正因为上述发展背景和趋势,在很多新兴互联网公司,法务人员的新职能成为公司商业运营的组成部分,即在公司开展战略规划和单体商务活动(包括新产品线的开发)前,评估合法性,预测和规避风险。这种新的职能,类似于业务部门为了完成某项特定业务输出(提供商品或者服务)而进行的商业模型策划、原材料采购、人员配备等前期准备,是任何一项单体商务活动的必备环节。
在较多有现代化管理制度的公司中,目前已经有了较为广泛的认知,即公司在进行重大战略方向规划时需进行合法性评估。例如,游戏公司在美国开展游戏研发、推广和运营业务,需要了解美国的监管政策,聘请美国相关法律专业人士提供法律意见。又如,房地产公司在新加坡、马来西亚开发房地产,也同样需要了解当地政策法规以及窗口意见。随着各国对个人信息和隐私保护的重视,公司在进入当地市场时,还需特别重视当地数据监管政策。2020年6月,谷歌涉嫌因个性化广告违反欧盟gdpr而被法国处罚5000万欧元。【1】
此前,战略和业务方向合规这部分需求实际上很多时候是由外部律师完成的。这类需求通常情况下交由外部人员完成的原因,是此类需求的频率并不高,而且往往在最终决策之前的讨论商议时间会比较宽裕,并不急于尽快得出明确的结论。由于互联网时代商务活动的高频次和创新性,公司尤其是互联网公司现在面临的最多需求不是大体量的战略层面的合规,而是日常发生频率较高的单体商务活动的合规。
公司在开展单体商务活动前,为什么需要进行商业合规,这是我们首先需要明确的问题——商业合规的必要性。
(一)规避监管风险
对于任何从事商业合规服务的法律工作者以及具有商业合规需求的公司来说,规避监管风险都是商业合规最直接、最主要的目标。在公司开展单体商务活动前,首先需要确认该商务活动是否为现行法律法规所允许,商务活动的开展是否会导致监管部门对其进行否定性评价。一项不合规的商务活动或产品可能为公司带来较大监管风险。
1.行政调查与处罚
当公司出现明显的违法违规行为时,将会引起监管机关的注意,行政调查与处罚是监管机关对公司商业合规行为进行管控最常用的手段。根据《行政处罚法》的规定,行政处罚分为警告、罚款、没收违法所得、没收非法财物、责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照、行政拘留等几大类。执法机关在作出行政处罚前,一般将向拟被处罚人送达《行政处罚告知书》,并进行调查谈话,制作笔录。公司对拟进行的行政处罚可以申请听证,阐述自己的申辩意见。
在当下的执法环境中,行政调查与处罚并不仅仅是由监管机关主动发现违法行为而被触发,更多的情况下,行政执法的线索来自于普通群众(尤其是职业举报人)的投诉举报。因此,在庞大的普通群众以及职业举报人的密切关注下,公司所面临的监管风险压力是非常大的。近几年,不少公司被爆出屡遭监管机关处罚。例如,小米集团旗下的小米科技有限责任公司(小米商城的官网备案主体)近3年来遭到20余起行政处罚,其中大多数是由于发布违法广告或进行虚假宣传,如2018年11月因广告称“有机会抽小米6以及购买资格”等虚假宣传行为被工商部门罚款1万元(京工商海处字〔2018〕第2283号),2018年12月因删除差评以及重复好评被工商部门罚款10万元(京工商海处字〔2018〕第2329号),2019年11月因在广告中对商品、服务描述不准确而被罚款5万元(京海市监工罚〔2019〕963号),亦有因格式条款中排除消费者权益(京海市监工罚〔2019〕960号)、违规促销(京工商海处字〔2018〕第2281号)、产品质量和售后服务不合格等违法行为遭到惩处,罚款金额从几万元到10万元、20万元不等。同样多次被罚的知名公司还有小红书的运营者行吟信息科技有限公司,其涉嫌存在违法广告、虚假宣传和价格违法等行为,在过去3年内被处以行政处罚多达20次,累计罚款金额超过67万元。其中,小红书在2018年10月18日因“使用或者变相使用国家机关、国家机关工作人员的名义或者形象”而被罚款20万元,为最严重的一次行政处罚。
