企业合规的体系构建及类型化研究

 

摘要

企业合规是一种特有的现代化公司治理机制，侧重于防范行政监管处罚风险和刑事风险。实施企业合规具有适应国际竞争和国内监管环境，实现遏制企业道德风险、减免企业法律责任等目的。企业合规有多种模式可供选择，合规管理体系的组织、运行和保障是合规的基本要素。合规领域的类型化研究有助于企业明确自身需求，结合特定合规领域，构建符合自身需求的合规管理体系，但如何从公司法层面回应企业合规这一课题，仍然是一项重大挑战。

 

关键词

企业合规  合规管理体系  类型化研究

 

一、企业合规的内涵界定

 

（一）什么是企业合规

 

“企业合规”这一概念是一个舶来品，源起于1977年美国《反海外腐败法》的实施。八十年代，美国《联邦量刑指南》将“有效的合规机制”作为法院对企业定罪量刑的考量因素。2002年，美国为应对一系列的上市公司财务造假事件，颁布《萨班斯法案》，进一步加强对上市公司的合规要求，特别是明确公司的财务报告责任和公司财务披露义务，并大幅加重了对公司管理层违法行为的处罚措施。2010年，美国通过《多德—弗兰克法案》，更加重视公司内部的举报和合规程序，督促企业不断改进合规计划，以便有效预防企业内部的违法违规问题。在全球化背景以及美国合规制度的广泛影响下，一些国际组织和西方国家先后接受并采纳了合规治理机制。

 

在我国，最早与“合规”直接相关的文件是1992年1月6日审计署发布的《关于对金融机构贷款合规性审计的意见》。该意见旨在通过对贷款合规性审计，审查贷款管理与发放过程中存在的漏洞与问题，重点审计贷款的发放是否突破计划规模，此时的合规具有明显的时代烙印。2017年12月29日，中国标准化管理委员会发布ISO19600《合规管理体系指南》，该指南将“合规”定义为“组织遵守了适用的法律法规及监管规定，也遵守了相关标准、合同、有效治理原则或道德准则”。2018年11月2日，国资委下发《关于印发<中央企业合规管理指引（试行）>的通知》（国资发法规〔2018〕106号），明确了央企各部门在合规制度搭建中的职责配置、合规管理重点及具体运行机制。同年12月，国家发改委、外交部、国资委、人民银行等多个部门联合印发《企业境外经营合规管理指引》，就开展对外贸易、境外投资、对外承包工程等“走出去”相关业务的中国企业的合规提出了具体要求。近年来，各省市也相应出具了与企业合规相关的政策性文件。这些文件都对我国法律体系下的“合规”作了解读，并要求组织或企业遵守国际条约、法律法规、监管规定、行业准则和企业章程等，为企业合规提供框架下指导。

 

（二）企业合规与企业法务的区别

 

谈及企业合规的本质时，我们经常容易混淆企业合规与企业法务这二者的概念。二者虽有重叠但并非同一概念，主要区别如下：

 

第一，防控的风险内容不同。企业合规不同于“法律风险防控”。合规风险，是指企业可能遭受的法律制裁、监管处罚、重大财产损失和商誉损失。¹合规风险一旦得不到控制，企业除了被追究合同法律责任外，还有可能面临行政惩罚措施，甚至刑事风险，从而使企业遭受经济损失乃至声誉损失。企业法务一般约束业务部门，企业法务部门所要防控风险主要是企业在经营活动中所遇到的各种合同风险、信用风险、市场风险、操作风险以及其他经营风险。相比而言，企业合规部门站位更高，几乎涵盖了企业参与市场竞争及自我约束的方方面面。

 

第二，目标与手段不同。虽然企业合规管理和企业法务在适用合规规范、合规审查等方面的职能类似，但它们的目标仍然存在不同。企业合规又可称为“合规管理”，合规是目标，管理是手段。企业合规管理是通过管理来达成合乎法规的目标，因此企业合规管理重在对合规管理体系各构成要素进行管理和维护，这就要求企业合规要建立一整体完善的、切实可行的管理体系，是企业治理层级的问题。而企业法务重在法律实务，如合同的起草、审查和修改，知识产权法务，项目法务，争议解决法务等，公司管理并非其侧重点。

