（注：本文系根據潘翔律師在(zài)近期第二屆《廣東企業法律服務論壇》上(shàng)的(de)演講整理和(hé / huò)完善。）

一(yī / yì ／yí)、世界上(shàng)的(de)制裁體系與外國(guó)企業的(de)合規管理

        我們知道(dào)當今世界上(shàng)最強大(dà)的(de)三大(dà)制裁體系是(shì)聯合國(guó)安理會、歐盟、美國(guó)。 

        聯合國(guó)安理會是(shì)針對侵害世界和(hé / huò)平的(de)國(guó)家進行制裁。

        歐盟制裁，包括金融制裁、武器禁運、旅行禁令等。

        美國(guó)擁有世界上(shàng)最強大(dà)、最霸道(dào)、最蠻橫的(de)單邊制裁體系。美國(guó)制裁的(de)特點是(shì)将國(guó)内法律泛國(guó)際化，單邊制裁，動辄動用國(guó)内法制裁其他(tā)國(guó)家及其企業。例如，根據美國(guó)《反海外腐敗法》的(de)規定，哪怕腐敗行爲(wéi / wèi)中的(de)涉案當事人(rén)不(bù)是(shì)美國(guó)企業和(hé / huò)美國(guó)公民，但隻要(yào / yāo)腐敗行爲(wéi / wèi)和(hé / huò)美國(guó)有一(yī / yì ／yí)點點聯系，例如實施腐敗行爲(wéi / wèi)用的(de)是(shì)美國(guó)的(de)銀行系統或者通訊系統，美國(guó)都可以(yǐ)按照“最低聯系”原則主張對當事人(rén)實施制裁。美國(guó)将國(guó)内法律泛國(guó)際化，在(zài)美國(guó)的(de)法域外實施，這(zhè)就(jiù)是(shì)通常說(shuō)的(de)“長臂管轄”。“長臂”是(shì)一(yī / yì ／yí)個(gè)很形象的(de)比喻，美國(guó)的(de)手伸得太長，伸到(dào)别人(rén)家裏去了(le／liǎo)。最典型的(de)就(jiù)是(shì)美國(guó)政府啓動301條款調查，用國(guó)内法審查外國(guó)政府的(de)貿易政策。

        在(zài)強大(dà)的(de)國(guó)際制裁體系下，在(zài)世界經濟趨向全球融合的(de)大(dà)背景下，企業尤其是(shì)跨國(guó)公司如果建立了(le／liǎo)完善的(de)合規管理體系，可以(yǐ)有效隔離風險，減輕或者免除企業的(de)法律責任。

        講兩個(gè)著名的(de)案例。

        美國(guó)知名金融公司摩根斯坦利的(de)兩名高管向政府官員行賄，美國(guó)法院并沒有對摩根斯坦利公司判刑。法院認爲(wéi / wèi)摩根斯坦利已經建立了(le／liǎo)完善的(de)合規管理體系，禁止公司管理人(rén)員對政府官員和(hé / huò)客戶行賄，因此兩名高管的(de)行爲(wéi / wèi)屬于(yú)個(gè)人(rén)行爲(wéi / wèi)，不(bù)屬于(yú)公司行爲(wéi / wèi)，公司可以(yǐ)免責。

        知名跨國(guó)奶粉生産企業雀巢中國(guó)公司的(de)員工買通某醫院工作人(rén)員拿到(dào)孕産婦的(de)信息，群發上(shàng)十萬條短信推銷奶粉。中國(guó)法院判處員工構成侵犯公民個(gè)人(rén)信息罪。員工不(bù)服，辯解稱他(tā)們是(shì)爲(wéi / wèi)了(le／liǎo)公司的(de)商業利益才這(zhè)麽做的(de)，這(zhè)是(shì)公司行爲(wéi / wèi)，不(bù)是(shì)個(gè)人(rén)行爲(wéi / wèi)，不(bù)應該處罰員工個(gè)人(rén)而(ér)應處罰公司。但法院經過審查認爲(wéi / wèi)，雀巢公司建立了(le／liǎo)一(yī / yì ／yí)套完整的(de)合規管理制度，明文禁止員工非法獲取潛在(zài)消費者的(de)信息，員工應該自行承擔責任，員工的(de)涉案行爲(wéi / wèi)并非公司行爲(wéi / wèi)，故應該由員工承擔刑事責任。

