据不完全统计，中国企业已在超过80个国家和地区遭受刑事及各类其他调查。欧盟自2024年起对多家中国企业发起“黎明突袭”；美国对华为的刑事指控已经过多年博弈；拼多多旗下Temu在欧盟多国遭遇跨境执法调查。这些案件表明，涉外刑事调查已从偶发事件演变为广泛、系统的合规危机，有志于开展国际经营的中国企业不可小觑这一风险。

有鉴于此，本文以美国法域为重点分析样本，梳理中国企业出海面临的典型刑事风险类型，并结合最新执法趋势与司法实践，提出具有可操作性的合规应对建议，以期为出海企业的风险管理提供务实参考。

一、中国企业出海被刑事调查现状分析

中国企业海外投资与经营活动已覆盖全球近190个国家（地区），近年来，中国企业在境外遭遇刑事调查的频率明显上升，范围快速扩大。据不完全统计，中国企业已在超过40个国家（地区）遭受刑事调查，刑事法律风险已从偶发事件演变为复杂的系统性问题。

这一变化的成因是复杂的。一方面，中国企业“走出去”的力度持续加大，在能源、基建、科技、新能源等战略性行业中的存在感迅速提升，不可避免地在更多国家接受当地司法管辖；另一方面，美国、欧盟等法域近年来显著加强了对中资企业合规经营的审查力度，甚至将合规监管异化为带有地缘竞争色彩的工具化执法。

值得关注的是，中国企业遭遇刑事调查的高发领域呈现出明显的集中性。贿赂与腐败行为、侵犯商业秘密、各类欺诈、税务违法、洗钱、走私等十余类行为占据绝大多数案件，这为中企提供了风险预警的重要线索。

在不同地区的执法实践中，刑事调查的手段和重点各有差异。以欧盟为例，《外国补贴条例》自2023年7月生效以来，对中国企业的执法力度持续加码。2024年4月，欧委会率先对两家在多个欧盟成员国销售风力涡轮机的中国供应商启动调查，同月即对中国安防企业同方威视位于荷兰、波兰的办公场所实施“黎明突袭”。此后，中国中车因参与保加利亚列车项目竞标、三家中国财团参与罗马尼亚光伏项目投标，先后被纳入深入调查，最终所有中资投标方被迫退出项目。更具代表性的是2025年底拼多多旗下Temu的遭遇：其爱尔兰都柏林办公室遭欧盟框架下的突击检查，核查其是否通过中方补贴获取不正当竞争优势；随后土耳其办公室再遭突击检查，显示出欧盟FSR调查的跨域联动效应。FSR虽然在文本上主张“国别中立”，但在实践中对中企的指向性极为显著。2026年1月，欧委会进一步发布了《FSR指南》，明确评估外国补贴“扭曲性”的标准以及平衡测试的操作规则，进一步加强执法可操作性。

与此同时，美国对中国企业的合规执法同样保持了高压态势。华为案是近年最为典型的刑事调查案例：自2019年美国司法部对华为提起16项刑事指控以来，该案历经多年诉讼博弈，已排定2026年5月4日正式开庭审理，核心指控涉及违反美国对伊朗制裁规定及窃取商业秘密等。而在中兴通讯方面，截至2026年初，其涉及的美国FCPA最新调查已终止，美方撤回全部指控，但其仍在为期10年的合规监管期内。中兴的案例充分说明，即使刑事调查本身告一段落，后续的长期合规监管仍然构成巨大的经营成本和风险敞口。

中国企业遭遇境外刑事调查的触发机制远比想象的复杂。传统的举报和调查机关依职权主动调查依然是常见原因，但近年来出现了更多深层驱动的现象。

一是在地缘竞争格局下，不同政治力量之间的博弈也可能将企业卷入刑事调查的漩涡。当一个国家不同政党之间就涉及中资企业的项目产生争议时，反对党有时会以“合规审查”为名发起调查以削弱执政党的政绩基础。这种驱动因素使得刑事调查在一定程度上脱离了单纯的执法逻辑，带有明显的政治博弈色彩。

二是东道国通过刑事执法实现经济目标的现象值得警惕。某些国家在面对中国企业在关键资源领域的深度投资时，可能通过启动刑事调查作为谈判筹码，以迫使中企接受“国有化”或其他不利于自身利益的安排。这种“以调查换让步”的模式在资源型国家屡有发生。

