聶立澤、劉林群：法人犯罪規範構造的解構與重塑： 從行為意志到義務違反

（一）法人主體資格與犯罪能力的擬制性

與自然人不同，包括法人、合夥組織等在內的“人、財、物”集合體並非天然具有經濟社會的合法主體資格、也並非天然具有刑事領域的犯罪能力，而是取決於一國立法與政策的選擇。這意味著，並非所有的“人、財、物”集合體均為立法所肯認，而為立法所肯認的“人、財、物”集合體也僅僅只是取得特定的經濟活動主體資格，並不必然具備刑事領域中法人犯罪的“法人”這一主體身份與犯罪能力。具言之，“人、財、物”集合體既包括合法設立運行法人、合夥組織等組織體，也包括違法組成、存續的黑惡勢力、黑社會性質組織、犯罪集團等非法組織體。其中，僅前者依《公司法》、《合夥企業法》等規範性文件而取得經濟社會的主體資格，而後者顯然並不具有經濟社會的活動主體資格。而據我國現行刑事立法規定可知，取得經濟社會主體資格的組織體中除“法人”之外，“不具有法人資格的合作經營企業”與“法人內部的分支機構、內設機構”均具備法人犯罪的主體資格。由於法人並不具有自然人般的“手腳”與“意識”，因此，是否承認法人犯罪、法人（單位）的涵攝範圍、法人犯罪的範圍等問題均需要借助於立法的擬制性規定。對此，台灣地區司法實踐亦持類似觀點，如“89年台上115號判決”認為“公司為法人，並不具有‘犯罪能力’、‘犯意’或‘概括故意’，但得以法律規定其為‘受罰主體’”。正因為如此，法人的主體資格和犯罪能力也並非一成不變，在特定情況下也存在被否定法人犯罪主體資格和犯罪能力的可能性，如“為了犯罪成立法人（單位）、或法人（單位）成立後以犯罪為主要活動”便是刑事領域“揭開法人面紗”的典例。除此之外，這些主體也僅在“法律明確規定為法人（單位）犯罪”的範圍內具有法人犯罪的主體資格。由此可見，組織體是否具有法人犯罪主體資格、以及具有法人主體資格的主體的犯罪能力範圍，均取決於一國立法的擬制性規定。

法人主體資格和犯罪能力之所以取決於立法的擬制，原因在於法人缺乏自然人固有的手腳和意識，而這也決定了法人犯罪的規範構造難以簡單等同於自然人犯罪“行為疊加意志”的規範構造。誠然，法人犯罪的實施最終也取決於內部自然人的行為與意志。就此而言，法人犯罪與自然人犯罪在事實層面上似乎不存在差異，即均是由特定數量的自然人的行為與意志所導致的危害結果。然而，法人犯罪作為擬制主體實施的擬制犯罪，除卻犯罪客體（罪名範圍）外，在主體、主觀、客觀層面上均區別於“普通的自然人犯罪”和“法人內部自然人間的共同犯罪”。首先，在主體層面上，儘管法人犯罪在存在論上呈現多主體的樣態，但在規範論上仍屬於單一主體的犯罪；其次，在主觀層面上，作為擬制主體的法人並不存在自然人固有的意識或意志，僅在存在論上呈現內部自然人故意、過失、無過失等多種主觀心態交錯的情況；最後，在客觀層面上，法人本身並不存在自然人固有的行為與舉止，僅在存在論上呈現內部自然人作為與不作為多種行為樣態交織的情況。可見，對於法人犯罪這一擬制主體實施的擬制犯罪而言，其在主體、主觀、客觀等維度上與自然人犯罪存在的種種差異，決定了其規範構造難以簡單套用自然人犯罪“行為疊加意志”的規範構造。儘管借助於“行為疊加意志”來認定法人責任的進路在民商事領域廣泛適用，但這一進路背後凸顯的是民商事保護交易相對人的合理信賴、維持市場交易穩定性的特殊規範目的。在這一目的導向下，雖然法人利益的位序被後移，但也賦予了法人以事後求償權。然而，刑事領域向來奉行罪責自負原則，讓法人替內部自然人承擔刑事責任的“株連”做法難以獲得正當性依據。