        企業合規制度在(zài)60年代發源于(yú)美國(guó)，幾十年來(lái)逐漸成爲(wéi / wèi)歐美企業進行公司治理和(hé / huò)内控的(de)重要(yào / yāo)手段。西方企業在(zài)建立合規計劃方面有積極性的(de)一(yī / yì ／yí)個(gè)重要(yào / yāo)動因是(shì)，合規在(zài)刑法上(shàng)具有多重激勵機制。建立有效的(de)合規計劃可以(yǐ)成爲(wéi / wèi)涉嫌犯罪的(de)企業請求不(bù)起訴、和(hé / huò)檢察機關簽訂暫緩起訴協議、做無罪抗辯、請求法院減輕處罰的(de)重要(yào / yāo)依據。例如，一(yī / yì ／yí)些西方國(guó)家對于(yú)本國(guó)企業或外國(guó)企業的(de)商業賄賂行爲(wéi / wèi)，在(zài)追究刑事責任時(shí)，将考量其是(shì)否已經建立和(hé / huò)完善合規計劃，以(yǐ)此作爲(wéi / wèi)對其是(shì)否起訴、是(shì)否定罪以(yǐ)及是(shì)否酌情減輕處罰的(de)依據。對于(yú)已經建立或者承諾完善合規機制的(de)企業，一(yī / yì ／yí)些西方國(guó)家确立并實施暫緩起訴制度，與涉案企業進行訴辯交易，達成附條件的(de)和(hé / huò)解協議。在(zài)和(hé / huò)解考驗期内，涉案企業繳納罰款，建立或完善合規機制的(de)，檢察機關可以(yǐ)不(bù)再起訴。企業合規機制的(de)建立和(hé / huò)完善，可以(yǐ)成爲(wéi / wèi)檢察機關不(bù)起訴或者暫緩起訴、法院不(bù)定罪量刑或者減輕處罰的(de)激勵機制，企業自然就(jiù)有積極的(de)動力建立和(hé / huò)完善自己的(de)合規機制。

二、中國(guó)企業如何建立自己的(de)合規管理體系

        合規的(de)英文是(shì)“compliance”，直譯就(jiù)是(shì)“符合”的(de)意思。企業合規指的(de)是(shì)三個(gè)符合：企業的(de)行爲(wéi / wèi)（包括但不(bù)限于(yú)商業行爲(wéi / wèi)、管理行爲(wéi / wèi)、組織行爲(wéi / wèi)等）應該符合法律法規的(de)要(yào / yāo)求，符合企業規章制度的(de)規定，符合企業商業道(dào)德和(hé / huò)商業行爲(wéi / wèi)準則的(de)要(yào / yāo)求。企業合規的(de)實質是(shì)企業的(de)法律與道(dào)德風險的(de)防範。

        在(zài)“一(yī / yì ／yí)帶一(yī / yì ／yí)路”走出(chū)去的(de)戰略下，中國(guó)企業要(yào / yāo)學習、研究、滿足中國(guó)的(de)、國(guó)際的(de)以(yǐ)及從事投資、貿易活動國(guó)家的(de)合規标準。

（一(yī / yì ／yí)）中國(guó)制定的(de)合規标準

        爲(wéi / wèi)配合“一(yī / yì ／yí)帶一(yī / yì ／yí)路”戰略的(de)實施，防範中國(guó)企業“走出(chū)去”的(de)法律風險，去年下半年，國(guó)家多個(gè)部委密集出(chū)台多個(gè)企業合規标準。

