随着夏季假期高峰的到来,美国财政部外国资产控制办公室(以下简称“OFAC”)继续提醒私营领域注意严格遵守经济制裁规定的重要性。OFAC在今年上半年针对明显违反11种不同制裁制度的行为宣布采取了8次执法行动,导致的处罚/和解金额超过1350万美元。这使得OFAC今年有望与去年的17次执法行动的步伐保持一致,但没有达到它在2019年宣布采取的30次执法行动。尽管2021年迄今为止的和解金额低于过去几年同期的水平,但这并不表明OFAC在执法上会有所放松。相反,该机构正在解决其日程安排上的一些价值较低的、性质不太恶劣的案件;我们预计它可能会做出更为重大的裁定。下面我们分析一下从2021年上半年OFAC的执法行动中汲取的几个经验教训。
一、所有通过美国清算的交易均需遵守美国制裁规定,无论标的货币是什么。
过去六个月再次提醒我们,任何通过美国结算的交易都必须遵守OFAC的制裁规定,即使发起方和收款方都在国外。这包括涉及(A)美元和境外美元账户、(B)外汇、和(C)数字货币的交易。
- 美元转账/账户。涉及美元和位于国外的美元账户的交易仍然是制裁合规关注的要点,因为这些交易一般都是通过美国发起或清算的。这就把该等交易拉入了美国管辖范围之内,即使发起方和收款方都在国外。OFAC的PT Bukit Muria Jaya(BMJ)案延续了这种执法趋势。总部设在印度尼西亚的BMJ将向朝鲜出口卷烟纸的款项打入了其在一家非美国银行的美元账户。尽管付款是由外国银行发起并打入了外国银行,但是付款是通过美国银行结算的,这导致BMJ违反了《朝鲜制裁条例》。
- 外汇。企图避开美国管辖并不一定能使公司免于受到OFAC规定制约,特别是当涉及到位于国外的美元账户时,因为由此产生的可能通过美国结算的外汇交易也属于美国管辖范围。在OFAC与Union de Banques Arabes et Françaises(UBAF)的和解案中,这家法国银行代表受到制裁的叙利亚金融机构经营美元账户,代表叙利亚金融机构处理内部转账,然后通过一家美国银行进行相应的资金转账。由于内部账面转账的日期和金额与随后通过美国进行的转账“密切相关”,OFAC确定这明显违反了“叙利亚和大规模杀伤性武器扩散者”制裁制度。
- 数字货币兑换。OFAC规定的适用范围不仅限于法定货币。数字货币曾经是一个几乎不受监管的市场,而OFAC的 BitPay, Inc.案延续了最近推动数字货币监管的趋势。BitPay是亚特兰大一家支付处理服务提供商,允许商家为购买商品和服务接受数字货币。BitPay为似乎曾位于被制裁司法管辖区(包括克里米亚、古巴、伊朗、朝鲜、苏丹和叙利亚)的买家处理了2102笔交易,这显然违反了多项制裁制度。
二、检查地理位置数据,看是否可能存在违反制裁规定的情况。
通过上一条经验教训可以得出结论,OFAC继续着重确保使用美国金融系统的公司制定技术控制措施,以防止被制裁司法管辖区的用户使用其基于美国的服务。特别是,OFAC希望公司通过IP地址筛查地理位置信息,阻止涉及被制裁国家的交易,这延续了在去年年底OFAC针对BitGo, Inc. 的案件中看到的趋势。如上所述,BitPay代表似乎曾位于被制裁司法管辖区的客户处理交易;IP地址筛查很可能会发现这些交易是被禁止的。OFAC在其针对SAP SE的案件中也注意到了这一缺陷,下文将详细讨论。
三、源于美国的数字服务出口必须遵守制裁规定。
OFAC继续强调确保不可为了使在伊朗等被制裁司法管辖区境内的各方受益而从美国以外获得源于美国的服务,如软件服务和基于云的服务。与去年OFAC针对国际航空电讯集团(Société Internationale de Télécommunications Aéronautiques SCRL)(SITA)的案件类似,OFAC认定 SAP SE向伊朗的最终用户出口软件和相关服务的行为违反了《伊朗交易和制裁条例》(“对伊制裁条例”)。SAP是一家总部设在德国的软件公司,依靠第三方经销商向最终用户提供部分产品和服务。其中几个经销商违反对伊制裁条例,向伊朗境内用户提供了SAP源于美国的服务。这个案例应给那些在被制裁司法管辖区开展业务的第三国公司发出警示,即不要为该被制裁国家的业务使用基于美国的软件或云服务。除了与OFAC达成和解外,SAP还根据美国司法部新的出口管制及制裁自愿自行披露(“自行披露”)政策与该部达成了首份不起诉协议,并与美国商务部工业与安全局达成了和解,导致其被合计处罚超过800万美元。
