引言
公司既有合规计划的有效性及公司为实施有效的合规计划而采取的补救措施是美国检察官在对公司展开调查、决定是否起诉、辩诉交易谈判或达成其他协议时所应予以考虑的因素。由于不同公司实际情况存在差异,必然导致在评价各公司的合规计划有效性时所考虑的风险因素不尽相同。但美国司法部(DOJ)认为在对合规计划有效性进行具体判定时,仍存在一些常见和共通的要素。为此,DOJ在2017年发布了第一版《公司合规计划评估》(Evaluation of Corporate Compliance Program,简称ECCP),并分别在2019年、2020年进行了两次更新。近年来,美国以应对国家安全等为由,不断强化和更新其公司刑事执法政策,对公司合规计划有效性提出更多挑战。2023年,DOJ在1月发布《公司执法和自我披露政策》后,又于3月对ECCP进行了第三次修订与更新[1],重点增加了薪酬结构和后果管理,公司如何管理员工使用个人设备、第三方通信平台以及应用程序的指引内容。这一更新是DOJ《公司合规计划评估》持续发展的最新体现,对检察官办案和公司优化合规计划均具有重要指导意义。
一、ECCP制定背景及历次修订
(一)ECCP制定的目的
有效的合规计划对于公司防范和解决刑事合规风险具有重要作用。一直以来,美国的刑事执法政策和《联邦量刑指南》(U.S. Sentencing Guidelines,简称USSG)就公司合规计划的评估提供综合指导。例如,《司法手册》的“联邦商业组织起诉原则”规定,检察官在决定是否对一家公司提起刑事指控、辩诉交易谈判或其他协议时,应考虑“该公司在犯罪发生时以及在作出指控决定时的合规计划的充分性和有效性”,以及该公司为“实施充分有效的公司合规计划或改进现有合规计划”所做的补救努力[2]。在根据USSG确定对公司的潜在刑事罚款时,法官在量刑时应考虑该公司在不当行为发生时是否有有效的合规计划,作为计算公司罪责评分的减轻因素。[3]此外,关于选择合规监察官的政策指示,检察官在对刑事案件进行决议时应考虑公司是否对其合规计划和内部控制系统投入了充分资源并改进,合规计划和内部控制的补救改进是否已经过测试,以确定是否需要设置合规监察官。
而ECCP的制定与发布旨在协助检察官评估和确定公司的合规计划在违法犯罪行为发生时是否有效,以及在多大程度上有效,从而确定(1)处理案件或提起诉讼的适当方式;(2)适当的罚金(若适用);和(3)公司刑事案件解决方案中所应确立的合规义务(例如监察或汇报义务等)。
虽然2023年3月修订的ECCP在技术上只适用于刑事司,但DOJ副部长Lisa O. Monaco(Monaco)鼓励DOJ其他部门在评估公司合规计划时考虑ECCP,进一步扩大其在DOJ的适用性。
(二)ECCP的历次修订
ECCP在2017年2月发布后,已经分别在2019年4月和2020年6月分别进行了两次修订。
2017年2月,DOJ刑事司反欺诈科制定并发布了最初版的ECCP,其中提供了“反欺诈科在评估公司合规计划时经常发现的一些重要主题和示例问题”列表。该版本从不当行为分析与整改、管理层、合规资源、政策与程序、风险评估、培训与沟通、奖惩措施、持续改进、第三方管理等方面提出了11个评价主题,每个主题又被细分多个具体问题。ECCP发布后在业界普遍受到积极的评价,被认为不仅为检察官在办案时提供了有益的指导方向,还为公司在制定和完善其合规计划时提出了更明确的期望和提供了更多的参考。
2019年4月,DOJ对最初版ECCP进行首次重大修订,按照“体系设计-落地执行-实效检验”逻辑将原来的评价主题和问题进行了重新整合排序,明确提出检察官在评估公司合规计划时应重点考虑三个“基础性问题”,即(1)公司合规计划是否设计完善;(2)公司合规计划是否得到有效实施;以及(3)公司合规计划在实践中是否实际有效?该版本ECCP在三个基础性问题下,将原来11个评价主题拓展为了12个,每个评价主题下分别有对应的评价要素项,一共包含了48个评价要素项,每个评价要素则又包含了若干评价有效性的具体问题。该版本还有一重要变化是该次的发布主体级别上移,由反欺诈科变更为了刑事司。