        1、2018年7月1日起實施的(de)國(guó)家質量檢驗檢疫總局與中國(guó)标準化委員會共同發布的(de)《合規管理體系指南》。

        标準對于(yú)我國(guó)各類企業合規管理體系的(de)建立和(hé / huò)運行，企業合規風險的(de)識别、分析和(hé / huò)評價，企業合規管理流程的(de)設立和(hé / huò)改進，企業合規風險的(de)應對和(hé / huò)管控提供了(le／liǎo)指導和(hé / huò)建議。《合規管理體系指南》以(yǐ)良好治理、比例原則、透明和(hé / huò)可持續性原則爲(wéi / wèi)基礎，明确指出(chū)要(yào / yāo)建立持續有效的(de)合規管理體系，包括以(yǐ)下幾個(gè)方面：

        （1）識别合規風險并進行分析和(hé / huò)評價；

        （2）明确企業合規管理目标，制定合規風險管理措施；

        （3）建立企業合規管理體系，明确企業合規管理職責；

        （4）建立企業合規數據庫并保持更新維護；

        （5）重視企業合規管理機制與能力的(de)建設，推進合規管理體系有效運行；

        （6）對于(yú)合規管理體系的(de)效果保持持續監測；

        （7）建立合規體系審計機制，并根據環境變化持續改進合規管理體系。

        2、2018年11月2日國(guó)資委發布的(de)《中央企業合規管理指引（試行）》。

        指引要(yào / yāo)求企業合規管理應當具有全面性，覆蓋到(dào)企業的(de)各個(gè)部門和(hé / huò)業務領域，貫穿企業從決策到(dào)執行監督的(de)各個(gè)環節，通過制度制定、風險識别、合規審查、風險應對、責任追究、考核評價、合規培訓等方式，有組織、有計劃的(de)開展合規管理活動。

        《指引》對企業合規管理的(de)重點作出(chū)了(le／liǎo)具體的(de)規定，強調的(de)是(shì)：

        （1）企業合規管理的(de)重點領域包括市場交易、安全環保、産品質量、勞動用工、财務稅收、知識産權、商業夥伴以(yǐ)及其他(tā)需要(yào / yāo)重點關注的(de)領域；

        （2）企業合規管理的(de)重點環節包括制度制定環節、經營決策環節、生産運營環節以(yǐ)及其他(tā)需要(yào / yāo)重點關注的(de)環節；

        （3）企業合規管理的(de)重點人(rén)員包括管理人(rén)員、重要(yào / yāo)風險崗位人(rén)員、海外人(rén)員以(yǐ)及其他(tā)需要(yào / yāo)重點關注的(de)人(rén)員。

        3、2018年12月26日國(guó)家發改委等七部門聯合發布的(de)《企業境外經營合規管理指引》。

        《指引》明确了(le／liǎo)合規管理所需遵循的(de)三個(gè)原則：

        （1）獨立性，合規管理應從制度設計、機構設置、崗位安排以(yǐ)及彙報路徑等方面保證獨立性；

        （2）适用性，企業合規管理應從經營範圍、組織結構和(hé / huò)業務規模等實際出(chū)發，兼顧成本與效率，強化合規管理制度的(de)可操作性，提高合規管理的(de)有效性。同時(shí)，企業應随内、外部環境的(de)變化持續調整和(hé / huò)改進合規管理體系；

        （3）全面性，企業合規管理應覆蓋所有境外業務領域、部門和(hé / huò)員工，貫穿決策、執行、監督、反饋等各個(gè)環節，體現于(yú)決策機制、内部控制、業務流程等各個(gè)方面。

        以(yǐ)上(shàng)三個(gè)企業合規标準有重疊的(de)内容。企業法務參照上(shàng)述标準爲(wéi / wèi)企業制定合規體系，歸納的(de)關鍵詞是(shì)：合規風險的(de)防範、合規工作體系的(de)建設、合規工作程序的(de)完善。

（二）美國(guó)制定的(de)合規标準

        美國(guó)企業的(de)合規管理最早可以(yǐ)追溯到(dào)60年代，美國(guó)企業爲(wéi / wèi)了(le／liǎo)應對反壟斷處罰而(ér)實施的(de)合規措施。美國(guó)對企業合規的(de)關注，在(zài)反腐敗方面，有《反海外腐敗法》即FCPA；在(zài)反壟斷方面，有《謝爾曼法案》；在(zài)反洗錢方面，有《銀行保密法》；在(zài)經濟制裁方面，有《與敵人(rén)貿易法》；在(zài)出(chū)口管制方面，有《出(chū)口管理條例》；在(zài)上(shàng)市公司的(de)治理、内部控制和(hé / huò)風險管理方面，有《薩班斯法》；而(ér)聯邦量刑委員會制定的(de)《聯邦量刑指南》，則爲(wéi / wèi)政府部門和(hé / huò)司法機關評估企業合規體系提供了(le／liǎo)重要(yào / yāo)标準。

