■ 彭洪毅
企业合规是当下社会一个热门主题。从现代企业治理角度,企业合规是企业治理结构的变革,是与企业业务管理、财务管理并行的三大支柱之一。从企业合规起源看,其是在反思传统预防企业犯罪模式不足基础上,通过赋予企业合规以量刑意义,促进企业自我管理的推行。从世界范围看,其最新发展表现为把鼓励符合道德的行为和承诺遵守法律的企业文化纳入企业合规,将合规嵌入到企业的文化和员工的行为态度中,成为企业核心价值。在我国法治语境下,企业合规实践表现为两条路径:一是2005年起在金融行业推行至今的,由我国政府行政监管部门主导与推动的企业合规管理建设;二是2020年3月,最高人民检察院启动的企业合规改革试点工作,旨在探索社会治理新途径。两条路径的根本目的都在于确保企业的可持续发展目标。区别在于前者针对银行、证券等金融行业、央企展开。后者是针对涉及刑事案件企业的试行。但总的来讲,对于绝大多数企业而言,企业合规与自己关系并不太大。但是,从2021年11月1日《个人信息保护法》开始施行起,情况就发生彻底变化。原因在于《个人信息保护法》首次把企业等个人信息处理者的企业合规建设作为法律义务予以明文规定。鉴于该法在个人信息保护法律体系中的基础性地位,以及个人信息已经成为数字经济基本要素的背景,无论是企业外部业务展开还是企业内部管理,都会涉及到个人信息的保护问题。而《个人信息保护法》对违反该法规定合规义务的严厉处罚,都警示着企业在未来个人信息保护问题上,必须高度重视企业合规,采取具体措施予以落实,才可能及早防范不必要的各种风险。
企业合规从金融行业开始推行,到对涉及刑事案件企业的引导、帮助及整改,再到对企业等信息处理者合规法律义务的规定;从遵守法规、行业规范到符合道德要求;从企业自律到具有法律规制的自律再到企业合规文化,其内涵逐步丰富,外延逐渐扩展,企业合规的这一发展转变有着深刻的时代背景。
一、 企业合规在我国发展的历程回顾
我国政府对企业合规的重视,始于国有大型金融企业对企业法律风险的认识,其后被逐渐推行到所有中央国有企业。最早的实践是2002年中国银行总行“法律事务部”更名为“法律与合规部”,设首席合规官(CCO)。随后,国有大型商业银行陆续开展合规风险管理。在各商业银行实践的基础上,上海银监局于2005年制定《上海银行业金融机构合规风险管理机制建设的指导意见》。2006年银监会出台《商业银行合规风险管理指引》。2007年保监会颁布《保险公司合规管理办法》。2017年标准化管理委员会发布《合规管理体系指南》。同年,证监会发布《证券公司和证券投资基金管理公司合规管理办法》。2018年国资委发布《中央企业合规管理指引(试行)》。2018年5月中国国际贸易促进委员会发起设立了全国企业合规委员会。同年12月,国家发改委会同其他六个部门联合发布《企业境外经营合规管理指引》。在企业内部制度层面上推行企业合规的同时,行政监管部门的监管也日趋严格。如反垄断领域,行政监管部门对存在违规行为的企业科处上亿的严厉罚款屡屡出现,证券监督管理部门对金融机构和其他企业的违规行为处罚力度则更是空前。2020年3月,最高人民检察院以积极融入国家治理,以检察保障助推长治久安为主旨,对涉及刑事案件的企业合规管理开展工作试点。但是也可以清晰地看到,前述企业合规的推行还仅仅限于特定行业、特定企业范围,对于大多数企业而言,企业合规是一个与己无关的概念而已。《个人信息保护法》把企业合规作为一项保障个人信息权益实现的规定,弥补了既往推行企业合规存在的短板,将其最大可能地扩展到更多的企业,将对我国企业现代治理方式及社会治理发挥积极作用。
二、 互联网风险社会的特征要求现代企业治理引入企业合规法律义务
