涉单位自然人犯罪合规的理据、边界与例外

●董文蕙

一、问题的提出

我国近几年在最高人民检察院的主导之下展开了声势浩大的“涉案企业合规”改革实践，相较于域外的“刑事合规”制度，我国的合规改革具有典型的中国式本土化特征：合规改造的对象不限于“涉罪企业”，而是“涉案企业”，案件范围并不严格限定为单位犯罪，而是“既包括公司、企业等实施的单位犯罪案件，也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。”〔1〕《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》第3 条。对自然人犯罪而企业并无刑事责任的案件适用合规，这与应以单位构成犯罪为前提的刑事合规基本原理不相符合，引发学界的质疑和批评。“在企业并未被作为追诉对象的情况下，检察机关对其适用合规考察，并以企业的合规建设作为放过‘企业家’之理由，既有悖企业合规的基本原理，也有违罪刑法定原则之嫌。”〔2〕李奋飞：《论企业合规考察的适用条件》，载《法学论坛》2021 年第 6 期，第34 页。

同时，自然人实施的“与生产经营活动密切相关的犯罪案件”范围并不明确，实务中一些发生在单位中的纯粹自然人犯罪案件也被纳入涉案企业合规，导致案件范围不当扩张。随着合规改革的深入推进，自然人犯罪合规案件数量迅猛增长，涉案企业合规制度面临着较大的风险敞口，与刑法教义的冲突日益尖锐。2023 年1 月16 日最高人民检察院发布第四批典型案例，宣称“合规案件范围进一步拓展，办案规模持续扩大。”〔3〕孙凤娟：《充分发挥典型案例指导作用 深入推进涉案企业合规改革——最高人民检察院第四检察厅负责人就发布涉案企业合规典型案例（第四批）答记者问》，载《检察日报》2023 年1 月17 日，第2 版。在该批5 个典型案例中，有2 个是自然人犯罪案件，下文分析其中的1个自然人犯罪案件，便可发现此种不当扩张适用的问题。

南某某系L 公司总经理，张某甲系公司会计，张某乙系工人，作业时受工伤。因公司未给张某乙缴纳工伤保险，南某某安排张某甲为张某乙补缴工伤保险，采取办理出院再二次入院的手段，虚构张某乙受伤时间，骗取工伤保险赔偿款26 万余元。案发后，南某某等3 人主动投案自首，自愿认罪认罚，L 公司将26 万余元返还社保中心。南某某、张某甲的行为按照诈骗罪量刑，基准刑为66 个月，属于重罪案件。检察机关受理案件后启动合规程序，经3 个月合规考察后对南某某等3 人作出不起诉决定。〔4〕《最高人民检察院发布涉案企业合规典型案例（第四批）》之 “山西新绛南某某等人诈骗案”。

上述案例值得反思的问题有：（1）为逃避民事赔偿责任而向社保中心行骗的自然人犯罪行为，并不发生在生产经营环节，是不是“与生产经营活动密切相关的犯罪案件”存在疑问。（2）刑事合规案件限于法定犯（行政犯）是当前的理论共识，诈骗罪是典型的自然犯，将其纳入合规案件范围是否妥当值得讨论。（3）张某乙作为受伤工人协助参与了诈骗，其不可能在企业合规整改中发挥作用，那么他的刑事责任变动与合规激励之间的关联就面临正当性疑问。

由此可见，我国涉案企业合规的案件范围扩展至自然人犯罪，不仅面临着正当性质疑，也面临着具体的技术性难题。那么，上述质疑是否成立？将与生产经营活动密切相关的自然人犯罪案件纳入合规是否具有正当性？在具体操作层面，将自然人犯罪案件纳入企业合规应该遵循什么判断标准，才不会违反刑法基本原则和背离刑事合规的基本原理？这关涉到我国涉案企业合规改革的制度创新与（刑法）规范守正的关系平衡和底线把握问题，也深刻影响着合规改革的命运。基于上述问题意识，本文将根据我国单位犯罪的法律规定和刑事合规的基础理论，提出“涉单位自然人犯罪”概念作为分析工具，厘清我国涉案企业合规的法源理据和制度逻辑，反思其扩张适用的实践乱象和制度风险，构建涉单位自然人犯罪合规案件范围的判断标准，匡正涉案企业合规制度的正义边界。

二、涉单位自然人犯罪合规的理据

针对我国的企业合规案件范围突破了单位犯罪扩展至自然人犯罪而引发的质疑，已有的研究大多是以我国民营企业“人企合一”的现状和保护民营企业的政策为由进行解读和回应，但此种存在论和对策论的表层辩解根本无力回应上述质疑。实际上，我国之所以采用并不限定为单位犯罪的“涉案企业合规”模式，是由我国刑法中单位犯罪的特殊规定和司法解释对单位犯罪的处理规则所决定的——一些不被认定为单位犯罪的企业事实上实施了客观不法行为并造成法益损害，也具有合规改造的正当性和必要性。亦即存在“企业是事实上的涉罪企业”和构成了“事实上的单位犯罪”的情况，〔5〕参见孙国祥：《刑事合规激励对象的理论反思》，载《政法论坛》2022 年第5 期，第 85-86 页。所以，实践称谓是“涉案企业合规”而不是“涉罪企业合规”。故笔者提出一个与“涉案企业合规”相呼应的概念——“涉单位自然人犯罪”，以此来揭示中国式涉案企业合规范围扩展的逻辑理路，并在实体法规范中探寻其正当性。

（一）涉单位自然人犯罪的涵义

在刑法规范意义上，涉案企业合规中的“公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪”显系自然人犯罪，即犯罪主体是自然人、只能追究自然人刑事责任的犯罪。但由于此类自然人犯罪与单位组织体之中的职务、业务活动具有密切相关性，附带了一个涉及单位可能是行为主体（非刑法规范意义的犯罪主体）的特殊情况，基于罪刑法定原则不追究单位而追究自然人的刑事责任，此类犯罪可称作“涉单位自然人犯罪”。

我国的“涉单位自然人犯罪”是由我国刑法关于单位犯罪的特殊规定和司法实务中的特殊处理规则所产生的特殊犯罪类型，指的是尽管单位实施不法行为且无正当事由，但由于缺乏单位刑事责任的构成要件或者传统单位犯罪归责思路的局限，而无法追究单位但需追究自然人刑事责任的犯罪。〔6〕参见董文蕙、尹锐平：《涉单位犯罪的刑事归责与合规适用思考》，载《苏州大学学报（法学版）》2023 年第1 期，第131 页。涉单位自然人犯罪是符合犯罪学意义上的单位犯罪之外观，但在刑法规范意义上只能被评价为自然人犯罪的特殊犯罪类型。其核心特质在于其具备了单位犯罪的一切客观不法的要素——外观与本质均是单位自身的行为，但欠缺刑事责任的法定配置——基于刑事政策、需罚性欠缺、“刑法机制的有限性”〔7〕参见焦艳鹏：《生态文明保障的刑法机制》，载《中国社会科学》2017 年第11 期，第80 页。等理由没有设置刑事责任对之进行刑法的否定评价；或者传统单位归责思路存在缺陷——比如，聚焦于利益归属进行归责，故无法认定为单位不法行为，以及根据司法解释确立的特殊裁判规则，进而无法追究单位刑事责任。

涉单位自然人犯罪与发生在单位中的自然人犯罪（下称“单位中的自然人犯罪”）不同：涉单位自然人犯罪具有单位不法行为的法律外观和单位组织体致罪缺陷，因而产生组织体责任；单位中的自然人犯罪是仅有犯罪发生的场域在单位，但不具有单位行为外观，既无法归因也无法归责于单位的纯粹自然人犯罪，比如以单位为犯罪对象的职务侵占罪，还比如利用工作便利、为个人谋取利益的普通员工犯罪。此类自然人犯罪因为欠缺组织体责任因而没有适用合规整改的基础和前提，但我国一些地方的合规实践却没有区分地将此类犯罪任意扩张适用，加剧了人们对涉案企业合规的质疑，因此有必要提出“涉单位自然人犯罪”概念，将两者区分开来。

