特别声明:本文转载于北京市京师(上海)律师事务所
本文作者:胡晨阳、李菊律师
摘要
2024年4月28日,字节跳动发布企业纪律与职业道德委员会通报,就企业员工涉嫌刑事犯罪、违反廉洁诚信制度、违反利益冲突制度、违反信息安全制度等违法违规的舞弊行为进行了通报总结,总计辞退舞弊员工61人,其中多名收受巨额好处费的员工被刑拘。本文通过梳理该通报的核心内容,旨在指出互联网企业合规治理常见的风险漏洞所在并进一步为企业搭建反舞弊合规体系提出解决方案。
一、字节最新反腐通报主要内容
1、涉嫌构成刑事犯罪
(1)2022年12月至2023年5月,抖音前员工陆瑒利用职务便利,非法收受外部合作商巨额好处费。2024年1月26日,陆瑒因涉嫌非国家工作人员受贿罪,被公安机关立案侦查并采取刑事拘留强制措施。
(2)2022年5月至9月,生活服务前员工高生军利用职务便利,违规引入服务商,以此收受服务商给予的好处费共计4万元。2024年1月17日,高生军因涉嫌非国家工作人员受贿罪,被公安机关立案侦查并采取取保候审强制措施。
(3)2023年8月至9月,产品研发和工程架构前外包员工曹正政违规使用虚拟账号,联合外部机构用于抖音账号刷量并获取非法收入。2024年3月,曹正政因涉嫌非法经营罪,被公安机关立案侦查并采取刑事拘留强制措施。
(4)2023年12月,抖音直播前员工周润滥用工作权限并以此牟利。2024年1月,周润因涉嫌刑事犯罪,被公安机关立案侦查并采取刑事拘留强制措施。
2、违反廉洁诚信制度
近期,公司查处多名员工利用工作职务便利为外部人员提供帮助并收受好处以及使用虚假材料违规报销、违规打车和获取房补等行为。上述员工违反了《字节跳动员工行为准则》《员工手册》等公司制度,公司均予以辞退,并根据具体情节附加取消期权、责令退回全部违规所得、同步阳光诚信联盟及企业反舞弊联盟等处罚。
3、违反利益冲突制度
近期,公司查处多名员工在商务合作中未申报和回避特定关系人、利用商业机会为本人或其特定关系人谋利的行为。上述员工违反了《字节跳动员工行为准则》《员工手册》及《利益冲突管理制度》,公司均予以辞退。
4、违反信息安全制度
近期,公司发现部分员工存在违规获取、保存、泄露公司内部信息及将包含敏感数据的公司内部系统交由外部人员使用等行为。上述员工违反了《字节跳动员工行为准则》及《员工手册》中关于信息安全的规定,公司均予以辞退。
二、互联网企业常见的合规治理舞弊风险
相较于传统企业,互联网行业的舞弊人员往往涉案人员年轻化、舞弊手段多样化、在内控反舞弊上相较传统企业更善于引进新型技术手段,其具体措施层出不穷。对于互联网企业而言,企业在经营管理过程中常见高发的舞弊风险主要有以下几方面:
1、员工利用职务之便收受商业贿赂屡禁不止
正如前文字节通报所述,互联网企业由于员工规模及合作代理商众多,其员工存在利用职务便利,非法收受外部合作商好处费、利用手中审批权限违规引入代理商并从中收受服务商好处费等情形,这在互联网企业中可谓屡见不鲜。在公开案件中,互联网头部公司的案件数量占互联网企业商业受贿犯罪案件数的半数以上。以腾讯为代表的即时通信领域以及以阿里巴巴、京东为代表的电子商务领域均是商业贿赂犯罪的高频高发领域。这也侧面说明互联网行业“独角兽企业”的垄断优势越大,其商业贿赂风险也越高。
2、数据型舞弊呈上升趋势
从字节通报中不难发现,公司发现部分员工存在违规获取、保存、泄露公司内部信息及将包含敏感数据的公司内部系统交由外部人员使用等违规行为。实践中,由于互联网企业存有大量用户数据信息,也涉及到企业大量商业秘密保护及个人信息保护,在实践中,一些舞弊员工利用计算机信息系统或计算机信息知识作为手段,使用、泄露企业的大量涉密数据或信息,涉嫌侵犯了企业的商业秘密。此外舞弊员工超出授权范围使用公司账号、密码、Token令牌等登录公司的信息管理系统,并未经许可下载存储数据,该行为根据我国《刑法》及相关司法解释被涉嫌非法获取计算机信息系统数据。例如引起不小轰动的华为员工非法获取计算机数据案,易某违反规定多次通过越权查询、借用同事账号登录的方式获取计算机信息系统中存储、处理或者传输的数据,基于“侵入或其他技术手段”实施了非法获取行为,其行为已构成非法获取计算机信息系统数据罪。一审法院判处易某有期徒刑一年,并处罚金人民币二万元。
3、内外勾结,企业员工与合作方/供应链舞弊谋利频发
