返回列表
截止时间:2019-11-25

【主题演讲】陈瑞华教授:数据合规与公司治理

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,北京大学法学院教授陈瑞华在会上发表主题演讲,以下为演讲实录。

 北京大学法学院教授 陈瑞华

今天的主题是“全球视野下的数据合规与隐私保护研讨会”,我想着重就数据合规问题谈谈我个人的看法。这两天边研究最高检、最高法的司法解释边替我们的企业捏一把汗。如果就2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定了一个入罪标准“情节严重”,大数据企业不符合标准的恐怕微乎其微。这里面规定得很细。如此严格、严厉地对公民个人信息的保护当然是好事,但是我们没有一个企业的适应期,即没有给企业更多的改变商业模式的机会。中国每当兴起一个新兴产业的时候,给社会给国家民族带来的是一种新机会,无论是从技术和财富的增长还是便利人民角度来看都是社会进步。但是由于监管治理方式的落后,法律改革的滞后,我们每每出现一个新兴产业就会出现混乱,违法犯罪行为大量出现。唯一的办法是改变监管方式,转变监管理念,重新思考和反思多年来的运动式治理,严刑峻法的治理方式是摆在我们面前的最大问题。

最近我特别关注数据合规中的监管案例。例如,InfoTrack公司被指控没有实施对客户个人信息的保护,导致黑客侵入取得一百多万消费者的信息。黑客拿到这些信息以后从事了一些身份盗窃、欺诈等违法犯罪活动。除了侵入者受到处罚以外,InfoTrack公司也由于监管不力导致信息安全保护有重大漏洞。受到联邦贸易委员会的行政监管调查。在行政监管调查期间双方达成和解。根据FTC和InfoTrack公司达成的和解协议,InfoTrack公司要承担三项义务: 

第一,全面实施一项信息保护项目,除非你的个人信息保护项目得到良好的实施,在两年考验期期间停止该公司收集、出售、共享任何人的信息。而信息保护项目内容要包括重新评估企业内外部的安全因素、风险,实施安全保护措施,重新建立信息泄露监测程序。

第二,未来每两年InfoTrack公司要接受独立第三方对他的个人信息保护项目的评估,评估不合格可能要追加惩罚。

第三,FTC任命独立的评估专家或评估机构加入这个评估。整个协议就体现了通过大数据合规换取FTC的宽大处理达成行政和解。尽管和解协议里没有提到合规,但这就是数据合规的典型案例。 

数据保护是近年来新兴领域,在美国和欧盟,合规业务最大的四个领域是:一、海外贿赂问题;二、反洗钱合规,目前反洗钱合规体系建设有两个:一是反腐败,与腐败有关的反洗钱问题;二是恐怖主义融资领域的反洗钱问题。三、出口管制合规计划。四、大数据合规,又叫信息安全或信息保护合规。

图为:陈瑞华教授现场讲话

我们究竟怎么对待数据的合规呢?怎么对待在今天大数据公司的依规依法经营呢?我想从以下角度大体上谈谈我个人的观点,供大家参考。

一、高度重视行业合规风险。企业风险公认的有三大风险:一个风险叫经营风险,又叫业务风险。除了经营风险以外,近年来另一种风险就是财务风险。企业第三大风险是合规风险。合规风险就是因为经营活动不合规,违法犯罪行为得不到禁止所带来的双重法律后果:行政监管处罚的后果和刑事责任追究的后果。表面上,监管风险就是罚款,刑事风险就定罪、罚金。在企业合规领域,监管风险和刑事风险最大的后果是资格剥夺。

《网络安全法》对公司企业一般的制裁后果是责令改正、给予警告、罚款,而重大后果有五个:责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照。这种制裁方式跟美国、欧美在表述上会有不同,但本质上是一样的。一旦处罚到了这种程度,相当于宣告一个企业在法律上的死亡。企业一旦被取消资格,就不能继续经营了,员工将会失业,投资者将遭受重大损失,而股东、董事、投资人的重大损失,其上游的第三方、下游的大量代理商都会受到波及。因此,改变商业模式,建立合规体系成了全球企业承担的责任和义务,也是生存之道。