2020年6月,DOJ刑事司时隔一年再次修订ECCP,更新了2019年4月30日发布的版本。该版指南继续强调有效合规计划的重要性,指导检察官如何评估公司合规计划的设计、实施和有效运作,以确定DOJ是否以及在多大程度上认为公司的合规计划在犯罪时有效。2020年6月发布的ECCP在核心结构和内容上与2019年4月的ECCP大致保持一致,但扩展或增加了新的指导主题,并细化了评估标准。针对第二个基础问题中的“有效实施”,将其表述更改为公司“是否投入足够的资源和授权来有效实施”。在具体内容上,包括增加和细化对公司政策更新、合规培训、第三方管理、数据保存与获取和公司并购等方面的评估问题。
2023年3月3日,DOJ刑事司助理检察长Kenneth A. Polite, Jr.在美国律师协会第38届白领犯罪年度会议发表主题演讲[4],宣布对ECCP进行了重大修订(为行文方便,本文将2023年3月3日修订的ECCP简称为“2023年版ECCP”)。他表示本次修订主要是为落实Monaco在2022年9月15日关于公司合规和刑事执法项目演讲备忘录中关于进一步完善合规计划评估标准的指示[5]。Monaco在该次演讲中强调公司仅为合规部门提供资源是不够的,还必须建立合规文化,通过在合规计划中建立激励和威慑相结合的政策,促使公司做正确的事情。因此,她指示刑事司就薪酬和追回政策制定进一步指导意见,并研究有关使用个人设备和第三方通信平台的使用及管理方法的最佳公司实践。
二、2023年版ECCP主要变化解读
(一)2023年版ECCP与上一版本的对比
2023年版ECCP是在2020年6月ECCP版本(简称“2020年版ECCP”)基础上进行修订和更新的。相较于2020年版ECCP,2023年版本并未进行大范围修订[6],主要是针对部分主题和要素下的问题进行了补充和优化。本文将通过表格对比的方式将2023年版本和2020年版本进行简易对比(红色字体表示本次新增或修订内容,蓝色字体表示部分具体问题更新,黑色字体表示基本未变内容),以期能帮助读者迅速定位最新版本的修订之处。
通过对比可发现,2023年版ECCP的修订之处主要集中在第二个基础性问题“公司的合规计划是否得到充分的资源和授权以有效实施?”下的“激励与惩罚”,以及第三个基础性问题“公司的合规计划在实践中有效吗?”下的“调查不当行为”等主题下。
(二)2023年版ECCP的修订要点
就具体内容而言,2023年版ECCP中“激励与惩罚”主要修订内容为指导检察官在评估公司合规计划时,应考虑薪酬结构和后果管理,包括使用“奖金激励”和“薪酬追回机制”等财务手段在公司内部培育合规文化,确保合规计划有效运行。“调查不当行为”部分的主要变化是,检察官在评估公司合规计划时将考虑围绕个人设备、通信平台和信息应用程序(包括加密和即时消息应用程序)使用的公司实践,以及公司访问和保存相关数据的能力。
1. 通过优化薪酬结构与后果管理促进公司合规文化
Monaco备忘录指出公司合规计划根植于合规文化,如果公司奖励合规行为,惩罚不当行为,就可以帮助阻止犯罪活动。为了促进这种文化建立,DOJ特别重视合规在薪酬体系中的应用。在惩戒方面,公司可采用追回条款、托管薪酬和其他方式,追究参与犯罪行为的个人的财务责任。在激励方面,公司可建立薪酬体系,使用肯定性指标和基准来奖励促进合规的行为。以薪酬体系培育员工守法、避免从事法律“灰色地带”的公司合规文化。
公司的薪酬体系的设计,未来将成为美国检察官评估一家公司合规计划的有效性时的重要考虑指标。