李本灿教授曾提出“涉单位的关键个人犯罪”之表述，并将其与“关键个人实施的非单位犯罪”等同使用，但并未对此展开本体内涵分析，只是指出对其应适用合规激励是由我国的单位犯罪仅占刑法分则全部罪名的 1/3 左右的客观立法现状决定的。〔8〕参见李本灿：《实体与程序互动视野下的刑事合规立法》，载《中国法学》2023 年第5 期，第87 页。故此“涉单位的关键个人犯罪”之表述与本文的“涉单位自然人犯罪”概念有何不同不得而知，但似乎可以推知其指向的是由立法产生的涉单位自然人犯罪，并不包括由司法解释所确立的涉单位自然人犯罪。

（二）涉单位自然人犯罪概念的本土性目标功能

涉单位自然人犯罪在我国是一种客观存在的法律现象，但刑事司法实践中基于对法律及司法解释的遵照适用，此类犯罪的构造似乎并未被特别关注，随着涉案企业合规改革将此类案件纳入开始引发争议。一些学者认为，对没有刑事责任的涉案企业适用合规突破了刑事合规应以单位构成犯罪为前提的基本逻辑；有学者认为这种认识差误可能是“将犯罪学意义上的单位犯罪与规范意义上的单位犯罪混淆”〔9〕黎宏：《企业合规不起诉改革的实体法障碍及其消除》，载《中国法学》2022 年第3 期，第263 页。了。

以域外刑事合规仅适用于单位犯罪案件为由就断然否定我国合规案件扩展至自然人犯罪案件的正当性之思考逻辑，忽略了刑事合规本土化过程中我国刑法单位犯罪的特殊规定与域外刑事合规理论的“知识连接难题”。〔10〕参见舒国滢：《中国法制现代化道路上的“知识联结难题”——一种基于知识联结能力批判的观察》，载《法学》2022 年第12 期，第3-5 页。中国本土刑法理论体系的形成过程应是非选择性的，选择性意味着有某种给定的理想模板存在，其有效性并未经过实践的检验；而应当是建构性的，建构的知识体系是一个生成的世界，其有效性是在实践中渐次生成的。〔11〕参见周少华：《中国刑法学的文化际遇和理论前景》，载《法学研究》2013 年第1 期，第26 页。作为舶来品的企业合规在本土化改造中应重视我国刑法单位犯罪规定的差异性，由此生成“涉案企业合规”的实践知识体系，在此自主性知识的建构过程中，涉单位自然人犯罪概念的提取是解决“知识连接难题”的基础，承载着本土性目标功能。

涉单位自然人犯罪概念因应了“涉案企业合规”，指代“公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪”。该概念不是一个刑法学规范概念，也不是一个犯罪学概念，而是一个依循刑法学、犯罪学和刑事合规基本原理而构建的分析工具，其目标功能在于框定合规案件范围，从而消弭涉案企业合规作为刑事政策与刑法教义之间的冲突与抵牾。涉单位自然人犯罪概念的目标功能设定具有目的正当性和效用可行性，原因在于其符合现代行为主义刑法的教义逻辑。因涉单位自然人犯罪的行为主体是单位，故不同于单位中的纯粹自然人犯罪，也不同于法定规范意义上的单位犯罪（单位被称作规范意义上的“犯罪主体”而非“行为主体”），是具备单位犯罪外观但只能被评价为自然人犯罪的特殊犯罪类型。运用此概念可避免“自然人犯罪合规案件”之语词表达所带来的误解，并可推演其规范判断标准使之具有框定涉案企业合规案件范围的功能，且可建构具有自身内在逻辑的、可供司法操作的技术性方案。

（三）涉单位自然人犯罪的刑法基础

涉单位自然人犯罪是对存在于我国刑法典和司法解释规范文本中的一种特殊犯罪类型进行归纳和提炼而得出的概念，并非逻辑推演或创生、续造之结果。下文从刑事立法和司法解释两个层面探寻其刑法基础。

1.刑事立法（单罚制模式）产生的涉单位自然人犯罪

我国《刑法》第30 条体现了我国单位刑事责任的特殊性，即单位实施刑法所禁止的危害行为后是否承担刑事责任由刑法分则条文明确规定。第31 条规定：“单位犯罪的，对单位判处罚金，并对直接负责的主管人员和其他直接责任人员判处刑罚。刑法分则和其他法律另有规定的，依照规定。”刑法分则中的此种“另有规定”分为两种情形：（1）罪状描述中指明行为主体是单位，亦即单位实施了刑法所禁止的危害行为，没有规定单位刑事责任的情形。比如，《刑法》第161 条“不披露、违法披露信息罪”，规定了行为主体是“依法负有信息披露义务的公司、企业”，但并未规定单位的刑事责任，而是规定了自然人的刑事责任。《刑法》第137 条“工程重大安全事故罪”亦如此。（2）在罪状描述中虽没有指明行为主体是单位或者包括了单位，但明确规定对“直接负责的主管人员和其他责任人员”或“直接责任人员”（通常属于单位犯罪中才有的主体）追究刑事责任，比如《刑法》第135 条重大劳动事故罪、第139 条消防责任事故罪。此两种情形是否成立单位犯罪颇具争议，由此产生了“单罚制单位犯罪”〔12〕参见谢治东：《论单罚制单位犯罪在刑法上之否定》，载《甘肃社会科学》2010 年第6 期，169 页。和“单位实施非单位犯罪”〔13〕参见董玉庭：《论单位实施非单位犯罪问题》，载《环球法律评论》2006 年第6 期，第701 页。等模棱两可的概念。

2014 年《全国人民代表大会常务委员会关于〈中华人民共和国刑法〉第三十条的解释》规定：“公司、企业、事业单位、机关、团体等单位实施刑法规定的危害社会的行为，刑法分则和其他法律未规定追究单位的刑事责任的，对组织、策划、实施该危害社会行为的人依法追究刑事责任。”该解释与上述刑法分则条文都明确了单位实施刑法禁止的危害行为但并不承担刑事责任的情形，由此形成了“法律规定单位刑事责任”与“法律未规定单位刑事责任”的二元格局。

上述立法解释充斥了“代位责任”的色彩，对行为刑法中的责任自负原则造成破坏因而遭受学界批评，比如有学者认为这是“规范隐退”的表现，〔14〕参见刘艳红：《“规范隐退论”与“反教义学化”——以法无明文规定的单位犯罪有罪论为例的批判》，载《法制与社会发展》2018 年第6 期，第103 页。“导致单位犯罪成立范围‘法定’原则处于悖论状态。”〔15〕孙道萃：《单位犯罪成立范围“法定”原则的逻辑证伪与立法超越——以“〈刑法〉第30 条的解释”为切入点》，载《江苏大学学报（社会科学版）》2017 年第1 期，第73 页。因此，基于对罪刑法定原则的坚守，加之“没有刑罚就没有犯罪”的刑法学通说，学界一般认为此种情形不属于单位犯罪。〔16〕参见张明楷：《刑法学》（第6 版），法律出版社2021 年版，第177-178 页；参见陈忠林、席若：《单位犯罪的“嵌套责任论”》，载《现代法学》2017 年第2 期，第121 页。此种基于罪刑法定原则无法跃升为“规范意义上的单位犯罪”的、只追究自然人刑事责任的犯罪，便属于刑事立法所确立的涉单位自然人犯罪。

