刑事合規(guī)的實踐難題、成因與立法思路*
——以企業(yè)合規(guī)改革試點典型案例為視點

周振杰

(北京師范大學刑事法律科學研究院，北京 100875)

刑事合規(guī)，指通過給予有效實施合規(guī)計劃的企業(yè)刑法激勵，推動其與司法機關合作，共同預防、制裁違法行為。自20世紀90年代以來，刑事合規(guī)逐漸在全球范圍內形成了一股潮流。[1]這一概念雖進入我國較晚，但自2018年中興事件到現在的短短數年間，已然成為了法學界的一門顯學。不僅如此，隨著最高人民檢察院(最高檢)于2021年4月將試點工作由最初的6家基層檢察院擴展至全國，刑事合規(guī)先在司法實踐中扎根，待條件成熟后進入立法似乎已經不可避免。因此，當前的研究至少應在兩個層面展開：理論層面。繼續(xù)研究刑事合規(guī)的合理性、正當性、可行性以及與中國刑事立法、法學理論的契合性等問題；實踐層面。關注試點實踐中的問題，從刑事合規(guī)的要義出發(fā)探討如何將合規(guī)制度納入到我國立法、在實踐中具體展開，以充分發(fā)揮其功能。本文的研究屬于第二個層面，意在從最高檢2021年6月3日發(fā)布的四個企業(yè)合規(guī)典型案例出發(fā)，[2]分析當前試點實踐中的難題，并從刑事合規(guī)的要義出發(fā)進行對策思考。

一、刑事合規(guī)實踐的突出難題

最高檢發(fā)布的典型案例在總結刑事合規(guī)試點工作中的經驗、為檢察機關開展具體工作提供指導的同時，也為理論界提供了解實踐現狀、進行問題分析的素材，解決典型案例中的問題進而又能夠推動企業(yè)合規(guī)試點工作，并為未來立法修改提供理論參考。從已公布的典型案例來看，在當前的合規(guī)試點工作中，存在如下四個亟待解決的突出問題：合規(guī)計劃實效難以保證、監(jiān)管適用前提尚不明確、監(jiān)管對象選擇存在缺陷以及犯罪預防責任未能分散。

(一)合規(guī)計劃實效難以保證

如上所述，刑事合規(guī)的要義是對有效實施合規(guī)計劃的企業(yè)予以刑法激勵。國外的合規(guī)實踐表明，制定實施合規(guī)計劃者眾，但有效者較少。例如，美國在2016年根據聯量刑委員會發(fā)布的《組織量刑指南》處罰了132個組織，其中只有少數企業(yè)(2.1%)的合規(guī)計劃被評估為有效。[1]而且，有效性評估是非常復雜的問題，甚至被美國學者認為是監(jiān)管機構不可能完成的任務。[3]因此，采納刑事合規(guī)制度的各國都將如何保證實效作為核心問題。從典型案例來看，我們面臨的這方面問題可能更為明顯。例如，在“張家港市L公司、張某甲等人污染環(huán)境案”中，鑒于涉案企業(yè)社會危害性較小等情況，檢察機關決定對之進行合規(guī)考察，這是符合政策精神與法律規(guī)定的。但是，從2020年10月L公司接到檢察機關的《企業(yè)刑事合規(guī)告知書》開始合規(guī)建設，到同年12月檢察機關組織進行專業(yè)評估并得出L公司合規(guī)建設合格的結論不過短短2個月，在這么短的時間內，能夠真正形成有效的合規(guī)管理嗎？至少是存疑的。同樣，在“上海市A公司、B公司、關某某虛開增值稅專用發(fā)票案”中，檢察機關在2020年6月受理案件后即督促企業(yè)開展合規(guī)建設，并在同年11月提起公訴之際適用認罪認罰從寬制度。但檢察機關在判決后聯合稅務機關上門回訪之際發(fā)現，該企業(yè)的合規(guī)建設仍需進一步完善。這在一定程度上說明A公司合規(guī)管理的實效并未達到預期。

此外，就刑事合規(guī)的有效性評估，雖然最高檢等8家單位于2021年6月3日聯合印發(fā)了《關于建立涉案刑事合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》(以下簡稱《意見》)，建立起了第三方評估機制，但該《意見》并未規(guī)定合規(guī)管理的有效性評估標準，因此，如何評價具體合規(guī)計劃是否有效，仍然是當前最緊迫的問題。[4]需要指出的是，盡管國際標準化組織2021年4月13日發(fā)布的《合規(guī)管理體系要求及使用指南》(ISO 37301: 2021)就建立、運行、維護和改進合規(guī)管理體系進行了相應的規(guī)定，但是否以及在多大程度上根據評估結論減免企業(yè)責任由司法機關最終決定，就如意大利最高刑事法院在2013年12月18日判決中所言：行業(yè)工會的行為準則即使經過司法部批準，也不能成為逃避合規(guī)計劃責任的理由。[5]因此，行業(yè)標準原則上應該是一種參考，司法機關應該有自己的判斷標準。

(二)監(jiān)管適用前提尚不明確

從國外的合規(guī)實踐來看，可以將企業(yè)實施合規(guī)計劃的情況分為如下三種：(1)違法行為未被發(fā)現之前。從法治的原則出發(fā)，此時司法機關不應介入，由企業(yè)自行進行決定是否制定與實施合規(guī)計劃；(2)違法行為被發(fā)現，企業(yè)成為追訴對象之后。此時，執(zhí)法或者司法機關可以實施合規(guī)計劃為條件，與企業(yè)達成不起訴、緩起訴等刑事和解協(xié)議，就如在2018年的中興事件中，中興公司與美國商務部于2018年達成協(xié)議，后者派駐特別合規(guī)協(xié)調官對中興及其全球子公司的合規(guī)情況進行為期10年的監(jiān)督；[6](3)違法行為被處理之后，例如法院判決已經確定。此時，除非法院將實施合規(guī)計劃明確列為宣告緩刑的條件，司法機關也不宜介入。簡而言之，要求企業(yè)實施合規(guī)計劃以涉案企業(yè)實施了違法行為為前提。

