刑事合规的制度边界

李本灿

(山东大学 法学院，山东青岛 266237)

一、问题的提出

文献中反复提及的是，合规是全球化、风险刑法的产物。(1)参见Thomas Rotsch, ZStW 2013, S.495, 497.经济的全球化意味着企业所面临的制裁风险的全球化。也就是说，企业不仅可能面临国内法的制裁，其还可能受到其他国家或国际性组织的禁止或命令性规范的规制。公司犯罪制度的普遍引入，使得全球性风险呈现显著的刑事化特征。风险加大客观催生了规避风险的需求和欲望，为此，企业纷纷通过自我管理的方式控制风险。(2)参见高秦伟：《跨国私人规制与全球行政法的发展》，载《当代法学》2016年第5期。从国家的角度而言，其试图从外部对企业施加影响，但作用甚微，甚至适得其反。(3)参见Prittwitz Cornelius,Risiko und Strafrecht, Vittorio Klostermann Verlag, 1993, S.138f.企业与国家的利益在大的方向上具有一致性，但在微观层面，企业有自身利益，企业内部规范并非总是与国家规范保持价值和目标上的一致性，而企业内部规范作为次级规范，对员工的行为可能有更大的影响。例如，不合理的销售目标设定对员工越轨行为具有刺激作用。(4)参见[美]莎莉·S·辛普森等：《关于企业环境犯罪控制策略的实证分析》，李本灿译，载陈兴良主编：《刑事法评论(第36卷)》，北京大学出版社2015年版，第171页。因此，如何保证企业自身规范与国家的禁止性规范在价值和目标上的一致性，具有重要意义，这也是国家推动合规激励制度的动因。合规激励制度不仅保证国家规范得到良好贯彻，有效预防公司内部不法行为，其还可以为国家节约司法资源。另一个更为隐蔽的意义是，合规制度会对刑事管辖权和刑事司法协助产生深远影响。(5)参见石磊：《刑事合规：最优企业犯罪预防方法》，载《检察日报》2019年1月26日。详言之，合规制度正在规避国家间的刑事司法协助以及国家司法管辖主权。(6)参见Ulrich Wastl, NStZ 2009, S.71ff.当然，也不排除其它不为人知的目的，例如通过合规规则将全球企业纳入主权国的规制范围，任意创设联结点，以高额罚款/金处罚企业，将其当作“提款机”。

基于以上原因，刑事合规制度正在席卷全球：从美国的《联邦量刑指南》《萨班斯法案》，到意大利的《231号法令》、英国的《贿赂罪法案》、法国的《萨宾II法案》，再到欧盟的《通用数据保护条例》。应当说，经济的全球化需要经济规则的全球化，从这个意义上讲，合规制度的推行已成大势所趋，不可违逆。为了应对我国企业“走出去”过程中的合规风险，国家发改委等六部委联合出台了《企业海外经营合规管理指引》；国务院国资委发布了《中央企业合规管理指引(试行)》；我国刑法中的单位犯罪制度也在推动特别领域的合规制度上起到了重要作用，例如，拒不履行信息网络安全管理义务罪创设了网络犯罪治理中的合规制度。(7)参见李本灿：《拒不履行信息网络安全管理义务罪的两面性解读》，载《法学论坛》2017年第3期。然而，一般性的刑事合规制度尚未设立。中国刑法学界对于刑事合规制度已经展开了广泛研究，对于未来的合规立法而言，现有成果都是有益的参考。然而，从域外经验来看，刑事合规制度已经偏离了合理的价值预期，基于此，从另一个侧面，从比较法的角度限定刑事合规的制度边界，也是一项富有价值的研究工作。本文的问题意识以及学术价值也恰在于此。

二、预防性措施的制度边界

(一)企业经营自由权与合规计划的标准化

在企业合规管理问题上，不管是从世界范围看，还是具体到中国，正在形成一种不好的现象，即试图将合规管理标准化。例如，“反贿赂管理体系国际标准”中对于企业内部审核提出要求：“组织应按计划的时间间隔开展内部审核，以证实反贿赂管理体系是否符合组织自身对反贿赂管理体系的要求；是否符合本国际标准的要求”。(8)《反贿赂管理体系：要求及使用指南国际标准》(文件号：ISO 37001: 2016〔E〕)。中国标准化研究院颁布的《合规管理体系指南》(9)文件号：GB/T 35770-2017/ISO19600:2014。已经于2018年7月1日开始实施；深圳市标准化指导性技术文件《反贿赂管理体系》(10)文件号：SZDB/Z 245-2017。也已经于2017年7月1日起实施。合规标准化对于合规制度的推行以及有效性评估固然有益，但也会产生与基本权的冲突问题：合规标准化是否可能与企业经营自由权相冲突？事实上，在很多国家，企业的经营自由受到宪法的严格保护，企业组织结构形式应以有效促进经济活力为宗旨，不应当受制于严苛的官僚式的规则。(11)参见Günter Heine, New Developments in Corporate Criminal Liability in Europe: Can Europeans Learn from the American Experience or Vice Versa, Saint Louis-Warsaw Transatlantic Law Journal, 1998, p.178.例如，“从《德国基本法》第12条的职业自由可以推导出公民开业自由与工商活动自由；第2条1款所规定的一般行为自由是基本权利中的基本条款，具有补充性功能，此项基本权利包含着经济方面的行动自由，保障企业自主决定其经济行为、契约自由和消费自由。”(12)汪玉涛：《德国经济宪法及其启示》，载《中国行政管理》2012年第11期。尽管经济自由受到一定程度的限制，即通过“社会国原则”加以平衡，但后者主要以消除市场经济弊端、追求社会公平正义为宗旨；政府经济权力同样受到基本权利的束缚，以严格的依法行政和比例原则来保证政府经济行为之合法性与合理性。(13)参见汪玉涛：《德国经济宪法及其启示》，载《中国行政管理》2012年第11期。在美国，尽管不存在诸如德国宪法中的“职业自由”“学术自由”等具体的权利条款，但从一般自由条款中间亦可推导出企业的经营自由。企业的经营自由被认为是理所当然的。与此相应，尽管美国被认为是刑事合规规则的最大输出国，但“组织量刑规则”并未设定程式化的合规标准，其所提出的合规七要素也仅仅是原则性指导，“组织规模”“业务性质”“组织前科”这三个因素对于合规有效性的评估也有影响。(14)参见U.S.Sentencing Guideline Manual §8B 2.1(b)& Commentary(2018).也就是说，合规计划的构建应当遵从个别化原则。回到我们国家，《宪法》第16条、17条明确了国有、集体企业的“自主经营权”；从第11条“国家保护个体经济、私营经济等非公有制经济的合法权利和利益”出发，也可以推论出，私营企业在法律范围内也具有自主经营的权利。

