企業(yè)管理者必修課:組織法制化與法律責任分析
2020-12-24
一、前言
一家知名奶粉企業(yè)的某地銷售團隊“聰明能干”�����,想到:如果與醫(yī)院婦產(chǎn)科��、育兒嫂機構(gòu)等交上朋友����,就能掌握嬰幼兒家庭信息,市場推廣工作就可以做到“精準”���。想到就做���。不久,一群警察來到公司......
這不是偵探片���,而是一個涉嫌侵犯公民個人信息罪的真實案例����。
事情的后來:員工聲稱是按企業(yè)的要求行事���,因此屬于單位犯罪�,應由單位承擔責任��。而單位稱不知情����。
如果最終認定為單位犯罪,決策者就要承擔責任����。而如果企業(yè)建立了相應組織和制度�����,處境就比較有利����。
這個案例提示的不僅是“個人信息保護”這個課題���。其中包含了一個新的企業(yè)管理問題——企業(yè)組織法制化���。近三年中,這一趨勢明顯增強:對企業(yè)的組織管理提出明確要求的法律越來越多了����。
當然,我們不是在說《公司法》或《證券法》這類對企業(yè)提出宏觀治理要求的法律���。而是在說��,有很多法律已對企業(yè)提出(相對于董事會����、監(jiān)事會這類宏觀機構(gòu)而言的)微觀層面的管理要求�。
因為這一趨勢,人們通常認為的“如何設(shè)計自己的組織�、如何管理自己的員工、如何組織自己的運營等��,是企業(yè)自己的事情”這樣一種觀點����,已經(jīng)不完全“法律正確”了。
最新的例子是網(wǎng)絡(luò)安全法�、個人信息保護法、出口管制法等���。個人信息保護�,雖尚未有專門法律誕生��,但已有幾部法律從各自角度提出了要求�����,比如《刑法》第286條之一第一款第二項����。而類似于《北京市生產(chǎn)經(jīng)營單位安全總監(jiān)制度實施辦法》這樣的規(guī)范性文件,則通過使法律規(guī)定“更為可操作”的方式,加強了企業(yè)組織法制化的趨勢�����。
從社會經(jīng)濟學的角度��,這一趨勢似乎是一定經(jīng)濟發(fā)展階段的某種反應——隨著經(jīng)濟體量的增大���,企業(yè)組織作為社會組織單元的影響越來越大�,故立法者賦予他們一部分社會秩序管理責任����。
本文將換一種角度,從法律技術(shù)層面對企業(yè)組織法制化圖景做些解說�,供企業(yè)管理者參考。
二�����、懲罰取向立法和激勵取向立法
目前看��,大部分法律的要求���,是采懲罰性取向的�����,即:如果不滿足相應的要求�,企業(yè)以及企業(yè)的相應人員要承擔責任����。比如前文提到的《刑法》第286條之一規(guī)定:如果企業(yè)拒不履行信息網(wǎng)絡(luò)安全管理義務(wù),致使用戶信息泄露“情節(jié)嚴重的”��,單位判處罰金外�,直接負責的主管或其他直接責任人要處三年以下徒刑。
什么是“情節(jié)嚴重”���?根據(jù)2019年11月1日生效的“信息網(wǎng)絡(luò)安全管理責任”司法解釋���,在某些情況下,泄露用戶信息500條就屬于情節(jié)嚴重����。
但是,有的法律則采激勵性取向——不滿足要求的����,沒有處罰����;但滿足要求的��,則給予激勵�,比如《出口管制法》第14條。該條規(guī)定�,相應企業(yè)建立“內(nèi)部合規(guī)制度,且運行情況良好的”����,監(jiān)管部門可以“給予通用許可等便利措施”——通過給予便利措施來激勵企業(yè)加強組織能力建設(shè),以達到加強出口管制這一立法目的����。
三、實務(wù)分析制度����、設(shè)施、人�����、培訓�,一樣都不能少
對企業(yè)管理提出了微觀要求的法律十分龐雜��。但一言以蔽之����,法律的要求是“企業(yè)要具備和發(fā)展出管理相應事務(wù)的組織能力”�。
比如,前文提到的《出口管制法》第14條所提出的“運行良好的合規(guī)制度”��,以及《刑法》286之一提出的“履行信息網(wǎng)絡(luò)安全管理義務(wù)”���,都是如此。而《北京市生產(chǎn)經(jīng)營單位安全總監(jiān)制度實施辦法》則更直白:生產(chǎn)經(jīng)營企業(yè)必須設(shè)立“安全總監(jiān)”這樣一個職位��。
那么����,在什么情況下,企業(yè)算是“具備和發(fā)展出”相應組織能力了呢��?不同法律的規(guī)定或表述不同�����。但要而言之���,這種能力至少包括了四個方面:
