2019年12月起開始的新型冠狀病毒肺炎疫情以及政府後續采取的疫情防控措施����、延遲複工等安排����,使得一些企業����,尤其是單純進行線下運營���、相對勞動密集型的企業��,不可避免地會受到一些影響。相應地��,線上培訓��、線上運營的其他業務(比如美團買菜等)����,在(zai)疫(yi)情(qing)之(zhi)中(zhong)��,一(yi)定(ding)程(cheng)度(du)上(shang)反(fan)而(er)業(ye)務(wu)營(ying)收(shou)大(da)增(zeng)。但(dan)是(shi)����,線(xian)上(shang)運(yun)營(ying)業(ye)務(wu)企(qi)業(ye)的(de)數(shu)據(ju)庫(ku)出(chu)了(le)問(wen)題(ti)怎(zen)麼(me)辦(ban)����,這(zhe)可(ke)能(neng)是(shi)直(zhi)接(jie)關(guan)係(xi)到(dao)業(ye)務(wu)連(lian)續(xu)性(xing)的(de)一(yi)個(ge)重(zhong)大(da)問(wen)題(ti)。2020年2月���,網上驚爆一起SaaS軟件服務[i]商員工刪庫事件���,該公司SaaS業務生產環境和數據遭到一位核心運維員工的人為破壞���,導致該公司在一定時間內暫時無法向其客戶提供SaaS服務[ii]����,而(er)其(qi)客(ke)戶(hu)即(ji)平(ping)台(tai)商(shang)戶(hu)無(wu)相(xiang)關(guan)數(shu)據(ju)��,在(zai)前(qian)述(shu)期(qi)間(jian)內(nei)�,有(you)的(de)商(shang)戶(hu)麵(mian)臨(lin)無(wu)法(fa)開(kai)展(zhan)業(ye)務(wu)的(de)情(qing)況(kuang)���,不(bu)可(ke)避(bi)免(mian)將(jiang)遭(zao)受(shou)業(ye)務(wu)機(ji)會(hui)及(ji)收(shou)入(ru)損(sun)失(shi)。該(gai)服(fu)務(wu)商(shang)表(biao)示(shi)���,公(gong)司(si)管(guan)理(li)層(ceng)準(zhun)備(bei)了(le)1.5億元人民幣賠付撥備金���,其中公司承擔1億元��,管理層承擔5000萬元��,用於在緊抓數據恢複的同時�,同步研究商家賠付方案[iii]。從(cong)該(gai)案(an)例(li)中(zhong)����,我(wo)們(men)可(ke)以(yi)看(kan)出(chu)運(yun)營(ying)線(xian)上(shang)業(ye)務(wu)的(de)企(qi)業(ye)�,其(qi)維(wei)護(hu)數(shu)據(ju)庫(ku)及(ji)數(shu)據(ju)的(de)安(an)全(quan)�����,對(dui)於(yu)保(bao)持(chi)業(ye)務(wu)連(lian)貫(guan)性(xing)何(he)其(qi)重(zhong)要(yao)��,否(fou)則(ze)可(ke)能(neng)引(yin)發(fa)重(zhong)大(da)違(wei)約(yue)責(ze)任(ren)。
市場上出現的諸多合規案例��,凸顯了企業根據自身所處行業的特點及監管要求建立��、完善內部合規製度的重要性。本文將介紹���、簡要評析幾個特定行業的合規案例�����,並結合自身經驗���,就企業建立完善合規製度的重要性��,如何建立����、完善內部合規製度等發表見解。本文不僅限於為需要確保網絡安全及數據合規的企業提供參考��,亦嚐試“管窺”企業合規工作整體上應注意的方麵�,期望對負責企業合規相關事務的人員能有所助益。
一��、 某保險公司分支機構因內控製度不完善受到行政處罰
案情介紹:
moubaoxiangongsijiangsumoufenzhijigouyuanbaoxiandailirendongmoujinrugongsigongzuohouyigeyue�����,xiangmoutouzizixungongsiyewurenyuansuoyaoqicongtarenchufeifahuoqudehanyouchepaihaoma���、車輛品牌����、車輛識別代號�、發動機號���、機動車所有人�����、身份證號碼����、住所詳細地址��、手機號碼等信息的公民個人信息11023條。2019年5月27日���,法院判決董某構成侵犯公民個人信息罪。該分支機構直至主管保險監管機構告知時��,才知曉董某的違法行為。