當前我國的企業(yè)合規(guī)試點工作的模式類似于上述第(2)種情況，即檢察機關接到調查機關移送的案件之后，根據案件情況確定是否對涉案企業(yè)進行合規(guī)監(jiān)管。這也意味著，涉案企業(yè)構成追訴對象，才能要求其接受合規(guī)監(jiān)管。但在典型案例中，存在要求未被列為追訴對象的企業(yè)接受合規(guī)監(jiān)督的情況。例如，在“王某某、林某某、劉某乙對非國家工作人員行賄案”中，從行賄的整個流程來看，Y公司的財務與監(jiān)管制度中存在明顯漏洞，應要求其接受合規(guī)監(jiān)管。但問題是：第一，本案中的被告人是王某某、林某某與劉某乙，并不包括Y公司，因此檢察機關要求Y公司接受合規(guī)監(jiān)管合法性存疑。第二，從案件處理的整個過程來看，檢察機關是將Y公司接受合規(guī)監(jiān)督作為對負責人王某某不起訴的條件之一，有混同企業(yè)責任與個人責任之嫌。第三，從2019年10月H公司報案到2020年6月法院判決，約有近9個月的時間，但檢察機關直到2020年7月才與Y公司簽署合規(guī)監(jiān)管協(xié)議。如此，一方面，檢察機關顯然不能以企業(yè)進行了合規(guī)建設為由對王某某予以刑法激勵；另一方面，這種情況屬于上述的第(3)種情況，檢察機關介入是否適當也是存疑的。此外，本案還涉及一個深層次問題，即：如果可以要求未被列為追訴對象的企業(yè)接受合規(guī)監(jiān)管，那么在適用單罰制罪名的案件中，檢察機關是否也可以要求未被《刑法》規(guī)定為犯罪主體的企業(yè)接受合規(guī)監(jiān)管？從刑事合規(guī)的制度初衷與政策精神出發(fā)，答案無疑應該是肯定的。但從罪刑法定原則出發(fā)，要求非刑事責任主體承擔責任與根據企業(yè)責任處理個人責任都值得商榷。

(三)監(jiān)管對象選擇存在缺陷

要求企業(yè)接受合規(guī)監(jiān)管的主要目的是消除企業(yè)內部的違法根源，實現企業(yè)的健康發(fā)展。從犯罪學的角度而言，預防犯罪也應針對犯罪原因采取對策。因此，要求涉案企業(yè)進行合規(guī)建設，應以違法行為與內部管理的缺陷之間存在因果關系為必要條件，否則就會導致無效的制裁，徒然增加企業(yè)的負擔。也即是說，如果涉案企業(yè)實施違法行為并非因為其內部管理存在缺陷而是外部的原因，那么要求其進行合規(guī)建設就是存疑的，在“新泰市J公司等建筑企業(yè)串通投標系列案件”中就是如此。在該案中，山東省新泰市J工程有限公司等6家建筑企業(yè)參與串通投標，是因為受到黑社會性質組織的強迫，而非是內部管理存在缺陷。根據《刑法》第28條“對于被脅迫參加犯罪的，應當按照他的犯罪情節(jié)減輕處罰或者免除處罰”之規(guī)定，兼顧穩(wěn)定就業(yè)等方面的政策要求，對相關企業(yè)負責人不予起訴，符合罪刑法定與政策精神，對當地建筑行業(yè)招投標情況進行排查、凈化招投標環(huán)境也是適當的。但問題是，要求涉案企業(yè)進行合規(guī)建設的基礎何在？又如何要求涉案企業(yè)有針對性地進行合規(guī)建設？一方面，即使涉案企業(yè)內部存在完善的管理制度，但在被脅迫的情況下也是難以發(fā)揮作用的；另一方面，案中的犯罪行為并沒有暴漏出涉案企業(yè)內部管理的缺陷，如果不對其內部管理制度進行深入梳理，檢察機關也難以有的放矢地提出合規(guī)建議。

(四)犯罪預防責任未能分散

刑事合規(guī)的核心理念是共治，即通過施加外部壓力、給予刑罰激勵等措施推動企業(yè)參與犯罪治理，承擔相應的犯罪預防責任，這既有風險社會的宏觀背景，也有證明困難的具體原因。因此，在整個合規(guī)監(jiān)管與評估過程中，司法機關需要發(fā)揮主導作用，但也應采取適當措施將相應責任分散至企業(yè)。例如司法機關可以要求企業(yè)接受合規(guī)監(jiān)管、針對企業(yè)內部管理中的缺陷提出合規(guī)建議以及指派合規(guī)監(jiān)督員。但對于如何推進合規(guī)建設、評價合規(guī)計劃是否有效等，應通過適當路徑交由企業(yè)或者第三方組織負責。在上述典型案例中，檢察機關幾乎都是承擔了絕大部分甚至所有責任，這與刑事合規(guī)的共治理念存在偏差。①需要指出的是，根據《意見》建立的第三方機制，對涉案企業(yè)的合規(guī)承諾進行調查、評估、監(jiān)督和考察工作將由第三方監(jiān)督評估組織承擔。這一思路是值得肯定的，但問題是，根據該意見的規(guī)定，第三方組織成員的遴選完全由第三方機制管委會負責，而且后者還負責“第三方組織及其人員的工作保障和激勵制度”。如此，在整個合規(guī)建設過程中，發(fā)揮主導作用甚至承擔合規(guī)成本的還是權力機關，涉案企業(yè)幾乎完全處于被動地位，預防責任同樣沒有得到有效轉移。

二、刑事合規(guī)實踐難題的形成原因

導致上述實踐問題的原因當然有很多。比如，刑事合規(guī)進入司法實踐的時間較短，尚未結合中國特點形成成熟做法；國外的合規(guī)實踐形形色色，有的國家，例如西班牙、智利等國也是處于探索過程中，有的國家，例如美國雖然實施合規(guī)制度的時間較長，但司法體制的差異決定了難以將其規(guī)則照搬至國內。而且，我國企業(yè)對于合規(guī)的重要性與必要性尚未形成深刻的認識，在理論界也存在爭議，等等。但從罪刑法定的角度而言，造成上述難題的主要原因還是立法限制，②因為我國現行《刑法》與《刑事訴訟法》都是以自然人為假想對象，而刑事合規(guī)是作為單位(企業(yè))犯罪的預防對策而被大力倡導的。雖然在20世紀80年代末期，為了打擊單位走私行為，我國刑法承認了單位犯罪的概念，并在1997年修訂《刑法》之際在總則第30條與第31條規(guī)定了單位刑事責任與處罰原則，但是，《刑法》迄今并未具體規(guī)定如何認定單位責任，《刑事訴訟法》也未規(guī)定相對獨立的單位訴訟程序。因此，在當前的立法框架下，企業(yè)合規(guī)試點工作出現上述問題也就不足為奇。