2.刑事司法解释（双罚制模式）确立的涉单位自然人犯罪

上文所述的刑事立法所确立的涉单位自然人犯罪是由单罚制模式所产生的。在已经规定了单位刑事责任的双罚制模式下，是否可能产生涉单位自然人犯罪呢？一般情况下不可能产生，但刑事司法解释中有一些涉及单位犯罪处理的特殊规则，由该规则产生了涉单位自然人犯罪。比如，2019 年“两高一部”《关于办理非法集资刑事案件若干问题的意见》第3 条规定：“上级单位已被认定为单位犯罪，下属单位实施非法集资犯罪活动，但全部或者大部分违法所得归上级单位所有的，对下属单位不单独认定为单位犯罪。下属单位中涉嫌犯罪的人员，可以作为上级单位的其他直接责任人员依法追究刑事责任。”该规定以“利益归属”为唯一标准认定单位犯罪，下级单位基于单位意志实施了不法行为，但利益归属于关联单位，因此下级单位不被认定为单位犯罪，而只追究自然人刑事责任。〔17〕当然，此种解释是否科学合理并非没有争议，比如有学者认为，“利益归属要件不是认定单位意思的必要要件，它可能造成单位犯罪认定过窄或过宽问题。”参见李本灿：《单位刑事责任论的反思与重构》，载《环球法律评论》2020 年第 4 期，第 56 页。笔者赞同此观点。2017 年最高人民检察院《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》（下称《纪要》）规定的金融领域关联单位犯罪的认定规则〔18〕该《纪要》第22 条规定：违法所得完全归分支机构上级单位所有并支配的，不能对分支机构作为单位犯罪主体追究刑事责任，而是应当对分支机构的上级单位（符合单位犯罪主体资格）追究刑事责任；第23 条规定：该分支机构相关涉案人员可以作为该上级单位的“其他直接责任人员”追究刑事责任。与此相同，下级单位实施了不法行为，因为利益归属于上级单位，故下级单位不构成犯罪。因此，下级单位的自然人犯罪虽然迁移至上级单位的单位犯罪结构里处理，但下级单位以本单位名义和意志实施了单位不法行为，具备了单位犯罪的法律外观，故该自然人犯罪在与下级单位的组织体关系中，成立涉（下级）单位自然人犯罪。而事实上，下级单位存在显而易见的组织体致罪缺陷具有合规整改的必要性。当然，此种上下级单位之间的关联关系同时衍生出“关联型合规”的问题，下文将论及。上述单位犯罪的特殊认定规则在金融类犯罪的司法裁判中被普遍适用，以一个案例进行分析。

望洲集团（注册地上海）在全国设立分公司开展P2P 网贷业务：集团下设A 公司（在上海设立）面向公众吸收资金，B 公司（办公地北京）负责寻找债务人并放款。苏某某为A 公司负责人，高某某任B 公司总经理，两人全面负责B 公司朝阳分公司的P2P 业务。案发后，北京市朝阳区人民检察院认为朝阳分公司自成立以来只开展P2P 违法业务故排除单位犯罪，只对高某某、苏某某以非法吸收公众存款罪起诉，但朝阳法院将本案认定为单位犯罪。理由是望洲集团具有P2P 之外的实际经营业务因此被认定为单位犯罪（另案审理），B 公司服务于望洲集团，基于与关联案件审理结果保持一致性的考量，故将本案也认定为单位犯罪，将高某某、苏某某均认定为望洲集团的“其他直接责任人员”予以处理。收到判决后，朝阳检察院经审查认为，本案判决结果符合《纪要》第22 条、23 条规定，于是朝阳检察院不再提起抗诉。〔19〕参见北京市朝阳区人民检察院编：《金融犯罪疑难案件认定实务》，中国检察出版社2019 年版，第136-143 页。

本案中的A 公司和朝阳分公司所隶属的B 公司自成立以来只开展违法犯罪业务，设立该公司的不是个人而是具有正常合法业务的母公司，本质上属于母公司另设新公司开展风险新业务的情形。司法机最终关未认定A 公司和B 公司构成单位犯罪，将其负责人作为公司的上级单位（望洲集团）的“其他直接责任人员”进行处理。由此可见，A 公司和B 公司实施了客观的单位不法行为但并未被追究刑事责任，是因为欠缺了单位犯罪中的利益归属要件因而无法构成规范意义上的单位犯罪，即属于本文所讨论的涉单位自然人犯罪。

（四）涉单位自然人犯罪合规的正当性

涉单位自然人犯罪是我国单位犯罪的特殊立法和司法解释产生的特殊犯罪类型，尽管所涉单位在刑法规范层面没有刑事责任，将其纳入合规可避免合规案件的不当遗漏。但从法治国的罪刑法定和程序正义原则之视角，我们需要思考的是在刑事司法程序的进程中对无罪企业进行合规整改——实质性制裁，是否溢出了责任主义的边界。因此需要对涉案企业合规进行责任主义审视，并考量其间比例原则是否被违背。同时，很少有人从企业的角度去关注对没有刑事责任的企业适用合规对企业而言是否正当，这可能是因为掌控企业的企业家（实控人、负责人）考虑的是因企业合规而获得个人的不起诉或量刑优惠是划算的；但从无辜的企业股东的立场来看，企业付出高昂的合规整改成本并不换来明显的企业收益，反而因为业务强制剥离等因素丧失商业利益，企业的经营自主权也受到公权干预，因此涉案企业合规是否正当却是一个问题。笔者认为，无论是从国家视角还是企业视角，对涉单位自然人犯罪的企业进行合规整改具有正当性，理由如下。

1.涉单位自然人犯罪合规并不违反责任主义原则

“刑事合规性”并不是刑法的替代物，而是跨学科认知和系统化推动的预防工作的一种新形式。〔20〕参见［德］埃里克•希尔根多夫：《德国刑法学：从传统到现代》，江溯、黄笑岩译，北京大学出版社2015 年版，第504 页。在刑事合规的视阈中，基于有效预防犯罪的价值目标，并受“软法治理”理念影响，特定条件下“刑罚的正统性”被削弱，“产生了将刑罚与行政制裁 （行政上的秩序罚）的区别作为程度问题，或者不得不在流动的关系中来把握二者”〔21〕参见 嘉门优：《法益论——刑法中的意义与角色》，成文堂 2019 年版，第 115 页。的问题。依据科斯定理，此种流动如果具有和刑事审判相同的结果则降低了社会成本，那“刑行一体化”就可能构建最优惩罚谱系。我国的涉案企业合规改革正是在这样的背景下展开的，事实上，我国融通民事、行政手段解决刑事诉讼中的问题的机制并不罕见，比如，追赃退赔机制，在涉众型经济案件处理中，其实际上扮演了民事诉讼中执行制度的功能。〔22〕参见冯辉：《金融整治的法律治理——以“P2P 网贷风险专项整治”为例》，载《法学》2020 年第12 期，第34 页。所以有学者认为，企业合规本质上属于中国特色“行刑”衔接机制的核心组成部分。〔23〕参见张泽涛：《论企业合规中的行政监管》，载《法律科学》2022 年第3 期，第45 页。

涉单位自然人犯罪的企业尽管没有刑事责任，但其实施了客观的不法行为，并在组织体机制支配之下发生了自然人犯罪，单位对此具有监督管理方面的组织体责任，因此国家必将对其发动行政制裁，而诸如吊销营业执照、声誉制裁〔24〕参见王瑞雪：《政府规制中的信用工具研究》，载《中国法学》2017 年第4 期，第159-162 页。等行政制裁甚至比单纯的罚金之刑事制裁更为严厉。刑法规范上不予归责的因素与企业合规整改适用的因素并不等同，涉案企业是否需要合规整改取决于组织体责任，此种组织体责任并不是必然对应刑事责任，而是包括了刑事责任和行政责任的综合责任。正如有外国学者认为意大利首部企业合规法令（即意大利第231 号法令）所确立的违法企业所承担的责任是行政责任和刑事责任的混合体，是第三类责任形式。〔25〕参见刘霜：《意大利企业合规制度的全面解读及其启示》，载《法制与社会发展》2022 年第1 期，第64 页。

