《大成:2023有效合规管理体系构建及热点问题分析白皮书(54页).pdf》由会员分享,可在线阅读,更多相关《大成:2023有效合规管理体系构建及热点问题分析白皮书(54页).pdf(54页珍藏版)》请在三个皮匠报告上搜索。
1、2023北京成(深圳)律师事务所有效合规管理体系构建及热点问题分析作者:谢烨蔓律师COMPLIANCE CLUB作者简介谢烨蔓律师北京成(深圳)律师事务所的级合伙、董事成公司与商业事务部理事深圳市律师协会数据合规委员会副主任CISP-PIP注册个信息保护专员EXIN DPO律师数据交易合规师谢烨蔓律师具有近年的律师执业经验,主要从事数据合规与隐私保护、企业合规管理、国资监管与政府公共事务、房地产诉讼、商事诉讼领域和公司综合类法律事务,具有多年服务国企、上市公司的经验。谢烨蔓律师为北京成(深圳)律师事务所级合伙、董事,成公司与商业事务部理事,深圳市律师协会数据合规委员会副主任,成数字化中副秘书。
2、谢烨蔓律师期担任国企、型知名企业常年法律顾问,在国企对外投资、国有股权转让、国有资产出售或者出租、国企董监责任等领域的合规操作上形成专业指引,同时协助企业进合规体系建设、专项合规等,具有丰富的合规实践经验。其前服务的国企达22家,包括深业集团有限公司、深业鹏基(集团)有限公司、深业南地产(集团)有限公司、深圳市深业基建控股有限公司、中油深圳新能源研究院有限公司、深圳市投控发展有限公司、深圳市天威视讯股份有限公司及控股公司、参股公司、深圳市特(集团)股份有限公司、深圳能源燃投资控股有限公司、深圳市才安居集团有限公司、深圳航凯亚有限公司等,且服务年限均较;其服务的知名企包括顺丰速运有限公司、OPP
3、O东移动通信有限公司、深圳美西西餐饮管理有限公司/喜茶(深圳)企业管理有限责任公司,其中OPPO公司2014年服务今,顺丰公司2018年服务今。编委会成员王若菡实习律师 北京成(深圳)律师事务所 律师助理专业领域:国资监管与政府公共事务、公司综合类、数据保护与隐私合规主要从事国资监管与政府公共事务、商事领域诉讼、公司综合类和数据合规类法律事务,具体包括为国有企业产权变动、对外投资,以及公司综合治理、数据治理、投融资项提供专业的法律服务,并代理与之相关的商事诉讼。同时,其亦负责为常年法律顾问单位提供常法律咨询服务、起草、审查合同作,助顾问单位合法合规经营。服务客主要为国有企业和国内知名企,包括:
4、深圳市天隆播电视络有限公司、深圳市天宝播电视络有限公司、深圳深汕特别合作区天之孚云计算科技有限公司、悦城控股集团物业服务有限公司深圳分公司、深圳市华鑫汇珠宝有限公司、中电传媒有限公司。王倩实习律师北京成(深圳)律师事务所 律师助理专业领域:国资监管与政府公共事务、公司综合类、数据保护与隐私合规擅企业合同管理、常运营过程中的法律险管理和控制、辅助决策、法律性件起草审查。代表性客包括:深圳市天隆播电视络有限公司、深圳市天威告有限公司。梅江May媒体法律Compliance Club 创始合规小的锤炼计划创始 小红书合规领域垂直赛道头部博主Compliance Club是个合规与社交相结合的组织,并
5、致打造陪伴Compliance小伙伴深度社交、智识成、灵陪伴的社群。Compliance Club强调以共创、赋能为的。Club旨在将不同业、不同领域的优秀 才聚集起来,通过“学之、补之短”、碰撞花。坚信集体的量帮助每个成,从而得到集体的成。在Compliance Club,我们寻找的不是单纯的知识,而是认知、启发、穷的可能性。刘卓欢某投资公司 法务经理Compliance Club 成员企业合规师专业领域:投融资并购重组;公司治理与商业模式合规;融不良资产投资与处置法律业从业经验超年,具有近年的律师执业经验。执业期间先后为农业银州分、发银州分、银州分、中国银州分红、东省粤科资产管理股份有限公
6、司、东粤科商业保理有限公司等型融国有企业提供过诉讼或诉法律服务。编委会成员北京成(深圳)律师事务所、Compliance Club保留对本书的所有权利。未经权利书许可,任何不得以任何形式或通过任何式复制或转载本书内容。如您欲进步了解本书所涉及的内容,您可以通过下列联系式联系我们。联系式北京成(深圳)律师事务所级合伙:谢烨蔓律师 深圳办公室Compliance Club 创始:梅江 May邮箱:扫码添加好友 2023版权小红书名称/账号:谢律talk/925799099电话:+86 137 6015 1608个介绍: 录录一、一、前言前言.1二、二、合规管理合规管理词源及其渊源词源及其渊源.1(
7、一)合规词源.1(二)合规渊源.5三、三、合规管理体系建设关键要素解析合规管理体系建设关键要素解析.7(一)合规要求之组织架构完善.7(二)合规要求之资源支持.11(三)合规要求之运行监督.11(四)合规要求之信息化建设.13(五)合规要求之建立合规体系并持续改进.14(六)合规要求之合规文化氛围形成.16四、四、不同领域专项指引不同领域专项指引.18(一)数据安全保护专项.18(二)反商业贿赂专项.26(三)反垄断专项.27(四)劳动用工专项.30(五)知识产权专项.33五、五、合规典型案例合规典型案例.37(一)事前合规.37(二)事后合规.38六六、合规管理体系建设和有效运行的整体优势、
8、合规管理体系建设和有效运行的整体优势.42(一)刑事责任方面的激励.43(三)合规不起诉案例简析.44(三)行政责任方面的激励.47(四)行政和解案例简析.47结语结语.481/48一、一、前言前言合规管理体系构建是指企业在遵守法律法规、社会道德和商业道德的基础上,通过内部控制和外部审查,证明企业行为符合相关标准的过程。中央企业合规管理办法(以下简称央企办法)和 ISO 37301:2021 是两个重要参考标准。其中,合规体系认证又称贯标认证是合规管理体系有效性评价的一种,一般而言,在对企业进行合规管理认证时参考的标准为ISO 37301:2021 或 GB/T 35770-2022。央企办法
9、是中国政府颁布的关于企业合规管理的指导性文件。该办法主要强调了中央企业必须遵守的法律法规、企业伦理和社会责任等方面的要求。同时,该办法还规定了企业合规管理的组织结构、内部控制、风险评估和监督检查等方面的要求,强化了企业在合规管理方面的责任意识和能力。ISO 37301:2021 是国际标准化组织最新发布的企业合规管理标准,旨在帮助组织建立和维护有效的合规管理体系。该标准包含了企业合规管理的基本原则、组织架构、策略规划、资源配置等内容,并提供了一套适用于各种类型和规模组织的实施指南和评估要求。同时 GB/T 35770-2022 等同采用 ISO 国际标准:ISO37301:2021。1企业合规
10、认证不仅可以加强企业合规管理的能力和水平,提高企业在市场中的竞争力和信誉度,还可以从根本上保障企业的经营稳定和可持续发展。因此,在实践中,企业应当根据央企办法和 ISO 37301:2021 等参考标准,制定相应的合规管理方案,并通过内部控制和外部审查进行自检和认证。这样,企业才能更好地建立起一套有效的合规管理体系,为企业的可持续发展提供坚实的基础和保障。二、二、合规管理合规管理词源及其渊源词源及其渊源(一)(一)合规词源合规词源1.“合规”词义辨析“合规”一词的起源可以追溯到汉朝时期。在古代,为了统治国家和维持社会秩序,当时的统治者们制定了一系列规章制度,包括国家法律法规、伦理规范、1htt
11、ps:/ 60 年的历史。最早的文献可以追溯到 1962年的 James R.Withrow Jr.的文章Making Compliance Programs Work,而 2001年的安然公司破产和安达信会计事务所解体事件使得“合规”成了英美法等国金融证券市场中逐渐成为经营生态重塑的重要环节。“合规”的词源本身就具有“服从”的含义,同时,“规”这个字义具有多重含义,不仅包括国家法律法规,还包括伦理规范、行业自治规则和承诺等。因此,“合规”有时也会被称为“组织尽责”(organizational due diligence)。从企业立场上来看,合规更多和“风险管理”(risk manageme
12、nt)、“内控体系”(internal control)联系在一起。企业合规内涵可以从以下两方面着手。一方面是由 COSO2在 1992 年发布了内部控制整体框架(Internal Control-Integrated Framework),该框架为企业提供了一个评估其内部控制质量的标准,被广泛地应用于各个行业和国家。COSO 框架包括五大组成要素:控制环境、风险评估、控制活动、信息与沟通以及监督。另一方面则是指 PCAOB3所界定的内涵,即“由实体的董事会、管理层和其他人士执行的,用于提供合理的与操作、汇报和合规相关的目标实现的过程”。对于外部监督者(规制者、执法者、行业管理者、社会行动者)
13、而言,合规是“组织采用的,防止违反法律和确保对外部权威的服从,由此采取步骤来发现违规的政策和控制系统”4。作为对法律服从的合规,通常认为由三个要素组成:2COSO 是指控制框架委员会(Committee of Sponsoring Organizations of the Treadway Commission),它是由五个专业组织美国注册会计师协会(AICPA)、美国金融经理协会(FEI)、美国内部审计师协会(IIA)、美国证券业协会(SIA)和美国管理会计师协会(IMA)所组成的联合体。3PCAOB 是美国公认会计师事务所监督委员会(Public Company Accounting Ov
14、ersight Board)的缩写。PCAOB 成立于 2002 年,是一个非营利的、由政府设立的机构,其主要职责是监管和规范对公开公司的审计工作,保护投资者利益。PCAOB 负责制定审计准则、审计标准和相关法规,并对注册会计师事务所进行监管和检查,确保其执行的审计工作符合法律法规和行业标准。此外,PCAOB 还能够对违反法规或规范的审计师事务所进行处罚和制裁,例如暂停或取消其注册资格,罚款等。PCAOB 的监管适用于上市公司及其附属机构的审计工作,这些公司必须接受 PCAOB 的审计程序并遵守其规定。4Miriam Hechler Baer,Governing Corporate Compl
15、iance,50 B.C.L.Rev.949,958(2009).3/48一是公司确立发现和阻止高频发生的犯罪行为的内部机制;二是这一机制应当持续完整地运作;三是尽管公司可以依据不同的标准进行特殊分工,但应当采取广泛的预防措施。这些通常被更具象地形容为“一套正式行为准则、一个合规部门和官员以及一个面向员工的热线电话”5。2.美国合规沿革美国企业合规管理的发展是一个渐进的过程。最初,合规被视为一种轻微违规监管处罚的替代工具,要求公司承诺特定行为。随后,合规因素成为减轻处罚的考虑因素,然后逐渐成为监管部门要求采用的一般机制。尤其是从美国国防部开始,出现了在合规中要求主动汇报和完全配合调查的义务。当
16、美国国防部发展出对公司内的合规体系进行评估的制度时,法律的执法方式就又向前跃进了一大步。实践探索为之后的法定合规制度塑造了原型。这些法律上的变化,体现了现代经济规制的特性,被视为美国回应型法律发展的典型制度。而回应型监管(responsive regulation),也成了监管领域的趋势共识和代表性标签。随着经济和社会规制针对组织的处罚的增加,刑事责任的需求凸显出来。组织量刑指南(联邦量刑指南的一个章节)就是针对企业行为的量刑规定。1984年的量刑改革法创立了一个量刑委员会,来制定量刑指南,其中涉及对组织的缓刑和罚款事项。应国会的要求,该委员会在 1988 年发布了草稿,其中并没有明确规定若企
17、业已采取合规管理体系就可以减少罚金的机制,只是建议减少“累犯”的适用。草案提醒法院,在决定量刑的时候,应当考虑阻遏的收益,是否会显著超过对私人经营活动的司法监督的明显成本。1991 年 4 月,联邦委员会制定了新的指南,明确了合规体系作为量刑处罚的考虑因素如果存在有效的系统来阻止和发现违法行为时仍然存在违规,则可以在量刑打分上获得奖励,从而降低罚金。2004 年的修订要求合规应推动组织文化,鼓励伦理行为。指南的出现和不断改进,促成了合规成为正式的具有激励效果的法律制度和普遍的商业实践。有评价认为指南是精心起草、累年经验和专家意见的产品。5Philip A.Wellner,Effective C
18、ompliance Programs and Corporate Criminal Prosecutions,27 Cardozo L.Rev.497,501(2005).4/48“汤普森备忘录”是由美国司法部副部长撰写的,明确规定检察官在对组织进行调查、指控和辩诉交易的时候,应当考虑 9 个因素,其中 3 个涉及有效的公司合规体系:第一,公司及时和自愿披露错误行为,表现出愿意配合调查其代理人的意愿,如必要,放弃公司的律师客户(attorney-client)保密和工作底稿(workproduct protection)保护权利;第二,存在并且充分的公司合规体系;第三,公司的救济行动,包括实施
19、或改进有效公司合规体系的任何努力、更换负责的管理层,对错误行为人进行纪律处分或者开除、支付补偿,以及与相关政府人员合作等。3.中国合规沿革中国合规管理体系的构建历史与美国合规管理发展有所不同。中国的合规管理起步时间相对较晚,并主要表现为自上而下的法律革新。中国的合规管理始于20 世纪 70 年代末,当时三资企业的建立将欧美跨国企业集团的合规管理理念和实践引入中国。中国的合规管理发展历程大致可以分为萌芽探索时期、快速发展时期以及合规强化时期。在合规萌芽探索时期,仅有赴国外上市公司以及外国资本在华公司关心合规问题,而合规概念并未被广泛接受。直到 2006 年银保监会公布并实施了商业银行合规风险管理
20、指引以及 2008 年证监会公布与实施了证券公司合规管理试行规定中密集强调“合规”和“合规总监”之概念,中国的合规管理才得到广泛关注。2022 年国资委发布并实施了央企办法中提出“首席合规官”,进一步推动了中国法上引入合规管理制度的发展。随着金融市场的不断发展和监管要求的逐步加强,越来越多的金融机构、上市公司开始重视合规风险管理,并通过制定合规政策、加强内部控制、加强监督检查等手段来确保其经营活动的合法性和合规性。尤其是两个公司治理危机标志性事件的出现,更加促使企业注重自身经营、管理合规性风险审查,层叠地推动了一般公司去严肃审视这一机制。第一个标志性事件发生于 2007 年并于 2011年受到
21、人们普遍关注“中国概念股”公司在美国上市之后遭遇到各种信息披露和财务欺诈问题,这一事件促进了域外律所自此开始提供合规引导的服务。第二个标志性事件是由于“域外长臂管辖原则”6的确立,使得跨国公司的经营6域外长臂管辖原则是指一个国家的法院可以在其领土之外对跨国公司或个人进行司法管辖的原则。它是现代国际法的一个重要原则,主要用于解决跨国公司的国际商务纠纷。在这种情况下,一个国家可以5/48管理风险上升到可能遭受刑事处罚的层面,如中兴通讯、华为等案件7,这些事件涉及国际贸易、知识产权保护、国家安全等多个领域,对于跨国公司和国际经济发展都有着重要的影响。这些事件的发生使得企业合规管理成为了时下学界和业界
