起语——ESG概念下"公司治理"含义的拓展
ESG(environmental, social, governance)指环境、社会和治理。 1 此处的治理狭义意义上可理解为"公司治理"(即corporate governance)中的"治理",在此狭义理解下,我们对于"治理"的探讨多为中国法语境下狭义三会(即股东会、董事会和监事会)以及与之相对应的投资人否决权的设置。随着2021年我国有关数据安全领域法律法规的完善,数据合规首当其冲受到广泛关注。随之突破传统民事、刑事、行政法律分类的大合规概念孕育而出。而要对企业合规作出全面的认识,其所包含的一个维度即是作为公司治理方式的合规,也就是将合规管理作为企业管理的有机组成部分。 2
与合规概念相伴的是我国学者对"作为行政监管激励机制的合规"的讨论, 3即从监管层面引导企业的合规运营。而通过强调ESG作为投资人衡量被投企业的一个因素,可从另一层面理解为是从商业角度"激励"公司的合规运营。从投资人关注ESG理念开始,从商业角度激励被投企业成为行"善"的企业,摒弃可能做"恶"的因素,进而推动产业的良性发展。
中国法框架下的合规实践——就被投企业可参考指引的梳理
从法规层面,业界普遍将2018年11月2日国有资产监督管理委员会发布并于同日生效的《中央企业合规管理指引(试行)》(以下简称"《央企合规指引》")作为中国法项下合规制度形成的初始原点。但这也间接形成了"将合规局限为央企职责"的观念,而对于初创企业,往往以尚处于初期发展阶段和体量规模小作为不得与央企并论履行相应合规义务的理由。
根据《央企合规指引》,合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。 4
2018年12月26日,国家发展和改革委员会、外交部、商务部、中国人民银行、国有资产监督管理委员会、国家外汇管理局和中华全国工商业联合会联合发布《企业境外经营合规管理指引》(以下简称"《企业境外运营合规指引》"),其中对合规进一步定义为指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。 5同时,根据《企业境外运营合规指引》,企业应以倡导合规经营价值观为导向,明确合规管理工作内容,健全合规管理架构,制定合规管理制度,完善合规运行机制,加强合规风险识别、评估与处置,开展合规评审与改进,培育合规文化,形成重视合规经营的企业氛围。 6
尽管《央企合规指引》和《企业境外运营合规指引》从合规角度有其适用的独特主体和范围,但从合规总体依据和目标角度,可以为投融资语境下的被投企业提供可供参照的范本,同时两个指引中提出的一些原则和要求也为当前专项指引所借鉴。而随着初创企业在资本助力下迅猛的发展,很多企业已在较短时间内形成具有规模性平台乃至社区的格局。基于此商业背景,从投资端ESG理念延伸至被投企业端合规义务责任的诉求也被提到企业日常管理的议事日程。根据目前我国的合规法律制度现状,以及合规事宜本身包括多门类的法律法规,涉及民事、行政乃至刑事责任的多元责任体系的特征,就合规的各个领域目前也以专项指引形式规定合规标准和规范。
近期上海市相关政府机构发布了《企业知识产权合规标准指引(试行)》和《企业数据合规指引》,具体如下:
- 2021年12月,上海市浦东新区人民检察院和中国信息通信研究院知识产权与创新发展中心共同发布了《企业知识产权合规标准指引(试行)》;(以下简称"《IP合规指引》")
- 2022年2月7日,上海市杨浦区人民检察院、上海市杨浦区工商业联合会和上海市信息服务业行业协会共同发布了《企业数据合规指引》(以下简称"《数据合规指引》")
根据目前成文的合规指引,首先企业应在日常运营中进行"合规风险识别"和"风险评估",并就具体风险采取相应"风险处置"对策,同时基于对风险的认知搭建合规体系、合规管理制度,并形成企业的合规文化。我们进一步结合《IP合规指引》和《数据合规指引》,梳理指引中的部分条款,以作为未来企业合规运营可以借鉴的实践操作:
指引规定 | 《IP合规指引》 | 《数据合规指引》 |
项目 | ||
合规风险识别 | 企业应通过完善合规风险信息收集机制,全面系统梳理企业经营活动中可能存在的合规风险,建立合规风险台账,对风险源、风险类别、风险形成因素、可能发生的后果及发生的概率等展开系统分析,对有典型意义、普遍存在的以及可能造成严重后果的风险应及时发布预警。 7 | 企业开展数据合规管理应当准确识别风险。常见的数据风险包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险,以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险,企业应根据识别出的风险评估相关经营管理和业务行为是否合规。 8 |