主管保險監管機構經調查���、認定:某保險公司江蘇某分支機構存在內控管理不完善的違法事實��,其展業禁區代理人“十”不準中不含“通過非正常渠道獲取客戶資料”的行為����,未對“通過非正當渠道獲取公民信息”的違法行為作出明確的製度規定。因此���,主管保險監管機構認定�,該等行為違反《保險公司管理規定》第五十五條“保險公司應當建立健全公司治理結構���,加強內部管理����,建立嚴格的內部控製製度”的規定��,依據《保險公司管理規定》第六十九條規定�,對某保險公司江蘇某分支機構給予行政處罰�����,罰款人民幣壹萬元。[iv]
簡要評析:
本案中��,所涉保險分支機構其實在其《個人壽險業務人員基本管理辦法》中有規定對“通過非正當渠道獲取客戶……導致客戶投訴”的行為予以扣分處理�����,但遺憾的是並未明確“通過非正常渠道獲取客戶資料”屬於禁止從事的行為����,其內控製度的確有存在不足的地方。
無論什麼行業�,隻要涉及個人信息收集和使用��,應當符合《民法總則》《網絡安全法》設定的個人信息保護義務。保險行業也有對消費者關於消費者權益保護的規定主要包括國務院規範性文件《國務院辦公廳關於加強金融消費者權益保護工作的指導意見》��、原保監會部門規範性文件《中國保監會關於加強保險消費者權益保護工作的意見》�����、銀保監會部門規範性文件《中國銀保監會關於銀行保險機構加強消費者權益保護工作體製機製建設的指導意見》等�,均提及對消費者個人信息進行保護。
其中�,2019年11月4日發布的《中國銀保監會關於銀行保險機構加強消費者權益保護工作體製機製建設的指導意見》明確規定:yinxingbaoxianjigouyingjiangxiaofeizhequanyibaohurongrugongsizhiligehuanjie����,yinxingbaoxianjigougaojiguanlicengyingquebaoxiaofeizhequanyibaohuzhanlvemubiaohezhengcededaoyouxiaozhixing�,qizhongbaokuo:製定�����、審查本機構消費者權益保護各項基本製度規定�,建立完善的消費者權益保護製度體係。
保險領域的消費者保護合規要求很多����,不僅限於消費者個人信息保護��,從內部控製角度���,有必要根據法律法規以及監管機構的部門規章����、規(gui)範(fan)性(xing)文(wen)件(jian)等(deng)����,係(xi)統(tong)地(di)甄(zhen)別(bie)厘(li)清(qing)哪(na)些(xie)行(xing)為(wei)是(shi)應(ying)明(ming)確(que)予(yu)以(yi)禁(jin)止(zhi)的(de)����,在(zai)規(gui)章(zhang)製(zhi)度(du)中(zhong)作(zuo)出(chu)明(ming)確(que)規(gui)定(ding)�����,對(dui)員(yuan)工(gong)及(ji)保(bao)險(xian)代(dai)理(li)人(ren)等(deng)有(you)關(guan)人(ren)員(yuan)定(ding)期(qi)開(kai)展(zhan)合(he)規(gui)培(pei)訓(xun)。
另���,本案中���,監管機構實施行政處罰還有一個深刻的意義:qiyeneibuheguizhiduzenmexie��,jutisuoshexingyekenengbingmeiyouzhiyinhuoquefatebiexiangxidezhiyin�����,qiyenengzuodejiushi����,jieheqiyesuochuxingye��,jiangqiyeyunyingshejide��、需要禁止員工從事的方方麵麵的重大違法行為�,盡量都寫入內部製度中。
二�����、 某奶粉公司員工通過醫療機構非法獲取孕婦�、嬰兒個人信息案例
案情介紹:
某奶粉公司西北區嬰兒營養部市務經理鄭某���、蘭州分公司嬰兒營養部甘肅區域經理楊某以及蘭州分公司嬰兒營養部營養專員等數名其他員工共計6名員工�����,涉及通過向涉案醫療機構人員支付好處費�����、在涉案醫院發放奶粉獲得登記信息����、拍攝《兒童出生花名冊》信息���、在醫院開辦孕婦班時登記孕婦信息等方式獲取個人信息。