需要指出的是，企业经营自由并非毫无边界，其必须在法律范围内自由经营。然而，法律的限制也并非毫无边界，其也必须受到比例原则的限制。公司经营本身不仅关涉公司自身的利益，也关涉公共利益，尤其是对于公众公司而言。因此，公司经营自由必须受到公司法基本规则的限制，例如，公司法对于特定公司必须实缴资本的要求；公司法对于有限责任公司以及股份有限公司的组织机构的不同要求。这些基本要求客观上保障了公司自身的平稳运行，也已经最低限度保障了公司不对外输出人的或物的风险。从“合规管理本质上是自我管理”这一基本观点出发，公司法的基本制度设计就是一种合规管理制度，其他规范性文件可以在此基础上进行补充，例如，在现有公司治理框架内，明确董事会、监事会、经理层、法律事务机构以及其它业务部门的合规职责以及相互关系，并特别强调合规管理牵头部门的独立性。(15)国务院国资委：《中央企业合规管理指引(试行)》第4-11条。合规管理有效性的关键是建构一条自上而下的责任链条以及自下而上的信息流，以此保证合规部门的独立性，除此之外，其它的要求都可能是多余的。

简言之，合规计划的设计应当坚持个别化原则，标准化尝试难以保证制度有效性，也可能形成过度规制，侵害企业经营自由的宪法权利。

(二)比例原则与内部控制强度

作为行政法领域的基本原则，比例原则意指行政权配置应当兼顾行政目的与行政相对人权益，并在两者之间保持某种平衡，使得行政权既为实现行政目的之绝对必要，又尽可能小地影响行政相对人权益。它包括适当性原则、必要性原则、相称性原则(又称狭义比例性原则)。(16)参见江国华：《中国行政法(总论)》(第二版)，武汉大学出版社2017年版，第52-53页。“适当性原则处理的是手段与目的之间的关系，要求政府机关采取的手段必须能够或有助于实现行政目的；必要性原则处理的是手段与手段之间的关系，要求政府机关在多种达到行政目的的手段中选择侵害最小的手段；相称性原则处理的是手段的结果与目的之间的关系，要求政府机关对希望保护的利益和所可能损害的利益进行衡量，如果一项行政措施所损害的利益大于其所保护的利益，就不得采用该行政措施。”(17)张明楷：《法益保护与比例原则》，载《中国社会科学》2017年第7期。现如今，很多国家已经将比例原则上升为宪法原则。在我国，宪法虽未明确规定比例原则，但有学者分别从《宪法》第51条(18)参见姜昕：《比例原则研究——一个宪政视角》，法律出版社2008年版，第174页。、第5条(19)参见马怀德主编：《行政法与行政诉讼法》，中国政法大学出版社1989年版，第53页。以及《立法法》第6条(20)参见陈新民：《中国行政法学原理》，中国政法大学出版社2002年版，第42页。推导出了比例原则。更可取的解释路径是：我国现行《宪法》第33条3款以及《立法法》第6条为比例原则提供了部分宪法规范根据；2004宪法修正案第10条3款、13条3款则表明，我国《宪法》已经确立了公私利益平衡的原则。(21)参见门中敬：《比例原则的宪法地位与规范依据——以宪法意义上的宽容理念为分析视角》，载《法学论坛》2014年第5期。

从宪法中的比例原则出发，国家对公司的控制应当符合比例性。尽管合规治理是一种自我管理，但因为外部激励制度的存在，其也具有了“规制了的自治”的色彩，(22)参见[德]乌尔里希·齐白：《全球风险社会与信息社会中的刑法：二十一世纪刑法模式的转换》，周遵友、江溯等译，中国法制出版社2012年版，第247页。比例原则理应被准用。也就是说，企业(主)应当采取的是所有可能的(对应适当性原则)、必要的(对应必要性原则)和可期待的(对应相称性原则)措施。(23)参见BGH NStZ 1997, S.545f.可能性可以具体区分为事实上的可能性与法律上的可能性，事实和法律上不可能的措施不能被要求。(24)参见Rogall, in: Lothar Senge(Hrsg.), Karlsruher Kommentar zum Gesetz über Ordungswidrigkeiten, 3.Aufl.Verlag C.H.Beck, 2006,§130 Rn.38.事实上的可能性主要涉及企业的经济能力，即监督措施应当与企业的经济能力相适应，在缺乏经济能力的情况下，只存在采取无需花费的措施这种可能性，特别是采取利用政府信息这种形式。(25)[德]丹尼斯·伯克：《论作为降低涉企犯罪损害预期值措施的刑法上要求的企业监督》，黄礼登译，载李本灿等编译：《合规与刑法：全球视野的考察》，中国政法大学出版社2018年版，第284-285页。法律上的不可能涉及期待可能性问题。必要性即手段的适格性与最轻微手段性。适格性意味着监督措施具有影响行为的效果，可以有效降低企业关联性的错误行为，使得与企业相关的义务得到遵守；最轻微手段性意味着选取对监督义务人影响最小的措施。(26)参见Dennis Bock, ZIS 2009, S.74.需要特别指出的是，那种近乎必然的盖然性是不必要的，概率本身仅仅对结果归因有意义，适格性仅仅要求行为人选取在当时的情况下能最确定防止后果发生的行为。(27)参见Weigend, in: Leipziger Kommentar-StGB, 12.Aufl., 2007,§13 Rn.63.也就是说，对适格性的评价应当采取事前视角，而非事后视角。