我国的涉案企业合规改革推行“刑行合规互认”，最大程度实现行政处罚与刑事处罚的一体化激励机制，试图达成预防违法犯罪的整体性功能。〔26〕参见刘译矾：《论涉案企业合规的刑行衔接及其实现》，载《中国刑事法杂志》2022 年第6 期，第159-160 页。合规改革中逐渐确立了“行检协同式”合规行刑衔接激励新模式〔27〕参见毛逸潇：《“行检协同式”个人信息合规行刑衔接激励新模式研究》，载《法学论坛》2022 年第6 期，第71-75 页。——将行政机关纳入第三方合规监督机制中全程参与企业合规整改；并在案件处理决定作出后进行接续性合规监管，实现“行刑衔接同步协调原则”。〔28〕参见练育强：《行刑衔接视野下的一事不再罚原则反思》，载《政治与法律》2017 年第3 期，第130 页。由此可见，相较于刚性不足的“检察建议”，涉单位自然人犯罪的企业之组织体责任可以在涉案企业合规的“刑行一体化”的框架里更有效率地实现。

我国有一些罪名的涉单位自然人犯罪（传统教义学中所谓的“单罚制单位犯罪”）之立法模式本身并不科学，比如《刑法》第161 条违规披露、不披露重要信息罪和《刑法》第137 条工程重大安全事故罪，两个罪名的行为主体都是单位，企业的法定义务以及相应的行政违法责任都在行政法规范中有规定，而单位刑事责任的立法缺失导致刑法的规范目的落空。换言之，单位应当承担此类犯罪的刑事责任但没有被立法确认，因此让其承担准刑罚制裁的合规整改责任，就应认为是妥当的。根据责任主义的犯罪观，整顿义务恰恰是企业的注意义务。〔29〕参见马明亮：《作为犯罪治理方式的企业合规》，载《政法论坛》2020 年第3 期，第175 页。综上所述，将涉单位自然人犯罪纳入“刑行一体化”的涉案企业合规框架下进行治理并不违反责任主义原则。

2.涉单位自然人犯罪合规是实现“恢复与预防”价值目标的妥当性方法

法益损害恢复和预防犯罪是刑事合规的价值目标。〔30〕参见董文蕙：《重罪合规不起诉的理论证成及适用限制——以责任主义为中心的分析》，载《法商研究》2022 年第6 期，第74-75 页。涉单位自然人犯罪与单位犯罪造成的法益损害并没有不同，又因单位不法行为与法益损害之间成立刑法中的因果关系，因此涉单位自然人犯罪的企业需与自然人共同承担相应的法益恢复任务。换言之，有组织体缺陷的单位实施了客观不法行为并造成了法益损害，便可进入刑事合规的视野，“刑法目的是保护法益，刑事合规的规范目的也应当服务于法益保护。”〔31〕王良顺：《刑事合规需要澄清的基础问题》，载《政法论丛》2022 年第6 期，第40 页。刑事合规与刑事责任激励的关联机制，容易造成企业合规只与单位刑事责任关联的误判，但“刑事合规制度与是否存在单罚制并无本质关系……无论是围绕自然人责任的制度体系，还是围绕单位责任的制度体系，都可以发展刑事合规制度。”〔32〕参见李本灿：《刑事合规立法的实体法方案》，载《政治与法律》2022 年第7 期，第70 页。单位刑事责任的有无是促进单位适用刑事合规的激励因素和影响单位合规整改效果的有效因素，并非涉案企业合规适用的条件。只要有（单位或自然人）刑事责任所表征的单位客观不法就符合了启用涉案企业合规的基本条件。

事实上，如果没有涉案单位的参与，大多数犯罪（比如环境犯罪、集资犯罪、税务犯罪等）后的法益恢复是不可能实现的。同时涉单位自然人犯罪的发生暴露了企业的致罪之组织体缺陷和制度漏洞，需要进行合规改造以消除犯罪因素，预防再次犯罪。而单一的行政处罚程序无法实现上述价值，即便“责令整改”也依赖于企业的自觉行动，因此效果上难以保障。所以，对涉单位自然人犯罪的企业进行合规整改，在一定程度上与刑罚的“不得已性”相似，因为没有有效的可替代措施，采用涉案企业合规是唯一妥当的方法。

综上所述，将涉单位自然人犯罪纳入涉案企业合规案件范围，是依据现行刑法规定和司法解释所作出的妥当安排，避免了合规案件的不当遗漏，并不违反刑法基本原则和刑事合规的基本原理，具有正当性。但需要强调的是，企业合规的激励效果不能当然地转移至自然人，自然人的刑事责任变动取决于其在企业合规整改中发挥的作用、贡献的有无和大小。

三、涉单位自然人犯罪合规的边界

在刑法规范意义上，涉单位自然人犯罪属于自然人犯罪，将其适用合规，必须解决如何将其与不应适用合规的“单位中的自然人犯罪”区分开来的问题，此即涉单位自然人犯罪合规的制度边界。因此，确立其本体界域，建构涉单位自然人犯罪的具体判断标准就成了题中应有之义。下文从符合性判断和排除性判断两个维度展开。

（一）涉单位自然人犯罪的符合性判断

前文论述了“单罚制”立法模式产生的涉单位自然人犯罪，齐备了单位犯罪的行为要素和意志要素，但刑法没有规定单位刑事责任。因此其判断较为简单，只需判断单位是不是行为主体即可，〔33〕当然，“单位行为”该如何判断，其与“个人行为”如何区分，有不同的看法。参见黎宏：《组织体刑事责任论及其应用》，载《法学研究》2020 年第2 期，第84-85 页。不再赘述。

实践中更容易产生困惑的地方在于：“双罚制”之下只有自然人构成犯罪而单位不构成犯罪的情形，哪些是单位中的自然人犯罪？哪些是本文所讨论的涉单位自然人犯罪？目前合规实践中涌现的“自然人犯罪合规案件”引发质疑，根源就在于将两者混淆，不当扩大了案件范围。

笔者认为，有适用涉案合规正当性的“双罚制下的涉单位自然人犯罪”应限定为：单位组织成员以单位名义、利用制度缺陷实施不法行为，但欠缺“单位意志”〔34〕此处的“单位意志”特指传统单位归责思路中单位决策系统的犯罪决定和同意。参见陈兴良主编：《刑法总论精释》（第3版），人民法院出版社2016 年版，第571 页。因而不构成单位犯罪只追究自然人刑事责任的犯罪。该类犯罪需符合以下三个特征。

1.具有单位行为的法律外观

自然人的职务（业务）行为具有单位行为的法律外观，是指单位责任人员（一般是直接负责的主管人员和直接责任人员）以单位名义、利用自己的单位职务、运用单位资源所实施的职务（业务）性犯罪。违法所得的归属不影响单位行为外观的判断，大多情况是归属于单位，自然人可通过高额奖金、提成等方式与参与分配；也有少数情况是单位在事后没有获得任何利益，但在行为当时并没有征表利益归属于自然人的外观。

2.组织体缺陷支配力

组织体缺陷支配力是指单位有缺陷的制度环境、经营方式、业务模式等对自然人犯罪产生了支配力（引发、促进、加功），亦即组织体存在显而易见的致罪因素。单位对结果的支配，本质上是单位对具有结果支配力的内部自然人形成的支配，即形成“单位—内部自然人—结果”的支配链条。单位的现实支配是需要通过内部自然人实现的，单位对内部自然人所形成的支配力来自于包含工作专门化、部门化等形式的自治体系。〔35〕参见蔡蕙芳：《“我国”法人犯罪立法之检视与理论建构》，载《东吴法律学报》2017 年第4 期，第42-44 页。实践中往往表现为组织体缺陷导致非偶发的自然人犯罪，甚至发展到多个单位内部成员的共同犯罪。此种显而易见的致罪因素应从两个方面把握：一是组织体缺陷对犯罪产生具有显著的支配力，存在常态的“结构性疏忽”；二是主要致罪因素是内生性缺陷，而非外部环境或情势，比如，一家财务制度完善并无行贿文化的公司，因为工程建设项目急需贷款被银行行长逼迫索贿，公司负责人无奈向行长行贿若干现金和股权，此案的致罪因素就不能归因于组织体缺陷。

