（注：本文系根据潘翔律师在近期第二届《广东企业法律服务论坛》上的演讲整理和完善。）

一、世界上的制裁体系与外国企业的合规管理

        我们知道当今世界上最强大的三大制裁体系是联合国安理会、欧盟、美国。 

        联合国安理会是针对侵害世界和平的国家进行制裁。

        欧盟制裁，包括金融制裁、武器禁运、旅行禁令等。

        美国拥有世界上最强大、最霸道、最蛮横的单边制裁体系。美国制裁的特点是将国内法律泛国际化，单边制裁，动辄动用国内法制裁其他国家及其企业。例如，根据美国《反海外腐败法》的规定，哪怕腐败行为中的涉案当事人不是美国企业和美国公民，但只要腐败行为和美国有一点点联系，例如实施腐败行为用的是美国的银行系统或者通讯系统，美国都可以按照“最低联系”原则主张对当事人实施制裁。美国将国内法律泛国际化，在美国的法域外实施，这就是通常说的“长臂管辖”。“长臂”是一个很形象的比喻，美国的手伸得太长，伸到别人家里去了。最典型的就是美国政府启动301条款调查，用国内法审查外国政府的贸易政策。

        在强大的国际制裁体系下，在世界经济趋向全球融合的大背景下，企业尤其是跨国公司如果建立了完善的合规管理体系，可以有效隔离风险，减轻或者免除企业的法律责任。

        讲两个著名的案例。

        美国知名金融公司摩根斯坦利的两名高管向政府官员行贿，美国法院并没有对摩根斯坦利公司判刑。法院认为摩根斯坦利已经建立了完善的合规管理体系，禁止公司管理人员对政府官员和客户行贿，因此两名高管的行为属于个人行为，不属于公司行为，公司可以免责。

        知名跨国奶粉生产企业雀巢中国公司的员工买通某医院工作人员拿到孕产妇的信息，群发上十万条短信推销奶粉。中国法院判处员工构成侵犯公民个人信息罪。员工不服，辩解称他们是为了公司的商业利益才这么做的，这是公司行为，不是个人行为，不应该处罚员工个人而应处罚公司。但法院经过审查认为，雀巢公司建立了一套完整的合规管理制度，明文禁止员工非法获取潜在消费者的信息，员工应该自行承担责任，员工的涉案行为并非公司行为，故应该由员工承担刑事责任。

        企业合规制度在60年代发源于美国，几十年来逐渐成为欧美企业进行公司治理和内控的重要手段。西方企业在建立合规计划方面有积极性的一个重要动因是，合规在刑法上具有多重激励机制。建立有效的合规计划可以成为涉嫌犯罪的企业请求不起诉、和检察机关签订暂缓起诉协议、做无罪抗辩、请求法院减轻处罚的重要依据。例如，一些西方国家对于本国企业或外国企业的商业贿赂行为，在追究刑事责任时，将考量其是否已经建立和完善合规计划，以此作为对其是否起诉、是否定罪以及是否酌情减轻处罚的依据。对于已经建立或者承诺完善合规机制的企业，一些西方国家确立并实施暂缓起诉制度，与涉案企业进行诉辩交易，达成附条件的和解协议。在和解考验期内，涉案企业缴纳罚款，建立或完善合规机制的，检察机关可以不再起诉。企业合规机制的建立和完善，可以成为检察机关不起诉或者暂缓起诉、法院不定罪量刑或者减轻处罚的激励机制，企业自然就有积极的动力建立和完善自己的合规机制。

二、中国企业如何建立自己的合规管理体系

        合规的英文是“compliance”，直译就是“符合”的意思。企业合规指的是三个符合：企业的行为（包括但不限于商业行为、管理行为、组织行为等）应该符合法律法规的要求，符合企业规章制度的规定，符合企业商业道德和商业行为准则的要求。企业合规的实质是企业的法律与道德风险的防范。