 

第三，组织架构不同。作为公司管理机制的企业合规，在组织设置上一般没有将合规组织与原有的法律事务部门完全分离开。例如在“复合模式”的合规模式下，合规部门的组织架构是由公司总法律顾问或法律总裁兼任首席合规官，或者将合规部门设置在法律事务部之下。《中央企业合规管理指引(试行)》也要求法律事务机构或其他相关机构为合规管理牵头部门，业务部门负责本领域的日常合规管理工作，监察、审计等其他部门配合履职。此外，还有一些政府监管强、合规风险大、产品线多元的企业会选择设立独立的企业合规管理部门，如西门子、通用电气、我国的各大银行等。

 

通过对比传统企业法务可以发现，企业合规本质上是一种特有的企业管理体系和现代化的公司治理方式，是为了防范合规风险、针对有关监管部门的调查和处罚、为了避免遭受重大经济损失和声誉损失而建立起来的公司管理机制。在公司以逐利为导向导致法律和道德共识的分崩离析背景下，兼具有法律、伦理道德、习惯等多重价值功能的合规制度才应运而生。²随着社会主义市场经济的建立和逐步完善，我国企业的合规制度逐渐从金融保险行业扩大至中央企业，未来有延伸至全体企业的发展趋势。近年来，因全面推进依法治国、优化营商环境以及“一带一路”建设的客观需要，属于中国的企业合规管理时代已经悄然来临。

 

二、开展企业合规的必要性

 

（一）适应国际竞争环境

 

当前，我国正在加快融入世界经济发展体系和治理格局也面临来自美国为首的西方世界的压力和挑战。近年来，中美贸易摩擦不断，美国通过“长臂管辖”，依靠《出口管制条例》《反贪污受贿条例》和《萨班斯法案》等借故制裁中国企业，种种行为让企业合规制度在国家层面达到了前所未有的战略高度。以孟晚舟案为例，美国以华为违反了出口管制条例，认为华为的子公司隐瞒事实与伊朗交易，而华为首席财务官孟晚舟在向相关银行陈述时作了虚假陈述，故指控孟晚舟犯欺诈罪。国家的竞争，一定意义上来说也表现为各国大企业特别是跨国公司之间的竞争。对于企业来讲，必须接受适应大国竞争带来影响和变化，努力适应国际竞争规则和参与国际竞争的需要，融入国际机制和规则变革之中，并通过变革和提升企业治理体系和治理能力，争当所在细分领域变革的参与者、推动者、实践者和主导者。因此，企业合规成为了以国家为单位进行的市场竞争中必不可少的一个环节。

 

（二）应对国内监管变革

 

习近平总书记多次指出，中国改革开放的重点，已从过去四十年的要素流量型的开放，转变为制度规则型的开放。未来随着开放力度不断加大，我国将在政策法律、制度机制、行为规则等多方面进行深度调整，对国内企业的经营管理、合规管理都将提出更多要求。有些企业许多之前习以为常、理所应当的认识和经营模式，今后将难以为继。

 

举例而言，2021年4月10日，国家市场监管总局依法对阿里巴巴集团控股有限公司在中国境内网络零售平台服务市场实施“二选一”垄断行为作出行政处罚，责令其停止违法行为，并处以其2019年销售额的4%，计182.28亿元罚款。后阿里巴巴发布声明称“对于处罚诚恳接受，坚决服从，并将强化依法经营，进一步加强合规体系建设，更好履行社会责任”。除行政处罚决定书外，市场监管总局还一同公布了《行政指导书》（以下简称“《指导书》”），《指导书》要求当事人严格落实平台企业主体责任、完善企业内部合规控制制度，并积极保护平台内经营者和消费者合法权益，积极制定整改措施并且连续三年向总局报送年度自查合规报告。

 

再比如国有企业，行政监管对于一个国内企业有着举足轻重的影响。在“双随机、一公开”、“失信联合惩戒”等新型监管机制的要求下，国有企业违规成本和代价陡然上升，进而倒逼企业形成体系化的合规管理体系，以应对“大监管时代”的新形势。未来国内的市场监管将进一步趋严，企业建立合规体系以及与主管部门进行恰当沟通将愈发重要。

