司法部在修订后的企业合规指南中强调人工智能风险与举报人保护

9月23日（星期一），美国司法部刑事司宣布更新其企业合规计划评估指南（ECCP）。司法部首席副助理部长妮可·阿根蒂耶里在企业合规与道德协会的演讲中就修订内容发表讲话。此次ECCP修订强调，有效的合规计划必须：

• 在并购后进行适当的风险评估并实施合规计划；
• 考虑与人工智能（AI）等新兴技术相关的风险，包括在商业运营和合规计划本身中的风险；
• 包含强有力的举报人保护措施；以及
• 具备可及性，并拥有充足的资金和数据资源。

我们在此提供了一份修订对比文件，将ECCP的先前版本（2023年3月更新版）与新版进行对照，以反映所有变更。下文将阐述ECCP的背景信息，概述修订内容并说明其影响。

《企业合规计划指南》指导司法部提起指控与达成和解的决策，并激励企业建立健全的合规体系。

司法部日益将企业合规计划评估指南（ECCP）作为推动企业合规计划变革的关键工具。该指南为检察官提供了评估企业合规计划的标准，指导其在决定是否对企业提起诉讼及案件处理方式时如何考量合规计划——包括可能减轻处罚甚至不予起诉的空间。由此，该指南帮助企业理解司法部对"有效"合规计划的具体要求。

司法部更新的《企业合规计划》应置于其加强打击"白领犯罪"的背景下审视。司法部持续提醒企业，将动用"所有可用手段"追究企业犯罪责任，既通过扩大激励措施，也通过提高对企业的期望标准。 2024年3月，我们曾探讨副司法部长丽莎·摩纳哥关于将人工智能、即时通讯等颠覆性技术纳入企业合规评估体系的言论可能对企业产生的影响。 这一重点也体现在司法部2023年修订的《刑事司企业执法与自愿披露政策》中，该政策明确了企业在协作工具和即时通讯平台上保存材料的责任。上月我们还探讨了司法部举报人奖励试点计划对企业内部调查及自愿披露决策的影响。司法部同时启动了个人自愿披露试点计划。

欧洲碳信用计划的变更强调前瞻性思维与主动合规

本周对《企业合规计划》的更新体现了美国司法部推动建立具有前瞻性、动态性的合规体系以遏制不道德行为的意图。阿杰恩蒂耶里在演讲中强调，配备充足资源的合规部门意味着企业"更能有效预防、发现并及时应对违规行为"。[1]本文重点梳理《企业合规计划》的关键修订内容。

1.并购后的风险评估与合规整合

修订后的《企业合规计划》强调，企业在进行并购或其他交易时，必须有效整合合规计划。尽管先前版本对此问题仅有简要提及，但司法部最新修订要求对交易后的合规工作加强审查。企业应考虑对新收购部门进行风险评估，并调整政策和程序以应对新增风险。

2.新技术对商业与合规运营的影响

修订后的《合规计划》一项关键变化是要求企业评估其是否正应对新技术（包括人工智能）带来的风险。该评估具有双重性：企业必须充分应对新技术在商业运营及合规计划本身中引发的风险。例如，企业应实施控制措施以防止内部人员滥用商业技术，同时确保用于合规监控的技术具备可靠性和可信度。 企业需针对日常运营及合规监控中新技术的应用开展风险评估。在人工智能及其他新技术应用方面提供充分培训，是构建有效合规计划的最低要求。

与此相关的是，企业应建立相应机制，确保技术政策与流程能随着新技术的涌现与变革及时更新。因此，合规计划应与业务深度融合，使其能够无缝适应新技术或商业交易的演变。这种融合需要频繁的风险评估与监控，以确保纸面上的良好方案在实践中切实可行。

3.举报人政策 

修订后的《企业合规计划》强化了关于举报人保护及反报复政策与实践的指导。企业至少应制定反报复政策，并对员工进行内部外部举报机制及举报人保护法律的培训。必须保护举报人，企业对不当行为举报的回应应表明"绝不容忍任何报复行为"。[2]

企业还必须及时调查并回应举报人的报告，举报渠道应设计为所有潜在合规投诉都能送达合规部门进行适当调查。与此相关的是，企业应考虑美国司法部举报人奖励试点计划及其为员工和企业主动报告不当行为提供的激励措施。

4.合规资源

最终修订后的《企业合规计划》更加强调向合规项目配置资源。检察官被要求审视合规项目的预算分配，企业则应考虑为合规投资赋予商业价值。用于业务拓展的资源投入不应远超合规项目。合规项目需获得充足的资金和人员支持，合规人员应能获取评估企业合规状况所需的数据和工具。 同时应运用数据分析工具评估企业合规计划的有效性。

归根结底，司法部对企业合规计划的更新强调了其多年来传递的核心信息：在合规问题上，企业必须言行一致。仅停留在口头承诺层面，将无法被视为建立了"有效"的企业合规体系。

若您对企业合规计划有任何疑问，请联系本文作者或您的富乐律师事务所律师。

---

[1]妮可·阿根蒂耶里，在企业合规与道德协会第23届年度合规与道德研讨会上的发言（2024年9月23日）。

[2] 同上。