值得说明的是,检察官不仅关注书面政策规定,还会考察这些政策和做法在实践中是否得到遵守,即是否有明确的后果管理程序(识别、调查、惩戒和补救违反法律法规或政策行为的程序),是否在整个公司内得到一致的执行,并确保这些程序与违法行为相称。此外,检察官还将评估公司是否对与纪律处分有关的数据进行监测,以衡量后果管理的有效性,具体措施包括监测查证属实的举报数量,调查完成的时间,以及在不同地区、部门之间实施纪律措施的一致性。
(1)修订激励和惩罚措施规定
2023年版ECCP不仅将原来的“激励与惩罚”更名为“薪酬结构和后果管理(Compensation Structures and Consequence Management)”,同时还将其下一层级的评估要素“激励机制(Incentive System)”更改为了“财务激励机制(Financial Incentive System)”。从具体内容来看,2023年版ECCP在原有评估要素,即“人力资源流程”“激励机制”和“统一实施”中,增加了检察官应予关注的部分问题,同时新增加了“惩戒措施”和“有效性”两个要素及相关问题,具体如下:
A. 人力资源流程
增加的问题主要有:
- 公司在设计和实施纪律处分程序方面的透明度如何?在公司高管因违反合规制度而被公司解雇的情况下,公司在离职条件方面对员工的透明度如何?
- 是否对每个不当行为的案件处理都遵循相同的流程,如果不是,为什么?
- 公司是否已采取措施限制有关纪律处分程序的信息披露或获取?
B. 统一实施
该要素下的变化相对较小,主要是在原有问题上增加了一个问题,即“公司采用了什么衡量标准来确保跨地区、运营单位和组织的纪律措施的实施一致性?”
C. 财务激励制度
Monaco认为没有什么措施比财务激励更能有效激发员工的合规行为。因为使用财务激励可以使高管、员工的利益与合规部门的利益保持一致,可以极大地提高公司的整体合规水平。为此,DOJ在本次修订中将“激励制度”要素的原标题增加了“财务”二字,以期公司进一步采取更积极、有效的财务激励措施促进合规。这些问题有:
- 公司是否考虑过其财务奖励和其他激励措施对合规的影响?
- 公司是否评估过如果业务以合规和道德的方式运作,商业目标是否可以实现?
- 合规职能部门在设计和授予高层的财务激励方面发挥了什么作用?
- 公司如何激励合规和道德行为?高管薪酬的多大比例是为了鼓励公司实现持久的道德目标?如果在奖金颁发之前或之后有不合规或不道德的行为被曝光,奖金和递延补偿条款是否会在适用法律规定的范围内被取消或收回?
- 是否有由于合规和道德考虑而采取行动的具体例子(例如,拒绝晋升或奖励,收回补偿或取消递延奖金)?
除了上述三个评估要素中的具体问题被修订外,2023年3月的ECCP还新增了两个评估要素:
D. 纪律措施
虽然以前版本的ECCP中也有关于纪律措施的内容或问题,但本次修订将该要素单独列明,并集中列举了刑事司如何评估公司纪律处分计划的具体问题。我们认为该变化进一步表明DOJ对违规惩处的重视程度。相关具体问题如下:
- 当管理层寻求执行合规政策时,可以采取哪些类型的纪律措施?
- 如果不当行为可直接或间接归咎于高管或员工,公司是否有适当的政策或程序来追回奖励或薪酬?
- 公司在哪些政策和做法中提醒了员工,他们不会从任何不当行为的潜在结果中获益?
- 关于不当行为的处理,公司是否始终努力遵守其在这方面的政策和做法?
E. 有效性
2023年3月修订的ECCP提出了检察官确保和衡量后果管理有效性的几种方法。例如,公司可以通过举报调查管理,实际违规处罚情况监测等方式来衡量其有效性。具体评估问题如下:
- 公司在实践中如何确保对违规行为进行有效的后果管理?
- 如何通过公司对其举报热线的管理进一步理解该公司的合规文化或其对举报信息的处置机制?在公司内部不同的级别、地域或部门,或与情况类似的公司相比,对所举报的违规行为调查证实率如何?公司是否对某些举报较多或较少的领域进行了根本原因分析?对通过热线举报的调查平均完成时间是多少?责任部门如何处理不一致的调查?