最后的也是最值得讨论的是期待可能性的问题。从(法律上的)可能性与适格性中都可以推论出期待可能性问题。也就是说，对企业而言，经济上过分显著的投入不具有法律上的可能性与适格性，也可能影响行为可期待性的判断。本文总的观点是，借用针对自然人犯罪的期待可能性理论来评估监督强度；所放弃的利益与所保护的利益要总体上相对平衡，不能过分悬殊。因此，监督强度的评估问题也就转化为，如何评估损害预期值？总得来说，损害预期值=预期损害发生概率×预期损害利益大小。(28)这个问题可以详细参见[德]丹尼斯·伯克：《论作为降低涉企犯罪损害预期值措施的刑法上要求的企业监督》，黄礼登译，载李本灿等编译：《合规与刑法：全球视野的考察》中国政法大学出版社2018年版，第295-306页。

1.预期损害发生概率。损害发生概率=具有刑法意义的员工行为的数量×每个具体的员工行为可罚性的盖然性。这也就意味着，(1)员工行为数量越多，损害预期值越大，相应地，监督措施愈应当深入。在公司员工行为显著稀少的情况下，公司领导自身即可以承担监督职责；在员工行为众多的情况下，监督链条就必须深入地分级，构建不发生断裂的监督与责任链条。(2)单个员工行为可罚性的概率越大，损害预期值越大，相应地，监督措施愈应当深入。员工行为的可罚性概率受到规制强度、行为复杂性、员工质量的影响。规制强度与行为复杂性涉及行业的复杂性以及相对应的规范的复杂性。例如，进出口业务可能涉及的不仅包括国内法，还包括国外、国际法，相比于单纯国内业务，其可罚性概率要更高；金融领域相比于普通的服务领域，因为涉及公众利益，规则更多、更复杂，相应地，行为触犯法律的可能性也就更大。员工质量是一个相对的标准。一般而言，高质量(例如经过严格培训)的员工实施具有可罚性行为的概率相对较低，所需监督强度也相应降低，但是，这并不绝对。即便是身处要职者，也不代表着更高的法忠诚度；经济犯罪通常不会在工作开始时出现，但经过时间积累，哪怕是高质量员工，也可能积累了犯罪的知识和可能性。(29)参见Bussmann/Matschke, CCZ 2009, S.132, 135.因此，对于具体员工的违规可能性的评估，也需要结合违规记录等情况综合判断，不能单一依靠素质高低。

2.预期损害利益大小。预期损害的大小与预期损害的法益的重要性成正比，预期损害的法益越重大，所需要的监督强度越大。对于企业来讲，合规投入主要表现为经济投入，因此，在预期损害表现为经济损害时，进行利益衡量即可，不需要过多讨论。值得讨论的是，当存在利益种类的跨越时，监督强度如何设定？例如，当行为可能影响重大的生命健康法益，甚至多数人的生命健康法益(公共法益)或者国家利益时，如何设定监督强度？本文的初步看法是，既然损害预期值不能降低至零(已成共识)，那就意味着有一部分风险是社会必须容忍的，例如对于核电可能产生的风险已经被其可能带来的利益抵消了。这也就意味着，对于这类风险，一方面应当要求企业采取更强有力的监督措施，另一方面也应当保持利益平衡。如果在能力范围内仍无法避免大概率、高频率风险的发生，那么，这类企业就是社会清理的对象了。

(三)技术监控的人身权边界

以上两点主要阐明的是，过度规制可能对于公司权利造成侵害。除此之外，公司职员也可能成为过度规制的受侵害者。在当下的公司内部治理中，尤其值得关注的是技术监控与职员人身权边界的问题。从学理上讲，主流观点已经认可了公司领导人对于员工行为的监督者保证人义务。(30)参见Schünemann, Unternehmenskriminalität und Strafrecht , Carl Heymanns Verlag KG, 1979, S.102ff;[德]罗克辛：《德国刑法学总论(第2卷)》，王世洲等译，法律出版社2013年版，第32节，边码137。出于利益维护考虑，企业通常也都会采取措施监督员工在工作场所的职务行为。(31)参见张新宝：《隐私权法律保护》，群众出版社2004年版，第235页。在电子技术发达的今天，劳动者监控主要是通过技术设施完成的，应当说，监督员工行为是单位的义务，也是权利。然而，即便是在工作场所，员工隐私权也并非不受保护。尽管我国的《劳动法》、《劳动合同法》均未涉及员工隐私权，但在《侵权法》第2条明确规定了公民的隐私权；从《宪法》第38条的人格尊严条款亦可推导出公民隐私权。因此，如何平衡劳动者的隐私权与企业的监督权成为企业内部治理中的重要问题。

对于权利冲突与平衡问题，从来没有标准答案，它与一个国家基本的法律规定以及权利观念密不可分。例如，同属经济高度发达地区，欧洲和美国就存在不同的劳动者隐私观念。在美国联邦层面，对于劳动者隐私权的保护主要是通过《电子通信隐私法案》进行的。尽管该法案规定了拦截电子通信信息行为以及未经授权侵入电子信息设备的行为违法，但又为此设定了若干例外；此外，法院对于该法案也倾向于限缩解释，扩大雇主的监控权限。(32)参见Gail Lasprogata, Nancy J.King, Sukanya Pillay, Regulation of Electronic Employee Monitoring: Identifying Fundamental Principles of Employee Privacy through a Comparative Study of Data Privacy Legislation in the European Union, United States and Canada, Stanford Technology Law Review, vol.4, 2004, p.36.可以说，在劳动者隐私权保护这个问题上，美国法站在了雇主一边。究其原因，是因为美国的隐私权观念是建立在“独处权”的理念之上的，这种独处权在家庭等私人空间受到绝对保护，但在劳动场所，由于其半公开的属性，劳动者的隐私期待被大大降低了；相比之下，雇主的知情权更为重要，因为这样可以保证竞争力以及经营管理效率。(33)参见罗有康：《劳动者隐私权保护制度比较研究——兼论我国劳动者隐私权保护制度的立法思考》，复旦大学2009年优秀硕士论文，第30页。相比之下，《欧盟隐私指令》则体现出对劳动者人格尊严的重视，亦即，从人格尊严条款推导出对劳动者的隐私权保护。基于此，“单面透视玻璃”“录像机监控”“窃听设备”都不被允许，这些行为甚至可能违反德国刑法第201条。作为例外，员工同意以及涉及雇主重大利益的情况下，上述行为方被允许；“保护重大的雇主利益所需的情况”不包括防止雇员或顾客偷窃等情况，原因在于，雇佣专门人手也能起到同样效果；只有在紧急防卫或者类似的情况下，才有所不同。(34)[德]沃尔夫冈·多伊普勒：《德国劳动法》(第11版)，王倩译，上海人民出版社2016年版，第225-226页。

