刑事合规视角下的单位犯罪

来源:尚权律师事务所

文章摘要
近年来,单位涉刑案件呈逐年递增的趋势,司法实践中法院裁判认定单位犯罪的说理以“为单位利益而实施犯罪”“以单位名义实施犯罪”“违法所得归单位所有”“经单位决策实施犯罪”等为主,而理论界对于单位犯罪的具体

近年来,单位涉刑案件呈逐年递增的趋势,司法实践中法院裁判认定单位犯罪的说理以“为单位利益而实施犯罪”“以单位名义实施犯罪”“违法所得归单位所有”“经单位决策实施犯罪”等为主,而理论界对于单位犯罪的具体认定存在争议。笔者注意到,雀巢公司员工侵犯公民个人信息案中,制定并实施合规制度成为雀巢公司避免刑事追责的重要理由,在一定程度上,合规制度的建立以及监管措施的落实使得企业在涉及单位犯罪时具有抗辩空间。本文主要就刑事合规引入单位犯罪归责的正当性以及可能的路径予以探讨。
一、雀巢公司员工侵犯公民个人信息案
(一)基本案情
2011年至2013年9月,被告人郑某、杨某分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为了抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工被告人杨某甲、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州大学第一附属医院、兰州军区总医院、兰州兰石医院等多家医院医务人员手中非法获取公民个人信息。
(二)裁判结果
一审判决认定本案不构成单位犯罪。理由是:被告人郑某、杨某甲、杨某、李某某、杜某某等明知法律法规以及公司禁止性规定的情况下,为完成工作业绩而置法律规范、公司规范于不顾,违规操作进而贿买医务人员,获取公民个人信息的行为,并非雀巢公司的单位意志体现。
二审法院裁定驳回上诉,维持原判。理由是:单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司政策、员工行为规范等证据证实,雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施犯罪为个人行为。
(三)认定不构成单位犯罪的关键证据
1.证人证言:证明公司规定营养部员工不得直接与0-12月之间的婴儿家长接触,推销奶粉。公司严禁通过医务人员获取个人信息,严禁给提供婴儿家长信息的医务人员、非医务人员支付报酬。
2.中国儿科临床营养管理项目介绍等:证明雀巢公司参与的中国儿科临床营养管理项目,要求加入该项目的医师签署相应的《医师倡议书》,并征得愿意加入该项目的家长同意,不允许私自收集公民个人信息。
3.雀巢公司指示:证明雀巢公司不允许员工因推销0-12月龄健康婴儿使用的婴儿配方奶粉为目的,直接或间接地与孕妇、哺乳妈妈或公众接触。不允许员工未经正当程序并经公司批准而主动收集公民个人信息。
4.雀巢公司情况说明:证明雀巢公司从不允许员工以非法方式收集消费者个人信息,并且从不为此向员工、医务人员提供资金。雀巢公司在《雀巢指示》以及《关于与保健系统关系的图文指引》等文件中明确规定,“对医务专业人员不得进行金钱、物质引诱”。对于这些规定要求,雀巢公司要求所有营养专员接受培训并签署承诺函。
5.医务渠道WHO在线测试成绩等:证明被告人郑某、杨某、李某某、杜某某、杨某甲、孙某均参加雀巢公司不允许营养专员以向医务人员支付费用获取公民信息的培训、测试。
6.雀巢公司的政策与指示、雀巢宪章等:证明雀巢公司遵守世界卫生组织《国家母乳代用品销售守则》及卫生部门的规定,禁止员工向母亲发放婴儿配方奶粉免费样品、禁止向医务专业人员提供金钱或物质的奖励,以引诱其推销婴儿配方奶粉等。
从本案裁判文书对证据的认定和说理来看,雀巢公司提供的政策与指示、雀巢宪章等文件,充分证明了雀巢公司内部制定了合规制度并对员工进行有效的合规培训,明确禁止员工从事非法侵犯公民个人信息的行为,涉案行为只是员工个人意志体现而非单位意志体现。同时雀巢公司已经尽到了合理注意义务,最终成功地切割了单位责任和员工个人责任。这也意味着,在一定程度上,刑事合规可以作为单位出罪的抗辩事由。
二、司法实践中单位犯罪的认定
(一)单位犯罪主体的认定
根据《刑法》第三十条之规定,单位犯罪的主体包括公司、企业、事业单位、机关、团体。根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》第一条之规定,公司、企业、事业单位,既包括国有、集体所有的公司、企业、事业单位,也包括依法设立的合资经营、合作经营企业和具有法人资格的独资、私营等公司、企业、事业单位。同时,《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》第二条规定:“个人为进行违法犯罪活动而设立的公司、企业、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。”可见,单位是否依法设立并合法经营、是否具有法人资格是认定单位主体资格的主要考量因素。根据《全国法院审理金融犯罪案件工作座谈会纪要》之规定,单位的分支机构或者内设机构、部门在一定条件下可以成为单位犯罪的主体。有学者从目的解释角度出发,认为单位主体的判断标准是有独立的财产、不受完全预算约束。据此,分支机构等没有独立的财产权利,不能构成单位犯罪的主体。笔者在此仅列举立法对于单位犯罪主体的规定,理论上的意见分歧,不做赘述。
(二)单位犯罪意志的认定
虽然单位犯罪是在单位意志支配下实施的,但其必须通过自然人形成意思表示,并通过自然人的行为表现出来。问题是,如何区别是自然人的意志抑或是单位的意志?