3.欠缺单位意志

根据学界通说，单位犯罪是在单位整体意志支配下实施的。〔36〕参见张明楷：《刑法学》（第6 版），法律出版社2021 年版，第176 页。故即便具备单位犯罪的法律外观，若欠缺单位整体意志的，就不能构成单位犯罪。欠缺单位意志指的是欠缺来自决策系统的犯罪决定和同意，亦即自然人犯罪的信息并未传达至决策体系，比如经营管理人员未经授权（超越权限）、未获认可的擅自决策。值得一提的是，决策系统并不仅限于领导集体决策体系，一些现代大型企业已经扬弃了传统的垂直科层体系，而是采用分布式的扁平化决策体系，特别是已成功数字转型的大型科技企业更是如此。如果从刑事证据的角度确实无法查明单位意志的，因为针对产生于复杂的现代企业结构中的犯罪，“如何择定意思主体并据此判定单位意思是一个难题”，〔37〕参见龙宗智：《我们需要什么样的合规不起诉制度》，载《比较法研究》2023 年第3 期，第80 页。此种情形也应认定为本文所称的欠缺单位意志。

必须指明的是，在我国“人企合一”的小微企业，单位利益、单位意志与个人利益、个人意志高度重合的犯罪，过去司法机关往往根据“利益归属”的裁判规则将其定性为个人犯罪而非单位犯罪。目前实践中对此类犯罪中的一些案件适用涉案企业合规程序，也即备受争议的“既放过企业，又放过个人”的小微企业合规案件。笔者认为对此类案件适用合规的正当性除了我国中小微企业是我国民营企业主体之基本国情的政策考量之外，也可将其纳入涉单位自然人犯罪的符合性判断中进行解释，因为单位意志与个人意志高度重合意味着前者被后者实质性消解，亦可解释为单位意志实质性欠缺，但又因具有单位行为法律外观和组织体缺陷，因而属于涉单位自然人犯罪。

综上，双罚制下的涉单位自然人犯罪的符合性判断包括三个要素：具备单位行为法律外观、组织体缺陷支配力和欠缺单位意志。欠缺独立于自然人的单位整体意志是无法构成规范意义上的单位犯罪而只能构成自然人犯罪的根本原因，由此构成涉单位自然人犯罪。比如，单位组成人员在业务活动中引起了法益侵害结果，如果这种结果不是单位教唆、鼓励、默许的结果（即欠缺单位意志），而是单位疏于管理的结果，单位本应承担过失犯（监督过失）的刑事责任，但刑法并没有规定此种企业的过失责任。〔38〕参见黎宏：《组织体刑事责任论及其应用》，载《法学研究》2020 年第2 期，第87 页。此种情况就完全符合上述三个条件，只能追究自然人的刑事责任，属于涉单位自然人犯罪。以一个案例进行说明。

张某是民生银行北京分行航天桥支行（下称“航天桥支行”）行长，肖某为副行长，从2013 年至2017 年期间，张某利用行长身份，以航天桥支行的名义，诱骗147 名被害人（航天桥支行客户）购买虚假的理财产品（金额27.46 亿余元），伪造理财产品协议书的甲方为民生银行总行，经办行为航天桥支行，并加盖伪造的航天桥支行储蓄业务公章，与客户的交易在航天桥支行银行柜台完成，肖某参与了上述行为。法院认定肖某与张某在吸收客户资金不入账罪的范围成立共同犯罪。张某最终将骗取的钱款转入其控制的个人银行账户，因此被判定为合同诈骗罪。〔39〕参见北京市高级人民法院（2020）京刑终96 号刑事判决书。

本案中，张某、肖某利用行长和副行长身份、以单位名义进行违法活动，在银行柜台完成交易，具备了单位行为的法律外观；犯罪时间长达4 年，航天桥支行与上级机构民生银行北京分行对此没有任何反应和纠察，说明内控管理严重违反审慎经营规则，组织体缺陷对个人犯罪具有支配力；银行欠缺单位意志非常明显。因此本案构成涉单位自然人犯罪，可以纳入涉案企业合规 ，对航天桥支行进行合规整改；民生银行北京分行应承担管理过失责任，也应进行关联合规整改。〔40〕案件处理的时间是2017 年，我国尚未启动合规改革，监管部门仅责令中国民生银行北京分行改正，并给予合计2750 万元罚款的行政处罚。参见北京银监局京银监罚决字（2017）22 号行政处罚决定书。当然，如果对本案的涉案企业进行合规整改，自然人刑事责任变动并不与之挂钩。后文将要论述的“强制型合规”将进一步阐释。

（二）涉单位自然人犯罪的排除性判断

目前的涉案企业合规实践中没有正确区分涉单位自然人犯罪与单位中的自然人犯罪，基于犯罪预防逻辑宽泛理解犯罪的企业经营相关性，将单位中发生的自然人犯罪纳入合规，不当扩大了案件适用范围，这正是没有进行涉单位自然人犯罪的排除性判断导致的结果。下文结合典型案例对排除性判断进行阐释，并对实践乱象展开批判。

1.与企业经营无关联的自然人犯罪

双罚制下单位中的自然人犯罪，最典型的是纯粹谋取私利的个人犯罪。比如，在所有权和经营权分离的公司中，管理人员为自己谋利的犯罪；或者需要“‘撕开蒙在个人脸上的单位面纱’，还他一个自然人犯罪的本来面目”〔41〕参见顾肖荣：《新〈公司法〉的人格否认制度与单位犯罪》，载《法学》2006 年第10 期，第90 页。的情形；或者是企业的实际控制人（比如自然人大股东）操纵其控制的公司高管犯罪并掏空公司财产的情形，在本质上属于实控人盗用单位名义、以单位为工具的自然人犯罪。上述情形均不是涉单位自然人犯罪，原因在于这些行为是与企业经营无关联的个人行为，并非单位行为。当然，如果并无单位之合法财产、必要的财务制度和真实经营等现代企业基本要素，徒具单位空壳之下的自然人犯罪之聚合，更应排除在涉单位自然人犯罪之外。

我国的涉案企业合规实践以预防逻辑为中心，只要企业中发生了犯罪且企业存在制度漏洞，就认为是“与生产经营紧密相关”的犯罪，因此具备合规整改的必要性。但是，“与生产经营紧密相关”的行为必须具备生产经营的核心要素，比如，作为实行行为的“经营”必须是具有提供服务和商品的本质属性之行为，或者涉及经营关联行为、经营辅助行为。〔42〕参见王飞跃：《论刑法中的“经营”》，载《政治与法律》2019 年第 10 期，第52 页。前文中的典型案例“山西新绛南某某等人诈骗案”中为逃避民事赔偿责任而向社保中心骗取保险金的行为，并不发生在生产经营环节，只属于经营关联行为，可以解释为“与生产经营紧密相关”。实务中倾向于用“危害性”“社会影响”等价值评判代替关于生产经营的事实考察，从而不当扩大合规案件范围。

比如，最高人民检察院公布的典型案例“王某某泄露内幕消息、金某某内幕交易案”，〔43〕《最高检发布第三批涉案企业合规典型案例》之“王某某泄露内幕消息、金某某内幕交易案”。王某是K 上市公司董事会秘书，属于内幕信息知情人员，向金某两次泄露内幕信息。金某获取信息后买入相关股票并卖出获取非法利益。审查起诉期间，检察院对K 公司进行合规整改，在合规整改结束后对被告人王某提出缓刑的量刑建议。法院采纳了检察院的量刑建议进行判决。该案是一起典型的单位中的自然人犯罪案件，王某泄露内幕信息并非职务或业务行为，与单位的生产经营并无关联性，导致难以观察到单位组织体缺陷与自然人犯罪之间的因果关系，因此致罪因素空洞模糊，合规整改无的放矢，是“个人生病、企业吃药”的错误做法。而且企业合规整改与个人刑事责任减轻之间根本无法建立对接关系，王某的重罪因为企业合规而获得缓刑优待违反了罪责原则。