1. 制訂了符合相應水平的管理制度���;
2. 配備了適當?shù)幕A(chǔ)設(shè)施���;
3. 任用了相應資質(zhì)的人;
4. 制訂了有效培訓制度�����。
這四個方面是互相聯(lián)系的�����。沒有制度自然不能叫有組織能力�����,而沒有能有效執(zhí)行制度的人��,當然也不能叫有組織能力�。同樣,若沒有相應的基礎(chǔ)設(shè)施——比如�,企業(yè)沒有采購相應的安全監(jiān)控設(shè)施,或者使用的加密系統(tǒng)達不到要求����,那么企業(yè)從業(yè)人員空手拿著制度文件干瞪眼���,是無法執(zhí)行制度的。而法律和社會實踐都是發(fā)展的�,組織能力因此需要跟著發(fā)展。因此����,對企業(yè)相應的人員進行相應的培訓,也是“組織能力”建設(shè)的題中之義���。
除此之外,需要注意的是����,為了避免企業(yè)制度形同虛設(shè),許多法律對相應管理機構(gòu)和人員做了“獨立性”的規(guī)定��。企業(yè)董事����、總經(jīng)理、高管以及相應從業(yè)人員如果違背了獨立性要求����,同樣是未達到法制要求的證據(jù)���。
四、不要忘了勞動法
我們已經(jīng)提到了幾個法律的名稱���。但是���,我們不得不再加一個:勞動法。當然這里是指廣義的勞動法體系�。
我們討論的是企業(yè)的微觀組織管理問題,而規(guī)范企業(yè)微觀組織管理問題的基本法律��,就是勞動法���。所以�,如果不把握勞動法的要求����,以上那些都是紙上談兵,無法落地�����。
比如,你制訂了相應的生產(chǎn)安全管理制度���,員工違反了制度���,你處罰了員工。你在做生產(chǎn)安全法要求你做的一切�����,但不幸的是你忘記了勞動法�,你的處罰行為沒有滿足勞動法的要求,你很可能必須因此向員工賠一大筆錢�����。
甚至�����,又比如�����,你設(shè)立了信息網(wǎng)絡(luò)安全管理機構(gòu)�、配備了人員,制訂了有力的制度�,但因為沒有滿足勞動法的要求,你的制度對員工是無效的�����。而因為你的制度無效�,所以你也就沒有制訂制度,也就沒有滿足法制要求��。
聽著確實有些繞口���。但是����,正如本文開篇說過的��,企業(yè)組織法制化議題的法律背景也確實寬闊����。
而這還是在我們沒有提及一些行業(yè)監(jiān)管法律的特別要求的前提之下。在為具體企業(yè)解決規(guī)劃組織方案時����,行業(yè)監(jiān)管法律是必須考慮的�����。
五���、企業(yè)有關(guān)人員及責任
我們已經(jīng)或多或少地提到了企業(yè)人員的責任。不過�,歸納一個清單仍可能是有益的參考:
1. 董事、高管���、實控人����,即決策人���。法律當中通常表述為“(對相應事務(wù))負直接責任的主管人員”��。決策者的責任大小,與其是否能證明其積極建設(shè)和發(fā)展了組織能力有莫大的關(guān)系��。
2. 操作人員�����。法律當中通常表述為“有直接責任的人員”。具體操作者的責任大小�����,與其是否違背了相應制度有關(guān)����。
3. 總監(jiān)。在一些大型組織中��,組織架構(gòu)十分復雜��。在決策者與一線團隊之間���,尚存在一個有決策權(quán)或有部分決策權(quán)的總監(jiān)層級�����。這一層是否會代替頂層的人承擔“領(lǐng)導責任”�����,要視具體情形將法律要求�、企業(yè)具體制度、日常管理實務(wù)中的授權(quán)機制結(jié)合起來看�����。若法律明確規(guī)定了要由法定代表人或?qū)嵖厝素撊骖I(lǐng)導責任�,則總監(jiān)層即使有意也無法“扛事兒”。
4. 若因操作人員按照企業(yè)有缺陷的制度行事而發(fā)生風險事件�,則位高者責重。
法律之所以提出企業(yè)組織法制化的要求��,正是因為相應事務(wù)若管理不好�,會有莫大的社會危害。因此��,很多情況下�����,提出組織法制化要求的法律��,都提出了刑事責任�����。而我們知道�,企業(yè)市場競爭能力的根本還是人。若人被“端”了����,企業(yè)的相應功能很可能就會癱瘓。
因此��,對這一問題���,企業(yè)不可不加以注意�。