从盈利模式上来看,互联网企业主要通过广告业务、增值业务和佣金业务获利。无论是以运营为主的电子商务类互联网企业如淘宝京东,还是以技术为核心的资讯类企业腾讯百度,其“流量为王”的盈利模式均与传统制造业和服务业有显著区别。这无论对外部供应商、合作方而言还是对内部员工来说获取流量权利就拥有了变现的能力,给企业员工提供了大量的基于“流量”的寻租空间,通过与合作方、代理商、供应商的内外勾结滋生了大量舞弊案件。同时,企业一些舞弊人员利用手中审批权限,在商业合作中隐瞒申报和回避特定关系人、利用商业机会选择特定关系人或与本人有利益输送的关联合作方,从而获取好处,这在字节反舞弊通报中也存在不少案例。
三、互联网企业反舞弊合规体系建设路径
1、制订严格的反商业贿赂治理结构体系
近年来,商业贿赂类案件有增无减,是互联网企业合规经营的重灾雷区。那么,企业应如何针对商业贿赂类舞弊犯罪制定切实有效的专项合规整改计划?笔者提供下列可行性建议:
(1)完善反商业贿赂决策机制。企业的决策层和管理层要不断提高反商业贿赂识别能力、拒绝能力和相关不利后果的规避能力等。决策层和管理层通过不断交流反商业贿赂的经验教训,将反商业贿赂的理念和行为制度化。(2)建立完善的企业内控制度。首先,在企业的内控制度中应当专门建立商业贿赂法律风险的评估机制、预警机制和应对机制。其次,企业管理层在年度工作报告中应对内控制度的效果做出说明,增加内控制度实施的透明度。最后,企业内控制度应该同时包含奖励和惩罚机制,对于涉嫌商业贿赂犯罪的职员采取坚决果断的惩罚措施,而对坚持职业道德的职工提供补偿或奖励。(3)企业内部成立商业贿赂调查部门。商业贿赂调查机构的主要功能应该有:搜集研究企业商业贿赂的案例,准确把握商业贿赂行为的新类型和反商业贿赂斗争的新形势;监督企业法人及其职员、分公司、子公司日常的商业行为,为决策管理机构提供可疑的商业贿赂线索;当企业不确定即将或已经作出的行为是否存在触犯反商业贿赂法律的风险时,向相关执法机构咨询报备。
2、进一步完善数据保护、个人信息保护制度
随着数字化时代的发展,数据保护和商业秘密保护成为互联网企业反舞弊合规的重要方面。企业应制定相关政策和措施,确保个人信息和敏感商业信息的安全和保护。这包括数据的合法采集、使用和存储,以及遵守相关的隐私保护法律和法规。笔者认为,对于事先预防和事后治理数据合规建设方面,(1)应建立和完善企业数据管理制度,建立健全数据合规管理基本制度,包括但不限于企业网络安全与数据保护的原则性规范、数据分类分级和权限管理规范及技术应用规范、个人敏感信息处理规范、数据跨境传输风险评估规范、数据安全事件处理制度;(2)应建立健全数据管理风险的识别、评估与处理机制。企业应对经营流程各环节、各岗位履职进行数字合规风险源梳理,根据风险点制定防范措施。通过相应的技术措施保障数据管理的安全性,进行日常数据管理风险监测。有条件的企业可以定期委托第三方机构进行数据合规审计、防火墙建设、漏洞扫描等方式客观评估数据管理的安全性,特别针对国家核心数据、个人敏感数据的安全管理;(3)建立健全违法违规行为的举报和调查制度。应当设立匿名举报制度,对企业经营活动中存在的数据合规风险隐患或者已发生的违法违规行为设立具体的举报途径和步骤,便于企业及时发现并处理。
3、建立完整的“事先预防”商业秘密保护机制
为了更好的预防及减少员工侵犯商业秘密情形的发生,企业应建立事先保护机制,加强对商业秘密的保密审查,并为后续的线索收集和调查取证提供便利条件。笔者提供下列可行性建议:
(1)加强企业员工的监管。在侵犯商业秘密案件中,员工禁不住利益诱惑,协助外部企业或人员获取用人单位的商业秘密或离职后为顺利跳槽泄露原用人单位的商业秘密成为员工侵犯企业商业秘密的常见侵权或犯罪场景。因此,对于公司内部员工的管理是加强商业秘密保护的重要一环。
首先,完善并执行保密协议与保密制度。一方面,公司应在员工入职时就应当以劳动合同的保密条款或单独的保密协议的方式明确约定员工的保密义务,保密期限的起始时间应不晚于其接触涉密信息之时,且应至少涵盖劳动关系存续期间。另一方面,公司还应制定保密制度并交付给每个员工、组织培训活动,保证每个员工均知悉和理解保密制度的内容,同时保留交付和培训的记录作为证据。
其次,岗位调动或离职时作脱密管理。企业内部的调岗也可能涉及商业秘密的扩散或转移,有必要针对具体情况对相关人员工作脱密处理,包括收回涉密文件等载体、删除员工电子存储的涉密信息、更新保密协议等,同时根据员工的涉密情况可进一步约定竞业限制协议。
