新反法下企业责任抗辩：建设有效的反商业贿赂制度

2017年11月4日，中华人民共和国第十二届全国人民代表大会常务委员会第十三次会议通过了《反不正当竞争法》修订案（ “新《反不正当竞争法》”），已于2018年1月1日起施行。新法公布后，国家工商总局反垄断与反不正当执法局局长杨红灿就新《反不正当竞争法》中备受关注的商业贿赂行为经营者责任认定的条款做出了解读。杨局长表示，第七条第三款： “经营者的工作人员进行贿赂的，应当认定为经营者的行为；但是，经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外”是指：“经营者已制定合法、合规、合理的措施，采取有效措施进行监管，不应放纵或变相放纵工作人员实行贿赂行为。”

杨局长对以上条文内含的解读，无疑对于企业应对工商行政管理部门的反商业贿赂执法提供了重要的参考，企业为避免或减轻因员工贿赂行为引发的法律责任，加强反商业贿赂合规体系的建设迫在眉睫。

虽然我国现行有效的法律法规尚未对企业建立合规体系有明确要求，且对于拥有合规体系的企业在涉及政府执法时也无明确的、“看得见的”奖励。但事实上，将企业的合规体系情况作为认定经营者责任（单位责任）或个人责任的考量因素不仅在我国司法实践中有据可循，在一些欧美国家的反商业贿赂和反腐败立法和执法中也早已有较为完善的实践。因此，笔者相信中国监管部门未来在执法过程中，将企业的合规体系情况作为一项重要的考量因素是大势所趋，企业应当充分预见到此种执法趋势，加强合规体系的建设。

1. 法院在过往判决中对企业合规政策的考量

2011年至2013年9月，多名雀巢（中国）西安分公司和兰州分公司的员工为推销配方奶粉，通过支付好处费等手段，从兰州市多家医院的医务人员处获取公民个人信息（包括：孕产妇姓名、新生儿出生年月、家长联系电话等）。2016年10月31日，兰州市城关区人民法院一审宣判，以侵犯公民个人信息罪分别判处雀巢公司涉案员工拘役4个月至有期徒刑1年6个月不等的刑罚。

之后，多名被告以涉案行为属于单位犯罪等理由提出上诉。兰州市中级人民法院在二审判决中指出，雀巢政策、员工行为规范、《雀巢宪章》、《雀巢指示》（附于雀巢公司员工培训材料）、《关于与保健系统关系的图文指引》等文件中明确规定，对医务专业人员不得进行金钱、物质引诱、禁止向医务人员提供金钱或物质的奖励、禁止员工以非法方式收集消费者个人信息。二审法院在判决中指出：“单位犯罪是为本单位谋取非法利益之目的，在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司政策、员工行为规范等证据证实，雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，各上述人违反公司管理规定，为提升个人业绩而实施犯罪为个人行为。”2017年5月31日，兰州市中级人民法院二审终审裁定：“驳回上诉，维持原判。”

该案中法院在认定犯罪行为属于员工个人犯罪还是单位犯罪时，充分考量了雀巢公司的相关合规制度，最终认定犯罪行为属于员工个人行为，雀巢公司无须承担责任。

2. 检察院在办理涉及企业员工犯罪的案件中考虑企业的合规政策情况以区分单位责任/个人责任

笔者在与几位资深检察官的交流中了解到，检察官在办理涉及公司员工犯罪的案件中，通常会收集企业的规章制度作为证据。办案过程中检察官会对企业是否针对特定违法行为有明确、成文的禁止性规定、以及在业务开展过程中对相关违法行为是否有有效的预防和监管措施作为区分单位犯罪或个人犯罪时的一项依据。