行政处罚对公司的负面影响是多方面的,除了支出罚款所遭受的直接经济损失外,对一些面向机关、事业单位的供应商而言,一次行政处罚可能就意味着数年丧失了政府采购的投标资格。即使罚款力度不大,行政处罚也会对公司的商业信誉造成长久的不良影响。尤其目前企查查、天眼查、启信宝等企业查询软件的普及,用户自行调查企业背景信息的便捷性大大增强,互联网的记忆将会使每一个行政处罚都会成为将来负面舆论爆发的隐患。
2.约谈整改
除了行政处罚,用约谈、曝光推动企业主体责任落实也是我国政府部门开展行政监管工作的常用手段。近年来,因违规问题致使大量企业厂商,其中不乏知名企业,频频被相关监管部门约谈整改,督促其纠正清理。
2018年1月27日,新浪微博因违反国家有关互联网法律法规和管理要求,传播违法违规信息,存在严重导向问题,对网上舆论生态造成恶劣影响。国家***指导北京市***约谈新浪微博负责人,新浪微博热搜榜、热门话题榜、微博问答功能等板块不得不下线1周进行整改。
2019年4月16日,针对新浪网对用户发布违法违规信息未尽到审查义务,持续传播炒作导向错误、低俗色情、虚假不实等违法有害信息的严重问题,国家***指导北京市***约谈该公司负责人,责令其立即自查自纠,全面深入整改。新浪网表示,在全面深入整改期间对问题突出的pc端“新浪博客”和“新浪看点”平台自行暂停更新1个月,对“新浪新闻”“新浪博客”app下架1个月。
2020年4月7日,针对百度app多个频道存在严重违规问题,国家***指导北京市***严肃约谈百度公司负责人,要求立即停止违规行为。百度app推荐频道、图片频道、视频频道、财经频道、科技频道自4月8日上午9时起暂停更新,清理违规内容,开展深入整改。
2020年6月10日,针对微博在蒋某舆论事件中干扰网上传播秩序,以及传播违法违规信息等问题,国家***指导北京市***约谈新浪微博负责人,责令其立即整改,暂停更新微博热搜榜1周、热门话题榜1周,严肃处理相关责任人。同时,要求北京市***对新浪微博依法作出予以罚款的从严行政处罚。
在被约谈后,公司将不得不暂停相关业务、及时整顿消除违规行为。如果公司“屡谈不改”,其违法违规事实和被处罚情况不仅会被公开曝光,监管部门还将严格依法加大处罚力度,对公司的长远发展会造成严重不良影响。
3.刑事责任
在我国当前法律体系框架内,公司不合规经营可能面临的民事责任和行政责任一般都不至于产生毁灭性的打击,但刑事责任对于公司来说往往是灭顶之灾,可能颠覆整个公司的未来。如何避免公司遭受刑事指控或成为刑事案件的被害人,应当成为公司经营发展首先要解决的问题。
例如,号称中国最大的简历大数据公司的巧达科技,利用技术手段绕过互联网公司保护措施,未经授权访问并大量恶意窃取被害公司的用户数据。在窃取过程中还曾导致相关公司的服务器中断服务,影响上千万用户正常访问,给相关公司带来了严重的经济损失。最终,巧达科技被查封,涉案员工被警方依法刑事拘留,公司法人王某某等36人被逮捕。巧达科技由于数据合规问题被警方查处,给大数据产业公司提出警示。
另外一个典型的例子是数据堂侵犯公民个人信息案。2017年5月,数据堂因泄露客户隐私,公司多位高管和业务人员被警方带走调查,公司数据业务停摆。数据堂成立于2011年,是中小企业股份转让系统(新三板)挂牌的股份公司。其在8个月的时间内,向外部企业日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000gb左右,公民个人信息达数百亿条。该案一个值得关注的点是,除了出售个人信息的数据堂的直接责任人涉及犯罪,从数据堂购买个人信息的企业人员同样成为了犯罪嫌疑人。数据堂的案例提醒企业不单单要对自身的业务进行合规审查,对企业上下游的相关合作伙伴的合规情况也应有所注意。
(二)避免舆情纠纷
除了来自公权力机关的法律风险需要规避,现代公司出于维护商誉这一无形资产的考虑,必然还需要避免卷入舆情纠纷影响公司形象。在公司开展相应业务,尤其是前沿、新型业务时,先行进行商业合规可以对该业务可能面临的风险进行有效预知,尽量排除后期可能面临的法律风险和舆情风险。即使后期产生负面舆情或纠纷,也可以在其刚刚开始出现时就迅速采取恰当的合规应对措施,运用适当的策略合理引导舆论,解释公众的关注点,安抚大众情绪,这就很可能能够扭转舆论态势,甚至起到正面宣传的作用。