二、要认识到企业合规的价值在哪里。由于我们的大数据行业在中国刚刚兴起,监管没有跟上,法律比较滞后,所以我们今天的大数据行业与生俱来地野蛮生长,出现违规违法乃至犯罪行为的机率非常高。每个企业如果不建立合规体系,重新改变你的商业模式,被追究刑事责任几乎是必然的,每个企业都跑不掉。我研究了《网络安全法》,也研究了中国侵犯公民个人信息罪的案例。有关的规章制度、有关的法规刚刚起步,不是很完善。现在GDPR成了全球个人信息安全保护的最高标准,中国未来立法肯定受它影响。但仅就2017年《网络安全法》来看,提出了很多要求,也是我们今天企业需要高度重视的。

《网络安全法》作为一个行政法规,提出的基本要求是什么?《网络安全法》在网络信息安全、网络运行安全方面提出了大量的具体化标准。这里不讲具体问题,就讲具体原则。比如网络经营者收集使用个人信息要遵循合法、正当、必要的原则,公开收集使用的规则明确使用收集的目的、方式、范围,征得被收集人同意。再比如要求不得过度使用。你收集的必须是跟你业务有关的信息,无关的不能使用,不能过度采集。填的信息越多企业责任越大,风险越大,承担的个人信息安全管理义务也越大。此外还有网络运营者要及时删除个人信息。再比如你发布的电子信息软件不得设置恶意程序,你发现了这种恶意程序要及时告知用户,报告监管部门。这里我不一一介绍,大体上有二十多项这样的原则、准则,其实这些框架结构和欧盟的GDPR具有一定的相似性。但非常可惜的是,我们那么多原则性条款,那么多个人信息安全保护的规章、规则都没有转化成具体的制度。

我们不禁要问,如果一个企业是善意的,从事的业务是合法的业务,仅仅因为他的经营模式没有经过慎重的认证,一旦触犯了国家的行政法规如《网络安全法》乃至触犯了国家的刑法,情节不严重,上来就罚款,上来就严厉的处罚,上来有定罪判刑,是不是过于严厉?要不要给企业一个整改的机会?要不要给企业一个自我治理的机会?要不要让企业重新改变它的商业模式?这就是合规给我们带来的最大思考。

大家知道合规英语叫Compliance,本质不是依规经营、依法经营,合规的本质是四个self(自我),第一个是自我监管(Self-Policing),企业通过完善规章制度建立合规的政策来管理员工、第三方、合作伙伴乃至分公司、子公司。第二,自我报告(Self-Report),有违规行为自我向监管单位报告违规行为。第三,自我披露(Self-Disclosure),如果有违规行为主动披露。第四个是自我管理(Self-Management),发现规章制度的漏洞,及时弥补,进行有效的整改,让这个规章制度随时更新,防范相关的风险。

那么通过合规管理能达到什么样的效果?

第一,通过建立合规体系实现企业的可持续发展。经验表明,一个不合规的经营企业可以有短时间内的盈利效果,从实用主义、机会主义的角度来说,不合规短时间内占便宜,获取了高额利润。但也带来了极大风险,未来一旦被处罚将是严刑峻罚,剥夺资格,等于宣判企业在法律上死亡。所以P2P全行业取缔的教训告诉我们,大数据行业要想可持续发展,合规是第一生命,是灵魂,不合规企业很难发展,可持续发展基本理论决定了必须搞合规。

第二,企业的社会责任。最早的合规被认为是道德义务,最近二三十年来慢慢从道德义务变成了法律义务,总体上是公司的社会责任,一个公司除了盈利以外、可持续发展以外,还要保护环境,保护每个人的隐私信息,人格尊严,这是公司承担的社会责任,又叫道德责任。实际上合规就是把公司的社会责任、道德责任纳入到法律框架内进行公司的重新治理。

