不可或缺：金融犯罪之“合規”

邱祖芳 儲虎

近年來，“合規計劃”在刑事領域呈現出欣欣向榮之勢。

在我國，金融機構合規建設走在前列，合規建設對于金融機構而言，是企業自治的重要手段，是國際交易的必要保障，是國家政策法律的要求，同時也是應對犯罪的重要舉措。

在理論界，合規計劃作為新的知識增長點與犯罪論、刑罰論和訴訟程序構造都有很大關系；在實務界，“合規辯護”成為熱門且具有吸引力與說服力的新型辯護策略、辯護業務，而且實務界已經在探索合規計劃從事前預防到事后辯護的全過程業務。

從當下而言，在不考慮修改法律的情況下，如何建立合規計劃與刑事法律的對話橋梁，具有十分重要的現實意義。從我國本土情況來看，金融機構的合規管理走在整個企業合規的最前列，且金融機構面臨的刑事風險非常多。從組織結構、合規經營以及法律地位上來看，討論合規計劃與刑事法律的關系，對金融機構來說十分必要。

合規計劃對金融機構有哪些影響？

合規計劃從源頭上講，是企業自治的一種手段，而刑事合規的誕生則是公司治理與司法治理相互影響的產物。從文獻來看，企業合規產生于美國19世紀末20世紀初，1887年美國的《州際商業法》首次以法律文本的形式規定了行業自律和企業內部監管內容。盡管當時“合規”一詞尚未被提出，但卻是后續一系列企業監管法律的先驅。

對于當代刑事合規制度，張遠煌教授總結為四種模式。一是以美國為代表的美國量刑起訴激勵模式；二是以英國為代表的獨立成罪模式；三是以意大利為代表的司法審查模式；四是以法國為代表的強制合規模式。

由此可見，刑事合規雖然具有國際性研究的價值，但對每個國家或地域而言，刑事合規必然具有不同之處，這取決于不同國家、不同地區、不同法系對于公司治理與司法治理互動程度的不同態度與做法。因此，即使引進合規計劃向刑事法方向發展，也應該立足我國的實際情況，做到既具有國際視野，也兼備本土特色。

在我國，金融機構合規是最早有合規規范性文件的企業，早在2006年，原中國銀行業監督管理委員會印發的《商業銀行合規風險管理指引》之中，就指出合規是指使商業銀行的經營活動與法律、規則和準則相一致。文中第一次全面地介紹合規風險、合規管理及合規文化等多方面內容，強調從員工到管理層全覆蓋的人員合規培訓，并從框架上規定了商業銀行合規的制度構建。

其后，針對金融機構的規范性文件陸續出臺，2007年原保監會發布的《保險公司合規管理指引》與2008年證監會發布的《證券公司合規管理試行規定》，是針對金融機構合規的兩部規范性文件。隨后，2017年生效的《保險公司合規管理辦法》，取代《保險公司合規管理指引》。2017年頒布施行的《證券公司和證券投資基金管理公司合規管理辦法》，取代了2008年的《證券公司合規管理試行規定》。2020年3月20日，《證券公司和證券投資基金管理公司合規管理辦法》修正后，繼續施行。

金融機構的合規管理除了以上文件，還可以在2014年國資委發布《關于推動落實中央企業法制工作新五年規劃有關事項的通知》，2015年12月8日國資委發布的《關于全面推進法治央企建設的意見》，2017年原國家質量監督檢驗檢疫總局、中國國家標準化管理委員會發布了ISO 19600《合規管理體系指南》（GB/T 35770-2017），2018年國資委印發的《中央企業合規管理指引（試行）》等文件中看到。

金融機構的合規管理是國家政策的趨勢所向，雖然這些文件并沒有上升到法律層面，但同樣是立法的方向所在，金融機構的合規建設上升到法律層面也是應有之義。

刑法理論與金融機構合規如何銜接？

從2006年的《商業銀行合規風險管理指引》到2020年的《證券公司和證券投資基金管理公司合規管理辦法》，這些文件在法律上都是部門規章或者部門規范性文件。所以我國金融機構合規本質上，還屬于“行政合規”，而非所謂“刑事合規”。這里的行政與刑事，可以簡單地考慮為與行政法律和刑事法律相關聯的概念。

