新阶段，新挑战

2019年底COVID-19疫情爆发，继而波及全球。这一场疫情，从某种程度上说 ，改变了企业某些运行方式，也改变了我们与周遭世界的关系，影响非常重大且广泛。

员工们居家隔离及居家远程办公、使用zoom等视频会议软件，一些信息泄漏事件，引起了大家对于网络安全、个人隐私、企业信息安全方面的关注和讨论。线上工作模式，逐渐成为我们日常工作的一部分，是否需要打造企业自己的安全系统用于线上工作模式，如何通过管理员工达到减少个人信息、隐私以及企业商业秘密、企业其他信息泄漏，是众多企业需要考虑的问题。

出于疫情防控之需要，各类个人信息、数据被大量收集，一些被不当披露个人信息的人员，收到了骚扰、谩骂等电话，或受到了歧视待遇，一些肇事者被施以治安管理处罚。随着欧盟GDPR通过并执行、中国《网络安全法》的实施，各类民商事法规加入个人信息保护条款，大众包括劳动者对个人信息保护与隐私的关注度逐渐加强，并因疫情中的泄漏及/或人肉事件，成为人们讨论的热点问题之一。企业在配合主管部门进行疫情防控时，收集上报的企业员工信息如何确保安全性，成为企业不得不予以考虑的问题。与此同时，个人信息保护和数据安全方面的立法活动如火如荼，不论是否大数据企业，各类企业均受到个人信息保护和数据合规法律法规的制约：一方面，企业需要保护企业员工的个人信息和隐私；另一方面，企业的运营业务涉及产品或服务终端用户的个人信息保护和数据合规义务的，从内部员工层面需要分清职责，确立流程，通过岗位和职能设置、实施合规流程确保合规。

疫情还将互联网、线上业务的优势加倍放大，不少传统企业快速转变，加入到浩浩荡荡的企业数字化进程大潮之中，包括自行搭建自营电商平台，或者整合现有业务流程实现业务线上化，或深度参与到互联网平台经济中。企业作为网络运营者根据《网络安全法》需要承担诸多关于数据合规和个人信息保护相关的合规要求，人力资源管理也必须参与到员工个人信息保护、员工培训、与关键岗位员工签署保密协议的合规管理环节中。同时，企业与外部合作方的合作，除了需要考虑传统的反贿赂、反腐败、利益冲突，也需厘清关于数据安全、个人信息安全以及互联网内容安全等责任边界。

员工作为网民，有很多发表言论的渠道，员工自由言论与企业权益之间的碰撞（如拼多多员工匿名发帖事件）引发了广泛关注。可否在工作时间之外限制员工的言论；员工在社交媒体发布含有企业内部信息的消息，可否一概而论予以解除劳动关系；如何通过员工手册及内部规章制度合理圈定员工个人言论自由与保护企业声誉的合理界限；如何通过合法的手段获取员工（匿名）发帖的事实，不少问题值得讨论。

《民法典》的出台乃举国之盛事。这也引发了很多关于劳动法与《民法典》之间关系以及《民法典》的内容可否适用于劳动关系的讨论。职场反性骚扰被写入了《民法典》，用人单位负有义务采取合理的预防、受理投诉、调查处置等措施，防止和制止利用职权、从属关系等实施性骚扰。如果企业在这方面不作为，消极对待这一法定义务，未来是否将承担某些法律责任，这种法律责任是否仅仅是民事角度的侵权责任，还是有可能承担行政法律责任？

随着时代发展，企业面临的合规要求越来越复杂，监管要求和执法越来越严，如，个人信息保护、网络安全、反垄断等领域，监管部门严格监管及执法呈逐渐加强态势，监管部门近期公布了不少重大案件的行政处罚情况。另一方面，作为全球化的一份子，不少中国企业走出去，要么产品或服务面向国外企业或消费者，要么直接在国外投资或上市，从而不得不处于被中国以外司法管辖权监管部门监管的地位。美国的制裁及出口管制措施、中美国际关系的复杂化，部分中国企业被制裁，为开展境外业务的中国企业敲响了警钟，企业需要关注的合规领域从传统的反贿赂、反腐败必须扩展到与企业息息相关的其他各个方面，不仅需要关注国内的合规要求，企业还需视具体情况关注国外法律法规和政策环境。

