合规三大原则：企业合规三部曲

作者：郭宁华 吴冠辰

#商业犯罪和刑事合规#

---

引 言：

伴随着《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》的正式颁布，以及近期最高人民检察院、司法部、财政部等关于《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》的印发，综合来看，我国在企业合规领域的规划和措施从顶层设计出发，司法系统以“刑事合规不起诉”作为起始。当前，企业合规的内涵和外延已发生了实质性的扩张，合规趋势方兴未艾。

有鉴于此，笔者基于多年的司法、企业从业经验，此次拟通过撰写“企业合规三部曲文章”，试图厘清企业合规中“规”所映射的范围，阐述合规对于企业的价值与贡献，并初步探究企业构建合规体系的方法论。

一、前言

目前中外主流学术观点认为企业合规是一系列的治理行为，其贯穿于政府监管、商业实践以及刑事程序之中。北京大学陈瑞华教授亦认为企业合规是一个涉及多个法学学科的前沿课题，陈瑞华教授将企业合规定义为：“…一种基于合规风险防控的公司治理体系，并从激励企业建立合规管理体系的角度，提出了行政监督合规和刑事合规的概念，并提出了作为解除国际组织制裁依据的合规命题。…”[1]

从中外主流学术观点以及陈瑞华教授的观点来看，企业合规实际上是一种治理行为。联合国全球治理委员会对治理的特征进行了总结：治理是涉及公共部门和私人部门的一个动态协调过程。换句话说，企业合规实际上是一个涉及公私领域的协调过程。而一个企业要完成合规的治理，最优先且最重要的问题是：企业合规所面临的“规”是什么？如何识别这些“规”？

笔者认为，“规”对于企业而言，实际上是指企业所需遵从的外部要求，“规”应源自于企业的外部而非源自于企业的内部，即企业在合规管理中所需识别的“规”是外规而非内规。

在此，我们可以得出第一个结论：企业合规所面临的“规”实际是外规而非内规。外规的某些要求在通过一系列的转换后，将会成为企业的内规，即企业内部的管理要求、管理制度等，两者是紧密结合和有机统一的关系。

二、中外合规指南类文件和合规管理指引文件的整理研究

基于我们得出的第一个结论——企业合规的“规”所指向的是外规，进一步的问题是：何为外规？根据一般通说和笔者的经验，外规通常指的是企业须遵守的属地国家的法律法规和监管规定、国际条约和国际惯例、行业准则和企业规章、商业惯例和企业社会责任等强制性和非强制性的规定。

为更好地让本文读者了解外规所指，首先，我们应探寻“合规”的含义，即需要研究合规领域内权威性文件对合规是如何界定的。为此，笔者对国内、国外的合规指南类文件和合规指引文件进行了研究及整理，希望能从中总结出合规的定义。

中外合规指南类文件和合规管理指引文件

上述文件中对于“合规”的定义汇总如下:

（1）合规指南类文件

（2）合规管理指引文件

从“合规指南类文件”可以看出，两份文件对合规的定义是具备一致性的，即合规是指组织满足所有或全部的合规义务。它们均将企业合规所需遵循的要求划分为两个部分，第一个部分是企业必须遵守的要求，第二个部分是企业自愿遵守的要求。

而“合规管理指引文件”并未对企业合规所需遵循的要求从必须遵守和自愿遵守两个维度加以区分，仅对合规进行了宽泛的定义。但对比“合规指南类文件”的定义，不难看出实际上企业所需遵循的合规要求也是包括了必须遵守和自愿遵守两个维度。例如：必须遵守的要求为符合“法律法规、监管规定”，自愿遵守的要求为符合“企业章程、规章制度”。此外，《企业境外经营合规管理指引》进一步指出合规要求还包括了“商业惯例、道德规范”。

实际上，笔者认为企业在识别外规之时，不能片面、僵硬地以必须遵守和自愿遵守的二分法思维对外规简单予以区分。在企业合规工作实际开展中，两种分类存在相互转换的关系，例如企业可将我国劳动法的相关要求转换为企业的劳动人事制度；商业惯例如《国际贸易术语解释通则》，在术语被签约主体纳入生效合同后即转换为企业所必须遵循的合同义务。

在此，我们可以得出第二个结论：外规的范围实际可分为企业必须遵守和企业自愿遵守两个维度，两类维度之间存在动态转换的过程。因此，结合“合规指南类文件”和“合规管理指引文件”分析，笔者认为合规的定义具备三个层次：

