不可或缺：金融犯罪之“合规”

邱祖芳 储虎

近年来，“合规计划”在刑事领域呈现出欣欣向荣之势。

在我国，金融机构合规建设走在前列，合规建设对于金融机构而言，是企业自治的重要手段，是国际交易的必要保障，是国家政策法律的要求，同时也是应对犯罪的重要举措。

在理论界，合规计划作为新的知识增长点与犯罪论、刑罚论和诉讼程序构造都有很大关系；在实务界，“合规辩护”成为热门且具有吸引力与说服力的新型辩护策略、辩护业务，而且实务界已经在探索合规计划从事前预防到事后辩护的全过程业务。

从当下而言，在不考虑修改法律的情况下，如何建立合规计划与刑事法律的对话桥梁，具有十分重要的现实意义。从我国本土情况来看，金融机构的合规管理走在整个企业合规的最前列，且金融机构面临的刑事风险非常多。从组织结构、合规经营以及法律地位上来看，讨论合规计划与刑事法律的关系，对金融机构来说十分必要。

合规计划对金融机构有哪些影响？

合规计划从源头上讲，是企业自治的一种手段，而刑事合规的诞生则是公司治理与司法治理相互影响的产物。从文献来看，企业合规产生于美国19世纪末20世纪初，1887年美国的《州际商业法》首次以法律文本的形式规定了行业自律和企业内部监管内容。尽管当时“合规”一词尚未被提出，但却是后续一系列企业监管法律的先驱。

对于当代刑事合规制度，张远煌教授总结为四种模式。一是以美国为代表的美国量刑起诉激励模式；二是以英国为代表的独立成罪模式；三是以意大利为代表的司法审查模式；四是以法国为代表的强制合规模式。

由此可见，刑事合规虽然具有国际性研究的价值，但对每个国家或地域而言，刑事合规必然具有不同之处，这取决于不同国家、不同地区、不同法系对于公司治理与司法治理互动程度的不同态度与做法。因此，即使引进合规计划向刑事法方向发展，也应该立足我国的实际情况，做到既具有国际视野，也兼备本土特色。

在我国，金融机构合规是最早有合规规范性文件的企业，早在2006年，原中国银行业监督管理委员会印发的《商业银行合规风险管理指引》之中，就指出合规是指使商业银行的经营活动与法律、规则和准则相一致。文中第一次全面地介绍合规风险、合规管理及合规文化等多方面内容，强调从员工到管理层全覆盖的人员合规培训，并从框架上规定了商业银行合规的制度构建。

其后，针对金融机构的规范性文件陆续出台，2007年原保监会发布的《保险公司合规管理指引》与2008年证监会发布的《证券公司合规管理试行规定》，是针对金融机构合规的两部规范性文件。随后，2017年生效的《保险公司合规管理办法》，取代《保险公司合规管理指引》。2017年颁布施行的《证券公司和证券投资基金管理公司合规管理办法》，取代了2008年的《证券公司合规管理试行规定》。2020年3月20日，《证券公司和证券投资基金管理公司合规管理办法》修正后，继续施行。

金融机构的合规管理除了以上文件，还可以在2014年国资委发布《关于推动落实中央企业法制工作新五年规划有关事项的通知》，2015年12月8日国资委发布的《关于全面推进法治央企建设的意见》，2017年原国家质量监督检验检疫总局、中国国家标准化管理委员会发布了ISO 19600《合规管理体系指南》（GB/T 35770-2017），2018年国资委印发的《中央企业合规管理指引（试行）》等文件中看到。

金融机构的合规管理是国家政策的趋势所向，虽然这些文件并没有上升到法律层面，但同样是立法的方向所在，金融机构的合规建设上升到法律层面也是应有之义。

刑法理论与金融机构合规如何衔接？

从2006年的《商业银行合规风险管理指引》到2020年的《证券公司和证券投资基金管理公司合规管理办法》，这些文件在法律上都是部门规章或者部门规范性文件。所以我国金融机构合规本质上，还属于“行政合规”，而非所谓“刑事合规”。这里的行政与刑事，可以简单地考虑为与行政法律和刑事法律相关联的概念。