例如，企業(yè)合規(guī)試點的直接法律依據主要是《刑事訴訟法》第177條第2款規(guī)定的相對不起訴與以及第15條規(guī)定的認罪認罰制度?！缎淌略V訟法》雖然沒有明確將相對不起訴的適用對象限制于自然人，但是因為確定合規(guī)考察期限必須有法律依據，所以在司法實踐中，檢察機關通常以涉案自然人可能判處3年以下有期徒刑為前提條件，③并以對自然人審查起訴的期限為標準，確定合規(guī)監(jiān)管的期限。根據《刑事訴訟法》第172條與第175條的規(guī)定，對自然人審查起訴的期限最長為12個月，雖然對于制定與有效實施合規(guī)計劃而言顯然太短，但在法律沒有其他明文規(guī)定的情況也只能如此。有的地方規(guī)范性文件為了穩(wěn)妥起見，規(guī)定的考察期間甚至更短，只有3-5個月，④期待企業(yè)在如此短暫的時間內有的放矢地制定并有效實施合規(guī)計劃，顯然是不可能的。再如，就單位犯罪，《刑法》第31條規(guī)定了“雙罰制”與“單罰制”兩個原則。刑法分則中的單位犯罪大多數采納了“雙罰制”原則，但是重大勞動安全事故罪、工程重大安全事故罪、教育設施重大安全事故罪等事故型過失犯罪都例外地采納了“單罰制”原則，僅處罰“直接負責的主管人員和其他直接責任人員”或者“直接責任人員”。顯然，在符合合規(guī)試點條件的“雙罰制”案件中，要求涉案企業(yè)進行合規(guī)整改、對之進行監(jiān)督考察自無障礙，而在適用“單罰制”的案件中，因為企業(yè)本身并非《刑法》規(guī)定的刑事責任主體，因此在刑事訴訟程序中不會被列為被告人，對之進行合規(guī)監(jiān)管有違反罪刑法定原則之虞。但恰恰就是在企業(yè)過失犯罪案件中，合規(guī)監(jiān)管能夠發(fā)揮較高的效用，因為企業(yè)本身本無造成重大傷亡或者財產損失的故意，進行合規(guī)治理的意愿更高，因此合規(guī)治理的效果也會更明顯。這也是合規(guī)試點工作在明確監(jiān)管適用前提與選擇監(jiān)管對象面臨困境的原因之一。

此外，在司法實踐中，個人經單位決策或者在職權范圍內、以單位名義、為單位利益實施犯罪是追究單位刑事責任的要件，⑤因此，“無論是雙罰制還是單罰制，都要處罰單位犯罪直接負責的主管人員或者其他直接責任人員”。[7]P136可見，當前司法實踐采納的是轉嫁罰原則，即將涉案自然人的罪責轉嫁給企業(yè)，然后在客觀方面加以限制。如此，個人責任與企業(yè)責任糾結在一起，對于確定監(jiān)管適用前提與選擇監(jiān)管對象也造成了一定困難。

最后，我國采納的是職權主義的刑事訴訟構造。根據《刑事訴訟法》第52條、第175條以及第176條等的規(guī)定，除非在諸如《刑法》第395條規(guī)定的巨額財產來源不明罪等特殊場合，司法人員必須收集能夠證實被告人有罪或者無罪、犯罪情節(jié)輕重的各種證據，檢察機關在決定是否起訴之際也必須達到“事實已經查清，證據確實、充分”的程度，在認罪認罰的場合，檢察機關也應就主刑、附加刑、是否適用緩刑等提出量刑建議，承擔了幾乎所有責任。這也是檢察機關在企業(yè)合規(guī)試點工作中，承擔了提出合規(guī)建議、進行合規(guī)監(jiān)管等幾乎所有責任的原因之一。

簡而言之，在現行立法框架內，我們難以充分發(fā)揮合規(guī)制度的功能、實現政策初衷，而且“刑法是刑事政策不可逾越的屏障”，[8]P244當前試點工作有違反罪刑法定之虞。既然“一切法律都是為了人的緣故而制定的。制定法律的宗旨就是為了保護人們的生存利益。保護人們的利益是法的本質特征，這一主導思想是制定法律的動力所在”，[9]P3所以，適應刑事合規(guī)之需要，對《刑法》與《刑事訴訟法》進行相應修改是自然而然的選擇。

三、刑事合規(guī)的核心理念與企業(yè)責任

在探討修法問題之前，首先需要回答如下理論問題：刑事合規(guī)的核心理念是什么，其如何形成的？這一理念對企業(yè)刑事責任又產生了怎樣的影響？立法是理論的規(guī)范體現，只有在理論上理清上述問題，才能抓住重點，有針對性地提出立法建議。

(一)共治理念及其形成背景

從刑事合規(guī)的概念可以清楚地看出，其基本的模式是司法機關通過外部措施，激勵企業(yè)主動承擔責任、采取措施，與司法機關進行合作，共同預防、制裁犯罪。由此可以將其核心理念概括為“共治”。這一“共治”核心理念的形成，概括說來主要受到了風險社會與企業(yè)自身兩方面的影響。