劳动法的本质是国家干预劳动关系，它所体现的是一个清晰的宪法价值位阶；它是现代经济社会高度发展的产物，在自由主义和国家干预主义的交错中呈现出其存在的样态及功能价值。(35)林嘉：《劳动法的原理、体现与问题》，法律出版社2016年版，第27页。也就是说，劳动法一直在管制与放松管制之间摇摆。在缺乏劳动法依据的情况下，我国合规监控的人身权边界也应当在绝对管制与绝对自由之间寻求平衡。首先，如果过于放松，绝对遵从意思自治原则，则可能影响职员宪法权利的实现，尤其是在我国宪法明确保护人格尊严的情况下；其次，如果过度管制，则势必影响单位的知情权。鉴于此，笔者认为，在坚持劳动者人格利益高于雇主经济利益的大前提下，(36)参见胡玉浪：《电子邮件监视与劳动者隐私权的法律保护》，载《法治研究》2009年第3期。应坚持“知情、合法合理、安全、公共利益”的原则。所谓知情，是指职员的事前同意，并知晓所搜集的个人数据的内容、存放方式、用途等情况。基于此，秘密的信息搜集则不被允许；所谓合法合理，是指手段合法并且符合比例原则，例如，对于更衣室等极度隐私的地方，不允许任何电子监控；对于纯粹公共用途的邮箱进行信息搜集没有问题，但如果公司并不禁止邮箱或者通讯工具的私用，则对于信息跟踪手段要进行限制，禁止跟踪私人信息；所谓安全，是指不仅要保证所搜集信息不被任意泄露，还应当保证目的落空后及时销毁数据；所谓公共利益，是指如果所搜集数据涉及重大公共利益，则外部揭弊并不涉及员工的隐私侵害。

三、外部激励措施的制度边界

(一)不合规不能成为反向激励的事由

在立法例上，合规往往被视为正向激励的事由。例如合规可以成为英国《贿赂罪法案》第7条的辩护事由，起到出罪作用；合规可以成为美国组织量刑中减轻处罚的根据。(37)参见U.S.Sentencing Guideline Manual §8C 2.5(f)(g)(2018).有疑问的是，不合规能否成为反向激励的事由，例如，是否可以加重刑罚？笔者曾经从《美国联邦量刑指南》8C 2.5(b)(f)项推导出了不合规将会加重处罚的根据。高层参与确实体现了更大的罪责，然而，高层参与本身是评价是否存在有效合规计划的重要考量因素，如果高层积极构建合规体现了合规的有效性，从而减轻责任点数，那么，高层参与犯罪理应抵消所减轻的责任点数，即责任点数保持原有水平而非加重责任。在高层参与作为加重处罚的重要根据的情况下，只能认为不合规是刑罚的加重事由。同样的解释也发生在8C 2.5(f)(g)项与8C 2.5(e)(38)参见U.S.Sentencing Guideline Manual §8C 2.5(e)(f)(g)(2018).项之间的关系：尽管(f)和(g)项分别使用了“有效的合规和伦理计划”、“自我报告、合作和认罪”的不同表述，但这些都是合规计划的核心含义；与此相对，(e)项则将“不采取合理措施预防……”作为责任点数增加(3点)的根据，而“不采取预防措施”即为“不合规”的同意表达，很明显，“不合规”已经成为责任加重的根据。也就是说，在美国法中，不合规成为刑罚加重的根据。据我国学者介绍，澳大利亚法也将不合规作为加重处罚的根据。(39)参见周振杰：《企业适法计划与企业犯罪预防》，载《法治研究》2012年第4期。在学理上，孙国祥教授表面上看反对笔者的观点：“既然是否实施刑事合规能够成为入罪的依据，就没有理由否定刑事合规与刑事制裁轻重的勾连，不能排除企业对刑事合规的敌视成为从重情节。”(40)孙国祥：《刑事合规的理念、机能和中国的构建》，载《中国刑事法杂志》2019年第2期。为了证明这个观点，孙国祥教授例举了相关司法解释关于“多次实施违法行为、事后妨碍、对抗调查，可以从重处罚”的规定。然而不得不说，这是师徒二人的错误交锋。事实上，我并不排斥不合规可以从重处罚的观点，而只是认为，不合规不能成为加重刑罚的根据。从量刑的基本理论来看，责任刑决定刑罚的上限，预防刑决定刑罚的下限。(41)参见李冠煜：《量刑责任概念的理解与适用》，载《当代法学》2016年第5期。作为预防刑的因素(部分场合)，企业合规制度表征了其预防必要性降低，因此，可以在责任刑限度内调节刑罚，这种调节当然包括从轻和从重。例如，企业不实施合规制度，多次发生违法行为，当然可以从重处罚。这种情况下，公司不合规承担了品格证据的作用。但是，无论如何都不能因为公司不合规而突破责任刑，加重公司刑罚，这是量刑的基本规则。总之，无论是作为责任刑，还是预防刑的考虑因素，企业不合规都不是加重处罚的理由。

(二)保证人的义务范围不应无限扩展

1.前置性行政法规不能成为刑事义务的联结点。从国家视角观察，推动企业合规的激励机制首先是将合规与单位刑罚建立联系。(42)参见万方：《企业合规刑事化的发展及启示》，载《中国刑事法杂志》2019年第2期。以美国法为代表的立法例与学术研究，包括我们国家当下的合规制度研究，都属于这种模式。然而，需要提出的问题是，在不承认法人犯罪的法域中如何建构刑事合规制度？即便是我国，法人犯罪也具有片段性，即法人仅为部分行为承担刑事责任，例如，单位实施的贷款诈骗就不能构成单位犯罪。这种情况下，如何通过对单位的激励推动专项合规就成为问题。事实上，如果将以美国为代表的模式称为组织体抑制模式，那么，必然存在另一种模式，即个人抑制模式。而且，在同一个国家，两种模式并非互相排斥。也就是说，即便是在通过单位刑罚激励建构刑事合规制度的国家，同时也存在通过对个人施加责任推动其履行合规建构义务的制度安排。例如，《萨班斯法案》显著强化白领犯罪刑事责任，以此推动其履行内控义务的方式，就是个人抑制模式。个人抑制模式的典型代表是德国，其主要方式是，赋予合规官监督者保证人义务，以此建构内部合规机制。也就是说，当合规官发现公司内部存在职务关联性不法行为时，其具有监督管理义务。(43)参见BGHSt 54, 44, Rn.27.