        在“一带一路”走出去的战略下，中国企业要学习、研究、满足中国的、国际的以及从事投资、贸易活动国家的合规标准。

（一）中国制定的合规标准

        为配合“一带一路”战略的实施，防范中国企业“走出去”的法律风险，去年下半年，国家多个部委密集出台多个企业合规标准。

        1、2018年7月1日起实施的国家质量检验检疫总局与中国标准化委员会共同发布的《合规管理体系指南》。

        标准对于我国各类企业合规管理体系的建立和运行，企业合规风险的识别、分析和评价，企业合规管理流程的设立和改进，企业合规风险的应对和管控提供了指导和建议。《合规管理体系指南》以良好治理、比例原则、透明和可持续性原则为基础，明确指出要建立持续有效的合规管理体系，包括以下几个方面：

        （1）识别合规风险并进行分析和评价；

        （2）明确企业合规管理目标，制定合规风险管理措施；

        （3）建立企业合规管理体系，明确企业合规管理职责；

        （4）建立企业合规数据库并保持更新维护；

        （5）重视企业合规管理机制与能力的建设，推进合规管理体系有效运行；

        （6）对于合规管理体系的效果保持持续监测；

        （7）建立合规体系审计机制，并根据环境变化持续改进合规管理体系。

        2、2018年11月2日国资委发布的《中央企业合规管理指引（试行）》。

        指引要求企业合规管理应当具有全面性，覆盖到企业的各个部门和业务领域，贯穿企业从决策到执行监督的各个环节，通过制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等方式，有组织、有计划的开展合规管理活动。

        《指引》对企业合规管理的重点作出了具体的规定，强调的是：

        （1）企业合规管理的重点领域包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴以及其他需要重点关注的领域；

        （2）企业合规管理的重点环节包括制度制定环节、经营决策环节、生产运营环节以及其他需要重点关注的环节；

        （3）企业合规管理的重点人员包括管理人员、重要风险岗位人员、海外人员以及其他需要重点关注的人员。

        3、2018年12月26日国家发改委等七部门联合发布的《企业境外经营合规管理指引》。

        《指引》明确了合规管理所需遵循的三个原则：

        （1）独立性，合规管理应从制度设计、机构设置、岗位安排以及汇报路径等方面保证独立性；

        （2）适用性，企业合规管理应从经营范围、组织结构和业务规模等实际出发，兼顾成本与效率，强化合规管理制度的可操作性，提高合规管理的有效性。同时，企业应随内、外部环境的变化持续调整和改进合规管理体系；

        （3）全面性，企业合规管理应覆盖所有境外业务领域、部门和员工，贯穿决策、执行、监督、反馈等各个环节，体现于决策机制、内部控制、业务流程等各个方面。

        以上三个企业合规标准有重叠的内容。企业法务参照上述标准为企业制定合规体系，归纳的关键词是：合规风险的防范、合规工作体系的建设、合规工作程序的完善。

（二）美国制定的合规标准

        美国企业的合规管理最早可以追溯到60年代，美国企业为了应对反垄断处罚而实施的合规措施。美国对企业合规的关注，在反腐败方面，有《反海外腐败法》即FCPA；在反垄断方面，有《谢尔曼法案》；在反洗钱方面，有《银行保密法》；在经济制裁方面，有《与敌人贸易法》；在出口管制方面，有《出口管理条例》；在上市公司的治理、内部控制和风险管理方面，有《萨班斯法》；而联邦量刑委员会制定的《联邦量刑指南》，则为政府部门和司法机关评估企业合规体系提供了重要标准。

