无规矩不成方圆——企业为什么要建立完善内部合规制度?

作者:李丽霞

观点

2019年12月起开始的新型冠状病毒肺炎疫情以及政府后续采取的疫情防控措施、延迟复工等安排,使得一些企业,尤其是单纯进行线下运营、相对劳动密集型的企业,不可避免地会受到一些影响。相应地,线上培训、线上运营的其他业务(比如美团买菜等),在疫情之中,一定程度上反而业务营收大增。但是,线上运营业务企业的数据库出了问题怎么办,这可能是直接关系到业务连续性的一个重大问题。2020年2月,网上惊爆一起SaaS软件服务[i]商员工删库事件,该公司SaaS业务生产环境和数据遭到一位核心运维员工的人为破坏,导致该公司在一定时间内暂时无法向其客户提供SaaS服务[ii],而其客户即平台商户无相关数据,在前述期间内,有的商户面临无法开展业务的情况,不可避免将遭受业务机会及收入损失。该服务商表示,公司管理层准备了1.5亿元人民币赔付拨备金,其中公司承担1亿元,管理层承担5000万元,用于在紧抓数据恢复的同时,同步研究商家赔付方案[iii]。从该案例中,我们可以看出运营线上业务的企业,其维护数据库及数据的安全,对于保持业务连贯性何其重要,否则可能引发重大违约责任。

 

市场上出现的诸多合规案例,凸显了企业根据自身所处行业的特点及监管要求建立、完善内部合规制度的重要性。本文将介绍、简要评析几个特定行业的合规案例,并结合自身经验,就企业建立完善合规制度的重要性,如何建立、完善内部合规制度等发表见解。本文不仅限于为需要确保网络安全及数据合规的企业提供参考,亦尝试“管窥”企业合规工作整体上应注意的方面,期望对负责企业合规相关事务的人员能有所助益。

 

一、 某保险公司分支机构因内控制度不完善受到行政处罚

 

案情介绍:

 

某保险公司江苏某分支机构原保险代理人董某进入公司工作后一个月,向某投资咨询公司业务人员索要其从他人处非法获取的含有车牌号码、车辆品牌、车辆识别代号、发动机号、机动车所有人、身份证号码、住所详细地址、手机号码等信息的公民个人信息11023条。2019年5月27日,法院判决董某构成侵犯公民个人信息罪。该分支机构直至主管保险监管机构告知时,才知晓董某的违法行为。

 

主管保险监管机构经调查、认定:某保险公司江苏某分支机构存在内控管理不完善的违法事实,其展业禁区代理人“十”不准中不含“通过非正常渠道获取客户资料”的行为,未对“通过非正当渠道获取公民信息”的违法行为作出明确的制度规定。因此,主管保险监管机构认定,该等行为违反《保险公司管理规定》第五十五条“保险公司应当建立健全公司治理结构,加强内部管理,建立严格的内部控制制度”的规定,依据《保险公司管理规定》第六十九条规定,对某保险公司江苏某分支机构给予行政处罚,罚款人民币壹万元。[iv]

 

简要评析:

 

本案中,所涉保险分支机构其实在其《个人寿险业务人员基本管理办法》中有规定对“通过非正当渠道获取客户……导致客户投诉”的行为予以扣分处理,但遗憾的是并未明确“通过非正常渠道获取客户资料”属于禁止从事的行为,其内控制度的确有存在不足的地方。

 

无论什么行业,只要涉及个人信息收集和使用,应当符合《民法总则》《网络安全法》设定的个人信息保护义务。保险行业也有对消费者关于消费者权益保护的规定主要包括国务院规范性文件《国务院办公厅关于加强金融消费者权益保护工作的指导意见》、原保监会部门规范性文件《中国保监会关于加强保险消费者权益保护工作的意见》、银保监会部门规范性文件《中国银保监会关于银行保险机构加强消费者权益保护工作体制机制建设的指导意见》等,均提及对消费者个人信息进行保护。

 

其中,2019年11月4日发布的《中国银保监会关于银行保险机构加强消费者权益保护工作体制机制建设的指导意见》明确规定:银行保险机构应将消费者权益保护融入公司治理各环节,银行保险机构高级管理层应确保消费者权益保护战略目标和政策得到有效执行,其中包括:制定、审查本机构消费者权益保护各项基本制度规定,建立完善的消费者权益保护制度体系。