（二）法人犯罪的規範構造在於義務違反

既然法人屬於擬制主體，而法人犯罪屬於擬制主體實施的擬制犯罪，那麼，對法人犯罪規範構造的分析也應著眼於此。遺憾的是，在日積月累的“自然人一元犯罪主體”刑事立法影響下，刑事司法習慣了自然人犯罪在事實與規範認定上的一致性，忽視了法人這一擬制主體實施的法人犯罪在事實與規範上的差異性，使得對法人犯罪規範構造的探尋迷失於對自然人犯罪“行為疊加意志”認定路徑的依賴之中。然而，法人不僅需要“事實上的出生”，也需要“法律上的出生”，即法人的實體人格得到規範的合法性承認、獲得具有規範意義的權利與義務、從而在現實社會中作為主體進行活動。人、財、物的集合固然在事實上呈現一個組織體的樣態，但由此形成的組織體並不必然具有規範上的意義、更不必然獲得規範上的積極評價。立法的承認與否，取決於相應組織是否滿足法定的條件、履行法定的程序、契合法定的目的，即相應組織是否符合法規範的目的、是否履行法定義務。在實定法的視角下，由人、財、物集合而成的組織體可以分為“非法組織”、“合法組織”和“法律未予評價的組織”三種類型，其中，非法組織指其成立、維繫已屬違法、乃至犯罪的人、財、物集合，對此，黑社會組織、黑社會性質組織、黑惡勢力等便是適例；合法組織指其成立、維繫得到法律的認可、乃至鼓勵，如商事企業、行業協會、群眾自治組織等；除此之外，還有一些組織在成立和維繫上雖缺乏法律的授權與許可，但也不在法律的禁止之列，如日常生活中的“登山組合”等。

由於法人犯罪作為由擬制主體實施的擬制犯罪，那麼，無論是“法人”的範圍抑或“法人犯罪”的範圍，均取決於立法的明文限定。換言之，若涉事組織體不在立法所規定的“法人”行列，則無法認定法人犯罪的成立。對於法律未予評價的組織，其既不屬於應被依法取締的範圍，也不需要通過法定程序以維持法律的認可，其並不在“法人”範疇之內，也不會面臨是否構成法人犯罪的判斷。非法組織的成立與維繫本身已屬違法、乃至犯罪，不僅不在法人犯罪的“法人”行列，還可能因其“成立與維繫”而單獨構罪。需要注意的是，一方面，合法組織體並非全部都屬於“法人”行列，仍需依據現行刑事立法明文進行限縮；另一方面，我國刑事立法語境下的“單位”範圍也不局限於“法人”，而是擴張至“不具有法人資格的合作經營企業”和“涉互聯網金融犯罪、受賄等領域的法人（單位）‘分支機構’、‘內設機構’”。可見，只有成立和維繫得到立法承認的合法組織才可能具備“法人犯罪”的主體資格。正因為如此，“為了犯罪而設立法人（單位）”以及“法人（單位）成立後以犯罪為主要活動”的情形因“成立”和“維繫”未能滿足立法的要求而喪失“法人犯罪”的主體資格。儘管部分合法組織體因不具有法人犯罪主體資格等因素而被排除在法人犯罪的“法人”範圍之外，但毫無疑問的是，只有在成立和維繫上得到立法承認的組織，才具備構成法人犯罪的“法人”資格。

法人一經合法設立，便具備合法的民商事主體資格與刑法上的犯罪主體資格，這也意味著法人負有履行法定義務、從事符合法規範的行為、自我約束違法犯罪行為實施的責任。換言之，合法義務的履行既是法人維繫自身合法社會主體地位的憑依，也是判斷法人犯罪是否成立的關鍵。反觀既有的“法人行為疊加法人意志”抑或“法人名義疊加利益歸屬”的法人犯罪認定路徑，徑直將事實層面上的“‘自然人’行為、意志”與“利益”等同於規範層面上的“法人犯罪構造”，或導致法人替內部自然人承擔刑事責任的“替代責任”，或導致法人承擔“結果責任”。事實上，法人內部自然人的行為與意志，與自然人犯罪中自然人的行為和意志一樣僅徴表存在論意義上的犯罪樣態，不能直接等同於規範論意義上的犯罪構造。正如在自然人共同犯罪中，囿於“共同故意”、“原因力”等因素的影響，自然人共同犯罪中中止、脫離、既遂等問題的認定也不單純取決於單一行為人事實上的行為與意志。因此，法人犯罪的罪責在於：涉事法人是否違反了自身所承擔的義務。就義務範圍而言，既有不同法人均需遵守的共同義務，如不得實施行賄、走私、洗錢等行為；也有基於法人特性和行業特徴而個別承擔的特殊義務，如食品領域需承擔不得生產銷售有毒有害食品義務，又如建築行業需承擔安全作業義務。諸如此類，不勝枚舉。涉事法人是否違反法人所承擔的義務，既是判斷是否構成法人犯罪的根本標準，也是判斷法人所承擔的刑事責任到底是自身責任還是替代責任的唯一標尺。

