刑事合规的制度史考察：以美国法为切入点

李本灿

近几年，中国企业在海外经营过程中遭受了空前严重的合规风险，中兴通讯事件即为典型。为了有效地应对企业合规风险，国资委、商务部等中央部委先后发布了旨在促进企业合规的部门规章或规范性文件。司法实践方面，“企业合规”理念也逐步进入检察或审判实践。立法或司法机关对企业合规问题的重视也带动了学术研究。可以说，对于刑事法学界来说，近两年没有几个话题比刑事合规问题得到更多的关注。纵观现有的学术研究，学界已经围绕单位刑事责任论、刑罚论、企业缓起诉、保证人义务等问题，从不同侧面对刑事合规问题展开了较为深入的讨论。然而，由于缺乏对基础性问题的细致考察，以及在此基础上的规范化处理，现有的文献中出现了部分知识性误判。鉴于此，本文将回归基础性问题，通过对刑事合规制度史的梳理，重新反思当前的学术研究。在具体思路上，文章将围绕两条主线展开：第一，以制度影响力最大的美国法为切入点，以时间为线索，对企业合规及其刑事化历程加以梳理；第二，以空间为线索，对美国之外的典型立法例加以考察；最后，两条线索汇集到一个问题，即“制度史考察的学术意义”。

一、企业合规理念的发展

尽管公司被认为是近代历史最伟大的发明，但深受殖民影响的美国在最开始却对它非常警觉，原因在于，他们当初所反对的垄断却可能在公司这一组织形式中得以合法化地存在。也就是说，在公司产生之初，美国对它充满了不信任。①See Harvey L.Pitt &Karl A.Groskaufmanis,“Minimizing Corporate Civil and Criminal Liability:A Second Look at Corporate Codes of Conduct”,78 Geo.L.J.1559,1575(1989-1990).可以想见，基于对公司的不信任，自我管理理念和制度不可能得到重视。然而，过于强调单一的政府规制，产生了规制效率的低下等系列问题，加上公司制度逐渐被认可、接受，公司的自我管理理念得到越来越多的重视。文献中广为流传的观点是，合规导向的内部规则来源于美国1887年的《州际商业法案》。②See Robert C.Bird &Stephen Kim Park,“The Domains of Corporate Counsel in an Era of Compliance”,53 Am.Bus.L.J.203,210(2016).该法案对于行业自律和监管作出了详尽规定，对后来的监管立法工作影响深远。③See Geoffrey Parsons Miller,The Law of Governance,Risk Management,and Compliance,Wolters Kluwer,2015,pp.139.以至于在1929年的经济大萧条时期，自我监管理念仍得到强调。④See Joel Sligman,The Transformation of Wall Street:A History of the Securities and Exchange Commission and Modern Corporate Finance,Houghton Mifflin,1982,pp.184.在认识到政府监管的不足之后，证券交易委员会主席道格拉斯也倡导证券行业自治。1938年的《马罗尼法案》修订了1934年的《证券交易法》，即通过增加第15 条A 项，授权作为私人规制主体的美国证券交易商协会（National Association of Securities Dealers,NASD）管理柜台/场外交易（Overthe-Counter）的权力。尽管不能不受美国证券交易委员会的监管，证券交易商协会也获得了相关的自我管理权限。⑤See supra note ②,p.1577-1578..据我国学者介绍，出于金融系统稳定的考虑，从20世纪30年代起，政府加强了对金融行业的监管。严格的监管也保障了美国银行业乃至整个金融系统数十年的稳定发展。鉴于金融领域合规监管的成效，政府逐渐认识到加强企业监管的重要性，相继颁布出台了大量针对企业商业活动的监管政策和法律，以加强对企业的监管；与之相对应，企业也逐渐认识到合规监管的重要性，并开始着手构建加强行业监管和自我监管的企业合规措施。⑥参见万方：《企业合规刑事化的发展及启示》，《中国刑事法杂志》2019年第2 期。

美国合规管理理念和制度在全行业普及过程中，20世纪60年代之后的系列典型案件起到了催化作用。

首先是电气领域系列反垄断合规案。美国1890年的《谢尔曼法案》明确禁止垄断。1974年，垄断行为甚至被升级为重罪。然而，时至20世纪50年代，美国电气行业出现了严重的产能过剩，价格成为市场内区分竞争者的唯一途径。经过毁灭性的价格战之后，电气公司之间达成共识，共谋分配市场、固定价格、串通投标。事情败露之后，部分企业选择了与政府合作，而最终受到最严厉罚金刑处罚的通用电气公司试图通过合规加以抗辩。通用电气公司提出，1946年公司就引入了书面的合规政策，1954年进一步完善了该政策。最终，通用电气公司没有能够说服任何人，法官不认为其已经采取了有效的合规计划。尽管通用电气公司没能进行有效的合规抗辩，但这一系列的判决刺激了企业界实施有效的合规计划。①See Richard A.Whiting,“Antitrust and the Corporate Executive II”,48 Va.L.Rew.6,929-987(1962) p.3.

其次是系列反腐败合规案。1972年，“水门事件”爆发。1973年，美国特别检察官起诉了多家企业及其董事会成员，原因是，这些公司和个人在1972年的总统选举活动中违法捐款。1974年，美国证券交易委员会明确表示，上市公司的董事会或职员因不法原因支付而受到有罪判决，是对国民特别是股东必须公开的重大事实。为了促进不法原因支付的公示，证券交易委员会制定了自愿、自我公示的计划。最终，有400 多家企业承认存在有疑问的或非法支付，总价值达3 亿美元。鉴于腐败行为（包括贿赂海外官员）的普遍性，美国国会于1977年制定了《反海外腐败法》。②See Harvey L.Pitt &Karl A.Groskaufmanis,“Minimizing Corporate Civil and Criminal Liability:A Second Look at Corporate Codes of Conduct”,78 Geo.L.J.1559,1582-1584 (1989-1990).同时参见[日]川崎友巳：《合规管理制度的产生与发展》，李世阳译，载李本灿等编译：《合规与刑法：全球视野的考察》，中国政法大学出版社2018年版，第7-9 页。与企业合规相关的是反贿赂条款和账簿记录条款。第一，原则上禁止美国的上市公司向外国官员、政党、政治家进行政治捐助和行贿。③See 15 U.S.C.§78dd-1(a) (1)-(3).第二，由于违规支付多通过秘密财务账户进行，为了遏制违法支付，要求企业制定本企业资产的详细清单，并妥善保存；企业履行上述义务时，必须在内部设置会计控制机制。④See 15 U.S.C.§78m (b) (2) (A)-(B).尤其值得关注的是，在立法之初，《反海外腐败法》仅根据属地管辖原则行使管辖权，其规制范围相对有限。然而，该法1998年的修正案增加了属人管辖原则，将美国公司或个人在境外实施的腐败行为也纳入了法案的规制范围。此外，通过对“美国境内”这一要素的扩张解释，将利用美国邮件、州际商业的任何工具实施腐败的行为，都纳入规制范围之内。例如，经美国打电话、发送电子邮件、短信、传真以及通过外国银行进行美元汇款等，都属于在美国境内实施的行为。⑤参见肖杨宇：《美国〈反海外腐败法〉的新动向及我国国内法表述》，《中国刑事法杂志》2020年第2 期。也就是说，美国《反海外腐败法》具有非常宽泛的管辖范围，相应地，对于推动全球范围内的企业合规起到了重要作用。

