年底年初,又是各大互联网公司争相发布反腐“业绩”的时候。
腾讯集团对外公布了2019年前三季度的反舞弊调查报告,查处违反“高压线”案件40余起。不久,美团发布反腐公告,2019年总计调查38起违纪类刑事案件,近百人被采取刑事措施。
据“南方都市报”统计,2019年共有10家互联网公司爆出150多起舞弊案件,涉案人数达300余人,是去年的三倍不止。上至互联网传统巨头,下至行业新贵,这场席卷了整个互联网行业的反舞弊风暴大有愈演愈烈之势。
互联网舞弊的特点
涉案人员年轻化,一方面是互联网从业者整体人群较为年轻,多为20-35岁,另一方面是企业内部架构的扩张和调整使得大量年轻人开始承担“负责人”、“经理”的职位。
舞弊手法多样化,如采购部门、网站运营、市场公关部等,都是舞弊重灾区。在互联网行业,一寸流量一寸金,使得业务一线负责人员往往掌握着与其职级、收入不相匹配的权利,从而滋生了腐败的土壤。
资本催熟,疏于管控而滋生腐败。融资、布局、再融资、再布局……互联网企业的发展唯快不破,抢占市场、抢占用户、抢占人才,发展节奏过快,内部管控难免有所脱节,这就产生了利益腾挪的缝隙。
得益于行业的开放风气,除了设立传统的内控合规部门以外,互联网公司在内控反舞弊上相较传统企业更善于引进新型技术手段,其具体措施可以说是花样百出。相应的,这些手段也带来了一些争议和法律风险……
互联网公司反舞弊手段及法律风险分析
1. 联合反腐,设立失信名单制度
自2015年起,一些互联网巨头纷纷联合业内知名企业建立起反舞弊联合平台,共同打造反腐生态圈,营造诚信营商环境。这些平台成立后纷纷上线共享信息系统,实现失信名单的共享。据笔者了解,失信名单主要包括两部分,一部分是失信人员名单,记录员工收受贿赂、职务侵占等舞弊行为。另一部分是失信企业名单,记录与平台成员业务往来中有行受贿或售卖假货等失信行为的企业。
星瀚内控与反舞弊法律中心简评:
互联网企业成立上述平台的初衷无疑是好的,设置“黑名单”也是出于规避风险,共享信息的目的。2016年5月30日,国务院出台《关于建立完善守信联合激励和失信联合惩戒制度加快推进社会诚信建设的指导意见》,也对行业设置黑红名单持鼓励态度,希望通过此类制度约束和惩戒失信行为,加快构建以信用为核心的新型市场监管体制。
不过,现实中也存在一些企业或HR没有合理使用“黑名单”,造成劳动者合法就业权利受限的情况。笔者在2018年6月11日《劳动报》刊登的文章中了解到,某外卖平台bd渠道员工,因代同事打卡被公司发现遭到开除,公司后来将该名员工拉入“黑名单”。该员工在某城网站就职后,因被HR发现曾进入黑名单的情况,结果再度被开除。
其实,目前现行的法律法规针对腐败舞弊行为已经设立了相应的处罚,比如在《刑法》第三十七条之一中:“因利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪被判处刑罚的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业,期限为三年至五年。”而在行政立法上,对法官、检察官、律师、教师、医生、会计师、保险营销员、导游等数十种行业也有从业禁止的规定。相较而言,根据前述规定行事,风险更小。在劳动者没有违反劳动手册、劳动法律法规的前提下,仅凭“黑名单”就对员工施以处罚或就业限制,或可能侵犯劳动者的就业权或是名誉权,给企业带来一定程度的法律纠纷。
另一方面,“黑名单”通常仅对反舞弊平台成员开放,其审核流程、监管主体也由平台内部制定。通常而言,员工上榜后需要向自己单位申诉,经过单位同意后才能撤下信息。如若失信名单的设置能够得到相关政府部门的监管,建立第三方评估机制,则更具公正客观性。总之,互联网企业对于是否将员工信息列入“黑名单”中需谨慎考虑,同时在参考“黑名单”筛选求职人员时,也需注意防范侵害劳动者权益的合规风险。
2. 员工行为实时监控
许多企业认为,使用监控软件是对员工进行网络监控作为企业管理权的必要延伸,能起到保护商业秘密、预防职务犯罪等多种作用,因而越来越多的企业开始对员工的电脑、手机进行监控,例如通过 “阿里郎”、“钉钉”等软件,监控员工的邮件系统、即时通讯、上网记录、位置信息等。
星瀚内控与反舞弊法律中心简评:
