论政府对企业的内部管理型规制
谭冰霖
(中南财经政法大学社会科学研究院副编审,现代行政法研究中心研究员)
【摘 要】基于对传统规制模式的反思,行政法实践中发展出一种新兴的内部管理型规制,它不对企业规定特定的技术要求或绩效目标,而是要求其在法定管理框架内实施适于自身的内部经营计划、管理流程及决策规则来达成规制目标。内部管理型规制的兴起具有深刻的时代背景和法理基础。应从标准制定、组织建制、守法监督和执行反馈四个层面构筑其制度体系,并对其进行必要的法律控制。
【关键词】政府规制 企业内部管理 反身法 法律控制
引言
面对日益复杂的行政任务和社会风险,政府规制在行政法中的地位日渐重要。
相较于传统行政法,政府规制更侧重方法论意义上的工具选择,关心“法律做什么而不是法律是什么……致力于用科学方法来解决政治、政府和法律中的难题”。以规制标准为变量,美国著名行政法学家史蒂芬.布雷耶(Stephen Breyer)曾对政府规制作出“设计标准规制”(design or technology-based regulation)和“绩效标准规制”(performance or outcome-based regulation)的方法论分类,在学界影响深远。设计标准规制从生产阶段规定企业应当采用或禁止采用的技术标准或行为措施,属于前端控制;绩效标准规制则从产出阶段规定企业须达到的结果目标,属于末端控制。二者具有规则明确和便于执法的优点,奠定了现代政府规制的基石,但缺陷是将企业组织看作无须法律介入的“黑箱”,忽视了企业内部管理过程对规制的影响。
事实上,从1984年印度博帕尔毒气泄漏事故到2003年美国哥伦比亚号航天飞机失事,再到2011年日本福岛核泄漏事故和2015年我国天津危险品仓库爆炸事故,一系列惨痛的历史教训不断证明:除自然和技术因素外,事故背后往往还有组织内部的管理瑕疵作祟。这使规制者愈发意识到企业内部活动的重要性,进而发展出一种新型的“内部管理型规制”(management-based regulation)。内部管理型规制不规定特定的技术要求或绩效结果,而是要求企业针对行政目标,制定适合自身的内部经营计划、管理流程及决策规则,从而将社会价值内部化。放眼全球,内部管理型规制的实践已经形成一股世界性浪潮。
相较于传统规制手法,内部管理型规制在规范结构和调整方法上表现出鲜明特质,不啻政府规制的一次革新。对此,学界已作出积极探索,但亦存在不足。既有研究未充分注意到内部管理型规制的中国实践,规范和法理分析比较薄弱,制度设计的体系化程度也较欠缺。本文尝试对内部管理类型规制的实践展开规范分析,揭示其兴起的时代背景和法理基础,进而在政府规制框架下展开体系化的制度建构,并提出相应的法律控制路径。
一、内部管理型规制的规范分析
(一)内部管理型规制的法律实践
作为一种新兴的规制手法,内部管理型规制肇始于欧美国家,晚近在我国得到借鉴和发扬。如今,它已渗透至政府规制的广阔腹地,以下简要勾勒。
1.食品药品安全
食品安全领域的标志性内部管理型规制是“危害分析与关键点控制体系”(Hazard Analysis and Critical Control Point,简称HACCP)。目前HACPP已作为“附录”写入联合国《食品卫生通用规范》,我国《食品安全法》第44条也规定“鼓励食品生产经营企业实施危害分析与关键控制点体系”。药品安全领域的代表是美国《食品、药品和化妆品法案》确立的“药品良好生产规范”(Good Manufacturing Practice for Drugs,简称GMP),其规定非GMP条件下生产的药品属于劣药。我国也早在1984年的《药品管理法》第9条就规定了GMP制度。
2.环境保护
该领域最富盛名的内部管理型规制当推 “生态管理与审核体系”(Eco-Management and Audit Scheme, 简称EMAS)。EMAS源于欧盟理事会第1836/93号条例,据此企业可自愿建立“定期自查”“员工责任分配”“教育与培训”“行为和结果的记录和监控”“调查和纠正”“环保沟通”“业务流程管理”等内部管理制度,并接受第三方审核。借鉴EMAS制度,我国《环境保护法》第42第2款、第47条也对企业的环境责任制度和环境应急制度作出了原则性规定。
3.职业安全与健康
该领域比较典型的是美国职业安全与健康管理署的“过程安
全管理”(Process Safety Management,简称PSM)制度,它以“过程危害分析”为核心,涵盖化学品的使用、贮存、加工、制造等各个环节,旨在督促企业全面分析危险源并加以预防。我国《安全生产法》第18条则从“建立、健全本单位安全生产责任制”“组织制定本单位安全生产规章制度和操作规程”“组织制定并实施本单位安全生产教育和培训计划”“组织制定并实施本单位的生产安全事故应急救援预案”等方面,对企业的内部管理义务进行了规定。
