动态与观点
一、前言
一家知名奶粉企业的某地销售团队“聪明能干”,想到:如果与医院妇产科、育儿嫂机构等交上朋友,就能掌握婴幼儿家庭信息,市场推广工作就可以做到“精准”。想到就做。不久,一群警察来到公司......
这不是侦探片,而是一个涉嫌侵犯公民个人信息罪的真实案例。
事情的后来:员工声称是按企业的要求行事,因此属于单位犯罪,应由单位承担责任。而单位称不知情。
如果最终认定为单位犯罪,决策者就要承担责任。而如果企业建立了相应组织和制度,处境就比较有利。
这个案例提示的不仅是“个人信息保护”这个课题。其中包含了一个新的企业管理问题——企业组织法制化。近三年中,这一趋势明显增强:对企业的组织管理提出明确要求的法律越来越多了。
当然,我们不是在说《公司法》或《证券法》这类对企业提出宏观治理要求的法律。而是在说,有很多法律已对企业提出(相对于董事会、监事会这类宏观机构而言的)微观层面的管理要求。
因为这一趋势,人们通常认为的“如何设计自己的组织、如何管理自己的员工、如何组织自己的运营等,是企业自己的事情”这样一种观点,已经不完全“法律正确”了。
最新的例子是网络安全法、个人信息保护法、出口管制法等。个人信息保护,虽尚未有专门法律诞生,但已有几部法律从各自角度提出了要求,比如《刑法》第286条之一第一款第二项。而类似于《北京市生产经营单位安全总监制度实施办法》这样的规范性文件,则通过使法律规定“更为可操作”的方式,加强了企业组织法制化的趋势。
从社会经济学的角度,这一趋势似乎是一定经济发展阶段的某种反应——随着经济体量的增大,企业组织作为社会组织单元的影响越来越大,故立法者赋予他们一部分社会秩序管理责任。
本文将换一种角度,从法律技术层面对企业组织法制化图景做些解说,供企业管理者参考。
二、惩罚取向立法和激励取向立法
目前看,大部分法律的要求,是采惩罚性取向的,即:如果不满足相应的要求,企业以及企业的相应人员要承担责任。比如前文提到的《刑法》第286条之一规定:如果企业拒不履行信息网络安全管理义务,致使用户信息泄露“情节严重的”,单位判处罚金外,直接负责的主管或其他直接责任人要处三年以下徒刑。
什么是“情节严重”?根据2019年11月1日生效的“信息网络安全管理责任”司法解释,在某些情况下,泄露用户信息500条就属于情节严重。
但是,有的法律则采激励性取向——不满足要求的,没有处罚;但满足要求的,则给予激励,比如《出口管制法》第14条。该条规定,相应企业建立“内部合规制度,且运行情况良好的”,监管部门可以“给予通用许可等便利措施”——通过给予便利措施来激励企业加强组织能力建设,以达到加强出口管制这一立法目的。
三、实务分析制度、设施、人、培训,一样都不能少
对企业管理提出了微观要求的法律十分庞杂。但一言以蔽之,法律的要求是“企业要具备和发展出管理相应事务的组织能力”。
比如,前文提到的《出口管制法》第14条所提出的“运行良好的合规制度”,以及《刑法》286之一提出的“履行信息网络安全管理义务”,都是如此。而《北京市生产经营单位安全总监制度实施办法》则更直白:生产经营企业必须设立“安全总监”这样一个职位。
那么,在什么情况下,企业算是“具备和发展出”相应组织能力了呢?不同法律的规定或表述不同。但要而言之,这种能力至少包括了四个方面:
1. 制订了符合相应水平的管理制度;
2. 配备了适当的基础设施;
3. 任用了相应资质的人;
4. 制订了有效培训制度。
这四个方面是互相联系的。没有制度自然不能叫有组织能力,而没有能有效执行制度的人,当然也不能叫有组织能力。同样,若没有相应的基础设施——比如,企业没有采购相应的安全监控设施,或者使用的加密系统达不到要求,那么企业从业人员空手拿着制度文件干瞪眼,是无法执行制度的。而法律和社会实践都是发展的,组织能力因此需要跟着发展。因此,对企业相应的人员进行相应的培训,也是“组织能力”建设的题中之义。
除此之外,需要注意的是,为了避免企业制度形同虚设,许多法律对相应管理机构和人员做了“独立性”的规定。企业董事、总经理、高管以及相应从业人员如果违背了独立性要求,同样是未达到法制要求的证据。
四、不要忘了劳动法
我们已经提到了几个法律的名称。但是,我们不得不再加一个:劳动法。当然这里是指广义的劳动法体系。
我们讨论的是企业的微观组织管理问题,而规范企业微观组织管理问题的基本法律,就是劳动法。所以,如果不把握劳动法的要求,以上那些都是纸上谈兵,无法落地。
比如,你制订了相应的生产安全管理制度,员工违反了制度,你处罚了员工。你在做生产安全法要求你做的一切,但不幸的是你忘记了劳动法,你的处罚行为没有满足劳动法的要求,你很可能必须因此向员工赔一大笔钱。
甚至,又比如,你设立了信息网络安全管理机构、配备了人员,制订了有力的制度,但因为没有满足劳动法的要求,你的制度对员工是无效的。而因为你的制度无效,所以你也就没有制订制度,也就没有满足法制要求。
听着确实有些绕口。但是,正如本文开篇说过的,企业组织法制化议题的法律背景也确实宽阔。
而这还是在我们没有提及一些行业监管法律的特别要求的前提之下。在为具体企业解决规划组织方案时,行业监管法律是必须考虑的。
五、企业有关人员及责任
我们已经或多或少地提到了企业人员的责任。不过,归纳一个清单仍可能是有益的参考:
1. 董事、高管、实控人,即决策人。法律当中通常表述为“(对相应事务)负直接责任的主管人员”。决策者的责任大小,与其是否能证明其积极建设和发展了组织能力有莫大的关系。
2. 操作人员。法律当中通常表述为“有直接责任的人员”。具体操作者的责任大小,与其是否违背了相应制度有关。
3. 总监。在一些大型组织中,组织架构十分复杂。在决策者与一线团队之间,尚存在一个有决策权或有部分决策权的总监层级。这一层是否会代替顶层的人承担“领导责任”,要视具体情形将法律要求、企业具体制度、日常管理实务中的授权机制结合起来看。若法律明确规定了要由法定代表人或实控人负全面领导责任,则总监层即使有意也无法“扛事儿”。
4. 若因操作人员按照企业有缺陷的制度行事而发生风险事件,则位高者责重。
法律之所以提出企业组织法制化的要求,正是因为相应事务若管理不好,会有莫大的社会危害。因此,很多情况下,提出组织法制化要求的法律,都提出了刑事责任。而我们知道,企业市场竞争能力的根本还是人。若人被“端”了,企业的相应功能很可能就会瘫痪。
因此,对这一问题,企业不可不加以注意。