再次是系列内幕交易案。美国《证券交易法》明确禁止内幕交易，并且要求企业制定内部行为守则。从表面上看，证券企业也发展了广泛、复杂的合规和培训计划。例如，中国墙（Chinese Walls）、限制清单（Restricted Lists）、监视清单（Watch Lists）已经成为证券业的专有词汇。尽管如此，20世纪80年代还是发生了一系列内幕交易案，例如，Drexel Burnham Lambert、Michael Milken、Lowell Milken、Bruce Newberg 等公司都在这个时期被处理。系列内幕交易丑闻使立法者意识到现有立法的不足，因而制定了《内幕交易与证券欺诈取缔法》（Insider Trading and Securities Fraud Enforcement Act of 1988）。⑥See supra note ②,p.1587-1589.该法案明确指出：经纪人和交易商应当充分结合自身的业务性质，确立、维护、加强纸面的政策、程序，以有效地预防滥用材料、非公开信息的行为。⑦See 15 U.S.C.§78o(c) (3)-(g).如果相关责任人故意或者轻率地没有确立、维持或执行任何本法所要求的政策或程序，并且由此实质性地对于违规行为作出了贡献，则其要承担相应的民事罚款（Civil Penalty）。①See 15 U.S.C.§78u-1-(b) (1)(B).该法案对于推动证券交易领域的合规计划发挥了重要作用。

最后是国防工业丑闻案。20世纪80年代中期，国防部及其签约供货商身处舆论的风口浪尖，原因是，民众认为，浪费和弄虚作假行为在国防物品采购中普遍存在。在民意调查中，78%的民众曾经听到或读到过关于国防物资采购中的欺诈或其他不法行为的报道；62%的民众认为，欺诈等不法行为是国防开支浪费的主要原因。②See President’s Blue Ribbon Commission on Defense Management,A Quest for Excellence:Appendix:Final Report,1986,p.215.为了解决系列国防采购舞弊案件所反映出来的问题，罗纳德·里根总统指示，1985年7月15日成立了国防行政特别委员会——帕卡德委员会（Packard Commission）。帕卡德委员会号召国防工业确立伦理守则。经过与帕卡德委员会主席帕卡德磋商，18 家接受国防部订单的企业联合起草了《国防工业商业伦理和行为倡议书》（Defense Industry Initiatives on Business Ethics and Conduct）。该倡议书包含6 项基本原则：第一，供应商必须拥有并且遵守成文的商业伦理和行为守则；第二，行为守则中的各项目所要求的应当是企业或从业者能达到的较高道德水平，并且公司应当就行为守则下的员工责任加以培训；第三，供应商应当为公司成员举报不正当行为提供自由开放的环境；第四，供应商有义务通过监督体系自我管理，确保自身行为合乎联邦采购法律，并采取措施自我揭弊，同时纠正管理漏洞；第五，为了保持国防工业的廉洁性，供应商有遵守商业伦理的团体义务；第六，供应商承担遵守以上原则的公共责任。③See supra note ③,p.251-254.与企业界自发实施合规计划相对，美国国防部也对帕卡德委员会作出了类似回应。1986年7月24日，时任国防部副部长William H.Taft IV 给87 家国防部供应商写信，勾勒出了“国防部自愿揭弊计划”（DOD Voluntary Disclosure Program），鼓励供应商将自我揭弊作为企业合规计划的核心。对于达到要求并被列入“自愿揭弊计划”的企业，国防部承诺向司法部作出有利于企业的建议。

然而，美国司法部在是否回应、配合国防部“自愿揭弊计划”的问题上显得犹豫不决。这种犹豫从司法部副部长Arnold Burns 给时任国防部副部长Taft 的信件中可以看出：一方面，他指出，威慑是起诉公司时的首要目的，通过威慑可以促进企业建立预防性举措，并为员工确立清晰的是非标准；另一方面，他也承认，企业迅速的自我揭弊行为以及及时的矫正措施也不应当被挫伤。④See Benjamin B.Klubes,“The Department of Defense Voluntary Disclosure Program”,19 Pub.Cont.L.J.504,511(1989).直到一年之后的1987年7月17日，美国司法部才发布了“关于自愿揭弊计划的指引”，并将其纳入了《联邦检察官手册》。该指引指出，司法部在国防采购欺诈领域的目标是，威慑企业的同时，通过起诉裁量鼓励供应商实施合规计划。⑤See supra note ⑤,p.512.由于国防工业事关美国国家安全，该领域内的公司丑闻引起了美国各界的高度重视。可以说，系列国防工业舞弊案极大地推动了企业合规理念的普及以及制度层面立法化的实现。

总体来看，早在19世纪80年代，美国就出现了企业合规理念及相关立法；20世纪60年代之后的系列公司丑闻（尤其是80年代中期的系列国防工业舞弊丑闻①“在20世纪80年代企业丑闻‘出现—谴责—处罚—变革’的大背景下，企业经营的理想状态逐渐改变，遵守商业伦理越来越成为从业者的共识。也正因为如此，20世纪80年代被称为‘伦理时代’，80年代末甚至出现‘不重视商业伦理的企业为非主流企业’的论述。”参见[日]川崎友巳：《合规管理制度的产生与发展》，李世阳译，载李本灿等编译：《合规与刑法：全球视野的考察》，中国政法大学出版社2018年版，第15 页。）直接推动了合规理念的普及以及合规计划立法化的实现。

二、企业合规的刑事化

通过美国企业合规理念的发展简史不难看出，早在20世纪60年代就曾出现了通用电气公司尝试通过合规进行抗辩的司法实践。尽管最终没有成功，但该案具有重要的启示意义，合规计划在企业刑事责任认定时具有重要意义。20世纪80年代的国防工业舞弊案促进了“企业自我揭弊计划”的实施。为了激励企业自我揭弊，在国防部的斡旋之下，美国司法部也开始考虑将合规计划作为定罪量刑时的考量因素。也就是说，企业合规逐步具有了刑事法意义，呈现出刑事化的趋势。

1991年，美国联邦量刑委员会发布了《联邦量刑指南》第八章“组织量刑指南”，由此开启了企业合规刑事化的新篇章。具体来说，“组织量刑指南”正式通过立法形式赋予了合规计划刑事法意义。该章节的序言明确指出：“本章旨在维持预防、发现和举报犯罪的内在机制，使对组织及其代理人的制裁总体上能够提供公正的惩罚、足够的威慑和对组织的激励。”②See U.S.Sentencing Guideline Manual (2018),§ 8,Introductory Commentary.此处的激励措施主要包括罚金刑的减轻以及企业缓刑。

企业罚金刑方面，“组织量刑指南”根据公司成立时是否具有犯罪目的进行了区分，成立时具有犯罪目的的组织将被科处足够导致其解体的罚金。③See supra note ②,§8C1.1.对于其他组织，罚金刑的计算方法是：首先，根据组织的罪行等级（Offense Level）决定处罚的基数（Base Fine）；其次，根据犯罪收益、犯罪所造成的损失以及罪过程度确定一个罚金额；最后，结合犯罪历史、合规计划等指标加减其罚金。④See supra note ②,§8C2.3-2.10.依照该量刑标准，法院对设有有效合规计划的企业可显著减轻其罚金刑。⑤See supra note ②,§8C2.6.

