動態(tài)與觀點
一、前言
一家知名奶粉企業(yè)的某地銷售團隊“聰明能干”,想到:如果與醫(yī)院婦產(chǎn)科、育兒嫂機構(gòu)等交上朋友,就能掌握嬰幼兒家庭信息,市場推廣工作就可以做到“精準”。想到就做。不久,一群警察來到公司......
這不是偵探片,而是一個涉嫌侵犯公民個人信息罪的真實案例。
事情的后來:員工聲稱是按企業(yè)的要求行事,因此屬于單位犯罪,應由單位承擔責任。而單位稱不知情。
如果最終認定為單位犯罪,決策者就要承擔責任。而如果企業(yè)建立了相應組織和制度,處境就比較有利。
這個案例提示的不僅是“個人信息保護”這個課題。其中包含了一個新的企業(yè)管理問題——企業(yè)組織法制化。近三年中,這一趨勢明顯增強:對企業(yè)的組織管理提出明確要求的法律越來越多了。
當然,我們不是在說《公司法》或《證券法》這類對企業(yè)提出宏觀治理要求的法律。而是在說,有很多法律已對企業(yè)提出(相對于董事會、監(jiān)事會這類宏觀機構(gòu)而言的)微觀層面的管理要求。
因為這一趨勢,人們通常認為的“如何設(shè)計自己的組織、如何管理自己的員工、如何組織自己的運營等,是企業(yè)自己的事情”這樣一種觀點,已經(jīng)不完全“法律正確”了。
最新的例子是網(wǎng)絡(luò)安全法、個人信息保護法、出口管制法等。個人信息保護,雖尚未有專門法律誕生,但已有幾部法律從各自角度提出了要求,比如《刑法》第286條之一第一款第二項。而類似于《北京市生產(chǎn)經(jīng)營單位安全總監(jiān)制度實施辦法》這樣的規(guī)范性文件,則通過使法律規(guī)定“更為可操作”的方式,加強了企業(yè)組織法制化的趨勢。
從社會經(jīng)濟學的角度,這一趨勢似乎是一定經(jīng)濟發(fā)展階段的某種反應——隨著經(jīng)濟體量的增大,企業(yè)組織作為社會組織單元的影響越來越大,故立法者賦予他們一部分社會秩序管理責任。
本文將換一種角度,從法律技術(shù)層面對企業(yè)組織法制化圖景做些解說,供企業(yè)管理者參考。
二、懲罰取向立法和激勵取向立法
目前看,大部分法律的要求,是采懲罰性取向的,即:如果不滿足相應的要求,企業(yè)以及企業(yè)的相應人員要承擔責任。比如前文提到的《刑法》第286條之一規(guī)定:如果企業(yè)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù),致使用戶信息泄露“情節(jié)嚴重的”,單位判處罰金外,直接負責的主管或其他直接責任人要處三年以下徒刑。
什么是“情節(jié)嚴重”?根據(jù)2019年11月1日生效的“信息網(wǎng)絡(luò)安全管理責任”司法解釋,在某些情況下,泄露用戶信息500條就屬于情節(jié)嚴重。
但是,有的法律則采激勵性取向——不滿足要求的,沒有處罰;但滿足要求的,則給予激勵,比如《出口管制法》第14條。該條規(guī)定,相應企業(yè)建立“內(nèi)部合規(guī)制度,且運行情況良好的”,監(jiān)管部門可以“給予通用許可等便利措施”——通過給予便利措施來激勵企業(yè)加強組織能力建設(shè),以達到加強出口管制這一立法目的。
三、實務(wù)分析制度、設(shè)施、人、培訓,一樣都不能少
對企業(yè)管理提出了微觀要求的法律十分龐雜。但一言以蔽之,法律的要求是“企業(yè)要具備和發(fā)展出管理相應事務(wù)的組織能力”。
比如,前文提到的《出口管制法》第14條所提出的“運行良好的合規(guī)制度”,以及《刑法》286之一提出的“履行信息網(wǎng)絡(luò)安全管理義務(wù)”,都是如此。而《北京市生產(chǎn)經(jīng)營單位安全總監(jiān)制度實施辦法》則更直白:生產(chǎn)經(jīng)營企業(yè)必須設(shè)立“安全總監(jiān)”這樣一個職位。