三是国际执法合作的深度渗透带来的“触发性”风险持续上升。近年来，多边开发银行（如世界银行集团）、美国FBI、美国司法部等国际机构与他国执法部门之间建立了更为紧密的案件移送和信息共享机制。一旦企业在某一场合触发合规问题，相关信息可能迅速传导至其他法域，形成“一案引爆多国”的连锁反应。¹

囿于篇幅，下文将挂一漏万地简要介绍中国企业在赴美经营过程中易面临的各类刑事风险。

二、中国企业出海易面临的刑事风险——以美国为例

1. 商业贿赂风险

《反海外腐败法》（Foreign Corrupt Practices Act, FCPA）是中国企业在美经营过程中最核心的刑事风险来源之一。FCPA由美国国会于1977年颁布，历经1988年、1994年、1998年三次修订，由司法部（DOJ）和证券交易委员会（SEC）共同执法，主要包括反贿赂条款（anti-bribery provisions）和会计条款（accounting provisions），旨在禁止某些类别的个人和实体向外国政府官员或政党官员行贿以获取或维持业务。²根据司法部（DOJ）与证券交易委员会（SEC）于2012年联合发布并于2020年更新的《反海外腐败法资源指南》（FCPA Resource Guide），该法不仅适用于美国主体，也适用于在美国上市的外国企业、在美国境内通过美国金融体系进行交易的外国主体，以及与美国存在一定联系的主体。³

应当注意的是，中国企业在海外经营过程中，较容易出现通过第三方代理、中介、顾问公司或渠道商向外国公职人员输送利益的情形。美国执法机关对于“第三方贿赂”（payments made through third parties）采取严格责任模式，即企业即便未直接参与行贿或对行贿不明知，只要存在“故意忽视”（conscious disregard/willful blindness/deliberate ignorance），即可能承担刑事责任。与第三方相关的常见危险情形包括但不限于：（1）向第三方代理人或顾问支付过高佣金；（2）向第三方分销商提供明显过高的折扣；（3）与第三方签订的“咨询协议”中，仅对所提供服务作出含糊不清的描述；（4）第三方顾问所从事的业务领域，与其受聘提供的服务领域并不相关；（5）第三方与外国官员存在亲属关系或密切关联；（6）第三方是在外国官员明确要求或坚持下被纳入该交易的；（7）第三方仅为一家在离岸司法管辖区注册的空壳公司；（8）第三方要求将款项支付至离岸银行账户。

2.刑事责任

根据15 U.S.C.§78dd-3 (e)等规定，企业违反FCPA反贿赂条款时，每项刑事违法最高可被判处罚金200万美元；个人最高可被判处25万美元罚金及5年监禁。⁴若同时涉及故意伪造账簿、证券欺诈或共谋行为，刑期可能进一步提高。在实践中，美国法院通常还会适用《美国量刑指南》（U.S. Sentencing Guidelines, USSG）进行综合量刑。若企业违法金额巨大、持续时间较长、涉及高管参与或者妨碍调查，罚金可能远高于法定最低标准。⁵此外，美国司法部经常性要求企业支付巨额刑事罚金、民事罚金、合规监督费用以及非法所得追缴。

对于企业高管或代表企业行事的股东而言，美国近十余年来愈加强调“个人责任原则”（individual accountability）。美国司法部于2015年发布的《耶茨备忘录》（Yates Memorandum）明确要求执法机关强化追究企业管理人员的个人刑事责任。因此，中国企业董事、高级管理人员及财务负责人等均可能因参与或默许相关行为而被追究相关刑事责任。⁶

1. 出口管制与经济制裁违法风险

近年来，出于战略竞争的考量，美国在以人工智能领域和军民两用领域为首的多领域的出口管制制度逐渐呈现“国家安全化”趋势，并通过《出口管理条例》（Export Administration Regulations, EAR）、《国际紧急经济权力法》（International Emergency Economic Powers Act, IEEPA）以及外国资产控制办公室（Office of Foreign Assets Control, OFAC）制裁体系，对全球贸易与技术流动实施严格监管。囿于篇幅，下文以《出口管理条例》（EAR）为例，简要介绍出口管制与经济制裁违法风险。