1.風險社會的影響。風險社會是德國學者貝克用以描述20世紀80年代之后的社會階段的概念。在這一社會階段，人人都隨時可能創(chuàng)造或者面臨風險。與此前的社會發(fā)展階段相比，風險社會的風險具有如下三個特征：第一，不可知。即在造成實質侵害之前，很難認識到風險的存在，甚至只能認為其不存在，因為“只要危險沒有獲得科學的認識，它們就不存在，至少在法律上、醫(yī)學上、技術上或科學上不存在。”[10]P86第二，制度化。即風險“是由整個專家組織、經濟集團或政治派別權衡利弊得失后所做出的，”[11]而且“在風險的生產過程中，每個環(huán)節(jié)都是正當而合法的，這種正當性與合法性是由科學、政治和法律共同賦予的?！盵12]第三，全球性。即風險“既是本土的又是全球的，或者說是‘全球本土’的。這種本土和全球風險選擇上的‘時空壓縮’進一步證實了世界風險社會的診斷。”[13]P48對于預防與制裁企業(yè)犯罪而言，上述特征提出了嚴峻挑戰(zhàn)：第一，因為風險是不可知而且并非刑法意義上的危險，所以權力機關只能在發(fā)生實質危害結果之后介入。如何才能充分發(fā)揮刑罰的預防功能呢？第二，因為風險的產生過程是合法的，所以在風險化為現實的重大危害結果之際，企業(yè)總是會“竭盡全力通過在工業(yè)中逐漸制度化的‘反科學’的幫助來反駁對他們的指控，”[10]P33讓我們只能接受“聽任風險繼續(xù)發(fā)展而無法防范”的有組織的不負責任現象。[14]如何才能有效治理這一現象？ 第三，風險的制度化與全球化，意味著危害活動的復雜化與全球化，進而意味著證明的專業(yè)化與調查的全球化，這使得司法機關在資源、跨國取證等方面不得不面臨更多的法律與資源障礙。如何盡可能地消除這些障礙？第四，因為造成重大社會危害的企業(yè)經常只需承擔民事責任就可以全身而退，所以許多企業(yè)將違法視為可負擔的機會成本，進而造成惡性循環(huán)，既損害了公眾的合法權益，也削弱了法治的正當基礎。如何才能破解這一難題？

2.企業(yè)自身的影響。傳統(tǒng)刑法以自然人為假想對象，因此“刑罰以罪責為前提。罪責是非難可能性。……責任非難的內在理由是，人類天生能夠自由和有責任地作出符合道德的自主決定，就有能力選擇法，反對不法”，[15]P204因此否認企業(yè)(法人)具有犯罪能力，就如李斯特所言：“法人，如公司、大學或者學院等絕不可能成為犯罪的主體。只有不同種類的公司里的具體個人才可能是犯罪人，甚至，當公司里的所有人都想犯罪并且實施了犯罪行為時，仍然是個人犯罪。”[9]P37直至19世紀后半葉，隨著工業(yè)革命的展開與企業(yè)活動導致的危害后果引起社會尤其是政治關注，企業(yè)刑事責任才作為公共政策選擇的結果進入刑法的視野，就如英國法官在1838年的Regina v. Tyler案中所言：采納刑事責任是規(guī)制企業(yè)行為的最有效途徑。[16]美國法官在1909年的New York Central & Hudson River Railroad Co. v. United States中也認為：如果因為法人不能犯罪這一腐朽而又陳舊的原則而賦予它們刑事豁免，實質上就是剝奪了唯一能夠控制它們、糾正違法的有效工具。[17]

在20世紀90年代之前，各國企業(yè)刑事責任原則采取的都是一元模式，即以傳統(tǒng)刑法理論下的個人刑事責任為基礎，以個人與企業(yè)之間的聯系為媒介認定法人刑事責任，普遍體現出傳統(tǒng)刑法與政策需求相妥協(xié)的特點。但隨著交通技術與信息技術的發(fā)展，企業(yè)的組織結構日趨復雜，企業(yè)內部與企業(yè)之間生產經營活動協(xié)作化日漸增強，一元模式的企業(yè)刑事責任面臨越來越大的挑戰(zhàn)。尤其是，隨著企業(yè)的決策過程越來越復雜、業(yè)務程序越來越分散，責任分擔者也越來越多，根據行為與責任同在的原則確定應負刑事責任的個人越來越難。[16]P330例如在21世紀初期，英國發(fā)生了多起重大傷亡事故以及勞動災害，公眾強烈要求以“過失致人死亡罪”嚴罰涉事企業(yè)。[18]P353根據英國的同一視原則，追究企業(yè)過失責任要有引起過失致人死亡且能夠代表法人意志的行為人，還須證明行為人對現場危險存在認識。但在規(guī)模相對較大的企業(yè)中，高層管理人員通常不在具體業(yè)務活動現場，因此，存在這種認識的可能性幾乎不存在。再如，現代企業(yè)活動中蘊含的危險，也具有與上述風險相似的特征，也給刑事司法帶來了相似的難題。此外，因為一元模式是傳統(tǒng)刑法立場與政策需求妥協(xié)的結果，在實踐中存在處罰范圍過于寬泛的缺陷，尤其是在代理責任之中，因為其近似于嚴格責任，可以根據任何員工的行為追究法人的刑事責任，[19]這又不可避免地帶來企業(yè)掩蓋罪責、阻礙調查的負面效應，從而削弱刑罰的預防效果。正是為了應對風險社會與現代企業(yè)提出的上述挑戰(zhàn)，英美國家率先提出了以“共治”為核心理念的刑事合規(guī)制度，將預防與制裁違法行為的責任分散至企業(yè)本身。一方面，要求企業(yè)制定內部預防與制裁措施，自行治理其內部可能造成風險的經營管理行為，以降低行為中的風險，分散預防責任，提高預防效果；另一方面，要求企業(yè)在發(fā)生犯罪行為之后通過提供證據、認罪認罰、補償社會等方式與之合作，降低調查、取證、起訴以及定罪等方面的難度，提高對危害企業(yè)進行刑事處罰的可能性。也正是因為分散責任與合作共治能夠應對上述挑戰(zhàn)，刑事合規(guī)獲得了越來越多國家以及國際組織的認同。