因此，当下讨论合规管理与刑事法律的关系，需要将行政合规与刑事合规进行衔接，否则难以作用于刑事责任的金融机构合规管理。从责任属性上来说，属于行政合规，而探索行政合规与刑事合规的衔接，是金融机构合规走向刑事领域的重要一步。

众所周知，刑事作为二次调整法，需要考虑前置法的设计。从违反行政法规到犯罪，本身与法定犯的设立存在必然关系。但是，值得注意的是，金融机构合规的任务并不是仅仅走向刑事合规，行政合规与刑事合规都是金融机构合规的部分内容，因此，行政合规与刑事合规之间既存在分工，又存在衔接。

从作为义务来看，金融机构合规是值得尝试的角度。从当前的各类金融机构的合规文件来看，合规管理责任与作为义务的联系似乎更加紧密。因此，我们需要厘清金融机构合规本身是一种什么义务？

金融机构合规中更多体现的是行政义务，并非刑法所称法定义务，所以刑法上并不要求金融机构进行合规管理。但是并不是说金融机构合规建设就不影响刑事作为义务，因为具体合规操作可能影响个别罪名的认定，即金融机构合规管理中的某个举措与刑法分则中的具体罪名所规定的作为义务直接相关。

从犯罪主体看刑事合规同样值得考虑。单位犯罪的本质在于特定团体与社会整体之间的利益冲突，所以从这个角度来看，金融机构合规管理的目的也应该将金融机构承担刑事责任风险降到最低，这本身是符合合规管理的终极目标即保证企业的平稳运营，当然防范金融机构人员犯罪也是题中应有之义。不管是预防作用还是威慑作用，当更加严密的管理与更加严格的责任落在金融机构人员身上，其犯罪必然会受到影响。

金融机构合规在有效控制单位犯罪意志形成的过程中，可以对金融机构犯罪与金融机构人员犯罪进行区分，进而可以判断单位是否具有刑事责任及其责任大小。值得注意的是，结合作为义务的论述，我们发现金融机构是否合规并不必然影响犯罪主体的认定，最终仍然要落脚于单位意志之判断。

金融机构合规是否会影响单位犯罪主观方面的判断，同样是理论界非常关心的话题。例如金融机构有效合规后，是否可以断定单位没有故意或者过失？金融机构没有有效合规，是否即意味着单位存在故意或者过失？

这种疑问比较常见，但是回归到刑法之中，这样的问题其实并不难回答。首先，既然合规本身不是刑法上的法定义务，也没有具体罪名，合规与否并不必然与犯罪的主观方面有关；其次，合规是一套管理机制，关注具体行为，而难以直接关注企业的主观方面。反观主观方面的判断依托于具体行为，行为才是刑法所规制的，合规便是规范企业的具体行为，规避其与刑法所规制的行为，即刑法具体罪名所描述的罪状产生交叉。

因此，当下讨论合规与主观方面的问题，仍然不能大而化之地讨论，需要结合刑法分则的具体罪名与金融机构的合规举措来谈。

如何构建金融机构刑事合规体系？

我国现有的金融机构合规管理表现为明显的重行政而轻刑事，究其原因在于：第一，在我国，行政性规范文件对于金融机构的合规法治化建设是第一推动力，金融机构的运作极易受到行政政策之影响，所以金融机构合规重视行政性合规是合理且现实必要的。第二，合规对于刑事法律而言是一个陌生的领域，刑事法律与其他法律规范的衔接还存在诸多困难，因为合规建设要求部门法间进一步沟通，统筹基本思想，而后各司其职。刑事法律的介入更需要其他部门法律的完善，才能达到理想的效果，因此金融机构合规还尚未走入刑事合规的应然状态。

金融机构合规建设要树立起行政合规与刑事合规并重的思路。当下的合规建设主要依托在行政规范性文件的指导之下，金融机构在满足行政规范性文件的基本要求之上，针对本企业所面临的情形进行各具特色的合规制度构建。但是，总体而言，在合规建设的目的上，没有将刑事责任的规避放到与行政责任的规避同等的地位上。

