本期法律快讯是本所《2023年度制裁回顾》系列的第二期,总结了2023年美国的制裁执法情况,包括从美国财政部外国资产控制办公室(“OFAC”)发布的公开执法行动中得到的主要经验教训。
就美国制裁执法而言,2023年又是创纪录的一年。OFAC针对17项和解案件收取的罚款总额超过15亿美元,远远超出了近年来收取的罚款总额,这也意味着2023年是OFAC在单一日历年度内收取罚款数额最多的一年。这一史无前例的处罚总额主要是由OFAC与币安公司(“币安”)和英美烟草公司(“英美烟草”)达成的创纪录的和解成就的。这两次和解分别创下OFAC有史以来收取的最高和解金额以及与非金融机构达成的最高和解金额。总体而言,2023年OFAC发布了17次涉及违反七个不同OFAC制裁计划的公开执法行动,其中绝大多数涉及违反与俄罗斯或伊朗相关的制裁。
去年,OFAC与其他联邦机构的合作水平在不断提高,有四次OFAC行动是与美国司法部(“司法部”)和/或其他监管机构达成的平行解决方案的一部分。这些行动表明对制裁犯罪执法的重视程度越来越高,也与司法部和其他政府官员最近的说法一致,即追究逃避制裁和违反出口管制行为是重中之重。OFAC、美国商务部工业与安全局(“BIS”)和司法部首次发布的三部门联合合规提示进一步证明了这一点。该合规提示涉及第三方中介风险及涉俄制裁和出口管制逃避行为,以及自愿主动披露。
此外,OFAC在2023年初进行了核心组织变革,将对可能违反OFAC法规行为的所有调查和执法工作合并到了执法司处理。在此之前,制裁合规与评估办公室负责金融服务和保险行业的调查和执法,而执行司负责所有其他调查和执法事务。这一合并有望简化自愿主动披露程序,使OFAC能够跟踪并探索跨行业潜在违规行为的线索,并确保OFAC《经济制裁执行指南》中的一般性因素在各行业和各经济领域得以平等执行,但金融机构仍然担心,OFAC执法部门对金融行业特有问题的深刻理解和敏感度可能会在这一过程中丧失。我们认为,这一变化预示着OFAC更愿意广泛地对违反美国制裁的行为进行执法,这很可能会导致进行更多的公开执法行动和数额更大的罚款,OFAC在2023年收取的创纪录的罚金就是证明。
本所《2023年度制裁回顾》系列第一期概述了自2023年以来OFAC的主要活动,并介绍了制裁计划的最新进展。本文是第二期,主要回顾了美国近期的制裁执法情况,为未来的制裁合规提供借鉴经验。在接下来的几天里,我们还将发布其他法律快讯,介绍2023年在全球一些主要法域最值得关注的制裁动态。
俄乌战争促使美国监管机构之间以及美国与其盟友之间开展了前所未有的执法协作。“全政府”打击逃避对俄制裁行为的方式,促使OFAC和司法部相互之间以及与国外同行(尤其是英国和欧盟)之间协作的方式发生了改变,建立了合作基础架构(如每周电话沟通和跨法域借调),我们预计该基础架构将不仅局限于目前对俄罗斯的关注,还会扩展到其他共同的重要国家安全事项。
对于个人和公司举报与制裁相关的违法行为,美国政府还在寻求解释现有的激励措施,并制定新的激励措施。除了上述三部门联合指南外,美国财政部金融犯罪执法网络局(“FinCEN”)根据国会指示,目前正在更新并扩大其举报计划。FinCEN正准备颁布实施这一计划的规则,该规则将向举报人奖励通过政府调查举报线索所收取的任何罚款和罚金的10%到30%。在此期间,FinCEN已收到100多条举报线索,这些举报线索已在FinCEN内部处理或者移交给OFAC和司法部处理。据报道大部分举报线索与制裁有关(其中约25%与俄罗斯有关)。公司在考虑其自己向OFAC和其他监管机构披露潜在违规行为的相关举报计划和做法时,应了解这一新的现实。