(二)共治理念與企業(yè)責任

從刑法的角度而言，刑事合規(guī)的規(guī)范立足點是企業(yè)責任。與傳統(tǒng)責任原則要求責任必須建立在故意與過失的主觀要素基礎之上不同，在刑事合規(guī)的視野中，企業(yè)責任應根據企業(yè)制定與實施合規(guī)計劃的情況確定。如此，在刑事合規(guī)“共治”理念的影響下，企業(yè)責任的認定模式逐漸從之前的一元模式向二元模式轉變。也即，在企業(yè)犯罪的案件中，根據不同的原則與基礎，對個人責任與企業(yè)責任分別進行獨立認定。如果說在一元模式下，企業(yè)責任的判斷邏輯是“出現危害結果或者危害行為、認定個人責任、確認個人-企業(yè)關系、認定企業(yè)責任”的線性結構，在二元模式下，企業(yè)責任的判斷邏輯則呈現出個人-企業(yè)的平行結構。具體而言，就個人責任，仍然根據傳統(tǒng)的刑法原則進行認定；二是根據法人文化、經營管理以及營業(yè)活動中的缺陷來認定法人刑事責任的過程。如此，在企業(yè)犯罪的場合，司法機關判斷企業(yè)責任的主要根據在于，被告企業(yè)是否充分履行了法定義務或者是否有效實施了預防犯罪的適當措施或者程序。因為作為責任前提的危害結果與危害行為，與被告法人組織管理與經營活動是否存在缺陷以及是否存在滋生犯罪的整體環(huán)境的判斷標準都是客觀的，所以，二元模式的企業(yè)責任整體上呈現出客觀化特征。

與客觀化特征相適應，在企業(yè)犯罪的場合，證明責任發(fā)生了倒置，也即，如果控訴方可以證明危害行為或者危險結果與被告企業(yè)的組織管理、經營活動中的缺陷或者內部負面文化之間存在因果關系，就可以推定被告企業(yè)有罪。如果企業(yè)提出無罪或者罪輕的主張，應該承擔證明責任。需要指出的是，此處的推定屬于“主觀罪責型”推定，改變的只是構成要件中主觀罪責的證明方式，即根據違法事實的存在與合規(guī)治理情況推定企業(yè)刑事責任的存在，因為似乎對基礎事實內容進行了嚴格限制，并不違反無罪推定這一刑事訴訟基本原則。[20]同時，隨著企業(yè)責任與個人責任的認定原則與基礎發(fā)生在實體法上相對分離，二者的訴訟程序也趨于相對獨立，尤其是在根據傳統(tǒng)刑法原則無法追究任何自然人的刑事責任，只能是企業(yè)的場合。在有的國外立法中，個人責任與企業(yè)責任的認定可以在同一程序中，也可以在不同程序中進行。例如，根據英國《企業(yè)過失致人死亡罪法》第18條及其立法解釋，任何人不構成該法規(guī)定罪名的共犯，如果個人行為構成普通法上的過失致人死亡罪或者衛(wèi)生安全法規(guī)規(guī)定的犯罪，可另案處理。

四、共治理念的國外立法體現

刑事合規(guī)是刑事法治的一部分，其理念必須融入立法才能進一步在司法中實現。那么共治理念在國外立法中是如何體現出來的？這也是我們在修法之前必須回答的問題。唯有如此，才能為修改我國立法提供正確的方向性參考。從英國、美國、法國、德國、意大利、巴西、日本、阿根廷、智利、西班牙以及墨西哥等國的規(guī)范性文件來看，刑事合規(guī)的共治理念在實體法上主要體現在企業(yè)責任的認定原則、處罰方式、企業(yè)緩刑等方面，在程序法上則主要體現在對符合條件的企業(yè)不起訴與暫緩起訴上。[21]

(一)實體法體現

就實體法而言，英美法系國家的代表性立法，當屬加拿大2004年3月31日生效的《C-45號法》(C-45 Bill, or Westray bill)與英國2011年7月1日開始實施的《2010年賄賂罪法》(Bribery Act 2010)。大陸法系國家的代表性立法，則是意大利的《第231/2001號法》與2015年修訂后的《西班牙刑法典》。

加拿大的《C-45號法》(C-45 Bill, 或者 Westray bill)對加拿大刑法典中的企業(yè)刑事責任原則進行了實質性修改，是加拿大企業(yè)刑事責任立法發(fā)展中的分水嶺。在《C-45號法》生效之前，加拿大僅僅是根據同一視原則追究企業(yè)刑事責任；之后，在過失犯罪的場合，同時采納了代理責任與同一視原則，以過失之外的其他主觀心態(tài)為構成要素的犯罪適用等同原則，即在至少以部分為企業(yè)謀利之目的實施犯罪，而且企業(yè)的高級官員(1)在其授權范圍之內行為，成為特定犯罪的共犯，(2)具有成為共犯所必需的主觀心態(tài)，或者(3)明知法人的代表人將要或者可能成為特定犯罪的共犯，而不采取所有合理措施阻止其(雇員、代表人等)成為特定犯罪的共犯之際，可追究其責任。在第(3)中情形，企業(yè)可提出“盡職調查”的辯護理由，也即，如果能夠證明在犯罪行為發(fā)生之際，存在適當的預防措施，可以免除其刑事責任。這里的“預防措施”其實就是合規(guī)計劃。英國的《2010年賄賂罪法》在廢除了英格蘭、威爾士與北愛爾蘭普通法上的行賄罪與籠絡罪、蘇格蘭普通法上賄賂與收受賄罪、《1906年預防腐敗行為法》、《1889年公共團體腐敗行為法》等相關成文法罪名的同時，在第1條、第2條、第6條與第7條，分別規(guī)定了行賄罪、受賄罪、向外國公職人員行賄罪與商業(yè)組織不履行預防賄賂義務罪四項新的賄賂犯罪。[22]根據該法第7條的規(guī)定，如果商業(yè)組織不制定、實施的符合《2010年賄賂罪法》第7條(2)規(guī)定的適當程序，而致使與商業(yè)組織相關的個人，出于特定目的實施了符合上述行賄罪與賄賂外國公職人員罪，該組織應承擔責任。從反面而言，適當程序構成了該罪的辯護理由。