22、的热点话题。具有国外业务的公司开始购买有关合规的法律服务,合规管理、认证成为律师行业的蓝海。监管部门也受到此次事件的重大影响,不断强调合规概念。综上所述,合规管理源自于美国,从不同的部门兴起,从最开始的分流和不同目标,逐步在近年来合并成干流,并成为多个法律部门的共享制度。从经济和社会规制中的行为监管,到作为刑事制裁的替代手段,再到公司法中的社会责任和注意义务,到最后,形成这一制度的共同目标:引导公司成为“良善公民”(good citizen)。这是一个逐步演化、由分到合的过程。企业合规具有重大意义,不仅能够避免违反法律规定而带来的罚款和声誉损失,还能够提高企业的形象和市场竞争力,从而实现可持续
23、发展。(二)(二)合规渊源合规渊源“合规规范”并非法定术语,国内外标准、指南中并未使用“合规规范”作为专用术语。根据央企办法第三条:“本办法所称合规,是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求”可知,企业合规实际上具有两层含义:第一,用以阻止非法行为,尤其是防止诸如洗钱、内幕交易、贿赂、会计和银行欺诈,也包括违反规制,包括不当价格政策等垄断行为所引发的刑事和民事责任,以及属于侵权的如工作场所性骚扰、职业安全、隐私以及环境保护等。在这个层面上,在没有实际存在的联系或活动的情况下,向其领土之外的个人或企业施加管辖权。长臂
24、管辖原则通常适用于以下情况:跨国公司在该国家内的子公司或分支机构有实际活动;跨国公司的行为在该国家内产生了后果或影响;跨国公司与该国家的民众或企业有着商业上的关系或者合同关系。长臂管辖原则有助于解决跨国公司在国际商务活动中可能引起的纠纷,保护被侵权方的权益,并促进国际贸易的健康发展。但同时也要注意,这种管辖权应该在国际法和相关国际协定的框架下行使,避免滥用和对其他国家主权的侵犯。7在 2018 年,美国政府指控中兴通讯违反了对伊朗和朝鲜的贸易禁令,因此对该公司实施了制裁,并暂停了其在美国的业务。后来,中兴通讯同意缴纳罚款并达成和解,以解决此次贸易争端。华为也曾遭遇了一些类似的贸易争端。在 20
25、19 年,美国政府指控华为涉嫌违反了对伊朗和朝鲜的贸易禁令,以及窃取商业机密。美国政府还通过行政令禁止美国企业向华为出售技术和设备。这一事件引发了国际上对于华为在国际市场上的地位和发展的广泛讨论和关注。这些事件涉及到国际贸易、知识产权保护、国家安全等多个领域,对于跨国公司和国际经济发展都有着重要的影响。同时也反映了在全球化和自由贸易背景下,国家间的经济和政治关系的复杂性和敏感性。6/48合规强调的是减少雇员的非法行为风险,公司由此可以降低所承担的上级(respondent superior)责任。第二,合规体系通常需要趋向具体企业的内部价值观用以填补法律之空白,通常要求雇员还需要遵守除了法律之
26、外的企业内的行为准则和惯例。属于商业伦理规则或者与社会责任相关的内容。这样的外部与内部的两种区分,也被学者形象地称之为:合规与正直(integrity)8。具体而言包括:外部合规规范内部合规规范国际条约、国际规则以及国际组织决定企业与第三方之间订立的合同或协议境外设立的企业应遵循所在地国家、地区的法律法规、监管要求、行业准则、司法判例、商业惯例等企业对外自愿性承诺,如环境承诺、促销承诺等国内法渊源企业章程、股东会决议、董事会决议、管理层决议等行业强制性准则行业自律性准则强制性标准企业依选择适用的非强制性国家标准、行业标准以及企业标准法院判决和行政决定企业内部规章管理制度商业惯例/道德准则/由于
27、合规规范包括外部规范与内部规范两个面向,从而导致企业会因为自身的经营模式、所在地区、行业领域以及企业性质不同而有所差异。因此,企业合规管理体系构建的首要任务即企业应根据 ISO 37301:2021 以及央企办法的要求建立、实施、保持和持续改进合规管理体系,包括所需要的过程及其相互作用,同时企业的合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应考虑组织环境,尤其是企业应持续改进合规管理体系的适宜性、充分性和有效性,当确定合规管理体系需要变更时,组织应按计划实施变更,组织应考虑:变更的目的及其潜在后果、合规管理体系设计和运行的有效性、充足资源的可用性、职责和权限的分配或再分配。总而言
28、之,实施有效的企业合规可以帮助企业降低经营风险、提高声誉和市场竞争力、防范违法行为,同时也有助于增强投资者和消费者的信心。因此,合规规范是企业在构建合规体系前必须要厘清的首要前提:第一,企业应尽快收集、梳理可适用于本企业的所有合规规范,并建立完整的合规规范库,并持续跟进合规规范的最新发展,正确理解合规规范的规定,8Lynn Sharp Paine,Managing for Organizational Integrity,72 Harv.Bus.Rev.106(1994).7/48准确把握新的合规规范对本企业的影响,并适时作出风险评估;第二,企业在识别自身合规义务时既要注意外部规范义务的落实更
29、要注意内部规范、承诺的落实;第三,定期开展企业内部员工的合规培训,及时的普法释法。三、三、合规管理体系建设关键要素解析合规管理体系建设关键要素解析央企办法的颁布预示着我国中央企业的合规管理更科学、规范。习近平总书记强调,守法经营是任何企业都必须遵守的一个大原则,企业只有依法合规经营才能行稳致远。党中央明确提出加快建设世界一流企业的目标,一流的企业必须要有一流的法治工作为保障。当前国际竞争越来越体现为规则之争、法律之争,在如此的大背景下,无论是中央企业还是地方国企,抑或是私企,无不面临着日趋严峻的国内外环境和风险挑战,必须加快提升依法合规经营管理水平,确保改革发展各项任务在法治轨道上稳步推进。为
30、此,国资委深入贯彻落实习近平法治思想,在总结中央企业合规管理实践、借鉴国际大企业先进做法的基础上起草了央企办法,经由国资委党委会、委务会审议通过后印发并实施。此次央企办法的出台可谓是对国际合规标准合规管理体系要求及使用指南(ISO 37301:2021)的中国化转译,二者均采用 PDCA 管理循环9的原理,需要企业不断对自身的合规管理体系及合规管理工作进行持续优化。常见的具体的企业合规合理化建议包括:第一,建立完善的规章制度和内部控制体系;第二,加强员工教育和培训,增强员工法律意识和合规意识;第三,完善供应商管理,并要求供应商遵守企业合规要求;第四,对企业业务进行定期风险评估,及时采取风险控制
31、措施;第五,与政府部门积极沟通合作,了解最新的法律法规变化。企业合规是企业管理中的重要环节,对企业长期发展具有战略性意义,在全球化和市场化的今天,加强合规建设已成为企业必不可少的任务之一。(一)合规要求之组织架构完善(一)合规要求之组织架构完善1.解读解读:9PDCA 是全面质量管理的思想基础和方法依据。PDCA 循环的含义是将质量管理分为四个阶段,即Plan(计划)、Do(执行)、Check(检查)和 Act(处理)。在质量管理活动中,要求把各项工作按照作出计划、计划实施、检查实施效果,然后将成功的纳入标准,不成功的留待下一循环去解决。这一工作方法是质量管理的基本方法,也是企业管理各项工作的
32、一般规律。万融:商品学概论,中国人民大学出版社,2013。8/48ISO 37301:2021 第 5.3 条划定了合规管理职能部门的“Roles,responsibilitiesand authorities”,5.3.1 明确了“Governing body and top management”的职责权限,即“治理机构和最高管理者应确保在组织内分配和沟通相关岗位的职责和权限”;5.3.2 明确了“Compliance function”的职权划分与监督责任;5.3.3 明确了执行人员“Management”的职责(具体详见下表)。与此相对,央企办法对合规管理组织架构也作了进一步调整与优化
33、,明晰了各合规管理组织的权责划分。此次修订,央企办法还增加党委(党组)负合规的领导职责;明确央企主要负责人应作为第一责任人落实央企合规管理要求;首次提出央企应设置首席合规官,并对其具体合规管理职责予以明确;进一步明确合规管理“三道防线”的权责划分,总之,此次修改是对国际标准的有效回应。2.相关条款相关条款:ISO 37301:2021央企办法5.3 Roles,responsibilities and authorities5.3.1 Governing body and top managementThe governing body and top management shall ens
34、ure thatthe responsibilities and authorities for relevant roles areassigned and communicated within the organization.The governing body and top management shall assign theresponsibility and authority for:a)ensuringthatthecompliancemanagementsystemconforms to the requirements of this document;b)repor
35、tingontheperformanceofthecompliancemanagement system to the governing body and topmanagement.The governing body shall:ensure that top management is measured against theachievement of compliance objectives;确保最高管理者的管理绩效可以根据合规目标的实现程度进行测量;exercise oversight over top management regarding theoperation of
36、the compliance management system.对最高管理者运行合规管理体系的情况进行监督。Top management shall:allocateadequateandappropriateresourcestoestablish,develop,implement,evaluate,maintain andimprove the compliance management system;为建立、开发、实施、评估、保持和改进合规管理体系,配置足够且适宜的资源;ensure that effective systems of timely reporting oncompl
37、iance performance are in place;确保建立及时有效的合规绩效报告制度;第五条 中央企业合规管理工作应当遵循以下原则:(一)坚持党的领导。充分发挥企业党委(党组)领导作用,落实全面依法治国战略部署有关要求,把党的领导贯穿合规管理全过程。第二章 组织和职责第七条 中央企业党委(党组)发挥把方向、管大局、促落实的领导作用,推动合规要求在本企业得到严格遵循和落实,不断提升依法合规经营管理水平。央企业应当严格遵守党内法规制度,企业党建工作机构在党委(党组)领导下,按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实。第八条 中央企业董事会发挥定战略、作决策、防风险作用,
38、主要履行以下职责:(一)审议批准合规管理基本制度、体系建设方案和年度报告等。9/48ensure alignment between strategic and operationaltargets and compliance obligations;确保战略和运营目标与合规义务相协同;establish and maintain accountability mechanismsincluding disciplinary actions and consequences;建立和维护问责机制包括纪律处分和结果;ensure the integration of compliance per
39、formance intoperformance appraisals of personnel.确保合规绩效与人员绩效考核挂钩。5.3.2 Compliance functionThe compliance function shall be responsible for theoperation of the compliance management system includingthe following:facilitating the identification of compliance obligations;促进识别合规义务;documenting the compli
40、ance risk assessment(see 4.6);记录对合规风险的评估(参见 4.6);aligning the compliance management system with thecompliance objectives;使合规管理体系与合规目标保持一致;monitoring and measuring compliance performance;监视和测量合规绩效;analysing and evaluating the performance of thecompliance management system to identify any need forcorr
41、ective action;分析和评估合规管理体系的绩效,以决定是否需要采取纠正措施;establishing a compliance reporting and documentingsystem;建立合规报告和记录制度;ensuringthecompliancemanagementsystemisreviewed at planned intervals(see 9.2 and 9.3);确保按计划的时间间隔对合规管理体系进行评审(参见9.2 和 9.3);establishing a system for raising concerns and ensuringthat concer
42、ns are addressed.建立质疑以及确保质疑得到解决的制度。The compliance function shall exercise over-sight that:responsibilitiestoachieveidentifiedcomplianceobligations are appropriately allocated throughout theorganization;履行已识别的合规义务的职责在整个组织内得到有效分配;compliance obligations are integrated into policies,processes and proced