《出口管理条例》（EAR）由美国商务部下属的工业与安全局（Bureau of Industry and Security, BIS）负责制定和执法，主要针对符合军民两用物项定义的产品、软件和技术的出口（export）、再出口（reexport）和国内转让（in-country Transfer）。EAR主要通过商业控制清单（Commerce Control List, CCL）和实体清单（Entity List）来进行出口管制。对于前者，EAR将被列入商业控制清单（CCL）的受管制物项按照技术特性和产品类型分别分为十类和五组，对每一个物项赋予一个唯一的“出口管制分类编码”（Export Control Classification Number, ECCN），并在ECCN中列明受管制的原因以及需要取得的许可要求。⁷对于后者，BIS通过将某个实体认定为对美国国家安全和外交政策利益构成威胁而将该实体列入实体清单（Entity List）。一旦被列入该清单，向该实体出口、再出口或国内转让任何受EAR管辖的物项，都必须事先获得BIS的许可。⁸

值得注意的是，BIS于2025年9月29日发布了《将最终用户控制扩大至特定清单实体的关联实体》（Expansion of End-User Controls to Cover Affiliates of Certain Listed Entities）的临时最终规则（interim final rules），对EAR进行了修订，引入了“关联实体规则”（Affiliates Rule），通过穿透式监管的方式扩大了受管制主体的范围，规定由实体清单或军事最终用户清单（Military End Users List, MEU List）上的一个或多个实体至少拥有50%股份的实体将自动受到实体清单的限制，即“50%所有权规则”（50 percent ownership rule），具体则新引入了合计计算所有权、穿透计算所有权、最严格规则（rule of most restrictiveness）、红旗警示等规则。⁹

在实践中，中国企业在以下情形中较容易触发出口管制与经济制裁相关的刑事风险：（1）向实体清单主体出口受控产品；（2）通过第三国转运规避美国出口限制；（3）隐瞒最终用户或最终用途；（4）向受制裁国家提供美国原产技术；（5）未经许可出口军民两用物项。

2. 刑事责任

根据《出口管制改革法》（Export Control Reform Act, ECRA）50 U.S.C.§4819之规定，若故意违反、故意尝试违反或故意共谋违反EAR，在刑事方面，个人最高可面临20年监禁和100万美元罚金，企业最高可面临100万美元罚金。¹⁰

然而，由于美国经常会对特定国家的特定实体同时施加出口管制和经济制裁，因此在司法实践中，诸多涉及伊朗制裁、俄罗斯制裁、朝鲜制裁的EAR案件往往会同时面临依据《国际紧急经济权力法》（IEEPA）作出的刑事处罚。

根据《国际紧急经济权力法》（IEEPA）50 U.S.C. § 1705(c)之规定，若故意违反、故意尝试违反、故意共谋违反、故意教唆违反或故意帮助违反IEEPA，在刑事方面，个人最高可面临20年监禁和100万美元罚金，企业最高可面临100万美元罚金。¹¹

美国长期将反洗钱（Anti-Money Laundering, AML）与金融犯罪监管视为国家金融安全的重要组成部分。《银行保密法》（Bank Secrecy Act, BSA）与《2020年反洗钱法》（Anti-Money Laundering Act of 2020, AML Act）共同构成了严格的金融监管体系。《银行保密法》（BSA），又称《货币和外国交易报告法》（Currency and Foreign Transactions Reporting Act，CFTRA），是美国反洗钱制度的基础性法律，于1970年颁布，以期通过金融透明化打击犯罪，因此为金融机构设定了诸多义务，建立了客户身份识别（Know Your Customer/Customer Identification Program,KYC/CIP）、可疑交易报告、大额现金交易报告、交易记录保存及反洗钱合规计划（AML program）等核心制度。¹²2020年，美国通过《2020年反洗钱法》（AML Act），对BSA进行了近年来最重要的系统性修订，引入了实际受益所有人披露（beneficial ownership information reporting）、强化跨境调查权、举报人奖励制度（whistleblower program）等，并进一步强化了反洗钱监管与国家安全之间的联系。¹³

由于BSA和AML Act对金融机构设定的诸多监管义务和报告义务，金融机构实际上成为美国政府的“前线执法者”，构成了最终执法者美国财政部下属的金融犯罪执法网络（Financial Crime Enforcement Network, FinCEN）的情报来源体系，使得相关反洗钱行为和金融犯罪行为极易触发相关执法调查。在美国司法实践中，金融犯罪案件通常具有跨部门联合调查特征，涉及司法部（DOJ）、联邦调查局（FBI）、财政部金融犯罪执法网络（FinCEN）以及国税局刑事调查部门（IRS-CI）。