OFAC在2023年的公开执法行动有40%以上涉及(至少部分涉及)违反与俄罗斯相关的制裁。这些行动涉及向受到全面制裁的乌克兰克里米亚地区以及根据OFAC《乌克兰/俄罗斯相关制裁条例》指定的特别指定国民(“SDNs”)提供商品和服务,制裁的对象是在金融服务业(币安、CoinList Markets LLC、daVinci Payments、Poloniex, LLC和Swedbank Latvia AS)、保险业(Privilege Underwriters Reciprocal Exchange)和技术行业(微软公司)运营的美国和非美国实体。其中有两项和解案涉及平行解决方案:币安与OFAC、司法部、FinCEN和商品期货交易委员会(“CFTC”)达成了一项全球解决方案,微软与OFAC和BIS达成了一项联合解决方案。
尽管OFAC尚未根据针对俄罗斯2022年入侵乌克兰实施的新制裁权限开展公开执法行动,但如上所述,我们仍然看到大量重点打击逃避制裁行为的跨机构和跨境合作,因此这一领域缺乏公开执法行动几乎肯定是OFAC和其他执法机构完成执法调查所需时间的表现,而非执法机构缺乏未优先次序安排。OFAC和其他机构颁布的多份联合指南文件和警示报告说明了美国政府对私营部门作为“第一道防线”角色的期望,以及大力落实基于风险的制裁合规计划以打击逃避对俄制裁行为的必要性。事实上,OFAC已开始在详细介绍涉俄执法行动的公开网站上引用此类指南(见《OFAC就明显违反多项制裁计划以7,591,630美元与Poloniex, LLC达成和解》以及《OFAC就明显违反对克里米亚制裁以3,430,900美元与Swedbank Latvia达成和解》等公告)。OFAC及其他监管机构和执法机构希望公司评估其目前面临的涉俄风险,以及美国政府相关指南对其业务活动的适用性,从而确保为降低这些风险对其合规计划进行适当调整。在这种环境下,开展持续稳健的风险评估,并对合规控制措施进行测试和审核,以确保达到设计效果,变得愈加重要。
2023年,针对虚拟货币公司共采取了四次执法行动,其中有一次成为了OFAC历史上金额最大的一次和解。OFAC告诫称,其希望从“第一天”起,在虚拟货币行业开展经营的实体就应该展示其管理层对于制裁合规的承诺,即使这些实体处在技术和产品开发阶段。正如OFAC在传统金融领域经常指出的那样,这种承诺还必须得到足够的合规资源支持,以充分考虑虚拟货币公司面临的制裁风险。尤其是对于在金融科技行业开展运营的公司,OFAC警告说,“不能辩解称是算法或其他‘自动’系统或公式导致了违反制裁的相关交易或活动;公司应对其所采用的技术的运行和后果负责,并将在其技术导致违法行为的情况下被追究责任。”
2023年11月,币安(作为全球最大虚拟货币交易所开展运营的非美国实体)与OFAC达成和解,这是币安与司法部、FinCEN和CFTC达成的全球解决方案的一部分。该全球解决方案涉及币安“从美国或由美国主体向被制裁法域出口或以其他方式供应商品和服务”,以及“促使美国主体直接或间接与被制裁法域的用户和[SDNs]进行交易”。OFAC认定,该公司及其高级管理层故意允许进行此类交易,鼓励其用户逃避公司控制措施,并就此类控制措施误导第三方。OFAC还称赞币安采取了“重大补救措施”,包括改进并扩大其制裁和客户调查(KYC)合规框架,并同意聘用一名合规监督员,任期五年。这是FinCEN要求设置的首个监督员职务;其职权范围将包括制裁合规。
