新階段��,新挑戰
2019年底COVID-19疫情爆發��,繼而波及全球。這一場疫情�����,從某種程度上說 ��,改變了企業某些運行方式�����,也改變了我們與周遭世界的關係����,影響非常重大且廣泛。
員工們居家隔離及居家遠程辦公�����、使用zoom等視頻會議軟件����,一些信息泄漏事件��,引起了大家對於網絡安全���、個人隱私����、qiyexinxianquanfangmiandeguanzhuhetaolun。xianshanggongzuomoshi�����,zhujianchengweiwomenrichanggongzuodeyibufen���,shifouxuyaodazaoqiyezijideanquanxitongyongyuxianshanggongzuomoshi�����,ruhetongguoguanliyuangongdadaojianshaogerenxinxi�、隱私以及企業商業秘密�、企業其他信息泄漏�,是眾多企業需要考慮的問題。
出於疫情防控之需要����,各類個人信息�����、數據被大量收集����,一些被不當披露個人信息的人員�����,收到了騷擾�、謾罵等電話�,或受到了歧視待遇�,一些肇事者被施以治安管理處罰。隨著歐盟GDPR通過並執行����、中國《網絡安全法》的實施�,各類民商事法規加入個人信息保護條款��,大眾包括勞動者對個人信息保護與隱私的關注度逐漸加強�����,並因疫情中的泄漏及/huorenroushijian�����,chengweirenmentaolunderedianwentizhiyi。qiyezaipeihezhuguanbumenjinxingyiqingfangkongshi�,shoujishangbaodeqiyeyuangongxinxiruhequebaoanquanxing�����,chengweiqiyebudebuyuyikaolvdewenti。yucitongshi��,gerenxinxibaohuheshujuanquanfangmiandelifahuodongruhuorutu��,bulunshifoudashujuqiye����,geleiqiyejunshoudaogerenxinxibaohuheshujuheguifalvfaguidezhiyue:一方麵��,企業需要保護企業員工的個人信息和隱私�����;另ling一yi方fang麵mian��,企qi業ye的de運yun營ying業ye務wu涉she及ji產chan品pin或huo服fu務wu終zhong端duan用yong戶hu的de個ge人ren信xin息xi保bao護hu和he數shu據ju合he規gui義yi務wu的de�����,從cong內nei部bu員yuan工gong層ceng麵mian需xu要yao分fen清qing職zhi責ze��,確que立li流liu程cheng��,通tong過guo崗gang位wei和he職zhi能neng設she置zhi�����、實施合規流程確保合規。
疫情還將互聯網����、線xian上shang業ye務wu的de優you勢shi加jia倍bei放fang大da��,不bu少shao傳chuan統tong企qi業ye快kuai速su轉zhuan變bian����,加jia入ru到dao浩hao浩hao蕩dang蕩dang的de企qi業ye數shu字zi化hua進jin程cheng大da潮chao之zhi中zhong�����,包bao括kuo自zi行xing搭da建jian自zi營ying電dian商shang平ping台tai��,或huo者zhe整zheng合he現xian有you業ye務wu流liu程cheng實shi現xian業ye務wu線xian上shang化hua����,或huo深shen度du參can與yu到dao互hu聯lian網wang平ping台tai經jing濟ji中zhong。企qi業ye作zuo為wei網wang絡luo運yun營ying者zhe根gen據ju《網絡安全法》需要承擔諸多關於數據合規和個人信息保護相關的合規要求�����,人力資源管理也必須參與到員工個人信息保護�����、員工培訓�����、與關鍵崗位員工簽署保密協議的合規管理環節中。同時�����,企業與外部合作方的合作���,除了需要考慮傳統的反賄賂�����、反腐敗�����、利益衝突����,也需厘清關於數據安全����、個人信息安全以及互聯網內容安全等責任邊界。
員工作為網民�����,有很多發表言論的渠道�,員工自由言論與企業權益之間的碰撞(如拚多多員工匿名發帖事件)引發了廣泛關注。可否在工作時間之外限製員工的言論�����;員工在社交媒體發布含有企業內部信息的消息��,可否一概而論予以解除勞動關係����;如何通過員工手冊及內部規章製度合理圈定員工個人言論自由與保護企業聲譽的合理界限����;如何通過合法的手段獲取員工(匿名)發帖的事實����,不少問題值得討論。
《民法典》的出台乃舉國之盛事。這也引發了很多關於勞動法與《民法典》之間關係以及《民法典》的內容可否適用於勞動關係的討論。職場反性騷擾被寫入了《民法典》��,用人單位負有義務采取合理的預防�����、受理投訴�����、調查處置等措施��,防止和製止利用職權��、congshuguanxidengshishixingsaorao。ruguoqiyezaizhefangmianbuzuowei��,xiaojiduidaizheyifadingyiwu�����,weilaishifoujiangchengdanmouxiefalvzeren���,zhezhongfalvzerenshifoujinjinshiminshijiaodudeqinquanzeren����,haishiyoukenengchengdanxingzhengfalvzeren�?