第三个,为什么要建立合规?合规的生命在于可以换取四个责任的切割,一是企业责任与员工责任,有了合规体系、合规计划,如果个别员工乃至高管从事的违规犯罪行为,企业可以免责,因为企业有合规证明企业没有责任,是员工的个人责任。最经典的案例是2017年兰州中院宣判的雀巢公司5名员工侵犯个人信息罪。5个兰州员工到甘肃几家医院花钱收买婴幼儿的信息,几个医务人员给他们提供数以万计的婴幼儿信息,当地公安立案,检察院起诉,兰州基层法宣告五名员工构成侵犯公民个人信息罪,五名员工上诉,理由是我们的行为是雀巢公司的行为,是单位犯罪。兰州中院在二审审判期间经过调查,雀巢中国有限责任公司的律师也向他提供了五份材料:雀巢合规宪章、雀巢合规政策、雀巢员工手册、雀巢员工培训记录、雀巢员工合规承诺书,充分证明这五个员工从进公司那一天就知道政策,接受了合规培训,签订了合规承诺书,不得从事违规行为,他们的行为是我们公司所禁止的,有明确规章制度。兰州中院判决书写到雀巢公司建立了完善合规政策,禁止公司员工从事获取个人信息的行为,所以这五个员工的行为是个人行为,雀巢公司不承担单位责任,单位无罪。这是2017年在律师界影响重大的合规换取无罪抗辩的第一案,合规政策、合规文件、合规培训记录作为证据证明员工责任而不是企业责任。

二是有效的切割第三方责任和公司责任。经验表明,大量的大数据领域了违规都发生在数据使用的第三方,所以通过建立合规体系让代理商等第三方承担责任,说明这个公司尽到了注意义务、合规义务,比如有一个尽职调查的责任,你跟他发展第三方的时候就得尽职调查,没有尽职调查报告,就不能发现合规风险,将来责任都是母公司的,所以要切割企业与第三方的责任。在大数据领域里,90%的责任来自第三方责任,母公司在发展第三方时做好合规风险的评估,合规尽职调查报告。这些形成书面文件、电子文档就可以证明企业是没有责任的。

三是客户责任与公司责任的切割。使用你所处理的大数据信息的客户可能滥用了使用权而从事了违法犯罪活动,你要对客户进行定期的培训和合规的评估、风险的防控,将客户分成等级,A、B、C、D级,D级达不到就取消合作关系,如果是C级可以给他进行定期的合规培训,要求整改。大数据企业得有这样的合规管理机制发展客户、培养客户、监管客户。

四是跟合作伙伴的责任分割。这些合作伙伴往往和你是信息共享的盈利模式,所以在与合作伙伴进行合作之前,尤其是紧密的合作并购,一定要做合规并购尽职调查报告,发现它的违规行为、违法行为,及时做报告并采取措施,才能有效的切割母公司和那些被并购的子公司的责任。把母公司的责任永远给降低到最低限度,让它免责,把责任尽量的推给员工,推给第三方,推给客户,推给合作伙伴。这个话可能说得很直白,但本质就在这里,当然必须得有完善的合规体系。

那什么叫有效的合规体系?大家注意三点:第一,只有一个书本上的合规规章制度不等于有效的合规计划。第二,违规行为的发生不等于合规计划是无效的,因为没有任何合规计划能保障任何违规行为得到解决,违规行为的发生不是说合规计划是无效的,关键在于要用有效的应对措施,应对措施是合规的组成部分。不要以为一个有效的合规计划能防止任何违规,不是,任何有效的合规计划不能避免任何违规行为。第三,有效的合规计划一定要有最低标准,唯有达到最低标准才能摆脱、防范、防控受到监管处罚和刑事追究的风险。

什么是有效的合规计划?我们分为四个板块:

第一个板块是合规宪章。一个企业要有最高的公司章程,要么写在公司章程里,要么单独列一个公司大数据合规宪章或相关准则。最大用处是表明公司大数据合规的价值观、原则、目标和框架结构,表明公司的基本价值观和基本的公司目标是合规经营。

第二板块是要有一套合规的组织体系,又叫组织法。一套合规的组织体系至少有四个要素构成:一是合规管理委员会,合规管理委员会设在董事会下面,合规管理委员会组成成员由公司高层组成,具有比较高的权威性。二是CCO(首席合规官),CCO要具有较高的权威,目前中国企业大部分是法务部门负责人担任。三是要有合规部门,这一般都放在法务部。四是任何分公司和其他业务部门都要有合规人员。这四个层级垂直领导具有足够的权威,保障不存在着利益冲突,具有独立性。合规组织体系要求很多,比如利益冲突要避免,要有足够的人员、足够的编制、有足够的拨款。

