2007, S.42.也就是說，既然內部調查系出于刑事訴訟目的而實施，那么，它在多大程度上應當受到刑事訴訟法基本原則的限制？例如，不得自證其罪原則是否適用于內部調查？

對于這個問題，沒有任何國家給出標準答案。然而，部分判決中顯示出了司法機關的態度：文獻中反復被提及的“破產宣告人案”(Gemeinschuldner-Beschlusses)中，一方面，德國聯邦憲法法院認為，不得自證其罪原則旨在保護公民免受強制性的自我負擔，這種保護在刑事訴訟中最強。與刑事訴訟中的被告人相對，本案中的破產宣告人應當受到較低程度的保護，因為其角色決定了，他對公司詢問的如實答復并不會直接導致對自己不利的刑事判決。另一方面，員工的答復僅僅使得企業的信息需求得以正當化，此外，立法者還必須權衡各方利益。破產宣告人的人格權要求內部詢問中的答復不能在之后的刑事訴訟中成為不利于自己的證據。(59)參見BVerfGE 56, 48f.也就是說，不得自證其罪原則應當適用于以刑事追訴為目的的內部調查。然而，漢堡地方法院于2010年10月15日做出的一份判決卻改變了態度：受企業委托的律師在詢問一家有限公司的董事會成員是否違反義務時形成的筆錄被追訴機關扣押，并作為針對內部受詢問者的證據加以使用。原因在于，德國的禁止扣押規定所保護的僅僅是被告人與其律師之間的信任關系，而受委托實施內部調查的律師與企業而非企業職工形成了委托信任關系。不得自證其罪原則涉及的是國家權力機關與被告人之間的關系，而不涉及私營企業與其員工之間的關系。(60)參見Jahn, ZIS 2011, S.453; Fritz, CCZ 2011, S.155.曼海姆地方法院采取了折中的態度：盡管從企業手中扣押有關內部調查的材料是被允許的，但卻禁止扣押受企業委托的律師的調查文件。(61)參見LG Mannheim NZWiSt 2012, 424.在美國，盡管內部調查普遍展開，但多數案件都是以和解協議的方式了結，并未進入審判程序，因此也難以評估不得自證其罪原則在內部調查中是否被適用了。

學理上，主流觀點認為：“如果一方面認為，在內部調查過程中，存在犯罪嫌疑的企業員工有義務就犯罪指責作出準確的陳述，而另一方面又認為，在針對企業員工的刑事訴訟過程中，刑事追訴機關扣押調查筆錄并作為證據加以使用的做法是正當的，就會損害免予自證其罪的原則。”(62)[德]洛塔爾·庫倫：《德國的合規與刑法》，馬寅翔譯，載趙秉志主編：《走向科學的刑事法學——刑科院建院10周年國際合作伙伴祝賀文集》，法律出版社2015年版，第434頁。也有學者認為，不得自證其罪原則的適用應當滿足兩個條件：(1)首先必須存在迫使自我歸罪的強制(Zwang zur Selbstbelastung)；(2)因為不得自證其罪原則是針對國家權力設置的防衛權，因此，第一點的“強制”原則上應來自于國家。在公司內部調查的情況下，不管是源自于法定的如實陳述義務(對于員工)，還是法定的調查義務(對于企業)，都難以滿足國家強制這個要素。因此，不得自證其罪原則只有在公司與司法機關協商通過內部詢問獲取證據的極端例外情況下才可適用。(63)參見Henrik Zapfe, Compliance und Strafverfahren—Das Spannungsverh?ltnis zwischen Unternehmensinteressen und Beschuldigtenrechten, Peter lang, 2013, S.153ff, 205f.在筆者看來，基于以下原因，企業內部調查也應受到不得自證其罪原則的限制：第一，根據主流觀點，不得自證其罪原則源自于法治國原則或者人格尊嚴權，這就意味著，它的適用不應局限于刑事訴訟程序，其他程序形式以及實體法也要適用。(64)參見SK-StPO, 4.Aufl.,§133ff.,Rn.130; Momsen, ZIS 2011, S.513.當然，在內部調查中適用不得自證其罪原則，并不絕對排斥員工的如實陳述義務。也就是說，當這種陳述不會產生自我風險的時候，員工應當如實陳述。第二，即使內部調查并非與司法機關協商的結果，或者并未受到國家強制，內部調查形成的材料也可能在未來轉移給司法機關以尋求起訴或量刑激勵。因為企業利益與員工個人利益在很多場合存在沖突，不排除企業為了自身利益而犧牲員工利益的情況。事實上，國外的實踐也已經出現這樣的情況，例如，通過“赦免計劃”的幌子取得員工的陳述，然后將材料移交司法機關，換取對企業的優待。這種情況下，如果否定不得自證其罪原則的適用，允許法庭使用員工在內部調查中作出的不利于自己的陳述，那么，無疑是對員工權利的間接損害。第三，對于國家強制的理解不能過于狹窄。事實上，國家義務經常會轉換為“糖面包與皮鞭系統”(Zuckerbrot und Peitsche Systeme)，通過這種方式規避刑事訴訟程序的限制。(65)參見Henrik Zapfe, Compliance und Strafverfahren—Das Spannungsverh?ltnis zwischen Unternehmensinteressen und Beschuldigtenrechten, Peter lang, 2013, S.157.合規計劃就是“糖面包與皮鞭系統”(通俗講的“胡蘿卜+大棒”政策)。美國證券交易委員會對于西門子公司全球行賄案的調查就被指責“規避了法治國的最低標準”。(66)參見Ulrich Wastl, NStZ 2009, S.68ff.總結起來說，如果不得自證其罪原則不能適用于企業內部調查，企業員工的刑事訴訟權利將無以保障。

