与时偕行:解读美国司法部关于《企业合规计划评估指南》的最新修订
2024年9月23日,美国司法部副助理司法部长Nicole M. Argentieri于第23届企业合规与道德研讨会上宣布司法部对《企业合规计划评估指南》(Evaluation of Corporate Compliance Program)(“合规指南”)进行了最新修订。1 这是暨2017年2月司法部首次颁布合规指南以来的第4次修订。本次更新回应了2024年3月司法部副部长Lisa Monaco演讲的相关内容。2 在此次演讲中, Monaco首次提出检察部门将与时俱进,把企业如何降低滥用人工智能风险以及司法部刑事司如何评估新兴技术的合规风险纳入合规指南之中。
合规指南作为美国检察官办案的评估手册,详细列举了对企业是否建设有效合规计划以及在不当行为发生时是否采取积极补救措施的判断标准。Argentieri在演讲中指出,当对企业犯罪提起诉讼时,检察官不仅需要查明不法行为是什么,还需关注不法行为为什么发生以及企业为防范不法行为再次发生采取了何种补救措施。同时,司法部期待企业持续性评估自身合规体系并及时完善。司法部亦会与时俱进,定期评估自身政策和执法工具以动态应对社会环境和新兴风险。
鉴于合规指南对于美国检察官办案及企业健全合规制度的重要意义,本文将概述合规指南的制定与修订,并为企业完善合规制度提供建议。
合规指南的制定与前三次修订
打击企业犯罪作为美国司法部首要职责之一,素来受到政府及公众的密切关注。近年来,为加强执法力度及倡导企业良好行为,美国司法部着力于通过鼓励企业建立强有力的合规计划以降低犯罪风险,构筑抵御犯罪的防线。2017年2月,司法部首次颁布合规指南,确定了企业合规计划评估指南的基本框架。
在合规指南起始部分,美国司法部明确提出该制度的目的在于为检察官明确企业合规计划在犯罪行为发生时及指控决定作出时是否有效及多大程度有效,从而确定:(1)与企业和解或诉讼的适当形式;(2)适当的罚金(如有);以及(3)企业在任何刑事和解协议中所应承担的合规义务,例如合规监管或报告义务。
司法部强调,尽管其以指南的形式明确了检察官在实际执法过程中对于企业合规计划的具体评估标准,但企业合规计划的评估并非僵化或机械化的量化公式,而是立足于被调查企业的具体情况进行的适当的、个性化的评估决定。自颁布后,司法部分别于2019年4月、2020年6月、2023年3月对合规指南进行了3次修订。
在2019年4月的修订中,司法部明确提出检察官在评估企业合规计划时应当充分考量的三个基本问题:(1)企业的合规计划是否设计完善?(2)合规计划是否被真实且善意地实施?(3)合规计划是否在实践中有效运作?同时,合规指南进一步细化了基本问题项下的评估板块,并且针对各板块的具体评估要素为检察官提供了明晰的办案方向。
2020年6月,司法部进一步修订合规指南,补充对第二项基本问题的判断标准,增加对“企业是否投入充足资源和授权来推进合规计划的有效实施”的评估,并完善对企业合规培训、第三方管理和数据获取与保存等评估内容。
2023年3月,司法部再次修订合规指南,将企业如何使用和管理员工个人设备、通信平台以及即时通讯(包括可自动删除的即时消息)程序列入评估标准,并增加“员工薪酬与结构管理”的评估板块,鼓励企业建立激励与惩戒并行的合规文化。
合规指南作为美国检察官执法过程中的指导手册,成为了企业进行内部自查、预防不当行为及有效整改的重要参考。因此,学习并跟进合规指南的修订对于企业具有切实的重要意义。
合规指南的2024年9月修订
此次合规指南的修订在2023年3月版本的基础上,主要对下列内容进行了更新:
- 新兴风险的合规管控;
- 保护举报人及反报复承诺;
- 并购交易后的合规计划;
- 合理的资源分配;
- 数据及透明性要求。
2024年9月的修订重点关注企业合规中的三项内容:(1)与新兴技术(例如人工智能)相关的风险防控;(2)企业合规相关数据的获取与处理能力评估;(3)内部举报制度的建立健全与评估。其他部分也在既有内容的基础上进行了相应的更新,涉及相关程序、培训机制等部分的完善。
1. 新兴技术风险防控
在“企业的合规计划是否设计完善”这一评估板块下,合规指南增加了针对新兴技术和新兴风险的合规管控。检察官将考量企业及其员工在开展业务时所使用的技术,以及企业是否采取适当措施来降低使用该技术带来的合规风险。检察官还将考量企业是否持续监控和测试该技术以确保其按照预期目的使用并且与企业行为准则保持一致。
具体而言,检察官在实践中会根据以下问题判断企业与新兴技术风险防控相关的合规计划是否完善:
- 企业是否存在识别和管理可能影响其遵守法律能力的新兴内部和外部风险(包括使用新兴技术的风险)的流程?