 

保险领域的消费者保护合规要求很多,不仅限于消费者个人信息保护,从内部控制角度,有必要根据法律法规以及监管机构的部门规章、规范性文件等,系统地甄别厘清哪些行为是应明确予以禁止的,在规章制度中作出明确规定,对员工及保险代理人等有关人员定期开展合规培训。

 

另,本案中,监管机构实施行政处罚还有一个深刻的意义:企业内部合规制度怎么写,具体所涉行业可能并没有指引或缺乏特别详细的指引,企业能做的就是,结合企业所处行业,将企业运营涉及的、需要禁止员工从事的方方面面的重大违法行为,尽量都写入内部制度中。

 

二、 某奶粉公司员工通过医疗机构非法获取孕妇、婴儿个人信息案例

 

案情介绍:

 

某奶粉公司西北区婴儿营养部市务经理郑某、兰州分公司婴儿营养部甘肃区域经理杨某以及兰州分公司婴儿营养部营养专员等数名其他员工共计6名员工,涉及通过向涉案医疗机构人员支付好处费、在涉案医院发放奶粉获得登记信息、拍摄《儿童出生花名册》信息、在医院开办孕妇班时登记孕妇信息等方式获取个人信息。

 

根据一审法院2016年10月31日的刑事判决书,6名员工共计非法获取13万余条个人信息,6名员工由此被认定构成侵犯公民个人信息罪,郑某等多数员工被处以处有期徒刑(缓期执行)。一审中,郑某等以涉案行为属于履行工作职责中获得公民个人信息,因此属于单位犯罪提出抗辩,一审法院的观点是:奶粉公司的公司政策、员工行为规范等,证明该公司不允许员工向医务人员支付任何资金或者其他利益,不允许员工以非法方式收集消费者个人信息;对于这些规定要求,该公司要求所有营养专员接受培训并签署承诺函,因此一审法院认定郑某、杨某等明知法律法规以及公司禁止性规定的情况下,违规操作获取公民个人信息的行为,并非奶粉公司的单位意志体现,故本案不属于单位犯罪,对该辩护意见不予支持。[v]

 

一审判决下发后,郑某等人以所涉行为是公司行为为由提出上诉,辩护人提出涉案犯罪行为属于单位犯罪的辩护意见。二审法院的观点是:单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。该奶粉公司政策、员工行为规范等证据证实,该奶粉公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施犯罪为个人行为,因此驳回上诉,维持原判[vi]

 

简要评析:

 

上述案例中,实务届有观点认为,公司事先确立的内部合规规范起到了将员工履行工作职责中的违法行为与公司责任有效隔离的作用,内部合规制度起到了保护公司免予被牵涉到刑事案件之中、被追究刑事责任的风险屏障作用。

 

尽管是否构成单位犯罪,关键看是否构成刑法规定为单位犯罪的情形,犯罪行为实施以前是否有单独集体研究决定或单位负责人决定等因素(本文作者并非刑法领域专职律师,此处抛砖引玉),但如果单位确立并实施完善的规章制度,树立运营和业务活动的合规意识,将有助于单位自上而下形成合法经营的观念,以免员工违规违法,预防决策层作出违规操作决定,避免给单位带来名誉损失及各种民事或刑事方面的风险、责任。

 

三、 建立完善内部合规制度的意义

 

1.  内部合规制度是什么?

 

首先,需要明确内部合规制度指什么。合规本身是一个很大的概念,通常包含遵守法律法规、遵守规制、遵守规范三个方面的内容[vii]

 

具体到各个企业的合规制度,应当体现其所属的行业领域特有的合规要求,包括法律法规强制规定的要求、行业规范等。比如涉及进出口的行业面临的进出口管制、出口退税等合规要求,甚至全球化下所面临的外国进出口管制也需要根据自身业务情况予以考虑。外资企业或与外国企业、外资企业的供应商在业务合同下所需要满足的要求(如反腐败、反贿赂方面的要求、禁止使用童工、禁止安排员工超时工作等等)。

 