主流观点认为，合规官对于公司内部职务关联性不法行为的监督者保证人义务是派生性义务：因为具有命令以及组织权能，企业领导人具有危险源(不区分人的危险与物的危险)监督义务，经过授权，合规官取得了派生性的监督义务，这种义务的形成不需要独立的命令支配权能，只需要能随时通知领导即可。(44)参见Dannecker/Dannecker, JZ 2010, S.990.也就是说，一方面，应当肯定合规官具有继受性的监督者保证人义务；另一方面，因为其缺乏必要的命令指示权，其只能通过信息传递，完成自己的义务，经过信息传递，责任回转给了公司领导。(45)Konu也表达了与本文类似的看法：“直接的犯罪阻止义务是不存在的，因为合规官缺乏命令权；然而，其具有采取组织措施阻止犯罪的义务，及时上报(Eskalation)就是一项合适的组织措施。”Vgl.Konu, Die Garantenstellung des Compliance-Officers, Duncker & Humblot, 2014, S.90.值得讨论的问题是，当公司领导对于合规官传递的信息不作为，或者违法行为本身就来自于领导集体，此时的内部揭弊无法有效阻止不法行为时，合规官是否具有外部揭弊的义务？在文献中，有学者一方面从德国《有价证券交易法》(WpHG)第10条1款1句、第33条1款2句中推导出来了合规官的外部揭弊义务；另一方面又认为，这种义务的违反仅仅是违反秩序的行为(Ordnungswidrigkeit)。(46)参见Johannes Sebastian Blassl, Zur Garantenpflicht des Compliance-Beauftragten, Peter Lang, 2017, S.220.在本文看来，这种观点是可取的：合规官的内部揭弊义务的实质根据是，经过授权或者从合同的附随义务中可以推导出其为公司利益负责的义务，但其不需要为公共利益负责；然而，在部分场合，法律规定了公民或者特定自然人为公共利益负责的义务，例如德国刑法138条以及上述德国《有价证券交易法》的相关条款。即便如此，从这些条款推导出的义务也具有不同的性质，即需要区分刑事义务与行政性义务。具体到合规官的义务，除非发生德国刑法138条的情况，其不具有刑事上的外部揭弊义务；德国《有价证券法》中规定的外部揭弊义务的违背仅可能产生秩序违反(非刑事)责任。

这一点结论对于我们国家具有意义：一方面，合规机制的有效构建离不开责任机制的建立，(47)实际上，当下反腐实践中的主体责任制就充当了这样的机制，构建了公共机构的反腐败合规机制。详见李本灿：《公共机构腐败治理合规路径的构建》，载《中国刑事法杂志》2019年第2期。合规官的监督者保证人义务应当被肯定；另一方面，合规官的监督者保证人义务不应无限扩大，在刑法尚未对这种义务做出规定之前，前置性的行政义务不能成为刑事义务的联结点。例如，我国《反洗钱法》第15条明确规定了金融机构的反洗钱义务，但这只是行政性义务，不能由此推导出领导人以及合规负责人的刑事义务。

2.保证人义务不应针对外部第三人。学理上多数观点肯定的是，公司领导人对于公司财产和名誉具有保护者保证人义务。(48)参见Berndt, StV 2009, S.690.有疑问的是，公司领导人以及合规人员对于外部第三人是否具有保护者保证人义务？学理上有一种观点是：在通过“合规承诺”(Compliance Commitments)、“行为守则”(Codes of Conducts)或者“合规政策”(Compliance Policies)等形式发布具有自我义务设定性质(Selbstverpflichtungen)的合规宣言，或者通过合同的方式约定合规标准时，如果这种承诺或者约定使得合同相对方产生了超过一般程度的信赖进而撤除了自我保护措施，那么，保护者保证人义务就产生了。(49)参见Johannes Sebastian Blassl, Zur Garantenpflicht des Compliance-Beauftragten, Peter Lang, 2017, S.388ff.在本文看来，这种观点是不可取的：第一，合规起到的不是减轻责任的作用，相反，其加重了企业与个人责任，是否符合罪刑法定主义原则存在疑问。在这个问题上，对于公司自身的财产的保护者保证人义务以及对于职员职务关联行为的监督者保证人义务则并不相同，因为这两种义务可以从公司法中的勤勉义务中推导出来。对于外部第三人的保护者保证人义务则没有任何法定根据；第二，保证人义务是责任链条的扩展，它的范围应当严格限定在非自主性的脆弱法益的需保护性升高的场合。“当法益可以由主体自由处分时，法益主体自主决定使该法益处于脆弱状态的，其他相关人则不负有救助义务。”(50)张明楷：《刑法学》(第五版)，法律出版社2016年版，第158页。公司的场合也是一样，其自身具有第一位的自我保护义务，合规承诺并不会改变这一点。因为合规承诺而撤除第一位的自我保护，是对法益的自由处分，由此并不能引导出合同相对方的保护者保证人义务。第三，从法政策的角度讲，这种观点也不应当被支持。如果由合规承诺、行为守则(合规的必备要素)推导出企业对合同相对方的保护者保证人义务，那么，没有企业愿意合规，因为旨在降低企业风险的合规制度显著加大了自身风险。一个不被真心执行的合规制度，不仅不能达到国家推行该制度的目的，还会造成社会资源的浪费。