隨著時代發展���,企業麵臨的合規要求越來越複雜��,監管要求和執法越來越嚴�,如�,個人信息保護�����、網絡安全�、反fan壟long斷duan等deng領ling域yu�,監jian管guan部bu門men嚴yan格ge監jian管guan及ji執zhi法fa呈cheng逐zhu漸jian加jia強qiang態tai勢shi���,監jian管guan部bu門men近jin期qi公gong布bu了le不bu少shao重zhong大da案an件jian的de行xing政zheng處chu罰fa情qing況kuang。另ling一yi方fang麵mian�����,作zuo為wei全quan球qiu化hua的de一yi份fen子zi�����,不bu少shao中zhong國guo企qi業ye走zou出chu去qu��,要yao麼me產chan品pin或huo服fu務wu麵mian向xiang國guo外wai企qi業ye或huo消xiao費fei者zhe���,要yao麼me直zhi接jie在zai國guo外wai投tou資zi或huo上shang市shi�����,從cong而er不bu得de不bu處chu於yu被bei中zhong國guo以yi外wai司si法fa管guan轄xia權quan監jian管guan部bu門men監jian管guan的de地di位wei。美mei國guo的de製zhi裁cai及ji出chu口kou管guan製zhi措cuo施shi��、中美國際關係的複雜化�����,部分中國企業被製裁��,為開展境外業務的中國企業敲響了警鍾�,企業需要關注的合規領域從傳統的反賄賂���、fanfubaibixukuozhandaoyuqiyexixixiangguandeqitagegefangmian�,bujinxuyaoguanzhuguoneideheguiyaoqiu�,qiyehaixushijutiqingkuangguanzhuguowaifalvfaguihezhengcehuanjing。
企業合規已然奔著大合規的趨勢而去���,企業符合大合規監管要求的時代早已來臨。
勞動人事管理與“大合規”
具備獨立法人主體資格的企業�����,從民事����、行政���、刑事法律角度均構成責任主體�,需要對自身過錯行為承擔相應的責任。公司是法律上擬製的“人”���,公gong司si的de意yi誌zhi和he行xing為wei�����,均jun最zui終zhong通tong過guo有you關guan自zi然ran人ren去qu體ti現xian和he執zhi行xing���,如ru公gong司si作zuo出chu重zhong大da決jue策ce�,需xu要yao按an照zhao法fa律lv規gui定ding或huo公gong司si章zhang程cheng規gui定ding����,由you股gu東dong會hui成cheng員yuan或huo董dong事shi會hui成cheng員yuan作zuo出chu決jue議yi���;公司的日常經營管理���,由公司的經營管理機構(由總經理及相關人員組成)進行���;公司履行和外部第三方的合同��,需要公司人員去執行(比(bi)如(ru)��,零(ling)售(shou)公(gong)司(si)采(cai)購(gou)用(yong)於(yu)門(men)店(dian)發(fa)放(fang)給(gei)消(xiao)費(fei)者(zhe)的(de)產(chan)品(pin)手(shou)冊(ce)的(de)印(yin)製(zhi)服(fu)務(wu)�,從(cong)下(xia)訂(ding)單(dan)到(dao)接(jie)受(shou)產(chan)品(pin)手(shou)冊(ce)的(de)整(zheng)個(ge)流(liu)程(cheng)中(zhong)���,均(jun)由(you)公(gong)司(si)相(xiang)關(guan)職(zhi)能(neng)部(bu)門(men)人(ren)員(yuan)配(pei)合(he)完(wan)成(cheng))。