43、ures;合规义务纳入方针、过程和程序;all relevant personnel are trained as required;所有相关人员按要求接受培训;compliance performance indicators are established.建立合规绩效指标。The compliance function shall provide:(二)研究决定合规管理重大事项。(三)推动完善合规管理体系并对其有效性进行评价。(四)决定合规管理部门设置及职责。第九条 中央企业经理层发挥谋经营、抓落实、强管理作用,主要履行以下职责:(一)拟订合规管理体系建设方案,经董事会批准后组织实施。(
44、二)拟订合规管理基本制度,批准年度计划等,组织制定合规管理具体制度。(三)组织应对重大合规风险事件。(四)指导监督各部门和所属单位合规管理工作。第十二条 中央企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。第十三条 中央企业业务及职能部门承担合规管理主体责任,主要履行以下职责:(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案。(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责。(三)负责本部门经营管理行为的合规审查。(四)及时报告合规风险,组织或
45、者配合开展应对处置。(五)组织或者配合开展违规问题调查和整改。中央企业应当在业务及职能部门设置合规管理员,由业务骨干担任,接受合规管理部门业务指导和培训。第十四条 中央企业合规管理部10/48personnel with access to resources on compliancepolicies,processes and procedures;向相关人员提供与合规方针、过程和程序有关的资源;advice to the organization on compliance-relatedmatters.就合规相关事宜向组织提供建议。The organization shall ensu
46、re that the compliance functionis given access to:seniordecision-makersandtheopportunitytocontribute early in the decision-making processes;接触高级决策者,并在决策过程中有早期提出建议的机会;all levels of the organization;接触组织的所有层级;all personnel,documented information and dataneeded;接触所有需要的人员、文件化信息和数据;expert advice on relev
47、ant laws,regulations,codes andorganizational standards.就相关法律、法规、规范和组织标准收集专家意见。5.3.3 ManagementManagement shall be responsible for compliance within itsarea of responsibility by:cooperatingwith and supporting the compliancefunction and encouraging personnel to do the same;配合和支持合规职能并鼓励员工共同参与;ensuring
48、that all personnel within their control arecomplying with the organizations compliance obligations,policies,processes and procedures;确保其管理范围内的所有人员都遵守组织的合规义务、方针、过程和程序;identifying and communicating compliance risks intheir operations;识别其运营中的合规风险并进行沟通;integratingcomplianceobligationsintoexistingbusines
49、spracticesandproceduresintheirareasofresponsibility;在其职责范围内将合规义务融入现有的商业惯例和程序;attending and supporting compliance training activities;参加并协助合规培训活动;developingpersonnelawarenessofcomplianceobligations and directing them to meet training andcompetence requirements;培养员工的合规意识,指导他们满足培训和能力要求;encouragingtheir
50、personneltoraisecomplianceconcerns and supporting them and precluding any form ofretaliation;鼓励并支持员工提出合规质疑,并防止任何形式的报复;activelyparticipatinginthemanagementandresolution of compliance-related incidents and issues as门牵头负责本企业合规管理工作,主要履行以下职责:(一)组织起草合规管理基本制度、具体制度、年度计划和工作报告等。(二)负责规章制度、经济合同、重大决策合规审查。(三)组织开展
51、合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效性评价。(四)受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查。(五)组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设。中央企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员,加强业务培训,提升专业化水平。11/48required;根据要求积极参与合规相关事件和问题的管理、解决;ensuring that,once the need for corrective action isidentified,appropriate corrective action
52、is recommendedand implemented.确保一经确定需要采取纠正措施时,适当的纠正措施能够得到推荐并实施。(二)(二)合规要求之资源支持合规要求之资源支持1.解读解读:ISO 37301:2021 第 7.1 条明确规定“资源:组织应确定并提供建立、实施、保持和持续改进合规管理体系所需的资源”。与此对应,央企办法第六条也规定了中央企业应当在机构、人员、经费、技术等方面为合规管理工作提供必要条件。合规管理体系的建立离不开人力、财力、物力三个方面的全方位支持,被视为合规管理体系是否有效的评价指标之一。虽然 ISO 37301:2021 将这些支持定义为“Resources”,而
53、办法将其定义为“必要条件”,但本所律师认为,即便表述不同,其内涵均要求企业为合规构建全方位多维度的资源与条件供给。2.相关条款相关条款:ISO 37301:2021央企办法7.1 ResourcesThe organization shall determine and provide the resourcesneededfortheestablishment,implementation,maintenance and continual improvement of the compliancemanagement system.第六条 中央企业应当在机构、人员、经费、技术等方面为合规管
54、理工作提供必要条件,保障相关工作有序开展。(三)(三)合规要求之合规要求之运行运行监督监督1.解读解读:ISO 37301:2021 第 A8.3 条规定了组织人员可提出“合理怀疑:必要时,应逐级上报至最高管理层和治理机构,包括相关委员会。即使当地法规没有要求,组织也应考虑建立匿名或保密的举报机制,以便组织的人员和代理方进行举报或寻求应对不合规行为的指导,且不必担心遭到报复”,随后,第 A8.4 条对举报后续过程的“调查程序”进行了具体规定,即“有效的合规管理体系应具有良好的运作机制,以及时、彻底地调查对本组织、其人员或有关第三方不当行为的任何指控或怀疑。这包括组织的应对性文件、采取的一切纪律
55、或补救措施,以及在吸取经验教训后对合规管理体系的修订。应查明包括管理者、最高管理层和治理12/48机构在内的不当行为的根源、合规管理体系的漏洞和责任缺失的原因。缜密的根源分析涉及人员的数量、水平,以及不合规的程度、普遍性、严重性、持续时间和频率。组织还应确保调查是公正和独立的。且应酌情考虑设立独立的委员会监督调查活动,并保证调查的完整性和独立性”。同时,调查结束之后“组织应建立调查报告机制,包括报告调查结果的级别(注:法律有时会要求组织报告不合规情况。对此,应根据适用的法规或其他商定的方式通知监管机构)”,然而“即使法律不要求组织报告不合规行为,组织也可以考虑主动向监管机构披露不合规行为,以减
56、轻不合规行为的后果”。与此相对,央企办法第十三条明确央企及职能部门承担合规管理主体责任并组织或配合开展相关调查与整改工作,同时第二十四对于举报机制作出了更为细致的规定,包括设立违规举报平台,公布举报电话、邮箱或者信箱的违规举报途径,还特别提及对于举报人的身份与举报事项进行保密、对举报属实的举报人进行奖励等激励性、保护性新举措。央企办法所规定的这一“举报机制”与 ISO 37301:2021 中“报告疑虑制度”效果类似,均确定了“对举报内容、举报者保密”“保护举报者免于遭受报复”等原则。然而,央企办法对于后续的调查程序与处理并未作出详尽规定,而 ISO37301:2021 不仅规定了调查程序外而
57、且增加了对于确认情况后的处理措施,即从相关部门接受举报移交责任追究部门,到对涉嫌违纪违法的按照规定移交纪检监察等相关部门或者机构,将举报中发现的问题与追责问责流程衔接起来,将举报渠道与司法处罚机制相衔接,因此,我国央企合规职能部门在处理相关问题时可参考适用国际标准。2.相关条款相关条款:ISO 37301:2021央企办法A.8.3 Raising concernsWhere appropriate,escalation should be to top management and thegoverning body,including relevant committees.Even wh
58、en not required by local regulation,organizations shouldconsider developing a whistleblower mechanism to allow foranonymity or confidentiality,whereby the organizations employeesand agents can report or seek guidance of noncompliance withoutfear of retaliation.For more guidance on whistleblowing man
59、agement systems seeISO/DIS 37002.第十三条 中央企业业务及职能部门承担合规管理主体责任,主要履行以下职责:(五)组织或者配合开展违规问题调查和整改。第二十四条 中央企业应当设立违规举报平台,公13/48A.8.4 Investigation processA characteristic of an effective compliance management system is awell-functioningmechanismforthetimelyandthoroughinvestigation of any allegations or suspic
60、ions of misconduct by theorganization,its personnel or relevant third parties.This includesthe documentation of the organizations response,including anydisciplinary or remediation measures taken,and revisions of thecompliance management system considering lessons learned.An effective investigation m
61、echanism identifies the root causes ofmisconduct,vulnerabilities of the compliance management systemand accountability lapses,including among managers,topmanagement and the governing body.A thoughtful root-causeanalysisaddressestheextentandpervasivenessofthenoncompliance,the number and level of the
62、personnel involved,andthe seriousness,duration and frequency of the noncompliance.Organizations should make sure that the investigations are fair andindependent.They should consider,when appropriate,creatingindependent committees to oversee the investigation and guaranteetheir completeness and indep