 

（三）遏制企业道德风险

 

企业不能纯粹以逐利为导向，否则将不可避免地走向社会道德滑坡，将合规内化为企业的良知和社会责任，遏制企业道德风险，是企业合规的目的之一。不同类型的企业或者同一企业在不同发展阶段，需要有对应的合规管理体系，在促进企业治理能力革新的同时，也保障企业能健康稳步发展。以新兴行业（如直播行业）的合规为例，在市场监管体制尚没有收紧之前，相关企业应事先对直播业务进行合规化管理或改进，在应对监管政策调整的同时防范迈入灰色空间，否则极有可能导致直播平台逐步异化为赌博、色情等不法平台，滋生违法犯罪。当然，对于国有企业而言，鉴于其在国民经济中的特殊地位以及更多的社会责任要求，建立合规运营体系也更为现实和迫切。例如早在2018年，国资委在颁布《中央企业合规管理体系指引（试行）》后，就在五家央企中建立了合规管理体系建设工作试点。未来，如何通过企业合规制度防范企业道德、强化社会责任，将是企业治理体系和治理能力现代化的一个重要标志。

 

（四）减免企业责任

 

对于企业来说，除了合规能带来的战略性意义，企业建立合规制度的另一个更为现实的重要动力，来自企业有效合规可以在企业面临行政或刑事处罚时减轻或免除企业责任。目前在我国主要体现在以下几点：

 

第一，通过企业合规来界定并区分个人意志和企业意志。我国司法机关往往根据直接责任人员的行为和过错来推论单位的行为和过错，这种做法在逻辑上存在颠倒，因为这就否认了单位的独立意志，将自然人犯罪和单位犯罪混为一谈。对于企业来说，通过建立有效的合规体系来区分单位主观犯罪意志和自然人个人的犯罪意志，进而区分个人责任和企业责任，以免企业的其他无辜员工、股东的合法权益受到损害，是企业的客观需要。举例而言，2017年，兰州市中级人民法院就雀巢公司员工侵犯公民个人信息案作出终审裁定，以雀巢公司企业合规管理体系为依据，否认了被告人（雀巢公司员工）提出的其实施犯罪行为为“公司行为”的辩护理由，认定单位不存在犯罪构成要件中的主观意志因素，从而将单位意志与个人意志进行切割。

 

第二，将合规作为免责的抗辩事由。例如，2017版《中华人民共和国反不正当竞争法》首次在商业贿赂领域引入严格责任制度，对于企业员工存在贿赂行为的，一律推定为“经营者”的行为。企业只有在“有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关”时，才能不负法律责任。按相关主管部门的意见，该款所指证据是“指经营者（企业）已制定合法合规合理的措施，采取有效措施进行监管”，不应放纵或者变相放纵工作人员实行贿赂行为。也就是说，企业证明自己建立了有效的预防商业贿赂措施，在反商业贿赂方面采取了有效的监督、管理、识别、报告措施，以显示企业没有放纵员工的商业贿赂行为。可以预期的是，未来在反垄断、反不正当竞争、知识产权及商业秘密保护等领域，企业合规管理体系将具备一定的企业无责任抗辩事由的效力。

 

第三，企业合规作为行政和解前提。合规的行政监管激励是指行政部门在确立了强制合规制度的前提下，引入了对应的合规激励机制，包括在将涉嫌行政违法的企业提出纠正违法行为、消除或者减轻违法行为后果的方案，作为与其达成行政和解的前提条件，并根据企业建立合规管理制度的情况，对其采取从轻、减轻处罚甚至可以不予追究行政责任。例如，2015年，我国证监会发布了《行政和解试点实施办法》，在证券期货监管领域试点行政和解制度。该办法发布以来，产生了两个行政和解的案例：其一是中国证券监督委员会公告〔2019〕11号，该案中中国证监会与高盛(亚洲)有限责任公司、北京高华证券有限责任公司以及两家公司涉事的9名行政和解申请人达成了行政和解协议，其二证监会与上海司度、富安达基金、中信证券、千石资本、国信证券，在处罚对象满足交纳高额行政和解金、承诺完善企业合规措施等要求，解除了相关调查审理程序。