根據一審法院2016年10月31日的刑事判決書�,6名員工共計非法獲取13萬餘條個人信息�����,6名員工由此被認定構成侵犯公民個人信息罪����,鄭某等多數員工被處以處有期徒刑(緩期執行)。一審中�����,鄭某等以涉案行為屬於履行工作職責中獲得公民個人信息���,因此屬於單位犯罪提出抗辯��,一審法院的觀點是:奶粉公司的公司政策����、員工行為規範等�����,證明該公司不允許員工向醫務人員支付任何資金或者其他利益��,不允許員工以非法方式收集消費者個人信息���;對於這些規定要求��,該公司要求所有營養專員接受培訓並簽署承諾函��,因此一審法院認定鄭某����、楊yang某mou等deng明ming知zhi法fa律lv法fa規gui以yi及ji公gong司si禁jin止zhi性xing規gui定ding的de情qing況kuang下xia�����,違wei規gui操cao作zuo獲huo取qu公gong民min個ge人ren信xin息xi的de行xing為wei�����,並bing非fei奶nai粉fen公gong司si的de單dan位wei意yi誌zhi體ti現xian��,故gu本ben案an不bu屬shu於yu單dan位wei犯fan罪zui��,對dui該gai辯bian護hu意yi見jian不bu予yu支zhi持chi。[v]
一yi審shen判pan決jue下xia發fa後hou�,鄭zheng某mou等deng人ren以yi所suo涉she行xing為wei是shi公gong司si行xing為wei為wei由you提ti出chu上shang訴su����,辯bian護hu人ren提ti出chu涉she案an犯fan罪zui行xing為wei屬shu於yu單dan位wei犯fan罪zui的de辯bian護hu意yi見jian。二er審shen法fa院yuan的de觀guan點dian是shi:單位犯罪是為本單位謀取非法利益之目的�����,在客觀上實施了由本單位集體決定或者由負責人決定的行為。該奶粉公司政策�����、員(yuan)工(gong)行(xing)為(wei)規(gui)範(fan)等(deng)證(zheng)據(ju)證(zheng)實(shi)���,該(gai)奶(nai)粉(fen)公(gong)司(si)禁(jin)止(zhi)員(yuan)工(gong)從(cong)事(shi)侵(qin)犯(fan)公(gong)民(min)個(ge)人(ren)信(xin)息(xi)的(de)違(wei)法(fa)犯(fan)罪(zui)行(xing)為(wei)���,各(ge)上(shang)訴(su)人(ren)違(wei)反(fan)公(gong)司(si)管(guan)理(li)規(gui)定(ding)�,為(wei)提(ti)升(sheng)個(ge)人(ren)業(ye)績(ji)而(er)實(shi)施(shi)犯(fan)罪(zui)為(wei)個(ge)人(ren)行(xing)為(wei)�����,因(yin)此(ci)駁(bo)回(hui)上(shang)訴(su)��,維(wei)持(chi)原(yuan)判(pan)[vi]。
簡要評析:
shangshuanlizhong��,shiwujieyouguandianrenwei�����,gongsishixianquelideneibuheguiguifanqidaolejiangyuangonglvxinggongzuozhizezhongdeweifaxingweiyugongsizerenyouxiaogelidezuoyong�,neibuheguizhiduqidaolebaohugongsimianyubeiqianshedaoxingshianjianzhizhong��、被追究刑事責任的風險屏障作用。
盡jin管guan是shi否fou構gou成cheng單dan位wei犯fan罪zui��,關guan鍵jian看kan是shi否fou構gou成cheng刑xing法fa規gui定ding為wei單dan位wei犯fan罪zui的de情qing形xing����,犯fan罪zui行xing為wei實shi施shi以yi前qian是shi否fou有you單dan獨du集ji體ti研yan究jiu決jue定ding或huo單dan位wei負fu責ze人ren決jue定ding等deng因yin素su(本文作者並非刑法領域專職律師�����,此處拋磚引玉)����,danruguodanweiquelibingshishiwanshandeguizhangzhidu��,shuliyunyingheyewuhuodongdeheguiyishi��,jiangyouzhuyudanweizishangerxiaxingchenghefajingyingdeguannian�����,yimianyuangongweiguiweifa�����,yufangjuececengzuochuweiguicaozuojueding��,bimiangeidanweidailaimingyusunshijigezhongminshihuoxingshifangmiandefengxian���、責任。
三����、 建立完善內部合規製度的意義
1. 內部合規製度是什麼����?