儘管法人犯罪在存在論層面上呈現法人主體、自然人主體等多方參與的“合力犯罪”樣態，但從規範論層面上講，法人犯罪是獨立於自然人個別犯罪與共同犯罪的一種擬制犯罪形態，即“法人自身的犯罪”。因此，“法人犯罪”的首要特徴當屬有機整體的法人犯罪與參與人員個體犯罪的雙層犯罪構造的有機統一體。亦即，在“法人本身為擬制主體、法人犯罪為擬制犯罪”的場域下，“內部自然人行為和過錯”本就是判斷是否構成法人犯罪的基礎素材，其意義也僅限於此，不能經由“同一視或上級責任理論”而直接等同於“法人犯罪”。正因為如此，“內部自然人的行為和過錯”並不能直接等同於“法人行為和過錯”、更不能直接等同於“法人犯罪的認定=法人行為+法人意志”，而必須通過“法人是否違反本應遵守的合法義務”進行判斷。

（一）義務違反形式在於組織結構的疏失

囿於法人的擬制性，法人在事實上表現為特定組織結構下的“人、財、物集合體”。由於法人缺乏自然人固有的“手足”，因此，法人對法定義務的遵守也與自然人存在差異：法人難以自行實施“作為”或“不作為”以履行法定義務，只能通過法人內部自然人的“行為”來實現對法定義務的遵守。值得注意的是，儘管法人違反法定義務的認定需要借助內部自然人實施的特定行為，但這並不意味著將“內部自然人行為和意志”等同於“法人行為和意志”、也不意味著將“內部自然人的犯罪”等同於“法人犯罪”。要決定具體自然人是否實施或不實施特定的行為，需要從法人的組織結構上對法人内设部門、自然人職務、自然人職責、自然人行為等內容進行預設和安排。據此，法人需要合理設置內部組織結構並以之驅動具體自然人實施特定行為，以此實現對法定義務的遵守。與之相對，一旦法人未能有效構建和維繫足以實現遵循法定義務的組織結構，則需承擔因此而產生的法律責任。循此邏輯，法人犯罪在規範層面上的樣態為：法人未構建並維繫足以遵守法定義務的組織結構，導致內部自然人得以實施具體的違法行為、或未實施依法應當實施的行為。在此樣態中，內部自然人的過錯在於實施了具體的作為或不作為，而法人的過錯在於“未履行構建和維繫‘足以阻止內部自然人實施特定行為’和‘未推動內部自然人實施特定行為’的組織結構義務”。從法人責任與個人責任的分離上，強調法人承擔的是因管理漏洞和制度隱患而形成的失職責任（監督過失）。可見，法人違反法定義務的形式，只能是內部組織結構的構建和維繫出現疏失，使內部自然人得以錯誤實施或不實施特定行為並引起危害社會的後果。亦即，法人承擔刑事責任的根據在於其內部治理結構和運營方式出現了與法律相抵觸的情形。當然，由於組織結構屬於法人內部治理事宜，因此，單純內部組織結構存在疏失並不會直接導致法人承擔刑事責任。但若因法人存在組織結構疏失而引發嚴重後果，則法人應當該組織架構疏失而承擔責任。此時，組織結構的疏失已經不再是單純的“法人內部治理事宜”，而是通過“具體的危害行為和危害後果”上升為《刑法》所關注的“犯罪行為”。