在企业缓刑方面，“组织量刑指南”分别对判处组织缓刑的条件、缓刑判决的附加条件、对缓刑条件违反的处理等问题作出明确规定：如果在宣判时，雇员人数在50 名以上，或者被要求建立且还没有建立有效的合规和伦理计划，法院应当判处组织缓刑，并设置5年以下的考验期。⑥See supra note ②,§8D1.1-1.2.在判处缓刑时，法院可命令该组织按照法院规定的形式和手段，向公众公布所实施犯罪的性质、被定罪的事实，被判处刑罚的性质，以及将采取的防止类似行为再次发生的措施。⑦See supra note ②,§8D1.4 (a).在根据本章D1.1 条判处组织缓刑时，附加下列条件是合适的：（1）组织应当构建并向法院呈报有效的合规计划，同时呈报其实施合规计划的规划；（2）第一项所要求的合规计划一旦获得法院批准，组织就应当将其连同犯罪行为按照法院要求的形式通知职员和股东；（3）组织应当定期向法院或缓刑考验官汇报其实施合规计划的进展情况。①See U.S.Sentencing Guideline Manual (2018),§8D1.4 (b) (1)-(3)..如果组织违背了上述缓刑考验条件，法院可以延长考验期，或者施加更严格的缓刑考验条件，或者撤销缓刑，重新量刑。②See supra note ①,§8F1.1.

尽管由于以下原因，“组织量刑指南”的直接影响减弱了，但其仍具有里程碑意义：第一，美国公司犯罪案件的有限性。据美国学者介绍，每年大概有200 个公司受到有罪判决；第二，企业暂缓起诉或不起诉成为受美国司法部青睐的企业犯罪司法政策。③See Todd Haugh,“The Criminalization of Compliance”,92 Notre Dame L.Rev.1215,1227-1228(2017).之所以说“组织量刑指南”具有里程碑意义，原因是：第一，在此之后，尽管司法部发布了一系列的“备忘录”，强调通过暂缓起诉或不起诉方式处理企业犯罪的司法政策，但系列备忘录很大程度上遵循了“组织量刑指南”的基本规定。尽管系列备忘录的内容有所变化，但都强调自我揭弊、充分合作、合规计划对于企业责任的影响，而这些都源自“组织量刑指南”。第二，司法部之外的其他执法机构在评估企业合规计划，进而作出执法决定时，也会参考“组织量刑指南”所规定的合规计划样本。例如，美国证券交易委员会“关于合作与行政执法决定关系的委员会声明”（Seaboard Report）所设定的一系列用以评估是否以及如何激励违规企业的标准，也大量重复了“组织量刑指南”的标准。④See supra note ③,pp.1229-1230.

继“组织量刑指南”正式开启企业合规的刑事化历程之后，《萨班斯法案》对于推动企业合规的刑事化起到了重要作用。出于体例编排考虑，后文将详述《萨班斯法案》的概况及其对刑事合规全球化的影响。

为了回应2008年的金融危机而出台的《多德—弗兰克法案》⑤Dodd-Flank Wall Street Reform and Consumer Protection Act,Pub.L.No.111-203,124 Stat.1376 (2010).对于推动企业合规也发挥了重要的作用。该法案要求在美国证券交易委员会注册登记的投资顾问设立首席合规官，负责执行旨在预防违反《投资顾问法案》行为的政策和程序。⑥17 C.F.R.§ 275.206 (4)-7 (2015).在金融衍生品市场，掉期交易商（Swap Dealers）和主要掉期参与者（Major Swap Participants）应当设置首席合规官职位，直接向董事会或高级职员报告合规工作。⑦See Dodd-Frank Wall Street Reform and Consumer Protection Act,§ 731.这一要求使得首席合规官必须构建合适的政策和程序保证企业行为的合法性。进一步说，首席合规官必须有效执行公司的政策和程序，遇到利益冲突情形，必须与董事会或高级管理人员进行有效协商，并确立修正不合规程序的适当程序机制。⑧17 C.F.R.§ 3.3 (a) (d) (2015).如果企业不履行上述义务，则可能面临民事和刑事制裁。⑨See Rebecca Walker &Theodore L.Banks,“Corporate Compliance and Ethics Institute 2014”,Practising Law Institute,2014,p.87,10另据国外学者介绍：“虽然现在得出明确的结论为之尚早，但是《多德—弗兰克法案》还有望产生额外的实施海外贿赂的证据。根据规定，对潜在的违反FCPA 行为的原始信息的举报，将在任何政府实施的超过1See U.S.Sentencing Guideline Manual (2018),§8D1.4 (b) (1)-(3)..00 万美元的制裁活动中获得10%到30%的奖励。这些举报条款虽才生效几个月，但SEC 的执法部门已经报告说，收到的FCPA 举报案件数量和质量急剧上升。”①[美]约瑟夫·约克奇：《美国〈反海外腐败法〉的和解方案、内部结构及合规文化》，万方、黄石译，《河南警察学院学报》2019年第1 期。由以上介绍不难看出，《多德—弗兰克法案》对于推动企业合规及合规的刑事化都发挥了重要的作用。

总之，从正式的立法层面来说，自《美国联邦量刑指南》第八章“组织量刑指南”开始，企业合规制度逐步呈现刑事化的趋势；刑事法成为推动企业合规的重要法律制度工具。

三、《萨班斯法案》与刑事合规制度的全球化

（一）《萨班斯法案》出台的背景

在21世纪之初，《萨班斯法案》制定之前，美国爆发了大规模的公司丑闻，其中的重要方面是财务欺诈。安然公司、世界通信公司丑闻就是典型代表。这就极大地损害了投资民众的利益并动摇了其投资信心。美国民众对此也极为愤怒。据调查，62%的民众认为这些企业丑闻对于美国经济的损害极为严重②Richard W.Stevenson &Janet Elder,“Poll Finds Concerns that Bush is Overly Influenced by Business”,New York Times,July 18,2002.，84%的民众认为这些公司丑闻造成的伤害甚至要大于恐怖主义袭击以及美国在阿富汗地区的战争。③Grechen Morgenson,“What If Investors won't Join the Party”,New York Times,June 2,2002.在安然以及世界通信财务丑闻事件之后，美国律师协会成立了一个工作小组，对企业犯罪问题进行系统的调查，并在调查报告中称“安然仅仅是众多企业犯罪中的一个”，进而论断“很多企业治理系统已经显著无效”④American Bar Association,“Task Force Report on Corporate Responsibility”,Preliminary Report,July 16,2002.。对于公司丑闻的集中爆发，以及由此引发的民众的极大愤怒，美国政府及相关部门也都迅速作出了回应。参众两院都举行了专门的听证会讨论相关问题，美国证券交易委员会也积极展开相关调查并发布了新的规章，纽约证券交易所公司问责和上市标准委员会也颁布了新的规则，提高公司治理的相关标准。美联储主席格林斯潘以及时任总统布什都要求进行及时的立法改革。在这种背景下，《萨班斯法案》得以迅速制定，并于2002年7月25日在参众两院通过，7月30日由总统布什签署生效。美国总统布什在签署《萨班斯法案》的新闻发布会上称，“这是自罗斯福总统以来对美国商业界影响最为深远的改革法案，准则松弛和利润虚假的时代已经结束，没有企业董事会能够凌驾于该法案之上；从‘9·11 事件’后威胁我们经济的恐怖主义，到今天威胁投资人信心的欺诈，无论何时面临挑战，我们都已经勇敢地面对，美国的经济依靠的是诚实和公正，经济界的人大多坚持这种价值。有了这个法案，我们将拥有新的手段实施这种价值，并且我们将积极地运用这种手段保护我们的自由企业体系，打击腐败和犯罪”。⑤Elisabeth Bumiller,“Corporate Conduct:The President Bush Signs Bill Aimed at Fraud in Corporations”,New York Times,July 31,2002.