(三)由实害犯到抽象危险犯的转化不应被无限扩展

据我国学者介绍，“法国2016年通过的《关于提高透明度、反腐败以及促进经济生活现代化的2016-1691号法案》(又称“萨宾第二法案”)第17条规定，建立合规制度是相关企业及其高管人员应当履行的一项积极义务。如果企业没有主动建立合规管理制度，企业可能将面临巨额罚金，企业高管可能面临监禁。”(51)魏昌东：《监督职能是国家监察委员会的第一职能：理论逻辑与实现路径》，载《法学论坛》2019年第1期。如果这个说法准确，那么就意味着，刑事合规制度正在经历制度转型：如果从刑事法手段与自我管理两个角度来理解刑事合规，(52)参见李本灿：《刑事合规理念的国内法表达——以“中兴通讯事件”为切入点》，载《法律科学》2018年第6期。那么，单位犯罪制度就是刑事合规制度，旨在以刑罚的方式推动单位自我管理。在单位故意犯罪的场合，难以认定单位存在有效的合规制度，以至于出现了不法行为；在单位过失的场合，有缺陷的合规制度所产生的不被允许的风险在危害结果中实现了。也就是说，以往的刑事合规制度都是以实害行为或结果的出现为处罚前提。然而，法国的《萨宾第二法案》改变了这种模式，单纯处罚不履行合理组织体的塑造义务的行为。简言之，法国法实现了由实害犯向抽象危险犯的转变。

传统的核心刑法主要集中于对个人法益的保护，多以法定危害结果的出现为必要。然而，风险刑法理念正在对现代刑法进行全面改造，表现之一就是抽象危险犯的大量增加。抽象危险犯是法益保护的前置，更有利于法益保护目的的实现。从世界范围来看，抽象危险犯主要分布在危害公共安全罪、公务犯罪、妨害司法犯罪以及金融犯罪等领域。一方面，刑法需要保护具体的利益，另一方面，也需要对利益实现的机会、条件、制度进行扩张性保护。例如，刑法通过对安全行车的条件的保障(例如，危险驾驶罪的设置)，间接实现了利益保护；对于司法秩序的保障(例如，伪证罪的设置)，客观上保证了诉讼参与者的利益；对于证券期货交易的公正、公平、公开运行秩序的保障，客观上保证了金融交易主体的利益。(53)参见谢杰、王延祥：《抽象危险犯的反思性审视与优化展望——基于风险社会的刑法保护》，载《政治与法律》2011年第2期。从这个角度讲，抽象危险犯具有积极意义。然而，它应当有一个边界，在权利保障与社会保护之间实现平衡。在平衡点这个问题上没有标准答案。法国通过抽象危险犯的方式推动反腐机制私有化有其深刻的社会背景，即在欧盟的推动下，建构廉洁、透明的市场环境需要。在腐败犯罪严重的国家，这种方式可能就难以推行，否则会形成过罪化的风险或者象征性立法。对于我们国家而言，通过类似法国的方式推动公司合规需要谨慎。首先，合规理念在我国刚刚起步，在缺少前置法的情况下，贸然通过过于强硬、前置的抽象危险犯方式推动合规治理，违背刑法的最后手段性原则；其次，明确性原则难以把握。在抽象危险犯的边界问题上，“和刑事罚的施行相联系的危险行为必须恰当地考虑《德意志联邦共和国基本法》第103条第2款精确地概括的定型化之明确性原则。”(54)[德]约克·艾斯勒：《抽象危险犯的基础和边界》，蔡桂生译，载赵秉志主编：《刑法论丛(第14卷)》，法律出版社2008年版，第339页。尤其是在合规计划的有效性问题上，至今没有标准答案，这也就意味着，无法评估行为是否满足抽象危险的要求。(55)在危险驾驶的判断问题上，毒驾难以入刑，很大的原因就在于难以量化确定。参见孙国祥：《构成要素行政性标准的过罪化风险与防范》，载《法学》2017年第9期。

需要说明的是，笔者主张：由实害犯到抽象危险犯的转化不应被无限扩展。言外之意是，如果在合理限度内，法国的做法也具有可借鉴之处。本文的初步构想是，结合法益的重要性程度，在未来的立法中，可以适当引入这种模式。例如，在上市公司(利益涉众)强制推行合规制度更为可取；在关乎国民生命健康重大法益的领域(例如疫苗、食品、药品、重大工程等)推行强制性合规制度更为可取；在金融领域(利益涉众，更关乎国家金融稳定)强制推行合规制度更为可取。

四、企业内部调查的制度边界

(一)刑事诉讼法的基本原则是否应当适用到公司内部调查？

近几年，中国刑事诉讼法学界对于行政执法中取得的证据与刑事诉讼的衔接问题进行了大量的研究，形成了丰硕的成果。如果再往前走一步，一个更大的问题是，公司内部调查与刑事诉讼法的衔接问题。

随着经济全球化的发展，公司业务已经跨越了国界，呈现极度复杂性。这就意味着，公司已经形成了相对封闭的系统。传统针对自然人犯罪的侦查模式已经难以适应全球化了的公司犯罪：第一，公司的相对封闭性与业务复杂性使得侦查力量难以进入，或者难以有效实现侦查目的；第二，司法管辖权极大限制了主权国家的侦查权。这就决定了，某些国家难以完成的侦查工作很大程度上依赖于企业自身。这尤其依赖于企业的经济能力、专业能力以及较少受司法主权限制(少部分国家对于跨国的员工访谈有限制，例如法国)的优势。据我国学者介绍，在西门子公司全球行贿案中，公司花费8.5亿美金在全球几十个国家进行内部调查，并将调查结果移交给了美国司法部和证券交易委员会，最终使得司法部放弃对西门子公司的刑事指控，双方达成刑事和解协议。(56)参见陈瑞华：《西门子的合规体系》，载《中国律师》2019年第6期。甚至，从20世纪70年代开始，美国证券交易委员会所办案件多由企业本身完成内部调查。(57)参见[美]卢西恩·E·德尔文：《国际白领犯罪与国际化的内部调查》，朱霁康译，载《交大法学》2016年第2期。这就给我们提出了刑事诉讼私有化的边界问题。(58)参见Ulrich Sieber, ZStW 2007, S.42.也就是说，既然内部调查系出于刑事诉讼目的而实施，那么，它在多大程度上应当受到刑事诉讼法基本原则的限制？例如，不得自证其罪原则是否适用于内部调查？