另外还有三家虚拟货币公司(即CoinList Markets、Poloniex和 Uphold HQ Inc.)在2023年与OFAC达成和解协议,因为其曾为位于被全面制裁法域的和/或符合OFAC委内瑞拉政府定义(并因此受到美国封锁制裁)的客户处理交易。这些行动表明,虚拟货币公司(以及在金融和技术领域开展业务的其他公司)有必要将所有可以获得的客户相关信息(如KYC和其他客户注册数据以及地理定位数据)整合到其筛选流程和更广泛的合规职能中。
2023年,OFAC继续强调,其希望美国公司在收购美国和非美国实体时进行与制裁有关的尽职调查,并采取积极措施将其合规计划——包括风险评估、培训和监控——扩展到新收购或成立的企业和员工。收购美国实体的非美国公司也应采取措施,评估此类收购可能会如何改变其自身面临的制裁风险。交易后,公司应持续积极主动地监控新的企业组成部分,以识别任何与制裁相关的问题。公司还应考虑加强对在高风险法域运营或从事高风险活动的附属机构或业务线的监督。此外,子公司应确保及时落实母公司的全球制裁合规政策。
在慕拉得公司(Murad, LLC)和解案和富国银行和解案两个案例中,就是美国公司收购了其他美国实体,但未能通过尽职调查发现这些实体正在与被制裁主体或法域进行的交易。在慕拉得案中,在美国母公司发现慕拉得与伊朗有关的业务后,美国母公司指示慕拉得停止向伊朗出口,但未独立核实是否确实停止了发货。在富国银行案中,被富国银行收购的另一家美国银行传统业务部门的一名“中层经理”对违规行为负主要责任,但OFAC认定,富国银行在收购后的数年中未能发现该行为。同样,OFAC认定,纳斯达克公司未能对新收购的亚美尼亚子公司的35家成员金融机构进行筛查,OFAC认定如果进行筛查,就会发现一家位于伊朗的被制裁银行的成员身份。
OFAC还采取了几项涉及对非美国子公司监督不力的执法行动。在与3M公司近1000万美元的和解案中,OFAC认定,3M公司的两家非美国子公司从事了反光牌照板的销售,而3M公司知道或本应知道这些反光牌照板将被转售给伊朗执法部门(因此属于当时有效的H号一般许可范围之外)。OFAC表示,“希望母公司监督其子公司遵守适用的美国制裁法律的情况,并授权员工在业务交易需要进一步审查时提醒总部贸易合规部门”,同时OFAC表示这些措施在合规文化浓厚的公司更有可能取得成功。对于高风险法域内子公司的业务活动,OFAC认定,Construction Specialties Inc.的阿联酋子公司进口了美国原产建筑材料,并在知情的情况下使用伪造贸易文件将这些材料再出口到伊朗,这违反了这家总部位于美国的公司的合规政策。当该附属机构一名美国籍员工因提出合规问题被解雇,随后前往美国实体报告其疑虑时,该公司才发现了其子公司的行为。OFAC通过此案举例说明了在高风险法域寻求商业机会的全球性公司面临的挑战,并建议公司应考虑在当地实施基于风险的定制控制措施的必要性,包括对可能带来具体制裁风险的子公司进行例行审核或其他适当监督。
2023年,OFAC继续对属于下列情况的非美国金融机构和其他公司采取执法行动:与美国主体或在美国境内开展业务,且该业务致使美国主体违反美国制裁,或导致直接或间接从美国向被制裁法域或特SDNs出口、转出口、销售或供应商品、服务或技术。从事此类行为的实体不仅会被处以巨额民事罚款,还可能面临刑事责任,去年币安(如上文所述)和英美烟草公司(BAT)就属于这种情况。非美国公司不应在没有为遵守美国经济制裁和其他美国法律制定控制措施的情况下,利用美国客户、商品、技术和服务(包括金融服务)。