实践中即使员工的行为是经其直属上级授意，也并不必然导致被认定为单位犯罪。有检察官指出，在过往案件中有员工提出抗辩称其违法行为是受直接主管的上级指示而为，应属于单位犯罪而非个人犯罪。该案中该检察官在充分考量了该员工所在单位对员工违法行为的禁止性规定以及相应的监管措施后最终决定对该员工个人提起公诉（而非对其所在单位提起公诉）。该检察官同时指出，当下有很多企业都制定了相关合规制度，但实践中不少公司的合规制度并未真正得到落实，因而检察官在办案过程中会对相关合规制度是“真落实还是假落实”进行考察，以帮助判断犯罪行为应定性为员工个人行为亦或是单位行为。

1. 英国《反贿赂法案》(UK Bribery Act)：建立有效的合规制度是企业免责的一项抗辩理由

根据英国《反贿赂法案》第7条“商业组织未能防止贿赂罪”（Failure of commercial organizations to prevent bribery）的规定，相关商业组织的关联方（Associated Person，可能包括员工、代理、子公司等）为了使该商业组织保留或获得业务或在经营中谋取竞争优势而进行贿赂的，该商业组织将因未能阻止其关联方贿赂而违反《反贿赂法案》。但如果商业组织能证明其制定了充分的程序（Adequate Procedure）来防止关联方行贿，则可以构成抗辩。这是一项绝对抗辩（Full Defense），只要企业能证明其具备充分的程序来阻止关联方的贿赂行为，即使发生关联方行贿的个案，企业依然可以据此免责。

值得一提的是，根据英国量刑委员会（Sentencing Council）制定的Fraud, Bribery and Money Laundering Offences Definitive Guideline，法院在计算对违反《反贿赂法案》第七条的商业组织所处罚金的数额时，会考虑违法行为的“可责性” （Culpability）及“危害性”（Harm），对于“危害性”进行量化时通常会考虑因贿赂取得的合同所获得或维持的毛利（gross profit from the contract obtained, retained or sought as a result of the offending）；当毛利无法证明时，则对“危害性”进行量化的另一替代标准为：“因未采取恰当措施预防贿赂行为而可能少支出的成本”（the likely cost avoided by failing to put in place appropriate measures to prevent bribery.）。这一点也能体现出英国司法机关对于企业建立合规制度预防贿赂行为的重视。

2. 美国《海外反腐败法》（Foreign Corrupt Practices Act, “FCPA”）执法机关鼓励企业建立完善的合规制度

FCPA虽然没有明确提出企业拥有有效的合规制度可以构成企业免责的抗辩，但美国司法部（DOJ）和证券交易委员会（SEC）在决定是否对违法企业提起诉讼、如何量刑、是否与违法企业达成和解及达成何种和解条件时均会考虑企业是否有充分、有效的合规机制。FCPA执法机关对企业合规制度的考量和奖励概括如下：

DOJ和SEC认为，企业未能阻止个别腐败行为并不意味着企业不具备有效的合规制度。在特定情形下，即使企业合规制度未能阻止违反FCPA行为的发生，执法机关可能因企业具有有效的合规制度而放弃对该公司的指控，或在其他方面（例如和解、量刑）奖励该企业。例如，在摩根斯坦利(Morgan Stanley)的一名高级管理人员被发现违反FCPA后，DOJ决定不对摩根斯坦利进行处罚，原因是摩根斯坦利已经建立了有效的合规制度，而该制度对违反FCPA的行为并不认可，这名高管应承担个人责任，摩根斯坦利不应该承担公司责任。

3. 法国《萨宾第二法案》(Sapin II)：企业不建立合规制度，企业及其高管均可能受罚

2016年底，法国国民议会通过了一项旨在促进透明、反腐和经济现代化的新法案——《萨宾第二法案》。该法案第17条要求符合一定条件的企业采取积极的措施和程序以防范腐败风险，并明确提出该类公司应建立八类合规机制：（1）禁止腐败、以权谋私等行为的内部行为准则；（2）内部举报程序；（3）针对公司的定期更新的风险审查机制；（4）针对客户、主要供应商等第三方的风险评估程序；（5）用以保证财务记账真实和准确的财务管控制度；（6）针对高风险职位的管理层和员工的合规培训；（7）对于员工违反内部行为准则的惩戒机制；以及（8）对于上述措施的监督和评估机制。如未能采取上述措施，公司及包括首席执行官在内的高级管理人员均可能受到处罚。执法机关可能要求公司在规定期限内实施要求的合规制度，并对个人处以最高20万欧元、对公司处以最高100万欧元的罚款。