对于出海美国的中国企业而言，若在跨境交易过程中存在转移非法资金、隐瞒最终用户、虚构贸易背景、隐瞒受制裁交易、使用空壳公司隐藏资金来源或对金融机构作虚假陈述等高风险行为，则可能面临洗钱罪（Laundering of Monetary Instruments）¹⁴、银行欺诈罪（Bank Fraud）¹⁵、电信欺诈罪（Fraud by Wire）¹⁶及共谋罪（Conspiracy）¹⁷等联邦刑事指控。对于刑事责任，以洗钱罪为例，最高可面临20年监禁和50万美元罚金或违法金额两倍罚金。

1. 商业秘密与数据安全犯罪风险

在数字经济和高科技竞争背景下，美国对商业秘密保护与数据安全的刑事执法力度不断加强。美国《经济间谍法》（Economic Espionage Act, EEA）以及《计算机欺诈和滥用法》（Computer Fraud and Abuse Act, CFAA）构成了相关领域的重要刑事法律基础。

《经济间谍法》（EEA）于1996年颁布，旨在保护商业秘密和美国经济安全，其将盗窃或盗用商业秘密的行为定为犯罪，其中包含两项独立的条款。第一项条款针对外国经济间谍活动，要求盗窃商业秘密的行为必须是为了外国政府、机构或代理人的利益。第二项条款则将更为常见的针对商业秘密的商业性盗窃行为定为犯罪，无论受益者是谁。¹⁸ 2012年，美国国会通过《商业秘密盗窃澄清法》（Theft of Trade Secrets Clarification Act, TTSCA）以回应United States v. Aleynikov等案件中对商业秘密范围解释过窄的问题，将原本仅限于“用于州际或国际贸易产品”的商业秘密保护，扩大至用于内部系统、服务及非公开商业运营的商业秘密。

《计算机欺诈与滥用法》（CFAA）于1986年颁布，至今经过了多次重要修订，其适用范围、受保护对象及刑事处罚均不断扩张。CFAA最初主要针对未经授权访问联邦政府及金融机构计算机的行为，1989年与1994年的修订扩大了“联邦利益计算机”（federal interest computer）的范围。1996年《国家信息基础设施保护法》（National Information Infrastructure Protection Act）进一步将CFAA中的“联邦利益计算机”（federal interest computer）修改为“受保护计算机”（protected computer），使几乎所有连接互联网并影响州际或国际商业的计算机均可能纳入CFAA保护范围，从而显著扩大了域外适用可能性。2001年《美国爱国者法案》（USA PATRIOT Act）及2002年《国土安全法》（Homeland Security Act）在“9·11”事件后进一步强化了国家安全导向，扩大了针对国家安全、关键基础设施及政府网络的刑事保护。2008年《身份盗窃惩罚和赔偿法》（Identity Theft Enforcement and Restitution Act）则进一步放宽了刑事起诉门槛，并强化了与身份盗窃、数据窃取相关的执法能力。

2. 刑事责任

对于出海美国的中国企业而言，若涉及未经授权获取美国企业数据、离职员工带走商业信息、源代码下载、网络爬虫越权访问或跨境数据转移等行为，则可能面临盗窃商业秘密罪（Theft of Trade Secrets）、经济间谍罪（Economic Espionage）、计算机欺诈罪（Computer Fraud）以及未经授权/超越授权访问并获取信息罪（Unauthorized Access and Obtaining Information）等罪的指控。

根据EEA，盗窃商业秘密罪个人最高可判处10年监禁；企业最高可被处以500万美元罚金。¹⁹若行为被认定为“经济间谍”，即意图使外国政府、机构或代理人获益，个人最高可判处15年监禁，企业最高罚金可达1000万美元。²⁰

根据CFAA，未经授权访问或超越授权访问受保护计算机并获取信息、以欺诈目的非法访问计算机获取利益、故意破坏受保护计算机系统、非法交易密码或访问凭证以及通过数据泄露、恶意攻击实施网络敲诈勒索等行为，均可能构成联邦刑事犯罪。相关刑罚根据行为性质、损害后果及是否存在商业利益或国家安全因素而有所不同：一般未经授权访问通常可构成轻罪（misdemeanor），最高可判1年监禁；若行为涉及商业利益、私人经济利益、商业秘密、金融欺诈、重复违法或造成重大经济损失，则通常升级为重罪（felony），最高可判5年至10年监禁；对于故意造成重大系统损害、关键基础设施破坏或严重经济损失的情形，刑期还可能进一步提高。²¹