4.金融监管
为防范金融风险,英国金融服务局于2001年修订监管指南(FSA Handbook),要求证券公司“建立适当的风险管理体系,以合理有效的监控其业务的组织与实施”。借鉴国外经验,中国证监会、银监会、国资委等规制机构也陆续出台了《企业内部控制基本规范》《证券公司内部控制指引》《商业银行内部控制指引》等非强制或半强制性的规章,引导企业从内部防范财务和金融风险。
5.网络安全
基于网络技术更迭迅速和义务内容难以量化的特点,网络安全领域十分注重通过内部管理来界定企业的安全保护义务。欧盟2018年出台的《一般数据保护条例》要求数据控制者和处理者“采取恰当的技术与组织措施”以保护个人数据安全,并在第32.1条中对这些内部管理措施进行了具体规定。我国《网络安全法》紧跟管理导向的规制逻辑,该法第21条要求企业“实行网络安全等级保护制度”,并列举了“制定内部安全管理制度和操作规程,确定网络安全负责人”“采取防范网络攻击行为的技术措施”“采取监测、记录网络运行状态和网络安全事件的技术措施”“采取数据分类、重要数据备份和加密等措施”等4项内部管理要求。
(二)内部管理型规制的规范形态
基于实践梳理,可以根据法律效力和规范密度的不同,将内部管理型规制区分为两组法律形态,以便从法教义学上把握其结构。
1.根据法律强制力的有无,可将内部管理型规制分为“强”与“弱”两种形态。在强形态下,制定和实施内部管理制度是企业的法定义务,不履行即要承担不利法律后果。例如,按照美国马萨诸塞州的《有毒物质使用削减法案》,未制定有毒物质削减计划并提交年度报告的企业将面临罚款乃至监禁;我国《药品管理法》第78条也对不遵守GMP的企业设置了若干罚则。
在弱形态下,企业可以基于成本收益分析来自主决定是否建立相关的内部管理制度,规制者只对遵从者提供激励措施,而不设定额外的不利后果。例如,美国“国家环境表现跟踪计划”全凭企业自愿参与,环保署将对持续改善环境表现的企业提供减轻处罚、减少行政检察频次等奖励措施。
2.根据规范密度的大小,可将内部管理型规制分为“严密”与“松散”两种形态。严密形态的内部管理型规制在法条中直接规定内部管理的制度要点,留给企业的制度形成空间较为狭窄。我国的药品GMP制度就是一种极端严密的内部管理型规制,2010年修订的《药品生产质量管理规范》不仅对药品生产过程的各个环节提出了细致入微的管理要求,还通过动态更新的“附录”来嵌套更为精确的个性化管理要求,其中甚至掺杂一定的“技术”和“绩效”类规定。
松散形态的内部管理型规制仅对企业提出原则性的管理要求,避免设定统一化的管理模式,企业在形成内部管理制度上具有充分的自主空间。例如,美国马萨诸塞州《有毒物质使用削减法案》虽然要求企业在其削减有毒物质使用计划中“对可能实现减少有毒物质使用的适当技术、程序和培训计划进行全面的经济、技术评估”,但在执行上仅需“展示出善意且合理的努力来识别和评估有毒物质的削减项目”即可。
二、内部管理型规制的兴起背景与法理基础
内部管理型规制的兴起不仅是一种普遍的制度事实,也具有深刻的时代背景和法理基础。
(一) 内部管理型规制的兴起背景
1.风险规制的现实诉求
现代规制国家深嵌于德国社会学家贝克(Ulrich Beck)所言的“风险社会”之中。食品药品安全、生态环境破坏、核辐射、网络信息泄露等现代风险,很大程度上是在工业化进程中滋生的,并因其不确定性、不可逆性、人为性而呈现出迥异于传统危险排除的规制诉求。首先,面对不确定性的风险认知及其背后不可逆转的社会后果,基于“行为”和“结果”之确定性认知的危险排除模式,没有充分考虑现代风险的未知性问题。而设计标准规制易于陷入不确定性的认知泥沼,事后考量的绩效/结果规制则往往在风险预防面前显得苍白无力。因应风险社会的挑战,内部管理型规制直接从企业行为最前端的计划和决策阶段入手,允许企业灵活运用各种手段来动态地适应风险,并随着认识的深化不断学习和调适,以防患于未然。其次,现代性风险的产生,相当程度上归咎于人为性地偏重产业发展而忽视公共安全。可以说,企业追求利润最大化而对社会公共福祉“有组织的不负责任”,正是生态破坏、食品安全等社会风险的始作俑者。为此,“组织化的安全管理已成为风险管理领域的重要经验之一”,内部管理型规制将风险管理的要求嵌入企业的组织架构和决策流程,以期达到治本之效。
2.提高行政效能的需要
现代政府规制的任务日趋繁重,但政府资源却极为有限,因而任何一种规制措施都应考虑成本收益问题,以实现社会效用最大化。传统规制模式需要投入大量的执法人员并付出高昂的检测费用,以监控企业是否达到法定的技术要求或绩效指标,这对其有效性提出了挑战。对此,内部管理型规制以多种方式鼓励被规制者自愿执行规制,有利于节约政府资源:第一,内部管理型规制将部分规制责任转移至企业,强调合作规制,这既利用了企业的专业信息优势,又减轻了政府负担。第二,传统规制主要是一种例行化的常规执法行为,而企业的生产经营则是一种常态化的持续行为。即便不计经济成本,规制者实际上也无法对企业进行全天候的贴身盯防。因而,“在任何社会秩序中,自我控制都是一种必备的要素,因为无法针对每一种可想象到的危害来制定规则,检查人员也不可能时刻对每一个人进行监督。”对此,内部管理型规制通过介入企业的管理流程打造“受规制的自我规制”,有助于形成动态、持续的规制效应。