(2)加强信息管理。以标记、分类、分级、封存等方式,对商业秘密涉及的载体及信息进行区分和管理。第一,分级管理。不同涉密信息具有不同的秘密程度及商业价值,因此企业需要对涉密信息进行分级和标记,在此基础上对不同级别的涉密信息作区分管理。第二,存储管理。涉密信息应当采取区别于非涉密信息的存储方式,包括限定存储时间、保管人员和存储载体。员工因工作必要而获取涉密信息时,应当避免交付原件,并应跟进复制件归还或销毁情况,避免涉密信息存储范围的扩大。 第三,接触管理。涉密信息应限定可接触人员的范围、访问和获取程序。员工获取涉密信息时,应以层级审批、签署保密承诺为前提,并应规定返还时间、保留流转记录等。
(3)加强管控商业活动的泄密风险。第一,在商业交流活动中,因商业利益的必要而需要披露涉密信息或允许外来人员访问涉密区域时,应当在披露前要求外来人员签署保密承诺、留存访问记录,禁止外来人员对涉密载体、涉密区域进行拍照、录像或录音。第二,在商业合作过程中,无论是磋商阶段还是合作期间均应与合作商签署保密协议,以“列举+兜底”的方式约定保密信息内容。对于涉及重要商业秘密的合作,企业还应要求合作商的员工承担保密义务,并与参与合作项目的合作商员工签署保密协议。
4、进一步优化、细化商业伙伴管理制度
(1)制订详细的招聘管理制度
明确禁止以违反招聘流程,通过向政府官员近亲属或其推荐的特定人员不当提供就业机会的方式来换取业务的行为。加强对拟招聘员工的背景调查,包括但不限于是否与政府官员存在近亲属关系、是否存在商业贿赂、贪污侵占等方面的不良记录。
(2)优化完善礼品及招待管理制度
明确允许赠送礼品、提供招待的原则。明确禁止及允许赠送的礼品种类、赠送礼品的次数及金额限制、赠送礼品的审批权限、赠送礼品的记录要求、申请报销材料及审批权限。明确允许的招待对象、招待方式、招待限额、招待申请审批权限申请报销材料及审批权限。明确允许员工接受商务馈赠及招待的原则及要求。
(3)对供应商、合作方、代理商的选任制订标准化流程
企业与外部合作伙伴的合规要求不可忽视。在与供应商、合作伙伴、代理商等建立业务关系之前,企业应进行充分的尽职调查。尽职调查包括对合作伙伴的背景调查、经营状况评估、合规能力评估等,以确保合作伙伴具备合规意识和能力,避免与不合规的实体合作,降低合规风险。企业还应建立合适的合作伙伴管理机制,包括合作伙伴的监督和审计,确保其合规性和合作的稳定性。
5、强化内部举报、调查问责制度落地实施
建立内部举报和调查机制是互联网企业反舞弊合规建设中的关键环节。内部举报机制可以为员工提供匿名或实名举报的渠道,以揭露舞弊犯罪行为。举报渠道应安全、便捷、保密,并公开宣传,鼓励员工参与。
同时,企业应建立明确的举报调查程序,对收到的举报进行及时、客观、公正的调查。调查应遵循合规程序,确保调查过程的公正性、透明性和保密性。调查结果应及时报告给相关责任人和管理层,并采取适当的纠正和处理措施。
6、建立、健全员工教育和培训制度
员工教育和培训是确保互联网企业反舞弊合规有效实施的关键环节。企业应定期开展员工教育和培训计划,向员工传达企业合规的政策、规定和要求。教育和培训内容应包括违规犯罪行为的定义和类型、合规政策和程序的具体操作、举报渠道的使用方法等。培训计划还应考虑员工的特定岗位和职责,提供具有互联网行业特色的针对性知识和技能培训,如网络安全、数据保护、反洗钱金融安全、互联网平台责任、反腐败反商业贿赂等相关方面法律法规。通过员工教育和培训,员工可以增强对不当行为的识别和防范能力,增强合规意识,提高企业合规的整体效果。
结语
随着云计算、大数据、人工智能等信息通信技术的快速发展和应用普及,互联网企业自身快速的发展所带来的舞弊犯罪风险也相伴相生。从企业的角度出发,在国家大力打击腐败、倡导廉洁的当下,互联网企业更应防范舞弊风险,守住法律底线,加强合规体系建设,实现合规治理、健康发展的良性目标。
作者简介
胡晨阳
北京市京师 (上海)律师事务所创始人,京师全国企业内控与反舞弊研究中心主任,京师全国刑委会副主任,上海大学法学院兼职教授、对外经济贸易大学法律硕士研究生实践导师,拥有超过10年的刑事侦查工作经验,超过20年的刑事案件执业律师经验。
专业领域:企业合规和反舞弊调查、刑事辩护
李菊
中国政法大学经济法硕士,京师上海律所企业内控与反舞弊研究中心副秘书长,拥有多年企业投融资并购、企业合规、争议解决等实务经验,先后参与多起新三板上市、股权收购、业务合规等专项法律服务。
专业领域:企业商事争议解决、企业合规