首先���,需要明確內部合規製度指什麼。合規本身是一個很大的概念����,通常包含遵守法律法規���、遵守規製�����、遵守規範三個方麵的內容[vii]。
具體到各個企業的合規製度�,應當體現其所屬的行業領域特有的合規要求�,包括法律法規強製規定的要求�����、行業規範等。比如涉及進出口的行業麵臨的進出口管製���、出口退稅等合規要求��,甚至全球化下所麵臨的外國進出口管製也需要根據自身業務情況予以考慮。外資企業或與外國企業�、外資企業的供應商在業務合同下所需要滿足的要求(如反腐敗����、反賄賂方麵的要求��、禁止使用童工��、禁止安排員工超時工作等等)。
同時�����,內部合規製度可能體現為不同形式���,比如員工手冊及/或員工手冊中包含或援引的行為準則(Code of Conduct)�����、具體的業務流程製度�����、特定業務部門適用的操作流程等。完善的內部合規製度除了有合規製度文本�����,通常還需要與之配套的部門���、人員操作流程��,合理界定的部門職責���、崗位職責�,這樣合規製度在執行過程中就不會出現有關人員無所適從��、合規製度執行“打折扣”的情形。
2. 對於某些行業來說���,建立和完善內部合規製度是法定要求
建立和完善內部合規製度���,對於某些行業或某些企業來說是必須要做的事情�����,否則屬於違法違規行為。
有關法律法規要求企業建立內部控製製度���,有的企業還被要求接受監管機構審計�����,包括但不限於以下:
所有網絡運營者���,即網絡的所有者��、管理者和網絡服務提供者����,根據《網絡安全法》第二十一條的規定���,應當按照網絡安全等級保護製度的要求���,履行安全保護義務����,包括製定內部安全管理製度和操作規程。
銀行業����,《中華人民共和國銀行法》第五十九條規定�����,商業銀行應當按照有關規定�����,製定本行的業務規則���,建立����、健全本行的風險管理和內部控製製度。
保險業��,《保險公司管理規定》第五十五條規定���,保險公司應當建立健全公司治理結構�,加強內部管理����,建立嚴格的內部控製製度。
證券業���,《中華人民共和國證券法》第一百一十八條規定����,設立證券公司須符合的條件包括有完善的風險管理與內部控製製度����;第一百三十九條規定��,國務院證券監督管理機構認為有必要時�����,可以委托會計師事務所�、資產評估機構對證券公司的財務狀況�、內部控製狀況��、資產價值進行審計或者評估。
征信業���,《征信業管理條例》第六條規定�,設立經營個人征信業務的征信機構��,需要有符合國務院征信業監督管理部門規定的保障信息安全的設施�����、設備和製度�����、cuoshi。diershiertiaodiyikuanzeguiding�����,zhengxinjigouyingdanganzhaoguowuyuanzhengxinyejianduguanlibumendeguiding��,jianlijianquanheyangezhixingbaozhangxinxianquandeguizhangzhidu��,bingcaiquyouxiaojishucuoshibaozhangxinxianquan。
3. 執行完善的內部合規製度����,規避企業運營風險�����、個人責任
有一句特別誇張的話是這麼說的:qiyejiamenbushizhengzaifanzui�����,jiushizhengzouzaifanzuidelushang。zhejuhuadaochuleqiyejiamenkaizhanyewushidefalvfengxian。genjubenwenzuozhedejingyan���,waiziqiyedegaoguantongchangtebieguanzhukaizhanyewudeheguixingwentiyijizishenzerenwenti����,zhecongbushaowaiziqiyegoumaidongjiangaozhiyezerenxianjiukekanchuyier。suoyi�����,qiyezishangerxiadouxuyaomingbainaxieyewukeyizuo�����,naxieyewubukezuo����,zhejiuxuyaotongguowanshandeguizhangzhiduheliucheng��、決策機製促進實現合法合規運營。