- 被发现有不当行为的高管获得的薪酬或奖金中,有多大比例因违反道德准则而被取消或收回?考虑到管理薪酬计划相关法律和当地情况,公司如何寻求强制执行对违反规定或违反道德行为的惩罚措施?
- 实践中,公司员工薪酬是否由于与合规行为相关而受到了任何积极或消极的影响?
(2)试点计划
为了实现薪酬激励和追回这一目标,DOJ还启动了一项试点计划(a pilot program)。根据试点计划,寻求与刑事部门和解结案的公司将被要求在其薪酬和奖金结构中实施促进合规的措施,刑事部门将减少对那些从违规者手中追回或试图追回薪酬的公司的罚款。
试点计划规定公司今后与刑事部门达成每一项有关刑事和解决议或方案时,都必须在其薪酬和奖金制度中实施合规措施。公司还将被要求在决议期间向刑事司提交一份关于其执行这些措施的年度报告。适当的措施可能包括但不限于:禁止向不符合合规要求的员工发放奖金;对违反适用法律的员工,或对从事不当行为的员工或对业务领域具有监督管理权限且知晓或者故意视而不见这些不当行为的员工采取纪律处分措施;对充分履行合规程序的员工进行激励或奖励。
此外,DOJ认为行为不端的后果应该由公司违规人员而不是股东来承担,因此试点计划允许向那些充分配合DOJ调查,且及时、适当地采取补救措施或纠正不当行为,并启动相关程序在作出决议前向违规员工追回相关薪酬的公司提供罚款减免。同时,DOJ希望公司使用这些程序不仅处理违规员工,还应处理那些对违规员工或对相关业务领域负有监督义务、知道或故意无视不当行为的人员。如果一家公司在DOJ作出决议之前已经主动启动了此类薪酬追回的程序,检察官可以减少与已追回薪酬金额等同的刑事罚款。值得注意的是,试点计划考虑到了完成薪酬追回的实际困难,如果一家公司尽最大努力在刑事案件解决期限结束时未能成功的追回,试点计划赋予检察官自由裁量权,仍可将刑事罚款减少公司所寻求追回薪酬金额的25%。
该试点计划为期三年,于2023年3月15日生效,DOJ将在三年后重新评估。
事实上,美国DOJ已经开始要求公司将薪酬政策的改变作为刑事解决方案的一部分。例如,在2022年12月,DOJ在对Safran S.A作出的不起诉决议[7]中就特别指出,该公司及时和全面的补救措施包括扣留涉及不当行为的前员工的递延奖金。ECCP关于薪酬政策的修订和试点计划的这些变化均反映了DOJ不断努力强化在公司刑事执法中推动追究个人责任。
2. 强化公司对个人设备、第三方通信平台和应用程序的管理
随着移动通信技术的发展,个人智能手机、平板电脑、笔记本电脑和其他移动终端设备在全球范围内被广泛使用和普及,第三方通信平台和应用程序(包括即时和加密信息应用程序)的使用率也在不断上升[8]。许多公司要求所有工作都要在公司提供的设备上进行,即使一些公司允许使用个人设备,也明确将与公司公务相关的行为限制在授权的应用程序和平台上,以便公司可以对这些应用程序和平台所保留数据和通信进行合规性审查。但实践中,仍有大量公司员工使用个人设备和未经公司授权的应用程序和平台(例如WhatsApp、Signal和Telegram等加密和即时通讯应用程序)从事公司公务。DOJ认为这些个人设备和通信程序通常没有在公司监控的范围内,公司监控此类设备和程序是否被不当使用以及在调查中获取相关数据信息的能力不足,在必要时无法通过访问其数据和信息进行审计、审查或调查,对公司构成了巨大的合规风险。
作为评估公司识别、报告、调查和补救潜在违规行为的政策和机制的一部分,公司如何处理个人设备和第三方消息平台的使用将会影响检察官对公司合规计划有效性以及公司在刑事调查期间合作度的评估。一般来说,有关使用个人设备和第三方消息应用程序的“最佳公司实践”应满足三个基本要求:(1)制定有效的管理个人设备和第三方消息平台用于公司通信的政策;(2)对员工进行有关此类政策的培训;(3)在发现违规行为时执行此类政策。