（二）《萨班斯法案》的主要内容及影响

1.《萨班斯法案》的主要内容

《萨班斯法案》又被称为“公众公司会计改革与投资者保护法案”。由法案名称即可看出，其主要改革内容是公司会计制度。该法案涉及的内容非常广泛，与本项研究直接关联的是：对于财务犯罪罪名体系的严密化，相关财务欺诈犯罪刑事责任的加重，以及加强企业内控的404 条款。①具体条文内容可详细参见蒋熙辉：《美国SARBANES-OXLEY 2002 法案刑事责任条款研究》，《中国法学》2003年第5 期；李本灿：《企业犯罪惩治中两元化刑事政策的构建——基于企业犯罪惩治负外部效应克服的思考》，《安徽大学学报（哲学社会科学版）》2014年第5 期。

第一，犯罪罪名体系的严密化。该法案很重要的内容是，增加或修改公司欺诈的相关犯罪。例如，增加或修改“在联邦调查和破产过程中，销毁、篡改、伪造记录的犯罪”“销毁审计记录的犯罪”以及“公开上市交易的公司欺诈股东的犯罪”“公司官员虚假财务报告的犯罪”“打击报复举报人的犯罪”（最高可判处10年有期徒刑）。

第二，相关财务欺诈犯罪刑事责任的严厉化。由于现有的犯罪法定刑较为轻缓，该法案显著提高了部分犯罪的法定刑。例如，电信欺诈的法定最高刑由5年监禁刑提高到了20年监禁；虚假或者误导性陈述的法定最高自由刑由10年提高到了20年；公司罚金刑由250万美元提高到了2500万美元。

第三，强化企业内控。除了严密刑罚体系之外，《萨班斯法案》的重要一条是加强企业内部控制的条款（404 条款）。该条款规定，公司按照1934年的《证券交易法》编制的年度报告应当包括内部控制报告；公司管理层有责任建立和维护内部控制系统及相应控制程序，保证其充分有效；对于本节（a）中要求的管理层对内部控制的评价，即担任公司年度审计的会计公司应当对内部控制的有效性进行测试和评价，并出具评价报告。

2.《萨班斯法案》的影响

除了通过更为严厉的责任推动企业加强内部财务管理制度的系列条款外，《萨班斯法案》还通过“最为昂贵”的404 条款明确要求企业强化内部控制措施：“根据该条款的要求，每个上市公司必须将公司的每一个岗位的职务、职责描述得一目了然，而这项工作需要大量材料和文件支持。同时，为了达到404 条款的要求，上市公司要保证对交易进行财务记录的每一个环节都有相应的内部控制制度，例如对交易的条件、合同成交的记录、付款和交货的时间、业务的具体负责人员等作出详细的记录和制定相应的控制措施。此外，还需要及时总结出内部控制中存在的缺陷并提出具体的补救措施。显然对于一个已运作和上市多年的公司来说，要完成这些对内部记录的弥补和完善绝非易事，特别是对于组织机构分散、业务范围广泛、经营种类多样化且跨国经营的大型公司而言，其重新规范的工作量可想而知。”②施君：《解读美国萨班斯法案404 条款及其立法启示》，《扬州大学学报（人文社会科学版）》2009年第3 期。对于每一个在美国上市的公司而言，其都必须进行上市前的内部控制措施审查，因为要求企业建立内控措施的404 条款已经于2006年7月15日起开始对在美国上市的、且年销售收入在5 亿美元以上的外国公司生效，2007年7月15日开始对在美国上市的并且年销售收入在5 亿美元以下的外国小型企业生效。从表面上看，上述刑罚加重条款与内部控制并无关联，实际上，一方面通过刑罚推动会计执业的合法性，在一定程度上就确保了企业合规，因为内部、外部财务控制是合规计划的重要制度要素；另一方面，通过加重企业高管以及会计执业者的刑罚，更加凸显了合规计划中激励措施在量刑中的意义，从而激励企业实施合规计划，也敦促会计公司合法从事相关会计业务。

除了直接影响之外，《萨班斯法案》404 条款对企业还有显著的间接影响。间接影响主要表现为：受该条款的精神影响，各个国家陆续引进相关的制度，要求企业建立内部控制措施。例如，2003年的《法国金融安全法》、2005年的《意大利金融服务机构法规》、2004年的《澳大利亚审计改革与公司信息披露法案》、2002年的《德国公司治理准则》等法案中都对公司提出了内控要求。我国从20世纪90年代就开始了企业内控的实践，也逐步建立了内部控制的法律体系。例如，2006年9月深圳证交所发布的《深圳证券交易所上市公司内部控制指引》，2007年3月财政部公布的《企业内部控制规范》以及香港联交所公布的《公司治理事务和公司治理报告的准则》等都要求企业建立内控措施，并定期审核其有效性。“2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，标志着企业内部控制规范体系建设取得了重大突破。”①孟焰、张军：《萨班斯法案404 条款执行效果及借鉴》，《审计研究》2010年第3 期。

总之，受系列公司丑闻的刺激，美国政府深刻地意识到，需要通过更加严厉的举措推动企业实施合规计划，《萨班斯法案》就充分体现了这一理念。由于《萨班斯法案》具有广泛的管辖范围，其对于推动刑事合规的全球化发挥了重要的作用。

四、刑事合规制度全球化过程中的个案观察

（一）意大利法的考察

传统意大利法不承认企业犯罪，因为犯罪是个人的，刑罚的目的在于改造个体。这一点在意大利宪法中有明确说明。②The Constitution of the Italian Republic,ART.27.然而，愈发严重的企业犯罪同样发生在意大利，2003年乳制品巨头帕玛拉特（Parmalat）因长期的财务欺诈等原因而申请破产的事实就说明了这一点。此外，意大利还承担着国际公约中要求惩治法人商业贿赂等犯罪行为的国际义务。③《禁止在国际商业交易活动中贿赂外国公职人员的公约》（OECD Convention on Combating Bribery of Foreign Public Officials in International Business Transactions）、《保护欧洲共同体金融利益公约》（Convention on the Protection of the European Communities’ Financial Interests）、《反贿赂欧洲共同体官员或欧盟成员国官员公约》（Convention on the Fight Against Corruption Involving Officials of the European Communities or Officials of Member States of the European Union）中都有相关规定。为此，意大利立法机关于2001年6月8日颁行了第231 号法令（Legislative Decree No.231/2001-Law 231）。该法令的颁布部分解决了法人犯罪问题，同时将刑事合规制度引入了意大利法。