 

第四，企业合规可以减免企业刑事责任。对于企业合规带来的刑责减免问题，也是企业合规关注的重要问题，现阶段各地也在积极探索相应的刑事合规制度。例如，2020年9月，浙江省岱山县人民检察院发布《涉企案件刑事合规办理规程（试行）》，将涉刑企业的合规承诺、合规整改等内容与刑事办案相结合，在整改期满经公开听证后，由检察机关决定是否相对不起诉处理或提出从轻量刑建议。再如，2020年10月，上海市长宁区检察机关对一批涉嫌虚开发票的企业及经营者采用“相对不起诉+检察建议”的方式，考虑到涉案企业已补缴税款、运营平稳、积极承担社会责任、未有其他违法行为，且相关负责人有自首或坦白情节，且到案后自愿认罪认罚，因此检察机关经过综合考虑，决定在对涉刑企业作出相对不起诉决定，并出具检察建议书帮助企业完善税务合规。企业刑事合规通过赋予企业合规管理的刑法积极义务，在扩大单位犯罪范围的同时，将刑事合规作为限缩处罚范围的出罪事由和刑罚减免的情节，进而构建我国的刑事合规制度。

 

总体而言，企业建立合规管理体系是企业发展的大势所趋，也是企业在做大做强后对自身发展机制的有益调整和规范。企业合规不仅回应了行政监管的革新，也是国内的企业走向全世界、应对国际挑战的必经之路，具有现实的必要性。

 

三、企业合规的模式及其类型化

 

（一）企业合规的模式

 

我国《合规体系指南》中明确指出“合规是组织可持续发展的基石”。企业合规是当今市场竞争的基本要求，是企业可持续发展的内核和基石，有利于塑造良好的企业社会形象和品牌形象，梳理企业文化和精神内核。从公司治理能力角度看，企业需要根据自身发展的结算，找到适应自身发展的合规模式。企业合规目前主要存在“独立模式”、“复合模式”、“简单模式”三种形式。“独立模式”设立独立的企业合规部；“复合模式”不设立独立的合规部，将合规部和法务部合二为一或者将合规管理职责归入法务部；“简单模式”只设立一个合规小组或合规专员，或者委托外部律师提供合规管理服务，主要适用于产品线单一、规模小、合规风险低的企业。传统的公司治理结构主要调整的是股东大会、董事会、监事会和管理层在公司决策、经营等方面所形成的相互制衡关系，如何将合规管理纳入传统公司治理结构之中，需要经营者根据自身业务状况、规模大小、行业特性、合规风险水平等进行妥善选择。

 

（二）作为内部管理制度的合规体系

 

企业内部管理制度是企业合规体系构建的基石，完整的企业合规管理体系必然包括一些基本要素。例如2014年11月11日第22届亚太经合组织领导人非正式会议发布的《亚太经合组织高效率公司合规项目基本要素》就提出了企业合规项目的11大基本要素：开展风险评估；管理层的全力支持和参与；制定和遵守书面的公司行为准则；建立合规管理组织架构；提供反腐败培训、教育讲座和持续指导；开展基于风险和详尽记录的尽职调查；审计和内部会计控制；合规机制和报告要求；激励；惩罚；定期审查和测试。《中央企业合规管理指引（试行）》将合规管理体系分为合规管理运行体系和合规管理保障体系，前者包括合规管理制度、合规风险管理、合规审查、合规管理评估等；后者包括合规考核评价、合规培训与宣传、合规报告、违规举报、调查和处置、合规信息管理、合规文化等内容。亦有学者提出，一个完整的合规管理体系应包含以下五部分内容：一是商业行为准则；二是合规组织体系；三是防范体系（包括风险评估、尽职调查、合规培训等）；四是监控体系（包括合规控制管理、审计与内控、投诉机制、合规报告机制等）；五是应对体系（包括必要惩戒、实时审查和监测、修补和完善）。总体而言，一个完整的合规管理体系至少存在以下三个部分：

 