違法違規會帶來的具體風險和責任���,不可一概而論。但從全行業來看�,以下歸納出一些相關違法違規風險:
企業對外承擔損害賠償責任或違約責任��;
企業構成單位犯罪����,企業及其直接負責的主管人員及其他直接負責的人員受到刑事處罰���;
企業受到監管部門行政處罰����,可能包括被撤銷許可證��、注銷營業執照�、責令關閉整改等
企業名譽受損����、喪失消費者/客戶的信任
企業喪失業務合作機會
4. 合法實施的內部合規製度�����,是合法解除違規員工的重要依據
本(ben)文(wen)作(zuo)者(zhe)曾(zeng)參(can)與(yu)過(guo)一(yi)個(ge)解(jie)除(chu)國(guo)際(ji)貨(huo)代(dai)領(ling)域(yu)企(qi)業(ye)高(gao)管(guan)勞(lao)動(dong)關(guan)係(xi)案(an)件(jian)。該(gai)企(qi)業(ye)無(wu)員(yuan)工(gong)手(shou)冊(ce)�,有(you)一(yi)套(tao)適(shi)用(yong)於(yu)集(ji)團(tuan)旗(qi)下(xia)所(suo)有(you)公(gong)司(si)的(de)國(guo)際(ji)行(xing)為(wei)準(zhun)則(ze)���,裏(li)麵(mian)沒(mei)有(you)可(ke)以(yi)直(zhi)接(jie)援(yuan)引(yin)的(de)條(tiao)款(kuan)以(yi)判(pan)斷(duan)員(yuan)工(gong)的(de)行(xing)為(wei)是(shi)否(fou)屬(shu)於(yu)違(wei)規(gui)或(huo)違(wei)法(fa)行(xing)為(wei)。因(yin)該(gai)案(an)件(jian)中(zhong)的(de)違(wei)紀(ji)事(shi)實(shi)判(pan)斷(duan)涉(she)及(ji)到(dao)國(guo)際(ji)貨(huo)代(dai)領(ling)域(yu)的(de)專(zhuan)業(ye)知(zhi)識(shi)��,需(xu)要(yao)判(pan)斷(duan)員(yuan)工(gong)安(an)排(pai)托(tuo)運(yun)的(de)箱(xiang)子(zi)是(shi)否(fou)屬(shu)於(yu)集(ji)裝(zhuang)箱(xiang)��,集(ji)裝(zhuang)箱(xiang)需(xu)要(yao)掛(gua)什(shen)麼(me)類(lei)型(xing)的(de)牌(pai)子(zi)(CSC還是DNV就足夠����?)����,該箱子能否和其他集裝箱一起放到集裝箱船上運輸到境外等等。這個案子中���,企業方援引了《國際安全集裝箱公約》(我國加入了該公約����,所以在我國予以適用)�����,該公約規定了集裝箱需要掛CSC牌子。當時�����,沒有找到我國法律法規就這麼一個細小的要求作出的規定�,但是業內人士告知:ruguofeijizhuangxiangzhuangshanglejizhuangxiangchuanbo����,kenengzaihuoyunguochengzhongbeijiya�,jinerzaochengqitajizhuangxiangjiqihuowudesunhai����,zaiguowaixiehuogangxiehuoshiyerongyichanshengfengxian����,xiehuodechachedengshebeisheshikenengwufajiangzhuangzaijizhuangxiangchuanshangdefeijizhuangxiangxiangzixiexiachuanbo����,huozhezaixiehuoguochengzhongfashengsunhai��,dengdeng。