同时,内部合规制度可能体现为不同形式,比如员工手册及/或员工手册中包含或援引的行为准则(Code of Conduct)、具体的业务流程制度、特定业务部门适用的操作流程等。完善的内部合规制度除了有合规制度文本,通常还需要与之配套的部门、人员操作流程,合理界定的部门职责、岗位职责,这样合规制度在执行过程中就不会出现有关人员无所适从、合规制度执行“打折扣”的情形。

 

2.  对于某些行业来说,建立和完善内部合规制度是法定要求

 

建立和完善内部合规制度,对于某些行业或某些企业来说是必须要做的事情,否则属于违法违规行为。

 

有关法律法规要求企业建立内部控制制度,有的企业还被要求接受监管机构审计,包括但不限于以下:

 

Ÿ   所有网络运营者,即网络的所有者、管理者和网络服务提供者,根据《网络安全法》第二十一条的规定,应当按照网络安全等级保护制度的要求,履行安全保护义务,包括制定内部安全管理制度和操作规程。

 

Ÿ   银行业,《中华人民共和国银行法》第五十九条规定,商业银行应当按照有关规定,制定本行的业务规则,建立、健全本行的风险管理和内部控制制度。

 

Ÿ   保险业,《保险公司管理规定》第五十五条规定,保险公司应当建立健全公司治理结构,加强内部管理,建立严格的内部控制制度。

 

Ÿ   证券业,《中华人民共和国证券法》第一百一十八条规定,设立证券公司须符合的条件包括有完善的风险管理与内部控制制度;第一百三十九条规定,国务院证券监督管理机构认为有必要时,可以委托会计师事务所、资产评估机构对证券公司的财务状况、内部控制状况、资产价值进行审计或者评估。

 

Ÿ   征信业,《征信业管理条例》第六条规定,设立经营个人征信业务的征信机构,需要有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施。第二十二条第一款则规定,征信机构应当按照国务院征信业监督管理部门的规定,建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全。

 

3.  执行完善的内部合规制度,规避企业运营风险、个人责任

 

有一句特别夸张的话是这么说的:企业家们不是正在犯罪,就是正走在犯罪的路上。这句话道出了企业家们开展业务时的法律风险。根据本文作者的经验,外资企业的高管通常特别关注开展业务的合规性问题以及自身责任问题,这从不少外资企业购买董监高职业责任险就可看出一二。所以,企业自上而下都需要明白哪些业务可以做,哪些业务不可做,这就需要通过完善的规章制度和流程、决策机制促进实现合法合规运营。

 

违法违规会带来的具体风险和责任,不可一概而论。但从全行业来看,以下归纳出一些相关违法违规风险:

 

Ÿ   企业对外承担损害赔偿责任或违约责任;

Ÿ   企业构成单位犯罪,企业及其直接负责的主管人员及其他直接负责的人员受到刑事处罚;

Ÿ   企业受到监管部门行政处罚,可能包括被撤销许可证、注销营业执照、责令关闭整改等

Ÿ   企业名誉受损、丧失消费者/客户的信任

Ÿ   企业丧失业务合作机会

 

4.  合法实施的内部合规制度,是合法解除违规员工的重要依据

 

本文作者曾参与过一个解除国际货代领域企业高管劳动关系案件。该企业无员工手册,有一套适用于集团旗下所有公司的国际行为准则,里面没有可以直接援引的条款以判断员工的行为是否属于违规或违法行为。因该案件中的违纪事实判断涉及到国际货代领域的专业知识,需要判断员工安排托运的箱子是否属于集装箱,集装箱需要挂什么类型的牌子(CSC还是DNV就足够?),该箱子能否和其他集装箱一起放到集装箱船上运输到境外等等。这个案子中,企业方援引了《国际安全集装箱公约》(我国加入了该公约,所以在我国予以适用),该公约规定了集装箱需要挂CSC牌子。当时,没有找到我国法律法规就这么一个细小的要求作出的规定,但是业内人士告知:如果非集装箱装上了集装箱船舶,可能在货运过程中被挤压,进而造成其他集装箱及其货物的损害,在国外卸货港卸货时也容易产生风险,卸货的叉车等设备设施可能无法将装在集装箱船上的非集装箱箱子卸下船舶,或者在卸货过程中发生损害,等等。