根据该法规定，犯罪行为实施前建构并有效实施的合规计划可以排除企业责任。具体来说，实施犯罪行为人员类型不同，合规计划的作用机制也稍有差异。（1）在企业的代表人、董事或高级管理人员实施犯罪行为的情况下，如果企业能够证明以下情况，则其不承担责任：第一，犯罪行为实施前，公司已经采纳并有效运行了适合于预防此类犯罪行为的合规计划；第二，公司已经任命了负责监督合规计划功能，完善并对合规计划充满敬意的监督机构；第三，犯罪行为系采取诈欺性方式绕过（Fraudulently Circumventing）合规计划而实施；第四，监督机构已经正确履行了职责。④Legislative Decree No.231(2001),Article 6.（2）如果犯罪行为系由普通职员实施，则在满足了如下条件时，公司不承担责任：第一，犯罪行为实施前，公司已经采纳并有效运行了适合于预防此类犯罪行为的合规计划；第二，职员没有遵循已经确立的规则。①See Legislative Decree No.231(2001),Article 7.如果企业在犯罪行为发生后采纳并有效实施了合规计划，则对企业的经济制裁可以减轻，并且不能对企业施加取消资格的制裁。②See supra note ①,Article 12,17.此外，如果在调查期间，企业要求给予时间以采纳并有效地实施能够弥补组织体缺陷的合规计划，则针对企业的预防性措施（Precautionary Measures）可以暂缓执行。③See supra note ①,Article 49.

鉴于合规计划需要根据不同性质、大小的企业而制定，事前难以提出程式化的要求，立法者只是在第231 号法令中提出了可以被接受的合规计划的最低限度要求：（1）确定可能发生法令规定的犯罪的活动范围；（2）针对必须予以预防的犯罪制定预防议案；（3）确定可以有效地预防实施上述犯罪的公司财务资源管理的程序；（4）实施向负有监督该内控机制的董事会的报告程序；（5）引进合适的惩罚不遵守规章的内部制裁机制。④See supra note ①,Article 6.

关于第231 号法令，最后需要指出两点：第一，该法令刚刚颁行时，法人犯罪的范围仅仅限定在诸如腐败、诈骗国家财产等犯罪，以使该法令与传统法不至于走得太远，但是这种情况在2002年3月随着另一项从现有资料中未知的法令扩大了法人犯罪范围而有所改变，从针对国家财产的犯罪扩大到了类似的针对私人的犯罪。⑤James Gobert,Maurice Punch,Rethinking Corporate Crime,Cambridge University Press,2003,pp.110.第二，从字面表述看，该法令所规定的企业责任是行政责任，但其实质是刑事责任。“立法者将法人责任界定为行政责任只是为了规避意大利《宪法》第27 条的限制。公司为刑事犯罪而不仅仅是行政违法行为负责，案件由刑事法庭而非行政法庭审理，以及在审理案件过程中适用刑事程序而非行政程序等，这些事实均表明，第231 号法令所规定的法人责任从实质上说是刑事责任而不是行政责任。”⑥范红旗：《意大利法人犯罪制度及评析》，载赵秉志主编：《刑法论丛》（第15 卷），法律出版社2008年版，第303 页。基于第231 号法令所规定之制裁的严厉性，意大利学界和实务界均肯定法人基于犯罪的责任之刑事性或“准刑事性”，从而，对法人责任的追究不能突破刑法的保障性原则。⑦参见耿佳宁：《单位固有刑事责任的提倡及其教义学形塑》，《中外法学》2020年第6 期。

与第231 号法令相似的还有2008年关于工作场所健康和安全保护的第81 号法令、2015年关于促进税务机关与纳税人合作的第128 号法令，以及2018年意大利竞争管理局（Italian Competition Authority）发布的《反垄断合规计划指南》。

2008年第81 号法令第30 条第1 款规定：如果可以确保商业组织履行法律义务的组织和管理模式被采纳并有效实施，则法人、公司以及不具有法人身份的团体可以被排除“行政责任”。⑧Legislative Decree No.81(2008),Art.30:Models of Organization and Management.该条第2-6项以及此后几个条款都提及了合规计划的建构问题。2015年第128 号法令第3 条引入了税务合规计划制度，即通过税务机关和纳税人的合作，有效评估、发现、管理控制潜在的税务风险，有效预防、解决税务争端。⑨Legislative Decree No.128(2015),Article 6.纳税人应当在适当的时候，建构、维持内部控制机制；一旦加入合作机制，纳税人就应当采取措施确保履行旨在消除逃税可能的义务；一旦被选中要接受检查，纳税人就应当汇集公司结构中的所有机制，使税务机构的执法活动得以顺利展开，在这个过程中，纳税人也应当与执法机构充分合作；加入合作机制后，纳税人向税务部门提出的诉求或主张将会以简化的程序来审查；部分案件中，行政罚款将会减半；在任何案件中，罚款都不得高于最低限额。①Legislative Decree No.128(2015),Article 5(2) (a) (b),5(6)(3),6(2).2018年意大利竞争管理局发布的《反垄断合规计划指南》对于合规计划的内容作出了详细规定：第一，反垄断合规应当成为企业文化和政策的有机组成部分；第二，必须有反垄断风险的确定和评估机制；第三，通过培训使员工获得专业的反垄断知识；第四，设立对于暴露在反垄断风险下的程序管理体系；第五，激励机制，即设置特定机制鼓励合规；第六，对合规体系的持续检查和完善。②See Italian Competition Authority,Guidelines on Antitrust Compliance Programs,Part II.如果反垄断调查前企业就设立了有效的合规计划，则最高可以减轻15%的行政罚款；如果反垄断调查前企业就设立了合规计划，但合规计划不完全有效，也不是明显不足，则在企业能够在调查程序开始后完善合规计划的情况下，行政罚款最多可减少10%；如果反垄断调查前企业设立的合规计划明显不足，则不能减轻罚款，但如果调查开始后其引入了有效的合规计划，则可以减轻最多5%的行政罚款。③See supra note ②,Part IV,Part V.

（二）法国法的考察

近几年，法国的刑事合规制度受到普遍关注，但在《关于提高透明度、反腐败以及促进经济生活现代化的2016-1691 号法案》（一般简称“《萨宾第二法案》”）之前，法国的法人犯罪制度中几乎没有刑事合规制度的存在空间。据学者介绍，法国刑法以“代表责任”为法人刑事责任的归责模式：首先，法人刑事责任是间接责任，即由法人机关（决策机关，包括董事会和股东大会）或其代表实施犯罪行为；其次，法人刑事责任是个人责任，即实施犯罪行为是为了法人利益。④参见陈萍：《法国法人刑事责任归责机制的形成、发展及启示》，《政治与法律》2014年第5 期。也就是说，只要是法人机关或其代表为了法人的利益实施的犯罪，法人都应当承担刑事责任，不管法人为此做了什么。在这种间接类型的归责模式中，企业合规不会对企业责任产生影响，而且，将单位责任限定在机关或其代表人实施犯罪行为的范围之内，相较于美国的替代责任，本身就显著限缩了单位刑事责任的范围。单位刑事责任范围的降低，亦同步降低了单位对作为减轻责任机制的合规计划的需求。事实上，美国合规计划的广泛推行，与其替代责任所造成的公司责任的严厉性具有不可分割的关系。⑤See Miriam H.Baer,“ Governing Corporate Compliance”,50 B.C.L.Rev.949,963-964(2009).回到法国法，立法者已经明确拒绝了法人归责的直接模式，尽管部分学者或地方法官尝试引入“结构性疏忽理论”（Organizational Failure），但最高法院却坚持传统的对刑法典的狭义解释，即维持了间接归责模式。由此导致的结果是，合规计划制度的发展受到阻碍。⑥See Stefano Manacorda,Francesco Centonze &Gabrio Forti,Preventing Corporate Corruption:The Anti-Bribery Compliance Model,Springer,2014,pp.482.