將法人犯罪罪責限定為違反法定義務，即法人在組織結構上存在疏失，不可避免面臨“義務來源”的詰問。傳統義務來源理論對於義務的來源多采取法律規定、職務要求、合意設定、先行行為的四分法，或法律規定、合意設定、先行行為的三分法。由於義務來源的形式性劃分難以涵攝所有的義務來源，實質性的義務來源劃分理論將義務分為“對危險源的監督義務”與“對特定法益的保護義務”，以彌補形式性義務來源劃分理論的不足。通常情況下，法人較自然人而言具有更多的人力、物力、財力資源，一旦實施犯罪行為常常能造成比自然人犯罪更為嚴重的法益侵害後果。由是，法人需要避免內部的資源被自然人利用、濫用、誤用，也因此承擔“對內部人、財、物等資源的監督義務”這一“對危險源的監督義務”。誠然，現行《刑法》並未明確法人負有何種義務，但這並不意味著法人無需承擔具體的義務或無需因為違反具體的義務而承擔刑事責任。相反，法人真真切切負有法定的義務，且應當因其違反法定義務而承擔包括刑事責任在內的法律責任。例如，《公司法》要求公司在從事經營活動時“必須遵守法律、行政法規”；又如，《食品安全法》要求食品生產經營者“應當依照法律、法規和食品安全標準從事生產經營活動”。實際上，在法人成為具體犯罪的主體之前，都是以民商事主體、行政主體、準行政主體的身份。進一步講，刑事主體身份於法人而言也只能是臨時性、而不能是常態性的身份：如前所述，若法人“基於犯罪而成立”或“成立後以犯罪為主要活動”，則將被“揭開法人面紗”並以自然人犯罪論處。因此，法人所遵守的法定義務只能來源於民商法領域和行政法領域，並因法人類型、行業等因素而承擔差異化的法定義務。將法人違反本應遵守的民商法義務或行政法義務的行為定性為法人犯罪行為，不僅是對法人犯罪這一擬制主體實施的擬制犯罪的正確歸責，也是民刑銜接、行刑銜接的具象化。以《食品安全法》第136條為例，食品經營者切實履行“進貨查驗”和“如實說明進貨來源”義務的，便可以免除相應法律責任；但是，若食品經營者未通過有效的內部組織結構安排來保證這一義務的履行，則可能因此構成生產、銷售不符合安全標準的食品罪等罪名。

（二）疏失的消弭取決於合規體系的整飭

為了避免構成法人犯罪，法人應當積極履行法定義務：構建並維繫足以有效防止內部自然人得以實施具體的違法行為或避免內部自然人未實施依法應當實施的行為的內部組織結構，即構建並維繫行之有效的合規體系。無論小微企業還是大型企業，均負有整飭合規體系以消弭組織結構疏失的合法義務，這也是對適用法律平等原則的貫徹。所有法人都負有合規義務，但並非所有法人所要構建的合規體系均完全相同。原因在於，不同法人因其所在行業、類型等因素而承擔不同的法定義務。因此，不同法人所承擔的具體合規義務並非千篇一律，而是基於各自行業特性與運營狀況而構建“量體裁衣式”的合規體系。在個案中，則表現為圍繞法人存續中可能出現的問題而構建對應的合規體系，如防止企業行賄、防止銷毀會計憑證、防止資助恐怖活動等具體的義務。可見，合規的範圍並非毫無邊界、毫無目的。需要明確的是，合規體系並不僅限於刑事合規，而是包括行政合規。亦即，合規體系的構建與維繫，不僅關係到法人刑事責任的認定，也關係到法人行政責任的認定。當然，刑事責任視野下關於合規體系得到有效構建、內部組織結構是否存在疏失的判斷，只能著眼於“刑事合規”本身。就刑事合規而言，行之有效的合規體系意味著法人內部組織結構的疏失得到整飭，而法人也因法定義務的全面履行而被排除在法人犯罪之外。