第三个板块,合规政策与员工行为准则。合规一定要针对合规风险建立专项合规机制。有些国有企业搞的合规体系竟然有三十多种合规风险,这绝对是无效的。大数据合规要单独写合规政策,单独做员工行为手册(员工准则)。我们把合规政策和员工行为准则叫合规的实体法。合规政策和行为准则要给每个员工发下去作为培训的手册。公司最高层要把这些合规政策和行为准则定期的进行沟通,如果其内容发生变化,要向所有员工、所有投资人、所有第三方客户及时的通报相关政策变化。这是合规的第三个板块,又叫实体法。

第四个板块是合规的程序法。合规的程序法就是一套合规管理体系,由三部分构成:

一、防范体系

防范体系由四个要素构成:(一)合规风险的评估。比如大数据容易出现危险的领域要评估出来,找到合规的风险点和重点合规领域,而且这种评估要随时更新,每年定期评估,你不能一劳永逸。(二)尽职调查,这要做好三方面的尽职调查:

1. 第三方尽职调查;

2. 分公司子公司的尽职调查;

3. 并购中的尽职调查。

(三)在防范里面还有一个是定期培训,全员工培训是最起码的,还有重点岗位培训,培训要有专门的合规政策、规章制度作为培训内容,要留下记录,培训要有记录,书面的、电子的记录,这在将来就是证据以证明企业尽到注意义务。(四)有效的报告,自上而下的合规风险报告,发现预防合规问题。

二、识别体系

一个有效的合规计划一定要有效识别合规风险。有这样几个制度:

     1、内部报告制度,内部要有一个举报制度,要有举报电报和举报的匿名热线、匿名网站;

     2、要有合规的内部定期评估机制,专项报告、专项评估,发现违规,及时处理;

     3、必要跟有关的部门结合起来,比如跟审计部门、跟公司部门的其他监管部门结合起来,发现违规及时处理。

三、应对机制

合规的应对体系是指违规行为一旦得到报告或一旦发现要采取有效的应对措施,化解危机,减少损失。应对非常重要。如果监管部门开始调查你,有关部门来了,这时候应该怎样应对呢?(一)积极配合,配合是第一位的,绝对不得毁灭证据,销毁软件,毁掉电子文档。(二)尽快由外部律师领衔进行一项专项调查——合规内部调查。违规行为一旦被发现,有关部门启动调查程序,要由无利害关系的第三方一般是法律人士和外部律师事务所有声誉的律师进行内部调查,调查的内容有违规行为的情况、违规责任人、制度的漏洞、商业模式的缺陷,就此专门做一个报告,报告尽快提交给监管部门,把这个报告交给监管部门可以起到两个作用:一是减轻监管部门调查的责任,二是表明配合调查的决心。接下来及时处理责任人非常重要,必要时启动反舞弊调查,绝对不能袒护责任人。合规的生命在于只要把责任人交出来,有效处理,企业就相对安全,有可能达成和解协议。(三)尽快制定完善改进合规计划的方案报给监管部门,这体现了积极整改、消除漏洞、防止再出现新的违规违法行为的决心。

最后,中国在行政监管领域直接与世界接轨,出现了三个积极变化:

1. 2015年在证券管理领域引入了行政和解制度。中国证监会有一个《行政和解试点办法》。根据有关部门的介绍,行政和解制度有可能扩展到其他领域,现在第一个创设的领域是证券监管,大数据合规未来的监管要不要引入取决于中国相关法规的修改。

2. 引入了严格责任制度。这发生在2017年《反不正当竞争法》。2017年的《反不正当竞争法》作为一个行政法规,第7条规定“员工有商业贿赂行为的,企业一律承担商业贿赂的行政责任”,但有一个例外,“企业有合规计划的,建立了合规计划的,企业可以不承担责任”。我国就第一次在反不正当竞争领域确立了合规换取免责制度。

3. 今年上半年国务院通过重大复杂敏感领域行政监管中的吹哨人制度,又叫举报人奖励制度。未来可能有两个部分:一是食品药品安全、大数据领域建立吹哨人进行高额赔款处罚。二是在高额罚款的基础上重金奖励举报人,并且匿名保护他。

我希望大家对合规问题高度重视,我们要把合规当成大数据公司可持续发展的保障。谢谢各位。

 