四、制裁合规对所有公司都重要。
合规计划应与公司规模和复杂程度相称。最近OFAC的执法行动以及OFAC的执法指引表明,大型跨国公司和金融机构可能面临更多审查。然而,OFAC希望所有公司都能遵守制裁规定,即使是那些(A)主要在美国境内经营的公司或(B)承接政府合同的公司。
- 主要在国内经营的公司。跨国公司长期以来一直面临着遵守制裁规定的要求和期望。然而,即使是只有零星国际贸易的小公司也需要进行基本的尽职调查。位于俄克拉荷马市的 联合钢铁公司(Alliance Steel, Inc.)是一家专门设计、制造预制钢结构的公司,只向国内消费者销售,不向美国境外出口或销售。然而,当该公司将工程服务外包给一家伊朗工程公司(由该公司首席工程师的兄弟拥有)时,它似乎违反了对伊制裁条例。OFAC不认为该公司较小的规模或有限的国际贸易是减轻处罚的因素,强调所有开展国际业务的公司都应制定制裁合规政策。还务必要记住的是,尽管不是特别常见,但OFAC《特别指定国民和禁止往来人员名单》(“SDN名单”)上有数人目前在美国生活,包括在联邦监狱等地。因此,在根据风险做出关于其合规计划充分性的决定时,公司应根据情况筛查纯国内交易,特别是在与高风险人群进行交易时。
- 政府合同。如OFAC的速汇金支付系统公司(MoneyGram Payment Systems, Inc.)案所示,在根据政府合同提供服务时,公司必须制定强有力的合规计划。作为美国政府合同的一部分,速汇金向联邦囚犯提供服务。在此过程中,它曾违反了若干制裁制度,向大约 40名被禁止往来的个人提供服务。速汇金错误地认为,根据合同不需要进行制裁筛查,这导致它支付了约35,000美元的小额和解金。(值得注意的是,一些制裁制度(包括 《麻醉品贩运制裁条例》和《外国毒枭制裁条例》)项下的一般许可现在并不准许这些类型的交易。该案强调,公司不应依赖包括政府在内的第三方来确保自己符合制裁规定。特别具有讽刺意味且值得其他全球性公司注意的是,像速汇金这样在200多个国家和地区(包括许多高风险司法管辖区)开展业务的公司会因向一般认为风险最低的人(如居住在美国的人)汇款而受到OFAC处罚。
五、公司可能需对贸易伙伴的行为负责。
供应链中的每一家公司均应遵守OFAC条例。在某些情况下,这种责任延伸到对贸易伙伴进行适当的尽职调查。公司应(A)对贸易伙伴进行审查,(B)在可行的情况下核实其合规情况,以及(C)对危险警示信号做出适当反应。
- 对贸易伙伴进行审查。对贸易伙伴进行适当审查是一个强有力合规计划的基础。正如OFAC针对SAP公司的案例所示,未进行充分尽职调查可能导致公司受到实质性惩罚。正如以上所述,SAP的转售商向位于受制裁司法管辖区伊朗的终端用户出售SAP的美国原产服务。OFAC指出,如果开展适当的尽职调查——包括审查转售商的公共网站——就会发现SAP的许多贸易伙伴公开了其与伊朗公司的业务关系。OFAC还发现,SAP收购了几家出口管制合规薄弱的子公司。尽管在收购前和收购后的尽职调查中发现了这一问题,但SAP并未将这些子公司纳入SAP的整体合规计划中,反而是允许他们作为独立的实体开展运营。
- 信任但需核实。BitPay案例再次表明利用所有可用数据确保遵守OFAC条例的重要性。尽管BitPay根据SDN名单筛查了其直接客户,但其并没有对终端用户进行筛查,因而造成其明显违反了一些制裁制度。OFAC指出,公司收取的发票中有IP地址、电话号码以及其他可被用于识别被封锁方的其他识别性信息。未筛查终端用户导致公司受到50多万美元的罚款。
- 注意危险警示信号。OFAC认为忽视警示信号属于鲁莽行为,会使公司承担更大的责任。一个单一的危险警示信号就应该引起更严格的合规计划审查,而且OFAC认为如果有多个警示信号均没有被处理,这将是决定加大处罚的因素。OFAC与位于克利夫兰的UniControl, Inc.的和解就是这种情况的一个示例。该仪表制造商向欧洲公司出口气压开关,该等气压开关随后被转出口到伊朗,因之违反了对伊制裁条例的规定。OFAC表示,UniControl忽视了多个危险警示信号,其中包括客户表示有兴趣将货物运往伊朗、模糊了最终用户要求,以及要求从UniControl的产品上去掉“美国制造”的标签。UniControl未注意警示信号导致公司受到20多万美元的罚款。