因此，當下討論合規管理與刑事法律的關系，需要將行政合規與刑事合規進行銜接，否則難以作用于刑事責任的金融機構合規管理。從責任屬性上來說，屬于行政合規，而探索行政合規與刑事合規的銜接，是金融機構合規走向刑事領域的重要一步。

眾所周知，刑事作為二次調整法，需要考慮前置法的設計。從違反行政法規到犯罪，本身與法定犯的設立存在必然關系。但是，值得注意的是，金融機構合規的任務并不是僅僅走向刑事合規，行政合規與刑事合規都是金融機構合規的部分內容，因此，行政合規與刑事合規之間既存在分工，又存在銜接。

從作為義務來看，金融機構合規是值得嘗試的角度。從當前的各類金融機構的合規文件來看，合規管理責任與作為義務的聯系似乎更加緊密。因此，我們需要厘清金融機構合規本身是一種什么義務？

金融機構合規中更多體現的是行政義務，并非刑法所稱法定義務，所以刑法上并不要求金融機構進行合規管理。但是并不是說金融機構合規建設就不影響刑事作為義務，因為具體合規操作可能影響個別罪名的認定，即金融機構合規管理中的某個舉措與刑法分則中的具體罪名所規定的作為義務直接相關。

從犯罪主體看刑事合規同樣值得考慮。單位犯罪的本質在于特定團體與社會整體之間的利益沖突，所以從這個角度來看，金融機構合規管理的目的也應該將金融機構承擔刑事責任風險降到最低，這本身是符合合規管理的終極目標即保證企業的平穩運營，當然防范金融機構人員犯罪也是題中應有之義。不管是預防作用還是威懾作用，當更加嚴密的管理與更加嚴格的責任落在金融機構人員身上，其犯罪必然會受到影響。

金融機構合規在有效控制單位犯罪意志形成的過程中，可以對金融機構犯罪與金融機構人員犯罪進行區分，進而可以判斷單位是否具有刑事責任及其責任大小。值得注意的是，結合作為義務的論述，我們發現金融機構是否合規并不必然影響犯罪主體的認定，最終仍然要落腳于單位意志之判斷。

金融機構合規是否會影響單位犯罪主觀方面的判斷，同樣是理論界非常關心的話題。例如金融機構有效合規后，是否可以斷定單位沒有故意或者過失？金融機構沒有有效合規，是否即意味著單位存在故意或者過失？

這種疑問比較常見，但是回歸到刑法之中，這樣的問題其實并不難回答。首先，既然合規本身不是刑法上的法定義務，也沒有具體罪名，合規與否并不必然與犯罪的主觀方面有關；其次，合規是一套管理機制，關注具體行為，而難以直接關注企業的主觀方面。反觀主觀方面的判斷依托于具體行為，行為才是刑法所規制的，合規便是規范企業的具體行為，規避其與刑法所規制的行為，即刑法具體罪名所描述的罪狀產生交叉。

因此，當下討論合規與主觀方面的問題，仍然不能大而化之地討論，需要結合刑法分則的具體罪名與金融機構的合規舉措來談。

如何構建金融機構刑事合規體系？

我國現有的金融機構合規管理表現為明顯的重行政而輕刑事，究其原因在于：第一，在我國，行政性規范文件對于金融機構的合規法治化建設是第一推動力，金融機構的運作極易受到行政政策之影響，所以金融機構合規重視行政性合規是合理且現實必要的。第二，合規對于刑事法律而言是一個陌生的領域，刑事法律與其他法律規范的銜接還存在諸多困難，因為合規建設要求部門法間進一步溝通，統籌基本思想，而后各司其職。刑事法律的介入更需要其他部門法律的完善，才能達到理想的效果，因此金融機構合規還尚未走入刑事合規的應然狀態。

金融機構合規建設要樹立起行政合規與刑事合規并重的思路。當下的合規建設主要依托在行政規范性文件的指導之下，金融機構在滿足行政規范性文件的基本要求之上，針對本企業所面臨的情形進行各具特色的合規制度構建。但是，總體而言，在合規建設的目的上，沒有將刑事責任的規避放到與行政責任的規避同等的地位上。