(二)内部管理型规制的法理基础
按照哈贝马斯对法的理性的分析框架,可以从规范理性、内在理性和系统理性等三个维度透析内部管理型规制的法理基础。规范理性指涉法的正当化基础,内部理性蕴含法的逻辑机理,系统理性标榜法的社会功能。三者共同构成一个“规范-结构-功能”的自洽体系。
1.规范理性:宪法上的政策性条款
在现代社会,公司自治是企业经营自由权的核心,对于发挥企业的积极性、充分维护股东利益至关重要。按照自由主义和公法的一般理论,国家只有在出现市场失灵而危及社会福祉时才能对企业经营加以限制。在我国,企业的自主经营权不仅是《宪法》第16条的解释结论,也是《行政诉讼法》第12条明确保障的相对人权利。那么,政府凭何干预属于企业自主经营范畴的内部管理?置于中国宪法框架下,可以诉诸政策性条款加以证明。
《宪法》总纲第11条规定,“国家鼓励、支持和引导非公有制经济的发展,并对非公有制经济依法实行监督和管理”;并在第14条明确要求,“国家……完善经济管理体制和企业经营管理制度,实行各种形式的社会主义责任制”。这两个条款构成我国经济宪法的基本政策。对于内部管理型规制而言,政策性条款具有“方针条款”和“宪法委托”的双重效力。作为方针条款,《宪法》第11条指示了国家引导和监督非公有制企业的干预义务,具有目标宣示功能,为国家介入企业内部管理活动提供了正当化依据;作为宪法委托,《宪法》第14条指令立法机关和行政机关通过建立和完善企业的经营管理制度的方式对非公有制经济进行监督和管理,这不仅赋予了相关的立法和行政权能,也构成相关国家机构的职责和义务,具有控制国家行为的功能。基于这一宪法委托,我国《食品安全法》《环境保护法》《安全生产法》《网络安全法》等法律对相关领域企业的内部管理制度提出了要求,行政机关可据此发布决定命令、技术标准、规范性文件,进而具体展开规制。
2.内部理性:反身法作为理论逻辑
德国法社会学家贡塔·托依布纳(Gunther Teubner)的反身法理论构成了内部管理型规制的制度逻辑。基于对社会复杂性和法律调控能力有限性的认识,反身法超越了形式法的规则体系和实质法的目的导向,而是采取抽象和间接的干预形式,提供组织上和程序上的规范前提,“创造法律和制度的条件去促成社会学习和实验的持续过程”, 以应对功能分化社会的复杂性挑战。
设计标准规制建立在明确的行为边界之上,体现出强烈的形式法特征;绩效标准规制与国家干预主义的兴起密切相关,透过绩效标准直接对企业提出结果要求,实质法色彩浓厚。内部管理型规制扬弃了整齐划一的法条主义观念,呈现出鲜明的反身法路数:(1)强调组织规范的基础性作用。反身法理论认为,企业法人是组织化的自我指涉系统,在对企业进行外部调整的过程中,“法律的作用在于为企业组织化过程中的目标具体化和结构形式化准备基础性的组织法规范”。内部管理型规制要求企业设立食品安全管理人员、确定网络安全负责人等,皆是自组织机制的体现。(2)强烈的程序主义特征。内部管理型规制承认法律和企业等社会子系统就像互不往来的“黑箱”,但认为穿透“黑箱”的正确方式并非“搞清楚这其中的内部过程,而是试图通过间接的、‘程序上的’考察方式,绕过因不清楚对方内部过程而造成的这些问题。” 为此,其特别关注企业的决策和管理流程,从企业内部着手形塑对社会负责任的决定程序而非堆砌实体性的法律规则,“对程序过程而非实体细节的重视,正是反身法的一个重要标志”。(3)促进社会子系统的自我学习。反身法理论认为功能分化社会中存在着严重的规范过剩现象,抑制了社会子系统的自创生能力。对此,内部管理型规制试图打造一种双向学习机制:一方面,它为企业提供内部管理的基本框架,具有行政指导的知识传授功用;另一方面,它允许企业在立法框架下自主形成具体管理规则,让其承担适当的知识观察义务和事后改善义务,反过来为立法的完善积累经验。
3.系统理性:超越传统的独特功效