方达合规团队在2017年针对数百家企业的合规调研中发现，企业合规政策当中包含管控对外行贿行为的企业比例，国企和民企明显少于外资企业。仅有25%的国企以及22%的民企合规政策包括管控对外行贿行为。在第三方合规管控方面，只有不到50% 的国企、35% 的民企有第三方管理政策。即便拥有第三方管理政策，会采取具体的第三方管理措施的企业也较少。 （ 调研详情请点击：《2016-2017年中国合规及反商业贿赂调研报告：“企业合规体系建设”》 ）

通过以上数据统计，不难发现目前国内大多数企业的合规体系建设还有待进一步完善，虽然越来越多的企业逐渐开始重视企业内部的合规体系建设，但对于如何打造有效的合规体系尚缺乏经验。

因业务模式、组织架构、合规文化等方面的不同，每一家企业都有其自身的特殊性，合规体系建设也应当根据企业的具体情况量体裁衣。笔者在帮助不同企业建立合规体系时发现一些问题会经常被企业提出，这些问题往往具有一定的共通性。考虑到本文的主题是反商业贿赂合规体系打造，因此笔者在此整理了实践中企业对于如何打造有效的反商业贿赂合规体系经常提出的问题，并尝试在此提供提纲挈领的解答，以期为广大企业在合规体系建设中提供一些思路。

1. 企业如何从无到有打造反商业贿赂合规体系？

对于尚未建立反商业贿赂合规体系的企业，想要一步到位建立起完善、有效的反商业贿赂合规体系恐怕不太现实。笔者建议企业可以考虑按照以下几个步骤循序渐进打造反商业贿赂合规体系：（一）企业聘请专业的合规律师对重点业务领域的商业贿赂风险进行审查，律师可通过对相关政策及合同文件的审阅、与不同部门的负责人访谈、抽样检查等方式评估公司重点业务环节的商业贿赂合规风险。（二）根据风险评估情况结合公司实际业务需要及法律监管要求，律师向公司提出改进商业模式、降低合规风险的建议。（三）根据合规风险评估结果，确定反商业贿赂合规政策的框架和重点，在此基础上为公司制定一部总体的反商业贿赂合规政策。（四）公司任命专人负责反商业贿赂合规政策的执行和监督。（五）对高管及员工就反商业贿赂合规政策进行系统培训。（六）持续监督、获取反馈并进一步完善相关事项的细则规定。

2. 反商业贿赂合规体系主要包括哪几部分？

总体来说，完善的反商业合规体系应包括“事前预防”、“事中监督”和“事后应对”三大部分，缺一不可。其中“事前预防”指的是企业应制定相应的反商业贿赂政策，并针对相关政策对员工进行充分培训，提升员工的合规意识，预防商业贿赂行为；“事中监督”包括项目执行与支付的审核、费用报销合规管控、定期合规检查与专项合规检查、针对投资项目和子公司的投资后合规管理等；“事后应对”指的是企业应建立针对商业贿赂行为的投诉举报机制、内部调查流程、奖惩机制以及针对发现的商业贿赂行为的补救机制等。