1．合规管理体系之组织

合规组织的设立是企业展开合规的基础，合规部门的独立性是企业合规的必要属性。正如企业引入独立董事制度作为其决策过程中的一种监督机制，企业合规部门要发挥其监督功能，确保有效运作，也需要具备组织结构的完整性和独立性。公司应维持一种上下一体的合规组织结构，为合规部门提供充足的资源，确保合规部门独立地识别合规风险，并及时向管理层或董事会报告合规风险。³

 

2．合规管理体系之运行

合规管理的体系正常运行应当包括以下内容：行为准则、风险识别与评估、合规审查及违规举报等。其中行为准则是合规运行的基础，“没有规矩，不成方圆”，合规管理体系的有效运转依赖于明确的行为准则，比如具体的法律法规、商业伦理规范、公司内部的行为规范等。企业也可以结合公司不同部门的实际情况，设定差异性的行为准则，为公司不同岗位和类型的员工确立履行职责的基本要求。风险识别是合规运行的关键，合规管理中的一道重要防线就是法务人员主导下的合规审查和风险识别，并提供合规支撑及风险防控措施。合规风险识别体系在法定代表人合规履职、公司决策机构有效运转、公司印章妥善保管和使用、董监高勤勉忠实履职、公司重大法律风险防控等领域，几乎可以说涵盖企业日常经营的方方面面。而合规审查及违规举报更多的是注重违规行为发生后的救济和纠正，共同构成企业合规管理体系不可或缺的部分。

 

3．合规管理体系之保障

对合规管理的保障是确保合规体系长远、良好运行的关键因素之一，主要内容包括进行合规培训、违规举报、合规文化建设等。例如合规培训主要公司重要员工进行有针对性的合规培训和教育，以帮助员工了解法律法规和企业内部合规的要求，明确相关的法律后果及责任。违规举报作为一种外部监督机制，也是合规保障之一，需要注意的是这种投诉应当有通常的渠道、能得到及时高效的反馈以及确保投诉者受到保护。

当然，企业构建合规体系也应当结合自身所处的行业、公司结构、经营规模、运营模式等综合因素，在分析其可能遇到的企业合规风险的前提下，确保企业在其能承受的成本范围内，有效、实际地展开合规，以实现防控合规风险的目标。一套有效的企业合规管理体系，必然是最能与企业实际情况相结合、有良好合规效果导出的体系。

 

（三）作为外部监管应对的合规体系

 

企业之所以要建立合规管理体系，除了要防范公司业务领域固有的“法律风险”外，也为了防范因违法违规行为而受到行政监管处罚、刑事追究、国际制裁等外部风险。简而言之，企业在搭建合规体系时应当对其所处监管环境和行业环境中的风险有明确的方向认识。根据合规风险来源不同，企业合规管理体系可以作如下领域区分：

 

1．反不正当竞争领域

在反不正当竞争领域，商业贿赂行为带来的风险是最为突出的合规风险。最为人津津乐道的是2006年西门子海外贿赂事件，西门子公司被调查发现多年来存在巨额的商业行贿行为，最终和美国司法部、证交会达成和解而建立一整套严格的企业合规计划，也被称为“反腐败专项合规计划”。在国内，商业贿赂行为轻则违反反不正当竞争竞争法，重则构成犯罪，其中企业可能涉及的犯罪有：单位行贿罪、单位受贿罪等；自然人可能涉及的犯罪有：受贿罪、行贿罪、对非国家工作人员行贿罪、非国家工作人员受贿罪等。商业贿赂对于企业和个人来说都是沉重一击，例如在沪市监徐处〔2020〕042020000446号行政处罚案中，上海某物业管理公司在与某国有公司进行房屋租赁过程中，物业管理公司为获取不正当利益，向国有公司副总经理给予了现金12万元，并支付了其旅游费用，最终上海市徐汇区人民法院以受贿罪判处该国有公司副总经理有期徒刑3年6个月，并处罚金人民币20万元，⁴上海市徐汇区市场监督管理局也对该物业管理公司罚款人民币97万元。⁵可见，如果没有建立完善的合规管理体系，企业难以划清员工商业贿赂行为与公司意志的界限，最终会引火烧身。相比而言，前文所述的雀巢公司案就是一个界分企业责任和员工个人责任的成功案例。

