動(dòng)態(tài)與觀點(diǎn)
一、前言
一家知名奶粉企業(yè)的某地銷(xiāo)售團(tuán)隊(duì)“聰明能干”,想到:如果與醫(yī)院婦產(chǎn)科、育兒嫂機(jī)構(gòu)等交上朋友,就能掌握嬰幼兒家庭信息,市場(chǎng)推廣工作就可以做到“精準(zhǔn)”。想到就做。不久,一群警察來(lái)到公司......
這不是偵探片,而是一個(gè)涉嫌侵犯公民個(gè)人信息罪的真實(shí)案例。
事情的后來(lái):?jiǎn)T工聲稱是按企業(yè)的要求行事,因此屬于單位犯罪,應(yīng)由單位承擔(dān)責(zé)任。而單位稱不知情。
如果最終認(rèn)定為單位犯罪,決策者就要承擔(dān)責(zé)任。而如果企業(yè)建立了相應(yīng)組織和制度,處境就比較有利。
這個(gè)案例提示的不僅是“個(gè)人信息保護(hù)”這個(gè)課題。其中包含了一個(gè)新的企業(yè)管理問(wèn)題——企業(yè)組織法制化。近三年中,這一趨勢(shì)明顯增強(qiáng):對(duì)企業(yè)的組織管理提出明確要求的法律越來(lái)越多了。
當(dāng)然,我們不是在說(shuō)《公司法》或《證券法》這類(lèi)對(duì)企業(yè)提出宏觀治理要求的法律。而是在說(shuō),有很多法律已對(duì)企業(yè)提出(相對(duì)于董事會(huì)、監(jiān)事會(huì)這類(lèi)宏觀機(jī)構(gòu)而言的)微觀層面的管理要求。
因?yàn)檫@一趨勢(shì),人們通常認(rèn)為的“如何設(shè)計(jì)自己的組織、如何管理自己的員工、如何組織自己的運(yùn)營(yíng)等,是企業(yè)自己的事情”這樣一種觀點(diǎn),已經(jīng)不完全“法律正確”了。
最新的例子是網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法、出口管制法等。個(gè)人信息保護(hù),雖尚未有專門(mén)法律誕生,但已有幾部法律從各自角度提出了要求,比如《刑法》第286條之一第一款第二項(xiàng)。而類(lèi)似于《北京市生產(chǎn)經(jīng)營(yíng)單位安全總監(jiān)制度實(shí)施辦法》這樣的規(guī)范性文件,則通過(guò)使法律規(guī)定“更為可操作”的方式,加強(qiáng)了企業(yè)組織法制化的趨勢(shì)。
從社會(huì)經(jīng)濟(jì)學(xué)的角度,這一趨勢(shì)似乎是一定經(jīng)濟(jì)發(fā)展階段的某種反應(yīng)——隨著經(jīng)濟(jì)體量的增大,企業(yè)組織作為社會(huì)組織單元的影響越來(lái)越大,故立法者賦予他們一部分社會(huì)秩序管理責(zé)任。
本文將換一種角度,從法律技術(shù)層面對(duì)企業(yè)組織法制化圖景做些解說(shuō),供企業(yè)管理者參考。
二、懲罰取向立法和激勵(lì)取向立法
目前看,大部分法律的要求,是采懲罰性取向的,即:如果不滿足相應(yīng)的要求,企業(yè)以及企業(yè)的相應(yīng)人員要承擔(dān)責(zé)任。比如前文提到的《刑法》第286條之一規(guī)定:如果企業(yè)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù),致使用戶信息泄露“情節(jié)嚴(yán)重的”,單位判處罰金外,直接負(fù)責(zé)的主管或其他直接責(zé)任人要處三年以下徒刑。
什么是“情節(jié)嚴(yán)重”?根據(jù)2019年11月1日生效的“信息網(wǎng)絡(luò)安全管理責(zé)任”司法解釋,在某些情況下,泄露用戶信息500條就屬于情節(jié)嚴(yán)重。
但是,有的法律則采激勵(lì)性取向——不滿足要求的,沒(méi)有處罰;但滿足要求的,則給予激勵(lì),比如《出口管制法》第14條。該條規(guī)定,相應(yīng)企業(yè)建立“內(nèi)部合規(guī)制度,且運(yùn)行情況良好的”,監(jiān)管部門(mén)可以“給予通用許可等便利措施”——通過(guò)給予便利措施來(lái)激勵(lì)企業(yè)加強(qiáng)組織能力建設(shè),以達(dá)到加強(qiáng)出口管制這一立法目的。
三、實(shí)務(wù)分析制度、設(shè)施、人、培訓(xùn),一樣都不能少
對(duì)企業(yè)管理提出了微觀要求的法律十分龐雜。但一言以蔽之,法律的要求是“企業(yè)要具備和發(fā)展出管理相應(yīng)事務(wù)的組織能力”。
比如,前文提到的《出口管制法》第14條所提出的“運(yùn)行良好的合規(guī)制度”,以及《刑法》286之一提出的“履行信息網(wǎng)絡(luò)安全管理義務(wù)”,都是如此。而《北京市生產(chǎn)經(jīng)營(yíng)單位安全總監(jiān)制度實(shí)施辦法》則更直白:生產(chǎn)經(jīng)營(yíng)企業(yè)必須設(shè)立“安全總監(jiān)”這樣一個(gè)職位。