作為大陸法系的代表性國家之一，意大利傳統(tǒng)上堅持個人主義與道義責任，強調社團不能犯罪。但鑒于本國企業(yè)犯罪的嚴峻形勢與來自歐盟等組織的外部壓力，意大利2001年通過了《第231/2001號法》，首次規(guī)定了企業(yè)刑事責任。該法規(guī)定了兩種企業(yè)歸責形式。第一種在實質上是英國的等同原則，即在企業(yè)“首腦”，包括董事、經理或者受到董事、經理指派或者監(jiān)督的人，實施了法定的犯罪行為之際，如果能夠認定該行為是為了公司利益的，則可以追究企業(yè)的責任。第二種則是組織責任，例如在企業(yè)沒有針對已然發(fā)生的犯罪實施有效措施進行預防的場合，也可以追究企業(yè)的責任。同時，上述這兩種責任形式都允許提出“已盡到合理審慎”的辯護理由。[21]P13-14與意大利相似，西班牙傳統(tǒng)上也是對企業(yè)刑事責任持否定態(tài)度的。直至2010年，西班牙才通過修訂《司法組織法》，首次規(guī)定了企業(yè)刑事責任，之后在2015年，又對企業(yè)刑事責任的追責原則進行了重大修改，將為預防違法行為而進行的“適當控制”規(guī)定為企業(yè)刑事責任的基礎。與《司法組織法》的修改相適應，2015年修訂的《西班牙刑法典》第31條之四“合規(guī)計劃”明確規(guī)定，如果滿足如下條件，可以免除企業(yè)的刑事責任：(1)在犯罪行為發(fā)生之前，董事會已經采納并實施了針對特定犯罪行為的管理和控制制度；(2)有具有主動權和控制權的獨立監(jiān)督機構負責相關制度；(3)犯罪人在行為之際以欺騙的方式故意規(guī)避了相關制度；(4)監(jiān)督機構在監(jiān)督和控制方面并無失職，同條之五進而規(guī)定了構成合規(guī)計劃應滿足的識別風險活動等六項原則。[21]]P17-18

在修改企業(yè)責任認定原則的同時，許多國家的企業(yè)處罰還體現出了多樣化的特征。例如英國的《2010年賄賂罪法》規(guī)定，在商業(yè)組織被認定有罪之際，可處以無限額罰金，剝奪其在歐盟范圍內參與公共采購等方面的資格，[23]《第231/2001號法》在規(guī)定罰金的同時，還規(guī)定了公開法院判決，暫?；蛘叱坊厥跈?、許可或者用于實施犯罪的減讓文據，禁止與公共行政部門訂立除履行公共服務外的協(xié)議，禁止發(fā)布廣告等處罰。此外，鑒于刑事合規(guī)的目的是通過處罰促進企業(yè)實現可持續(xù)發(fā)展，許多國家的立法都規(guī)定了企業(yè)緩刑制度，為企業(yè)制定、完善與實施合規(guī)計劃提供空間，體現出了彈性化的處罰特征。例如，加拿大的《C-45號法》明確規(guī)定法院可以對被定罪的企業(yè)頒布緩刑令，要求其接受法院監(jiān)督。[24]P441-445早在1972年United States v Atlantic Richfield Company案中，美國聯邦法院早就以治理被污染的土壤與河流為條件，對犯罪企業(yè)宣告緩期。[25]

(二)程序法體現

刑事合規(guī)在國外程序法上主要體現，是允許對實施合規(guī)計劃的企業(yè)宣告不起訴或者緩起訴，這似乎已經成為各國合規(guī)立法的普遍性規(guī)則之一。[1]例如，直至2010年才通過《公司刑事責任法》(Ley 20392)規(guī)定企業(yè)刑事責任的智利，很快就適應制裁需要，允許檢察官與企業(yè)被告代達成類似不起訴或者緩起訴協(xié)議。2013年4月，調查機關與涉嫌通過賄賂公共官員獲得建筑許可的賽力特工業(yè)就達成了第一份不起訴協(xié)議。[1]在2016年通過《薩賓第二法案》(《關于提高透明度、反腐敗以及促進經濟生活現代化的2016-1691號法》)之前，法國不允許檢察官與企業(yè)簽訂緩起訴協(xié)議。但該法允許司法機關與被告企業(yè)達成“基于公共利益的司法協(xié)議”，[1]其類似于英美法系所謂的緩起訴協(xié)議。當然，在這一方面，最具代表性的還是美國，尤其是在《反海外腐敗法》領域。根據《美國律師手冊》 第九章的規(guī)定，在決定是否起訴之際，司法部應考慮的因素包括：犯罪的性質與嚴重性、企業(yè)違法行為的危害后果、企業(yè)實施類似行為的前科、企業(yè)與調查機關的合作、及時披露違法行為的意愿、是否存在合規(guī)計劃及其有效性，包括實施與完善現有計劃的努力等。如果檢察官決定起訴企業(yè)，可以接受企業(yè)的申請，與之簽署不起訴和緩起訴協(xié)議。從企業(yè)的角度而言，因為一旦被起訴會面臨嚴重后果，甚至可能煙消云散，所以，企業(yè)有選擇暫緩起訴協(xié)議或者不起訴協(xié)議的強烈意愿。從司法機關的角度而言，協(xié)議中包括企業(yè)與政府合作、實施合規(guī)計劃的條款，這其實也實現了刑罰威懾犯罪的目的。據統(tǒng)計，自2000年以來，美國司法機關與企業(yè)達成的緩起訴與不起訴協(xié)議逐年攀升，2015年多達102份。[1]

五、刑事合規(guī)的國內立法思路

刑事合規(guī)的核心理念及其在國外立法中的體現表明，企業(yè)犯罪與作為其對策而出現的刑事合規(guī)在本質上都是公共政策選擇的結果。如果強行將之納入強調道義責任與個人主義的傳統(tǒng)刑法理論與立法之中，以個人責任為媒介來認定企業(yè)責任，必然會產生當前合規(guī)工作試點中的種種難題。因此，在參考國外立法進行修法之際，必須明確的理論前提是：企業(yè)責任與個人責任具有本質的不同，認定二者的基礎與原則應當二元化。⑥