返回列表
「主题演讲」陈瑞华教授:数据合规与公司治理
截止时间:2021年10月21日 19:30-21:00

【主题演讲】陈瑞华教授:数据合规与公司治理

2019年11月18日,“全球视角下的数据合规与隐私保护”研讨会在北京大学举行。本次研讨会立足全球视野,旨在通过对国内外数据合规及隐私保护的相关法律法规及实践案例作出深度解读,以此为实务工作者提供有效的合规指引与建议,北京大学法学院教授陈瑞华在会上发表主题演讲,以下为演讲实录。

 北京大学法学院教授 陈瑞华

今天的主题是“全球视野下的数据合规与隐私保护研讨会”,我想着重就数据合规问题谈谈我个人的看法。这两天边研究最高检、最高法的司法解释边替我们的企业捏一把汗。如果就2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定了一个入罪标准“情节严重”,大数据企业不符合标准的恐怕微乎其微。这里面规定得很细。如此严格、严厉地对公民个人信息的保护当然是好事,但是我们没有一个企业的适应期,即没有给企业更多的改变商业模式的机会。中国每当兴起一个新兴产业的时候,给社会给国家民族带来的是一种新机会,无论是从技术和财富的增长还是便利人民角度来看都是社会进步。但是由于监管治理方式的落后,法律改革的滞后,我们每每出现一个新兴产业就会出现混乱,违法犯罪行为大量出现。唯一的办法是改变监管方式,转变监管理念,重新思考和反思多年来的运动式治理,严刑峻法的治理方式是摆在我们面前的最大问题。

最近我特别关注数据合规中的监管案例。例如,InfoTrack公司被指控没有实施对客户个人信息的保护,导致黑客侵入取得一百多万消费者的信息。黑客拿到这些信息以后从事了一些身份盗窃、欺诈等违法犯罪活动。除了侵入者受到处罚以外,InfoTrack公司也由于监管不力导致信息安全保护有重大漏洞。受到联邦贸易委员会的行政监管调查。在行政监管调查期间双方达成和解。根据FTC和InfoTrack公司达成的和解协议,InfoTrack公司要承担三项义务: 

第一,全面实施一项信息保护项目,除非你的个人信息保护项目得到良好的实施,在两年考验期期间停止该公司收集、出售、共享任何人的信息。而信息保护项目内容要包括重新评估企业内外部的安全因素、风险,实施安全保护措施,重新建立信息泄露监测程序。

第二,未来每两年InfoTrack公司要接受独立第三方对他的个人信息保护项目的评估,评估不合格可能要追加惩罚。

第三,FTC任命独立的评估专家或评估机构加入这个评估。整个协议就体现了通过大数据合规换取FTC的宽大处理达成行政和解。尽管和解协议里没有提到合规,但这就是数据合规的典型案例。 

数据保护是近年来新兴领域,在美国和欧盟,合规业务最大的四个领域是:一、海外贿赂问题;二、反洗钱合规,目前反洗钱合规体系建设有两个:一是反腐败,与腐败有关的反洗钱问题;二是恐怖主义融资领域的反洗钱问题。三、出口管制合规计划。四、大数据合规,又叫信息安全或信息保护合规。

图为:陈瑞华教授现场讲话

我们究竟怎么对待数据的合规呢?怎么对待在今天大数据公司的依规依法经营呢?我想从以下角度大体上谈谈我个人的观点,供大家参考。

一、高度重视行业合规风险。企业风险公认的有三大风险:一个风险叫经营风险,又叫业务风险。除了经营风险以外,近年来另一种风险就是财务风险。企业第三大风险是合规风险。合规风险就是因为经营活动不合规,违法犯罪行为得不到禁止所带来的双重法律后果:行政监管处罚的后果和刑事责任追究的后果。表面上,监管风险就是罚款,刑事风险就定罪、罚金。在企业合规领域,监管风险和刑事风险最大的后果是资格剥夺。

《网络安全法》对公司企业一般的制裁后果是责令改正、给予警告、罚款,而重大后果有五个:责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照。这种制裁方式跟美国、欧美在表述上会有不同,但本质上是一样的。一旦处罚到了这种程度,相当于宣告一个企业在法律上的死亡。企业一旦被取消资格,就不能继续经营了,员工将会失业,投资者将遭受重大损失,而股东、董事、投资人的重大损失,其上游的第三方、下游的大量代理商都会受到波及。因此,改变商业模式,建立合规体系成了全球企业承担的责任和义务,也是生存之道。