對於過錯解除情形���,缺乏規章製度層麵的解除依據(規章製度界定哪些行為屬於違紀行為��,以及相應的紀律措施)����,並bing不bu必bi然ran導dao致zhi用yong人ren單dan位wei根gen據ju勞lao動dong合he同tong法fa第di三san十shi九jiu條tiao解jie除chu員yuan工gong係xi違wei法fa����,但dan大da大da增zeng加jia了le論lun證zheng解jie除chu合he法fa的de難nan度du。在zai這zhe種zhong情qing況kuang下xia��,理li性xing人ren都dou會hui認ren為wei屬shu於yu嚴yan重zhong違wei紀ji���、為企業正常合法運營所不容的行為(比如法律�、行政法規�,明令禁止的行為或特定領域專業人員適用的職業道德規範所禁止的行為)�����,恐怕法官才會確信員工的確犯了錯����,而且犯的錯嚴重到用人單位可依法解除的程度。
yishangzhegeanzi���,bingfeiguojihuodailingyuyiwairenshisuoshuzhidelingyu�,ruguoyuangongdexingweimeiyouweifanshiyongyuwoguodeguojigongyue�����,ershiweifanleyeneiyuedingsuchengdezuofa(沒有任何明文的規定)���,要證明員工構成嚴重違規����,有可能需要很費力才能證明行為屬於“違紀”��,而且“違紀”挺嚴重���,需要讓非海事海商領域的法官在審這麼一個勞動解除案件形成什麼操作是對的���、什(shen)麼(me)操(cao)作(zuo)是(shi)錯(cuo)的(de)的(de)內(nei)心(xin)確(que)信(xin)。但(dan)是(shi)�,即(ji)便(bian)法(fa)律(lv)法(fa)規(gui)沒(mei)有(you)作(zuo)出(chu)什(shen)麼(me)行(xing)為(wei)是(shi)不(bu)可(ke)以(yi)做(zuo)的(de)界(jie)定(ding)�����,企(qi)業(ye)有(you)將(jiang)業(ye)內(nei)習(xi)慣(guan)規(gui)定(ding)到(dao)企(qi)業(ye)合(he)規(gui)製(zhi)度(du)中(zhong)��,有(you)詳(xiang)細(xi)的(de)業(ye)務(wu)操(cao)作(zuo)流(liu)程(cheng)�����,並(bing)且(qie)對(dui)員(yuan)工(gong)進(jin)行(xing)過(guo)培(pei)訓(xun)���,既(ji)方(fang)便(bian)員(yuan)工(gong)執(zhi)行(xing)����,也(ye)容(rong)易(yi)判(pan)斷(duan)員(yuan)工(gong)是(shi)否(fou)存(cun)在(zai)過(guo)錯(cuo)。
所以��,有一套滿足所有強製性監管要求�,並融入了針對自身行業特點的行業習慣規範的內部規章製度�����、開展特定業務環節的業務操作規程/流程����,明確自身行業或業務特點所要求的“可為”和“不可為”dexingwei����,peibeiqiadangdeweiguijilvxingcuoshi�����,youzhuyubangzhuyuangongmingbainaxiekeyizuo���,naxiebukeyizuo�,zaiyuangongchupengzhexiehongxiandeshihou����,zekeyihefayoujudicaiqujilvxingcuoshi�����,shenzhigenjuweiguixingweiyanzhongchengdu�����,yifajiechuyuangong。
四���、 如何構建完善的內部合規製度
回到文首提到的某企業員工刪庫案件�����,可以看出員工進行重大操作的權限設置何其重要。對一般企業而言����,業務流程中的重要崗位(不一定是高級別崗位)的員工職責�、權限分配等細節問題的處理���,對企業完善內部合規製度提出考驗。那麼如何構建完善的內部合規製度呢��?