内部管理型规制拥有传统规制不具备的独特优势,彰显出自身的系统理性。这体现在:(1)“量体裁衣”的灵活性优势。不同于传统规制中整齐划一的规范模式,内部管理型规制为企业保留了相当程度的灵活性,使其能够在法律框架内,通过战略管理创新和内部流程再造,以最符合自身实际和经济效益的方式实现规制目标。(2)“超越遵从”的溢出效应。设计标准规制和绩效标准规制只能以不利法律后果来威慑企业被动遵从,无法激励其追求高于法律要求的守法效果,具有明显的“天花板”效应。内部管理型规制提供了一种自我反思的规范结构,引导企业创造性、批判性和持续性地思考如何最大程度地提升守法表现,而非满足于遵循法律的底线要求。这种现象在理论上被称为“超越遵从”,有助于挖掘企业的守法潜能。(3)培育合规文化、促进日常守法。传统规制聚焦于作为整体的企业法人的行为或绩效,忽视了企业内部员工的日常违规行为。法社会学研究认为,当这些轻微的日常违规行为变得常态化时,就会演变为一种结构性、习惯性的社会文化心理,严重腐蚀组织系统。内部管理型规制能够渗透和影响企业微观管理流程中的业务操作,从认知和习惯上矫正员工的违规行为,对于培育守法文化具有潜移默化的作用。
三、内部管理型规制的体系化构造
规制法理论认为,任何有效的控制体系都包含三个要素:(1)确立标准、目标以及价值;(2)监控和信息收集;(3)采取某种形式的措施,根据既定目标对控制变量进行调整。此外,内部管理型规制的实施还有赖于企业内部的组织建制,这也是其区别于传统规制的特殊构造。由此,一项有效的内部管理型规制并非单个的执法手段或行政行为形式,而是由“标准制定”“组织建制”“守法监督”和“执行反馈”等内容构成的一整套制度体系。
(一)标准制定
标准制定是规制的核心。法学往往在两重意义上使用“标准”一词:狭义的标准特指标准化法意义上的统一技术要求;广义的标准则近乎规则,意指规制活动的价值目标和被规制者应遵循的行为要素。规制活动中制定的是广义的标准,其包括但不限于技术标准。从行政过程观之,内部管理型规制的“标准制定”涉及两个层面:其一,宏观层面,立法如何规定普遍适用的法定管理标准;其二,微观层面,企业如何根据法定管理标准形成适合自身的具体管理标准。
1.法定管理标准的确立
如前所述,法定管理标准存在松散与严密两个端点,需要在两端寻求某种平衡,既要为企业保留充足的形成余地,又要为企业及规制者提供必要的操作指引。对此可采取“框架立法+实施细则”的二阶模式:先订立统一的法律框架,再配套细则或指南。
第一,框架立法旨在对良好内部管理的基本流程和关键节点作出提纲挈领地规定,属于内部管理型规制的“规定动作”。实践中,不同行业领域存在各自的管理特性,难以定于一尊。但就过程管理的一般规律而言,管理规范的立法框架仍大致遵循“计划-实施-检查-调整”(plan-do-check-act,简称PDCA)的范式。PDCA是一个周而复始的循环过程,旨在持续促进企业内部管理体系的适宜性,彰显出“自我反思”和“自我学习”的法律观。
第二,基于立法提供的规范框架,规制者尚需根据PDCA范式进一步制定实施细则,这在实践中一般是通过行政规则予以形成的,如落实我国《药品管理法》中GMP要求的《药品生产质量管理规范》。行政规则有利于确保法的安定性和明确性,但其缺陷也显而易见。首先,“详尽的具体标准似乎鼓励了这样一种行为倾向,即优先按照标准列举的项目采取关怀措施,这就使得管理者和雇员丧失了创造力,他们不会设法采取高于最低标准要求的举措,”进而也削弱了规制的灵活性。其次,行政机关未必比企业更加了解什么是真正“好的”管理;而且,行政系统内部的“条块分割”还可能导致重复甚至相互冲突的内部管理要求。再次,整齐划一的标准难以适应千差万别的企业个体情况,容易造成资源浪费和不经济。对此,可能的解决方案是将法律规范去实质化,透过“接纳性概念”和“一般承认的技术规则”,引入开放、多元的技术标准供企业自主选择适用。这方面的一个典范是我国《食品生产企业危害分析与关键控制点(HACCP)管理体系认证管理规定》第11条的规定,它将“国家标准或者行业标准和有关国际标准、准则或者规范”作为HACCP的一般承认的技术规则。这样既能保障规制的灵活性和适应性,又在一定程度上维系了法的安定性。
2. 具体管理标准的形成
在遵守法定管理标准的前提下,具体管理标准涉及的核心问题是,规制者应在多大程度上介入,或曰企业可以享有多大的自主权。对此,实践中存在审批制和备案制两种方案。规制者如何抉择,主要取决于以下因素:(1)法定管理标准的规范密度。如果法定管理标准规定的比较模糊或宽泛,且在相关技术标准阙如,那么规制者应通过审批提前介入;反之,如果法定管理标准钜细靡遗,或者相关技术标准已臻成熟,就可以采取备案制。(2)企业信息披露的透明度。披露内部管理信息并非企业的法定义务,而基于企业社会责任的自愿行为,主要受融资需求和实际税负的影响。为降低执行成本,企业可能拒绝披露或选择性披露信息。故此,企业信息披露的透明度愈低,规制者就愈有必要进行事前审批,以督促其切实建立内部管理制度;反之,对那些社会责任感强、信息披露完整的企业,则可考虑备案制。(3)企业的知识水平。部分企业可能不具备关于内部管理的知识和信息,或者由于不清楚内部管理的长远收益而规避执行。这时,规制者可以利用自己的知识经验,透过事先审批的方式对企业给予行政指导,弥补其信息赤字。(4)行政成本。事前审批并不能免除后续的行政检查义务,从而增加行政负担;备案制则更能节约开支。故在政府资源紧张的情况下,更宜采用备案制。