企业合规已然奔着大合规的趋势而去，企业符合大合规监管要求的时代早已来临。

劳动人事管理与“大合规”

具备独立法人主体资格的企业，从民事、行政、刑事法律角度均构成责任主体，需要对自身过错行为承担相应的责任。公司是法律上拟制的“人”，公司的意志和行为，均最终通过有关自然人去体现和执行，如公司作出重大决策，需要按照法律规定或公司章程规定，由股东会成员或董事会成员作出决议；公司的日常经营管理，由公司的经营管理机构（由总经理及相关人员组成）进行；公司履行和外部第三方的合同，需要公司人员去执行（比如，零售公司采购用于门店发放给消费者的产品手册的印制服务，从下订单到接受产品手册的整个流程中，均由公司相关职能部门人员配合完成）。

因此，公司的合规工作与劳动人事管理的天然连接点就是公司相关人员，包括高管和员工。公司若要确保合规，从本质上说，规范公司相关人员的行为是重要起点。公司应通过一套结合自身所处行业领域实际情况的内部规章制度、内部合规流程，确立公司的合规目标、合规要求及合规流程，以此规范员工的行为，进而规范公司与公司外部第三方的各种合作、安排或关系。

从劳动人事管理的全生命周期来看，下述环节均与合规管理息息相关，合规的理念和制度执行需要体现在下述环节中（以网络安全和数据合规领域部分合规要求为例）：

1.     员工手册及各项规章制度的建立、完善

无以规矩，不成方圆。建立及适时更新内部合规制度是合规工作的起点，作者另一篇文章《无规矩不成方圆——企业为什么要建立完善内部合规制度？》[51] 介绍了什么是合规以及建立企业内部规章制度的重要性，本文不再赘述。需要强调的是，该文章中介绍的某奶粉公司人员非法获取孕妇、婴儿个人信息，构成非法侵害公民个人信息罪案例，被众多合规界人士广为援引、讨论，其重大意义在于：公司建立、完善合规制度，明确合规要求，对员工进行培训，构建了阻却公司构成违法违规行为的有力屏障，与员工违背公司内部合规制度实施的非法行为之法律责任进行了切割。由此，公司制定并实施内部规章制度的重要性可见一斑。

建立合规管理制度需要考虑的因素包括三个层次，一是宏观上充分了解公司所处国家或地区的社会、政治、经济、文化、法律监管环境及发展趋势（这一点对在不同国家开展业务的企业来说非常重要），二是，了解公司所在行业的市场情况、竞争环境、客户需求和发展方向等，三是立足于企业的目标、规模、发展战略、治理结构、业务模式和面临的风险等等。[i]

内部规章制度凡涉及员工切身利益，比如，违反该等规章制度，公司有权处罚甚至解除员工，则需要结合《劳动合同法》的规定，通过民主程序通过。公司还应通过培训等途径确保员工知晓合规管理制度的要求和怎么做，留存员工签收合规管理制度的文件及承诺函。

2.     岗位设置及职能

（1）   某些岗位必须予以设置。

·        《网络安全法》规定，网络运营者应确定网络安全负责人。关键信息基础设施运营者，则应设置专门安全管理机构和安全管理负责人。

·        《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（下称“《个人信息安全规范》”）规定，满足业务性质及相应规模要求时，设置专职个人信息保护负责人和个人信息保护工作机构：主要业务涉及个人信息处理，且从业人员大于200人；处理超过100万人个人信息，或预计在12个月内处理超过100万人个人信息; 或处理超过10万人的个人敏感信息。