應當明確的是，疏失的消弭分為“事前的疏失消弭”和“事後的疏失消弭”，與之相對應，合規的整飭也分為“事前的合規”和“事後的合規”。循此，法人內部組織結構疏失的消弭也分為兩種類型：其一，法人的內部組織結構存在疏失，但尚未出現危害行為和危害後果；其二，法人的內部組織結構存在疏失，且已出現危害行為並造成危害後果。在“尚未因組織結構疏失而引發危害行為或造成危害後果”的情況下，此時的法人組織結構疏失仍屬於法人內部治理結構混亂的層面，《刑法》不應提前介入，否則存在將“法人內部治理問題‘刑法化’”的嫌疑。當然，否定《刑法》介入並不妨礙對法人內部結構疏失的情況是否構成行政違法的判斷。此時通過合規體系整飭內部治理結構疏失，既是法人履行合法義務的表現，也是法人據以阻斷刑事責任的理由。例如，任何從事生產的法人都應依據《消防法》的消防安全標準採取配置消防器械、放置安全標準等措施，而未履行這一法定義務的法人在組織結構上顯然存在疏失。在此情況下，由於未構建合規體系、組織結構疏失未得到整飭，即便未發生消防事故，也不妨礙職能部門依據《消防法》的規定追究該法人的行政責任，但只要未因此引發消防安全事故，或引發的消防安全事故尚未達到《刑法》“消防責任事故罪”的入罪標準，則絕對不能認定該法人構成消防責任事故罪。若法人已建立合規體系使組織結構疏失得到整飭，即便發生消防事故且造成嚴重後果，法人也因已履行法定義務而被排除在消防責任事故罪之外。此時，合規體系的構建與維繫意味著“法人本身不存在過錯”，即法人本就不構成消防責任事故罪。但在“因組織結構疏失引發危害行為或造成危害結果”的情況下，再行建立合規體系只是“事後悔過改正”，即通過“避免以後類似事件發生”來徴表法人“再犯可能性小”，卻不能改變法人先前未履行法定義務的行為已達到《刑法》中消防責任事故罪入罪標準的事實。可見，儘管合規體系存在“事前的合規”與“事後的合規”之分：前者關係到個案中法人是否存在刑法上的過錯的認定，直接影響到對法人是否構成犯罪的判斷；後者僅關係到個案中法人特殊預防必要性大小的認定，也只能影響到是否對法人採取酌定不訴、是否減輕處罰（預防刑）的裁量。但無疑問的是，法人內部組織結構疏失的消弭，依賴於合規體系的構建與維繫。

要求法人通過合規體系整飭內部組織結構疏失，是對法人承擔自身刑事責任的理性回歸，並不會導致法人因此承擔過重的負擔。因為，合規體系的構建並不意味著所有的企業構建同等規模、同等類型的合規體系，而是應遵循個別化原則，即“保證人義務不能被無限擴展”。相反，法人的合規義務受到兩方面的限制：一方面，並非所有法人均承擔相同的合規義務、均須構建相同的內部組織結構，而是依據法人特性、行業特徴、經營範圍等因素構建契合自身的內部組織結構、履行個別化的合規義務；另一方面，即便對於同類型、同行業的不同法人而言，由於不同法人經濟實力、成立時間等因素存在差異，不同法人實施完善內部組織結構、履行合規義務的適法行為的能力也存在差異。基於比例原則限制，部分法人犯罪具備客觀不法而不予歸責具有正當性。因此，當法人犯罪的防治超過企業自身合理承擔能力時，則可以通過“缺乏他行為可能性”認為涉事企業缺乏非難可能性，進而排除或減輕法人的刑事責任。事實上，相對成熟的合規並非對所有風控點的“平衡供給”，而是會借助於繪制適合企業所在國家、地區和自身實際的“風控熱力圖”，標識出風控點的重要性水平差異，以決定投入的關注程度或風險應對的時間和力度。正如法國於2016年通過的《關於透明度、打擊腐敗和經濟生活現代化的法律》（Loi Sapin II，也稱“薩潘II法案”）僅對“用工人數超過500人、營業收入超過一億歐元”的企業設置了強制合規義務，這一做法顯然也是正是基於合規成本和企業實施適法行為可能性的考量。當然，這並不意味著其他企業不負有刑事合規的義務，相反，企業應當在自己能力範圍內構建與自身運營情況相適應的合規體系，以整飭自身內部組織結構的疏失，防止因組織結構疏失而引發危害社會後果。

（三）“雙層義務違反”構造的規範展開

從法人犯罪的發生進程來看，事先存在法人違反合法義務的狀態，即存在法人未有效構建、實施合規體系這一狀態，才使內部自然人得以在缺乏有效規制的情況下利用法人的人力、物力、財力資源實施具體的犯罪行為。一方面，由於法人並不具有自然人固有的“手足”，因此，法人對合法義務的履行只能通過要求具體的內部自然人承擔具體的合規體系構建和維繫義務來實現。正因如此，法人對合法義務的違反，在微觀層面上體現為負有合規義務的人員對具體的合規體系構建和維繫義務的違反。另一方面，法人罪責的追究具有被動性，依賴於自然人罪責。在內部自然人未利用法人的人力物力財力等資源實施具體犯罪行為之時，即便法人尚未構建、實施有效的合規體系或既有合規體系存在嚴重漏洞，也難言“存在法人合法義務的違反”。具體的法人犯罪之所以得以發生：首先在於，法人未履行合法義務，即未構建和維繫行之有效的合規體系導致自身組織結構存在疏失；其次在於，法人內部負有合規義務的人員未履行對應的合規體系構建和維繫義務；最後，具體的人員憑借法人合規體系的疏失，得以實施具體的犯罪行為。循此邏輯，法人犯罪的規範構造為“雙層義務違反”：內部自然人憑借法人組織結構疏失得以實施具體犯罪行為—法人違反構建與維繫合規體系以整飭內部組織結構疏失的合法義務—法人內部負責合規義務的自然人違反構建和維繫行之有效的合規體系的義務。