(二)组织建制
欲使管理标准真正内化为企业机制的一部分,还须课予企业相应的“组织化保障义务”,成立专门组织负责内部管理制度的实施。在这方面,最具代表性的实践形式当属内部管理专员,其在学理上被认为是政府规制的“反射角色”,有助于提升组织对规制目标的敏锐度。从德国《污染防治法》第53条规定的“环保专员”到日本《食品卫生法》第48条规定的“食品卫生管理员”,从我国《网络安全法》第21条规定的“网络安全负责人”到欧盟《一般数据保护条例》第37条规定的“数据保护官”,皆是内部管理专员的实践样态。从体系化的角度分析,内部管理专员的法律构造应包括身份定位、工作职责和履职保障三个维度。
1.法律地位
内部管理专员属于私人参与行政任务的范畴。在组织法理论上,私人参与执行行政任务时的法律地位主要有“被授权人”(beliehene)、“行政协助人”(veraltungshelfer)、“服务于国家的私人”(indienstnahme)和“被委托人”(beauftragete)四种。实践一般将内部管理专员的角色定位于“被委托人”,如欧盟《一般数据保护条例》第37条第6项规定“数据保护官应当是控制者或处理者基于服务合同而完成任务的一名职员”;我国《网络安全法》第21条也规定网络安全负责人由网络运营者自己设置。相比其他私人参与行政任务的形式,内部管理专员作为“被委托人”之定位具有以下法律特征:(1)在身份上,内部管理专员系企业依法雇佣和任命的组成人员,并非行政机关的派出机构或执法人员,不行使任何国家职能。此即与根据法律授权以自己名义行使公权力的“被授权人”,以及根据行政机关指令协助完成行政任务的“行政协助人”明显区隔。(2)在义务上,与“服务于国家的私人”被课予之行为或给付的具体行政义务不同,设置内部管理专员并非立法强制企业采取的特定措施,而是一项组织化保障义务。
2.工作职责
内部管理专员的职责贯穿于整个内部管理过程,大致包括四项内容:(1)规则制定。包括拟定具体化的内部管理方案,并与行政机关联络获得审批或备案。(2)监督管理。包括组织内部管理制度的知识培训、评估企业内部管理流程中的各类风险、审查生产经营流程是否符合管理规范、及时制止违规行为等。(3)提出建议。一旦发现违反内部管理规范的行为,有权向企业管理层报告和提出处理建议;如果内部管理规范本身存在瑕疵,则应提出改进方案。(4)对外联络。代表企业与规制者进行合作,充当企业与规制者之间的联系人,包括负责拟定具体的内部管理方案并提交规制者审批或备案、按照立法规定向规制者或第三方机构提供报告、配合规制者和第三方机构开展监督检查等。
3.履职保障
以执业的专业性、独立性和稳定性为出发点,内部管理专员的履职保障制度应涵盖如下方面:(1)执业资格。如我国《企业环境监督员制度建设指南(暂行)》提出,“企业环境管理与监督人员实行培训持证上岗制度,并将逐步实施职业资格管理”。(2)身份定位。独立性是内部管理专员履职的重要保障。为此,内部管理专员应定位于企业高级管理人员,以为内部管理制度的推行奠定组织权威。如我国《职业健康安全管理体系》(GB/T28001-2011)第4.4.1条规定“组织应任命最高管理者中的成员,承担特定的职业健康安全职责”。(3)歧视禁止与解雇保护。由于内部管理专员与企业之间存在一定的监督或对峙关系,立法应对其身份保障和执业环境提供消极防御,以免除其后顾之忧。禁止歧视的要求包括,企业不得因内部管理专员履行受托任务而在薪酬福利上予以区别对待,或者拒绝为其提供合理的工作便利。解雇保护则需规定,除非内部管理专员怠于履行职责或存在重大过失,在其任职期间至任期结束后的一定期限内,不得被解雇。此外,为防止道德风险,内部管理专员在履职过程中应负有保密义务,并享有一定的作证义务豁免。
(三)守法监督
作为守法监督的前提,内部管理型规制须课予企业一定的文牍义务,凡经过审批或备案的内部管理制度,必须形成正式的总体规划、内容标准、工艺流程图、操作指南、工作台账等书面文件予以记录、保存,以作为守法监督的载体。我国《药品生产质量管理规范》第8章对企业规定的“文件管理”义务即是一例。