三、中国企业出海的刑事合规建议

面对国际高强度的刑事监管环境，中国企业应当建立系统化、长期化和国际化的合规治理体系。以美国为例，司法部在多项执法政策中均强调，“有效的合规计划”（effective compliance program）是决定企业是否获得减轻处罚的重要依据。

首先，出海企业首先应当建立由董事会或高级管理层直接领导的合规架构，包括设立独立合规官（Chief Compliance Officer, CCO）、建立跨部门合规委员会以及完善内部问责机制。企业高层应明确传递“合规优先于商业利益”的治理理念，形成所谓的“高层氛围”（tone at the top），以便企业自上至下整体避免不合规行为的发生。美国司法部在《公司合规计划评估》（Evaluation of Corporate Compliance Programs, ECCP）中指出，合规体系是否真正嵌入企业经营流程，而非停留于形式层面，是判断合规有效性的关键。²²

其次，出海企业应建立覆盖全球业务的风险识别机制。不同国家和行业面临的法律风险存在显著差异，因此企业应基于业务类型、交易结构及所在地区开展动态风险评估，并形成针对性管理方案。

针对国际中以美国为首的不断强化的出口管制与经济制裁制度，中国企业应建立专业化贸易合规管理机制。第一，出海企业应建立产品分类管理制度，对产品是否属于EAR或ITAR管制范围进行识别，并明确相关出口许可要求。第二，应建立制裁名单筛查机制，对客户、供应商、代理商及最终用户进行及时动态筛查，在符合中国《阻断外国法律与措施不当域外适用办法》和《反外国不当域外管辖条例》的前提下，避免与实体清单（Entity List）、特别指定国民清单（SDN List）主体发生不必要的交易。第三，应加强供应链穿透式调查。对于高科技企业而言，鉴于部分技术资料、软件更新甚至远程技术支持均可能构成“视同出口”（deemed export），高科技企业还应特别重视研发与技术合作中的技术出口问题。

美国FCPA执法实践表明，大量案件均涉及第三方中介。中国企业在国际经营过程中，同样普遍存在对代理商、渠道商和本地合作伙伴依赖较强的问题，因此必须强化对第三方的合规管理。具体而言，企业应：（1）对第三方开展背景调查，包括股权结构、政府关系、历史违法记录及最终受益人（UBO）情况；（2）对异常佣金、咨询费和市场推广费用建立审批与审计机制；（3）在合同中加入反腐败、出口管制及审计条款；（4）对高风险合作伙伴实施持续监测。此外，对于存在高腐败风险地区的业务，企业应加强实施尽职调查，必要时聘请外部律师或专业调查机构参与。

随着跨境数据监管和商业秘密保护日益严格，企业必须建立数据安全与商业秘密保护机制。首先，应建立数据分类分级制度，对核心技术数据、客户信息及商业秘密进行差异化管理。其次，应加强内部权限控制，避免员工未经授权接触敏感信息。再次，应规范跨境数据传输流程，审查数据出口是否符合中国和投资国的监管要求。

鉴于刑事执法具有调查周期长、取证范围广和跨部门协同程度高等特点，中国企业一旦遭遇调查，往往面临巨大的经营与声誉风险。因此，中国企业应提前建立刑事调查应对机制。首先，应建立内部举报与调查制度，及时发现潜在违法行为。其次，应建立电子数据保全机制，确保调查期间能够依法配合取证。再次，应建立外部律师协作机制，在遭遇执法调查时及时获取专业法律支持。最后，应建立刑事调查应急预案，尽可能减小突发刑事调查对正常商业运作产生的不利影响。

2026年5月特朗普访华所确立的“中美建设性战略稳定关系”为两国经贸交往提供了相对可预期的宏观环境，但是，战略框架的“稳定性”不等于执法层面的“宽松化”。美国在出口管制、经济制裁、反腐败及商业秘密保护等领域的域外执法力度正在持续强化，中国企业面临的涉外刑事风险并未因高层互访而自然消解。企业当务之急是搭建合规体系，并真正嵌入经营流程，防止涉外刑事风险。

作者简介