 

对于过错解除情形,缺乏规章制度层面的解除依据(规章制度界定哪些行为属于违纪行为,以及相应的纪律措施),并不必然导致用人单位根据劳动合同法第三十九条解除员工系违法,但大大增加了论证解除合法的难度。在这种情况下,理性人都会认为属于严重违纪、为企业正常合法运营所不容的行为(比如法律、行政法规,明令禁止的行为或特定领域专业人员适用的职业道德规范所禁止的行为),恐怕法官才会确信员工的确犯了错,而且犯的错严重到用人单位可依法解除的程度。

 

以上这个案子,并非国际货代领域以外人士所熟知的领域,如果员工的行为没有违反适用于我国的国际公约,而是违反了业内约定俗成的做法(没有任何明文的规定),要证明员工构成严重违规,有可能需要很费力才能证明行为属于“违纪”,而且“违纪”挺严重,需要让非海事海商领域的法官在审这么一个劳动解除案件形成什么操作是对的、什么操作是错的的内心确信。但是,即便法律法规没有作出什么行为是不可以做的界定,企业有将业内习惯规定到企业合规制度中,有详细的业务操作流程,并且对员工进行过培训,既方便员工执行,也容易判断员工是否存在过错。

 

所以,有一套满足所有强制性监管要求,并融入了针对自身行业特点的行业习惯规范的内部规章制度、开展特定业务环节的业务操作规程/流程,明确自身行业或业务特点所要求的“可为”和“不可为”的行为,配备恰当的违规纪律性措施,有助于帮助员工明白哪些可以做,哪些不可以做,在员工触碰这些红线的时候,则可以合法有据地采取纪律性措施,甚至根据违规行为严重程度,依法解除员工。

 

四、 如何构建完善的内部合规制度

 

回到文首提到的某企业员工删库案件,可以看出员工进行重大操作的权限设置何其重要。对一般企业而言,业务流程中的重要岗位(不一定是高级别岗位)的员工职责、权限分配等细节问题的处理,对企业完善内部合规制度提出考验。那么如何构建完善的内部合规制度呢?

 

1.制定完备的内部规章制度、流程

 

员工手册、行为守则都需要予以制定,同时根据行业特点准备业务操作流程,尽可能详细地划定哪些可以做,哪些不可做的边界。这些内部的规章制度、业务流程需要根据具体情况定期或不时调整更新(包括在出现违规事件后调查,如规章制度有漏洞,则需要在制度层面填补漏洞)。不建议泛泛而谈、简单地规定员工应遵纪守法、遵守国家标准和行业标准,而应该在这些原则性要求的基础上,将这些标准的详细要求内化到本企业的内部规范中。

 

合规制度层面需要规范的方面包括但不限于:遵纪守法、遵守商业道德、遵守适用的职业道德规范、执业规范、反腐败与反贿赂、利益冲突、保密义务、个人信息保护等。企业需要考虑自己所处的行业、经营特点,作出不同维度的合规制度,形成内部合规体系;结合具体业务活动,相应内部文本、外部文本如业务合同的制度、审核、修改需要注意体现合规要求。

 

企业部门之间的联动机制、不同部门的职责权限、不同人员的职责权限需要放到合规的整体框架中去考量和优化。

 

将员工需要遵守的行为规范与纪律性措施挂钩,通过员工手册的援引适用作出恰当的制度安排。

 

2.本地化

 

对于跨国经营业务的实体,其内部的员工手册、行为准则以及业务操作流程,需要在兼顾集团层面规定的前提下,根据各实体所在国家或地区的强制性规定、强制性标准予以修改、实施,实现本地化。

 

3.加强员工培训

 

规章制度制定完备后不能束之高阁。需要向员工提供定期培训,帮助员工熟悉和了解内部规章制度的内容和要求,以及违法违规可能面临的后果,以帮助员工树立合规意识。

 

出现员工违规行为的,调查结束后,可结合出现违规的问题,有针对性地对员工开展教育培训。

 

4.开展内部审计

 