而实践中对被害单位也适用涉案企业合规，更是对该制度的滥用，这基于预防犯罪为中心的价值偏一逻辑——被害单位存在的制度漏洞引发、促进了针对单位的犯罪，所以要消除被害单位中的致罪因素因而需要合规整改。因为合规整改本身需要支付经济成本，是将企业置于“敞景式监狱中进行规训和矫治”，〔44〕参见董文蕙：《重罪合规不起诉的理论证成及适用限制——以责任主义为中心的分析》，载《法商研究》2022 年第6 期，第79-80 页。因而具有实质制裁性，针对被害单位的合规整改，显然不当增加了企业负担并干涉了其经营自主权，难言具有正当性。即便涉案单位存在制度漏洞和致罪因素，也应是自我合规整改或行政机关主导之下的行政合规，而非检察机关主导之下的涉案企业合规。

2.与企业经营之组织体缺陷弱关联的自然人犯罪

组织体缺陷对自然人犯罪行为具有支配力是涉单位自然人犯罪的核心特征，也就是说自然人犯罪与企业经营具有强关联性，才有必要进行合规整改。基于世界本是普遍联系的事实情状，几乎所有发生在单位中的自然人犯罪都可以找到组织体因素，但如果将宽泛的、弱关联性的致罪要素纳入合规整改，将违背比例原则之妥当性、必要性和相称性。〔45〕参见［德］哈特穆特•毛雷尔：《行政法学总论》，高家伟译，法律出版社2000 年版，第 238-239 页。我国一些涉案企业合规案件的办理忽略了比例原则，将与企业经营弱关联的自然人犯罪适用合规。比如，单位成员的违法犯罪并不是因单位管理过失，而是因为其上级领导的个人疏忽没有履行其管理义务的情形，尽管可能存在组织体缺陷但与自然人犯罪的关联性较弱，无法成立刑法中的因果关系，因此自然人犯罪不能归因于组织体缺陷，这就是单位中的自然人犯罪。下文以典型案例予以说明。〔46〕参见《最高人民检察院发布涉案企业合规典型案例（第四批）》之“北京李某某等9 人保险诈骗案”。

A 公司和B 公司是隶属C 集团的汽车销售服务有限公司，李某甲、崔某某等人在两家公司任保险理赔经理、服务总监等职，李某甲等人共实施14 起保险诈骗行为，骗保所得共计41 万余元基本转入企业账户，A、B 公司的负责人对此不知情。检察机关明确本案非单位犯罪。案发后，两公司向保险公司赔偿了经济损失，主动提出希望进行企业合规整改，保险公司无异议。检察机关对A、B 公司启动为期3 个月的合规考察，基于企业的合规进展状况，法院采纳了检察机关对李某甲从宽处罚的量刑建议。合规考察结束后，检察院对崔某某等3 人作出不起诉决定。

本案是企业员工利用工作之便实施的保险诈骗案，因为缺乏单位意志被认定为自然人共同犯罪，其主要和直接原因是直接负责的主管人员——保险理赔经理李某甲违反管理义务，单位制度缺陷对自然人犯罪的影响并未达到支配力的强度，所以本案并不属于涉单位自然人犯罪，而只是单位中的自然人犯罪。〔47〕本案适用涉案企业合规是基于企业的主动请求，属于例外，下文将论及。

3.本可免罚或无罪处理的自然人犯罪

多人参与的涉单位自然人犯罪——根据刑法定性为自然人共同犯罪，比较常见的情形是雇主（领导、上级）操纵底层员工基于屈从的劳动关系而配合执行。企业中不平等的屈从关系之本质在于“他决”，表现为雇主对雇员享有指挥权、控制权和惩戒权。〔48〕参见徐国栋：《论民事屈从关系——以菲尔麦命题为中心》，载《中国法学》2011 年第5 期，第163 页、170 页。在雇主和雇员共同犯罪的场合，雇主作为“决意方”施加强力，雇员作为“屈从方”受强力的影响，出现“你定我从”的局面而按照决意方的决议实施相应行为，受心理强制的影响，雇员在是否实施行为方面没有实现“自决”，但还没有完全丧失意志自由。〔49〕参见王飞跃：《论对向关系中共犯的成立》，载《法学》2018 年第7 期，第189 页。因此，一般情况下，雇员被迫接受了雇主（上级）的违法命令并不能以缺乏期待可能性为由进行无罪抗辩，但可被认定为胁从犯应减轻或免除处罚；如果底层雇员实施的是单位的惯常业务行为，则应无罪。此类情形下，对于应无罪处理和免罚的行为人，就不能纳入涉案企业合规，因为这已经丧失了合规的基本前提。

前文中典型案例“山西新绛南某某等人诈骗案”中身受工伤的工人张某乙因为单位没有缴纳工伤保险面临着无钱医治的紧迫情状，于是作为屈从方为配合经理南某某骗保而实施了“先出院再次入院”的行为，该行为属于被胁迫参加犯罪的情形，应当免除处罚从而不起诉。检察院不当地将张某乙纳入合规，因此违背合规制度逻辑的司法困境接踵而至：张某乙不可能在企业合规整改中发挥任何作用，那么他的刑事责任消除与合规激励之间建立联系的依据从何而来？而典型案例“北京李某某等9人保险诈骗案”中检察机关则正确做出了担任维修技师的曹某、孙某甲等底层员工实施单位的惯常业务行为本应无罪的法律判断，并未将其纳入合规整改，值得肯定。

综上，双罚制之下的涉单位自然人犯罪的符合性判断包括三个方面：自然人的职务（业务）行为具有单位行为的法律外观；单位的组织体缺陷（制度环境、经营方式、业务模式等）对自然人犯罪产生了支配力；欠缺单位意志——来自决策系统的犯罪决定和同意。对于与企业经营没有关联或弱关联的自然人犯罪，因为并不能归因于组织体缺陷，故不属于涉单位自然人犯罪，不应纳入涉案企业合规案件范围。

四、涉单位自然人犯罪合规案件的例外与特殊类型

上文阐述了涉单位自然人犯罪的判断标准，以此确定涉案企业合规案件范围并由此保障合规的针对性和有效性，但以涉单位自然人犯罪为标准划定的案件范围有无可能存在例外？同时，涉单位自然人犯罪合规还衍生出一些特殊类型，这些都是刑事合规本土化改造而形成的现实难题，值得探讨。

（一）涉单位自然人犯罪合规案件的例外类型

1.主动请求型合规

涉案企业合规以至少构成涉单位自然人犯罪为前提，单位中的自然人犯罪应排除在外。有原则就有例外。我国目前的合规实践均以涉案单位自愿合规为前提，但此种自愿并非平等的对话与协商，而是一种技术上的操作流程，因为如果单位不愿付出行动，合规整改就难以开展。涉案企业面对检察机关发出的“合规整改选项”，即便是并不情愿也大概率会基于理性计算而被动选择屈从式同意。所以对于这种公权力介入企业自治的制度必须设置边界，防止制度滥用而引发非正义，这正是本文以涉单位自然人犯罪划定涉案企业合规范围底线的原因。那么，如果不是涉单位自然人犯罪而是单位中的自然人犯罪，涉案单位主动提出希望合规整改的，是否可以突破原则允许例外呢？正如典型案例“北京李某某等9 人保险诈骗案”，上文已论证其属于与单位组织体缺陷弱关联的自然人犯罪，不应适用涉案企业合规。但是，案发后两家公司的业务活动陷入瘫痪状态，于是两家公司主动提出希望进行企业合规整改，保险公司对此无异议。涉案公司因为员工涉嫌犯罪而遭受信誉危机和市场制裁，为了重新建立合规经营的市场主体形象，主动请求合规整改，对于此种情形，笔者认为可以突破原则允许例外。