最传统的守法监督方式是由规制者依职权实施行政检查,但对内部管理型规制而言,其面临执法资源紧张、监控成本高昂、专业知识匮乏、信息不对称等多块短板的制约,并非最经济、有效的途径。为此,实践中出现了授权第三方机构进行检查的补强方案,如美国环保署2001年启动的“宾夕法尼亚州第三方审核试点工程”尝试引入第三方机构来审核企业化学事故预防管理制度的实施情况。相较于行政检查,第三方检查具有减少企业抵触情绪、利用私人资源、专业性强以及降低规制成本等优势。但存在“委托—代理”难题,为了争取客户,第三方机构可能放宽检查标准,甚至与企业形成共谋,从而削弱守法监督的中立性。针对第三方检查的缺陷,有学者提出将第三方检查融入强制性保险制度,通过立法强制特定领域的企业投保和保险公司承保,由保险公司在调查中将内部管理制度的建设和实施情况作为评估风险及核定保费的依据。相对于传统的第三方机构,保险公司进行第三方检查的优势在于:其一,为了准确评估费率和减少索赔,保险公司具有更为充足的检查动力;其二,调查成本由保险公司承担,可以减轻政府、企业双方的经济负担。最后,基于保险调查基础上的差异化保费设计,强制责任保险还能激励企业在内部管理上予以有效投入,保险公司也可以为被保险人提供全方位的风险咨询服务,从而帮助企业改善内部管理、减少或避免责任事故的发生。
当然,第三方检查不能完全替代行政检查的作用,因为行政检查对企业构成一种潜在威慑,对守法监督不可或缺。但可以视内部管理制度的内容和性质,采取差异化的检查形式,如采取例行检查还是飞行检查,采取全面检查还是定点抽查等。
(四)执行反馈
为保障规制实施的实效性,规制者需要通过一定的执行措施对被规制者的行为进行反馈和纠正,激励其守法乃至做出更优表现。结合实践情况,可从行政作用法角度抽象出行政处罚、行政许可、行政检查、行政认证等多元化的执行措施。
1.行政处罚
行政处罚作为一种法律威慑,可以“通过法律责任为违法行为设置后果,从而为行为人创造在事前放弃违法行为的激励”。在内部管理型规制的实践中,行政处罚是一种常见的执行策略,这主要体现在构成要件和量罚因素两个方面:(1)将企业实施内部管理制度的情况作为行政处罚成要件,是一种典型的“强”内部管理型规制。实践中,《欧盟一般数据保护条例》83.4(a)条把违反“采取恰当的技术与组织措施”和“任命数据保护官”等内部管理义务的行为纳入处罚范围,违者将面临最高1000万欧元或上一年全球总营业额2%的罚款。我国《食品安全法》第126条也针对食品企业“未按规定建立食品安全管理制度,或者未按规定配备或者培训、考核食品安全管理人员”“未按规定建立生产质量管理体系并有效运行”“未按规定制定、实施生产经营过程控制要求”等违反内部管理义务的行为,设置了罚款、责令停产停业直至吊销许可证的处罚。(2)将企业实施内部管理制度的情况作为行政处罚的量罚因素,这主要表现在“豁免”或“减轻/从轻”处罚的裁量上。例如,美国1994年《自我管理激励政策:发现、披露、纠正和防止违法行为》规定,如果企业建立符合本法规定条件的环境管理制度,并在60日内主动发现、披露和纠正违法行为,环保署将对其免除“基于违法严重性的处罚”(gravity-based penalties)或减少该类处罚数额的75%,并不会建议司法部或其他检察机关对其提起刑事指控。在美国2000年启动的国家环境成就追踪计划中(National Environmental Achievement Track Program),环保署也将“制定和实施环境管理体系(EMS)”明确列为从轻处罚的一项裁量因素。从法理上讲,企业是否实行内部管理制度之所以能够作为行政处罚的构成要件和裁量因素,盖因其“实际上是企业自身尽到合理注意义务的一种标示,而是否尽到注意义务是区分违法与意外事件以及责任大小的重要标准。如果行为人已经尽到了合理的注意义务,但是仍不能避免危害的发生,那么我们认为其不具有进行责难的基础。”
2.行政许可
行政许可被认为创造了一种“新财产”,获得许可而拥有从事某些行为的权利将给被许可人带来特殊的利益,而丧失某项许可则损失重大。将内部管理的规制要求寓于行政许可之中,被实践证明是一种行之有效的执行策略。这主要体现在行政许可的条件设置、程序裁量和延展三个方面:(1)将企业实施内部管理制度的情况作为行政许可的条件。在这种情况下,内部管理型规制构成一种准入控制工具而有较强的干预性,企业往往不得不遵从。例如,《食品安全法》33条第1款将具有“食品安全管理人员和保证食品安全的规章制度”“具有合理的设备布局和工艺流程”列为食品生产经营许可的必备条件。(2)将企业实施内部管理制度的情况作为行政许可的程序裁量因素。例如,在美国俄勒冈州的“环境管理激励体系”中,若企业根据ISO 14001建立一套内部环境管理制度,并取得超过法定要求的环境绩效,州政府可给予其“加速许可”和“单边接触许可”的灵活政策。(3)作为行政许可续展的优惠条件。例如,在一定条件下,美国环保署允许每月有害废物产生1吨以上的NEPT参与企业(实行内部环境管理制度是企业申请NEPT的一个核心条件)在没有《资源保护和回收法案》许可的情况下,在180天内继续在现场贮存有害废物,如果有害废物要被运输到200公里范围以外,则这个期间为270天。这实际上创设了一种许可续展的便利机制。
3.行政认证