 

2．反垄断领域

在反垄断领域，2021年4月10日市场监管总局对阿里巴巴“二选一”的垄断行为进行处罚，4月15日市场监管总局根据《中华人民共和国反垄断法》第四十六条、四十九条规定作出处罚决定，并向阿里巴巴发送了国市监行指反垄〔2021〕1号行政指导书，确认了阿里巴巴的违法违规行为，并处以其2019年销售额4557.12亿元4%的罚款，计182.28亿元。该行政处罚决定书中非常详细地对相关市场以及市场支配地位进行了认定，将相关商品市场界定为网络零售平台服务市场，并结合市场份额、市场集中度、市场控制能力、资金技术能力、市场依赖性、市场准入、关联市场优势地位这七个方面认定阿里巴巴在中国境内网络零售平台服务市场具有支配地位。阿里巴巴案起到的是敲山震虎的作用，未来国家对反垄断的执法将更为严格。

 

在阿里巴巴案的行政指导书中，市场监管总局专门就“完善企业内部合规控制制度”提出了要求，要求落实“建立并有效执行反垄断合规制度，明确合规管理要求和流程，完善合规咨询、合规检查、合规汇报、合规考核等内部机制”、“定期开展公司高管和工作人员合规培训，增强反垄断合规意识，提升合规能力”、“建立定期向监管部门报告合规情况制度，自觉维护公平竞争的市场秩序”三项内容。这也为相关企业的反垄断合规体系完善提供了一定借鉴。

 

3．反舞弊领域

2015年12月，为完成香溢融通董事会对下属事业部的利润考核指标，提高管理层薪酬，时任公司总经理邱樟海，决策转让子公司香溢投资持有的两个资管计划产品份额的收益权共1.03亿元，同时另一子公司香溢担保也对受让方提供了相应担保，若届期收益低于上述款项及年化12%收益，由香溢担保和香溢融通补足。但上述约定均绕开了香溢融通的股东会和董事会。结果2016年两项资管产品到期清算后，收益不足预期，触发了收益补足约定，香溢融通通过签订虚假融资租赁合同和虚构投资项目进行虚假投资的方式试图补足收益款差额。公司管理层和交易对手内外串通，造假手法非常隐蔽，但最终在2018年，香溢融通在董事会换届内部审计时发现了财报造假，并向证监会报告。2019年1月，证监会对香溢融通立案调查，2020年4月9日，证监会宁波监管局决定给予香溢融通警告，并处以60万元罚款，对4名前高管采取罚款和市场禁入措施。

 

香溢融通造假案，源自公司部分高管的牟取不正当业绩奖励动机，其实资本市场中类似于这样的反舞弊案例也非常多，主要表现为资产挪用、贪污和财务报表舞弊。财务舞弊与上市公司合规体系的不完善有着直接关联。根据美国注册师舞弊审核协会（ACFE）发布的《2018全球舞弊研究报告》显示，仅其搜集的自2016年1月至2017年10月被调查的舞弊案例就达2690例，来自全球125个国家，涉及23类大行业，可见舞弊问题遍布范围之广、数量之多；舞弊所造成的损失难以准确计算，但是被调研案件造成的总损失就超过71亿美元，可见舞弊造成的损害之大、危害之巨。⁶对于企业来说，构建企业内部控制体系是预防、发现舞弊的重要措施，企业需要制定一套内部控制以预防和治理企业内部舞弊、腐败行为，而前述企业管理合规搭建中的合规审计即为此目的。

 

4．知识产权领域

除出口管制外，中国企业面临的涉外合规风险也大量发生在知识产权领域，这一度对积弱已久的中国企业和中国制度构成了极大的挑战。在国内一些自主品牌的公司走向国际竞争的过程中，也遭遇到以“专利战”为表现形式的新型竞争挑战。其中比亚迪与索尼、三洋专利纠纷案就是一个典型。2002年至2003年期间，比亚迪在专业电池生产领域已经取得了一定的市场份额，成为了当时行业龙头摩托罗拉和诺基亚的供应商，这也挑战了索尼、三洋这两家世界电池业巨头。三洋、索尼先后在2002年、2003年向比亚迪发起专利诉讼。但比亚迪没有退缩，相反依赖其自己的专利储备进行针锋相对地应诉及反诉，最终三洋2005年3月在美国撤诉，索尼的诉求于2005年11月被日本知识产权高等裁判所驳回。