由于难以通过法人刑事责任归责模式促进企业合规，近年来，法国逐步通过立法引入了刑事合规制度。2016年，法国通过《萨宾第二法案》，正式引入了刑事合规制度。《萨宾第二法案》设定的刑事合规制度内容包括①Alexandre Bailly &Xavier Haranger,“Sapin II:The New French Anticorruption System”,available at:https://www.lexology.com/library/detail.aspx?g=27c54ff0-f764-4bb6-a11a-9691cdc3f48f,accessed by Feb.1,2021;also see http://online.eversheds.com/documents/global/france/the-newfrench-anti-corruption-law-sapin%20II_March_2017.pdf，accessed by Feb.1,2021.。

第一，企业合规计划的要素。企业的反腐败合规计划应当包括如下要素：（1）设定一个规定哪些行为可能构成贿赂从而应当予以禁止的行为守则；（2）设置内部举报系统，通过员工搜集违反行为守则的行为；（3）设置旨在根据业务线条以及业务所在地的不同而进行风险识别的风险地图系统（Risks Mapping）；（4）设置根据风险地图评估客户、一级以及中间供应商的程序；（5）通过内部或外部方式进行财务控制，确保财务账簿没有被用以掩饰贿赂行为；（6）对于最可能暴露在贿赂风险之下的管理人员和职工进行培训；（7）设定对违反行为守则员工的惩戒措施；（8）设置对于已经实施的措施的评估和内部控制系统。

第二，适用范围。合规计划适用于以下企业：（1）拥有500 名员工，或者归属于某集团公司，而该集团公司的母公司在法国注册设立且员工人数在500 名以上；并且（2）营业额或合并营业总额超过1 亿欧元。

第三，责任问题。如果符合条件的公司没有履行建构合规计划的义务，则企业可能遭受最高100 万欧元的行政罚款（Administrative Penalties），负有责任的高管可能受到最高20 万欧元的行政罚款。此处的行政罚款可以累积。②由这一点可以推知，如果受到处罚后，公司或高管仍不履行建构合规计划的义务，并不会转化升级为刑事处罚，但仍有可能继续遭受行政罚款，罚款累积计算即可如果公司内已经发生了贿赂行为，公司可能被强制要求建立合规计划（Mandatory Compliance），在法国反腐局（AFA）的监督之下，需在最迟5年之内完成。如果公司不履行强制性的合规计划建构义务，或者阻碍该义务的履行，将构成刑事犯罪，负责的公司法定代表人或经理可能被判处最高2年监禁刑以及最高5 万欧元罚金刑，公司则可能在犯罪行为所带来的利益限度内承担罚金刑。

第四，企业缓起诉制度。基于公共利益考虑，经企业同意，检察官可以决定采取缓起诉措施，同时与企业达成“公共利益司法协议”。协议的重要内容就是，要求企业建立或完善合规计划，预防类似行为再次发生。

《萨宾第二法案》是法国为履行反腐败的国际义务而制定的专门法案。该法案通过之后，也对其他领域产生了影响。具体来说，《萨宾第二法案》引入的企业合规制度也被借鉴到了其他领域。例如，《法国企业警惕义务法》（French Corporate Duty of Vigilance Law）就要求一定范围内的企业，依照《萨宾第二法案》关于反腐败合规的精神，设定合规计划，预防侵害工人权利、严重的身体或环境损害以及安全风险。③See Ludovic Malgrain &Jean-Pierre Picca,Compliance in France,in“Europe,Middle East and Africa Investigations Review 2019”,Law Business Research Ltd,2019,p.56.由于该法案缺少刑事激励要素，并不完全契合本文关于刑事合规问题的讨论，其具体内容不再展开。

（三）德国法的考察

对于德国的企业合规立法，齐白教授进行了系统的梳理：“在德国，旨在预防犯罪的合规计划主要是设立在金融机构里，《反洗钱法》第14 条第2 款第2 项（§14 Abs.2 Nr.2 Geldw·schegesetz）要求金融机构建立旨在防止洗钱行为的‘适当的保护和控制机制’。这种机制提出的要求包括：员工要可靠（第14 条第2 款第3 项）；他们要定期接受关于洗钱方法的培训（第14 条第2 款第4 项）；确立一个与刑事追诉机关进行联络的主管人员（第14 条第2 款第1 项）。《银行法》第25a 条（§25a Kreditwesengesetz）也规定了全面的组织义务，据此金融机构应当指定一个‘适当的专门机构’，由其负责法律制定的执行。比如，这样的专门机构可以是‘负责反洗钱与反欺诈行为的适当的业务与客户安全机构’（第25a 条第1 款第3 项），也可以是‘对业务活动进行全面记录的机构’（第25a条第1 款第2 项），以及是设立了‘内部控制程序’的‘适当而有效的风险管理机构’（第25a 条第1 款第3 句）。《证券交易法》第33 条（§33 Wertpapierhandelsgesetz）还规定了广泛的组织义务，该法的规定在过去几年中变得越来越细，越来越全面，而且被联邦财政部的一个规章予以细化。根据第33 条第1 款第1 项，证券服务公司为了履行法定义务，还应‘制定适当的原则，预留资金，设立程序’，特别是要设立一个长期性与有效性的合规职能，从而能够独立地履行职责。”①[德]乌尔里希·齐白：《打击经济犯罪的刑法及其替代模式》，周遵友译，载[德]乌尔里希·齐白著：《全球风险社会与信息社会中的刑法》，周遵友、江溯等译，中国法制出版社2012年版，第244-245 页。

对于企业合规计划的法律效果，德国刑事立法层面尚无明确回应。受传统罗马法的影响，德国传统刑法并不承认法人犯罪，刑法是以具有道德可谴责性的个体为制裁对象的实体法，虽然在特定的历史阶段德国曾经承认对于组织可以施加刑事惩罚，例如对于税务犯罪，但是，第二次世界大战之后德国刑法取消了这样的条款。②Antonio Fiorella &Alfonso Maria Stile,“Corporate Criminal Liability and Compliance Programs”,Jovene editore Napoli,2012,p.175.因此，作为定罪量刑政策的合规计划在德国暂时不存在明确的立法基础。“从德国现行法来看，这样的激励效果目前还几乎没有发生，因为这里的合规计划对于量刑或免于起诉（Verfahrenseinstellung）产生的相应效果尚未明确规定，或者难以立即予以明确，这也是德国法不同于美国法和意大利法的地方。”③同注①，第261 页。