《关于全国法院审理金融犯罪案件工作座谈会纪要》规定:“以单位名义实施犯罪,违法所得归单位所有的,是单位犯罪。”《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》进一步对涉互联网金融犯罪涉及的单位犯罪作出相对明确的界定:“(1)犯罪活动经单位决策实施;(2)单位的员工主要按照单位的决策实施具体犯罪活动;(3)违法所得归单位所有,经单位决策使用,收益亦归单位所有。但是,单位设立后专门从事违法犯罪活动的,应当以自然人犯罪追究刑事责任。”这在一定程度上,为司法实践中评价单位犯罪意志提供了客观标准,但是这一标准仍不足以解决单位犯罪意志认定的诸多问题。
首先,“以单位名义实施犯罪”不能证明单位犯罪意志的成立,二者不能等同。实践中存在,形式上以“单位的名义”,实质上是行为人借用甚至盗用单位名义的情形,或者实际上不需要以何种名义实施犯罪的情形,其不具有普适的作用。其次,“违法所得归属于单位”只是外在表现形式,虽然易于评判,但并不能准确地反映出行为人的主观意志是谋取单位利益、个人利益或是二者并存。《刑法》中既存在“为了单位利益实施犯罪”但不属于单位犯罪的情形,也存在“为了个人利益实施犯罪”但属于单位犯罪的情形,如《刑法》第273条之规定以及第396条之规定。再者,“经单位决策实施”的认定,需要审查行为是否经过决策机关的审批同意。从司法实践来看,经单位集体研究决定或者经单位负责人员决定实施的行为,一般可认定单位犯罪意志的成立。问题是,如果单位负责人员决定实施的行为明显违背了单位的规章制度、行为准则、企业文化等,或者单位内部曾就类似的行为给予惩戒措施,能否依然认定成立单位犯罪。笔者持否定态度。
三、刑事合规引入单位犯罪归责的正当性
从立法目的来看,通说的观点认为,单位犯罪的立法目的是打击单位实施的犯罪行为。需要注意的是,单位犯罪不同于自然人犯罪,客观上需要通过员工的行为予以体现,导致很难将单位行为和员工行为进行切割。有学者提出,对于《刑法》打击的单位涉刑案件,单位可以通过加强内部控制来规避。单位犯罪的立法目的是通过单位督促单位提升内部控制绩效。据此,单位自身的经营业务、规章制度、内部控制程序、企业文化等客观因素可作为考量依据,相对更具有可操作性。
另有学者提出,刑事合规蕴含刑事政策的意义,为刑事责任创设了新的连接点。周光权教授认为,对刑罚的目的就不应当定位于通过威慑来阻止现实或者潜在的犯罪人和社会一般人今后不犯罪,而是要凸显规范的意义,引导公众按照行为规范行事,因而主张积极的、规范的一般预防。从风险刑法催生的积极一般预防理论出发,企业有效的合规计划使得预防的必要性降低,裁量预防刑时可以因为一般预防必要性小而从宽处罚,以此给予企业合规以动力,从而实现一般预防的良性循环。
四、刑事合规引入单位犯罪归责的路径
(一)现状分析
自2007年起,我国在证券、保险、银行等金融领域开展了合规管理,各部委针对企业合规管理发布了明确的标准和指引,包括《保险公司合规风险管理指引》、《证券公司合规管理试行规定》、《企业内部控制基本规范》等。在全球化背景下,商务部等于2017年12月6日联合发布了《民营企业境外投资经营行为规范》;国家质量监督检验检疫总局、国家标准化管理委员会正式批准、发布了GB/T 35770-2017《合规管理体系指南》,并于2018年8月1日起实施;国资委于2018年11月2日下发了《中央企业合规管理指引(试行)》,商务部等于2018年12月26日联合下发了《企业境外经营合规管理指引》。各部委发布的系列合规文件,为企业合规的发展奠定了一定的基础。