因(yin)此(ci)���,公(gong)司(si)的(de)合(he)規(gui)工(gong)作(zuo)與(yu)勞(lao)動(dong)人(ren)事(shi)管(guan)理(li)的(de)天(tian)然(ran)連(lian)接(jie)點(dian)就(jiu)是(shi)公(gong)司(si)相(xiang)關(guan)人(ren)員(yuan)��,包(bao)括(kuo)高(gao)管(guan)和(he)員(yuan)工(gong)。公(gong)司(si)若(ruo)要(yao)確(que)保(bao)合(he)規(gui)����,從(cong)本(ben)質(zhi)上(shang)說(shuo)��,規(gui)範(fan)公(gong)司(si)相(xiang)關(guan)人(ren)員(yuan)的(de)行(xing)為(wei)是(shi)重(zhong)要(yao)起(qi)點(dian)。公(gong)司(si)應(ying)通(tong)過(guo)一(yi)套(tao)結(jie)合(he)自(zi)身(shen)所(suo)處(chu)行(xing)業(ye)領(ling)域(yu)實(shi)際(ji)情(qing)況(kuang)的(de)內(nei)部(bu)規(gui)章(zhang)製(zhi)度(du)�、內部合規流程�����,確立公司的合規目標����、合規要求及合規流程����,以此規範員工的行為��,進而規範公司與公司外部第三方的各種合作���、安排或關係。
從勞動人事管理的全生命周期來看����,下述環節均與合規管理息息相關��,合規的理念和製度執行需要體現在下述環節中(以網絡安全和數據合規領域部分合規要求為例):
1. 員工手冊及各項規章製度的建立��、完善
無以規矩�����,不成方圓。建立及適時更新內部合規製度是合規工作的起點����,作者另一篇文章《無規矩不成方圓——企業為什麼要建立完善內部合規製度����?》[51] 介紹了什麼是合規以及建立企業內部規章製度的重要性�,本文不再贅述。需要強調的是��,該文章中介紹的某奶粉公司人員非法獲取孕婦�����、嬰兒個人信息����,構成非法侵害公民個人信息罪案例��,被眾多合規界人士廣為援引����、討論��,其重大意義在於:公司建立�、wanshanheguizhidu�����,mingqueheguiyaoqiu��,duiyuangongjinxingpeixun�����,goujianlezuquegongsigouchengweifaweiguixingweideyoulipingzhang�,yuyuangongweibeigongsineibuheguizhidushishidefeifaxingweizhifalvzerenjinxingleqiege。youci��,gongsizhidingbingshishineibuguizhangzhidudezhongyaoxingkejianyiban。
建立合規管理製度需要考慮的因素包括三個層次����,一是宏觀上充分了解公司所處國家或地區的社會�、政治�、經濟�����、文化�����、法律監管環境及發展趨勢(這一點對在不同國家開展業務的企業來說非常重要)����,二是�����,了解公司所在行業的市場情況��、競爭環境����、客戶需求和發展方向等���,三是立足於企業的目標���、規模����、發展戰略����、治理結構�����、業務模式和麵臨的風險等等。[i]
內部規章製度凡涉及員工切身利益����,比如��,違反該等規章製度�����,公司有權處罰甚至解除員工�,則需要結合《勞動合同法》的de規gui定ding�,通tong過guo民min主zhu程cheng序xu通tong過guo。公gong司si還hai應ying通tong過guo培pei訓xun等deng途tu徑jing確que保bao員yuan工gong知zhi曉xiao合he規gui管guan理li製zhi度du的de要yao求qiu和he怎zen麼me做zuo�,留liu存cun員yuan工gong簽qian收shou合he規gui管guan理li製zhi度du的de文wen件jian及ji承cheng諾nuo函han。
2. 崗位設置及職能
(1) 某些崗位必須予以設置。
· 《網絡安全法》規定�,網絡運營者應確定網絡安全負責人。關鍵信息基礎設施運營者�����,則應設置專門安全管理機構和安全管理負責人。
· 《信息安全技術 個人信息安全規範》(GB/T 35273-2020)(下稱“《個人信息安全規範》”)規定����,滿足業務性質及相應規模要求時��,設置專職個人信息保護負責人和個人信息保護工作機構:主要業務涉及個人信息處理����,且從業人員大於200人�;處理超過100萬人個人信息��,或預計在12個月內處理超過100萬人個人信息; 或處理超過10萬人的個人敏感信息。
(2) 公司組織架構及特定崗位的職能設置���,需與公司的合規製度流程相適應����,確保合規製度流程能夠落地。
