最高检第三批涉案企业合规典型案例透视与启示

来源:金诚同达

文章摘要
2022年7月21日,最高人民检察院发布了第三批涉案企业合规典型案例,涉及上海、北京、江苏、广西、福建等省市,涉案领域涵盖互联网企业数据合规、证券犯罪内幕信息保密合规、小微企业简式合规、采矿企业合规、

2022年7月21日,最高人民检察院发布了第三批涉案企业合规典型案例,涉及上海、北京、江苏、广西、福建等省市,涉案领域涵盖互联网企业数据合规、证券犯罪内幕信息保密合规、小微企业简式合规、采矿企业合规、高科技民营企业合规等,展示了我国不同地域、不同行业的企业合规情况。
最高检发布的合规典型案例,当然是对检察院涉案企业合规改革试点工作的总结提高,但也反映了企业合规管理的诸多不足。下文将以三个合规典型案例为例,“对症下药”,为企业开具合规良方。
一、上海Z公司、陈某某等人非法获取计算机信息系统数据案
1. 案情概要
上海Z网络科技有限公司(以下简称“Z公司”)成立于2016年1月,系一家为本地商户提供数字化转型服务的互联网大数据公司。Z公司现有员工1000余人,年纳税总额1000余万元,已帮助2万余家商户完成数字化转型,拥有计算机软件著作权10余件,2020年被评定为高新技术企业。被起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。
2019年至2020年,在未经上海E信息科技有限公司(以下简称“E公司”,系国内特大型美食外卖平台企业)授权许可的情况下,Z公司为了以提供超范围数据服务吸引更多的客户,由公司首席技术官陈某某指使汤某某等多名公司技术人员,通过“外爬”“内爬”等爬虫程序(按照一定的规则,在网上自动抓取数据的程序),非法获取E公司运营的外卖平台(以下简称“E平台”)数据。其中,汤某某技术团队实施“外爬”,以非法技术手段,或利用E平台网页漏洞,突破、绕开E公司设置的IP限制、验证码验证等网络安全措施,通过爬虫程序大量获取E公司存储的店铺信息等数据。王某某技术团队实施“内爬”,利用掌握的登录E平台商户端的账号、密码及自行设计的浏览器插件,违反E平台商户端协议,通过爬虫程序大量获取E公司存储的订单信息等数据。上述行为造成E公司存储的具有巨大商业价值的海量商户信息被非法获取,同时造成E公司流量成本增加,直接经济损失人民币4万余元。
案发后,Z公司、陈某某等人均认罪认罚,Z公司积极赔偿被害单位经济损失并取得谅解。2020年8月14日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪提请上海市普陀区检察院审查逮捕。8月21日,普陀区检察院经审查认为,陈某某等人不具有法律规定的社会危险性,依法决定不批准逮捕。2021年6月25日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。2022年5月,普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定。
2. 合规启示
随着信息技术的不断进步,互联网日益普及,个人信息及数据安全得到的国家有关部门及社会公众的重视与日俱增。因此,国家对互联网企业的数据合规工作提出了很高的要求。比如,2021年8月发布的《个人信息保护法》第51条即明确要求企业应“制定内部管理制度和操作规程”,以“确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄漏、篡改、丢失”;第58条亦要求“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”应“按照国家规定建立健全个人信息保护合规制度体系、成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。2021年6月发布的《数据安全法》第27条同样要求开展数据处理活动的企业“应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全”。
然而,信息数据领域的国家政策、法律法规等和传统领域区别较大,容易遇到的“雷区”“盲点”较多。如果企业本身对相关规定不熟悉,又没有建立行之有效的数据合规体系和完备的规章制度,就很可能出现违法违规经营的现象。就以本案为例,爬虫技术与计算机病毒、木马等不同,属于中性技术,其技术本身并不被法律所禁止。但是,如果企业利用爬虫技术利用其他平台漏洞,绕过平台限制而爬取个人信息等,就可能构成非法获取计算机信息系统数据罪。如果利用爬虫技术爬取某些特定领域如国家事务、国防建设、尖端科学技术领域等信息,还可能构成非法侵入计算机信息系统罪。如果利用爬虫技术爬取他人商业秘密,还可能构成侵犯商业秘密罪。可见,对于涉及数据信息收集、处理的企业,建立健全完备的数据合规制度,不仅是一项法律义务,也是企业正常经营与违法犯罪间的“护城河”。