刑事立法层面法律效果的缺失，不等于企业实施的合规计划没有任何法律效果。事实上，尽管德国刑法没有单位犯罪规定，但单位可以成为《秩序违反法》（Ordnungswidrigkeitengesetz）的处罚对象。该法第30 条规定：（1）如果有人作为法人的合法代表机构或此种机构的成员、作为无法律能力的社团的理事会或其成员，或者作为人合商业公司的有代表权的股东实施犯罪或违反秩序行为，并由此而致使法人或人合团体的义务受到损害，或者致使该法人或人合团体不当得利或将会不当得利，则可以对该法人或人合团体科处罚款。既然企业可以成为秩序罚的对象，那么，企业的合规计划当然可以成为减轻秩序罚责任的要素。从实践来看，合规计划在罚款裁量中发挥了重要的作用，即任何有效的合规计划将被作为一个减轻情节在罚款裁量中加以考虑，而合规不仅仅是事前的，事后针对相关违法行为建立合规计划，预防类似行为的再次发生也会导致罚款的减轻，西门子公司事后的合规措施就被积极地考虑进罚款的裁量上了。④See supra note ②,pp.193-194.在Ferrostaal 案的审理中，位于慕尼黑的拜仁第一州法院对企业处罚的罚款金额为公司对内容管理系统（Content Management System,CMS）投入金额的一半（3000 万欧元）。⑤[德]托马斯·罗什：《合规与刑法：问题、内涵与展望——对所谓的“刑事合规”理论的介绍》，李本灿译，载赵秉志主编：《刑法论丛》2016年第4 期，法律出版社2016年版，第354 页。也就是说，法院因为企业实施了合规管理而减少了其罚款数额。

与《秩序违反法》第30 条相关联的是第130 条。该条明确规定：作为经营场所的所有人，故意或过失不采取为在经营场所或企业中防止产生违背义务行为而必要的监督措施，并且此种监督义务是作为所有人应当履行的、倘若违背即应受到刑罚或罚款处罚的，则在应为之监督下本可防止的违背义务行为发生时，上述违背监督义务的行为即为违反秩序行为。任命、谨慎挑选监督人员也属于必要的监督措施。也就是说，该条赋予了经营场所所有人合规义务，如果违背该义务，可以招致因秩序违反的罚款。由于《秩序违反法》属于广义上的经济刑法，有学者将该法第130 条作为“刑事合规的中心规范”①参见[德]丹尼斯·伯克：《合规讨论的刑法视角——〈秩序违反法〉第130 条作为刑事合规的中心规范》，黄礼登译，载李本灿等编译：《合规与刑法：全球视野的考察》，中国政法大学出版社2018年版，第312-313 页。。也有学者以《秩序违反法》为联结点，推导出了公司领导对于下属职务关联性犯罪行为的监督者保证人义务。②参见[德]罗克辛：《德国刑法学总论》（第2 卷），王世洲等译，法律出版社2013年版，第32 节，边码140，141。也就是说，公司领导是否履行《秩序违反法》第130 条中的合规义务，成为自身刑事责任的决定性因素，由此可以推导出一种新的刑事合规制度类型，即“以合规作为个人责任联结点类型的刑事合规制度”。尽管笔者不赞同将《秩序违反法》第130 条作为“刑事合规的中心规范”，或者从中推导出领导人的监督者保证人义务的学术观点，但该条款所具有的重要意义不言而喻。鉴于此，我们暂且可以称之为“准刑事合规制度”。

与《秩序违反法》第130 条相关联，但本质不同的是，由德国联邦最高法院的系列判决所形成的“以合规作为个人责任联结点类型的刑事合规制度”。这种制度类型最初在2009年德国联邦最高法院第五刑事法庭审理的“柏林城市清洁公司诈骗案”中形成，后经联邦最高法院的系列判决确认，已经成为在缺失单位犯罪基本规范的制度背景下推动企业合规的重要方式。③参见李本灿：《合规官的保证人义务来源及其履行》，《法学》2020年第6 期。

五、制度史考察的学术意义

（一）反思之一：刑事合规制度起源问题的重新审视

无论是国内还是国外，都已经对刑事合规问题进行了较为深入、广泛的讨论。然而，在个别问题上却存在着知识性的错误。这些错误经过广泛引用、传播，貌似就摇身变成了事实。在刑事合规制度的起源问题上就是如此。在以往的研究中，很多学者缺乏对刑事合规制度的规范理解以及制度史考察，从而作出了值得进一步商榷的判断。例如，齐白教授就先入为主地认为“合规计划发源于美国”④参见[德]乌尔里希·齐白：《打击经济犯罪的刑法及其替代模式》，周遵友译，载[德]乌尔里希·齐白著：《全球风险社会与信息社会中的刑法》，周遵友、江溯等译，中国法制出版社2012年版，第236 页。。国内的赵恒博士也在多篇文章中表达了“刑事合规（计划）起源于美国”的观点。⑤参见赵恒：《涉罪企业认罪认罚从宽制度研究》，《法学》2020年第4 期；赵恒：《认罪答辩视域下的刑事合规计划》，《法学论坛》2020年第4 期；赵恒：《刑事合规计划的内在特征及其借鉴思路》，《法学杂志》2021年第1 期。然而，以美国法为切入点，对于企业合规及其刑事化历程作细致考察以及规范化解读之后，可能会有不一样的认识。

通过对美国企业合规制度发展及其刑事化历程的梳理不难发现：（1）用刑事法手段推动企业合规已经成为普遍的立法和司法实践；（2）用以推动企业合规的刑事法手段具有多样性。例如，《美国联邦量刑指南》所采用的方式是，通过量刑激励的方式推动企业合规。与此不同的是，美国司法部发布的关于公司起诉政策的系列“备忘录”却将合规作为起诉裁量的核心要素，而《萨班斯法案》却重点强调通过强化关键自然人的刑事责任，推动以财务内控制度为核心的合规制度。上述三种方式不能代表全部，但可以从中抽象出刑事合规的制度要素：（1）刑事法手段；（2）自我管理。如果从“刑事法手段”“自我管理”两个要素出发来理解刑事合规制度，①Vgl.Thomas Rotsch,Compliance und Strafrecht—Fragen,Bedeutung,Perspektiven,ZStW 2013,S.494.那么，通过赋予自我管理以正当化或排除责任的刑法意义的制度类型，当然也是刑事合规制度，而这种制度类型在美国之外的立法中早就存在。例如，澳大利亚1974年的《贸易实践法》（Trade Practices Act）section 85 (1) (c) (ii)项规定：旨在避免违法犯罪的合理的预防措施以及正当程序，可以成为辩护事由。这里所指的“预防措施”“正当程序”是合规计划的另一种表达。根据该条的规定，企业合规计划当然可以成为正当化或责任抗辩事由。“即便法律责任仍会发生，合规努力也将成为刑罚裁量的主要参考因素（Major Factor）。”②See Brent Fisse,“Corporate Compliance Programmes”,Trade Practices and Consumer Law Conference,Terrigal,16 Sept.1989,p.2.在实践层面，据学者介绍，早在20世纪70年代末，澳大利亚联邦层面的法院就开始将企业的合规努力作为刑事和民事处罚裁量的重要因素。从20世纪80年代末到90年代，澳大利亚竞争与消费者委员会就慢慢地诱导法庭，使其命令违法的公司矫正错误，并努力预防类型行为再次发生。③See Christine Parker,“Compliance Professionalism and Regulatory Community:The Australian Trade Practices Regime”,26J.L.&Soc'y 215,221(1999).例如，在Universal Telecasters Ltd.v.Guthrie 案中，法庭的注意焦点就在于Universal Telecasters 所采取的合规预防措施是否有效。④Universal Telecasters Ltd.v.Guthrie,32 F.L.R 360(1978).此案之后，一系列案件都将焦点定位在了企业的合规计划问题。例如，在Videon v.Beneficial Finance Corporation 案中，法院审理后认为，企业所采取的预防措施不足以实施企业合规政策，因此不能构成合规抗辩。⑤See supra note ②,p.5,12.

