美国司法部更新公司合规计划指南，重点关注人工智能和新兴技术

背景

2024年9月，司法部首席副助理司法部长尼科尔·阿根蒂耶里（Nicole Argentieri）在企业合规与道德协会（“SCCE”）的合规与道德研讨会上公布了美国司法部刑事司合规计划指南的更新版本。合规计划指南的上一次更新还是在2023年3月份，此次2024年更新主要是指导司法部的检察人员评估相关公司如何管理与AI及其他新兴技术有关的风险，以及相关公司为合规计划目的使用数据和保护举报人的情况。

司法部的检察人员在处理公司刑事案件时，可以通过参考指南的相关内容来评估相关企业合规计划的充分性（包括在企业实施犯罪行为时以及司法部做出指控决定时的充分性）。指南列述的相关考量因素可以帮助检察人员最终确定公司结案的条件以及是否派驻公司监督员。

重点关注AI和数据合规风险

更新后的指南目前要求检察人员对相关公司评估和管理AI及其他新兴技术相关风险的情况进行评价。AI滥用属于司法部特别关注的一个重点领域。今年早些时候，司法部曾发起“公平公正人工智能倡议计划”，以帮助司法部更好地了解“AI的前景以及AI滥用的危害”。今年二月份，司法部副部长丽莎·摩纳哥（Lisa Monaco）责成刑事司对存在故意滥用AI情节从重处罚。

从更新版的指南来看，检察人员未来将从以下方面评估公司：

• 是否曾评估AI及其他新兴技术带来的合规风险对其遵守联邦刑事法律的能力所产生的影响；

• 是否实施了相应的政策、程序以及充分的控制措施，来监测AI及其他新兴技术的可信度、可靠性及其用于遵守适用法律和公司行为准则的情况；
• 是否对员工进行了有关使用AI及其他新兴技术的培训；
• 是否监测和测试上述程序的合规情况。

首席副助理司法部长在其讲话中指出，司法部比较关注相关公司是否评估过AI及其他新兴技术的潜在滥用风险，例如是否存在AI生成的虚假审批或虚假文件，以及公司是否建立实施了用于识别和缓解该等风险的合规控制措施，诸如用于确认企业所使用数据的准确性或可靠性的工具等。

已经采取或计划在未来采取基于AI技术的公司应评估分析自身的合规计划是否可以专门应对这些技术可能带来的任何风险。

重视给予合规职能部门的资源

企业是否为自身的合规职能部门投入了充足的资源，这一点一直都是司法部关注的领域之一，更新版指南进一步强化了这一点，尤其是企业是否可以使用相关数据和数据分析法识别和管理合规风险。更新后的指南会要求检察人员评估相关企业是否“适当地利用数据分析工具提高合规经营效率，以及衡量合规计划各组成部分的有效性。”

具体而言，检察人员将会评估企业的合规职能部门：

• 是否可使用数据分析工具衡量合规计划的有效性，如第三方供应商风险，并识别潜在的不当行为；
• 是否利用数据深入了解自身合规计划的有效性；
• 是否可使用其在业务经营中使用的相同资源和技术，进行合规目的的数据收集和利用。

重点关注举报人保护措施

此次更新还进一步充实了有关内部报告的现有指南内容，增加了一些关于公司举报人保护措施的具体问题。检察人员今后将会询问相关公司：

• 是否拥有反报复政策；
• 是否采取过任何阻碍内部举报的做法；
• 是否向员工进行反报复和举报人保护法律方面的培训；
• 是否对进行内部举报的员工做出不同于其他参与不当行为的员工的纪律处分。

在更新指南之前，司法部曾在今年八月份推出一项为期三年、旨在对报告公司不当行为的举报人予以奖励的试点计划 – 公司举报人奖励试点计划，并且又在近期修订了司法部公司执法和主动自我披露政策，将向司法部报告内部举报人所举报的潜在刑事违法行为信息的公司享受免责推定的时限延长至收到举报信息后120天。

总体而言，这些政策声明均传递出一个明确的信号，即，司法部会重点关注企业在举报人保护措施和反报复方面的承诺，以及企业如何应对这方面的投诉举报。

其他更新

更新版指南对有关持续改进、培训和并购的多项现有合规原则进行了扩充，增加了一系列可供司法部检察人员就上述领域提出的具体问题。这些问题旨在了解以下方面的内容：

• 经过证明的既往记录：相关公司是否拥有“预防或发现其他不当行为的既往记录”？
• 衡量情况：公司如何衡量其合规计划的成功性和有效性，衡量频率如何？
• 针对性培训：公司是否根据“相关员工的特定需求、利害关系和价值观”进行针对性的培训和沟通，并吸取了类似行业或在类似区域经营的其他公司的经验教训？
• 并购整合：公司是否拥有相应程序，以确保对新收购的企业进行适当的合规监督（在此之前，司法部已于去年公布了要求在合并或收购后六个月内主动向司法部进行自我披露的安全港政策）？

总之，司法部的合规计划更新体现出了司法部的一项持续关注重点，即，公司的合规计划应切合公司自身的风险状况，并且具有前瞻主动性，而不是单纯地进行被动应对。