二、要认识到企业合规的价值在哪里。由于我们的大数据行业在中国刚刚兴起,监管没有跟上,法律比较滞后,所以我们今天的大数据行业与生俱来地野蛮生长,出现违规违法乃至犯罪行为的机率非常高。每个企业如果不建立合规体系,重新改变你的商业模式,被追究刑事责任几乎是必然的,每个企业都跑不掉。我研究了《网络安全法》,也研究了中国侵犯公民个人信息罪的案例。有关的规章制度、有关的法规刚刚起步,不是很完善。现在GDPR成了全球个人信息安全保护的最高标准,中国未来立法肯定受它影响。但仅就2017年《网络安全法》来看,提出了很多要求,也是我们今天企业需要高度重视的。

《网络安全法》作为一个行政法规,提出的基本要求是什么?《网络安全法》在网络信息安全、网络运行安全方面提出了大量的具体化标准。这里不讲具体问题,就讲具体原则。比如网络经营者收集使用个人信息要遵循合法、正当、必要的原则,公开收集使用的规则明确使用收集的目的、方式、范围,征得被收集人同意。再比如要求不得过度使用。你收集的必须是跟你业务有关的信息,无关的不能使用,不能过度采集。填的信息越多企业责任越大,风险越大,承担的个人信息安全管理义务也越大。此外还有网络运营者要及时删除个人信息。再比如你发布的电子信息软件不得设置恶意程序,你发现了这种恶意程序要及时告知用户,报告监管部门。这里我不一一介绍,大体上有二十多项这样的原则、准则,其实这些框架结构和欧盟的GDPR具有一定的相似性。但非常可惜的是,我们那么多原则性条款,那么多个人信息安全保护的规章、规则都没有转化成具体的制度。

我们不禁要问,如果一个企业是善意的,从事的业务是合法的业务,仅仅因为他的经营模式没有经过慎重的认证,一旦触犯了国家的行政法规如《网络安全法》乃至触犯了国家的刑法,情节不严重,上来就罚款,上来就严厉的处罚,上来有定罪判刑,是不是过于严厉?要不要给企业一个整改的机会?要不要给企业一个自我治理的机会?要不要让企业重新改变它的商业模式?这就是合规给我们带来的最大思考。

大家知道合规英语叫Compliance,本质不是依规经营、依法经营,合规的本质是四个self(自我),第一个是自我监管(Self-Policing),企业通过完善规章制度建立合规的政策来管理员工、第三方、合作伙伴乃至分公司、子公司。第二,自我报告(Self-Report),有违规行为自我向监管单位报告违规行为。第三,自我披露(Self-Disclosure),如果有违规行为主动披露。第四个是自我管理(Self-Management),发现规章制度的漏洞,及时弥补,进行有效的整改,让这个规章制度随时更新,防范相关的风险。

那么通过合规管理能达到什么样的效果?

第一,通过建立合规体系实现企业的可持续发展。经验表明,一个不合规的经营企业可以有短时间内的盈利效果,从实用主义、机会主义的角度来说,不合规短时间内占便宜,获取了高额利润。但也带来了极大风险,未来一旦被处罚将是严刑峻罚,剥夺资格,等于宣判企业在法律上死亡。所以P2P全行业取缔的教训告诉我们,大数据行业要想可持续发展,合规是第一生命,是灵魂,不合规企业很难发展,可持续发展基本理论决定了必须搞合规。

第二,企业的社会责任。最早的合规被认为是道德义务,最近二三十年来慢慢从道德义务变成了法律义务,总体上是公司的社会责任,一个公司除了盈利以外、可持续发展以外,还要保护环境,保护每个人的隐私信息,人格尊严,这是公司承担的社会责任,又叫道德责任。实际上合规就是把公司的社会责任、道德责任纳入到法律框架内进行公司的重新治理。