63、endence.The organization should establish a reporting mechanism oninvestigations,including the level up to which the findings ofinvestigations are to be reported.NOTE Organizations are sometimes required by law to reportnoncompliance.In such cases,regulatory authorities are informed inaccordance wit
64、h the applicable regulations,or as otherwise agreed.Eveniforganizationsarenotrequiredbylawtoreportnoncompliance,they can consider voluntary self-disclosure ofnoncompliancetoregulatoryauthoritiestomitigatetheconsequences of noncompliance.布举报电话、邮箱或者信箱,相关部门按照职责权限受理违规举报,并就举报问题进行调查和处理,对造成资产损失或者严重不良后果的,移交
65、责任追究部门;对涉嫌违纪违法的,按照规定移交纪检监察等相关部门或者机构。中央企业应当对举报人的身份和举报事项严格保密,对举报属实的举报人可以给予适当奖励。任何单位和个人不得以任何形式对举报人进行打击报复。(四)(四)合规要求之信息化建设合规要求之信息化建设1.解读解读:ISO 37301:2021 第 7.5 条规定了“文件化信息控制:组织应控制合规管理体系和本文件所要求的文件化信息,以确保其一方面,在需要的场所和时间均可获得并适用;另一方面,得到充分的保护(例如:防止泄密、不当使用或完整性缺损)”。同时,还规定了“为控制文件化信息,适用时,组织应实施以下活动:分发、访问、检索和使用;储存和保
66、护,包括保持易读性;变更的控制(例如:版本控制);保留和处置”。不仅如此,“组织应识别其确定的合规管理体系策划和运行所需的来自外部的文件化信息,适当时应予以控制”,国际标准中的文件化信息是组织需要控制和保持的信息及其载体,涉及内容非常广泛。与此相对,央企办法通过第一章原则与第六章专章规定的方式也要求央企建立合规管理信息化控制系统。三十三条至第三十六条阐述了运用信息化手段促进制度、财务、业务等各方面的合规管理,尤其是将合规制度、典型案例、合14/48规培训、违规行为记录等纳入信息系统,与 ISO 37301:2021 对文件化信息的管理理念不谋而合。当前已有普遍共识,即信息系统处理文件化信息有助
67、于流程清晰、高效管理,防止人为疏漏。同时,在建立信息系统的同时,需要遵守我国网安法数安法个保法,以及其他相关法律法规等规定。对于跨境经营的中央企业,则还需遵循欧盟通用数据保护条例、美国数据隐私和保护法案等国际法律法规。2.相关条款相关条款:(五)(五)合规要求之合规要求之建立合规体系并持续改进建立合规体系并持续改进1.解读解读:ISO 37301:2021 第 4.4 要求建立“合规管理体系:组织应根据本文件的要求建立、实施、保持和持续改进合规管理体系,包括所需的过程及其相互作用”,“合规管理体系应反映组织的价值观、目标、战略和合规风险,并且应考虑组织环境(参见 4.1)”。第 10.1 对持
68、续改进作出了具体规定“组织应持续改进合规管理体系的适宜性、充分性和有效性”,“当确定合规管理体系需要变更时,组ISO 37301:2021央企办法7.5.3 Control of documented informationDocumentedinformationrequiredbythecompliance management system and by thisdocument shall be controlled to ensure:a)it is available,and suitable for use,whereand when it is needed;b)it is a
69、dequately protected(e.g.from loss ofconfidentiality,improper use,or loss ofintegrity).For the control of documented information,the organization shall address the followingactivities,as applicable:distribution,access,retrieval and use;storageand preservation,includingpreservation of legibility;contr
70、ol of changes(e.g.version control);retention and disposition.Documented information of external origindeterminedbytheorganizationtobenecessary for the planning and operation ofthe compliance management system shall beidentified,as appropriate,and controlled.第五条 中央企业合规管理工作应当遵循以下原则:(四)坚持务实高效。建立健全符合企业实
71、际的合规管理体系,突出对重点领域、关键环节和重要人员的管理,充分利用大数据等信息化手段,切实提高管理效能。第六章 信息化建设第三十三条 中央企业应当加强合规管理信息化建设,结合实际将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统。第三十四条 中央企业应当定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控。第三十五条 中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享。第三十六条 中央企业应当利用大数据等技术,加强对重点领域、关键节点的实时动态监测,实现合规风险即时预警、快速处置
72、。15/48织应按计划实施变更”,“组织应考虑:变更的目的及其潜在后果;合规管理体系设计和运行的有效性;充足资源的可用性;职责和权限的分配或再分配”。与此相对,央企办法第三章对制度建设提出了具体要求,并要求中央企业依照制度环境变化对其企业合规制度进行持续性改进。无论是国际标准还是国内规章,均认为有效且优质的合规管理体系其核心特点表现为实效性,企业应具备持续改进和发展的能力。总而言之,本质上是要求企业根据组织环境的变化,相应调整内部规章制度的建立。2.相关条款相关条款:ISO 37301:2021央企办法4.1 Understanding the organization and its con
73、textThe organization shall determine external and internal issuesthat are relevant to its purpose and that affect its ability toachieve the intended result(s)of its compliance managementsystem.For this purpose,the organization shall consider a broadrange of issues,including but not limited to:the bu
74、siness model,including strategy,nature,sizeand scale complexity and sustainability of the organizationsactivities and operations;商业模式,包括组织活动和运营的战略、性质、规模、复杂性和可持续性;the nature and scope of business relations with thirdparties;与第三方业务合作的性质和范围;the legal and regulatory context;法律和法规要求;the economic situatio
75、n;经济环境;social,cultural and environmental contexts;社会、文化、环境因素;internal structures,policies,processes,procedures andresources,including technology;内部组织架构、方针、过程、程序和资源包括技术;its compliance culture.自身的合规文化。4.4 Compliance management systemThe organization shall establish,implement,maintain andcontinually im
76、prove a compliance management system,including the processes needed and their interactions,inaccordance with the requirements of this document.The compliance management system shall reflect theorganizations values,objectives,strategy and compliancerisks,takingintoaccountthecontextofthe第三章 制度建设第十六条 中
77、央企业应当建立健全合规管理制度,根据适用范围、效力层级等,构建分级分类的合规管理制度体系。第十七条 中央企业应当制定合规管理基本制度,明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。第十八条 中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。第十九条 中央企业应当根据法律法规、监管政策等变化情况,及时对规章制度进行修订完善,对执行落实情况进行检查。16/48(六六)合规要求之合规文化氛围形成)合规要求之合规文化氛围形成1.解读解读:在合规文化方面,ISO 37301:2021 引
78、言部分开篇即指出“本文件的目标之一是协助组织发展和传播积极的合规文化。同时,组织应将有效及可靠的合规风险管理视作一种值得追求和利用的机遇,因其能够为组织提供下列优势:增加商业机会、助力可持续发展;保护并提升组织的声誉和信誉;考虑各相关方的期望;表明组织致力于切实有效管理其合规风险的决心;提升第三方对组织能够取得持续成功的信心;最大限度地降低违规行为发生的风险及相应的费用和声誉损失”,文件第 3.28 条还指出“合规文化贯穿整个组织(3.1)的价值观、道德准则、信仰和行为(3.29),并与组织结构和控制系统相互作用,产生有利于合规(3.26)的行为规范”,最后文件第 5.1.2 条要求“组织应建
79、立、维护并在其各个层级上推广合规文化。治理机构、最高管理者和各管理层应做出整个组织所需的、关于共同行为准则的积极、显现、一致且持续的承诺。最高管理者应鼓励促进和支持合规的行为,应阻止且不容忍损害合规的行为”。与此相对,央企办法则提出了包括:将合规管理纳入党委(党组)法治专题学习新增领导专题学习要求,对企业合规管理的建立具有十分重要的支撑作用,领导合规意识的加强,将有助于自上而下的影响企业员工合规意识的培养。同时,员工合规意识培训是培养企业合规文化的基础,是加强合规意识的重要举措。企业的培训机制只有涵盖培训计划构建、具体内容制定、适当方式选择、形organization.(see 4.1)10.
80、1 Continual improvementThe organization shall continually improve the suitability,adequacy and effectiveness of the compliance managementsystem.When the organization determines the need for changes tothe compliance management system,the changes shall becarried out in a planned manner.The organizatio
81、n shall consider:thepurposeofthechangesandtheirpotentialconsequences;thedesignandoperationaleffectivenessofthecompliance management system;the availability of adequate resources;the allocation or reallocation of responsibilities andauthorities.17/48式要件完备、合规培训经费充足等全方位提供支撑,才能在企业内部真正形成良好的合规文化。可以说,央企办法为
82、央企构建完备的合规体系提供了具体的操作指南,是我国结合自身国情而对国际标准的进一步量化。例如:建立常态化合规员工培训机制、适时发布合规指引,定期组织签订合规承诺文件等。2.相关条款相关条款:ISO 37301:2021央企办法IntroductionOne of the objectives of this document is to assist organizationsto develop and spread a positive culture of compliance,consideringthataneffectiveandsoundmanagementofcomplianc
83、e related risks should be regarded as an opportunity topursue and take,due to the several benefits that it provides to theorganization such as:improving business opportunities and sustainability;protecting and enhancing an organizations reputation andcredibility;taking into account expectations of i