那么,在什么情況下,企業(yè)算是“具備和發(fā)展出”相應組織能力了呢?不同法律的規(guī)定或表述不同。但要而言之,這種能力至少包括了四個方面:
1. 制訂了符合相應水平的管理制度;
2. 配備了適當?shù)幕A(chǔ)設(shè)施;
3. 任用了相應資質(zhì)的人;
4. 制訂了有效培訓制度。
這四個方面是互相聯(lián)系的。沒有制度自然不能叫有組織能力,而沒有能有效執(zhí)行制度的人,當然也不能叫有組織能力。同樣,若沒有相應的基礎(chǔ)設(shè)施——比如,企業(yè)沒有采購相應的安全監(jiān)控設(shè)施,或者使用的加密系統(tǒng)達不到要求,那么企業(yè)從業(yè)人員空手拿著制度文件干瞪眼,是無法執(zhí)行制度的。而法律和社會實踐都是發(fā)展的,組織能力因此需要跟著發(fā)展。因此,對企業(yè)相應的人員進行相應的培訓,也是“組織能力”建設(shè)的題中之義。
除此之外,需要注意的是,為了避免企業(yè)制度形同虛設(shè),許多法律對相應管理機構(gòu)和人員做了“獨立性”的規(guī)定。企業(yè)董事、總經(jīng)理、高管以及相應從業(yè)人員如果違背了獨立性要求,同樣是未達到法制要求的證據(jù)。
四、不要忘了勞動法
我們已經(jīng)提到了幾個法律的名稱。但是,我們不得不再加一個:勞動法。當然這里是指廣義的勞動法體系。
我們討論的是企業(yè)的微觀組織管理問題,而規(guī)范企業(yè)微觀組織管理問題的基本法律,就是勞動法。所以,如果不把握勞動法的要求,以上那些都是紙上談兵,無法落地。
比如,你制訂了相應的生產(chǎn)安全管理制度,員工違反了制度,你處罰了員工。你在做生產(chǎn)安全法要求你做的一切,但不幸的是你忘記了勞動法,你的處罰行為沒有滿足勞動法的要求,你很可能必須因此向員工賠一大筆錢。
甚至,又比如,你設(shè)立了信息網(wǎng)絡(luò)安全管理機構(gòu)、配備了人員,制訂了有力的制度,但因為沒有滿足勞動法的要求,你的制度對員工是無效的。而因為你的制度無效,所以你也就沒有制訂制度,也就沒有滿足法制要求。
聽著確實有些繞口。但是,正如本文開篇說過的,企業(yè)組織法制化議題的法律背景也確實寬闊。
而這還是在我們沒有提及一些行業(yè)監(jiān)管法律的特別要求的前提之下。在為具體企業(yè)解決規(guī)劃組織方案時,行業(yè)監(jiān)管法律是必須考慮的。
五、企業(yè)有關(guān)人員及責任
我們已經(jīng)或多或少地提到了企業(yè)人員的責任。不過,歸納一個清單仍可能是有益的參考:
1. 董事、高管、實控人,即決策人。法律當中通常表述為“(對相應事務(wù))負直接責任的主管人員”。決策者的責任大小,與其是否能證明其積極建設(shè)和發(fā)展了組織能力有莫大的關(guān)系。
2. 操作人員。法律當中通常表述為“有直接責任的人員”。具體操作者的責任大小,與其是否違背了相應制度有關(guān)。
3. 總監(jiān)。在一些大型組織中,組織架構(gòu)十分復雜。在決策者與一線團隊之間,尚存在一個有決策權(quán)或有部分決策權(quán)的總監(jiān)層級。這一層是否會代替頂層的人承擔“領(lǐng)導責任”,要視具體情形將法律要求、企業(yè)具體制度、日常管理實務(wù)中的授權(quán)機制結(jié)合起來看。若法律明確規(guī)定了要由法定代表人或?qū)嵖厝素撊骖I(lǐng)導責任,則總監(jiān)層即使有意也無法“扛事兒”。
4. 若因操作人員按照企業(yè)有缺陷的制度行事而發(fā)生風險事件,則位高者責重。
法律之所以提出企業(yè)組織法制化的要求,正是因為相應事務(wù)若管理不好,會有莫大的社會危害。因此,很多情況下,提出組織法制化要求的法律,都提出了刑事責任。而我們知道,企業(yè)市場競爭能力的根本還是人。若人被“端”了,企業(yè)的相應功能很可能就會癱瘓。
因此,對這一問題,企業(yè)不可不加以注意。