歐盟的《通用數據保護條例》(GDPR)要求數據控製者執行設計階段的數據保護與默認數據保護原則(Data protection by design and by default)[ii]����,指的是在決定處理數據的方式及處理數據時均需要采取適當的技術措施和組織措施以確保符合GDPR的要求並保護個人信息主體的權益���,值得國內借鑒。我國《個人信息安全規範》第11.4條規定個人信息控製者進行個人信息安全影響評估�,包括在收集個人信息時及後續的某些處理行為(如共享���、轉讓等)遵循個人信息安全基本原則的情況����,以及個人信息處理活動對個人信息主體合法權益的影響。我國處於立法過程中的《個人信息保護法(草案)》二審稿第五十四條也規定���,個人信息處理者應當對特定個人信息處理活動在事前進行風險評估����,並對處理情況進行記錄。
實際上��,公司的產品或服務研發部門在開發產品或服務的初期以及後續過程中必要時�,需要與合規部門/法(fa)務(wu)部(bu)門(men)協(xie)作(zuo)���,評(ping)估(gu)風(feng)險(xian)�����,采(cai)取(qu)適(shi)當(dang)的(de)合(he)規(gui)措(cuo)施(shi)。這(zhe)種(zhong)不(bu)同(tong)崗(gang)位(wei)人(ren)員(yuan)的(de)協(xie)作(zuo)����,一(yi)方(fang)麵(mian)涉(she)及(ji)到(dao)公(gong)司(si)合(he)規(gui)流(liu)程(cheng)安(an)排(pai)�����,另(ling)一(yi)方(fang)麵(mian)也(ye)意(yi)味(wei)著(zhe)特(te)定(ding)崗(gang)位(wei)人(ren)員(yuan)在(zai)什(shen)麼(me)時(shi)候(hou)履(lv)行(xing)什(shen)麼(me)樣(yang)的(de)職(zhi)能(neng)的(de)職(zhi)能(neng)設(she)置(zhi)問(wen)題(ti)���,當(dang)然(ran)這(zhe)本(ben)身(shen)也(ye)屬(shu)於(yu)公(gong)司(si)合(he)規(gui)流(liu)程(cheng)的(de)一(yi)個(ge)重(zhong)要(yao)組(zu)成(cheng)要(yao)素(su)。
3. 招聘
(1) 根據合規要求����,某些崗位必須具備的資格資質條件����,需要落實到崗位描述中:
某些崗位的人員選聘受到限製。《個人信息安全規範》規定�,個人信息保護負責人應由具有相關管理工作經曆和個人信息保護專業知識的人員擔任。《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239 – 2019)(下稱“《網絡安全等級保護基本要求》”)規定���,等保第四級網絡運營者應從內部人員中選拔從事關鍵崗位的人員。
(2) 招聘階段��,公司必須對有關人員進行背景調查:
· 根據《網絡安全法》的規定�����,關鍵信息基礎設施運營者必須對安全管理負責人和關鍵崗位人員進行安全背景審查。
· 根據《網絡安全法》第六十三條的規定�����,違反該法第二十七條規定�,受到治安管理處罰的人員�,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作��;受到刑事處罰的人員���,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
· 《個人信息安全規範》規定應對大量接觸個人敏感信息的人員進行背景審查��,以了解其犯罪記錄���、誠信狀況等。又如��,《網絡安全等級保護基本要求》規定����,等保第三級網絡運營者應對被錄用人員的身份���、安全背景�、專業資格或資質進行審查����,對其所具有的技術技能進行考核。
4. 培訓
新員工培訓��、按照法律規定定期進行的培訓����、heguiguanlizhidujifalvfaguiyaoqiufashengbiangengshidepeixun����,duiyugongsiheguiyunyinglaishuodoushibixude。peixunkeyishineibuzhuanyerenshijinxing�,yekeyiyaoqingwaibutedinglingyuzhuanjiajinxing。duiyouguanyuangongjinxingpeixunbingbaoliupeixunjiluzhengmingdeng�����,yeshuyuheguiwenbentixibukequeshaodeyibufen。
· 《網絡安全法》規定�����,關鍵信息基礎設施的運營者應定期對從業人員進行網絡安全教育�����、技術培訓和技能考核。
