——从雀巢公司无罪抗辩案说起
前言
近年来,企业合规的问题不仅受到了法学界、律师界的高度关注,而且也受到来自职能部门的青睐。2018年11月2日,国务院国资委下发《中央企业合规管理指引(试行)》,目的是为了推动中央企业全面加强合规管理,加快提升依法合规经营管理水平,着力打造法治央企,保障企业持续健康发展。该《指引》虽然指向中央企业,但其内涵对数量更为庞大的民营企业及企业家而言也不无指导和参考的意义。
根据《指引》,企业合规是指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。缺乏合规不善所带来的风险是多方面的,其中,刑事风险对企业以及企业家来说影响最大,所产生的破坏力也最强。一旦企业被刑事定罪,其结果往往是灾难性或是毁灭性的,除去因刑事犯罪带来的巨额罚金及不良案底之外,企业的掌舵人(企业家)也同时会失去人身自由,难以东山再起。由此,企业的刑事合规就显得极为重要,企业的刑事合规体系、制度也成为了一家企业赖以生存的核心。
问题的提出
我国刑法明确规定了单位犯罪的制度,司法实践中,判断某一犯罪是否属于单位犯罪,我们往往通过具体实施犯罪行为的主体来判断。只要行为主体是该单位的内部主管人员或是直接责任人员,以单位的名义,为了单位的利益而实施了犯罪行为,一般我们都将其定性为单位犯罪。但随着目前企业治理结构的复杂化、专业化,企业人员的多层级化、多地域化,作为企业核心的最高决策层、管理层,如何避免因某些个人或者某个部门、机构的犯罪行为,而导致整个企业涉嫌刑事犯罪,如何将刑事责任挡在企业大门之外,让其成为个人责任,成为了企业生存与发展过程中不可回避的重要问题。本文试从雀巢公司员工侵犯公民个人信息一案,对企业合规中如何有效切割单位责任与个人责任做简要的分析。
雀巢公司员工侵犯公民个人信息案
2016年10月,兰州市城关区人民法院一审判决雀巢(中国)有限公司员工郑某、杨某、孙某等6人以非法方式获取公民个人信息,情节严重,构成侵犯公民个人信息罪。后多名被告人上诉,但兰州市中级人民法院经过不开庭审理后裁定驳回上诉,维持原判。根据判决书显示,郑某、杨某在分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工杨某某、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州大学第一附属医院等医疗机构的医务人员手中非法获取公民个人信息。
一审、二中,被告人郑某等均辩称,收集公民信息是为了完成公司任务,自己的行为属于公司行为,都是按照公司要求实施,所获取的信息也是提供给公司,该案应当按照单位犯罪处理。
一审庭审中,雀巢公司的相关证据经过质证显示,1.雀巢公司指示(复印于雀巢公司员工培训教材)、雀巢(中国)有限公司情况说明,证实雀巢公司不允许员工因推销0-12月龄健康婴儿使用的婴儿配方奶粉为目的,直接或间接地与孕妇、哺乳妈妈或公众接触。不允许员工未经正当程序并经公司批准而主动收集公民个人信息;2.雀巢公司情况说明,证实该公司DR的概念、目标任务、与DR相关的信息获取方式等情况。DR任务目标不是为了收集消费者个人信息,DR工作完成的实际效果由中国健康促进与教育协会承办的营养咨询中心(NCC)通过电访来了解和评估。为完成电访调研,需要用到消费者自愿提供的部分个人信息(例如姓名和电话),雀巢公司不允许为此向医务人员支付任何资金或者其他利益。雀巢公司从不允许员工以非法方式收集消费者个人信息,并且从不为此向员工、医务人员提供资金;3.雀巢公司在《雀巢指示》以及《关于与保健系统关系的图文指引》等文件中明确规定,“对医务专业人员不得进行金钱、物质引诱”。对于这些规定要求,雀巢公司要求所有营养专员接受培训并签署承诺函;4.雀巢公司的政策与指示、雀巢宪章、关于与卫生保健系统关系的图文指引,证实雀巢公司遵守世界卫生组织《国家母乳代用品销售守则》及卫生部门的规定,禁止员工向母亲发放婴儿配方奶粉免费样品、禁止向医务专业人员提供金钱或物质的奖励,以引诱其推销婴儿配方奶粉等。
根据上述经过质证的证据,一、二审判决认为郑某等人虽系雀巢公司员工,但公司的相关规定、制度显示,公司从未允许或授意员工从事侵犯公民个人信息的违法犯罪行为,被告人违反公司管理规定,为提升个人业绩而实施的犯罪行为属于个人行为,与公司无关。本案属个人犯罪,非单位犯罪。
启示——通过合规来切割单位责任与个人责任
从上述案例可以看出,各被告人虽然系单位员工,以单位名义实施侵犯公民个人信息的行为,所获取的利益也归于单位,但法院仍然未将其定性为单位犯罪,其核心理由就是单位没有作出让员工实施侵犯公民个人信息行为的意思表示,或者说从单位层面看,单位并没有侵犯公民个人信息的犯意。
这就引起我们在企业刑事合规领域的思考,想要做到企业责任与个人责任之间的有效切割,将刑事责任拒之门外,很关键的一点就是企业要通过一定的合规管理体系,来排除自己存在犯罪的主观因素。根据上述判决书我们可以清晰的看到,法院之所以裁判该案为个人犯罪而非单位犯罪,主要是根据雀巢公司一系列严格的管理体系与制度规定。雀巢公司通过公司宪章、公司指示、员工手册等公司规范性文件来宣示自己禁止员工未经批准自行收集公民个人信息,禁止员工向医务人员提供金钱或物质奖励等等,并且这些内容被包含在了公司日常的员工培训内容中。雀巢公司确实已经极致的做到了审慎管理、监督、教育的职责,而在此情况下,员工仍然铤而走险,违背公司规章制度,实施违法犯罪行为,事实上也就违背了公司意志,那么公司自然是不必承担刑事责任的了。
因此,对于许多内部治理结构复杂,工作人员众多的企业而言,我们认为建立刑事合规体系及相应的规章制度是有必要的。根据企业的产业特点、经营特征,来甄别企业的刑事法律风险点,并且有针对性的完善相关制度,构建属于企业特有的合规管理体系,将企业的主观意志客观化,以此来解决个人行为给企业带来的法律风险。