此外，新南威尔士州《公司法》（1982）section 229 (2)项规定：如果企业的管理人员或者其他官员没有采取措施保障其企业内部设置了有效的合规系统，则需要承担刑事责任。这也就意味着：如果企业设置了合规制度，则可以进行合理抗辩。

需要说明的是，以上立法实例不代表全部，可能会挂一漏万，也不能由此说刑事合规制度起源于20世纪70年代初的澳大利亚，但可以由此推论出的是，最起码在立法层面上，刑事合规制度并不是起源于美国。从某种意义上说，美国只是借助其强大的经济实力以及全球影响力唤醒了企业合规的意识而已。

（二）反思之二：刑事合规制度类型化的必要性

导致对制度起源问题错误判断的原因很大程度上在于，学界对于刑事合规制度的类型化研究不足。类型化不足导致的错误判断问题还不止于此。有学者认为，刑事合规制度以代位责任模式为根基，正因如此，我国的刑事实体法不具有引入刑事合规制度的基础。⑥参见田宏杰：《刑事合规的反思》，《北京大学出版社（哲学社会科学版）》2020年第2 期。该学者仅仅以美国法为单一观察样本，认为美国法就代表了一切。其实，这也是由于类型化不足而导致的误判。通过上文对美国法、德国法、意大利法、法国法的考察不难发现，尽管这些国家都存在通过刑事法律推动企业合规的刑事合规制度，但其具体方式存在差异，而且在差异中亦有趋同化的特征。例如，意大利法将企业合规计划定位为责任排除事由，以此激励企业合规的制度不同于美国法，但其当然归属于刑事合规制度；德国在没有单位犯罪的制度背景下，不可能将合规与单位责任建立联系，而只能通过赋予公司领导以及合规官保证人义务的方式激励企业合规，这种方式也当然归属于刑事合规制度；法国通过强制方式，促进公司及其高级管理人员建构合规计划，或者通过公共利益司法协议促进企业建构合规计划的制度也当然归属于刑事合规制度。

如果站在类型化的角度，无论是通过减轻单位责任、排除单位责任，或者以合规为联结点证立或排除个人责任，都是刑事合规的制度类型。由此来观察我们国家通过刑事责任的方式促使相关责任人履行内部控制义务的立法条文以及司法案例比比皆是。例如，我国《刑法》第134 条的规范目的即可理解为，通过刑事责任促进对生产作业负有组织、指挥或管理职责的负责人、管理人员、实际控制人、投资人以及直接从事生产作业的人员确立、践行内部控制制度。①参见李本灿：《刑事合规制度的法理根基》，《东方法学》2020年第5 期；李本灿：《法治化营商环境建设的合规机制——以刑事合规为中心》，《法学研究》2021年第1 期。例如，顾某广恰是因为没有履行“建立安全生产管理机制，配齐生产管理人员，制定煤矿管理的各项规章制度”的义务，因而在事故发生时，承担了重大责任事故罪的责任。②参见贵州省金沙县人民法院（2016）黔0523 刑初207 号刑事判决书。在梁某某玩忽职守案中，检察院指控的核心根据即在于“梁某某未按照财政部印发的《行政事业单位内部控制规范（试行）》建立健全有效的内部控制制度、印鉴制度、票据管理等财务管理制度，因而导致财务管理、检查和监督上存在明显漏洞”。法院判定梁某某构成玩忽职守罪的核心法律依据，除了《刑法》第397 条第1 款、第67 条之外，就是财政部印发的《行政事业单位内部控制规范（试行）》第2 条、第6 条、第7 条、第11 条、第12 条、第28 条。③参见贵州省赤水市人民法院（2016）黔0381 刑初127 号刑事判决书。在“李某某国有事业单位人员失职案”④参见广东省增城市人民法院（2016）粤0183 刑初1181 号刑事判决书。“王某某玩忽职守案”⑤参见四川省武胜县人民法院（2015）武胜刑初字第169 号刑事判决书。中，检察院起诉、法院判决的核心根据也都包含国家部委或当地主管机构发布的内部控制指引文件。从这个意义上讲，我国学界和实务界广为流传的“雀巢公司员工侵犯公民个人信息案系中国刑事合规第一案”的学术判断值得进一步商榷。

综上所述，我们今天的很多讨论都存在形式化的问题，由此导致的结果是，很多具体的学术观点都经不起认真推敲。形式化的原因在于，我们对于刑事合规制度类型化的研究不足。因此，刑事合规制度类型化研究实有必要。

（三）反思之三：个人责任对于推动企业合规具有重要意义

在以往的研究中，我们往往在单位犯罪的制度语境中讨论美国的刑事合规制度。以至于有学者认为，刑事合规以单位犯罪制度为前提。⑥参见万方：《企业合规刑事化的发展及启示》，《中国刑事法杂志》2019年第2 期。然而，通过对刑事合规制度史的梳理不难发现，无论是美国，还是法国、德国等都同时强调了个人责任的重要意义。

例如，尽管《美国联邦量刑指南》对于企业合规刑事化具有里程碑的意义，但企业合规制度在更大范围内普及、传播却离不开《萨班斯法案》的作用，而该法案的重要内容即是强化关键个人的刑事责任，以此推动以财务内控制度为核心的合规制度。2016年《耶茨备忘录》也强调了个人责任的重要意义。在判例法中，早在20世纪80年代的Francis v.United Jersey Bank 案①Francis v.United Jersey Bank,432 A.2d 814 (1981).、Smith v.Van Gorkom 案②Smith v.Van Gorkom,488 A.2d 858 (1985).中，公司高管就曾因疏于构建充足的合规控制措施而承担了刑事责任。

又如，法国的《萨宾第二法案》同时强调了公司以及高级管理人员的强制性合规建构义务，否则将面临刑事处罚。在德国，围绕公司领导人以及合规官的监督者保证人义务已经形成了多个判决。③BGHSt 54,44；BGHSt 57,42；BGHZ 194,26；BGH B.v.06.02.2018 - 5 StR 629/17 - NStZ 2018,648.这也客观上建构起“以个人责任为联结点”的刑事合规制度类型。

弄清楚这一点，对于我们的制度构建至少具有两点启示意义：第一，刑事合规制度并不必然依托于单位犯罪制度；第二，制度的建构可以围绕单位责任和个人责任两条路径展开。当然，在现代公司治理理念尚未普及，“关键个人”对于公司发展具有不可替代意义的制度环境中，能否过分强调“放过企业，严惩个人”的理念，还需要进一步讨论。