1.製定完備的內部規章製度�、流程
員工手冊�����、xingweishouzedouxuyaoyuyizhiding�����,tongshigenjuxingyetedianzhunbeiyewucaozuoliucheng�,jinkenengxiangxidihuadingnaxiekeyizuo����,naxiebukezuodebianjie。zhexieneibudeguizhangzhidu�����、業務流程需要根據具體情況定期或不時調整更新(包括在出現違規事件後調查�����,如規章製度有漏洞��,則需要在製度層麵填補漏洞)。不建議泛泛而談��、簡單地規定員工應遵紀守法�����、遵守國家標準和行業標準���,而應該在這些原則性要求的基礎上�,將這些標準的詳細要求內化到本企業的內部規範中。
合規製度層麵需要規範的方麵包括但不限於:遵紀守法��、遵守商業道德���、遵守適用的職業道德規範��、執業規範�、反腐敗與反賄賂����、利益衝突���、保密義務����、個人信息保護等。企業需要考慮自己所處的行業���、經營特點��,作出不同維度的合規製度����,形成內部合規體係��;結合具體業務活動�,相應內部文本�、外部文本如業務合同的製度�����、審核�、修改需要注意體現合規要求。
企業部門之間的聯動機製���、不同部門的職責權限��、不同人員的職責權限需要放到合規的整體框架中去考量和優化。
將員工需要遵守的行為規範與紀律性措施掛鉤�,通過員工手冊的援引適用作出恰當的製度安排。
2.本地化
對於跨國經營業務的實體��,其內部的員工手冊����、行為準則以及業務操作流程�,需要在兼顧集團層麵規定的前提下�,根據各實體所在國家或地區的強製性規定����、強製性標準予以修改��、實施�,實現本地化。
3.加強員工培訓
規gui章zhang製zhi度du製zhi定ding完wan備bei後hou不bu能neng束shu之zhi高gao閣ge。需xu要yao向xiang員yuan工gong提ti供gong定ding期qi培pei訓xun�����,幫bang助zhu員yuan工gong熟shu悉xi和he了le解jie內nei部bu規gui章zhang製zhi度du的de內nei容rong和he要yao求qiu��,以yi及ji違wei法fa違wei規gui可ke能neng麵mian臨lin的de後hou果guo�,以yi幫bang助zhu員yuan工gong樹shu立li合he規gui意yi識shi。
出現員工違規行為的�����,調查結束後����,可結合出現違規的問題��,有針對性地對員工開展教育培訓。
4.開展內部審計
建立一套審計機製。可以由內部有權限的部門或者委托外部第三方定期或者懷疑可能出現違規事件時�,開展製度�����、流程及員工行為的審計�,以發現合規製度執行過程中遇到的難題�、灰色地帶以及合規製度是否存在不能適應新的法規����、新情況的情形�����,然後再對合規製度進行完善和優化。
5�����、建立舉報(whistle-blowing)機製
國(guo)外(wai)合(he)規(gui)製(zhi)度(du)中(zhong)不(bu)乏(fa)舉(ju)報(bao)機(ji)製(zhi)相(xiang)關(guan)要(yao)求(qiu)。企(qi)業(ye)的(de)合(he)規(gui)製(zhi)度(du)也(ye)可(ke)參(can)照(zhao)建(jian)立(li)鼓(gu)勵(li)員(yuan)工(gong)進(jin)行(xing)舉(ju)報(bao)的(de)機(ji)製(zhi)����,畢(bi)竟(jing)工(gong)作(zuo)在(zai)一(yi)線(xian)的(de)員(yuan)工(gong)較(jiao)容(rong)易(yi)接(jie)觸(chu)或(huo)發(fa)現(xian)違(wei)規(gui)��、違法行為。本文作者十餘年前剛進入律師行業時�����,親曆了因為某外資公司員工overhear(偷聽)到其他員工談論的違紀行為�、繼ji而er引yin發fa的de一yi起qi供gong貨huo合he同tong糾jiu紛fen。該gai員yuan工gong向xiang公gong司si法fa務wu部bu負fu責ze人ren報bao告gao了le在zai公gong開kai場chang合he聽ting到dao的de違wei規gui事shi件jian����,才cai引yin發fa公gong司si對dui供gong應ying商shang的de調tiao查zha�,進jin而er對dui其qi提ti起qi了le合he同tong爭zheng議yi仲zhong裁cai申shen請qing。該gai案an例li充chong分fen說shuo明ming����,舉ju報bao機ji製zhi有you其qi不bu可ke估gu量liang的de價jia值zhi。(當然�,該案例也凸顯了企業要求員工不得在公開場合談論企業商業秘密等事宜���、防止overhear的重要性!)