 

在知识产权领域中，先占有市场份额的跨国公司对付后起之秀的重要策略是“先养鱼后收网”，通过层层的知识产权壁垒，让后发的公司无法突破技术瓶颈或要求支付高额专利费，从而遏制其发展。企业只有加强自主知识产权的储备、完善专利布局，依靠自主研发和持续创新，完善企业知识产权合规，才能真正打破专利壁垒和技术封锁。

 

5．出口管制领域

出口管制领域的典型案例为中兴案。2016年，中国中兴通讯股份有限公司在未获得美国部门颁发的出口许可的情况下，违反美国对伊朗出口限制的相关措施，偷偷卖设备给伊朗，美国因此对其加以制裁，后中兴公司违反双方达成的和解协议，于2018年再次被制裁。中兴在受到制裁后建立了出口管制专项合规计划，成立了专门的出口管制合规部，发布并定期更新出口合规政策和出口合规手册，使之适用于总公司以及所有子公司。此外，中兴及其子公司发布了受美国出口管制限制的中兴公司产品的“出口管制分类编码”（ECCN），以确保公司供应链和分销渠道的出口合规。中兴公司还展开了覆盖全体员工的出口合规培训，包括全员出口合规意识培训以及进行有针对性的培训。近年来，我国各类企业对外贸易、境外投资、对外承包工程等经济活动步伐明显加快，对于这类企业来说，防范出口管制等境外合规风险是我国企业“走出去”行稳致远的前提。

 

6．互联网信息领域

随着互联网技术发展及创新应用，由此引申而来的大数据合规、隐私保护、数字货币、数字化治理等合规问题也逐渐走入人们视线。以公民隐私保护为例，杭州魔蝎公司侵犯公民个人信息罪一案⁷值得相关从业者重视。魔蝎公司利用各类爬虫技术爬取客户数据并藉此获利，法院最终认定魔蝎公司在未经用户授权的情况下，二次使用邮箱等部分账号密码，系以其他方法非法获取公民个人信息，情节特别严重，构成侵犯公民个人信息罪，判处魔蝎公司罚金300万，两名负责人有期徒刑3年，缓刑4年，并处罚金。近期发生的“滴滴出行”、“BOSS直聘”等多家知名互联网企业也因为数据安全问题接受了网络安全审查，数据合规问题被进一步推到了风口浪尖。在大数据时代，数据如水资源一样无穷无尽，但“水能载舟，亦能覆舟”，特别是对依赖于大数据的互联网公司而言，在获取、存留、出售、提供数据环节都存在许多风险，建立内部的数据使用合规制度，是大数据时代每个公司要做的“必修课”。

 

四、总结：从公司法视角看企业合规

 

企业合规源于公司法，一定程度上也超越了传统公司法规制的范畴，但“公司法作为合规制度的最重要载体，对整个合规制度的构建具有基础和核心作用。”⁸如何从公司法层面回应企业合规这一课题，是一项重大挑战。例如合规的责任主体问题目前就存在较大争议。传统的公司“委托代理理论”认为，在公司所有权与经营权分离的基本原则下，股东享有的是所有者权益，公司的具体经营管理由董事负责，由此引申出董事的信义义务⁹。故有观点认为，应该由董事担任企业合规的负责人，主导企业合规进程，即合规义务是董事义务的外化表现。相反的观点则认为，合规义务难以体现于董事义务中，目前我国的《公司法》并未规定合规义务及其责任主体，未来《公司法》修订暂时还不宜确立合规义务，即使确立合规制度也难以完全涵盖董事善意规则。¹⁰除此之外，合规制度对公司法修订的影响及内容植入、合规在公司法法律责任部分的制度设计等问题均有待进一步等研究，企业合规的公司化解读仍然任重道远。

 