第三个,为什么要建立合规?合规的生命在于可以换取四个责任的切割,一是企业责任与员工责任,有了合规体系、合规计划,如果个别员工乃至高管从事的违规犯罪行为,企业可以免责,因为企业有合规证明企业没有责任,是员工的个人责任。最经典的案例是2017年兰州中院宣判的雀巢公司5名员工侵犯个人信息罪。5个兰州员工到甘肃几家医院花钱收买婴幼儿的信息,几个医务人员给他们提供数以万计的婴幼儿信息,当地公安立案,检察院起诉,兰州基层法宣告五名员工构成侵犯公民个人信息罪,五名员工上诉,理由是我们的行为是雀巢公司的行为,是单位犯罪。兰州中院在二审审判期间经过调查,雀巢中国有限责任公司的律师也向他提供了五份材料:雀巢合规宪章、雀巢合规政策、雀巢员工手册、雀巢员工培训记录、雀巢员工合规承诺书,充分证明这五个员工从进公司那一天就知道政策,接受了合规培训,签订了合规承诺书,不得从事违规行为,他们的行为是我们公司所禁止的,有明确规章制度。兰州中院判决书写到雀巢公司建立了完善合规政策,禁止公司员工从事获取个人信息的行为,所以这五个员工的行为是个人行为,雀巢公司不承担单位责任,单位无罪。这是2017年在律师界影响重大的合规换取无罪抗辩的第一案,合规政策、合规文件、合规培训记录作为证据证明员工责任而不是企业责任。

二是有效的切割第三方责任和公司责任。经验表明,大量的大数据领域了违规都发生在数据使用的第三方,所以通过建立合规体系让代理商等第三方承担责任,说明这个公司尽到了注意义务、合规义务,比如有一个尽职调查的责任,你跟他发展第三方的时候就得尽职调查,没有尽职调查报告,就不能发现合规风险,将来责任都是母公司的,所以要切割企业与第三方的责任。在大数据领域里,90%的责任来自第三方责任,母公司在发展第三方时做好合规风险的评估,合规尽职调查报告。这些形成书面文件、电子文档就可以证明企业是没有责任的。

三是客户责任与公司责任的切割。使用你所处理的大数据信息的客户可能滥用了使用权而从事了违法犯罪活动,你要对客户进行定期的培训和合规的评估、风险的防控,将客户分成等级,A、B、C、D级,D级达不到就取消合作关系,如果是C级可以给他进行定期的合规培训,要求整改。大数据企业得有这样的合规管理机制发展客户、培养客户、监管客户。

四是跟合作伙伴的责任分割。这些合作伙伴往往和你是信息共享的盈利模式,所以在与合作伙伴进行合作之前,尤其是紧密的合作并购,一定要做合规并购尽职调查报告,发现它的违规行为、违法行为,及时做报告并采取措施,才能有效的切割母公司和那些被并购的子公司的责任。把母公司的责任永远给降低到最低限度,让它免责,把责任尽量的推给员工,推给第三方,推给客户,推给合作伙伴。这个话可能说得很直白,但本质就在这里,当然必须得有完善的合规体系。

那什么叫有效的合规体系?大家注意三点:第一,只有一个书本上的合规规章制度不等于有效的合规计划。第二,违规行为的发生不等于合规计划是无效的,因为没有任何合规计划能保障任何违规行为得到解决,违规行为的发生不是说合规计划是无效的,关键在于要用有效的应对措施,应对措施是合规的组成部分。不要以为一个有效的合规计划能防止任何违规,不是,任何有效的合规计划不能避免任何违规行为。第三,有效的合规计划一定要有最低标准,唯有达到最低标准才能摆脱、防范、防控受到监管处罚和刑事追究的风险。

什么是有效的合规计划?我们分为四个板块:

第一个板块是合规宪章。一个企业要有最高的公司章程,要么写在公司章程里,要么单独列一个公司大数据合规宪章或相关准则。最大用处是表明公司大数据合规的价值观、原则、目标和框架结构,表明公司的基本价值观和基本的公司目标是合规经营。

第二板块是要有一套合规的组织体系,又叫组织法。一套合规的组织体系至少有四个要素构成:一是合规管理委员会,合规管理委员会设在董事会下面,合规管理委员会组成成员由公司高层组成,具有比较高的权威性。二是CCO(首席合规官),CCO要具有较高的权威,目前中国企业大部分是法务部门负责人担任。三是要有合规部门,这一般都放在法务部。四是任何分公司和其他业务部门都要有合规人员。这四个层级垂直领导具有足够的权威,保障不存在着利益冲突,具有独立性。合规组织体系要求很多,比如利益冲突要避免,要有足够的人员、足够的编制、有足够的拨款。