回到我們國家，盡管內部調查也已經普遍展開，并成為律師的重要業務內容，但程序銜接問題并未凸顯。沒有凸顯并不代表不存在。從法規范的角度講，表面的員工如實陳述義務與刑事訴訟法中的不得自證其罪原則的沖突同樣存在：從我國《勞動法》第3條可以推導出勞動者的忠實義務；類推適用《合同法》第60條的“誠實信用”“通知、協助”條款，員工對于企業的詢問同樣具有如實陳述的義務。然而，《刑事訴訟法》第52條明確規定“不得強迫任何人證實自己有罪”。對于這種沖突，本文的基本觀點是，刑事訴訟法的基本原則應當適用到企業內部調查，最大限度保障員工的刑事訴訟權利。

(二)內部調查后證據的使用限度

對于內部調查后形成的證據材料的使用限度問題，可以進一步區分為兩個問題：第一，這些證據材料是否可以在刑事審判程序中直接使用？第二，是否可以被外部第三人使用？

1.內部調查形成的證據是否可以在刑事審判程序中直接使用？對于這個問題，一個具有參照意義的問題是，行政執法形成的證據是否可以進入刑事訴訟程序？對此，我國《刑事訴訟法》第54條2款有明確規定：“行政機關在行政執法和查辦案件過程中收集的物證、書證、視聽資料、電子證據等證據材料，在刑事訴訟中可以作為證據使用。”在學理上，主流觀點也認為，應當在人權保障的理念下，對于行政執法證據進入刑事訴訟的范圍、審查主體、審查內容等進行嚴格限定。(67)參見馮俊偉：《行政執法證據進入刑事訴訟的規范分析》，載《法學論壇》2019年第3期。在行政證據的使用尚且嚴格限定的情況下，內部調查證據恐怕很難直接進入刑事審判程序。合適的方法是，在不遠的將來，隨著企業合規的普及，內部調查與刑事訴訟法的銜接成為迫切需要時，通過立法嚴格設定銜接程序，例如，可以根據不同證據種類的取證難度、受污染的可能性大小等因素，設定不同的轉化條件。在此之前，通過訴前和解的方式使內部調查證據進入訴訟程序，也是可以接受的方法。畢竟，現有證據規則的設定更多是針對審判程序，盡管出于可采性的考慮，這些證據規則往往也具有回溯力，但其標準已經降低了。這也是西門子公司案中的內部調查證據不會進入法庭，而只能在訴前和解協商中使用的原因。對于我們國家而言，這種方式需要立法上公司緩起訴、不起訴的制度配套。關于內部調查證據的使用問題，還涉及另一個問題，即律師-委托人特免權的問題。即便在員工權利保障相對較好的美國，這個問題也沒有得到有效解決：聯邦最高法院通過厄普約翰公司案并未提供特免權的范圍標準，而是留給較低層級的法院個案判斷；很多州法院仍然以控制群體標準確定特免權范圍，也就是說，很多員工并未受到律師—委托人特免權的保護。(68)參見李本燦：《企業犯罪預防中國家規制向國家與企業共治轉型之提倡》，載《政治與法律》2016年第2期。回到我國，《刑事訴訟法》第48條僅僅規定了律師的“保密義務”，也就是說，證據泄露后仍可使用，不享有特免權。在制度邊界的劃定上，沒有固定標準，本文傾向于公司及員工的權利保障。在權利意識高漲，但預防性刑法擴張的當下，這一點尤其具有價值。因此，應當賦予委托人律師—委托人特免權，并且從實質意義上理解委托人，避免將普通員工的利益排除在外。