這一點其實可以理解，當下的刑事政策與刑事法律并沒有明顯的提及合規，因此金融機構合規目的在刑事方面必然有所欠缺，但是在未來，金融機構合規的方向必然包括刑事合規。

金融機構合規管理的刑事化趨勢明顯，且可以給企業帶來諸多好處。刑事合規理論具有國際化的語境，并不是空穴來風。我國理論界與實務界都在該領域進行探索，而金融機構走在前列具有先發優勢，可以進一步在刑事合規領域發展，擴大先發優勢。而從應然層面上說，刑事合規的構建本身在預防單位犯罪與單位員工犯罪上都有積極作用，且可以在刑事責任承擔的問題上發揮重要作用，避免單位刑事責任的產生或者擴大，甚至在刑事訴訟過程中都有相應的激勵措施等。凡此種種，皆有利于金融機構的生存與發展。

金融機構合規注重刑事合規的基本方向確定之后，關鍵在于如何制定行之有效的合規制度。金融機構合規建設的成功與否在于兩個方面，簡單來說，就是落到實處且行之有效的整體合規制度與合規制度的規范執行。而針對刑事合規而言，可以更加具體描述為，該合規制度可以盡可能避免刑事風險且可以有效執行。而從理論構建層面來說，本文的重點還是在于如何設計可以規避刑事風險且具有可操作性的刑事合規制度。

首先，金融機構刑事合規制定基礎在于明確本企業的刑事風險所在。刑事合規的目標之一就在于預防犯罪，為了金融機構刑事合規的制定，首先就需要了解本企業的刑事風險所在，這一點有賴于實證數據與經驗法則。實證數據是基于統計而產生，具有典型性，例如各類犯罪學研究中，都有大量實證數據的分析。而經驗法則是由企業的合規部門與律師團隊等了解金融機構刑事風險的人和團體的智慧所在。最后在制定刑事合規時，需要基于刑事風險所在并結合具體規范性文件與企業的規章制度，做到將刑事合規真正融入金融機構合規建設。

其次，金融機構刑事合規制定目標在于有效防控刑事風險的不確定性。金融機構的刑事合規主要就是針對刑事風險，而風險本身即具有不確定性。在風險社會的語境之中，金融機構合規不能局限于傳統領域的犯罪，要有預見性的措施以緩和刑事風險的不確定性帶給企業運行的可能危害。刑事合規并不簡單的是就某個罪名、某類主體靜態的預防，而是從變化的角度出發，從社會環境變化到刑事政策變化中，把握刑事領域對于金融機構及其人員相關刑事犯罪的態度變化。因此，刑事合規的具體內容不是一成不變的，應該是具有靈活性的，這也要求金融機構具有專業能力的合規部門或者合規團隊來有效的應對刑事風險的不確定性。

最后，金融機構刑事合規制定要兼具刑事體系性與具體罪名針對性。金融機構的刑事合規在具體設計時，首先，要綜合考慮刑事法律的體系性。從宏觀層面來說，這一點與刑事一體化構建存在天然聯系，金融機構合規既要從刑法角度考量，也要注重刑事訴訟中對于合規的可能激勵措施。從微觀層面說，體系性要求盡可能在刑事合規設計的總體布局中避免單位犯罪成立。具體而言，即避免單位犯罪意志成立，通過金融機構的決策機制避免擅斷等個別意識替代單位意志；同時，避免犯罪所得與單位財產混同，金融機構的財務處理應當針對每一筆資金往來進行風險防控，防止通過單位洗錢等混淆犯罪所得真實面目的行為。其次，為了金融機構刑事合規的具體落實，我們設計的合規不能是大而化之，而是針對具體的罪名進行合規設計，這樣才能有針對性地預防犯罪，同樣也是進行刑事辯護的依據所在。所以，我們發現刑事合規辯護想要發揮作用，就要求合規設計的刑事體系性與具體罪名有針對性。

金融機構合規建設在我國企業合規中處于前沿位置，且與國際上的企業合規接觸最為緊密。即使在這樣的環境中，金融機構合規與我國的刑事法律溝通仍然具有諸多困難。企業合規作為全球性的研究話題，具有極強的生命力，基于全球風險社會的生態形成與我國預防性立法的趨勢，對于合規計劃的刑事法律制度構建，仍然需要我國理論界與實務界展開更進一步的深入研究。