第一个层次：企业经营管理过程中要遵守的法律法规，即要遵守公司属地国（包含总部所在国和经营所在国）的法律规定及监管规定，以及国际组织的条约；

第二个层次：企业经营管理过程中要遵循的商业惯例和企业内部规章制度（包括企业商业行为准则的规章）；

第三个层次：企业高管及员工要遵守的职业操守和道德规范等。

三、企业未遵循外规的不合规案例

本部分笔者将以上述合规定义的三个层次为基础，结合相关企业不合规案例进行评述，从而让读者对“规”内涵与外延有更为深刻的认识。

（1）企业经营管理过程中需遵循的法律法规

公司违反法律法规的案例：某科技公司传播淫秽物品牟利案。

法律通常是指一种由规则组成的体系，由国家强制力保证实施，进而规范组织或个人行为，广义上的法律既包括成文法也包括不成文法；法规一般而言是由立法机关正式撰写而成的律例。

深圳某科技有限公司（下称：K公司）基于流媒体播放技术，为网络用户提供网络视频服务，其间曾因用户反映K公司的网络系统中存在大量的淫秽视频而受到相关部门的查处。后有关部门从查获的3台缓存服务器中检出淫秽视频文件两万多个。法院认为，K公司以牟利为目的，明知自己提供的流媒体播放服务被用于传播淫秽视频，有义务并有能力阻止，却拒不履行安全管理义务，放任他人传播淫秽视频，构成传播淫秽物品牟利罪，判处罚金人民币1000万元。

评述：

本案例中的K公司所提供的流媒体技术软件本质上是一种技术模式、商业模式的创新。而在创新的过程中，企业的第一要务是对所涉及的外部的法律法规这一必须强制遵循的要求进行识别并完成评估；纵然，法律法规相较于技术模式、商业模式是相对滞后的，但不等同于企业可以忽视已然存在的法律法规。因该环节的明显缺失，不仅K公司本身最后申请破产清算，创始人本人也遭受了牢狱之灾。

（2）企业经营管理过程中需遵循的监管规定

公司违反监管规定的案例：药业公司财务造假案

2020年5月份，中国证券监督管理委员会依法对某药业股份有限公司（下称：M公司）违法违规案作出行政处罚及市场禁入决定。2016年至2018年期间，M公司虚增巨额营业收入，通过伪造、变造大额定期存单等方式虚增货币资金，将不满足会计确认和计量条件的工程项目纳入报表，虚增固定资产等。同时，M公司存在控股股东及其关联方非经营性占用资金的情况。上述行为致使M公司披露的相关年度报告存在虚假记载和重大遗漏。

评述：

监管规定是指政府主管部门所制定的，要求在相关行业内的组织或个人必须遵守的系列规则，主要目的是用以规范组织和个人如何管理其业务和员工，以及如何与客户规范互动等。

不仅证券行业存在对上市公司的监管，实际上，每一个行业都存在被属地政府部门监管的情况。有效的监管本质上是政府部门通过设定合理边界来规范相关行业的有序发展，从而避免出现系统性风险，保障组织、个人、消费者等多方主体的利益不受侵害。本案中，公司违反中国证券监督管理委员会对上市公司的相关监管规定，故意虚增营业收入进行财务造假，使得一个原本属于“白马股”的企业摇摇欲坠，最终进入破产程序，也极大地影响了投资者的投资信心。

（3）企业经营管理过程中需遵循的商业惯例

公司违反商业惯例的案例：黑洞照片版权事件

2019年4月11日，“事件视界望远镜”项目向公众发布关于黑洞的第一张照片，该照片随后被刊登在某图片资源网站上并被标注为须商业付费的图片。然而，该黑洞图片的原始版权人欧洲南方天文台曾表示，使用其网站上的图片和文字，如果没有特别说明，一般均需遵循相应的许可协议，明确署名意味着无须付费。

同日，针对该图片资源网站传播违法有害信息的行为，天津市互联网信息办公室依法约谈该网站负责人，责令该网站立即停止违法违规行为，进行全面彻底整改。随后天津市互联网信息办公室对该网站的运营主体予以处罚。

评述：

商业惯例是指商业领域的习惯性做法，主要是由于长期的贸易活动，这些做法已经成为习惯并逐渐被所有参与人普遍遵守。

本案例中黑洞照片是由欧洲南方天文台发布的，其官方网站显示，用户可以通过遵循CC4.0协议（即知识共享许可协议）下载高分辨率图片。在表明黑洞图片来源的前提下，任何人均可以自由地使用该照片，而不需要区分用途为商业或者非商业。

增加创意作品流通性的CC4.0协议，就是在创意作品流通领域的商业惯例，但该惯例却被网站滥用，其将黑洞照片据为己有，并以此向他人收取费用。破坏商业惯例不仅在网络世界招来“众怒”,也使其遭受到了现实世界中主管部门的处罚。