(一)實體法思路

從上述前提出發(fā)，確立企業(yè)刑事合規(guī)制度，在實體法方面，首先，需要改變當前企業(yè)責任的認定基礎邏輯，將合規(guī)計劃的制定與實施情況作為認定企業(yè)責任的基礎。同時，雖然試點工作是在審查起訴階段，但是從刑事合規(guī)制度的初衷而言，應該向前擴展到調查活動啟動之前，就如美國學者所言，企業(yè)嚴肅對待合規(guī)計劃的最佳時機不是在聯邦調查開始之后，而是未雨綢繆，避免此類調查發(fā)生；[26]向后延申至審判與刑罰執(zhí)行階段，以保證企業(yè)能夠可持續(xù)地發(fā)展。從國外刑事合規(guī)的實踐來看，可以區(qū)分出四種情況：(1)在危險或者違法行為發(fā)生之前，企業(yè)不但不制定和實施合規(guī)計劃進行預防，甚至還鼓勵或者變相鼓勵違法行為；(2)企業(yè)明知存在發(fā)生違法行為的危險，不進行任何合規(guī)治理；(3)企業(yè)雖然制定并實施了合規(guī)計劃，但在明確可能或者已經發(fā)生違法行為的情況下不采取任何治理措施；(4)企業(yè)不采取措施充分履行法律義務，例如網絡運營者不履行《網絡安全法》第42條規(guī)定保護個人信息安全的義務，⑦導致發(fā)生危害后果的。前三種情況是鼓勵、縱容以及默許違法行為，屬于故意犯，第(4)種情況顯然屬于過失犯。從這四種情況出發(fā)，可考慮對《刑法》第14條與第15條進行修改，分別增設一款作為第二款，規(guī)定“單位未進行有效合規(guī)治理的，推定單位存在故意”，與“因單位未適當履行預防義務而導致危害結果發(fā)生的，推定單位存在過失”。具體而言，如果存在上述第(1)～(3)種情形推定單位存在故意，存在第(4)種情形推定單位存在過失，以突出單位刑事責任的客觀性，確立推定原則。如此，區(qū)分出個人責任與企業(yè)責任的認定基礎與認定原則。

其次，既然單位犯罪是政策的產物，那么在邏輯上說來單位可以實施任何犯罪。即使在諸如強奸罪等要求特殊構成要件要素的罪名的場合，單位雖然不能成為正犯，但存在成為從犯的可能性。事實上，《刑法》雖然仍堅持“法律有規(guī)定的”才作為單位犯罪處罰，但是，一方面，全國人大常委會2014年4月24日通過的《關于<中華人民共和國刑法>第三十條的解釋》，允許在企業(yè)實施刑法規(guī)定的危害社會的行為的場合，即使刑法并未將相應行為規(guī)定為犯罪，也可以追究負責組織、策劃、實施該行為者的刑事責任，這其實已經間接通過單罰制將單位刑事責任擴展至所有罪名；另一方面，單位刑事責任已經進入了傳統(tǒng)的自然犯的范圍，《刑法》第244條、第260條之一已經將單位規(guī)定為強迫勞動罪與虐待被監(jiān)護、看護人罪的犯罪主體。尤其是在后者的場合，從“同時構成其他犯罪的，依照處罰較重的規(guī)定定罪處罰”的規(guī)定出發(fā)，在被害人死亡的案件之中，也可以追究單位故意致死的刑事責任。既然單位都可以實施故意殺人罪這一最核心的自然犯，還有什么樣的犯罪不能實施呢？置而言之，無論是在實踐中還是在邏輯層面上，都已經可以將單位犯罪擴展至刑法分則規(guī)定的所有罪名。因此，繼續(xù)保留《刑法》第30條第一款中“法律規(guī)定為單位犯罪的”限制性要件已經沒有必要了，如果將之刪除反而可以避免上述實踐中的適用前提與監(jiān)管對象方面的難題。

第三，如上所述，合規(guī)監(jiān)管未來可能延伸至刑罰執(zhí)行階段。鑒于《刑法》第72條規(guī)定的緩刑制度僅能適用于自然人，因此有必要增設第二款，規(guī)定獨立的單位緩刑制度，以為在刑罰執(zhí)行階段實施合規(guī)監(jiān)管奠定合法性基礎。例如，可以規(guī)定，對于被判處具體數額以下罰金的單位，如果滿足獲得被害人諒解、采取措施減少其犯罪行為造成的損害并進行補救等條件的，可以宣告緩刑，在緩刑期間進行合規(guī)治理，期滿后如果被評估為有效的，原判刑罰就不再執(zhí)行。

最后，為了給司法機關更大的裁量空間與監(jiān)管選擇，在《刑法》有關量刑制度以及非刑罰處罰措施的相應條款中增設提示性規(guī)定或者作相應修改，將之應用于單位是比較務實的選擇。例如，將《刑法》第37條之一規(guī)定的職業(yè)禁止延展適用至單位。在實踐中，許多單位犯罪，尤其是證券、稅務等經濟犯罪，都是利用職業(yè)便利實施。同時，《刑法修正案(九)》已經將拒不執(zhí)行判決、裁定罪規(guī)定為單位犯罪。如此，將職業(yè)禁止適用于單位既有必要性也有可行性。

(二)程序法思路

如上所述，當前企業(yè)合規(guī)試點的合法性基礎主要是《刑事訴訟法》第177條第2款規(guī)定的相對不起訴。因為這一制度最初也是以自然人為假想對象，所以導致了合規(guī)監(jiān)管期限方面的難題。如果在刑事實體法上將個人責任與企業(yè)責任相對分離，對于刑事程序法也應該進行相應的改革，則可以為全面確立刑事合規(guī)制度及其實施機制奠定合法性基礎。

從企業(yè)合規(guī)試點實踐中的難題出發(fā)，在177條增設第3款規(guī)定附條件不起訴制度似乎是比較適宜的選擇。一方面，附條件不起訴是國外刑事合規(guī)實踐中較為通行的做法；另一方面，我國的實踐已經證明，以相對不起訴作為刑事合規(guī)的制度基礎存在不足。隨著個人責任與企業(yè)責任的二元化，針對單位規(guī)定獨立的附條件不起訴制度，將接受合規(guī)監(jiān)管規(guī)定為適用條件之一是必要而且可行的。為保證合規(guī)治理的實效，合規(guī)監(jiān)管期間應由檢察機關在咨詢第三方機構之后，根據犯罪行為的性質、企業(yè)內部合規(guī)治理的情況等因素確定，不受自然人辦案期限的限制，以便為企業(yè)制定與有效實施合規(guī)計劃提供充足時間。