84、nterested parties;demonstrating an organizations commitment to managing itscompliance risks effectively and efficiently;increasingtheconfidenceofthirdpartiesintheorganizations capacity to achieve sustained success;minimizing the risk of a contravention occurring with theattendant costs and reputatio
85、nal damage.3.28 Compliance culturevalues,ethics,beliefs and conduct(3.29)that exist throughout anorganization(3.1)and interact with the organizations structuresand control systems to produce behavioural norms that areconducive to compliance(3.26).5.1.2 Compliance cultureThe organization shall develo
86、p,maintain and promote acompliance culture at all levels within the organization.The governing body,top management and management shalldemonstrate an active,visible,consistent and sustainedcommitment towards a common standard of behaviour andconduct that is required throughout the organization.Top m
87、anagement shall encourage behaviour that creates andsupports compliance.It shall prevent and not tolerate behaviourthat compromises compliance.第五章 合规文化第二十九条 中央企业应当将合规管理纳入党委(党组)法治专题学习,推动企业领导人员强化合规意识,带头依法依规开展经营管理活动。第三十条 中央企业应当建立常态化合规培训机制,制定年度培训计划,将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容。第三十一条 中央企业应当加强合规宣传教育,及时发
88、布合规手册,组织签订合规承诺,强化全员守法诚信、合规经营意识。第三十二条 中央企业应当引导全体员工自觉践行合规理念,遵守合规要求,接受合规培训,对自身行为合规性负责,培育具有企业特色的合规文化。无论是作为国际标准的 ISO 37301:2021,抑或是国资委制定并颁布的央企办法,二者之间存在较多的内在联系,且性质上二者均属于最新最权威的合规管理指导性规定。因此,企业在构建合规体系、明晰合规权责时都不可忽视。尤其是在,经济一体化需求与区域性贸易壁垒强化这一相互矛盾的背景下,企业更18/48不能顾此失彼,需要依照上述两种标准加速构建合规管理体系以及尽快取得国内外合规管理的认证。四、四、不同领域专项
89、指引不同领域专项指引根据央企办法第十八条规定,中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。企业应该针对 央企办法中提到的各项专项合规风险,梳理相应的专项指引,并明确企业在这些领域建立合规体系的基本指导和有效帮助。在制定合规管理制度或专项指南时,企业应该重视有效防控相关合规风险,确保合规计划的有效实施。这些专项合规指引不应仅仅被视为一种纸面上的“合规流程”,而应该把握其中的实质内容,以确保企业在这些领域合规运营。(一)(一)数据安全保护专项数据安全保护专项企业在数据合规方面需要根据相关数
90、据法律法规的要求来落实数据安全相关责任与义务。自 2021 年以来,国家陆续出台了多项数据安全相关的法律、法规及部门规章。其中,中华人民共和国民法典(以下简称民法典)于2021 年 1 月 1 日起施行,明确规定了“隐私权和个人信息保护”的相关要求;中华人民共和国数据安全法(以下简称数安法)于 2021 年 9 月 1 日起施行,明确规定了针对整个数据处理活动的数据安全保护责任及义务;中华人民共和国个人信息保护法(以下简称个保法)于 2021 年 11 月 1 日起施行,明确规定了个人信息处理者对于个人信息处理活动各个阶段的保护要求及个人信息主体相关权利要求等。此外,国务院及各部委也在 202
91、1 年发布了很多重要的数据安全相关政策与法规,如 2021 年 7 月 30 日发布的关键信息基础设施安全保护条例、2021 年 12 月 28 日发布的网络安全审查办法等。同时,许多地方在 2021 年及之后也出台了一些地方数据相关的法规,如北京市的北京市公共数据管理办法、上海市的上海市数据条例、江苏省的江苏省公共数据管理办法等。19/48针对数据安全合规最基础的法律法规,包括中华人民共和国网络安全法(以下简称网安法)数安法个保法等,以及地方针对数据安全或公共数据所颁布的数据管理条例或办法等文件,企业应该认真遵守其中的各项合规要求。下面将针对数据合规最重要的数安法个保法的合规要求进行具体分析
92、。此外,还有一些指导文件和地方性的数据合规指引也需要企业引起注意。1.数安法数安法合规分析合规分析角色法律条款合规分析其他相关法律法规相关标准数据处理者第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。数据存储、处理是否都在境内GB/T 22239-2019 信息安全技术网络安全等级保护基本要求;GB/T37988-2019信息安全技术数据安全能力成熟度模型;GB/T41479-2022信息安全技术网络数据处理安全要求;GB/T35273-2020信息安全技术个人信息安全规范;GB/T37964-2019信息安全技术个人信息去标识化指南第二条 在中华人民共和国境外开展数据处理
93、活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。数据出境需重点关注是否涉及国家重要数据、公共数据、个人信息、组织数据等未经批准的情况GB/T35273-2020信息安全技术个人信息安全规范第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个数据处理如涉及国家重要数据、公共数据、个人信息、组织数据 等,是否有合法审批或授权20/48人、组织的合法权益。第二十七条第一款开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度
94、,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。是否制定了各类数据安全管理制度,涵盖数据收集、存储、使用、加工、传输、提供、公开等各个处理活动;是否制定了组织保障制度,以及定期开展数据安全培训;是否采取了数据分类分级、数据加密、脱敏、访问控制、水印、审计、备份等各类技术措施。网安法个保法密码法第二十七第二款重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。是否制定了组织保障制度,并明确了相关负责人及机构的责任第二十八条 开展数据处理活动以及研究开
95、发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。数据处理是否对经济或社会公德等造成伤害互联网信息服务算法推荐管理规定21/48第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。是否制定了数据安全风险监测、应急响应、风险报告等相关制度;是否采取了相关风险监测、预警分析等相关技术措施第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。收集数据是否获得了合法的授权或审批;授权或审批包括数据收集的
96、范围、使用的目的等第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。是否取得了法律、法规规定的行政许可第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。是否配合公安要调取数据、国安等因公需第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原外国司法或执法机构要求企业提供数据,是否向主管机关进行报批22/48则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批
97、准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。重要数据的处理者第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告是否定期开展风险评估,并向主管部门报送评估报告网络安全审查办法第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用中华人民共和国网络安全法的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。数据出境是否经网估批准信办进行评估批准数据出境安全评估办法23/48第三十八条 国家
98、机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。收集和使用数据是否有法律法规依据;是否对个人信息、商业信息等有保密制度及技术措施第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。是否制定了各类数据安全管理制度,涵盖数据收集、存储、使用、加工、传输、提供、公开等各个处理活动;是否制定了组织保障制度,以及定期开展数据安全培训;是否采取了数据分类分级、数据加密、脱
99、敏、访问控制、水印、审计、备份等各类技术措施。网安法个保法密码法关键信息基础设施安全保护条例网络安全审查办法GB/T39477-2020信息安全技术政务信息共享数据安全技术要求2.个保法个保法合规分析合规分析角色法律条款合规分析其他相关法律法规相关标准24/48个人信息处理者第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。是否有制定相关管理制度;是否制定个人信息分类规范;是否采取了数据加密、数据脱敏等相关技术;是否有制
100、定相关培训制度及组织培训;是否制定个人信息安全事件应急预案数安法密码法GB/T35273-2020信息安全技术个人信息安全规范;GB/T37964-2019信息安全技术个人信息去标识化指南第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。是否指定了个人信息保护负责人第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。是否定期组织合规审计第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。是否制定了个人信息安全评估制度网
101、络安全审查办法GB/T39335-2020信息安全技术个人信息安全影响评估指南第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。是否有个人信息安全事件应急处置制度25/483.数据合规评估思路数据合规评估思路数据安全合规评估主要关注企业是否符合法规要求,与从数据安全能力视角进行的数据安全评估在评估目标、评估模型和评估方法上存在明显差异。数据安全合规评估的主要思路如下:第一步是构建数据安全法律法规知识库,全面梳理及分析该组织所应遵循的国家法律、政策法规,并输出合规评估相关材料,包括合规调研问卷、合规知识库、合规指标
102、参数等。第二步是制定数据安全合规能力成熟度模型,包括数据安全合规覆盖整个数据处理活动、数据安全组织保障、规范制度与技术工具等方面,成熟度等级分为基础级、标准级和优化级。第三步是执行数据安全合规评估,基于合规分析及数据安全合规能力成熟度模型,采用自动化评估工具进行评估。虽然基于评估人员调研的方式存在一定的问题,包括评估人员业务技能要求高、评估时效性差、应用场景难以覆盖等,但是建议采用以自动化评估工具为主、重要互联网平台服务/用户数量巨大/业务类型复杂的个人信息处理者第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(一)按照国家规定建立健全个人信息
103、保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;(四)定期发布个人信息保护社会责任报告,接受社会监督。是否建立个人信息保护合规制度;是否有外部成员进行监督;是否制定了平台对个人信息处理的规则,以及个人信息保护相关规范;是否有对违反个人信息保护的产品或服务停止服务的机制;是否定期发布个人信息保护社会责任报告互联网信息服务算法推荐管理规定26/48人工调研为辅的方式进行
104、展开。总之,数据安全合规评估的目的是确保企业符合法规要求,提高数据安全合规水平。数据安全合规评估要点数据安全合规评估要点(二)(二)反商业贿赂专项反商业贿赂专项1977 年,美国国会通过了反海外腐败法,要求上市企业必须建立包括会计控制在内的内控机制,以强化企业自我管理与犯罪预防。然而,由于部分上市企业未完全依据规定构建、实施内控机制,为加强上市企业内控机制监管,美国于 2002 年和 2008 年相继出台了萨班斯奥克斯利法案和多德弗兰克法案。这些法律直接通过立法规定形式,强制企业构建、实施反腐败合规,强化企业自我管理与犯罪预防,并将构建、实施符合法律监管要求的合规计划逐渐上升为企业的法定义务。
105、同时,基于实现企业自我管理与犯罪预防理念的认同,合规计划逐渐融入各国法律实践,并广泛应用于企业犯罪的预防和规制领域。在我国,商业贿赂的立法是分散式的,主要集中在反不正当竞争法以及关于禁止商业贿赂行为的暂行规定的规定中。此外,一些法律、法规以及规基基础级础级标标准级准级优化级优化级组织保障建立了数据安全组织架构,并任命了数据安全责任人。数据安全组织架构分为决策、管理、执行及监督几个层面,并分别任命了具体负责人及职责要求。任命的人员技能是否与职责匹配。规范制度制定了数据安全相关的规范制度,包括数据分类分级规范、数据安全管理规范、数据安全运营管理规范、数据安全培训制度、数据安全投诉举报制度、数据安全