（4）企业经营管理过程中需遵循的国际条约（国际条约一般会进行转换并以国内法的形式呈现）

公司违反国际条约的案例：跨国网络科技公司违反法国数据保护法

2019年法国国家信息与自由委员会发布公告称，由于某网络科技公司（下称：G公司）违反了数据隐私保护相关规定，法国将对其处以5000万欧元，约合3亿8千万人民币的罚款。该公告中提及，G公司在处理个人用户数据方面采用了“强制同意”政策，其收集的数据包含大量用户个人信息，这些信息还在用户不知情的情况下被用于商业广告用途。

评述：

国际条约主要是指国际法主体之间签订的有关其权利义务受国际法管辖的书面协定，国际条约一般会以采纳、转换的方式成为国内法。

此次是G公司第二次被欧盟处罚，上一次处罚是欧盟法院判决要求其履行“被遗忘权”。此次法国国家信息与自由委员会对G公司开具罚单的依据仍旧是《通用数据保护条例》。该条例不要求成员国制定完全相同的隐私和数据保护规则，参照制定对应国家层面的实施规范即可。换句话说，法国可以依据《通用数据保护条例》制定国内适用的法律法规。因此，企业也应及时关注国际条约向国内法转换的情况，并及时有效地予以识别。

（5）企业经营管理过程中需遵循的行为准则

公司违反行为准则的案例：某会计师事务所业务舞弊案

某会计师事务所（下称：A事务所）曾经是世界五大会计师事务所之一，在某大型企业R公司成立之初就为其提供内部审计和咨询服务。2001年10月，美国证券交易委员会对R公司的财务丑闻进行调查。A事务所在调查开始的两周内销毁了数千页有关R公司的文件。美国司法部初步调查后对A事务所提出刑事指控，指控其在R公司丑闻发生后销毁文件和电脑记录，妨碍司法公正。

评述：

行为准则一般是指一套可完整指导组织机构决策、程序和制度的原则、价值、标准或规则。

本案中，A事务所并未遵循独立、勤勉尽责的会计行业行为基本准则。该事务所的创始人在其刚创立A事务所的第1年曾严正回绝了一笔有争议的交易，最后相关公司以陷入破产告终，A事务所却因此保住了宝贵的声誉。相反，本案例中，A事务所不仅严重妨碍司法公正销毁涉案材料，还在为R公司提供审计和咨询服务的时候违背了会计行业行为准则，最后业界闻名的“五大”会计师事务所变成了“四大”会计师事务所，A事务所的行业传奇就此落幕。

（6）企业员工需遵循的职业操守/道德规范：

员工违反职业操守/道德规范的案例：“香兰素”商业秘密案

2002年至2007年，原告嘉兴市某化工有限责任公司（下称：J公司）与上海某公司共同开发了一种生产“香兰素”的新工艺，该工艺被作为技术秘密保护。本案的侵权行为发生前，J公司是全球最大的“香兰素”生产商，占据了全球“香兰素”市场约60%的份额。但在2010年，原告前员工傅某伙同案外人冯某窃取了“香兰素”的技术秘密，并透露给某集团（下称：W集团）及其关联企业用于批量生产同类产品。

2021年2月26日，最高人民法院判决侵权人W集团等赔偿技术秘密权利人1.59亿元。

评述：

职业操守/道德规范，是指从事相关职业的人士应遵守的道德规范，不能用不正当的手法获取信息，不应接受非法的利益，不可泄漏工作中所接触的商业秘密等。

本案中的被告在明知J公司将“香兰素”生产工艺作为技术秘密加以保护的前提下，仍通过非法手段窃取并出售牟利，此种行为本身就已违反了职业操守，侵权人W集团也因此付出了高额的代价。

结语

企业合规本质上是一种治理行为，治理的前提是充分识别所需遵循的“规”。而“规”对于企业合规来说，实际是外规而非内规；外规进一步又可细分为两个维度：强制性和非强制性的规定，或者也可称为必须遵守和自愿遵守的规定，两类维度之间存在动态转换的过程，是有机统一的关系，而不应作片面、割裂的理解。

笔者在本文中对企业合规的“规”进行了初步探究。下一篇文章，笔者将继续阐述合规又可为企业带来何种价值和贡献。

[注]

[1] 陈瑞华，企业合规基本理论[m]（第二版），法律出版社，2020.

---

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“下方链接”，可查阅该专业文章官微版。

企业合规三部曲（一）——“规”的内涵探究

,