3. 反商业贿赂合规政策中应禁止哪些贿赂行为？

笔者在帮助不同企业进行合规政策梳理及对国内众多企业进行合规尽职调查时注意到，很多企业往往有禁止员工收受供应商或合作伙伴贿赂的规定，但对于员工对外行贿行为并没有禁止性规定；另外，很多外资企业尤其是美资企业有针对FCPA禁止贿赂外国（非美国）政府官员的政策规定，但未对员工向非国家工作人员行贿的行为作出规定。事实上，《反不正当竞争法》禁止的商业贿赂行为中最常见的情形就是向商业合作伙伴中的工作人员（实践中大多数为非国家工作人员）行贿的情况，且达到一定数额可构成对非国家工作人员行贿罪，从而面临刑事责任。因此企业的反商业贿赂合规政策既应禁止腐败性贿赂，也应禁止竞争性贿赂；既应禁止受贿行为，也应禁止行贿行为；既应禁止对国家工作人员行贿，也应禁止对非国家工作人员行贿。

另外，企业还可能因其聘用的第三方的贿赂行为承担责任或遭受经济/声誉损失，因此企业的反商业贿赂合规政策还应包括对第三方的合规管控内容。 （详见以下问题6）

4. 如果企业在《员工手册》中已经有了禁止贿赂行为的规定，是否还有必要制定单独的反商业贿赂合规政策？

很多企业会在《员工手册》或针对员工的《行为准则》中对于“重大违规违纪”行为做出规定。但笔者认为仅在《员工手册》中有一两句关于反贿赂的简单规定对于企业建设合规体系是远远不够的。一方面，《员工手册》中宽泛的规定无法引起员工足够的重视；另一方面，仅有原则性的规定而缺乏针对具体事项的操作性指引无法达到预防贿赂和腐败行为的实际效果。一部单独、统一的反商业贿赂合规政策再加上针对特定行为的具体指引（比如：采购、招投标、业务招待与差旅报销等）在实践中可以帮助企业各部门人员遵从执行；若遭遇政府调查，通过向执法机关出示相关合规政策有利于向执法机关证明企业拥有较为完善、有效的反商业贿赂合规制度，一定程度上可以作为公司避免经营者责任的抗辩。

5.  一部相对完善的反商业贿赂合规总政策应包括哪些主要部分？

根据企业所处行业和业务模式的不同，对不同企业而言其反商业贿赂合规总政策所应包含的内容不尽一致，但通常来说应包含以下几大部分：（一）禁止腐败和商业贿赂行为的原则性规定；（二）对于业务相关的礼品、款待、娱乐及差旅的规定，例如限额及审批权限的规定；（三）对于企业所使用的供应商、服务提供商、经销商、渠道商等第三方的合规管控的总体规定；（四）针对企业特定业务行为的指引（如营销、捐赠等）；（五）对不合规行为的举报机制；（六）对于员工违反合规政策行为的惩戒规定；等。

6. 第三方管控应该包含哪些内容？

第三方管控应包含三个主要方面，即：（一）聘用前的管控；（二）聘用过程中的监管；（三）反馈与矫正措施。具体而言，（一）聘用前的管控应包括：第三方的选择、针对第三方的尽职调查、在与第三方的合同中加入相关反腐败条款、第三方人员的培训等；（二）聘用过程中的监管包括：对第三方参与的高风险交易进行审查、向第三方支付费用前审查费用合规性、对第三方进行定期的审计、针对举报或审计发现的违规行为进行调查；（三）反馈与矫正措施包括：合规激励体系、对高风险第三方的惩戒、建立高风险第三方黑名单及观察名单等。

7. 企业打造合规体系是否一定要建立单独的合规部门？

目前国内大多数企业未设立专门的合规部门，很多企业的合规职能散落在不同部门，包括：法务部、财务部、人力资源部、政府事务部，甚至直接由业务部门的主管负责合规工作。笔者建议，合规制度需要由专门的合规人员推动和执行，不宜将合规职能过于分散，尤其不宜由业务部门直接负责合规事宜。

无论是从人员选聘或是资源投入方面来看，企业从无到有建立起一个独立的、只向最高级别管理层汇报的合规部门难度较大。因此在不能一步到位的情况下，处于打造合规体系初期的企业可以考虑在法务部下设具有合规职能的合规官，由其统管合规事务并向集团的法务总监汇报。实践中不少国内央企、大型民营企业均采取此种方式循序渐进开展合规体系建设。