以本案为例,企业可在以下方面加强数据合规制度建设:
1)建立健全并确保落实数据处理管理制度和操作规程。在本案中,Z公司为了以提供超范围数据服务吸引更多的客户,由公司首席技术官陈某某指使汤某某等多名公司技术人员,通过“外爬”“内爬”等爬虫程序,非法获取E公司运营的外卖平台数据。这是典型的因合规建设缺位或虚设,导致有关人员以“一言堂”方式进行违法违规经营的表现。普陀区检察院亦发现Z公司存在管理盲区、制度空白、技术滥用等合规风险,并据此制发了《合规检察建议书》。Z公司亦针对暴露出的合规风险,构建数据安全管理体系,制定、落实了《数据分类分级管理制度》《员工安全管理等级》等制度。企业应当制定健全的管理制度和操作规程并保证其落实,将此类合规风险扼杀于萌芽之中。
2)安排专职人员、设立专职机构负责数据合规工作,必要时成立主要由外部成员组成的独立机构对数据合规情况进行监督。如前所述,信息数据领域的相关法律法规、规章制度等多且复杂、更新频繁,容易遇到“雷区”“盲区”;而直面合规风险的程序员、网络工程师可能对相关规定亦缺乏了解。因此,企业应当安排专职人员、设立专职机构负责数据合规工作,规避企业运营中的法律风险。以本案为例,Z公司在后续合规整改过程中即设立了数据安全官,专项负责数据安全及个人信息安全保护工作;同时建立了数据合规委员会,制定常态化合规管理制度,开展合规年度报告。
二、王某某泄露内部信息、金某某内幕交易案
1. 案情简介
广东K电子科技股份有限公司(以下简称“K公司”)长期从事汽车电子产品研发制造,连续多年获国家火炬计划重点高新技术企业称号,创设国家级驰名商标,取得700余项专利及软件著作权,2018年开始打造占地30万平方米、可容纳300余家企业的产业园,已被认定为国家级科技企业孵化器。被告人王某某系K公司副总经理、董事会秘书。
2016年12月,K公司拟向深圳市C科技股份有限公司(以下简称“C公司”)出售全资子公司。2017年1月15日,K公司实际控制人卢某某与C公司时任总经理张某某达成合作意向。同年2月9日,双方正式签署《收购意向协议》,同日下午C公司向深交所进行报备,于次日开始停牌。同年4月7日,C公司发布复牌公告,宣布与K公司终止资产重组。经中国证券监督管理委员会认定,上述收购事项在公开前属于内幕信息,内幕信息敏感期为2017年1月15日至4月7日。被告人王某某作为K公司董事会秘书,自动议开始知悉重组计划,参与重组事项,系内幕信息的知情人员。
2016年12月和2017年2月9日,被告人王某某两次向其好友被告人金某某泄露重组计划和时间进程。被告人金某某获取内幕信息后,为非法获利,于2017年2月9日紧急筹集资金,使用本人证券账户买入C公司股票8.37万股,成交金额人民币411万余元,复牌后陆续卖出,金某某亏损合计人民币50余万元。
2021年8月10日,北京市公安局以王某某、金某某涉嫌内幕交易罪向北京市检察院第二分院(以下简称“市检二分院”)移送审查起诉。审查起诉期间,市检二分院对K公司开展企业合规工作,合规考察结束后结合犯罪事实和企业合规整改情况对被告人提出有期徒刑二年至二年半,适用缓刑,并处罚金的量刑建议,与二被告人签署认罪认罚具结书。2021年12月30日,市检二分院以泄露内幕信息罪、内幕交易罪分别对王某某、金某某提起公诉。2022年1月28日,北京市第二中级法院作出一审判决,认可检察机关指控事实和罪名,认为检察机关开展的合规工作有利于促进企业合法守规经营,优化营商环境,可在量刑时酌情考虑,采纳市检二分院提出的量刑建议,以泄露内幕信息罪判处王某某有期徒刑二年,缓刑二年,并处罚金人民币十万元,以内幕交易罪判处金某某有期徒刑二年,缓刑二年,并处罚金人民币二十万元。
2. 合规启示
资本市场一向是监管最严,对企业合规建设要求最高的商业领域之一。近年来,国家大力打击证券违法犯罪,密集出台了一系列法律法规。如2019年修订,2020年实施的新《证券法》,2021年国办、中办发布的《关于依法从严打击证券违法活动的意见》,同年生效实施的《刑法修正案(十一)》《证券期货违法行为行政处罚办法》,2022年最高法发布的《审理证券市场虚假陈述侵权民事赔偿案件的若干规定》等,可谓是从刑事、民事、行政三方面布下了打击证券违法犯罪行为的“天罗地网”。
