2017—2018年度,反腐败仍为中国企业遭受境外执法的首要原因,其次是反垄断和反洗钱。
这是9月15日法制日报社中国公司法务研究院和中国贸促会企业权益保护中心、方达律师事务所共同发布的《2017—2018中国年度合规蓝皮书》显示的。此次蓝皮书的发布是连续第三年发布。
境外执法首因是反腐败
蓝皮书通过整理公开信息发现,至少还有超过132家跨国企业目前正在接受美国海外反腐败法FCPA相关的调查,比去年同期接近翻了一倍,涉及约45个行业。蓝皮书认为,未来美国政府对FCPA的执法还会继续。
来自企业的调查问卷也印证了这一点。蓝皮书主笔、方达律师事务所合伙人尹云霞介绍说,约1/3的被执法企业2017年遭受过境外反腐败执法。
境外执法中,2017年有一半企业所遭受的执法类型为行政调查,比例最高;行政处罚方面,受处罚企业的比例由2016年的34%增长到45%。
值得注意的是,企业受到境外刑事调查的比例升高,2017年由2016年的7%增长近4倍,达到27%;其中,公司没有遭受刑事处罚、但个人受到刑事处罚的比例由2016年7%增长2倍至14%。
在反腐败执法原因上,调查问卷显示,境外对医疗健康、TMT、房地产以及批发零售行业反腐败执法力度强,给予交易相对方或者交易相对方个人好处,是遭受境外反腐败执法的主要原因,因此受到反腐败执法的企业及其员工皆为1/2。
调查问卷显示,跨境反腐执法的联动加强。有六分之一的企业在遭受境外反腐败执法后,又引起其他国家执法的联动。
反贿赂为境内执法首因
在境内执法方面,反商业贿赂为首要原因。境内执法的高风险行业是房地产、金融投资、批发零售、医疗健康、制造、TMT。
反不正当竞争法修订后,30%的企业加强了第三方的管控;27%的企业加强了对于商业推广模式的风险审查。
调查显示,国企及其员工被行政或者刑事处罚的比例最高。
政府突击检查是常用的执法手段,但从应对机制上看,中外合资企业和外资企业暂无应对政府突击检查机制的均不到一半,而国企和民企均超过70%。
就行业而言,医疗健康,汽车与能源环保行业均只有不到一半的企业暂无应对政府突击检查的机制,其他行业中比例最高的是房地产,有高达93%的企业暂无应对政府突击检查的机制。
蓝皮书认为,鉴于突击检查愈加成为政府执法的趋势,企业应尽快制定或完善其相应机制。
地产对合规重视程度低
从合规管理体系上看,蓝皮书显示,外资企业合规政策建设较完备,国企和内资企业缺少专门的第三方合规管理政策以及合规尽职调查政策。具备专门的第三方合规管理政策以及合规尽职调查政策的皆不足20%。
从行业看,医疗健康行业企业合规政策建设较完备,金融行业有较高比例存在合规总政策,但是在建立第三方合规政策、针对中国的反商业贿赂手册以及对于对外行贿行为以及内部舞弊行为的管控都是在行业中处于垫底地位,金融投资行业企业合规政策建设薄弱。
尹云霞说,虽然已经有部分企业开始在聘用第三方前对其进行合规尽调,但其使用的尽调方法和手段仍然比较有限。调研选取了7类常见有效的对高风险第三方尽调方法进行了解,结果显示,使用最多的为媒体检索和背景调查。
数据传输意识有所提升
蓝皮书重点对刑事合规风险和数据保护合规进行了分析。蓝皮书显示,自2017年6月1日首部网络安全法施行后,企业对境内外数据传输意识有所提升,个人信息保护意识仍然薄弱。
因网络安全而受到行政执法的企业中,50%的企业是因为侵犯了个人信息受到调查或处罚;还有因为出现不当分享或泄露数据的实物,以及因网络产品和服务存在完全问题未补救有1/3的企业遭遇调查或处罚的。
调查问卷显示,收集数据的企业中,高达89%的企业收集了个人信息。然而,除了66%收集个人信息的企业会在获取信息时获得用户授权,仅有不到36%的企业对个人信息采取了其他保护措施,甚至有9%的企业没有对个人信息采取任何保护措施。
蓝皮书表示,企业在日常经营中,最为典型的网络安全与数据保护违规行为体现于三方面:一是侵犯公民个人信息;二是非法获取计算机系统数据;三是拒不履行信息网络安全管理义务。
数据合规体系能否套用反腐败合规体系的“制度+控制+培训+建立文化”方法?
尹云霞认为,两者在目标和内容上存在较大差别:反腐败合规体系主要目的是防止钱权交易进而影响竞争,要对人的行为进行管控,所以反腐败合规体系力求找到法律和政策的红线。
数据合规体系则主要是“管数据”,在法律上没有如此多的政策和法律红线,合规的方式更不是由律师和合规人士圈定的“安全范围”。
在目的上两者也不同。反腐败合规体系主要力求防止或者避免政府调查、刑事/行政责任(包括罚金)和声誉损失,数据保护合规体系需要覆盖的层面更多,除此之外还要防止数据主体因为企业保护其个人信息不利而进行的诉讼,防止黑客攻击等风险。数据保护合规体系的设计必须跟随着数据的流动、覆盖到数据使用全生命周期的各个环节。