对于这个问题，没有任何国家给出标准答案。然而，部分判决中显示出了司法机关的态度：文献中反复被提及的“破产宣告人案”(Gemeinschuldner-Beschlusses)中，一方面，德国联邦宪法法院认为，不得自证其罪原则旨在保护公民免受强制性的自我负担，这种保护在刑事诉讼中最强。与刑事诉讼中的被告人相对，本案中的破产宣告人应当受到较低程度的保护，因为其角色决定了，他对公司询问的如实答复并不会直接导致对自己不利的刑事判决。另一方面，员工的答复仅仅使得企业的信息需求得以正当化，此外，立法者还必须权衡各方利益。破产宣告人的人格权要求内部询问中的答复不能在之后的刑事诉讼中成为不利于自己的证据。(59)参见BVerfGE 56, 48f.也就是说，不得自证其罪原则应当适用于以刑事追诉为目的的内部调查。然而，汉堡地方法院于2010年10月15日做出的一份判决却改变了态度：受企业委托的律师在询问一家有限公司的董事会成员是否违反义务时形成的笔录被追诉机关扣押，并作为针对内部受询问者的证据加以使用。原因在于，德国的禁止扣押规定所保护的仅仅是被告人与其律师之间的信任关系，而受委托实施内部调查的律师与企业而非企业职工形成了委托信任关系。不得自证其罪原则涉及的是国家权力机关与被告人之间的关系，而不涉及私营企业与其员工之间的关系。(60)参见Jahn, ZIS 2011, S.453; Fritz, CCZ 2011, S.155.曼海姆地方法院采取了折中的态度：尽管从企业手中扣押有关内部调查的材料是被允许的，但却禁止扣押受企业委托的律师的调查文件。(61)参见LG Mannheim NZWiSt 2012, 424.在美国，尽管内部调查普遍展开，但多数案件都是以和解协议的方式了结，并未进入审判程序，因此也难以评估不得自证其罪原则在内部调查中是否被适用了。

学理上，主流观点认为：“如果一方面认为，在内部调查过程中，存在犯罪嫌疑的企业员工有义务就犯罪指责作出准确的陈述，而另一方面又认为，在针对企业员工的刑事诉讼过程中，刑事追诉机关扣押调查笔录并作为证据加以使用的做法是正当的，就会损害免予自证其罪的原则。”(62)[德]洛塔尔·库伦：《德国的合规与刑法》，马寅翔译，载赵秉志主编：《走向科学的刑事法学——刑科院建院10周年国际合作伙伴祝贺文集》，法律出版社2015年版，第434页。也有学者认为，不得自证其罪原则的适用应当满足两个条件：(1)首先必须存在迫使自我归罪的强制(Zwang zur Selbstbelastung)；(2)因为不得自证其罪原则是针对国家权力设置的防卫权，因此，第一点的“强制”原则上应来自于国家。在公司内部调查的情况下，不管是源自于法定的如实陈述义务(对于员工)，还是法定的调查义务(对于企业)，都难以满足国家强制这个要素。因此，不得自证其罪原则只有在公司与司法机关协商通过内部询问获取证据的极端例外情况下才可适用。(63)参见Henrik Zapfe, Compliance und Strafverfahren—Das Spannungsverhältnis zwischen Unternehmensinteressen und Beschuldigtenrechten, Peter lang, 2013, S.153ff, 205f.在笔者看来，基于以下原因，企业内部调查也应受到不得自证其罪原则的限制：第一，根据主流观点，不得自证其罪原则源自于法治国原则或者人格尊严权，这就意味着，它的适用不应局限于刑事诉讼程序，其他程序形式以及实体法也要适用。(64)参见SK-StPO, 4.Aufl.,§133ff.,Rn.130; Momsen, ZIS 2011, S.513.当然，在内部调查中适用不得自证其罪原则，并不绝对排斥员工的如实陈述义务。也就是说，当这种陈述不会产生自我风险的时候，员工应当如实陈述。第二，即使内部调查并非与司法机关协商的结果，或者并未受到国家强制，内部调查形成的材料也可能在未来转移给司法机关以寻求起诉或量刑激励。因为企业利益与员工个人利益在很多场合存在冲突，不排除企业为了自身利益而牺牲员工利益的情况。事实上，国外的实践也已经出现这样的情况，例如，通过“赦免计划”的幌子取得员工的陈述，然后将材料移交司法机关，换取对企业的优待。这种情况下，如果否定不得自证其罪原则的适用，允许法庭使用员工在内部调查中作出的不利于自己的陈述，那么，无疑是对员工权利的间接损害。第三，对于国家强制的理解不能过于狭窄。事实上，国家义务经常会转换为“糖面包与皮鞭系统”(Zuckerbrot und Peitsche Systeme)，通过这种方式规避刑事诉讼程序的限制。(65)参见Henrik Zapfe, Compliance und Strafverfahren—Das Spannungsverhältnis zwischen Unternehmensinteressen und Beschuldigtenrechten, Peter lang, 2013, S.157.合规计划就是“糖面包与皮鞭系统”(通俗讲的“胡萝卜+大棒”政策)。美国证券交易委员会对于西门子公司全球行贿案的调查就被指责“规避了法治国的最低标准”。(66)参见Ulrich Wastl, NStZ 2009, S.68ff.总结起来说，如果不得自证其罪原则不能适用于企业内部调查，企业员工的刑事诉讼权利将无以保障。

回到我们国家，尽管内部调查也已经普遍展开，并成为律师的重要业务内容，但程序衔接问题并未凸显。没有凸显并不代表不存在。从法规范的角度讲，表面的员工如实陈述义务与刑事诉讼法中的不得自证其罪原则的冲突同样存在：从我国《劳动法》第3条可以推导出劳动者的忠实义务；类推适用《合同法》第60条的“诚实信用”“通知、协助”条款，员工对于企业的询问同样具有如实陈述的义务。然而，《刑事诉讼法》第52条明确规定“不得强迫任何人证实自己有罪”。对于这种冲突，本文的基本观点是，刑事诉讼法的基本原则应当适用到企业内部调查，最大限度保障员工的刑事诉讼权利。