（2）   公司组织架构及特定岗位的职能设置，需与公司的合规制度流程相适应，确保合规制度流程能够落地。

欧盟的《通用数据保护条例》（GDPR）要求数据控制者执行设计阶段的数据保护与默认数据保护原则（Data protection by design and by default）[ii]，指的是在决定处理数据的方式及处理数据时均需要采取适当的技术措施和组织措施以确保符合GDPR的要求并保护个人信息主体的权益，值得国内借鉴。我国《个人信息安全规范》第11.4条规定个人信息控制者进行个人信息安全影响评估，包括在收集个人信息时及后续的某些处理行为（如共享、转让等）遵循个人信息安全基本原则的情况，以及个人信息处理活动对个人信息主体合法权益的影响。我国处于立法过程中的《个人信息保护法（草案）》二审稿第五十四条也规定，个人信息处理者应当对特定个人信息处理活动在事前进行风险评估，并对处理情况进行记录。

实际上，公司的产品或服务研发部门在开发产品或服务的初期以及后续过程中必要时，需要与合规部门/法务部门协作，评估风险，采取适当的合规措施。这种不同岗位人员的协作，一方面涉及到公司合规流程安排，另一方面也意味着特定岗位人员在什么时候履行什么样的职能的职能设置问题，当然这本身也属于公司合规流程的一个重要组成要素。

3.     招聘

(1)    根据合规要求，某些岗位必须具备的资格资质条件，需要落实到岗位描述中：

某些岗位的人员选聘受到限制。《个人信息安全规范》规定，个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任。《信息安全技术 网络安全等级保护基本要求》（GB/T 22239 – 2019）（下称“《网络安全等级保护基本要求》”）规定，等保第四级网络运营者应从内部人员中选拔从事关键岗位的人员。

(2)    招聘阶段，公司必须对有关人员进行背景调查：

·        根据《网络安全法》的规定，关键信息基础设施运营者必须对安全管理负责人和关键岗位人员进行安全背景审查。

·        根据《网络安全法》第六十三条的规定，违反该法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

·        《个人信息安全规范》规定应对大量接触个人敏感信息的人员进行背景审查，以了解其犯罪记录、诚信状况等。又如，《网络安全等级保护基本要求》规定，等保第三级网络运营者应对被录用人员的身份、安全背景、专业资格或资质进行审查，对其所具有的技术技能进行考核。

4.     培训

新员工培训、按照法律规定定期进行的培训、合规管理制度及法律法规要求发生变更时的培训，对于公司合规运营来说都是必需的。培训可以是内部专业人士进行，也可以邀请外部特定领域专家进行。对有关员工进行培训并保留培训记录证明等，也属于合规文本体系不可缺少的一部分。

·        《网络安全法》规定，关键信息基础设施的运营者应定期对从业人员进行网络安全教育、技术培训和技能考核。

·        《个人信息安全规范》规定：应定期（至少每年一次）或在个人信息保护政策发生重大变化时，对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核，确保相关人员熟练掌握个人信息保护政策和相关规程。并且，应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程。

5.     审计与内部违纪调查

有的法律法规规定公司应对某些行为进行审计。如，正处于立法过程中的《个人信息保护法（草案）》二审稿第五十三条规定，个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。

审计过程中发现违法违规行为，通常涉及公司内部人员的违法、违规或违反公司内部合规制度、合规流程行为。另一方面，在进行 常规审计之外，因收到举报，必要时，公司需要启动违纪调查。公司发现员工存在违法违规行为时，需要根据《劳动合同法》及内部规章制度、员工的劳动合同等综合评估，适时采取恰当的纪律性措施。

调查过程需要在确保员工个人信息与隐私前提下进行，同时保留合规调查中获得的各项文书及记录等，这些在必要时将成为对员工采取纪律性措施的证据，以及作为后续出现劳动争议时作为公司抗辩的依据。

结语

合规工作与劳动人事管理密不可分，二者协调融和方能达到良好的合规效果，因此企业合规这一系统工程需要企业多个部门（包括人力资源部门）的积极参与。企业必要时可寻求外部法律顾问的协助。具备细分合规领域专业知识与经验的外部法律顾问需要了解熟悉劳动法相关知识，或者说熟悉劳动法领域的律师做合规工作具有天然优势，前提是还得熟知企业面对的相关行业细分领域的合规要求。

注释：

[i] 王志乐主编，丁继华、郭凌晨副主编，《企业合规管理操作指南》第109-110页，中国法制出版社，2017年10月第1版。

[ii] GDPR的规定：Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.