循此，個案中關於是否構成法人犯罪的判斷應當經由“雙層義務違反”的法人犯罪規範構造漸次展開。首先，內部自然人的具體犯罪行為必須與法人存在關聯（與法人所處行業、經營領域相關，或與個人職務相關），至於是否為了法人利益以及是否實際為法人爭取到了利益則在所不論。如果內部自然人的行為與法人不存在任何關聯，那麼該犯罪行為單純只是個人的犯罪行為抑或其他組織體的犯罪，而絕不能構成該法人本身的犯罪。舉例而言，在法人僅從事跨境電商業務的情況下，內部自然人自行實施“生產銷售假藥、劣藥”的行為無論如何都與所在組織體無關；再如，內部自然人“集體決定實施殺人行為”僅僅屬於內部自然人的個人行為，顯然“防止內部自然人、內部決策殺人”難言與法人存在關聯，也無從據此認定法人存在義務違反。因此，“是否與法人所處行業、經營領域相關”不僅是判斷是否將“內部自然人具體犯罪行為”作為判斷是否構成法人犯罪的啓動程序和基礎素材，更是劃定法人的合法義務範圍（合規義務）的標尺。其次，在內部自然人的具體犯罪行為與法人相關聯的情況下，判斷法人是否構建了相應的合規體系防堵內部組織結構疏失，以確保合法義務的履行。如果法人並未構建防止內部自然人實施（與法人相關）的犯罪的合規體系、或法人構建了相應合規體系但未得到有效落實（流於形式）、或法人構建的合規體系並不全面（如未依據時代和行業變化構建“數據合規”）等情況，即法人未憑借合規體系對內部自然人的犯罪行為予以抑制，那麼，法人便違反了“合法義務”，而法人罪責也由此而生。最後，在法人存在“合法義務違反”的情況下，還需要判斷法人是否具有他行為可能性，即是否具有“構建合規體系”的可能、合規體系是否具有“阻止內部自然人（尤其是實控人）犯罪”的可能性。如法諺所言，“法不強人所難”。在法人不具有實施適法行為可能性的情況下，也應當以缺乏期待可能性排除對法人的歸責。舉例而言，在法人“人力物力財力”都不足以構建完善合規體系的情況下，即法人並不具有“履行合法義務之能力”，此時應當以“缺乏他行為可能性”為由排除對法人的歸責。再如，在法人實控人（或“不法集體決策”）利用職權決定實施具體犯罪行為的情況下，如果在結果發生前法人可以通過合規體系中的“舉報、報案”這一風險應對程序予以制止而未制止時，仍應當對法人進行歸責。此時，涉案法人所開展的也是“具有針對性的合規整改方案”，而非泛化的全方位合規體系。

“雙層義務違反”這一規範構造不僅是認定法人犯罪是否成立的判斷標準，也是劃定“責任人員（法人犯罪中需要承擔責任的自然人）”範圍的判斷標準。“直接實施具體犯罪行為的人員”自然應當納入“責任人員”的範疇，但除此以外，法人犯罪內部對於“法人犯罪”的成立存在因果關聯且具有可歸責性的人員還包括“負有合規體系構建與維繫義務的人員”，即法人或部門領導或分管領導，以及合規部門人員。需要注意的是，儘管法人領導人與合規部門人員（合規師等）均負有“構建與維繫合規體系”的義務，但二者的“義務來源”並不相同。就法人領導人而言，其基於“法人領導者”身份而處於第一性的保證人地位，並承擔“構建與維繫行之有效的合規體系”的義務；就合規部門人員而言，其保證人地位來源於“業務部門分工”以及“法人領導人授權”，前者屬於第一性的保證人地位，後者屬於“派生的”第二性保證人地位。無論是法人領導人抑或合規部門人員，無論合規人員基於業務分工抑或法人領導人授權而取得“保證人地位”，均共同承擔“法人履行合法義務”的落實義務。因此，這些人員也屬於“責任人員”的行列，但其罪責在於“未構建與維繫行之有效的合規體系”。