（三）国际组织制定的合规标准

        1、中国尚未加入的世界经合组织通过的《禁止在国际商业交易中贿赂外国公职人员公约》。

        2、国际标准化组织颁布的《ISO2014合规管理体系——指南》和《ISO2016反贿赂管理体系——要求和使用指南》。

三、企业合规的律师实务

        根据一些跨国律师事务所的执业经验，律师事务所的合规业务包含：合规咨询、合规培训、合规调查。

        合规咨询是针对企业的商业决策、经营架构、交易和投资架构、销售政策、隐私政策、劳动关系、税务、消费者利益保护、环境保护、知识产权等是否违反法律、法规提出法律意见。

        合规培训是协助企业就合规背景、国家和行业政策、监管规定等进行教育，帮助企业从业人员增强合规意识，提高合规管理水平。

        合规调查是指企业针对政府监管部门、司法机关的调查的应对措施。在西方国家刑法激励机制下，西方律师业的合规业务中，合规调查的含金量最高，收费也最高。基本内容是律师独立开展合规调查，针对政府监管部门的监管、检察机关的起诉，协助企业建立与完善合规计划。在不少西方国家，当司法机关或者政府监管部门对企业进行调查、稽查时，企业可以委托律师以外部专家身份对企业进行独立合规调查，帮助企业评估和防范合规风险，制定合规管理方案，协助企业按照政府监管部门和司法机关的要求制定整改措施，并对整改以及完善合规计划的结果持续进行检查和评估，出具相应的法律意见和评估报告。中国企业在境外的投资、贸易活动中，遇到当地国家的政府监管部门和检察机关调查时，亦不乏有聘请当地或者跨国的律师事务所进行独立调查和出具报告的案例。在有的西方国家，律师经过独立调查后出具的合规调查报告，可以成为政府监管机构或者司法机关对企业宽大处理，或者与企业达成暂缓起诉协议，进行诉辩交易的重要依据。

        作为重要的公司治理方式和刑法激励机制，西方律师在企业合规体系中发挥起着重要作用。这也是跨国律师事务所的一项重要业务。今后在中国，合规业务或许将是中国律师业务的蓝海。

        在跨境交易和跨境投资常态化的背景下，在企业合规问题上，一方面，企业法务需要研究和熟悉西方国家、“一带一路”沿线国家以及国际上的合规制度，另一方面，应当立足中国自己的法律框架，借鉴国外和国际上良好的合规制度，研究中国企业合规的本土化。

        说句题外话。今天的会议上大家都在讨论企业法务的作用，在我观察，企业法务好比大桥上的栏杆。大桥上有栏杆的时候，行人觉得理所当然。大桥上栏杆没了的时候，行人会觉得害怕。企业有法务的时候，老总和经营班子觉得心安理得。企业没法务的时候，老总和经营班子会感到不安。

        最近一个换脸游戏APP一夜之间闹得沸沸扬扬。运营这个App的是一家实力雄厚的互联网科技公司。舆情出来后，我的第一个反应就是，不知道这家公司有没有法务或者外聘律师，它的合规管理做得太差了。App平台的用户协议中，竟然赤裸裸地要求用户同意在全球范围内、永久地、无偿地将用户上传的人脸信息授权给平台及其用户使用。App上线一天时间就火爆起来，但第二天就被大量用户要求注销账号，删除上传的面孔。这背后，是用户醒悟过来后，对个人隐私安全的担忧。这款App用的是AI换脸术。人脸是非常敏感的生物识别信息。密码丢了可以换，但生物信息不可再生。如此重要的人脸信息不仅被平台公然收集，还明目张胆地要求用户授权其使用。我国《信息安全技术个人信息安全规范》对个人面部识别特征等生物识别信息的收集、保存有严格要求。《网络安全法》对平台收集、使用用户信息也有严格的限制性规定。一家知名的互联网科技公司在设计产品的时候，竟然没有注意到用户协议应该符合产品的隐私政策和互联网行业的监管规定，导致产品一出场就被工信部约谈，成了行业内的闹剧和笑柄。这个事件说明，企业是否合规，可以决定一个企业在一夜间的生死存亡。

         所以，要善待企业法务，没有他们像大桥上栏杆一样的防护，企业老总和经营班子会有从大桥上掉下去的风险。