行政认证属于行政确认行为的一种,是指由行政机关认可的机构依企业申请,对其既有的生产质量管理状况等法律事实进行甄别,做出肯定或否定的评价,给予证明并加以宣告的活动。行政认证本身并不设立、变更或终止企业的权利义务,而是通过授予企业某种公共符号,透过声誉机制激励企业改善守法表现。在内部管理型规制中,行政认证经常被作为一种附随性的执行策略加以运用。例如,根据欧盟《第1836/93号条例》第10(1)条的规定,实行EMAS并成功通过第三方核验的企业名单将被刊登在官方杂志上,并可以公开使用EMAS的特殊认证标识。在我国,2003年起实施的《认证认可条例》第2条明确将企业的管理体系符合相关技术规范或者标准的情况纳入自愿认证范畴,迄今已建立“环境管理体系”“食品安全管理体系”“职业健康安全管理体系”“信息安全管理体系”等多项内部管理体系认证制度,通过认证的企业可以在容许范围内使用认证标志。
4.行政检查
行政检查虽不能直接影响相对人的权利义务,但其结果可能成为行政主体做出行政决定的前提,且能够课予相对人一定的程序性义务或负担,故也是一项颇为有效的执行措施。实践中,规制者常通过调整行政检查的频次或方式来激励企业自觉遵从内部管理型规制。例如,在正向激励方面,美国职业安全和健康管理署将制定并实施“综合安全与健康管理制度”(Comprehensive Safety and Health Management System)作为企业参与“自愿保护项目”(Voluntary Protection Program)的一个前提,符合条件的参与企业可以豁免职业安全和健康管理署的年度检查和突击检查,取而代之以每3年一次的深度检查。在负向激励方面,我国安委会办公室《关于进一步加强隐患排查管理体系建设示范试点工作的通知》(安委办﹝2018﹞15号)提出,将隐患排查管理体系落实不到位的企业纳入重点检查单位范围、提高检查频次,这实际上是通过加重检查负担来威慑怠于履行内部管理义务的企业。
四、内部管理型规制的法律控制
随着企业行为外部性的加剧,内部管理型规制的介入无疑十分必要。但也要认识到,内部管理型规制不仅涉及对企业自主经营权的干预,其法律效果也能够对企业其他权利产生影响,因此必须将其置于行政法治的框架下加以管控。
(一)规制依据的法律控制
在规制依据上,内部管理型规制首先要受到法律保留原则的约束。内部管理活动属于企业自主经营权的范畴,其法律限制首先在于《公司法》第5条的规定:“公司从事经营活动,必须遵守法律、行政法规”。这意味着,在法定管理标准的设定上,政府规制介入公司内部管理的只能依据法律或行政法规的授权来实施,地方性法规、规章及其他规范性文件不得对企业增设内部管理的义务和要求。综观我国内部管理型规制的设定,诸如HACCP、GMP、环境责任制度、企业内部控制基本规范、网络安全等级保护制度等,大部分都由《食品安全法》《药品管理法》《环境保护法》《会计法》《网络安全法》等法律提出原则性要求。因此,就宏观法律框架而言,目前的内部管理型规制拥有坚实的法律依据。
但魔鬼往往藏在细节里。建立和实施一套完整有效的内部管理制度往往代价不菲,从人员配置到设施装备,再到认证和运行成本,都需要企业投入大量资源。例如,一家中国食品企业实行HACCP的各项遵从成本每年合计约29万元至69万元不等;美国2018年修订的规制影响分析认为,实施《清洁空气法》规定的意外泄漏风险管理制度,被规制企业每年将总共花费约178万小时和1.31亿美元,涉及约1.25万家工厂,平均每家工厂每年耗费约10 480美元和14 240小时。这对于中小型企业而言是不小的负担。为此,从实质法治的角度看,规制者在制定内部管理的实施细则时,还应遵循比例原则和成本收益分析,根据企业的行业领域、经营规模、既往表现等情况进行分类管理,为不同类型的企业订制提供差异化的规范供给,降低守法成本。例如,澳大利亚竞争与消费者委员会根据难易复杂程度,将反垄断方面的内部管理要求分为4个级别并分别提供指南。其中,级别1最为简单,级别4最为复杂。小企业只需满足级别1或者级别2要求的内容即可,大企业则需满足级别3或者级别4要求的内容。在这方面,我国目前的内部管理型规制具有“一刀切”倾向,应当考虑改进。
(二)违法判断的法律控制
不同于设计标准规制和绩效标准规制中精确、细化的构成要件模式,内部管理型规制的构成要件一般体现为相对原则化的管理要素或程式化的业务流程。然而,“负有管理义务者在多大程度上充分贯彻了风险管理流程,其控制又在多大程度上是有效的。这些都是程度问题,无法给出绝对的答案。”这实际上赋予规制者极为宽泛的违法性判断余地,并埋下事实认定的争议隐患。对此,可以通过情节细化和正当程序予以控制:
1.情节细化