合规风险评估 | 违规风险的识别和评估:1. 是否定期组织合规管理部门(人员),对可能面临的知识产权合规风险进行全面评估,重点识别在知识产权研发、采购、生产、营销等生产经营各阶段的风险;2. 是否根据风险识别和评估确定的合规管理重点问题,发展与可能面临的知识产权合规风险相匹配的风险控制和处理能力;3. 是否定期更新企业风险评估制度,及时识别和评估原有风险的新变化及新产生的风险。 9 | 企业在识别数据风险内容的基础上,可根据自身经营规模、组织体系、业务内容以及市场环境,分析和评估数据风险的来源、发生的可能性、后果的严重性等,并对数据风险进行分级。数据合规部门负责人应当根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示,降低管理层和员工的违法犯罪风险。 10 |
风险处置机制 | 基于风险识别和预警机制的前提,包括风险检查、风险分级、风险应对和问责机制。 11 | 企业应建立健全数据安全事件应急预案与风险处置机制,对识别和评估的各类数据风险设置恰当的控制和应对措施来降低风险,必要时停止相关风险行为。发生个人信息等数据泄露、篡改、丢失等事件的,数据处理者应当立即采取补救措施,并通知所在地区的数据监管部门。安全事件涉嫌犯罪的,应当及时向公安机关报案。 12 |
合规原则 | 包括独立性原则、有效性原则、全面性原则、动态性原则、可查性原则。 13 | / |
合规(管理)体系 | 知识产权合规体系的建立应当涵盖组织体系、制度体系、运行体系、风险识别处置体系等。 14 |
|
合规运行与保障 | 具体制度体系包括:合规审查、合规监察、合规举报、绩效评价、不合规调查、文件信息化管理、合规文化等。 19 | 包括合规咨询、发现机制、举报机制、激励和纪律、培训与承诺、数据合规管理信息化建设、数据合规文化培育。 20 |
结语——企业合规实践:时间跑道上的马拉松
ESG为2021年开始广泛提及并深入到各投资机构投资活动的理念,而"合规"尽管并非中国法框架下的新概念,但人们既有观念往往将合规与企业产生额外成本直接联系。目前人们的认知也是从企业风险管控角度(即如果不合规则可能带来高额罚款)开始重视起来。而从投资人影响力以及创造社会价值角度,将被投企业的合规实践嵌入到投资机构投前、投中和投后的环节中,如下几方面初步建议在此提出供参考和讨论:
- 从投前法律尽调到投中整改清单:在法律尽职调查阶段,基于对被投企业合规问题的梳理、风险评估和相关行业及企业舆情的检索,将企业的合规风险整合在法律尽职调查报告中。基于报告整理为合规事项整改清单,可供投资机构业务及投后团队进一步与被投企业极早开始进行沟通;
- 投后协助被投企业搭建合规体系:通过投后持续跟进待整改事宜完成程度以及开展合规培训等做法协助被投企业建立合规体系,进而形成合规文化;
- 重点行业合规特别关注:就投资热点赛道中的出海企业、涉及处理大量数据企业和高科技企业,以及后续投融资和发展较大的标的企业,结合我国现有法律(如《企业境外合规指引》、《数据合规指引》和《IP合规指引》等),逐步完善企业的合规制度。
Footnotes
1. 详见Who Cares Wins Connecting Financial Markets to a Changing World, the U.N. Global Compact,2004年12月
2. 详见陈瑞华:《企业合规基本理论》,2版,北京:法律出版社,2021年4月
3. 同注释2
4.《中央企业合规管理指引(试行)》第二条
5.《企业境外经营合规管理指引》第三条
6.《企业境外经营合规管理指引》第四条
7.《企业知识产权合规标准指引(试行)》第二十三条
8.《企业数据合规指引》第十一条
9.《企业知识产权合规标准指引(试行)》第二十八条
10.《企业数据合规指引》第二十三条
11.《企业知识产权合规标准指引(试行)》第五章
12.《企业数据合规指引》第二十四条
13.《企业知识产权合规标准指引(试行)》第四条
14.《企业知识产权合规标准指引(试行)》第五条
15.《企业数据合规指引》第六条
16.《企业数据合规指引》第七条
17.《企业数据合规指引》第八条
18.《企业数据合规指引》第九条
19.《企业知识产权合规标准指引(试行)》第三章
20.《企业数据合规指引》第五章
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.