这一点其实可以理解，当下的刑事政策与刑事法律并没有明显的提及合规，因此金融机构合规目的在刑事方面必然有所欠缺，但是在未来，金融机构合规的方向必然包括刑事合规。

金融机构合规管理的刑事化趋势明显，且可以给企业带来诸多好处。刑事合规理论具有国际化的语境，并不是空穴来风。我国理论界与实务界都在该领域进行探索，而金融机构走在前列具有先发优势，可以进一步在刑事合规领域发展，扩大先发优势。而从应然层面上说，刑事合规的构建本身在预防单位犯罪与单位员工犯罪上都有积极作用，且可以在刑事责任承担的问题上发挥重要作用，避免单位刑事责任的产生或者扩大，甚至在刑事诉讼过程中都有相应的激励措施等。凡此种种，皆有利于金融机构的生存与发展。

金融机构合规注重刑事合规的基本方向确定之后，关键在于如何制定行之有效的合规制度。金融机构合规建设的成功与否在于两个方面，简单来说，就是落到实处且行之有效的整体合规制度与合规制度的规范执行。而针对刑事合规而言，可以更加具体描述为，该合规制度可以尽可能避免刑事风险且可以有效执行。而从理论构建层面来说，本文的重点还是在于如何设计可以规避刑事风险且具有可操作性的刑事合规制度。

首先，金融机构刑事合规制定基础在于明确本企业的刑事风险所在。刑事合规的目标之一就在于预防犯罪，为了金融机构刑事合规的制定，首先就需要了解本企业的刑事风险所在，这一点有赖于实证数据与经验法则。实证数据是基于统计而产生，具有典型性，例如各类犯罪学研究中，都有大量实证数据的分析。而经验法则是由企业的合规部门与律师团队等了解金融机构刑事风险的人和团体的智慧所在。最后在制定刑事合规时，需要基于刑事风险所在并结合具体规范性文件与企业的规章制度，做到将刑事合规真正融入金融机构合规建设。

其次，金融机构刑事合规制定目标在于有效防控刑事风险的不确定性。金融机构的刑事合规主要就是针对刑事风险，而风险本身即具有不确定性。在风险社会的语境之中，金融机构合规不能局限于传统领域的犯罪，要有预见性的措施以缓和刑事风险的不确定性带给企业运行的可能危害。刑事合规并不简单的是就某个罪名、某类主体静态的预防，而是从变化的角度出发，从社会环境变化到刑事政策变化中，把握刑事领域对于金融机构及其人员相关刑事犯罪的态度变化。因此，刑事合规的具体内容不是一成不变的，应该是具有灵活性的，这也要求金融机构具有专业能力的合规部门或者合规团队来有效的应对刑事风险的不确定性。

最后，金融机构刑事合规制定要兼具刑事体系性与具体罪名针对性。金融机构的刑事合规在具体设计时，首先，要综合考虑刑事法律的体系性。从宏观层面来说，这一点与刑事一体化构建存在天然联系，金融机构合规既要从刑法角度考量，也要注重刑事诉讼中对于合规的可能激励措施。从微观层面说，体系性要求尽可能在刑事合规设计的总体布局中避免单位犯罪成立。具体而言，即避免单位犯罪意志成立，通过金融机构的决策机制避免擅断等个别意识替代单位意志；同时，避免犯罪所得与单位财产混同，金融机构的财务处理应当针对每一笔资金往来进行风险防控，防止通过单位洗钱等混淆犯罪所得真实面目的行为。其次，为了金融机构刑事合规的具体落实，我们设计的合规不能是大而化之，而是针对具体的罪名进行合规设计，这样才能有针对性地预防犯罪，同样也是进行刑事辩护的依据所在。所以，我们发现刑事合规辩护想要发挥作用，就要求合规设计的刑事体系性与具体罪名有针对性。

金融机构合规建设在我国企业合规中处于前沿位置，且与国际上的企业合规接触最为紧密。即使在这样的环境中，金融机构合规与我国的刑事法律沟通仍然具有诸多困难。企业合规作为全球性的研究话题，具有极强的生命力，基于全球风险社会的生态形成与我国预防性立法的趋势，对于合规计划的刑事法律制度构建，仍然需要我国理论界与实务界展开更进一步的深入研究。