106、报告制度等。数据安全规范制度均有执行结果,如数据分类分级规范可以校验数据分类分级标签、数据培训制度可以校验是否有培训会议纪要等。数据安全规范制度落实效果评估,如数据安全培训进一步评估培训会议效果是否达到;数据安全运营管理规范是否有按规范要求组织相关运营措施,如数据安全应急演练、数据安全漏洞排查。技术工具数据处理活动关键点采用了数据鉴权控制、数据访问控制、数据加密、数据脱敏、数据分类分级、数据水印、数据审计等技术措施进行数据安全控制。数据安全技术工具有实际使用,如数据访问控制有配置访问控制策略、数据加密有配置加密策略、数据脱敏有配置脱敏策略等。数据安全技术工具应用效果评估,如各类安全策略是否有效
107、。27/48范性文件也有相应的规定,如中华人民共和国行政处罚法中华人民共和国保险法中华人民共和国商业银行法中华人民共和国建筑法中华人民共和国价格法中华人民共和国政府采购法中华人民共和国税收征收管理法 国务院关于在对外活动中赠送和接受礼品的规定治理产权交易中商业贿赂工作实施方案 中国保险业监督管理委员会关于明确保险机构不正当竞争行为执法主体的复函以及中国银行业监督管理委员会办公厅关于银行业金融机构不正当竞争有关问题的批复。一些国家将企业构建、实施合规计划作为法定抗辩事由,以推动企业主动实施自我管理与犯罪预防。例如,英国通过立法设立了“商业组织预防贿赂失职罪”并将合规计划规定为法定抗辩事由;200
108、1 年,意大利颁布的第 231 号法令第 6条规定,如果企业能够证明在犯罪行为发生之前业已确立旨在防止各类犯罪行为的合规计划,并保障合规计划有效运行,企业可以免于承担刑事责任。在加拿大和瑞士的立法实践中,企业只要能证明其具备有效的合规计划,主动实施自我监管,并有效预防犯罪,就可以免除企业的刑事责任。因此,在企业犯罪预防实践中,社会所能期待的是企业是否做出符合规范的行为。如果企业和相关管理者已经努力地采取了合规计划,但企业内部的员工仍然实施了犯罪行为,那么公司制裁就可以被免除。(三)(三)反垄断专项反垄断专项2018 年 9 月 18 日,国务院发布了 国务院关于经营者集中申报标准的规定;202
109、0 年 9 月 11 日,国家反垄断委员会印发了经营者反垄断指南;2022 年,中华人民共和国反垄断法进行了修订;2023 年 3 月,市场监管总局发布了四部反垄断法配套规章,包括:制止滥用行政权力排除、限制竞争行为规定禁止垄断协议规定禁止滥用市场支配地位行为规定和经营者集中审查规定,自 2023 年 4 月 15 日起开始施行。这些反垄断规范文件的出台标志着我国反垄断合规的规范基础已经初步确立。对于企业垄断的合规治理,这些规范文件可为企业提供框架性指引,具有重要意义。企业垄断的合规治理是一个系统工程,包括垄断风险管控、合规治理保28/48障等多个内容单元。以内部自治为中心,重点强调事前预防的
110、合规治理逻辑以及垄断风险的复杂性。这决定了企业应该在类型化思维的指引下,对垄断风险进行“识别评估提示与控制”的管理。1.垄断风险的识别垄断风险的识别识别垄断风险是展开类型化控制的前提,大型企业提升垄断风险识别能力的关键路径有两个。第一是任命合规官,组建专业合规治理团队。合规官是企业推行合规治理的关键人物,他以及其他合规治理人员负有勤勉义务,应该严格依据反垄断法律法规,运用专业知识和经验,准确识别、评估和控制企业在经营过程中发生的垄断风险。第二是组织开展反垄断合规培训。合规培训有助于企业及其员工充分理解合规治理的内容、目的和意义,养成识别垄断风险的意识和能力,厘清行为合规与违规的边界。反垄断合规
111、培训应当覆盖企业全员,并对一些重点对象,如高管、与竞争对手可能有业务接触的一线员工,开展多轮培训和专项培训。此外,合规治理人员应该根据企业业务特性并结合数字市场竞争状况等外部因素有针对性地提炼垄断风险识别要点。反垄断合规培训的内容需要根据企业业务性质、企业所在相关市场最易发生或曾经多发的垄断行为等因素综合确定并及时更新。2.垄断风险的评估标准与类型判定垄断风险的评估标准与类型判定风险判断不应以直觉和恐惧为依据,而应通过对特定事项发生概率和结果严重性的动态发现过程来进行评估。对于垄断风险的评估,合规治理人员可以根据风险发生的可能性和损害后果的严重性来划分垄断风险的等级,并将其分为高、中、低三个等
112、级。高等级垄断风险是指,企业很可能因为垄断行为被反垄断执法机构处罚或被法院判决承担责任,具体情况详见下表。相比之下,中等级垄断风险是指,虽然具有一定的发生概率,但企业可能会因为垄断行为被反垄断执法机构调查或被法院判决担责,例如大型企业收购初创企业,即使未达到反垄断法规定的申报标准,反垄断执法机构也可能会依法展开调查。对于这类风险,合规治理人员应该持续跟踪并定期开展新一轮评估。而低等级垄断风险则指发生可能性较小,企业不太可能面临反垄断执法和司法责任的风险。在确认低等级垄断风险29/48时,合规治理人员应该非常谨慎,例如对于企业集中行为,必须有充分的事实和证据表明相关市场的市场集中度较低,参与集中
113、行为的各个企业在相关市场的市场份额很小,对市场的控制力较弱,经营者集中不会产生反竞争效果,方可认定为低风险。为确保评估结论的准确和客观,垄断风险评估应受到严格的程序约束,评估应获得董事会或高管层的授权,确保合规治理人员可以独立开展评估活动。高风险行为垄断协议涉嫌利用数据、算法、平台规则、技术手段固定价格、分割市场、限制产(销)量、限制新技术(产品)、联合抵制交易;涉嫌利用数据、算法、平台规则、技术手段固定转售价格、限定最低转售价格;涉嫌组织或者协调平台内经营者达成垄断协议;滥用市场支配地位涉嫌利用数据、资本、流量等优势以低于成本价格销售商品(服务);涉嫌在算法、技术、平台规则、流量分配等方面设
114、置不合理的限制和障碍;涉嫌控制平台经济领域必需设施,拒绝与交易相对人交易;涉嫌通过屏蔽店铺、搜索降权、流量限制、技术障碍等限定交易;涉嫌利用格式条款、弹窗、操作必经步骤等交易相对人无法选择、更改、拒绝的方式实施搭售行为;涉嫌通过搜索降权、流量限制、技术障碍等强制交易相对人接受其他商品或者服务;涉嫌过度收集用户信息或者附加与交易标的无关的交易条件、服务项目;涉嫌基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等实行差异性定价;涉嫌要求平台内经营者在商品价格、数量等方面向其提供优于竞争性平台的交易条件;10 涉嫌利用服务协议、交易规则手段,对平台内经营者在平台内交易、交易价格以及与其
115、他经营者的交易进行不合理限制或附加不合理条件经营者集中涉嫌达到国务院关于经营者集中申报标准的规定规定的申报标准,但未申报经营者集中;涉嫌申报后未经批准即实施集中;涉嫌违反限制性条件实施集中;3.类型化思维下垄断风险的差异化提示与控制类型化思维下垄断风险的差异化提示与控制对于高等级垄断风险,合规治理人员应该立即向董事会或高管层报告,并建议企业立即停止涉风险业务。合规治理人员可以提出合规整改方案,并在董事会或高管层的同意下,要求涉风险业务的具体负责人有针对性地调整业务模式。例30/48如,对于企业涉嫌实施“二选一”行为,合规治理人员应该要求业务具体负责人调整企业规则,充分保障企业内经营者的选择权。
116、合规治理人员重新评估通过后,企业方可继续开展业务。对于中等级垄断风险,合规治理人员应该及时向董事会或高管层报告并建议企业立即停止涉风险业务。合规治理人员可以向反垄断律师、专家学者或反垄断执法机构咨询业务是否合规。例如,大型企业在并购初创企业前,可以通过商谈程序向反垄断执法机构披露并购的具体情况,征询执法机构意见,确认并购合规后再继续推进合并工作,避免垄断风险。对于低等级垄断风险,合规治理人员应该向董事会或高管层书面报告该评估结论的具体理由。相关业务可以不停止,但合规治理人员应该持续跟踪相关业务进展,并定期对该垄断风险展开新一轮评估。(四)(四)劳动用工专项劳动用工专项人力资源是企业最为重要的资
117、源,因此人才的竞争也成为企业之间竞争的重要方面。对于企业来说,如何进行合规合法的人才管理、减少人才流失、避免人才管理过程中的法律风险,都是一个重大的挑战。在劳动用工方面,企业需要注意五个主要方面的法律风险及防范措施。第一,员工应聘入职的法律风险及防范,企业需要审慎选择应聘者,确保其符合招聘条件,并在入职前对其进行全面背景调查。第二,签订劳动合同的法律风险及防范,企业需要确保劳动合同的内容符合法律法规要求,避免因合同条款不合规而产生法律纠纷。另外,入职后社会保险缴纳也是一个重要的法律风险及防范方面,企业需要按照法律规定及时缴纳社会保险费用,避免因此产生法律风险。第四,劳动关系调解及劳动争议处理的
118、法律风险及防范,企业需要建立健全的劳动关系调解机制,并及时咨询专业律师处理劳动争议。第五,劳动就业监管的法律风险及防范,企业需要及时了解和遵守国家劳动就业监管政策,确保用工合法合规。1.员工应聘入职法律风险及防范员工应聘入职法律风险及防范1.1 存在的风险因素31/48根据就业促进法,禁止性别、年龄、学历、疾病等因素对就业进行歧视。因此,在招聘员工入职阶段,企业需要避免因为被招聘人员未达到法定工作年龄而招聘童工,以及在招聘广告中出现就业歧视性条件等违反法律法规的情况。如果企业在招聘过程中存在违法行为,可能会导致企业与员工之间产生纠纷,并面临劳动行政部门的处罚风险。例如,被招聘人员未满 16 周
119、岁而被招聘为童工,或者在招聘广告中出现就业歧视性条件,这些都可能会导致企业被追责并面临处罚,增加企业的违法成本。因此,企业需要严格遵守相关法律法规,确保招聘程序合法合规,避免在招聘过程中出现违法行为。企业可以通过完善招聘流程、规范招聘广告、加强内部培训等方式,提高企业员工的法律意识,降低企业在招聘过程中的法律风险。1.2 风险防范措施企业应当建立公平、公正、公开、透明的招聘和考核制度,以能力和绩效为标准招聘、考核、晋升员工。在这个过程中,各单位无合法正当理由不得以性别、肤色、宗教、年龄、民族或性取向等与工作内容要求无关的个人特征作为招聘标准或工作评价因素,不得以任何理由歧视任何员工。企业应当严
120、格规范招聘管理流程,不招募 16 周岁以下的童工,招聘广告中不得出现针对被招聘人员的容貌、身高、疾病、户籍、性别等的歧视性条件。企业应当科学合理地设计招聘和录用条件,对员工的身份、工作经历等信息进行真实性调查。在用工方面,企业应当摒弃侥幸心理,合规地调整用工方式,避免路径依赖对企业利润及对“人”的影响。企业应当制定合适的用工方案,建立健全的用工制度。这包括合理设计员工的工作岗位、工作任务和薪酬待遇,以及对员工的培训和职业生涯规划提供支持,以提高员工的工作积极性和满意度。企业还应当加强内部管理,建立健全的投诉机制和处理程序,及时处理员工的投诉和意见反馈,保障员工的合法权益。企业应当秉持公平、公正
121、、公开、透明的用人原则,营造良好的上海品茶和用人环境,吸引更多优秀人才的加入,提高企业的核心竞争力。2.签订劳动合同法律风险及防范签订劳动合同法律风险及防范2.1 风险因素32/48劳动合同是约束用人单位和劳动者用工的书面法律文件,对劳动者而言更是维权的有力凭证。然而,由于现在的劳动力市场是资方市场,用人单位占据主导地位,导致劳动合同的签约率不高。在实际用工过程中,存在许多用人单位不与劳动者签订劳动合同的情况。根据现行的劳动合同法规定,如果用人单位不与劳动者签订劳动合同,将会面临被劳动者要求支付二倍工资的情况。因此,用人单位应当严格遵守相关法律法规,与劳动者签订正式的劳动合同,并按照合同约定履
122、行相关义务。2.2 风险防范措施企业应当依法建立和完善劳动用工管理制度,实行全员劳动合同制度,遵守相关就业和用工许可监管要求,保障员工取得劳动报酬、休息休假、参加社会统筹保障、接受职业培训等各项合法权益,不得以任何形式规避对员工的法定义务。守法经营是每个企业的社会责任。企业应及时与劳动者签订劳动合同,且劳动合同的内容应符合相关法律的要求,避免无效合同或无效条款的出现。如果是续签劳动合同,也应符合续签的相关规定。如果劳动者不签劳动合同,企业应该果断与该劳动者解除劳动合同并不承担任何法律责任。如果因为企业的疏忽大意,导致员工入职超过一个月未能签订劳动合同,企业应与员工进行充分沟通,采取相应的补救措
123、施而不能不了了之。总之,企业应积极主动地解决签订劳动合同的问题,确保合法合规经营。3.入职后社会保险缴纳法律风险及防范入职后社会保险缴纳法律风险及防范3.1 存在的风险因素社会保险是我国社会保障体系中最重要的一环,用人单位为劳动者缴纳社会保险是企业的一项责任。早在 2018 年,我国实行国税、地税合并的税制改革,社会保险费交由税务部门统一征收,如果不缴纳将承担相应的责任。税收具有强制性,如果企业不能依法、按期向税务部门足额及全员缴纳社保费用,可以预见,企业将会存在巨大的违法成本和法律风险。3.2 风险防范措施33/48企业应当严格遵守适用的劳动用工相关的法律法规,其中中国内地各单位应遵守中华人
124、民共和国劳动法和中华人民共和国劳动合同法等法律法规,香港各单位应遵守香港雇佣条例等法律法规。企业应当建立和完善职业健康及劳动保护制度,严格执行所在国家及地区的劳动安全卫生健康规范和标准,为员工提供符合要求的劳动保护措施,对从事有职业危害作业的劳动者定期进行健康检查,营造安全卫生的工作环境,保障员工的健康和安全。(五)(五)知识产权专项知识产权专项1.企业知识产权合规风险企业知识产权合规风险有关企业的知识产权合规风险主要集中在三个方面:第一,知识产权获取合规风险;第二,知识产权维护合规风险;第三,知识产权运用合规风险。知识产权获取合规,是指企业在生产经营过程中应加强对于知识产权布局的统筹规划,有
125、针对性地做好知识产权的布局和申请。以专利申请为例,应进行充分的前期行业技术调研、检索和分析,在确定合理的专利组合布局方案的基础上再及时申请注册。如果企业已经或计划开展海外业务,则在目标国家也需要有相应的知识产权前期布局,以保护权利在海外不受到侵权,避免发生如商标等标识性知识产权被他人抢注的情形。还需要提醒的是,在海外进行知识产权布局应遵守我国相关合规性的要求与规定。例如,在国外申请专利之前的保密审查申请程序;限制技术进出口的审查和批准等等。知识产权维护合规,是指企业应加强对于已获知识产权的风险管控,明晰和维护知识产权的管理规定。其中包括但不限于,明确专利职务发明成果的界定条件;明确委托或合作开
126、发成果知识产权归属的处置原则,明确有关专利权、商标权、著作权等知识产权转让、许可、投资、质押的管理措施和工作程序等。例如:在研发生产过程中,企业除可采用专利申请、软件著作权登记等多种措施对研发成果进行保护的制度规范,对于核心数据、源代码、技术图纸、材料成分配比、生产工艺、设计制造、生产及检验的数据参数等重要技术秘密还应当考虑通过建立相关保密管理制度加以规范。34/48知识产权运用合规,是指企业应加强对知识产权资产的盘点管理与处置运营。企业应关注在商业经营各个环节中所可能涉及的各类知识产权事务的管理措施和工作程序。同时,还应加强知识产权合规文化的建设,针对所有员工就知识产权运用进行常态化的合规教