而如果公司未能有效预知并建立应对机制,当公司身陷负面舆情时,便无法进行迅速妥善的处理,很可能会被竞争对手利用成为攻击公司的武器,导致公众对公司的负面舆论进一步增加,进而影响公司的商业信誉和正常的生产运营。
例如,2018年7月小米的p2p“爆雷”事件,许多小米用户表示此前在小米的vip任务系统和小米运动app中,购买了小米所推荐的p2p理财平台产品,但随后不少p2p平台相继“爆雷”,瞬时引发了公众的集体讨伐。可以看出,小米为扩展广告收入虽然引入了新的广告推荐模式,但是在正式开展该新型推广业务之前却并未对该广告业务建立完善的广告审核流程。此外,事件爆发后,最初小米一直沉默,直到身处舆论漩涡中长达1个月后才作出回应,这也反映出公司内部对p2p推广业务面临的风险预估不足,对公司内部舆情应对体系建设亦不足。
在之前所述的另一起舆情纠纷——华为腾讯微信数据争议中,据《华尔街日报》报道,由于此事牵涉公司大数据商业利益与用户隐私保护敏感问题,引起广泛关注和大量质疑与讨论。部分用户对腾讯的自己的聊天数据不属于自己而只有使用权的说法感到难以理解,部分用户认为华为调取腾讯获取的用户聊天数据并不合理。双方你来我往、各不相让,直到工信部介入后,双方的争议才逐渐平息,这一过程不仅是两家大型公司的pr【2】部门在舆论场表面的交锋,更是双方合规团队背后主导的一场没有硝烟的战争。
(三)助力商业决策
商业合规不仅能够使公司免于商业纠纷、负面舆论、行政处罚和刑事犯罪等负面情况,还能够直接正面作用于公司发展。正如本书后述部分将向大家展示的,当下法律服务市场中优秀的商业合规服务更加注重为公司提供直接的、可行性强的执行建议,商业合规比既往法律服务类型能够更加深入地渗透进公司的日常运营管理,因此,优质的商业合规是跟随式的服务——事前可以为公司提供可行性分析、风险提示和调整建议,事中随着业务或产品的发展可持续提供调整建议和突发情况应对方案,事后还可以获得复盘总结。在这一过程中,随着商业合规服务者与被服务公司之间了解的不断深入,商业合规的服务内容从简单的法律分析逐渐变成了“解决问题、优化流程”,商业合规也便从单纯的法律服务向公司管理服务逐渐靠拢,这些都有助于公司领导层在公司经营管理过程中作出正确的商业决策,甚至能够为公司的长远发展带来利好。
如果对日常发生频率较高的单体商务活动进行合规性评审,避免出现合规风险,相对于调动较慢、与公司日常业务结合并不是那么紧密的外部律师,公司法务人员更具有优势。
但问题往往在于,第一,公司法务人员自己是否具备此种较高层次的支持能力;第二,公司经营层是否认为其是商业运营的必备环节从而给公司法务人员这个需求。
因此,要做到让商业合规成为战略规划和单体商务活动之前的一个必要环节,而且公司法务人员还能真正支撑得起这个环节,不仅需要让公司管理层和各部门认识到法务人员的新职能和新价值,破除对其“仅仅作为善后和审合同等支持部门”的固有传统认知,还需要公司法务人员自己提升商业支持意识和能力,而不仅仅满足于传统意义上的岗位职责。
【1】根据调查,谷歌有两处违反了欧盟《通用数据保护条例》(gdpr):一是未满足透明度和信息披露的相关要求,比如数据用途、存储时限、个性化广告所需的个人数据类型等重要条款分散在不同的文件里,有时甚至需要跳转五六次才能看全。二是未尽到为个性化广告提供法律依据的义务,主要表现为用户没有得到充分告知。以“个性化广告”段落为例,用户从文本中无法充分了解数据处理过程中可能涉及其他产品,如谷歌搜索、youtube、谷歌地图等。隐私护卫队:《五千万欧元!谷歌在法国上诉被驳回,将支付gdpr史上最大罚单》,载微信公众号“数据法盟”2020年6月23日,s://mp.weixin.qq.com/s/4vvqsliyvm22c097ptgydw。
【2】pr,public relations的简称,译为公共关系。