2.內部調查形成的證據是否可以被外部第三人使用？某種意義上說，這個問題已經成為阻礙合規計劃推行的重要原因：據美國量刑委員會表示，“企業合規推行的最大阻礙在于合規計劃的信息最終將被政府或民事訴訟用于攻擊企業；企業的合規計劃越有效，任何違法行為越可能暴露給執法人員和潛在的民事訴訟當事人；目前的制度對企業實施次優合規計劃提供了強烈誘因。這些合規計劃無法達到其預期目的，但仍然消耗企業的資源。”(69)[美]菲利普·韋勒：《有效的合規計劃與企業刑事訴訟》，萬方譯，載《財經法學》2018年第3期。在本文看來，合規制度是企業在“自我加擔”的同時為國家“減負”，因此，不能在自我負擔之外額外增加企業承擔不利后果的風險，這是基本的法正義的應有之義；從刑事政策上講，外部第三人使用披露了的合規材料攻擊企業的問題已經成為阻礙合規計劃發展的最大障礙。它刺激企業采取次優合規計劃。這種合規計劃非但不能達到制度初衷，還造成企業資源的浪費，影響經濟活力。基于以上考慮，這個問題必須在未來的合規立法以及司法中加以解決。一個可行的路徑是，引入“自我評估特免權制度”(Self-Evaluative Privilege)。美國俄勒岡州在1993年的《環境犯罪法案》中已經引入了“環境審計報告證據豁免規則”，以此鼓勵企業實施合規管理。(70)參見李本燦：《企業犯罪預防中國家規制向國家與企業共治轉型之提倡》，載《政治與法律》2016年第2期。這可以成為有益參考。

結語

當前，美國正在利用其經濟主導地位在全球執法，推動反腐敗、出口管制等領域的合規管理。歐洲通過《通用數據保護條例》也在向全世界輸出合規規則。可以說，企業合規已經成為全球浪潮。從企業自身的長遠利益以及國家利益來看，企業合規可以實現雙贏。然而，這只是理論上的理想狀態。在實際的利益衡量過程中，目標總是朝著有利于立法者以及法益保護的方向邁進，風險完全轉移給了企業，企業利益被輕易拿走了。這就導致在組織體的管轄領域，要求一個完美的組織管理形式。這種預防性的風險降低形式使得國家的干預工具得以正當化。然而，絕對的安全并不可得，不惜任何代價的安全保障也無意義。絕對的安全導向最終會顯著增加企業的合規成本，而這些成本最終都會轉移給消費者。這種情況下，盡管實現了社會控制，但最終是由消費者承擔了代價，最終受益的是國家。我們盡管要強調合作治理，但不應過度，犯罪控制的職能不能過度讓予，否則會造成國家的過度無為。這與它的社會管理者的角色不相匹配。基于以上考慮，本文主張為刑事合規設定制度邊界：

(1)預防刑措施的制度邊界：標準化的嘗試可能侵害企業的經營自由；內部控制措施應符合比例原則，以可能、必要、可期待為準則來衡量內控措施；技術監控也有人身權邊界。

(2)外部激勵措施的制度邊界：不合規不能成為反向激勵的事由；保證人義務不能被無限擴展；由實害犯到抽象危險犯的轉化不應被無限擴展。

(3)內部調查的制度邊界：內部調查應當遵守刑事訴訟法的基本原則，以不得自證其罪原則最為典型；內部調查形成的證據不能直接成為法庭證據，外部第三人對其使用更應受限。