OFAC和司法部认定,总部位于伦敦的世界最大烟草制造商之一BAT故意与他人共谋,针对通过第三方公司向朝鲜实体销售的烟草办理美元付款。BAT此前已将其朝鲜销售业务以1美元的价格剥离给这家第三方公司,并同时宣布退出朝鲜市场。为了支付这些款项,朝鲜买家使用了幌子公司,这样参与交易的美国银行就不会发现与朝鲜的联系。OFAC和司法部认定,BAT导致美国金融机构处理了根据美国制裁本应被阻止的交易。BAT同意以5.08亿美元与OFAC达成和解(该金额是法定最高金额,也是OFAC有史以来针对非金融机构收取的最高处罚金额),其中5.03亿美元由其与司法部达成的6.29亿美元解决方案(司法部有史以来就对朝鲜制裁处以的最大一笔违法犯罪罚款)支付。在宣布该和解事宜时,财政部副部长布莱恩·尼尔森(Brian Nelson)表示,“那些试图通过掩盖其参与行为来逃避制裁并从中获利的公司将被发现,并将付出代价......当与被封锁主体往来的机构(即使是间接往来)的计划牵涉到美国金融系统时,此类机构将受到处罚”。BAT行动可能预示着美国政府在执行逃避与俄罗斯有关的制裁方面会采取的动作。
同样,另一家烟草制造商高德弗雷菲利浦斯印度有限公司 (Godfrey Phillips India Limited) (GPI)也与OFAC达成了和解。此案的案由是该公司使用美国金融系统收取了其间接出口到朝鲜的烟草的款项,其依靠多个第三国中间方收取款项,并向美国金融机构掩盖了与朝鲜的联系。在瑞典银行(Swedbank Latvia)案中,银行允许一名客户通过克里米亚境内的互联网协议(IP)地址使用其电子银行平台,以经由美国代理行向克里米亚境内的主体进行付款。值得注意的是,处理BAT、GPI和瑞典银行违规交易的美国金融机构并未面临公开执法行动,这可能是因为OFAC并未认定这些美国银行知道或本应知道相关行为。
违反美国制裁的行为必须存在美国因素,即涉及美国主体(包括美国公司的非美国分支机构,在某些情况下,还包括美国公司的非美国子公司)、源于美国的货物或服务或美国境内的其他活动。除上述与金融服务有关的行动外,OFAC在2023年采取的执法行动还凸显了可触发美国因素的一些其他方式,如(1)非美国子公司促使美国关联方与位于被制裁法域的主体以及与被制裁主体签订软件许可协议、向其出售软件并/或提供相关服务,(2)使用位于美国的服务器和/或由美国主体管理的系统,无论是在美国境内还是在美国主体的非美国分支机构,以及(3)作为美国主体的雇员或关联方参与违禁行为。
在富国银行和解案中,OFAC认定(在有关行动中,美联储也认定),富国银行收购的另一家美国银行曾为一家欧洲银行专门设计了一款定制软件程序,且知道该程序将被用于该欧洲银行与被制裁法域和主体之间进行的交易,而且尽管该欧洲银行持续依赖富国银行的技术基础设施,但富国银行却没有制定“正规或系统性流程......来定期......确认【该欧洲银行】适当进行......OFAC合规筛查”。在3M和解案(该案涉及一家非美国子公司在H号一般许可待决期间从事与伊朗有关的业务,而该许可在被撤销前曾准许美国公司的非美国子公司与伊朗开展某些活动)中,OFAC告诫说,如果公司有作为美国主体的雇员,在公司从事其有些雇员可能被禁止参与的商业活动时(就3M而言,包括该非美国子公司雇用的作为美国公民的雇员),务必要执行有效的回避政策。
OFAC在2023年采取的行动再次表明,在整个交易方关系存在期间,如果公司未能利用所掌握的关于其客户和其他交易方所在地点(包括IP地址)的信息来遵守美国制裁规定,则公司将面临执法风险。