（三）國(guó)際組織制定的(de)合規标準

        1、中國(guó)尚未加入的(de)世界經合組織通過的(de)《禁止在(zài)國(guó)際商業交易中賄賂外國(guó)公職人(rén)員公約》。

        2、國(guó)際标準化組織頒布的(de)《ISO2014合規管理體系——指南》和(hé / huò)《ISO2016反賄賂管理體系——要(yào / yāo)求和(hé / huò)使用指南》。三、企業合規的(de)律師實務

        根據一(yī / yì ／yí)些跨國(guó)律師事務所的(de)執業經驗，律師事務所的(de)合規業務包含：合規咨詢、合規培訓、合規調查。

        合規咨詢是(shì)針對企業的(de)商業決策、經營架構、交易和(hé / huò)投資架構、銷售政策、隐私政策、勞動關系、稅務、消費者利益保護、環境保護、知識産權等是(shì)否違反法律、法規提出(chū)法律意見。

        合規培訓是(shì)協助企業就(jiù)合規背景、國(guó)家和(hé / huò)行業政策、監管規定等進行教育，幫助企業從業人(rén)員增強合規意識，提高合規管理水平。

        合規調查是(shì)指企業針對政府監管部門、司法機關的(de)調查的(de)應對措施。在(zài)西方國(guó)家刑法激勵機制下，西方律師業的(de)合規業務中，合規調查的(de)含金量最高，收費也(yě)最高。基本内容是(shì)律師獨立開展合規調查，針對政府監管部門的(de)監管、檢察機關的(de)起訴，協助企業建立與完善合規計劃。在(zài)不(bù)少西方國(guó)家，當司法機關或者政府監管部門對企業進行調查、稽查時(shí)，企業可以(yǐ)委托律師以(yǐ)外部專家身份對企業進行獨立合規調查，幫助企業評估和(hé / huò)防範合規風險，制定合規管理方案，協助企業按照政府監管部門和(hé / huò)司法機關的(de)要(yào / yāo)求制定整改措施，并對整改以(yǐ)及完善合規計劃的(de)結果持續進行檢查和(hé / huò)評估，出(chū)具相應的(de)法律意見和(hé / huò)評估報告。中國(guó)企業在(zài)境外的(de)投資、貿易活動中，遇到(dào)當地(dì / de)國(guó)家的(de)政府監管部門和(hé / huò)檢察機關調查時(shí)，亦不(bù)乏有聘請當地(dì / de)或者跨國(guó)的(de)律師事務所進行獨立調查和(hé / huò)出(chū)具報告的(de)案例。在(zài)有的(de)西方國(guó)家，律師經過獨立調查後出(chū)具的(de)合規調查報告，可以(yǐ)成爲(wéi / wèi)政府監管機構或者司法機關對企業寬大(dà)處理，或者與企業達成暫緩起訴協議，進行訴辯交易的(de)重要(yào / yāo)依據。

        作爲(wéi / wèi)重要(yào / yāo)的(de)公司治理方式和(hé / huò)刑法激勵機制，西方律師在(zài)企業合規體系中發揮起着重要(yào / yāo)作用。這(zhè)也(yě)是(shì)跨國(guó)律師事務所的(de)一(yī / yì ／yí)項重要(yào / yāo)業務。今後在(zài)中國(guó)，合規業務或許将是(shì)中國(guó)律師業務的(de)藍海。