建立一套审计机制。可以由内部有权限的部门或者委托外部第三方定期或者怀疑可能出现违规事件时,开展制度、流程及员工行为的审计,以发现合规制度执行过程中遇到的难题、灰色地带以及合规制度是否存在不能适应新的法规、新情况的情形,然后再对合规制度进行完善和优化。

 

5、建立举报(whistle-blowing)机制

 

国外合规制度中不乏举报机制相关要求。企业的合规制度也可参照建立鼓励员工进行举报的机制,毕竟工作在一线的员工较容易接触或发现违规、违法行为。本文作者十余年前刚进入律师行业时,亲历了因为某外资公司员工overhear(偷听)到其他员工谈论的违纪行为、继而引发的一起供货合同纠纷。该员工向公司法务部负责人报告了在公开场合听到的违规事件,才引发公司对供应商的调查,进而对其提起了合同争议仲裁申请。该案例充分说明,举报机制有其不可估量的价值。(当然,该案例也凸显了企业要求员工不得在公开场合谈论企业商业秘密等事宜、防止overhear的重要性!)

 

当然,建立举报机制需要充分考虑举报路径、匿名保护、对举报者的回应、如何防范“诬告”、如何启动调查、被调查员工的隐私保护等细节问题。

 

6、适时对违纪行为采取措施

 

发现员工涉嫌违纪行为时,启动调查,核实违规事实,保存证据,然后依法实施相应的纪律性措施,包括解除严重违纪或违法的员工。

 

在对违纪、违法的个案进行处理时,企业法务或合规人员应思考合规制度或流程、甚至岗位设置、岗位职责权限方面是否存在有待修改、完善或提高的方面,及时查漏补缺,适应不断发展的新情况、新变化。

 

7、规定应急措施的采取

 

本文前述提及的员工删库事件,企业有向公安报案。去年也有爆出国内有企业举报离职员工,员工被抓的新闻。本文作者无意评论这些案件。

 

作者认为,必要时,企业不得不向有关部门,包括公安报告案件。不过,考虑到刑事案件的严重性,企业就员工的违法违规事件在向公安等报案前,有必要在内部先行衡量案件的性质、企业员工是否涉及刑事违法行为,然后再审慎作出是否报案的决定。否则,未经权衡评估、轻易进行刑事案件方面的举报,视具体情况而言,由于互联网快速传播性质,有可能带来企业声誉方面的影响。

 

此外,在数据合规领域,涉及到数据泄漏等安全事件,按照《网络安全法》的规定,需要立即启动应急预案、采取相应的补救措施,并按照规定向有关主管部门报告。因此,各企业需要梳理适用的有关法律法规所设定的报告义务,及时履行。

 

 

最后,提请注意,企业的合规工作是个动态的过程,时刻不可松懈、掉以轻心。否则,一旦出现某些违规违法行为,视具体情况,将可能产生非常严重的后果。

 


注释:


[i] SaaS即Software-as-a-Service,指的是通过网络提供应用软件服务。通常,SaaS服务商提供应用软件平台,客户根据需要使用软件平台提供的应用软件服务,并向平台方支付服务费。大型SaaS服务提供商掌握了大量的客户数据,如果大量数据丢失不能找回,平台上客户的业务可能因此受到影响。

[ii] 详情参见网址:https://cdn2.weimob.com/saas/@assets/saas-fe-group-web-stc/pdf/cn/c2013.pdf,最后浏览日期为2020年3月25日。

[iii] 详情参见《微盟因删库事件赔付1.5亿元》,网址:https://baijiahao.baidu.com/s?id=1660100762519563727&wfr=spider&for=pc,最后浏览日期为2020年3月25日。

[iv] 详情参见银保监会官网,网址:http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=855681&itemId=4115&generaltype=9,最后浏览日期为2020年3月25日。

[v] 详情参见中国裁判文书网,网址:http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=4698f84de11847fb8ce3a71200fbc922,最后浏览日期为2020年3月25日。

[vi] 详情参见中国裁判文书网:http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=c9b2766c4a4d44ecb303a7bb00f20229,最后浏览日期为2020年3月25日。

[vii] 王志乐主编:《企业合规管理操作指南》,中国法制出版社,2017年10月第1版,第1页。


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 天达共和律师事务所 京ICP备11012394号
联系我们 关注公众号
联系我们