在各项国家政策、法律法规等均大大提高了对证券违法行为的查处强度和打击力度的情况下,企业更应加强合规建设,规避证券违法犯罪风险。以本案为例,企业可在以下方面加强合规制度建设:
1)定期从治理结构、经营决策、制度运行等多方面审查企业状况,全方位排查合规风险点。资本市场领域监管严、红线多、处罚重,企业需要定期全面自查,确保彻底规避法律风险。在此过程中,企业亦可寻求第三方专业机构的协助,为企业行稳致远提供坚实保证。如本案中,K公司即是在第三方组织监督、引导下,制定了涵盖组织体系、保密对象、制度重建、运行保障、意识文化以及主体延伸等多个层面的信息保密专项合规计划,并聘请专业合规团队辅导公司逐项完成。
2)就重要信息而言,企业应当建立资本运作信息保密专项制度、信息披露专项制度等。对上市公司而言,重要信息的形成-酝酿-披露是违法违规行为的高发区。在信息公开披露前,如果企业的信息管理、保密制度不到位,很可能为内幕交易行为大开方便之门,亦有可能因信息泄漏而使公司遭受严重损失;而在公开披露信息时,如果不能满足证券法如实披露、准确披露、及时披露的要求,也可能构成虚假陈述、欺诈市场等违法行为。因此,企业应格外重视信息保密、信息披露相关的合规制度建设。
三、江苏F公司、严某某、王某某提供虚假证明文件案
1. 案情简介
被告人严某某、王某某分别是江苏F土地房地产评估咨询有限公司(以下简称F公司)的估价师和总经理。
2019年1月,F公司接受委托为G工贸实业有限公司(以下简称G公司)协议搬迁项目进行征收估价,先是采取整体收益法形成了总价为2.23亿余元的评估报告初稿。为满足G公司要求,王某某要求严某某将涉案地块评估单价提高。严某某在无事实依据的情况下,通过随意调整评估报告中营业收益率,将单价自2.16万元提高至2.38万元,后又经王某某许可,通过加入丈量面积与证载面积差等方式,再次将单价提高到2.4万余元,最终形成的《房屋征收分户估价报告》将房屋评估总价定为2.49亿余元。后相关部门按此评估报告进行拆迁补偿,造成国家经济损失2576万余元。
2021年5月6日,江苏省南京市公安局江宁分局以F公司、严某某、王某某涉嫌提供虚假证明文件罪向南京市江宁区检察院移送审查起诉。2021年6月6日,江宁区检察院依法对严某某、王某某以提供虚假证明文件罪提起公诉。2021年9月17日,南京市江宁区法院以提供虚假证明文件罪判处严某某有期徒刑二年,罚金十万元;判处王某某有期徒刑一年六个月,缓刑二年,罚金八万元。2022年1月30日,江宁区检察院依法对F公司作出不起诉决定。
2. 合规启示
小微企业在治理模式、业务规模、员工数量、资金能力、风险防范等方面与大中型企业存在显著差异。这也意味着小微企业的合规建设工作有其独特的重点、难点。2022年4月发布的《涉案企业合规建设、评估和审查办法(试行)》对小微企业合规审查即作出了特别规定。以本案为例,小微企业可在以下方面加强合规制度建设:
1)小微企业切不可因公司初创、规模较小而对合规工作掉以轻心。F公司从业人员共39人,公司规模较小,运营也有诸多不规范之处。然而,企业规模小并不意味着合规风险小,恰恰相反,如果小微企业忽视合规制度建设工作,不能做到依法合规经营,其同样会面临严峻的经营风险和法律风险。在本案中,F公司在江宁区检察院的指导下,进行了开展风险自查、修订合规计划、设立合规部门、修订员工手册、制定《评估业务合规管理制度》、委托研发线上审批的OA系统、组织开展业务技术规范培训和合规管理制度培训等一系列合规制度建设工作。虽然最终通过了检察院的评估验收,换取对公司的不起诉处理,但公司的正常经营还是因此受到严重影响,主要负责人锒铛入狱。如果企业能防患于未然,主动开展事前合规,本可以避免诸多负面影响。
2)对于小微企业的“简式合规”,要结合企业经营领域及规模特点,既要做到“麻雀虽小,五脏俱全”,也要针对企业主要经营风险重点发力。对于小微企业而言,由于其规模限制,采取适用于中大型企业的全面合规方案可能显得成本过高。此时,小微企业可以参考2022年5月中国中小企业协会发布的《中小企业合规管理体系有效性评价》团体标准,结合自身重点经营领域,构建适合自身的合规体系。同时,考虑到规模限制,在企业内部增设过多专职合规人员可能有冗余,小微企业可以将部分合规制度建设、合规成效评估等工作交由专业第三方机构完成,从而最大化利用自身资源。
(*感谢实习生刘书茗对本文的贡献。)

技术驱动法律,专业成就未来