必须指出的是：此种合规的主导机关应由检察机关转变为行政机关，与刑事责任的宽缓激励并不存在对应关系，本案中检察机关的做法欠缺妥当性。激励此类涉案企业自愿合规的方式不是减免自然人的刑事责任，更合适的方案是：构建企业合规管理执行信息的公正评价机制、信息披露机制及舆论环境，〔50〕参见曹兴权：《合规管理：形成中的公司治理习惯？》，载《上海大学学报（社会科学版）》2022 年第6 期，第88 页。出具企业信用的修复证明，〔51〕参见《新会法院：〈信用修复证明书〉助力企业纾困解难》，载“江门市新会法院”公众号，2023 年2 月24 日。以助力企业恢复生产经营。

2.强制型合规

对于强制性合规（与“强制型合规”同等意义上使用，下同），有不同的涵义解读：有人认为是“企业合规的刑事化”，是“更强国家和社会规制要求的制度体系。”〔52〕参见李传轩：《绿色治理视角下企业环境刑事合规制度的构建》，载《法学》2022 年第3 期，第170-171 页。有学者认为是“合规义务的强制化”，“在刑法中应增设企业及高管构建实施企业合规的法定义务。”〔53〕参见孙道萃：《刑事合规的系统性反思与本土塑造》，载《华南师范大学学报》2022 年第4 期，第167 页。时延安教授将强制性合规与自发性合规对置，认为自发性合规应理解为对单位的量刑情节，强制性合规则作为一种制裁看待。〔54〕参见时延安：《单位刑事案件合规不起诉的实体条件》，载《政法论坛》2023 年第1 期，第65 页。笔者认为将合规义务上升为刑事义务的做法并不恰当，因为合规义务并不等于法律义务，其渊源还包括行业标准、技术标准、商业道德等开放性、变动性的内容，故将其刑事法化违反了刑法的安定性原则；同时，非强制性行业标准之类的规则可能潜藏着利益集团自身的诉求，不一定符合公平正义原则，若将其直接上升为刑法义务将产生“拉德布鲁赫公式”所言的“恶法非法”现象。对于我国的小微企业来讲，以刑法义务去要求其建立企业合规体系无疑是强人所难。

笔者认为强制性合规分为事前的强制性合规和事后的强制性合规。事前的强制性合规指的是企业应遵守前置法规定的合规管理义务，比如《保险公司合规管理办法》和《证券公司和证券投资基金管理公司合规管理办法》，分别对保险公司、证券公司、证券投资基金管理公司设定了合规管理的义务。还比如《数据安全法》《网络安全法》《个人信息保护法》规定了个人信息处理者的合规义务以及怠于合规管理面临的严厉罚则，标志着个人信息保护领域全行业强制合规时代的到来。〔55〕参见毛逸潇：《“行检协同式”个人信息合规行刑衔接激励新模式研究》，载《法学论坛》2022 年第6 期，第63 页。违反上述合规义务将产生行政法律责任，还可能因情节、后果严重等情况跃升为刑事责任，此种责任追究即为强制合规。

事后的强制性合规，本文采纳时延安教授关于“强制性合规是一种制裁”的观点。在企业应履行前置法规定的强制性合规管理义务的前提下，如果发生了与义务违背相关的自然人犯罪，即便并不成立严格意义上的涉单位自然人犯罪，也应将该企业作为涉案企业合规整改对象，这是一种事后的强制性合规。比如，上文中论及的航天桥支行行长张某合同诈骗案，商业银行承载着社会公共利益和国家金融安全，作为特许金融机构应遵守《商业银行法》和《商业银行合规风险管理指引》所规定的强制性合规义务，因此应对航天桥支行进行涉案企业合规改造。合规管理本属企业自我规制的范畴，当自我规制不能达到预期效果时，就可以采用传统的命令控制型规制。这种新发展不仅促使规制主体多元化、方式多元化，还于实践中发展出许多自我规制的策略。〔56〕参见高秦伟：《社会自我规制与行政法的任务》，载《中国法学》2015 年第5 期，第85 页。涉案企业合规就是此种实践中发展出的企业自我规制的新策略。

数字经济时代，“数据合规”是全世界都充分重视的热点问题。我国的《数据安全法》《网络安全法》《个人信息保护法》建立了强制性数据合规的基本法律体系，因此将数据犯罪案件纳入涉案企业合规案件范围看上去是没有疑义的。但在《反间谍法》将“关系国家安全和利益的数据”与“国家秘密、情报”同等保护的情况下，〔57〕《中华人民共和国反间谍法》第4 条。数据犯罪案件有可能侵害更高位阶的国家安全法益，涉嫌危害国家安全犯罪，此种情形下是否应该适用强制性合规？以一个案例进行说明。

上海某信息科技公司接受某境外公司委托采集、提供中国铁路信号数据，该数据涉及的铁路GSM-R 敏感信号被鉴定为情报，该公司业务行为违反了《数据安全法》和《无线电管理条例》，法定代表人王某、销售总监王某、销售员迟某涉嫌为境外刺探、非法提供情报罪。〔58〕参见《首例！数据被鉴定为国家“情报”！》，“腾讯安全研究院”公众号，2022 年4 月15 日。

根据《刑法》规定，危害国家安全犯罪的法定主体只有自然人，没有单位，因此单位不构成犯罪。本案是一起典型的为了单位利益、体现单位意志的涉单位自然人犯罪，自然人被追究刑事责任，应如何处置单位？除了数据合规之强制性义务，《反间谍法》也规定了单位的反间谍国家安全防范之强制性合规义务，〔59〕《中华人民共和国反间谍法》第12 条规定：国家机关、人民团体、企业事业组织和其他社会组织承担本单位反间谍安全防范工作的主体责任。由此可见对本涉案企业适用强制性合规应无任何疑虑。但是，《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》（下称《意见》）第5 条明确将“涉嫌危害国家安全犯罪”排除在案件范围之外，由此面临实践困境。

笔者认为，危害国家安全类犯罪侵犯的法益位阶较高，排除此类案件适用合规不起诉是正确的；但另一方面，我国的涉案企业合规并没有将合规整改与不起诉之间建立必然的对应关系，在单位责任和个人责任分离的规则之下，对于应属于强制性合规的情形，应该对涉案企业进行强制性合规，该合规整改与自然人的刑事责任不产生关联。《意见》第5 条将危害国家安全罪的案件排除在合规案件范围之外是错误的，应适时修改。

（二）涉单位自然人犯罪合规案件的衍生类型：关联型合规

上文中所论述的涉单位自然人犯罪所呈现的是单位中构成犯罪的自然人与未构成犯罪的单位（企业）之间的紧密关系，其中上下级单位之间因为利益归属而形成的涉单位自然人犯罪还同时呈现出一种单位之间的关联关系，将此类涉单位自然人犯罪纳入合规，可称之为（狭义的）“关联型合规”。在现代企业规模化、集团化发展的背景下，关联公司（企业）的实体业态比较常见，因此，关联公司（企业）的犯罪可能会产生与涉单位自然人犯罪相似的犯罪模型，衍生出一种涉案企业合规的特殊类型：“关联企业合规”。（狭义的）“关联型合规”和“关联企业合规”可统称（广义的）“关联型合规”。

涉案关联企业大致可以分为两种类型：（1）母子关联型公司：第一种情形是上文已论及的下级（子）公司因违法犯罪利益归属于上级（母）公司，因而不构成犯罪，但上级（母）公司构成犯罪；第二种情形是子公司构成犯罪，而作为关联企业的母公司无罪，但母公司对子公司的犯罪具有管理过失。（2）姊妹关联型公司：犯罪公司的实控人同时控制、管理的其他公司经营相同或相似业务，具有相同或相似的违法犯罪风险。上述情形，是否可以适用涉案企业合规？