        在(zài)跨境交易和(hé / huò)跨境投資常态化的(de)背景下，在(zài)企業合規問題上(shàng)，一(yī / yì ／yí)方面，企業法務需要(yào / yāo)研究和(hé / huò)熟悉西方國(guó)家、“一(yī / yì ／yí)帶一(yī / yì ／yí)路”沿線國(guó)家以(yǐ)及國(guó)際上(shàng)的(de)合規制度，另一(yī / yì ／yí)方面，應當立足中國(guó)自己的(de)法律框架，借鑒國(guó)外和(hé / huò)國(guó)際上(shàng)良好的(de)合規制度，研究中國(guó)企業合規的(de)本土化。

說(shuō)句題外話。今天的(de)會議上(shàng)大(dà)家都在(zài)讨論企業法務的(de)作用，在(zài)我觀察，企業法務好比大(dà)橋上(shàng)的(de)欄杆。大(dà)橋上(shàng)有欄杆的(de)時(shí)候，行人(rén)覺得理所當然。大(dà)橋上(shàng)欄杆沒了(le／liǎo)的(de)時(shí)候，行人(rén)會覺得害怕。企業有法務的(de)時(shí)候，老總和(hé / huò)經營班子(zǐ)覺得心安理得。企業沒法務的(de)時(shí)候，老總和(hé / huò)經營班子(zǐ)會感到(dào)不(bù)安。

        最近一(yī / yì ／yí)個(gè)換臉遊戲APP一(yī / yì ／yí)夜之(zhī)間鬧得沸沸揚揚。運營這(zhè)個(gè)App的(de)是(shì)一(yī / yì ／yí)家實力雄厚的(de)互聯網科技公司。輿情出(chū)來(lái)後，我的(de)第一(yī / yì ／yí)個(gè)反應就(jiù)是(shì)，不(bù)知道(dào)這(zhè)家公司有沒有法務或者外聘律師，它的(de)合規管理做得太差了(le／liǎo)。App平台的(de)用戶協議中，竟然赤裸裸地(dì / de)要(yào / yāo)求用戶同意在(zài)全球範圍内、永久地(dì / de)、無償地(dì / de)将用戶上(shàng)傳的(de)人(rén)臉信息授權給平台及其用戶使用。App上(shàng)線一(yī / yì ／yí)天時(shí)間就(jiù)火爆起來(lái)，但第二天就(jiù)被大(dà)量用戶要(yào / yāo)求注銷賬号，删除上(shàng)傳的(de)面孔。這(zhè)背後，是(shì)用戶醒悟過來(lái)後，對個(gè)人(rén)隐私安全的(de)擔憂。這(zhè)款App用的(de)是(shì)AI換臉術。人(rén)臉是(shì)非常敏感的(de)生物識别信息。密碼丢了(le／liǎo)可以(yǐ)換，但生物信息不(bù)可再生。如此重要(yào / yāo)的(de)人(rén)臉信息不(bù)僅被平台公然收集，還明目張膽地(dì / de)要(yào / yāo)求用戶授權其使用。我國(guó)《信息安全技術個(gè)人(rén)信息安全規範》對個(gè)人(rén)面部識别特征等生物識别信息的(de)收集、保存有嚴格要(yào / yāo)求。《網絡安全法》對平台收集、使用用戶信息也(yě)有嚴格的(de)限制性規定。一(yī / yì ／yí)家知名的(de)互聯網科技公司在(zài)設計産品的(de)時(shí)候，竟然沒有注意到(dào)用戶協議應該符合産品的(de)隐私政策和(hé / huò)互聯網行業的(de)監管規定，導緻産品一(yī / yì ／yí)出(chū)場就(jiù)被工信部約談，成了(le／liǎo)行業内的(de)鬧劇和(hé / huò)笑柄。這(zhè)個(gè)事件說(shuō)明，企業是(shì)否合規，可以(yǐ)決定一(yī / yì ／yí)個(gè)企業在(zài)一(yī / yì ／yí)夜間的(de)生死存亡。

所以(yǐ)，要(yào / yāo)善待企業法務，沒有他(tā)們像大(dà)橋上(shàng)欄杆一(yī / yì ／yí)樣的(de)防護，企業老總和(hé / huò)經營班子(zǐ)會有從大(dà)橋上(shàng)掉下去的(de)風險。