永泰律师刑事,企业合规法律顾问

合规宣讲

2020年3月以来，最高人民检察院先后两次部署试点开展“企业犯罪相对不诉适用机制改革”以及“企业合规第三方监督评估机制”改革，目前，企业合规不起诉制度改革试点范围已扩大到10个省份、上百家检察院。从最高检发布的《企业合规改革试点典型案例》来看，企业合规需要企业主动提交书面承诺、制定合规计划、每月汇报合规计划实施情况，企业是合规建设的主体，因此，企业如何将具体的业务场景与法律法规等规范相匹配，做到既合乎规定、又不影响正常经营，这是一个需要跨界思考的问题。在这个跨界思考与实践的过程中，专业律师如何参与，怎样为企业量身打造一个检察机关和第三方监督评估机构均能验收通过的合规体系，这需要律师将目光来回穿梭于企业经营的具体场景和国家法律法规之间，将两者进行有机结合、无缝对接，实现企业的合规守法与经营发展的双赢共赢。

01工作概况

2021年9月至10月，上海市海华永泰律师事务所廉正合规团队近期办理了一起某公司涉嫌侵犯公民个人信息的合规不起诉案件。律师团队通过为企业建设合规体系，在风险识别、风险控制、组织建设、文化培育、员工培训、反舞弊控制等方面进行制度设计和管理，顺利通过检察机关的考核验收，并于2021年11月26日对该公司正式作出不起诉决定。

02办案过程

（一）研究检察建议，制订合规计划

经认真研读《检察建议书》，我们归纳出该公司在公民个人信息保护和法律风险防控方面主要存在的问题：制度执行监管缺位，内控管理存在漏洞；员工法治意识淡薄，守法经营教育不足；渠道开发缺乏研判，经营风险警惕不高等。对此，我们立即对标对点，在合规组织建设、合规文化与合规培训、获客营销渠道内控、数据信息系统内控、财务管理内控、反舞弊内控等方面制订了比较详细的贯彻落实检察建议的计划。

（二）统一指挥协调，建立合规领导机构

合规计划的落地，必须紧紧依靠公司管理层，取得全体员工的支持，否则有沦为“纸面的合规”之危险，因此，一个强有力的合规领导机构就显得非常必要。于是，我们在公司层面成立了“数据管理合规委员会”，由公司董事长担任合规委员会主任，确保政令畅通、令行禁止。同时，律师团队指定一名有丰富办案经历的资深律师兼职担任公司合规官，具体负责合规计划的落实和执行。

（三）梳理法律法规，营造合规文化氛围

我们根据企业的涉案事实，全面梳理了涉及个人信息保护和数据安全方面的法律法规，根据公司实际还制作了《公司基本法》《员工手册》《数据合规宣传手册》等文本。我们还第一时间召开合规体系建设动员大会，由公司董事长作动员讲话，团队律师带领全体员工学习了与个人信息保护相关的法律法规知识，全体员工认真进行了合规宣誓和承诺，团队制作的宣传标语、宣传海报遍布公司的各个场所，营造了浓厚的合规文化氛围。

（四）对照业务场景，精准识别和控制风险

我们紧紧依靠公司管理层、业务端和技术端，在人员访谈、资料查阅等基础上，共同对公司风险点进行扫描，对组织架构及合规管理情况进行分析诊断，梳理已有的法务、合规、内控及风控相关制度，识别、分析与评价企业的业务合规风险，以及重点领域、岗位与人员的合规风险等。在前期工作基础上，搭建自上而下的整体合规风险防控机制，彻底删除公司曾经存在的违法违规数据信息，摒弃缺乏监管风险的数据系统，重新修改基础制度并对应设置惩戒措施，将公司营销方式进行重新洗牌，对每一项营销及对应的个人信息采集工作进行严格把控，做到每个环节合规留痕，确保责任到人、追究有据。

（五）进行反查巡察，预防和应对合规事件

我们在公司官网和微信公众号等平台，建立合规举报与反舞弊制度，通过公司员工间、公司上下级间、员工与外部合作第三方间的相互监督，最大化地降低组织内部及相关外部机构之中可能存在的合规风险。在公司管理层的授权下，我们团队指定专业的反舞弊律师，与公司常设合规机构人员共同组队，对公司获客渠道、获客信息、数据库管理、财务管理等进行不定期的抽查反查，发现苗头、坚决查处，杜绝员工在工作中出现违规违纪甚至违法犯罪的可能，将合规事件消灭在萌芽状态。

03办案体会

（一）专项合规要置于整体合规的控制下

刑事合规不起诉的合规整改工作中，往往包含两个方面内容：一个是涉案业务领域的专项合规，另一个则是更高维度的企业整体合规管理。虽然在合规不起诉中，不一定要求企业做全方面的合规体系，但是具体涉案领域的业务连续性依然值得重视，而且企业应当建立更为全面的合规管理体系，在合规整改工作中，除涉案业务、主营业务外，对于新增及其他主要业务模块也要纳入合规建设工作中，以专项合规带动企业做到全面合规，这也是对企业“严管”与“厚爱”的应有之义。

（二）合规措施要考虑企业的可接受成本

检察机关一般会以检察建议形式向企业提出合规整改要求，这既有对企业具体业务的要求，也有宏观合规管理方面的建议，从而决定了律师做合规整改方案时也要考虑两个方面内容，一个是涉案业务领域的专项合规，另一个则是更高维度的企业整体合规管理。但在实践中又会遇到另一个现实问题，那就是企业的付费能力和付费意愿，合规成本的高低其实也决定着企业的合规意愿。我们在办案实践中遇到的合规不起诉对象往往以中小企业和民营企业居多，如果动辄就进行全方位合规管理体系构建，合规咨询的直接成本，如律师费或咨询费用可能会比较高昂。此外，还要考虑企业在进行合规制度构建中的隐形成本，如因合规流程管控带来的业务效率降低、业务流转速度放缓、审批流程增加、相关文件的存储成本增加、相关岗位的人员配置增加等等细节的支出，这对企业来讲是一个巨大的负担。因此，基于成本控制考虑，结合合规不起诉的需要，对于企业合规整改措施的制订要谨慎，既要在宏观上有一定的高度，防止“治标不治本”，又要在微观上考虑企业合规的合理落地，不能不顾企业在经济成本、人力资源成本等方面的接受能力，而陷入一种“摊大饼”式的自说自话之中。

（三）企业合规管理一定要“接地气”

企业合规管理具有非常强的专业性。对于企业来说，建立合规管理体系和制度固然重要，但更重要的是各项管理措施的落地生效。在企业合规实践中，最重要的环节是，律师要紧紧依靠企业方的领导者、业务主管、技术人员等角色，共同梳理出企业经营环节的各个流程，识别每一个流程的岗位及职责，针对岗位和职责制作简单便于操作的业务操作流程图，从而切实避免专业律师不懂经营业务、业务端不清楚法律规定的“两张皮”现象。

总而言之，“合规不是最终目标，通过合规促进企业的安全、健康、快速发展才是我们的最终目标”，对于律师而言，既需要刑事诉讼的法律专业视角，又需要合规体系构建的非诉讼思维；对于企业而言，不仅仅是涉刑事案件的企业需要建立合规体系，相反，任何一家希望持续经营的企业都应当未雨绸缪，建立合规制度，培养合规文化，万勿等到刑事风险产生以后再来亡羊补牢。