2023年版ECCP基于上述原因对“调查不当行为”部分进行了完善,修订后ECCP为联邦检察官提供了关于评估公司员工使用个人设备、通信平台和消息应用程序的新指导。检察官应考虑公司是否根据其特定的业务需求和个性化的风险状况,量身定制关于使用个人设备、通信平台和信息应用程序的政策和程序,并确保与业务相关的电子数据和信息得到保存并可被公司访问。这些数据与信息包括与工作相关的通信(例如,文本、电子消息或聊天),以及包含在公司员工用于商业目的手机、平板电脑或其他设备上的数据。同时,检察官应评估拒绝提供个人设备上的商业数据访问权限的员工是否会有后果,以及是否有员工因提供此类访问权限而受到处罚。
具体而言,ECCP要求检察官评估以下与数据和通信政策及数据保存有关的因素:
(1)通信渠道
针对通信渠道,联邦检察官将评估公司在开展业务过程中使用和允许使用哪些通信渠道,采取了哪些措施来管理和保存每个通信渠道中包含的信息,以及公司使用这些通信渠道和管理措施的理由。ECCP列出了一些有用的问题:
- 公司及其员工使用或允许使用哪些电子通信渠道来开展业务?这种做法在不同司法管辖区和业务职能部门之间有何不同?为什么?
- 公司采取了什么机制来管理和保存每个电子通信渠道中包含的信息?在每个通信渠道下,每个员工都可以使用哪些保存或删除设置,以及公司的政策对每个设置有什么要求?
- 公司决定允许哪些通信渠道和设置方法的基本理由是什么?
(2)政策环境
检察官将通过信息收集以判定在拥有关于个人设备管理计划的公司中,采用了哪些政策和程序来管理保存和访问存储在个人设备上的公司数据和通信。公司的政策是否允许公司审查个人设备和消息应用程序上的商业通信,以及员工是否需要将消息从消息应用程序转移到公司记录保存系统以保存和保留它们。ECCP同时认识到全球各国家或地区的隐私和就业法律将可能对该规定产生限制或影响,但还是明确期望公司能设计和实施相关政策,以最大限度地提高其访问个人设备和消息应用程序上的数据的能力。除了考虑政策环境的设计和内容外,检察官还将考虑政策和程序是如何传达给员工的。对此,ECCP列出了以下主要问题:
- 公司采取了哪些政策和程序来确保通信和其他数据从被更换的设备中保存下来?有哪些相关的行为准则、隐私、安全和雇佣法律或政策来管理公司确保安全或监控/访问与业务相关的通信的能力?
- 如果公司有一个关于个人设备管理计划,那么该公司是否有相关政策对存储在个人设备上的公司数据和通信的进行管理和访问权限规定?如有,制定这些政策的基本理由是什么?
- 公司的数据保留和商业行为政策是如何应用和执行于个人设备和消息传递应用程序的?公司的政策是否允许公司审查个人设备和/或消息应用程序上的商业通信?公司允许对这些政策有哪些例外或限制?
- 如果公司有关于员工是否应将信息、数据和资料从私人电话或信息应用程序转移到公司记录保存系统以保存的政策,那么在实践中是否得到了遵循,以及如何执行这些政策?
(3)风险管理
修订后ECCP还明确检察官将评估一家公司与通信相关的政策和程序的有效性。例如,检察官将询问员工是否因违反政策而受到纪律处分,是否因为数据无法恢复而影响了合规或调查,公司是否实际控制了受政策约束的通信渠道,以及公司是否根据不断变化的业务需求和风险状况评估了其政策和程序的持续合理性。具体而言,ECCP列出了以下关键问题:
- 员工拒绝公司访问有关公司业务通信的后果是什么?公司是否曾经行使过这些权利?公司是否对不遵守政策或不允许公司查看这些通信的员工进行了纪律处分?