(二)内部调查后证据的使用限度

对于内部调查后形成的证据材料的使用限度问题，可以进一步区分为两个问题：第一，这些证据材料是否可以在刑事审判程序中直接使用？第二，是否可以被外部第三人使用？

1.内部调查形成的证据是否可以在刑事审判程序中直接使用？对于这个问题，一个具有参照意义的问题是，行政执法形成的证据是否可以进入刑事诉讼程序？对此，我国《刑事诉讼法》第54条2款有明确规定：“行政机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子证据等证据材料，在刑事诉讼中可以作为证据使用。”在学理上，主流观点也认为，应当在人权保障的理念下，对于行政执法证据进入刑事诉讼的范围、审查主体、审查内容等进行严格限定。(67)参见冯俊伟：《行政执法证据进入刑事诉讼的规范分析》，载《法学论坛》2019年第3期。在行政证据的使用尚且严格限定的情况下，内部调查证据恐怕很难直接进入刑事审判程序。合适的方法是，在不远的将来，随着企业合规的普及，内部调查与刑事诉讼法的衔接成为迫切需要时，通过立法严格设定衔接程序，例如，可以根据不同证据种类的取证难度、受污染的可能性大小等因素，设定不同的转化条件。在此之前，通过诉前和解的方式使内部调查证据进入诉讼程序，也是可以接受的方法。毕竟，现有证据规则的设定更多是针对审判程序，尽管出于可采性的考虑，这些证据规则往往也具有回溯力，但其标准已经降低了。这也是西门子公司案中的内部调查证据不会进入法庭，而只能在诉前和解协商中使用的原因。对于我们国家而言，这种方式需要立法上公司缓起诉、不起诉的制度配套。关于内部调查证据的使用问题，还涉及另一个问题，即律师-委托人特免权的问题。即便在员工权利保障相对较好的美国，这个问题也没有得到有效解决：联邦最高法院通过厄普约翰公司案并未提供特免权的范围标准，而是留给较低层级的法院个案判断；很多州法院仍然以控制群体标准确定特免权范围，也就是说，很多员工并未受到律师—委托人特免权的保护。(68)参见李本灿：《企业犯罪预防中国家规制向国家与企业共治转型之提倡》，载《政治与法律》2016年第2期。回到我国，《刑事诉讼法》第48条仅仅规定了律师的“保密义务”，也就是说，证据泄露后仍可使用，不享有特免权。在制度边界的划定上，没有固定标准，本文倾向于公司及员工的权利保障。在权利意识高涨，但预防性刑法扩张的当下，这一点尤其具有价值。因此，应当赋予委托人律师—委托人特免权，并且从实质意义上理解委托人，避免将普通员工的利益排除在外。

2.内部调查形成的证据是否可以被外部第三人使用？某种意义上说，这个问题已经成为阻碍合规计划推行的重要原因：据美国量刑委员会表示，“企业合规推行的最大阻碍在于合规计划的信息最终将被政府或民事诉讼用于攻击企业；企业的合规计划越有效，任何违法行为越可能暴露给执法人员和潜在的民事诉讼当事人；目前的制度对企业实施次优合规计划提供了强烈诱因。这些合规计划无法达到其预期目的，但仍然消耗企业的资源。”(69)[美]菲利普·韦勒：《有效的合规计划与企业刑事诉讼》，万方译，载《财经法学》2018年第3期。在本文看来，合规制度是企业在“自我加担”的同时为国家“减负”，因此，不能在自我负担之外额外增加企业承担不利后果的风险，这是基本的法正义的应有之义；从刑事政策上讲，外部第三人使用披露了的合规材料攻击企业的问题已经成为阻碍合规计划发展的最大障碍。它刺激企业采取次优合规计划。这种合规计划非但不能达到制度初衷，还造成企业资源的浪费，影响经济活力。基于以上考虑，这个问题必须在未来的合规立法以及司法中加以解决。一个可行的路径是，引入“自我评估特免权制度”(Self-Evaluative Privilege)。美国俄勒冈州在1993年的《环境犯罪法案》中已经引入了“环境审计报告证据豁免规则”，以此鼓励企业实施合规管理。(70)参见李本灿：《企业犯罪预防中国家规制向国家与企业共治转型之提倡》，载《政治与法律》2016年第2期。这可以成为有益参考。

结语

当前，美国正在利用其经济主导地位在全球执法，推动反腐败、出口管制等领域的合规管理。欧洲通过《通用数据保护条例》也在向全世界输出合规规则。可以说，企业合规已经成为全球浪潮。从企业自身的长远利益以及国家利益来看，企业合规可以实现双赢。然而，这只是理论上的理想状态。在实际的利益衡量过程中，目标总是朝着有利于立法者以及法益保护的方向迈进，风险完全转移给了企业，企业利益被轻易拿走了。这就导致在组织体的管辖领域，要求一个完美的组织管理形式。这种预防性的风险降低形式使得国家的干预工具得以正当化。然而，绝对的安全并不可得，不惜任何代价的安全保障也无意义。绝对的安全导向最终会显著增加企业的合规成本，而这些成本最终都会转移给消费者。这种情况下，尽管实现了社会控制，但最终是由消费者承担了代价，最终受益的是国家。我们尽管要强调合作治理，但不应过度，犯罪控制的职能不能过度让予，否则会造成国家的过度无为。这与它的社会管理者的角色不相匹配。基于以上考虑，本文主张为刑事合规设定制度边界：

(1)预防刑措施的制度边界：标准化的尝试可能侵害企业的经营自由；内部控制措施应符合比例原则，以可能、必要、可期待为准则来衡量内控措施；技术监控也有人身权边界。

(2)外部激励措施的制度边界：不合规不能成为反向激励的事由；保证人义务不能被无限扩展；由实害犯到抽象危险犯的转化不应被无限扩展。

(3)内部调查的制度边界：内部调查应当遵守刑事诉讼法的基本原则，以不得自证其罪原则最为典型；内部调查形成的证据不能直接成为法庭证据，外部第三人对其使用更应受限。