- 企业如何评估使用人工智能等新兴技术对其遵守刑法能力的潜在影响?
- 企业如何将与使用人工智能等新兴技术相关的风险管理整合到更广泛的企业风险管理(ERM)策略中?
- 企业对在公司业务和合规项目中使用人工智能等新兴技术的治理方式是什么?
- 企业如何防范在公司业务和合规项目中使用新兴技术所导致的意想不到的负面后果?
- 企业如何降低包括公司内部人员在内的故意或滥用技术的可能性?
- 企业是否采取了任何控制措施以确保在公司业务和合规项目中使用的新兴技术是可信、可靠的并且符合法律法规和公司的行为准则?
- 企业是否采取任何控制措施以确保新兴技术仅用于预期目的?
- 企业评估使用人工智能技术的人为决策基线是什么?
- 企业如何监控和执行对人工智能技术使用的问责?
- 企业如何培训员工使用人工智能等新兴技术?
由此可见,与人工智能等新兴技术相关的风险正成为监管部门的关注重点。正如Monaco在其演讲中所言,尽管所有新兴技术均是“双刃剑”,但人工智能等新兴技术或将成为最锋利的刀刃。当其被妥善使用时,新兴技术将有效改善民众生活;而当其成为不法分子的犯罪工具时,新兴技术也将带来巨大忧患。3
与新兴技术相关的合规风险防控可分为两方面:
- 企业利用人工智能等新兴技术进行合规风险监测,将新兴技术集成至客户服务、销售、财务及合规等体系中,利用人工智能模型辅助企业系统性地监控内部各项风险。例如,在报销合规审查中,可以利用人工智能大数据对可疑虚假报销记录进行初步筛查,有效提高审查效率;在交易审查过程中,借助大数据、人工智能等技术,帮助企业实时收集、整合交易信息,有效监测可疑交易、违规操作;在数据传输过程中,利用新兴技术构建安全传输渠道,并有效监控内外部数据传输的安全性和效率,减少数据泄露风险,降低隐形合规成本等。
- 防范不法分子利用人工智能等新兴技术进行违法犯罪行为。鉴于工具具有中立属性,人工智能技术能够有效提升业务效率并辅助合规工作的同时,其本身也可能成为从事不法行为的工具。美国司法部将用人工智能等新兴技术协助犯罪视为对企业处罚的加重情节。Monaco在其演讲中明确指出“美国刑事司法系统中一直对给被害人及社会公众带来重大风险的犯罪行为进行加重处罚,例如使用枪支或其他危险武器实施的犯罪 . . . . . . 与枪支一样,人工智能也同样会增加犯罪的危险性。举例而言,对于故意滥用人工智能技术实施的白领犯罪,我们的检察官会提出更为严厉的量刑建议,无论被告是个人还是企业。” 4 例如,通过人工智能技术生成文件、图片、视频等形式从事虚假报销的行为,或利用人工智能技术窃取公司敏感数据及商业秘密等行为均可被视作加重处罚的因素。因此,企业面临对于利用人工智能进行的违法行为须加强防范措施。
2. 数据获取、处理能力及资源的合理分配
本次合规指南修订再次重申了对于企业合规计划中数据及资源分配的重视。检察官将评估企业合规和风险管理部门所拥有的资产、资源和技术是否充足,以及企业合规计划是否有充足的获取相关数据权限,包括评估其自身能力的有效性。合规指南增加了对于合规人员对相关数据访问权限、合规及风险管理人员可使用的资产、资源及技术的相关问题。同时,司法部将考量公司是否将业务中使用的资源和技术用于收集和利用与合规相关的数据之中。
具体而言,合规指南在原有的“企业合规计划是否拥有充足资源及权力以确保得到有效运作”板块下对“数据资源和权限”部分进行了更新,并增加“合理的资源分配”部分。其中,合规指南新增了以下问题作为参考因素:
- 合规人员是否具备及时访问所有相关数据资源的知识和方法 ?