Nordgas S.r.l.是UniControl的一个欧洲贸易伙伴,其也与OFAC进行了和解。OFAC认定,Nordgas通过误导最终用户以及在与美国公司的往来沟通中使用暗语模糊了其向伊朗转出口美国原产品的意图。与UniControl案例不同,OFAC认定Nordgas的明显违规行为非常严重,而且没有进行自愿披露。这导致其受到95万美元罚款而且达成了5年内受到更严格监控的协议。
六、与贸易伙伴达成合规承诺可降低风险。
认识到公司可能需对贸易伙伴不遵守制裁的行为负责,与贸易伙伴达成合规承诺可能是审慎的做法。OFAC似乎认可该等类型的承诺。在最近进行的执法行动中,OFAC将其中一些承诺视为可以用作减轻处罚的因素。例如,BMJ现在要求所有中间商要签署反转移协议,其中需载明具体的OFAC制裁合规承诺。UniControl还要求中间商和最终客户要签署最终用户证书,以确保实现制裁合规。同样,SAP也对其转售商(包括第三方审计)进行风险评估。
七、持续加强合规计划。
美国制裁在不断发展,公司应继续完善其制裁合规计划。这包括(A)更新审查程序,(B)解决所出现的合规漏洞,和(C)在适当情况下,切断高风险业务关系。
- 更新审查。OFAC经常更改制裁名单,并针对其各制裁名单规定新的识别信息。最近增加的识别信息包括西里尔文、中文和阿拉伯文名字的拼写、数字货币地址,以及其他特定国家识别信息。这些识别信息以及其他可以公开获得的信息应被纳入现有的合规计划中。正如以上所述,BitPay未能根据IP地址和其他信息对终端用户进行筛查,而这些信息本可以识别出明显的违反制裁法规的行为。SAP同样没有审查IP地址和其他地理位置数据,UBAF未能及时将与叙利亚相关的扩大的制裁适当地纳入其合规计划中。有效的合规要求公司利用所有可用数据并迅速适应不断变化的法规。
- 解决合规漏洞。OFAC希望公司及时解决其合规计划中的漏洞。公司采取补救措施的速度可能会影响OFAC执行任何所评估的处罚的可能性和力度。例如,在SAP案例中,OFAC发现该公司没有对多次内部审计中发现的问题进行补救、没有充分调查举报人的投诉,而且未将新收购的子公司纳入公司现有的合规措施中。OFAC在对该公司超过210万美元的最终处罚评估中,将这些不足确定为加重处罚的因素。
- 在适当情况下,切断高风险业务关系。结束高风险业务关系既可以降低执法处罚,又可以提高未来合规计划的有效性。在过去六个月中,涉及OFAC执法行动的几家公司均已切断了与高风险业务伙伴之间的关系,将之作为其补救工作的一部分。特别是,UniControl断绝了其与参与向伊朗转出口美国原产品的贸易伙伴之间的关系。UniControl甚至没收了明显违反美国制裁的出口所得货款,而不是接受来自受限制司法管辖区的资金。OFAC在决定处罚时将这些行为视为可以减轻处罚的因素。
八、员工仍需对明显违反美国制裁的行为承担责任。
在最近的几个案例中,涉嫌违反美国制裁的公司解雇了参与明显违规行为的员工。OFAC认为这种积极主动的行为在评估针对公司进行的处罚时可以作为减轻处罚的因素,并强调员工个人采取适当措施确保制裁合规的重要性。正如以上所述,Alliance的首席工程师将公司的一些劳动力外包给其兄弟拥有的一家伊朗工程公司,这显然违反了对伊制裁条例。除了终止与伊朗公司的所有业务往来外,Alliance还解雇了该首席工程师。同样,SAP解雇了五名参与或共谋通过其第三方转售商向伊朗提供贸易便利的员工。
结论
OFAC在过去六个月的执法行动强调了所有公司实现制裁合规的重要性,包括那些面临有限的美国市场风险的公司。强调管理层承诺、风险评估、内部控制、测试和审计以及培训的强有力的合规计划可以降低风险以及减轻所受到的处罚。美富律师事务所的国家安全业务组将继续为公司制裁合规计划的范围和充分性提供法律咨询,并在合规努力可能失败的情况下提供解决潜在执法问题的最佳做法。
美富律师事务所国家安全业务组暑期实习律师R. Charlotte Ishida为本法律快讯做出了贡献。