虽然目前刑事合规并未正式引入我国刑事司法领域,但是《刑法修正案(九)》第二十八条新增的“拒不履行信息网络安全管理义务罪”,为企业创设了不履行法律、行政法规规定的信息网络安全管理义务的责任。《反不正当竞争法》第七条第三款规定了“经营者的工作人员进行贿赂的,应当认定为经营者的行为;但是,经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外。”国家工商总局对“有证据证明工作人员的行为与为经营者谋取交易机会或者竞争优势无关”作出解读,即经营者已制定合法合规合理的措施,采取有效措施进行监管,不应放纵或变相放纵工作人员实行贿赂行为。以上在一定程度上体现了企业合规制度的初步嵌入。
(二)美国刑事立法中合规计划的借鉴
美国通过《联邦组织量刑指南》等立法,将企业合规计划正式引入美国刑事司法领域,企业制定并履行有效的合规计划成为影响罚金减免和缓刑适用的法定因素。刑事合规介入企业的刑事归责后,应制定明确的判断规则。
《联邦组织量刑指南》(UNITED STATESSENTENCINGCOMMISSION GUIDELINES MANUAL 2018)§8B2.1(b)对企业构建有效的合规计划应具备的七项最低标准予以规定:“(1)企业应建立预防、识别违法犯罪行为的行为标准和内部控制程序;(2)企业的权力机构应了解并监督合规计划的有效运行。企业高层人员(具有实质控制权或者有权参与政策制定的人员)应保证企业具备有效的合规计划,指派特定人员全面负责并定期报告合规计划的有效性;(3)企业通过尽职调查,应尽合理努力不聘用明知或者应知曾实施与合规计划相悖的违法犯罪行为的人员;(4)企业应采取合理措施,根据员工具体职责制定有效的培训,定期向权力机构、管理层和所有员工普及企业合规计划的行为标准、内部控制程序等各方面;(5)企业应采取合理措施(a)保证企业合规计划的落实,例如利用监测、审计系统识别违法犯罪行为;(b)定期评价合规计划的有效性;(c)建立匿名举报机制,使员工得以举报潜在的或者现实的违法犯罪行为;(6)通过适当的激励和惩戒措施持续推进合规计划;(7)发现违法犯罪行为后,企业应采取合理措施应对,并预防类似违法犯罪行为再次发生,包括修改完善合规计划。”
2019年4月30日,美国司法部刑事局发布了最新版《公司合规计划评价》(Evaluation of Corporate Compliance Programs),围绕企业合规计划是否经过精心设计、企业合规计划是否有效落实、企业合规计划在实践中能否发挥作用三个问题,为检察官评价公司合规计划进一步明确了参考要素。
(三)可能的路径
有学者提倡借鉴刑事合规理念,重构企业犯罪治理的刑事政策。单位归责的依据是单位内部治理或经营结构导致了自然人实施了危害行为,对单位进行刑事归责的要件可以重塑为“归责前提是单位对特定义务的违反”和“归责基础是单位内部治理或经营结构导致危害行为发生”两个方面。结合前文所述,笔者认为,将刑事合规纳入单位犯罪归责符合立法目的,具有刑事政策上的意义。实践中,鉴于“单位犯罪意志”的认定缺乏明确的标准,以体现单位内部治理或经营结构的企业合规制度作为刑事责任认定的具体考量因素,更具有操作性。
刑事合规是指为避免因企业或企业员工相关行为给企业带来的刑事责任,国家通过刑事政策上的正向激励和责任归咎,推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险,制定并实施遵守刑事法律的计划和措施。笔者认为,刑事合规可以作为单位犯罪的出罪事由和量刑情节,但不宜将企业未履行合规义务作为从重处罚的量刑情节。一方面,以上文提到的“拒不履行信息网络安全管理义务罪”为例,在《刑法》第二百八十六条已经将未履行合规义务作为入罪条件的情况下,将其作为从重处罚的情节评价会导致重复评价的问题;另一方面,从立法层面和实践层面上来看,我国企业内部合规尚不完善,立法上没有规定企业有效合规计划的国家标准和评判规则。

技术驱动法律,专业成就未来