- 企业是否适当地利用数据分析工具来提高合规运营效率并衡量合规计划项下各个组成部分的有效性?
- 企业如何管理数据源的质量?
- 企业如何衡量其所使用的任何数据分析模型的准确度、精准度或召回率?
- 合规和风险管理部门所拥有的资产、资源和技术与公司其他部门相比如何?
- 公司用于识别和捕捉市场机会的技术和资源与用于监测和降低风险的技术和资源之间是否存在不平衡?
3. 内部举报制度的健全
为与此前美国司法部所公布的“企业举报人奖励试点计划”(Corporate Whistleblower Awards Pilot Program)5 相同步,此次合规指南进行了相应调整。涉及评估企业是否鼓励员工“发声”举报不当行为,是否阻碍举报等相关问题。检察官将通过对企业政策及员工培训、举报不当行为的员工所获得的待遇、举报渠道、反报复制度等角度,审慎评估企业有关举报人保护及反报复承诺的内容。
具体而言,合规指南基于原有的“企业合规计划是否设计完善”板块,对内部举报机制的有效性部分作了更新,并增加了对举报人的保护及反报复承诺等内容。其中,新增了以下问题作为参考因素:
- 公司是否鼓励并激励员工举报潜在的不当行为或违反公司政策的行为?
- 公司如何评估员工举报不当行为的积极性?公司是否采有打消员工举报积极性的做法?
- 公司是否有反报复政策?
- 公司是否对员工进行了关于反报复及保护举报人的公司政策和法律法规的培训?
- 在公司对涉事员工进行纪律处分时,内部举报人与其他涉事员工是否被区别对待?
- 公司是否对员工进行了关于内部举报程序、外部举报程序和相关法律法规的培训?
此前我们已撰写专栏文章对美国司法部新出台的“企业举报人奖励试点计划”进行了解读,感兴趣的读者可以点击这里查阅。
建议企业采取的应对措施
合规指南作为检察官在刑事调查过程中用于评估企业合规计划的重要指南,对于企业具有一定的指导意义。但仍需注意的是,合规指南作为检察官评估的参考依据,仅就企业合规政策达标与否进行指导性参考,也即合规指南所规定的合规计划应当仅仅作为企业合规计划底线性标准,而不应当作参考模板。如何建立良性发展和动态更新的企业合规计划,并保持企业合规计划与时俱进,对于受美国法管辖的企业而言十分重要。
面对此次修订,企业可以考虑通过以下措施进行应对:
- 评估企业为开展业务所需使用的人工智能等新兴技术对其遵守刑法能力的潜在影响,并针对这些影响设计和完善与其相匹配的合规计划;
- 利用人工智能技术及时识别内部违规行为,及时作出风险预警,并建立及完善相对应的合规机制。同时,监测人工智能技术可能导致的不当行为、定期评估相关合规机制的有效性;
- 对员工开展针对使用新兴技术的定期培训及测试,并开放员工举报热线,鼓励员工及时报告合规隐患。监控并执行与新兴技术使用相关的问责机制,做到奖惩分明;
- 提高合规人员获取合规数据的能力,使其能够及时访问相关数据和信息,以尽快识别合规计划中的潜在风险或缺陷;
- 采取措施保障数据源的准确性、精准性,并利用适当工具提高合规管理的效率。
1 参见美国司法部副助理司法部长Nicole M. Argentieri于第23届企业合规与道德研讨会上的讲话。
2 参见美国司法部副部长Lisa Monaco在美国律师协会第39届白领犯罪研究会议上发表的讲话。
3 参见美国司法部副部长Lisa Monaco在美国律师协会第39届白领犯罪研究会议上发表的讲话。
4 参见美国司法部副部长Lisa Monaco在美国律师协会第39届白领犯罪研究会议上发表的讲话。
5 美国司法部美国司法部企业举报人奖励试点计划指南。