至于合规模式的选择问题，我们认为，企业合规作为一种公司现代化治理机制，是公司在面临外部竞争和内部改革的情况下进行的治理体制机制的调整，以适应国际竞争和国内监管，实现遏制企业道德风险、减免企业法律责任的目的。但在当下，基于公司类型的迥异及发展阶段的差异，我国的公司开展合规管理不宜一刀切适用某一特定合规模式，更不能全盘复制其他公司的合规管理制度，而是应当审时度势，以结果为导向构建符合自身需求的合规管理体系。正如陈瑞华教授所言：“企业合规的灵魂并不是大而全的合规管理体系，而在针对企业的‘合规风险点’确立专项合规计划”。¹¹面临国内外经济环境的严峻挑战，完善的企业合规管理体系，将帮助中国企业保持战略定力和生命力，承受新时代的滚滚洪流，并重获新生。

 

注释：

1.详见《合规管理体系指南》、中国银监会《商业银行合规指引》等文件。

2.赵万一：“合规制度的公司法设计及其实现路径”，载《中国法学》，2020年第2期。

3.陈瑞华：“企业合规制度的三个维度——比较法视野下的分析”，载《比较法研究》，2019年第3期。

4.参见上海市徐汇区人民法院（2020）沪0104刑初769号刑事判决书。

5.参见沪市监徐处〔2020〕042020000446号行政处罚决定书。

6.史源，吴丽丽主编：《快递与合规》，浙江工商大学出版社，2020年7月版。类似的财务造假案例还有欣泰电气财务造假案：2014年1月27日，欣泰电气在创业板上市，2015年7月14日其被证监会进行立案调查，后查明公司在2011-2014年，连续4年，虚构收回应收账款并于下一会计期初转出资金、转回应收账款，导致公司少计提应收账款坏账准备，财务报表项目列示不正确，不符合准则规定。2016年7月8日，证监会宣布欣泰电气欺诈上市，启动强制退市程序，2017年8月28日从深交所摘牌退市。

7.魔蝎公司成立于2016年，从事大数据风控业务，主要与各网络贷款公司、小型银行进行合作，为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据。魔蝎公司将其开发的前段插件嵌入网贷平台APP中，在网贷平台用户使用网贷平台的APP借款时，贷款用户需要在魔蝎公司提供的前段插件上，输入其通讯运营商、社保、公积金、淘宝、京东、征信中心等网站的账号、密码，经过贷款用户授权后，魔蝎公司的爬虫程序代替贷款用户登录上述网站，进入其个人账户，利用各类爬虫技术，爬取上述企事业单位上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。类似的案例还有杭州市中级人民法院二审的“人脸识别第一案”。这场引发全国关注的纠纷发端于2019年，郭兵与妻子向位于富阳区的杭州野生动物世界购买双人年卡，并留存相关个人身份信息、拍摄照片及录入指纹。后野生动物世界向包括郭兵在内的年卡消费者群发短信，表示将入园方式由指纹识别变更为人脸识别，要求客户进行人脸激活，郭兵对这种强制“升级”做法表示不满，其后双方协商无果，郭兵以侵犯隐私权和服务合同违约起诉动物世界。中院认可一审判定的删除野生动物世界采集的郭兵的人脸识别信息，还增判了野生动物世界应该将之前采集的郭兵的指纹识别信息也删除。

8.赵万一：“合规制度的公司法设计及其实现路径”，载《中国法学》，2020年第2期。

9.一般认为，董事信义义务包括“注意义务”和“忠实义务”。在Smith v. VanGorkon后，美国曾经历了一段长达14年之久的围绕“诚信”（good faith）路径地位的董事信义义务重构的争论，有学者甚至认为这是一场公司契约论和传统信托理论之间的博弈，而如今美国学界已经达成多数共识，认为“忠实义务”包括了“诚信”（good faith）的要素。但诚信义务，也有学者译为“善意义务”是否为董事的义务之一，仍具有较大的争议。详见梁爽：“董事信义义务结构重组及对中国模式的反思——以美、日商业判断规则的运用为借镜”，载《中外法学》，2016年第1期。

10.王建文：“论董事“善意”规则的演进及其对我国的借鉴意义”，载《比较法研究》，2021年第1期。

11.陈瑞华：“中兴公司的专项合规计划”，载《中国律师》，2020年第2期。