此类软件的使用往往涉及到员工隐私权与企业知情权的冲突,现行的《劳动合同法》对于这类行为并无明确规定,仅在第8条提及企业对劳动合同直接相关的信息有知情权。在《互联网安全保护技术措施规定》中,其第8条规定,提供互联网接入服务的单位应当具有记录并留存用户注册信息;记录、跟踪网络运行状态,检测、记录网络安全事件等安全审计功能。这也变相允许了企业的监听管控行为,因此企业在工作场所使用监控软件的行为合法。
但依照《网络安全法》第40-44条规定,企业在具体行为过程中应尽充分告知及合理实施的义务,对信息的后续使用及保管也要妥善处理,以免侵犯员工隐私,承担行政及民事侵权责任。例如,在杨某与江苏某酒业有限公司隐私权纠纷一案中,法院判决公司在非工作时间通过相关软件查看员工位置信息并将之发布在微信群中侵犯了对方隐私权,须承担赔礼道歉的责任。
与之形成对照的则是高某诉某金(中国)投资有限公司案,此案中公司通过监控电脑得知高某在工作期间处理其他事项并涉嫌利用公司资源谋私,遂解除了与对方的劳动关系,高某则提出公司的行为侵犯了其隐私权,不能作为解除依据。法院经审理认为高某使用的电脑系工作电脑,公司对工作电脑监控的行为并无不当,系单位对办公用品正常行使管理支配权。
从以上两个案例可以看出,企业为保护其自身利益采取的监控行动不可避免地会与员工的隐私权产生碰撞。为降低合规风险,企业应当厘清其知情权的权利界限,使用监控软件时遵循必要性、目的正当性、利益衡量等原则。具体而言,①事先:应以规章制度、劳动合同、劳动手册等形式将监控软件的存在告知劳动者,同时尽可能地要求员工使用公司提供的设备办公;②事中:做到将监测行为限制在劳动合同履行的必要范围内;③事后:严格保密获取的员工信息,确保劳动者的个人隐私不被侵犯。
3. 大数据分析、人工智能等的引进
互联网行业向来呈现创新的“技术派”形象,通过人工智能算法体系进行大数据分析以发现合规风险已经成为反舞弊措施中的新潮流。
大数据分析主要是将员工的各类行为转化为可识别的数据,运用计算机的计算能力,对海量数据进行挖掘、对比、整合等,取代大量具有重复性且需要人工审核的风控工作。例如ControlRisk集团在某跨国药企多名员工虚假报销的调查中,运用数据分析手段,发现在2017-2018年期间华东区有24笔费用存在合规风险,涉及三名销售人员。
人工智能则是通过训练大量数据的机器学习建立起企业正常经营行为的模型等,对员工异常行为进行风险提示,或对员工的行为进行预判,主动识别舞弊迹象。例如, 2018年4月火山小视频原运营负责人黄某受贿一案,公司运用AI对个别内部员工与外部人员合谋骗取创作补贴等事件进行了精准识别、及时查处。
星瀚内控与反舞弊法律中心简评:
与大数据分析、人工智能风控手段相应而生的则是员工个人隐私泄露问题。2018年5月,欧盟出台的《通用数据保护条例》(GDPR)就对个人敏感数据(种族或民族出身、政治观点、宗教/哲学信仰、工会成员身份、涉及健康、性生活或性取向的数据、基因数据、经处理可识别特定个人的生物识别数据等)的获取行为进行了严格规定。我国在《民法通则》第111条、《侵权责任法》第2条也都规定了隐私权相关的保护条款,在未经许可的情况下私自获取公民个人信息属于违法行为,情节严重的,甚至会触犯刑法253条规定的侵犯公民个人信息罪。
另外,因为大数据分析、人工智能的基础是获取并分析海量数据,因此常常会使用到网络爬虫技术。笔者在编纂员工舞弊司法裁判大数据报告时,也会使用爬虫获取企业公开的工商信息便于统计企业性质、行业、规模等。但如果爬虫技术上升为企业行为,会带来一定的法律风险。因为爬虫的范围往往超越了工作时间和工作地点的限制,如根据员工社交平台发布的信息,对其社交、财产、言论进行画像、存储和分析,可能涉嫌侵犯员工的个人隐私。
国家互联网信息办公室2019年发布的《数据安全管理办法(征求意见稿)》第15条规定“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身”。这对爬虫收集个人信息进行了限制。
因此,企业在利用大数据分析、人工智能进行反舞弊调查时,要注意适当性,其采集、分析的数据也要妥善处理,以免陷入不必要的法律纠纷。
结语
近年来我国的互联网企业在经历了创业初期的爆发式增长后进入平缓期,收益增速下降、增收压力加大,内部舞弊带来的损失却是有增无减,这迫使各大互联网企业不得不加大反舞弊的力度,引入各种新型反舞弊措施。但与此同时,潜藏在这些措施背后的法律风险也不容小觑。企业在采取此类手段时应格外谨慎、务必在清理门户的同时做好合规工作,防止触碰红线。
作者:星瀚企业内控与反舞弊法律中心