- 使用个人设备或信息应用程序(包括即时应用)是否以任何方式损害了公司的合规计划或进行内部调查或响应检察官、民事执法或监管机构要求的能力?
- 公司如何对用于处理公司事务的通信渠道进行安全管理并控制?
- 基于公司的业务需求和风险,公司允许和管理通信渠道的方法是否合理?
2023年版ECCP表明DOJ不仅关注公司内部的数据资源及访问权限,对于个人设备、第三方通讯平台上的公司相关数据的保存和获取也越来越重视和关注。我们有理由相信,一旦DOJ刑事执法部门在调查过程中获知相关公司未提供移动设备和第三方通讯应用中的相关通信内容,并且如果公司没有相关政策和程序或者不配合司法部就此相关的调查,那么极有可能影响刑事司对公司做出的起诉决定及其对公司配合情况的评估结果。
三、对公司合规计划完善的建议
自2022年下半年以来,美国DOJ就其对公司合规的发展期望发布了多项政策,所有这些政策都旨在敦促公司更新和加强合规计划,披露不当行为,并惩罚员工不当行为。
实践中ECCP将在指导联邦检察官确定公司的合规计划在犯罪时是否有效,以及在多大程度上有效,并确定该公司是否应该受到指控等方面发挥巨大作用。因此,受美国司法管辖的公司应重点关注该指南的变化,并考虑和评估自身的合规计划是否符合本指南。对此,我们建议公司可以从以下几方面对自身的合规计划进行完善。
(一)开展独立的合规计划有效性评估
鉴于ECCP的变化,公司应投入适当的时间和资源来评估现有的合规计划是否符合其实际需要和内外部风险管控要求。为记录和证明该评估的有效性,以及改进公司现有合规计划,公司可考虑对合规计划进行定期的“独立”评估。
(二)根据最新指南制定或优化公司合规政策
公司应根据新修订的ECCP重新审视并更新其关于薪酬和通信管理相关的合规政策,例如调整薪酬模式、政策和雇佣协议,以及有关使用个人设备或消息应用程序的政策,包括适当使用、监测、文件保留和保存政策。
(三)采取适当措施有效落实合规政策和程序
虽然修订后的ECCP认识到公司当地隐私保护、劳动用工等法律可能会影响公司访问员工个人设备、第三方通信平台数据或追回高管薪酬的能力,但DOJ明确表示公司不能简单以此限制为借口规避合规义务,而应最大限度地提高合规管理能力。
(四)对公司管理层及员工进行明确的培训
美国司法部在宣布一系列旨在加强公司刑事执法的新政策时指出,检察官应该评估公司是否在公司各个层面(而不仅仅是在合规部门)培育合规文化。我们建议公司有针对性加强对管理层和员工的合规培训,例如在执行层、管理层和董事会等会议上介绍DOJ的最新动向,强调他们制定合规“高层基调”的重要性,引导他们积极参与监督和支持合规计划,并详实地告知合规和违规的后果。
注释:
[1] https://www.justice.gov/criminal-fraud/page/file/937501/download
[2] JM 9-28.300 (citing JM 9-28.800 and JM 9-28.1000).
[3] See U.S.S.G. §§ 8B2.1, 8C2.5(f), and 8C2.8(11).
[4] https://www.justice.gov/opa/speech/assistant-attorney-general-kenneth-polite-jr-delivers-keynote-aba-s-38th-annual-national
[5] https://www.justice.gov/opa/speech/deputy-attorney-general-lisa-o-monaco-delivers-remarks-corporate-criminal-enforcement
[6] 特别说明:通过与2020年版ECCP全文文档对比,2023年版ECCP共计293处修改,其中72个替换项,22个插入项,11个删除项,188处格式/样式调整。在文中表格和解读部分我们仅从主题和要素等实质性和大的层面进行比较,并未就全部细节变动进行一一说明。
[7] https://www.justice.gov/criminal-fraud/file/1559236/download
[8] 根据数字咨询公司Kepios2023年1月的数据报告,全球59.4%的人口(47.6亿人)经常使用社交网络平台,用户数量正以每年3%的速度增长https://datareportal.com/reports/digital-2023-global-overview-report