母子关联型企业之间存在控制与从属关系，往往还发生人格混同而致公司形骸化，表现为人员混同、业务混同和财务混同。因此有学者认为，如果股东成立若干公司经营同一业务，各公司事实上表现为同一企业的不同部门，虽然在法律上是数个主体，但从企业事实着眼，若干公司应视为同一法律主体。〔60〕参见施天涛：《公司法论》，法律出版社2018 年版，第31 页。一些企业为阻隔风险，将它的风险业务剥离给旗下的子公司或新设公司来经营，这些专门经营风险业务的公司，往往资本不足且无惧破产风险。〔61〕参见［美］罗伯特•考特、托马斯•尤伦：《法和经济学》，史晋川、董雪兵等译，格致出版社•上海三联书店•上海三联书店2012 年版，第233 页。母公司对子公司犯罪具有组织体缺陷的支配力，应承担管理过失责任，而且母子公司之间极易发生关联交易，产生财产的隐秘转移，因此可以将母公司和子公司一起纳入涉案企业合规。

对于姊妹关联公司的情形，实践中已有案例。比如，某国际贸易有限公司因涉嫌虚开增值税专用发票被张家港市检察机关审查起诉，该公司实际控制人孙某某提出其所控制的某生物化工有限公司也存在类似的风险，愿意一并开展合规。检察机关对两公司合规建设进行监督考察。〔62〕参见陈瑞华、李玉华主编：《企业合规改革的理论与实践》，法律出版社2022 年版，第453 页。笔者参与办理了一起非法吸收公众存款罪的合规不起诉案件，〔63〕参见《检察机关全面履行检察职能推动民营经济发展壮大典型案例》之“案例五 广东省深圳市J 公司、张某某非法吸收公众存款案”。A 公司（理财业务）及实控人张某因开展P2P 网贷业务涉嫌非法吸收公众存款罪被检察机关审查起诉，因A 公司在案发前几年便已停止P2P 网贷业务且全额退赔了集资参与人的损失，检察机关决定对A 公司开展合规整改，张某控制的B 公司（保险业务）和C 公司（私募基金业务）并没有涉嫌犯罪，张某提出将B、C 公司一起进行合规整改。检察机关将3 家公司一并进行合规考察。本案中，3 家公司的业务模式都具有非法集资的合规风险，在关联姊妹公司及实控人主动申请的情况下，基于合规的预防违法犯罪之目标设定，此种关联合规是可行的。笔者认为，姊妹关联型公司若彼此独立，并没有业务、人员和财务混同的情况，则不能纳入涉案企业合规，除非实控人及关联公司主动请求。同时，关联公司合规整改的情况并不能与涉罪企业及实控人的刑事责任建立直接联系，涉罪企业本身的合规整改情况才是主要观察对象，关联公司的合规整改则可以在一定程度上作为实控人认罪悔罪的补强资料。

有学者认为，检察机关将关联企业加入合规整改的范围，要求涉罪企业和关联企业一并接受合规考察，这无疑超出了合规监管的范围。行政机关监督关联企业开展合规应当是最为妥当的方式。〔64〕参见刘译矾：《论涉案企业合规的刑行衔接及其实现》，载《中国刑事法杂志》2022 年第6 期，第172 页。笔者认为，涉案关联企业的情况复杂多样，是否纳入涉案企业合规不能一概而论。比如，上文论述的母子公司的涉案情形，实质上差不多达到了需要对子公司进行法人人格否认的程度，对母子公司进行关联合规具有正当性；姊妹关联型公司的情形则与此不同。

金融业领域的犯罪案件，比较容易观察到关联合规与强制合规的竞合问题。比如，《银行保险机构关联交易管理办法》第38 条规定：“银行保险机构应对其控股子公司与银行保险机构关联方发生的关联交易事项进行管理，明确管理机制，加强风险管控。”第39 条规定：“银行保险机构董事会应当设立关联交易控制委员会，负责关联交易管理、审查和风险控制”；“董事会对关联交易管理承担最终责任，关联交易控制委员会、涉及业务部门、风险审批及合规审查的部门负责人对关联交易的合规性承担相应责任。”由此可见，银行保险机构被设定了关联交易合规义务，一旦关联方发生与关联交易相关的犯罪，银行保险机构也就面临强制合规的制裁。以震惊全国的“明天系”犯罪案件为例，〔65〕被告单位明天控股在其实际控制人肖建华的策划操控下，通过分散持股、股份代持等手段，设立了多家载体公司，并将其作为载体入股控制相关金融机构，通过贿赂国家工作人员，向金融机构等安插高管和关键岗位工作人员等手段来实现逃避监管，实际控制相关金融机构实施违法犯罪行为。法院认定明天控股和肖建华分别犯非法吸收公众存款罪、背信运用受托财产罪、违法运用资金罪和单位行贿罪，数罪并罚。参见《被告单位明天控股有限公司、被告人肖建华非法吸收公众存款、背信运用受托财产、违法运用资金、单位行贿案一审公开宣判》，载“中央政法委长安剑”公众号，2022 年8 月19 日。包商银行是明天控股集团的银行类子公司，明天控股利用大股东的控制权，将大量包商银行贷款违规输入控股股东公司或其他关联公司，金额高达1560 亿元，且全部成了不良贷款。包商银行董事会形同虚设，风险管控失效，不合规、不合法的企业文化盛行。〔66〕参见周学东：《中小银行金融风险主要源于公司治理失灵——从接管包商银行看中小银行公司治理的关键》，载《中国金融》2020 年第5 期，第19-21 页。从此案可以看出，虽然只有明天控股被追究刑事责任，但包商银行严重违反了关联交易的强制性合规义务，组织体缺陷严重而致企业形骸化，因此对其进行强制性合规改造是具有正当性和必要性的。〔67〕因包商银行信用危机所引发的金融风险，仅有强制合规改造还不够，监管机构具有的相应的专业智识基础和政策工具才能应对此种金融风险，只有通过银保监会的接管以及中国人民银行流动性的支持方才得以妥善处置。

五、结语

我国的涉案企业合规是对刑事合规的本土化改造，是“执法机构从外部强制企业实施的一种治理结构与内控机制”。〔68〕See Sean J.Griffith, Corporate governance in an era of compliance, 75 William and Mary Law Review 2075, 2084（2016）.将涉单位自然人犯罪案件纳入合规，对没有刑事责任的企业进行合规整改，淡化了协商逻辑而强化了职权逻辑，实质属于“强制的自我规制”，〔69〕See John Braithwaite, Enforced Self-Regulation: A New Strategy for Corporate Crime Control, 80 U.Mich.L.Rev.1466（1982）.蕴含着“权利－权力”之法权结构的冲突和平衡，应当符合国家强制之于市场活动外部性抑制的联动机理，因此需要把握制度边界并警惕制度滥用。涉案企业合规案件的范围应以涉单位自然人犯罪为底线，单位中的自然人犯罪应被排除在外，在涉案企业主动请求和企业有强制性合规义务的情形下，应允许例外考量。

实践中任意扩大案件适用范围，将企业合规整改激励效果不当转移分配至自然人的做法违背了罪责原则，使合规不起诉变异为“放任主义的替代措施”，〔70〕参见［美］哈伯特•L.帕克：《刑事制裁的界限》，梁根林等译，法律出版社2008 年版，第297-298 页。克减了刑法的法益保护机能，损害了刑法权威，潜藏了合规腐败的危险，应予以纠正。涉单位自然人犯罪概念作为分析工具所确立的合规制度边界之判断标准，坚守了现代刑法的行为主义和责任主义，能够框定涉案企业合规案件范围，为纠正扩张适用的实践乱象提供可行的技术方案。