情节是指那些对构成要件的涵摄具有直接影响和作用的、法定构成事实之外各种主客观事实情况。而情节细化的任务则是对这些事实情节作出准确认定和类型化区分,旨在防止判断余地的恣意。以《网络安全法》第47条关于“网络运营者应当加强对其用户发布的信息的管理”的规定为例,由于该条中的信息管理义务判断缺乏清晰的标准,极易导致规制者在违法判断中滑向结果主义,即简单地以出现违法内容的结果推定网络服务提供者未尽到妥善管理义务,从而追究其责任。例如,广东省网信办曾以腾讯公司微信公众号平台用户发布违禁信息为由,认定其未尽到《网络安全法》第47条规定的管理义务,并根据《网络安全法》第68条顶格处罚。对此,内部管理型规制作出违法判断的情节细化制度须注意两点:一是注重过程导向,一般不得以单纯的结果或绩效判定其违反管理义务;二是对内部管理进行技术化界定,提高违法判断的明确性和可操作性,如规定对网络运营者应采取人工审查还是技术过滤;明确界定审查内容的边界,如《互联网信息服务管理办法》第15条规定的“九不准”信息。
2.正当程序
在作出是否合规的初步判断后,规制者还须充分保障企业的知情权,进行告知和说明理由,明确指出其内部管理的瑕疵和漏洞,以便其后续加以改进;给予企业提出异议的机会,并听取其陈述和申辩。此外,还可以引入第三方审核制度来补强事实认定程序的公正性和科学性。第三方审核是指由外部的第三方机构对被规制者是否遵从规制标准进行检查,并向规制者提供处理建议。在内部管理型规制的法律适用程序中引入第三方审核,有助于增强判断余地运用的专业性、独立性、可问责性和透明性。例如,中国质量认证中心就提供包括能源管理体系、环境管理体系、供应链安全管理体系多种企业内部管理标准的认证,规制者可以利用其认证结果进行辅助判断。
(三)执行措施的法律控制
内部管理型规制倚赖的各种执行措施,都会在一定程度上对企业权利义务产生直接影响,亟需受到依法行政原则的约束。
1.在行政处罚方面
内部管理型规制执行中的行政处罚措施存在两种情形:(1)若将企业是否实施内部管理作为行政处罚的构成要件,实际上属于新设行政处罚,遵循《行政处罚法》第9-14条的法律保留规则即可。不过,由于内部管理主要是一项组织和程序义务,实践中一些企业可能仅因建立了形式完备的管理机制而获得奖励,产生的守法效果(如排污量)却未必理想;相反,一些实际提升了守法绩效(如节能减排、再利用和资源化)的企业,却可能仅因没有按部就班地遵循法定的内部管理制度而遭到处罚。对此,对内部管理存在瑕疵但守法绩效良好的企业,应当建立减轻或从轻处罚规则,以实现过罚相当。(2)若将企业的内部管理表现作为行政处罚裁量因素,则属于《行政处罚法》中所谓在上位法的“行政处罚的行为、种类和幅度的范围内”进行规定,其法律保留位阶应为规章以上。
2.在行政许可方面
若将建立和实施内部管理机制作为相关许可证发放的条件,属于《行政许可法》第 16 条中的“对行政许可条件作出具体规定”,最低的法定位阶为规章,规章以下的其他政规范性文件不得增设。而将企业的内部管理水平作为行政许可的程序裁量因素或续展优惠条件具有授益性,故原则上可由规制者在职权范围内灵活决定,无须接受严格的法律控制。
3.在行政认证方面
其作为一种激励机制,应当由企业自愿申请,否则将成为变相的行政许可而加重相对人的负担。同时,如果内部管理的要求已经被作为行政许可的条件加以规定,那么认证的要求就应适当提高,至少不能与行政许可的条件雷同。例如有学者指出,《药品管理法》第7条规定的药品生产许可制度与药品GMP认证制度存在程序上的重叠;《药品管理法》第8条列举的开办药品生产企业的条件,也与药品GMP的要求存在一定的重复。这种加重企业守法负担的重复规制做法,应当避免。
4.在行政检查方面
立法无法以列举的方式,规定何时对何人采取何种方式进行行政检查,其相对于其他行政行为而言具有较大的便宜性。但行政检查方式的调整同样会给企业带来准备和配合的法律负担,故其必须具备法律授予的程序裁量权,如果法律对行政检查的方式和频次已有羁束性的规定,就不得随意调整。例如,《食品安全法》第110条规定,县级以上食品药品监督管理和质量监督部门有权对生产经营者的守法情况进行监督检查,属于概括性的程序裁量授权,依此规制者可以根据企业内部管理机制的状况调整检查频次。但是《产品质量法》第15条规定,国务院和县级以上地方的产品质量监督部门对产品质量实行以抽查为主要方式的监督检查制度,就将行政检查限定为平等的抽查,宜平等遵循“双随机”的检查规则,不能因为企业在内部管理上的表现优劣而采取不同的检查频次。
结语
面对日益复杂的社会环境和行政任务,政府规制不能继续在企业黑箱面前保持缄默,而须以内部管理型规制介入黑箱内部的运行过程。搭载反身法的理论引擎,内部管理型规制以自我指涉的程序主义进路引导企业形成符合社会价值的内生机制,并基于风险预防的实践需求和“完善企业经营管理制度”的宪法政策性条款赢得其正当性。借用托依布纳的说法,内部管理型规制毋宁是在国家的“大写行政法”无力触碰之处创设了一种私人面向的“毛细管行政法”,为政府规制的优化提供了新的契机。
本文原载于《法学家》2019年第6期。