第三个板块,合规政策与员工行为准则。合规一定要针对合规风险建立专项合规机制。有些国有企业搞的合规体系竟然有三十多种合规风险,这绝对是无效的。大数据合规要单独写合规政策,单独做员工行为手册(员工准则)。我们把合规政策和员工行为准则叫合规的实体法。合规政策和行为准则要给每个员工发下去作为培训的手册。公司最高层要把这些合规政策和行为准则定期的进行沟通,如果其内容发生变化,要向所有员工、所有投资人、所有第三方客户及时的通报相关政策变化。这是合规的第三个板块,又叫实体法。

第四个板块是合规的程序法。合规的程序法就是一套合规管理体系,由三部分构成:

一、防范体系

防范体系由四个要素构成:(一)合规风险的评估。比如大数据容易出现危险的领域要评估出来,找到合规的风险点和重点合规领域,而且这种评估要随时更新,每年定期评估,你不能一劳永逸。(二)尽职调查,这要做好三方面的尽职调查:

1. 第三方尽职调查;

2. 分公司子公司的尽职调查;

3. 并购中的尽职调查。

(三)在防范里面还有一个是定期培训,全员工培训是最起码的,还有重点岗位培训,培训要有专门的合规政策、规章制度作为培训内容,要留下记录,培训要有记录,书面的、电子的记录,这在将来就是证据以证明企业尽到注意义务。(四)有效的报告,自上而下的合规风险报告,发现预防合规问题。

二、识别体系

一个有效的合规计划一定要有效识别合规风险。有这样几个制度:

     1、内部报告制度,内部要有一个举报制度,要有举报电报和举报的匿名热线、匿名网站;

     2、要有合规的内部定期评估机制,专项报告、专项评估,发现违规,及时处理;

     3、必要跟有关的部门结合起来,比如跟审计部门、跟公司部门的其他监管部门结合起来,发现违规及时处理。

三、应对机制

合规的应对体系是指违规行为一旦得到报告或一旦发现要采取有效的应对措施,化解危机,减少损失。应对非常重要。如果监管部门开始调查你,有关部门来了,这时候应该怎样应对呢?(一)积极配合,配合是第一位的,绝对不得毁灭证据,销毁软件,毁掉电子文档。(二)尽快由外部律师领衔进行一项专项调查——合规内部调查。违规行为一旦被发现,有关部门启动调查程序,要由无利害关系的第三方一般是法律人士和外部律师事务所有声誉的律师进行内部调查,调查的内容有违规行为的情况、违规责任人、制度的漏洞、商业模式的缺陷,就此专门做一个报告,报告尽快提交给监管部门,把这个报告交给监管部门可以起到两个作用:一是减轻监管部门调查的责任,二是表明配合调查的决心。接下来及时处理责任人非常重要,必要时启动反舞弊调查,绝对不能袒护责任人。合规的生命在于只要把责任人交出来,有效处理,企业就相对安全,有可能达成和解协议。(三)尽快制定完善改进合规计划的方案报给监管部门,这体现了积极整改、消除漏洞、防止再出现新的违规违法行为的决心。

最后,中国在行政监管领域直接与世界接轨,出现了三个积极变化:

1. 2015年在证券管理领域引入了行政和解制度。中国证监会有一个《行政和解试点办法》。根据有关部门的介绍,行政和解制度有可能扩展到其他领域,现在第一个创设的领域是证券监管,大数据合规未来的监管要不要引入取决于中国相关法规的修改。

2. 引入了严格责任制度。这发生在2017年《反不正当竞争法》。2017年的《反不正当竞争法》作为一个行政法规,第7条规定“员工有商业贿赂行为的,企业一律承担商业贿赂的行政责任”,但有一个例外,“企业有合规计划的,建立了合规计划的,企业可以不承担责任”。我国就第一次在反不正当竞争领域确立了合规换取免责制度。

3. 今年上半年国务院通过重大复杂敏感领域行政监管中的吹哨人制度,又叫举报人奖励制度。未来可能有两个部分:一是食品药品安全、大数据领域建立吹哨人进行高额赔款处罚。二是在高额罚款的基础上重金奖励举报人,并且匿名保护他。

我希望大家对合规问题高度重视,我们要把合规当成大数据公司可持续发展的保障。谢谢各位。

 

立即报名