年底年初,又是各大互聯網公司爭相發佈反腐“業績”的時候。
騰訊集團對外公佈了2019年前三季度的反舞弊調查報告,查處違反“高壓線”案件40餘起。不久,美團發佈反腐公告,2019年總計調查38起違紀類刑事案件,近百人被採取刑事措施。
據“南方都市報”統計,2019年共有10家互聯網公司爆出150多起舞弊案件,涉案人數達300餘人,是去年的三倍不止。上至互聯網傳統巨頭,下至行業新貴,這場席捲了整個互聯網行業的反舞弊風暴大有愈演愈烈之勢。
互聯網舞弊的特點:
涉案人員年輕化,一方面是互聯網從業者整體人群較為年輕,多為20-35歲,另一方面是企業內部架構的擴張和調整使得大量年輕人開始承擔“負責人”、“經理”的職位。
舞弊手法多樣化,如採購部門、網站運營、市場公關部等,都是舞弊重災區。在互聯網行業,一寸流量一寸金,使得業務一線負責人員往往掌握著與其職級、收入不相匹配的權利,從而滋生了腐敗的土壤。
資本催熟,疏於管控而滋生腐敗。融資、佈局、再融資、再佈局……互聯網企業的發展唯快不破,搶佔市場、搶佔用戶、搶佔人才,發展節奏過快,內部管控難免有所脫節,這就產生了利益騰挪的縫隙。
得益於行業的開放風氣,除了設立傳統的內控合規部門以外,互聯網公司在內控反舞弊上相較傳統企業更善於引進新型技術手段,其具體措施可以說是花樣百出。相應的,這些手段也帶來了一些爭議和法律風險……
互聯網公司反舞弊手段及法律風險分析
1.聯合反腐,設立失信名單制度
自2015年起,一些互聯網巨頭紛紛聯合業內知名企業建立起反舞弊聯合平臺,共同打造反腐生態圈,營造誠信營商環境。這些平臺成立後紛紛上線共享信息系統,實現失信名單的共享。據筆者瞭解,失信名單主要包括兩部分,一部分是失信人員名單,記錄員工收受賄賂、職務侵佔等舞弊行為。另一部分是失信企業名單,記錄與平臺成員業務往來中有行受賄或售賣假貨等失信行為的企業。
星瀚內控與反舞弊法律中心簡評:
互聯網企業成立上述平臺的初衷無疑是好的,設置“黑名單”也是出於規避風險,共享信息的目的。2016年5月30日,國務院出臺《關於建立完善守信聯合激勵和失信聯合懲戒制度加快推進社會誠信建設的指導意見》,也對行業設置黑紅名單持鼓勵態度,希望通過此類制度約束和懲戒失信行為,加快構建以信用為核心的新型市場監管體制。
不過,現實中也存在一些企業或HR沒有合理使用“黑名單”,造成勞動者合法就業權利受限的情況。筆者在2018年6月11日《勞動報》刊登的文章中瞭解到,某外賣平臺bd渠道員工,因代同事打卡被公司發現遭到開除,公司後來將該名員工拉入“黑名單”。該員工在某城網站就職後,因被HR發現曾進入黑名單的情況,結果再度被開除。
其實,目前現行的法律法規針對腐敗舞弊行為已經設立了相應的處罰,比如在《刑法》第三十七條之一中:“因利用職業便利實施犯罪,或者實施違背職業要求的特定義務的犯罪被判處刑罰的,人民法院可以根據犯罪情況和預防再犯罪的需要,禁止其自刑罰執行完畢之日或者假釋之日起從事相關職業,期限為三年至五年。”而在行政立法上,對法官、檢察官、律師、教師、醫生、會計師、保險營銷員、導遊等數十種行業也有從業禁止的規定。相較而言,根據前述規定行事,風險更小。
在勞動者沒有違反勞動手冊、勞動法律法規的前提下,僅憑“黑名單”就對員工施以處罰或就業限制,或可能侵犯勞動者的就業權或是名譽權,給企業帶來一定程度的法律糾紛。另一方面,“黑名單”通常僅對反舞弊平臺成員開放,其審核流程、監管主體也由平臺內部制定。通常而言,員工上榜後需要向自己單位申訴,經過單位同意後才能撤下信息。如若失信名單的設置能夠得到相關政府部門的監管,建立第三方評估機制,則更具公正客觀性。總之,互聯網企業對於是否將員工信息列入“黑名單”中需謹慎考慮,同時在參考“黑名單”篩選求職人員時,也需注意防範侵害勞動者權益的合規風險。
2.員工行為實時監控
許多企業認為,使用監控軟件是對員工進行網絡監控作為企業管理權的必要延伸,能起到保護商業秘密、預防職務犯罪等多種作用,因而越來越多的企業開始對員工的電腦、手機進行監控,例如通過 “阿里郎”、“釘釘”等軟件,監控員工的郵件系統、即時通訊、上網記錄、位置信息等。
星瀚內控與反舞弊法律中心簡評:
此類軟件的使用往往涉及到員工隱私權與企業知情權的衝突,現行的《勞動合同法》對於這類行為並無明確規定,僅在第8條提及企業對勞動合同直接相關的信息有知情權。在《互聯網安全保護技術措施規定》中,其第8條規定,提供互聯網接入服務的單位應當具有記錄並留存用戶註冊信息;記錄、跟蹤網絡運行狀態,檢測、記錄網絡安全事件等安全審計功能。這也變相允許了企業的監聽管控行為,因此企業在工作場所使用監控軟件的行為合法。