由于日益依赖于现代数据处理与转移系统,当代风险社会正在被加速推动。信息技术尤其是人工智能一方面促进了社会的发展和进步,另一方面也给社会带来了更多潜在的风险和挑战。作为防范社会不确定风险的工具,法律立场也应与时俱进。法律预防违法犯罪等各种风险的立场逐渐从传统消极的、注重后果的一般预防向积极的、重视行为的一般预防转向。因为积极一般预防所强调的是,每一个包括个人、企业的社会成员都有合法行为的主动学习义务,设定法律责任处罚的目的,不是通过施加法律责任达成强制实现义务,而是设法让社会成员明了合法与非法的界限后,充分考量个人、企业自身法益以及社会利益,自愿而主动学习法律义务内容,达成遵守法律义务要求的效能,实现法律对企业、公民等主体行为的引领。当前我国进入经济社会高质量发展的新时期,风险社会的特征也对企业在企业管理、履行社会职责方面都提出了新的要求,通过企业合规管理,可以有效管控经营过程中的重大法律风险,提升企业核心竞争力,更是企业实现可持续发展的内在要求。
三、 企业等个人信息处理者与个人之间不对等关系需要课以企业合规义务来平衡
数据已成为互联网时代的重要生产要素,孕育了新型的生产力和生产关系。互联网平台、数据公司等新兴商业企业塑造着全新的经济业态、商业模式和交易规则,成为日益重要的新型法律关系主体。它具有与此前企业法律关系主体所不可想象的权力,在市场经济中,从一定程度上发挥着传统国家机关的某些功能,如淘宝、京东等大型网络平台的纠纷解决机制。传统行业企业在业务经营和内部管理上,为了企业生存发展,不得不融入数据生态的大环境,日益注重从数据信息中挖掘巨大的经济利益或提高管理效能。无论是在新型互联网商业组织还是在传统行业企业面前,个人与企业之间在资源、能力各方面的力量严重失衡,天然缺乏对抗后者的手段,几乎不存在任何私力救济的途径。同时,个人信息处理活动对个人利益的侵害,具有事前不易防范、事中无法制止、事后难以查找的特点。因此,具有社会分配正义功能的国家法律以国家权力介入传统私法性质上的平等主体之间,责无旁贷的承担起扭转企业等个人信息处理者与公民个人之间力量严重失衡关系的任务,为社会公平正义的实现提供坚实保障。
四、 《个人信息保护法》的立法目的要求设定企业合规义务保障个人信息权益的行使
个人信息权益作为一项互联网时代的新型人权。从普遍意义上看,是仅次于自然人生命权、人身权利的基本人权。因此,《个人信息保护法》主要通过设定企业信息处理者的义务方式来展开对个人信息保护的立法。该法第1条开章明义指明了该法立法目的,表明保护个人信息的立法目的是优于个人信息合理利用目的的。这一立法逻辑要求对企业等信息处理者施加企业合规法律义务,全方位规范其信息处理活动。数据信息蕴含巨大经济利益的想象空间,是数据信息作为重要生产要素的一个显著特点。追求经济利益的各类企业,因此就具有的收集、处理、利用各种个人信息的强大内驱力。这种利益驱动反映在现实生活中,就是一些企业、机构,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰民众生活安宁、危害民众生命健康和财产安全。从回应民众需求出发,有必要从个人信息处理启动之前端规范企业日常的个人信息处理活动,施加更严格的法律义务来预防企业的信息处理活动。因此,立法机关在考虑个人信息的特征基础上,通过直接介入企业内部个人信息处理活动,细化规定管理流程这种迥异于传统权利保护的方式来强化对个人信息的保护,并在第六十条明确规定了严厉同时又留有余地的处罚予以保障。
在国内依法治国的大背景下,《个人信息保护法》对企业等在个人信息处理活动中合规法律义务的设定,反映了新时代我国社会治理方式的逐步完善。从最初的行政机关监管到司法机关的积极介入,再到立法机关的立法实践,表明了党的十八届三中全会提出的系统治理、依法治理、综合治理、源头治理的创新社会治理方式的具体落实,也凸现企业合规建设日渐完备及速度加快的趋势。从全球视野来看,此举不仅顺应了全球企业强化合规的趋势,并且也为未来企业发展指明了方向,即企业应该重视企业合规文化的建设,从企业高管到普通员工,企业合规文化都要内化于其心,外显于其行,真正成为企业核心价值。这样,企业才能在互联网大潮中行稳致远。(作者单位:四川省委党校)