127、育、指导和培训。例如,应严格规范企业员工在经营活动中未经授权使用他人享有版权的图片或字体,以避免可能的侵权指控引发的法律责任,经济损失以及对企业声誉所带来的负面影响。2.企业知识产权管理合规系统的构建企业知识产权管理合规系统的构建知识产权系统的构建需要注重各个模块的有机结合,知识产权管理系统的构成可以分为输入子系统、转换子系统、输出子系统或者保护、获取、利用和许可等子系统的有机组成。围绕着企业知识产权业务的核心,根据国务院印发的“十四五”国家知识产权保护和运用规划中明确要全面提升知识产权创造、运用、保护、管理和服务水平的要求。要形成全方位、立体化的网络布局,知识产权管理系统可以形成“纵横两条线
128、”的系统构架,设立出“规范性、实效性”的审批流程,构建分级授权管理体系,打造知识产权管理闭环。企业知识产权管理系统的基本架构企业知识产权管理系统的基本架构如上图所示,就横轴而言,是按种类进行分类,与文化企业相关联的主要有著作权管理、专利管理、商标管理、商业秘密管理、地理标志管理等,与企业业务相关联的业务模块。就纵轴而言,是按照知识产权交易链条进行划分:登记系35/48统、交易系统、维权系统、管理系统。在横纵之外,辅之以宣传培训模块。各个模块间相互影响、相互促进、相互交融。2.1 登记系统以著作权为例,著作权完成即自动获取。登记是确定著作权人、作品完成时间的初步的重要证据,对于后续企业申请著作权
129、登记证书或者进行维权活动具有重要的作用。对于企业而言,是否是法人作品还是个人作品,在初始阶段即要明确出来,避免日后与员工进行纷争。同时,在这个模块中可以加入区块链等有助于著作权明确的技术,适时加入登记系统模块中。对于专利、商标管理来说,是企业通过行政方式获取证书后进行企业内部登记的系统,有利于企业掌握自主知识产权的情况。2.2 交易系统根据交易对象不同,可以分为两个子系统,即企业集团内部交易子系统及集团外部交易子系统。就集团内部交易来说,可以进行如著作权的许可、转让、质押等交易行为,以管理企业宣传素材库的“商用字体、图片库”为例,为了避免文化企业在商用宣传上不当使用其他方字体或者图片,可由集团
130、统一采买并将具有许可的字体、图片放置该模块中,子公司按需采购使用,并在制度上明确集团内所有子公司的宣传部门在做宣传海报时使用的唯一渠道即为系统交易模块的素材库,杜绝从网络上使用无授权许可的宣传物料,可从源头上避免著作权侵权行为。在企业集团外部的交易中,该模块可以承载盘活企业知识产权资源,实现知识产权效益最大化的功能。根据交易金额、交易方式等维度对交易权限进行管控,但需要业务部门与企业内控合规部门共同参与,业务部门提交交易的可行性,内控部门审核,纪检监察作为第三道防线确保交易的可行性、合规性。根据知识产权无形的特点,需要交易过程中、交易完成后对无形资产进行跟踪,随时进行策略调整。2.3 维权系统
131、36/48维权系统是企业知识产权管理的重要手段之一,是确保自有知识产权保值增值的核心功能。对于核心的资源,应当保持常态化的维权机制,定时开展排查活动,并视侵权程度,及时发现和监控知识产权被侵犯的情况,适时运用行政和司法途径保护开展企业维权行为。预警机制十分重要,要对预警信息进行收集发布。2.4 管理系统管理系统作为监测、量化数据的重要板块,内设两个子模块,一是信息记录及提示功能。对企业所有登记、交易、维权的知识产权进行管理,实时提示及更新状态,如对于到期要续展的商标、著作权授权使用期限、软件正版化账号提示等均在此模块进行体现。或者对版权数据进行分析:实现每月监测知识产权相关数据,实现实时掌握、
132、实时汇总、实时分析的功能。通过信息化手段将合规要求全面融入经营管理活动,利用大数据、云计算等对重点领域、关键节点开展实时动态监测,加快提升合规管理数字化、智能化水平。二是分析功能,突出问题导向、目标导向、结果导向,综合运用管理系统对全系统内部分、子公司进行统计,对于知识产权管理落实不力、侵权现象频发的公司或职能部门通报批评,结合内控考核标准与评估细则,建立起一套可衡量改革进度、可检验改革实效的“标尺”。2.5 培训宣传系统而培训系统作为前四个板块的综合提升模块,构建大宣传格局、普及教育工程,要注重基础培训以及宣传推广。针对宣传培训模块而言,要全方位开展培训工作,注重“以学促抓”,培训模块分为知
133、识产权方面的培训材料、业务流程、操作手册、典型案例等,一线业务人员及专业管理人员都可从该模块中获取资源进行知识产权水平的提升,同时,定期组织并举办相关的人才培训工作,推动知识产权进干部培训课堂,加快产学研一体化。宣传模块则进行宣传表彰,强化正面激励效果,根据实际情况,突出表彰一批知识产权管理的先进单位、先进个人,进行专项表彰,激发管理活力动力。通过系统管理,改变大而全的单一管理模式,通过系统化、智能化的手段,动态采集分析管理,提升管理效能,推动企业高质量发展。37/48五、五、合规典型案例合规典型案例目前的企业合规体系的建立一般分为两种情况:事前合规与事后合规。事前合规是指涉案企业在犯罪行为发
134、生前已经建立的合规管理体系,往往能够为企业带来责任切割或罪责减免的激励效果;而事后合规是指涉案企业在犯罪行为发生后,通常是在刑事诉讼过程中、在检察机关或者合规监管人的监督下进行的合规整改活动,司法机关基于处刑必要性、一般预防效果、社会公共利益等综合考量给予涉案企业宽缓处理。美国 组织量刑指南 等立法例规定的合规有效性标准,几乎都是针对事前合规确立的基本要素,属于一种“面向未来的合规计划”。企业一旦建立合规培训、合规监控、合规举报等合规管理制度就被认为履行了对未来可能发生违法行为的防范义务,因而事前合规可以作为罪责减免甚至责任抗辩事由。与此不同的是,涉案企业事后合规整改既需要建立面向未来的专项合
135、规计划,更应当首先完成“面向过去的制度纠错”,在分析犯罪原因的基础上进行针对性的管理漏洞填补和制度缺陷修复。(一)(一)事前合规事前合规1.招商局集团的合规体系的建立招商局集团的合规体系的建立2016 年国资委印发关于在部分中央企业开展合规管理体系建设试点工作的通知(国资厅发法规201623 号),将中国石油、中国移动、东方电气集团、招商局集团、中国中铁等五家企业列为此次合规试点的企业。招商局集团的合格手册共五章一百四十三条,其中内容涉及合规理念;合规管理目标;合规管理基本原则;制定依据;适用范围;合规管理组织体系;合规管理制度体系;企业合规义务包括合法规范劳动用工义务、依法纳税义务、反垄断义
136、务、反不正当竞争义务、反洗钱义务、遵守出口管制和经济制裁规则义务、商业伙伴合规义务、财务报告真实准确和上市公司信息披露义务、安全生产义务、环境保护义务、质量合规义务、数据保护和信息安全义务;员工行为准则包括忠诚义务、维护企业财产义务、保密义务、反腐败义务、禁止内幕交易义务、弘扬集团文化和维护企业形象义务、举报义务。38/48与上述合规体系相配套的规定主要有三个方面:第一,基本制度:招商局集团合规管理规定;第二,配套规定:招商局集团合规风险识别机制方案招商局集团合规检查领域和对象的定性定量标准 招商局集团合规检查操作指引 招商局集团年度合规工作考核验收管理细则集团总部部门内部及跨部门合规管理工作
137、标准化沟通流程图;第三,专项合规管理制度:招商局集团劳动用工合规管理办法招商局集团商业伙伴合规管理办法招商局集团捐赠与赞助合规管理办法招商局集团环境保护合规管理办法招商局集团总部纪念品与接待合规管理办法招商局集团反垄断合规管理指引招商局集团海外项目法律合规工作指引。2.中国中化的合规体系建设中国中化的合规体系建设中国中化的合规体系主要包括三个方面:合规义务公约 诚信合规手册合规责任书。合规义务公约从遵守国有资产管理义务、遵守依法纳税义务、反腐败、反垄断、数据安全、上市公司信息披露、知识产权等 16 个方面明确了企业和员工应遵守的合规义务,以全面、概括、凝练的规定内容表明公司合规经营的底线要求。
138、诚信合规手册旨在为公司经营管理行为及员工行为提供原则性合规指引,指导员工以规范的行为和更高的道德标准履行职责,帮助公司及员工合法合规开展各项经营管理活动。在诚信合规手册中,“董事长致辞”部分明确倡导“我们将坚持诚信合规优先于经济利益的理念,将诚信合规作为首要原则体现在企业经营管理的方方面面,渗透于企业经营管理和文化建设当中,不断提升每一位员工的诚信合规理念。”同时,合规责任书的签订更有助于企业合规文化的形成,领导人带头签署合规承诺书、组织全体员工进行合规宣誓、组织合规竞赛等方式倡导、宣传企业的合规文化,让合规的观念深入人心。(二)(二)事后合规事后合规涉案企业需要针对已经发生的违法违规行为,建
139、立与其密切相关的专门性合规管理体系。1.湖南建工的合规体系建立湖南建工的合规体系建立39/48湖南建工集团有限公司是一家位列中国 500 强的大型国有企业,该公司曾参加由世界银行资助的一起道路翻修项目的竞标,并提供了全套旨在证明自身具有施工经验和竞争实力的证据材料。世界银行廉政局(INT)经过审查发现,该公司在竞标时提交的业务经验文件是不真实的,构成了世界银行集团诚信合规指引所定义的欺诈行为。对此,湖南建工予以承认,并配合了世界银行的调查。2013 年 10 月,世界银行对该公司做出了“附解除条件的取消资格”两年的制裁决定。根据这份制裁决定,湖南建工集团(包括其关联企业)在两年内不得参与世界银
140、行资助的项目,也不得因世界银行贷款而获得收益。两年期满后,该公司满足以下两个条件的,就可以申请恢复资格:一是针对被制裁的违规行为采取了适当的补救措施;二是建立并执行了符合世界银行要求的、有效的诚信合规计划。世界银行的制裁给湖南建工集团既造成了贷款融资上的困难,也带来了声誉上的重大损失。为挽回声誉,避免更大损失,尽早解除制裁,湖南建工在世界银行的监控和指导下开始了建立有效合规计划的行动。2017 年 6 月 29 日,湖南建工监理和实施诚信合规体系的努力得到了世界银行的认可,收到了世界银行的解除制裁通知书,这标志着世界银行对该公司的制裁正式撤销。以下是湖南建工集团在三年时间里建立的诚信合规体系:
141、一是颁布合规政策和程序。湖南建工集团依照世界银行的建议,并参照世界银行诚信合规指引的标准,制定并实施了诚信合规政策和程序,使其成为公司实施合规体系的基础性规范。同时,集团还颁布了与之配套的诚信合规管理办法,从顶层制度、组织结构、人员配备、工作程序等方面构建了一套完整的合规工作机制。二是建立合规组织体系。湖南建工成立了直接隶属于董事会的诚信合规委员会,集团纪委书记担任该委员会负责人,集团主要高层管理人员为该委员会成员,集团任命了首席合规官,该项职位由集团总法律顾问兼任。与此同时,集团设置了合规部门,将合规职能划入原来的法律事务部,将其名称改为法律合规部。法律合规部下设合规处,负责集团诚信合规体系
142、的建立和实施工作,在法律合规部下设若干合规专员。不仅如此,集团还将所属各单位原来的法律事务部统一更名40/48为法律合规部,增加其诚信合规工作职能,负责各单位诚信合规管理工作,每个单位的法律合规部下设若干合规专员。三是组织合规培训。集团要求每位员工宣读、遵守合规宣言;每年定期接受合规培训,并签署合规证书。四是对商业伙伴加强合规管理。集团与商业伙伴(第三方)进行合作之前,在进行合规尽职调查的前提下,要求其签署 反贿赂陈述、保证与承诺函 及 合规证书,承诺在合同期内遵守集团诚信合规政策和程序以及有关反商业贿赂的法律。五是展开合规风险评估。由集团合规委员会对合规风险进行定期评估,对集团每个部门和分公
143、司、子公司进行高、中、低三类风险级别分类。六是组织合规审计。集团审计部每年对内部遵守反贿赂反欺诈法律以及执行诚信合规政策和程序的情况进行合规审计,尤其是高风险的部门或分公司、子公司进行重点审计。七是建立举报制度。集团及其所属单位设立咨询举报热线,鼓励员工或任何第三方对集团的任何欺诈、贿赂、腐败、串通、施加压力和其他不符合合规政策的行为进行举报。八是全面配合世界银行的合规审查和持续监督。按照世界银行的合规要求,接受制裁的企业要向世界银行定期汇报合规进展情况,接受世界银行战略委员会顾问、首席合规官的诚信合规检查,世界银行还会聘请独立的合规监督员对企业合规建设进展情况进行监督和审查。在实施合规体系过
144、程中,湖南建工集团不仅定期向世界银行进行了合规进展情况报告,而且数次接待世界银行首席合规官和独立合规监督员的现场检查,接受他们有关改进合规体系的建议和要求。并按照该银行的要求进行整改,最终在合规体系建设上得到了世界银行的首肯。2.以阿里巴巴及蚂蚁集团为首的反垄断合规案例以阿里巴巴及蚂蚁集团为首的反垄断合规案例2021 年 4 月 6 日,国家市场监管总局以阿里巴巴公司“滥用市场支配地位”、违反中华人民共和国反垄断法为由,作出了高达 182 亿多元的行政罚款。在作出严厉行政处罚的同时,该部门还向阿里巴巴公司发出一份行政指导书,41/48向该公司提出了完善反垄断合规体系的指导意见,并要求该公司据此
145、制定整改方案,明确整改任务和完成时限,并在三年内,每年报送“自查合规报告”。同时建议该公司主动向社会公开合规情况,接受社会监督。国家市场监管总局向阿里巴巴公司提出了五个方面的合规整改意见:一是全面规范自身竞争行为,包括展开自查、申报和承担相关法律义务;二是严格落实平台企业主体责任,包括强化完善交易规则,与经营者展开公平合作,建立外部评价机制等;三是完善企业内部合规控制制度,包括完善合规咨询、合规检查、合规汇报、合规考核、合规培训和定期合规汇报等制度;四是保护平台内经营者和消费者合法权益,包括保护经营者和消费者知情权、公平交易权和自由选择权等;五是维护公平竞争促进创新发展,包括加大资源端口开放力
146、度,尊重用户选择权等。2020 年 12 月,中国人民银行、中国银保监会、中国证监会、国家外汇管理局对蚂蚁集团进行了约谈,针对该公司金融业务中存在的垄断、不正当竞争和资本无序扩张等问题,督促其建立专门团队,并指导其制定整改方案。2021 年 4月,上述金融管理部门再次对蚂蚁集团进行约谈,要求其“正视金融业务活动中存在的严重问题和整改工作的严肃性”,按照整改方案,进行深入和有效的整改。上述金融管理部门批准的整改方案,其实是一项针对蚂蚁集团金融合规风险所确立的合规管理体系。该体系并不是一项系统性的金融合规计划,而是针对该公司经营模式所存在的管理漏洞和制度隐患,所提出的一套“去违法化”和“去犯罪化”
147、的制度改造方案。这套整改方案具有较大的可操作性,明显改变了蚂蚁集团的商业模式和经营方式。2021 年 4 月,国家市场监管总局为规范网络平台企业的经营行为,重点解决这类企业强迫实施“二选一”行为,限制市场竞争,遏制创新发展的问题,要求各平台企业 1 个月之内全面自检自查,逐项彻底整改,并向社会公开依法依规经营承诺,接受社会监督。市场监管部门将组织对平台整改情况进行跟踪检查,整改期后发现平台企业继续强迫实施“二选一”等违法行为的将一律从重从严处罚。随后,包括爱奇艺、百度、滴滴、当当、美团、搜狗、携程、阿里、网易、腾讯、字节跳动等在内的 34 家平台企业,相继发出 依法依规经营承诺书,42/48承