同時，從提供程序保障、保護企業(yè)合法權益的角度出發(fā)，可考慮在《刑事訴訟法》第五編“特別程序”中增設第六章，規(guī)定“刑事合規(guī)監(jiān)管程序”。如果說20世紀80年代末承認單位犯罪的最大目的是通過刑罰處罰、預防單位犯罪，那么將合規(guī)寫入刑事立法則更進一步，因為合規(guī)建設可以通過刑罰威脅與激勵，推動企業(yè)積極進行自我預防、實現可持續(xù)發(fā)展，為之規(guī)定特別程序的重大意義不亞于未成年人犯罪、缺席審判等特別程序。在“刑事合規(guī)監(jiān)管程序”中，應對監(jiān)管主體、監(jiān)管對象、有效性評估的主體以及監(jiān)管期過后如何處理等基本問題進行規(guī)定。例如在被告企業(yè)因自愿接受合規(guī)監(jiān)管而被宣告緩刑的場合，如何進行合規(guī)監(jiān)管等，對于這些問題都應該未雨綢繆。

最后，根據上述最高檢等8家單位聯合印發(fā)《意見》第13條與第14條的規(guī)定，第三方組織在合規(guī)考察期滿后對涉案企業(yè)的合規(guī)計劃完成情況進行評估，并制作合規(guī)考察書面報告，檢察機關應將之決定作為“批準或者不批準逮捕、起訴或者不起訴以及是否變更強制措施，提出量刑建議或者檢察建議、檢察意見的重要參考”。置而言之，第三方組織的評估報告是影響檢察機關決定是否采取強制措施、是否起訴以及是否提出從寬量刑建議的重要證據。如果未來全面建立起刑事合規(guī)，第三方組織的評估報告還可能成為是否認定被告企業(yè)有罪、是否宣告緩刑、是否以及在多大程度上減免處罰的重要證據。因此，建議通過司法解釋或者指導性案例，將將評估報告確定為鑒定意見，第三方組織及其給出結論性意見的成員對評估報告的客觀性、真實性與公正性負責。

結語

刑事合規(guī)是一個復雜的問題，尤其是合規(guī)計劃的有效性評估問題。因此，針對試點工作中的問題進行立法應對，只是走出了第一步，后續(xù)還有大量的問題和工作有待于去研究和完成。例如，從企業(yè)的角度而言，合規(guī)就是企業(yè)承諾并主動采取有效措施做正確的事情。[27]但是，如果企業(yè)主動將其違規(guī)行為向執(zhí)法或者司法機關披露，這些信息可能被泄露給民事訴訟中的原告，給企業(yè)造成損失。如何解決這一問題呢？是否可以像美國學者所建議的，給予有效實施合規(guī)計劃的企業(yè)豁免權？[28]再如，在將犯罪預防的部分責任向企業(yè)分散之際，如何處理好集中與分散的關系，保證合規(guī)能夠按沿著預定的方向發(fā)展？畢竟企業(yè)是以營利為目的的經濟組織，刑事合規(guī)要求企業(yè)承擔風險后果，與其營利性質存在直接矛盾。如果將合規(guī)計劃的制定原則、有效性的判斷標準等事項的決策權交給企業(yè)或者企業(yè)主導的組織，很可能發(fā)生“合規(guī)的違法現象”。此外，雖然如上所述，《意見》建立了第三方監(jiān)督評估機制，授權第三方組織對企業(yè)的合規(guī)計劃有效性進行監(jiān)管、評估，但就第三方組織及其人員的性質、定位等問題仍然存在很大的探討空間，尤其是在將其評估意見作為定罪量刑的證據之際，如果因為虛假的評估結論造成重大損失，應如何追究責任？簡而言之，在將企業(yè)合規(guī)進入刑事立法之后，需要進一步深入研究的問題，就是如何起建立起司法機關主導、專業(yè)機構協(xié)助與社會組織參與的合規(guī)實施機制，將立法追求貫徹到實處。

注釋：

① 這一點在最高檢2021年4月8日下發(fā)的《關于開展刑事合規(guī)改革試點工作方案》中也有所體現，因為根據該《方案》，檢察機關要督促企業(yè)建立合規(guī)制度，履行合規(guī)承諾，提出刑事合規(guī)建設意見和建議，包括整改方向和意見，承擔了絕大部分責任。

② 有的觀點甚至認刑事合規(guī)違背了罪刑法定原則。參見劉子良：《刑事合規(guī)不足以解決企業(yè)犯罪問題》，載《廣西政法管理干部學院學報》2020年底4期。

③ 例如遼寧省《關于建立涉罪刑事合規(guī)考察制度的意見》(2020年12月16日遼檢會字〔2020〕15號)第6條規(guī)定，對涉罪企業(yè)適用合規(guī)考察制度的案件應符合“直接負責的主管人員和其他直接責任人員依法可能被判處3年以下有期徒刑、拘役、管制或單處罰金”的條件。福建省泉州市洛江區(qū)人民檢察院2021年2月發(fā)布的《涉企案件合規(guī)不起訴工作規(guī)程》(試行)將適用范圍限定為民營企業(yè)家、民企高管實施的與企業(yè)經營活動有關的刑事案件，且依法應當判處3年有期徒刑以下刑罰并自愿認罪認罰的案件。

④ 例如遼寧省《關于建立涉罪刑事合規(guī)考察制度的意見》(2020年12月16日遼檢會字〔2020〕15號)第10條規(guī)定，對涉罪企業(yè)的合規(guī)考察期為三個月以上五個月以下，自檢察機關作出合規(guī)考察決定之日起計算。

⑤ 例如，最高人民法院2001年發(fā)布的《全國法院審理金融犯罪案件工作座談會紀要》(法[2001]8號)規(guī)定的：以單位的分支機構或者內設機構、部門的名義實施犯罪，違法所得亦歸分支機構或者內設機構、部門所有的，應認定為單位犯罪。

⑥ 當然，二元化并不意味著制定兩部《刑法》或者《刑事訴訟法》，而是在其內部進行相應改革，例如相對分離企業(yè)責任的認定基礎與原則、單獨規(guī)定刑事合規(guī)考察程序等。

⑦ 該條規(guī)定：網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。