當然���,建立舉報機製需要充分考慮舉報路徑���、匿名保護����、對舉報者的回應���、如何防範“誣告”���、如何啟動調查�、被調查員工的隱私保護等細節問題。
6��、適時對違紀行為采取措施
發現員工涉嫌違紀行為時�����,啟動調查�����,核實違規事實����,保存證據����,然後依法實施相應的紀律性措施�����,包括解除嚴重違紀或違法的員工。
在對違紀�����、違法的個案進行處理時���,企業法務或合規人員應思考合規製度或流程�����、甚至崗位設置���、崗位職責權限方麵是否存在有待修改�、完善或提高的方麵�,及時查漏補缺���,適應不斷發展的新情況����、新變化。
7�����、規定應急措施的采取
benwenqianshutijideyuangongshankushijian��,qiyeyouxianggonganbaoan。qunianyeyoubaochuguoneiyouqiyejubaolizhiyuangong��,yuangongbeizhuadexinwen。benwenzuozhewuyipinglunzhexieanjian。
作(zuo)者(zhe)認(ren)為(wei)����,必(bi)要(yao)時(shi)���,企(qi)業(ye)不(bu)得(de)不(bu)向(xiang)有(you)關(guan)部(bu)門(men)��,包(bao)括(kuo)公(gong)安(an)報(bao)告(gao)案(an)件(jian)。不(bu)過(guo)����,考(kao)慮(lv)到(dao)刑(xing)事(shi)案(an)件(jian)的(de)嚴(yan)重(zhong)性(xing)�,企(qi)業(ye)就(jiu)員(yuan)工(gong)的(de)違(wei)法(fa)違(wei)規(gui)事(shi)件(jian)在(zai)向(xiang)公(gong)安(an)等(deng)報(bao)案(an)前(qian)�����,有(you)必(bi)要(yao)在(zai)內(nei)部(bu)先(xian)行(xing)衡(heng)量(liang)案(an)件(jian)的(de)性(xing)質(zhi)�、企業員工是否涉及刑事違法行為�����,然後再審慎作出是否報案的決定。否則�,未經權衡評估�����、輕易進行刑事案件方麵的舉報����,視具體情況而言�����,由於互聯網快速傳播性質�,有可能帶來企業聲譽方麵的影響。
此外�����,在數據合規領域��,涉及到數據泄漏等安全事件��,按照《網絡安全法》的規定��,需要立即啟動應急預案�����、采取相應的補救措施�����,並按照規定向有關主管部門報告。因此��,各企業需要梳理適用的有關法律法規所設定的報告義務��,及時履行。
最後����,提請注意���,企業的合規工作是個動態的過程���,時刻不可鬆懈����、掉以輕心。否則��,一旦出現某些違規違法行為���,視具體情況�,將可能產生非常嚴重的後果。
注釋:
[i] SaaS即Software-as-a-Service�����,指的是通過網絡提供應用軟件服務。通常�����,SaaS服務商提供應用軟件平台���,客戶根據需要使用軟件平台提供的應用軟件服務�����,並向平台方支付服務費。大型SaaS服務提供商掌握了大量的客戶數據����,如果大量數據丟失不能找回�,平台上客戶的業務可能因此受到影響。
[ii] 詳情參見網址:https://cdn2.weimob.com/saas/@assets/saas-fe-group-web-stc/pdf/cn/c2013.pdf����,最後瀏覽日期為2020年3月25日。
[iii] 詳情參見《微盟因刪庫事件賠付1.5億元》�,網址:https://baijiahao.baidu.com/s?id=1660100762519563727&wfr=spider&for=pc����,最後瀏覽日期為2020年3月25日。
[iv] 詳情參見銀保監會官網�����,網址:http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=855681&itemId=4115&generaltype=9��,最後瀏覽日期為2020年3月25日。
[v] 詳情參見中國裁判文書網�����,網址:http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=4698f84de11847fb8ce3a71200fbc922�,最後瀏覽日期為2020年3月25日。
[vi] 詳情參見中國裁判文書網:http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=c9b2766c4a4d44ecb303a7bb00f20229����,最後瀏覽日期為2020年3月25日。
[vii] 王誌樂主編:《企業合規管理操作指南》�����,中國法製出版社�,2017年10月第1版����,第1頁。