148、诺依法依规从事经营活动,杜绝垄断行为,公平参与市场竞争,落实平台责任,强化商业内容治理,杜绝虚假宣传,履行知识产权保护义务,保护消费者权益,加强个人信息保护,等等。六六、合规管理体系建设和有效运行的整体优势、合规管理体系建设和有效运行的整体优势审视构建合规管理体系优势的前提需要从两个方面对有效合规进行全面论述,因为对于企业而言,合规本质上为一种基于风险防控的公司治理方式,而这种治理方式无法通过企业自行运转而自发构建,同时合规贯标认证则是对企业合规管理体系有效运行的“证明”。根据现今理论与司法实践已形成的普遍共识认为“无监管即无合规”,也就是说,若没有行政机关、司法机关以及国际组织的外部推动,就
149、不会有任何企业会自主自发地建立合规管理体系。因此,自 2005年我国监管部门引入合规监管方式以来,我国企业通常沿着两条道路推进合规管理体系的建设:其一,在行政监管部门的指导和监督下,企业以预防相关合规风险为主要出发点,建立常态化的合规管理体系;其二,在行政机关、司法机关的执法压力下,或者在国际组织采取制裁措施的情况下,涉案企业以追求减轻处罚或者取消制裁为目标,针对业已暴露的违法、违规或者犯罪行为,采取有针对性的合规整改措施。由此,我国企业有效合规管理大体形成了两种相对独立的制度模式:一是日常性合规管理模式,二是合规整改模式。其中,日常性合规管理又称“面向市场的合规计划”是企业在行政监管部门的指
150、导和监督下,以预防相关合规风险为主要出发点,建立常态化的合规管理体系为目标的风险预防防控体系;合规整改模式又称“应对危机的合规计划”则是企业在行政机关、司法机关的执法压力下,或在国际组织采取制裁措施的情况下,以减轻处罚或者取消制裁为目标,针对业已暴露的违法、违规或犯罪行为,采取有针对性的合规整改措施。因此对于企业而言,积极构建合规贯标认证体系不仅需要对日常风险防患于未然,还要建立完备、高效的合规应急方案,以帮助企业全方面全方位建立完备、安全且高效的企业防火墙制度,其优势具体包括:第一,增强品牌信誉度。合规认证能够证明企业遵守相关法规,提高企业在客户、供应商以及合作伙伴中的信誉度。第二,降低合规
151、风险以及责任。合规认证能够帮助企业识别和降低合规风险,从43/48而减少与法律冲突的可能性。第三,提升营销竞争力。获得合规认证可以成为企业在市场上进行营销的有效手段,提高企业在同行业竞争中的优势。第四,改善内部管理。合规认证不仅要求企业遵守相关法规,还要求企业在内部建立完善的管理制度,有利于企业加强内部管理。第五,安全保障。通过合规认证,企业能够确保产品或服务符合相关安全标准,从而保障消费者的安全。(一一)刑事责任方面的激励刑事责任方面的激励随着企业合规监督考察制度改革的深入推进,有关企业合规整改及其标准的讨论变得日益重要和紧迫。一方面,在合规整改方面,检察机关无论是采取相对不起诉模式,还是采
152、取附条件不起诉模式都需要审查涉案企业的合规整改方案,企业唯有制定了切实有效的合规计划,检察机关才能对其作出相对不起诉的决定,或者将其纳入合规考察的对象。另一方面,在合规验收环节,检察机关要对被提出合规整改建议或者被纳入合规考察对象的企业,作出是否提起公诉的决定,也需要依据一些可操作的客观标准,以避免自由裁量权的失控,确保合规不起诉决定的公信力。迄今为止,我国检察机关经过改革探索,推出了两种合规整改模式:一是“简式合规模式”,二是“范式合规模式”,前者适用于那些由中小微企业涉嫌实施的轻微单位犯罪案件,后者则适用于那些由大型企业涉嫌实施的重大单位犯罪案件。对于适用简式合规模式的案件,检察机关通常先
153、作出相对不起诉的决定,然后向企业提出检察建议,责令其在特定期限内开展合规整改工作。对于适用范式合规模式的涉案企业,检察机关对其合规整改报告经过审查,一旦启动合规考察程序,就可以安排六个月至一年的合规考察期,指派独立的第三方合规监管人,监督并指导企业开展合规建设,在合规考察期结束前还要进行专门的整改验收。因此,无论是简式合规模式还是范式合规模式,合规整改都不应仅止步于有针对性的制度纠错和管理修复。为克服制度纠错和管理修复活动所具有的局限性,涉案企业需要建立一种完整的合规管理体系。这种管理体系可以从整体、全面和长远的角度发挥预防相关犯罪的效用。因此,企业具有充分的刑事责任豁免激励去自主自发地引入一
154、种有针对性且持续有效的合规管理体系。44/48(三)(三)合规不起诉案例简析合规不起诉案例简析1.基本案情上海某网络科技有限公司(以下简称“网络科技公司”)成立于 2016 年 1 月,是一家致力于为本地商户提供数字化转型服务的互联网大数据公司。公司现有1000 余名员工,年纳税总额超过 1000 万元。自成立以来,网络科技公司已成功协助 2 万余家商户完成数字化转型,为本地经济发展做出了重要贡献。此外,公司还拥有 10 余项计算机软件著作权,并于 2020 年被评定为高新技术企业。然而,2019 年至 2020 年期间,网络科技公司为吸引更多的客户,未经上海某信息科技有限公司(以下简称“信息
155、科技公司”)的授权许可,采取了一些不当手段。由网络科技公司首席技术官陈某某指使,汤某某等多名技术人员通过“外爬”“内爬”等爬虫程序,非法获取信息科技公司运营的外卖平台(以下简称“外卖平台”)数据。其中,汤某某技术团队实施“外爬”,通过非法技术手段或利用外卖平台网页漏洞,突破并绕开信息科技公司设置的 IP 限制、验证码验证等网络安全措施,大量获取信息科技公司存储的店铺信息等数据。而王某某技术团队则实施“内爬”,利用掌握的登录外卖平台商户端的账号、密码及自行设计的浏览器插件,违反外卖平台商户端协议,通过爬虫程序大量获取信息科技公司存储的订单信息等数据。这些行为严重侵犯了信息科技公司的合法权益,造成
156、了巨大的经济损失。案发后,网络科技公司及陈某某等人均认罪认罚,并积极赔偿被害单位的经济损失并取得谅解。2020 年 8 月 14 日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪提请上海市普陀区检察院审查逮捕。8 月 21日,普陀区检察院经审查认为,陈某某等人不具有法律规定的社会危险性,依法决定不批准逮捕。2021 年 6 月 25 日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。最终,2022 年 5月,普陀区检察院依法对犯罪嫌疑单位网络科技公司及犯罪嫌疑人陈某某等 14人作出不起诉决定。2.合规整改情况及效果45/48一是在
157、侦查中介入,明确案件定性。由于本案罪名涉及专业领域,作案手法也非常复杂,因此在侦查初期,普陀区检察院就应该接受公安机关的邀请并介入侦查,引导取证,明确鉴定方向。一方面,普陀区检察院引导公安机关固定网络科技公司的爬虫程序、云服务器的电子数据,以查清爬虫的运行模式、被爬取的数据属性等关键事实并加以鉴定。同时,检察院还走访被害企业,深入核实被害企业的数据防护措施、直接经济损失等,为认定案件事实补充完善证据链条。另一方面,普陀区检察院引导公安机关在讯问时关注作案动机、网络科技公司现状及发展前景等与企业合规相关的问题,督促网络科技公司积极赔偿被害企业损失,消除影响。同时,普陀区检察院还会同执法司法机关、
158、监管部门、专家学者,围绕爬虫的技术原理、合法性边界、法律适用及数据合规重点、难点,深入开展研讨交流,为案件定性、开展企业合规整改奠定工作基础。二是认真审查,启动合规考察。案件移送审查起诉后,普陀区检察院经实地走访网络科技公司查看经营现状以及会同监管部门研商公司运营情况发现,网络科技公司管理层及员工存在重技术开发、轻数据合规等问题,此次爬取数据出于自身拓展业务的动机,未进行二次售卖。普陀区检察院考虑到网络科技公司是一家成长型科创企业,陈某某等 14 名涉案人员均已认罪认罚,积极赔偿信息科技公司经济损失并取得谅解,网络科技公司合规整改意愿强烈,提交了适用刑事合规不起诉申请书及企业经营情况、社会贡献
159、度等书面证明材料,普陀区检察院经审查对网络科技公司做出合规考察决定。三是因案制宜,围绕数据合规专项计划精准治理,对涉案企业开展专业第三方监督评估。经走访座谈、办案调研,普陀区检察院发现,网络科技公司存在管理盲区、制度空白、技术滥用等合规风险。因此,普陀区检察院向网络科技公司制发合规检察建议书,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议。网络科技公司积极整改,并聘请法律顾问制定数据合规专项整改计划。同时,鉴于开展数据合规的专业性要求较高,本案第三方组织吸纳网信办、知名互联网安全企业、产业促进社会组织等的专家成员,通过询问谈话、走访调查、审查资料、召开培训会等形
160、式,全程监督网络科技公46/48司数据合规整改工作。具体而言,普陀区检察院要求网络科技公司在数据来源上合规,与信息科技公司达成合规数据交互约定,彻底销毁相关爬虫程序及源代码,对非法获取的涉案数据进行无害化处理,并与信息科技公司 API 数据接口直连,实现数据来源合法化。在数据安全方面,网络科技公司设立了数据安全官,专项负责数据安全及个人信息安全保护工作;构建了数据安全管理体系,制定、落实了数据分类分级管理制度 员工安全管理等级;加入了区级态势感知平台,提升安全威胁的识别、响应处置能力,分拆服务,提高云访问权限,数据及时脱敏、加密,增强网络攻击防护能力。在数据管理制度方面,网络科技公司建立了数据
161、合规委员会,制定了常态化合规管理制度,开展了合规年度报告。四是“云听证”,以确保监督评估考察的公正透明。在三个月的考察期限届满后,第三方组织对涉案企业和个人进行了全面评估,并认为他们积极采取合规整改措施,包括建立合规组织、完善制度规范和提升技术能力,已经完成了数据合规建设。随后,普陀区检察院通过听取汇报、现场验收和公开评议等方式充分审查了监督考察结果。最终,网络科技公司在 2022 年 2 月被评定为合规整改合格。为了保障涉案企业及时复工复产,普陀区检察院于同年 4 月 28 日开展了“云听证”,邀请了全国人大代表、人民监督员、侦查机关、第三方组织、被害单位等线上参加或旁听。经过评议,各方参与
162、听证一致同意对涉案人员作出不起诉决定。同年 5 月 10 日,经过审查后,检察机关认为,由于本案犯罪情节轻微,网络科技公司及犯罪嫌疑人具有坦白、认罪认罚等法定从宽处罚情节,积极退赔被害企业损失并取得谅解,系初犯,主观恶性小,社会危害性不大,且网络科技公司合规整改经第三方考察评估合格,依法对网络科技公司、陈某某等人分别作出不起诉决定。五是企业合规整改见实效、显长效。为了确保企业将数据合规内化为长效机制,检察机关不定期回访了解情况后发现,网络科技公司认真贯彻落实合规整改要求,并与信息科技公司达成数据交互合作,通过 API 数据接口直接获取平台数据,确保了合法合规。同时,网络科技公司将其与信息科技公
163、司的合作模式进行复制和移植,与三家大型互联网企业达成数据合作。由于网络科技公司扎实开47/48展企业合规工作,建立了健全的数据合规长效机制,公司实现了稳步发展,分支机构在全国覆盖面进一步扩大,员工人数比 2020 年底增加了 400 余人,2021 年度全年营收达到了 2 亿余元,纳税总额超过了 1700 万元。(三三)行政责任方面的激励行政责任方面的激励正如前文所述,对于贯标认证企业而言,有效合规管理体系的构建不仅于刑事责任豁免上对其具有一定的正向激励,对于行政和解也具有相当程度的正向激励效果。虽说行政法上的企业合规制度体系尚未完全建构起来,但是企业合规治理在我国法治体系中,发挥着越来越显著
164、的作用。因此即便是企业合规在行政监管领域的积极作用未充分展现的当今,其作用仍不能忽视。行政和解作为一种带有协商性、合作性和妥协性的行政执法方式,行政和解制度已在我国经过数年试验之后,已经在反垄断执法和证券监管领域得到初步确立,这对于提高行政执法效率、优化行政执法资源的配置、保障经营者和投资者的利益、恢复市场秩序,都具有积极的意义。(四)(四)行政和解案例简析行政和解案例简析2019 年 4 月,中国证监会与高盛(亚洲)有限责任公司、北京高华证券有限责任公司等 9 名申请人达成了历史上首个行政和解案例。据中国证监会公告,此前高盛亚洲的自营交易员通过在高华证券开立的高盛经纪业务账户进行交易,并向高
165、华证券的自营营业员提供业务指导。在 2015 年 5 月至 7 月期间的 4 个交易日的部分交易时段,双方从事了其他相关股票及股指期货合约交易,这一行为被中国证监会视为违规行为,于 2016 年 7 月对申请人立案调查。随后,高盛亚洲、高华证券等 9 名申请人提出申请,与中国证监会达成行政和解协议,被责令缴纳 1.5 亿元的行政和解金,并采取必要措施加强公司的“内控管理”,在完成后向中国证监会“提交书面整改报告”。作为回报,中国证监会终止了对申请人有关行为的调查和审理程序。另外,2020 年 1 月,中国证监会与司度(上海)贸易有限公司、富安达基金管理有限公司、中信期货有限公司、国信期货有限责
166、任公司、北京千石创富资本管理有限公司等五家公司达成行政和解协议。这五家公司因涉嫌违反账户管理48/48有关规定、资产管理业务有关规定,被中国证监会进行监管调查。最终,这些公司分别被责令缴纳 6.7 亿元、180 万元、1000 万元、235 万元和 100 万元的和解金,并采取必要措施加强公司的“内控管理”,完成后向中国证监会“提交书面整改报告”。作为回报,中国证监会终止了对申请人有关行为的调查和审理程序。这两个案例都是中国证监会试点行政和解制度下的典型合规案例。行政和解将调查和审理程序的时间和成本降至最低,提高了监管效率,同时也为公司提供了一种合法的、快速解决争议的方式。对于申请人而言,行政
167、和解可以减轻罚款和制裁的程度,同时也能够维护公司的声誉和信誉。而对于监管机构而言,行政和解则可以在保障市场公正和公司合规的前提下,促进市场的稳定和发展。结语结语总而言之,企业合规贯标认证需要企业尽可能地消除“幸存者偏差”心理因素的干扰,无论是大型央企、国企抑或是私企,积极落实合规贯标体系认证建立良好的企业合规管理评估系统具有重要意义。因此,评估企业有效合规可以具体包括以下几点:第一,合规管理流程的完善程度:企业应该建立完善的合规管理流程,包括合规政策、内部控制流程、风险评估、监督检查等方面。评估这些流程是否完善和实施是否到位可以帮助评估企业的合规管理效果。第二,合规违规事件的发生率:合规违规事
168、件的发生率可以反映企业合规管理的效果,如果合规违规事件的发生率较低,则说明企业的合规管理效果较好。第三,内部控制的有效性:企业应该建立有效的内部控制机制,确保管理人员和员工遵守内部规章制度和合规政策。评估内部控制的有效性可以帮助评估企业的合规管理效果。第四,合规培训的效果:企业应该对员工进行合规培训,增强员工的合规意识和能力。评估合规培训的效果可以帮助评估企业的合规管理效果。第五,客户满意度:客户是企业的重要利益相关者,他们对企业的合规管理效果也有所关注。通过客户满意度调查可以了解客户对企业合规管理的看法和评价,从而评估企业的合规管理效果。总之,评估企业合规管理的效果需要综合考虑多方面因素,建立相应的评估体系和指标,进行科学的评估和分析。