那么,在什么情況下,企業(yè)算是“具備和發(fā)展出”相應(yīng)組織能力了呢?不同法律的規(guī)定或表述不同。但要而言之,這種能力至少包括了四個(gè)方面:
1. 制訂了符合相應(yīng)水平的管理制度;
2. 配備了適當(dāng)?shù)幕A(chǔ)設(shè)施;
3. 任用了相應(yīng)資質(zhì)的人;
4. 制訂了有效培訓(xùn)制度。
這四個(gè)方面是互相聯(lián)系的。沒(méi)有制度自然不能叫有組織能力,而沒(méi)有能有效執(zhí)行制度的人,當(dāng)然也不能叫有組織能力。同樣,若沒(méi)有相應(yīng)的基礎(chǔ)設(shè)施——比如,企業(yè)沒(méi)有采購(gòu)相應(yīng)的安全監(jiān)控設(shè)施,或者使用的加密系統(tǒng)達(dá)不到要求,那么企業(yè)從業(yè)人員空手拿著制度文件干瞪眼,是無(wú)法執(zhí)行制度的。而法律和社會(huì)實(shí)踐都是發(fā)展的,組織能力因此需要跟著發(fā)展。因此,對(duì)企業(yè)相應(yīng)的人員進(jìn)行相應(yīng)的培訓(xùn),也是“組織能力”建設(shè)的題中之義。
除此之外,需要注意的是,為了避免企業(yè)制度形同虛設(shè),許多法律對(duì)相應(yīng)管理機(jī)構(gòu)和人員做了“獨(dú)立性”的規(guī)定。企業(yè)董事、總經(jīng)理、高管以及相應(yīng)從業(yè)人員如果違背了獨(dú)立性要求,同樣是未達(dá)到法制要求的證據(jù)。
四、不要忘了勞動(dòng)法
我們已經(jīng)提到了幾個(gè)法律的名稱。但是,我們不得不再加一個(gè):勞動(dòng)法。當(dāng)然這里是指廣義的勞動(dòng)法體系。
我們討論的是企業(yè)的微觀組織管理問(wèn)題,而規(guī)范企業(yè)微觀組織管理問(wèn)題的基本法律,就是勞動(dòng)法。所以,如果不把握勞動(dòng)法的要求,以上那些都是紙上談兵,無(wú)法落地。
比如,你制訂了相應(yīng)的生產(chǎn)安全管理制度,員工違反了制度,你處罰了員工。你在做生產(chǎn)安全法要求你做的一切,但不幸的是你忘記了勞動(dòng)法,你的處罰行為沒(méi)有滿足勞動(dòng)法的要求,你很可能必須因此向員工賠一大筆錢(qián)。
甚至,又比如,你設(shè)立了信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)、配備了人員,制訂了有力的制度,但因?yàn)闆](méi)有滿足勞動(dòng)法的要求,你的制度對(duì)員工是無(wú)效的。而因?yàn)槟愕闹贫葻o(wú)效,所以你也就沒(méi)有制訂制度,也就沒(méi)有滿足法制要求。
聽(tīng)著確實(shí)有些繞口。但是,正如本文開(kāi)篇說(shuō)過(guò)的,企業(yè)組織法制化議題的法律背景也確實(shí)寬闊。
而這還是在我們沒(méi)有提及一些行業(yè)監(jiān)管法律的特別要求的前提之下。在為具體企業(yè)解決規(guī)劃組織方案時(shí),行業(yè)監(jiān)管法律是必須考慮的。
五、企業(yè)有關(guān)人員及責(zé)任
我們已經(jīng)或多或少地提到了企業(yè)人員的責(zé)任。不過(guò),歸納一個(gè)清單仍可能是有益的參考:
1. 董事、高管、實(shí)控人,即決策人。法律當(dāng)中通常表述為“(對(duì)相應(yīng)事務(wù))負(fù)直接責(zé)任的主管人員”。決策者的責(zé)任大小,與其是否能證明其積極建設(shè)和發(fā)展了組織能力有莫大的關(guān)系。
2. 操作人員。法律當(dāng)中通常表述為“有直接責(zé)任的人員”。具體操作者的責(zé)任大小,與其是否違背了相應(yīng)制度有關(guān)。
3. 總監(jiān)。在一些大型組織中,組織架構(gòu)十分復(fù)雜。在決策者與一線團(tuán)隊(duì)之間,尚存在一個(gè)有決策權(quán)或有部分決策權(quán)的總監(jiān)層級(jí)。這一層是否會(huì)代替頂層的人承擔(dān)“領(lǐng)導(dǎo)責(zé)任”,要視具體情形將法律要求、企業(yè)具體制度、日常管理實(shí)務(wù)中的授權(quán)機(jī)制結(jié)合起來(lái)看。若法律明確規(guī)定了要由法定代表人或?qū)嵖厝素?fù)全面領(lǐng)導(dǎo)責(zé)任,則總監(jiān)層即使有意也無(wú)法“扛事兒”。
4. 若因操作人員按照企業(yè)有缺陷的制度行事而發(fā)生風(fēng)險(xiǎn)事件,則位高者責(zé)重。
法律之所以提出企業(yè)組織法制化的要求,正是因?yàn)橄鄳?yīng)事務(wù)若管理不好,會(huì)有莫大的社會(huì)危害。因此,很多情況下,提出組織法制化要求的法律,都提出了刑事責(zé)任。而我們知道,企業(yè)市場(chǎng)競(jìng)爭(zhēng)能力的根本還是人。若人被“端”了,企業(yè)的相應(yīng)功能很可能就會(huì)癱瘓。
因此,對(duì)這一問(wèn)題,企業(yè)不可不加以注意。