· 《個人信息安全規範》規定:應定期(至少每年一次)或(huo)在(zai)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)政(zheng)策(ce)發(fa)生(sheng)重(zhong)大(da)變(bian)化(hua)時(shi)��,對(dui)個(ge)人(ren)信(xin)息(xi)處(chu)理(li)崗(gang)位(wei)上(shang)的(de)相(xiang)關(guan)人(ren)員(yuan)開(kai)展(zhan)個(ge)人(ren)信(xin)息(xi)安(an)全(quan)專(zhuan)業(ye)化(hua)培(pei)訓(xun)和(he)考(kao)核(he)�,確(que)保(bao)相(xiang)關(guan)人(ren)員(yuan)熟(shu)練(lian)掌(zhang)握(wo)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)政(zheng)策(ce)和(he)相(xiang)關(guan)規(gui)程(cheng)。並(bing)且(qie)��,應(ying)定(ding)期(qi)(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練���,使其掌握崗位職責和應急處置策略和規程。
5. 審計與內部違紀調查
有的法律法規規定公司應對某些行為進行審計。如���,正處於立法過程中的《個人信息保護法(草案)》二審稿第五十三條規定�����,個人信息處理者應當定期對其個人信息處理活動���、采取的保護措施等是否符合法律����、行政法規的規定進行審計。履行個人信息保護職責的部門有權要求個人信息處理者委托專業機構進行審計。
審計過程中發現違法違規行為���,通常涉及公司內部人員的違法���、違規或違反公司內部合規製度����、合規流程行為。另一方麵���,在進行 常規審計之外�����,因收到舉報���,必要時���,公司需要啟動違紀調查。公司發現員工存在違法違規行為時��,需要根據《勞動合同法》及內部規章製度�、員工的勞動合同等綜合評估����,適時采取恰當的紀律性措施。
調tiao查zha過guo程cheng需xu要yao在zai確que保bao員yuan工gong個ge人ren信xin息xi與yu隱yin私si前qian提ti下xia進jin行xing����,同tong時shi保bao留liu合he規gui調tiao查zha中zhong獲huo得de的de各ge項xiang文wen書shu及ji記ji錄lu等deng��,這zhe些xie在zai必bi要yao時shi將jiang成cheng為wei對dui員yuan工gong采cai取qu紀ji律lv性xing措cuo施shi的de證zheng據ju�����,以yi及ji作zuo為wei後hou續xu出chu現xian勞lao動dong爭zheng議yi時shi作zuo為wei公gong司si抗kang辯bian的de依yi據ju。
結語
合規工作與勞動人事管理密不可分�,二者協調融和方能達到良好的合規效果��,因此企業合規這一係統工程需要企業多個部門(包括人力資源部門)的de積ji極ji參can與yu。企qi業ye必bi要yao時shi可ke尋xun求qiu外wai部bu法fa律lv顧gu問wen的de協xie助zhu。具ju備bei細xi分fen合he規gui領ling域yu專zhuan業ye知zhi識shi與yu經jing驗yan的de外wai部bu法fa律lv顧gu問wen需xu要yao了le解jie熟shu悉xi勞lao動dong法fa相xiang關guan知zhi識shi���,或huo者zhe說shuo熟shu悉xi勞lao動dong法fa領ling域yu的de律lv師shi做zuo合he規gui工gong作zuo具ju有you天tian然ran優you勢shi�����,前qian提ti是shi還hai得de熟shu知zhi企qi業ye麵mian對dui的de相xiang關guan行xing業ye細xi分fen領ling域yu的de合he規gui要yao求qiu。
注釋:
[i] 王誌樂主編��,丁繼華����、郭淩晨副主編�����,《企業合規管理操作指南》第109-110頁����,中國法製出版社�����,2017年10月第1版。
[ii] GDPR的規定:Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.