但依照《網絡安全法》第40-44條規定,企業在具體行為過程中應盡充分告知及合理實施的義務,對信息的後續使用及保管也要妥善處理,以免侵犯員工隱私,承擔行政及民事侵權責任。例如,在楊某與江蘇某酒業有限公司隱私權糾紛一案中,法院判決公司在非工作時間通過相關軟件查看員工位置信息並將之發佈在微信群中侵犯了對方隱私權,須承擔賠禮道歉的責任。
與之形成對照的則是高某訴某金(中國)投資有限公司案,此案中公司通過監控電腦得知高某在工作期間處理其他事項並涉嫌利用公司資源謀私,遂解除了與對方的勞動關係,高某則提出公司的行為侵犯了其隱私權,不能作為解除依據。法院經審理認為高某使用的電腦系工作電腦,公司對工作電腦監控的行為並無不當,系單位對辦公用品正常行使管理支配權。
從以上兩個案例可以看出,企業為保護其自身利益採取的監控行動不可避免地會與員工的隱私權產生碰撞。為降低合規風險,企業應當釐清其知情權的權利界限,使用監控軟件時遵循必要性、目的正當性、利益衡量等原則。具體而言,①事先:應以規章制度、勞動合同、勞動手冊等形式將監控軟件的存在告知勞動者,同時儘可能地要求員工使用公司提供的設備辦公;②事中:做到將監測行為限制在勞動合同履行的必要範圍內;③事後:嚴格保密獲取的員工信息,確保勞動者的個人隱私不被侵犯。
3.大數據分析、人工智能等的引進
互聯網行業向來呈現創新的“技術派”形象,通過人工智能算法體系進行大數據分析以發現合規風險已經成為反舞弊措施中的新潮流。
大數據分析主要是將員工的各類行為轉化為可識別的數據,運用計算機的計算能力,對海量數據進行挖掘、對比、整合等,取代大量具有重複性且需要人工審核的風控工作。例如ControlRisk集團在某跨國藥企多名員工虛假報銷的調查中,運用數據分析手段,發現在2017-2018年期間華東區有24筆費用存在合規風險,涉及三名銷售人員。
人工智能則是通過訓練大量數據的機器學習建立起企業正常經營行為的模型等,對員工異常行為進行風險提示,或對員工的行為進行預判,主動識別舞弊跡象。例如, 2018年4月火山小視頻原運營負責人黃某受賄一案,公司運用AI對個別內部員工與外部人員合謀騙取創作補貼等事件進行了精準識別、及時查處。
星瀚內控與反舞弊法律中心簡評:
與大數據分析、人工智能風控手段相應而生的則是員工個人隱私洩露問題。2018年5月,歐盟出臺的《通用數據保護條例》(GDPR)就對個人敏感數據(種族或民族出身、政治觀點、宗教/哲學信仰、工會成員身份、涉及健康、性生活或性取向的數據、基因數據、經處理可識別特定個人的生物識別數據等)的獲取行為進行了嚴格規定。我國在《民法通則》第111條、《侵權責任法》第2條也都規定了隱私權相關的保護條款,在未經許可的情況下私自獲取公民個人信息屬於違法行為,情節嚴重的,甚至會觸犯刑法253條規定的侵犯公民個人信息罪。
另外,因為大數據分析、人工智能的基礎是獲取並分析海量數據,因此常常會使用到網絡爬蟲技術。筆者在編纂員工舞弊司法裁判大數據報告時,也會使用爬蟲獲取企業公開的工商信息便於統計企業性質、行業、規模等。
但如果爬蟲技術上升為企業行為,會帶來一定的法律風險。因為爬蟲的範圍往往超越了工作時間和工作地點的限制,如根據員工社交平臺發佈的信息,對其社交、財產、言論進行畫像、存儲和分析,可能涉嫌侵犯員工的個人隱私。國家互聯網信息辦公室2019年發佈的《數據安全管理辦法(徵求意見稿)》第15條規定“網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、範圍、類型、期限等,不包括數據內容本身”。這對爬蟲收集個人信息進行了限制。
因此,企業在利用大數據分析、人工智能進行反舞弊調查時,要注意適當性,其採集、分析的數據也要妥善處理,以免陷入不必要的法律糾紛。
結語
近年來我國的互聯網企業在經歷了創業初期的爆發式增長後進入平緩期,收益增速下降、增收壓力加大,內部舞弊帶來的損失卻是有增無減,這迫使各大互聯網企業不得不加大反舞弊的力度,引入各種新型反舞弊措施。但與此同時,潛藏在這些措施背後的法律風險也不容小覷。企業在採取此類手段時應格外謹慎、務必在清理門戶的同時做好合規工作,防止觸碰紅線。
文:邵洋、朱曄明
本文信息僅作一般性參考,不應視為針對特定事務的法律意見或依據。
聯繫作者/合作聯絡: [email protected]
閱讀更多 上海星瀚律師事務所 的文章