OFAC不断采取执法行动,强调其下述立场:即有效的、基于风险的制裁合规计划的一个核心要素是,要使用地理定位工具(包括IP屏蔽)来识别与被制裁法域有关联的用户,并防止其从事违禁活动。除上述瑞典银行解决方案外,OFAC与Poloniex和 达芬奇支付公司(daVinci Payments)达成的和解也涉及部分归咎于这两家公司未实施 IP 屏蔽的明显违法行为。
IP屏蔽是一项基本的内部控制措施,同时OFAC希望公司利用所有可用数据来遵守制裁规定。例如,OFAC认定,总部位于加利福尼亚州的全球数字交易平台Uphold HQ Inc.(“Uphold”)在账户注册过程中未能筛选并识别自称位于伊朗或古巴的客户。此外,Uphold还曾代表自称是委内瑞拉政府雇员(并因此受到OFAC封锁制裁)的客户处理交易。同样,OFAC认定,美国移民银行通过显示客户伊朗地址的多份文件(包括纳税申报表)实际知道该银行为两名通常居住于并位于伊朗的客户开设了账户。OFAC还以处理与克里米亚的交易为由处罚了CoinList Markets。在本案中,该公司制定了IP屏蔽和 KYC程序,以拒绝所提供的身份证地址或实际地址位于受制裁法域的潜在客户,但却没有发现提供了克里米亚地址但自称位于“俄罗斯”的客户。
OFAC还处罚了未能为进行制裁筛查而对不同数据库或系统中的信息进行汇集的行为。OFAC认定,在某些情况下,微软的受限方筛查软件并未为识别被封锁主体而涵盖该公司所知的全部信息。在其他情况下,尽管许多客户以其母语提供了信息,但该公司并未识别出那些由SDN拥有50%或更多股份的被封锁主体,或拥有西里尔字母或中文名称的 SDN。这些失误致使OFAC指出,开展复杂技术业务的公司应确保其制裁合规控制措施始终与其风险相称,并应利用适当的技术合规解决方案。
即使是最健全的合规措施,也只有在同时应用于新的以及原有的客户时才有效。例如,当Poloniex实施制裁合规计划(其中规定对新客户的KYC信息进行以制裁为重点的审查)时,未对现有客户进行追溯性筛查,因此,该公司继续向位于被制裁法域的客户提供服务。OFAC告诫说,实施新合规控制措施的公司应确保其不仅将新措施应用于新客户,还要将之应用于现有客户。
与此相关的是,公司应确保将新制裁内容纳入其合规控制措施中。在其与微软的和解案中,OFAC认定该公司未能在SDN名单变更后及时筛查原有客户,并指出由于OFAC制裁是动态的,公司应根据其原有关系评估新制裁内容,以避免与被制裁方有往来。
个人不但可能会因涉及明显违反制裁的职务行为而面临解雇或斥责,而且在极少数情况下,他们本人也可能会受到处罚。OFAC在2023年采取的行动中有一项针对的就是慕拉得一名前高管,因为OFAC认定该高管在知情的情况下,与在八年间为向伊朗出口价值超过1100 万美元的商品提供便利的伊朗和阿联酋经销商签署了经销协议。OFAC认为从重处罚情节包括此人对向伊朗出口事宜的知情、其职位较高、其负有出口监督责任以及其知道该向伊朗销售行为是被禁止的。OFAC告诫说,负有管理责任的高管应避免发生潜在违法行为,并应通过采取推广合规文化、提高对适用禁令的认识等措施来防止潜在违规行为。
OFAC在过去一年的执法行动证实,实施并保持严格的合规控制措施对所有跨国经营的公司均非常重要。公司应量身打造其合规机制,确保该机制与其业务活动带来的制裁风险相称,并应积极解决与制裁合规相关的问题。强调管理层承诺、风险评估、内部控制措施、考查和审核以及员工培训的健全合规计划可以降低风险、减轻处罚。
美富的国家安全业务部门随时准备就企业制裁合规计划的范围和充分性提供咨询,并可在合规努力失败的情况下,就解决潜在执法问题提供指导。