自2017年起,美国司法部(Department of Justice, DOJ)通过执法政策的制定、更新等,确立了其在《反海外腐败法》(Foreign Corrupt Practices Act,FCPA)相关执法中对即时通讯软件运用于工作场景下的初步管控原则。2023年3月,DOJ发布了一系列与企业合规计划相关的指南更新,其中包括《企业合规计划评估》(Evaluation of Corporate Compliance Programs),该政策阐明了DOJ在评估企业合规计划中针对个人设备、通讯平台,以及消息应用程序所制定的政策时所使用的维度及方法。企业可广泛地从相关政策中了解DOJ对此类工具的关注点,这将有利于相关企业及时发现并评估相关合规风险。
一、政策重要调整追踪
总体上来说,DOJ对即时通讯软件的执法政策经历了从“完全禁止”到“合理管控”的变化,并在此基础上,对企业就此类工具进行管控的评估方法进行了细化。
具体而言,DOJ于2017年年底发布了《FCPA企业执法政策》(FCPA Corporate Enforcement Policy)。该政策以2016年4月生效的 FCPA 试点计划(FCPA Pilot Program)为基础,进一步鼓励企业在执法机关发起调查之前及调查过程中进行主动披露和积极配合,以及采取适当和及时的补救措施等,以获取执法机关减轻处罚或合规不起诉等举措。2017年该执法政策要求企业“禁止员工使用可以生成但不适当留存业务记录或沟通的软件。”也就是在当时,DOJ对相关软件的使用实际是持完全禁止的态度。2019年,DOJ对该执法政策进行了更新,过度到“合理管控”的执法阶段,具体体现在9-47.120 3C中。该条规定,企业应当“对个人通信(Personal Communications)和即时消息传递平台(Ephemeral Messaging Platforms)的使用实施适当的指导和管控,以免损害公司适当保留业务记录或通信,或以其他方式遵守公司的文件保留政策或法律义务的能力”。
2023年3月更新后的《企业合规计划评估》细化了执法要求,进一步体现了DOJ的政策调整。《企业合规计划评估》指出,“在评估企业用于识别、报告、调查和补救潜在不当行为和违法行为的政策和机制时”,执法机构“应考虑企业管理个人设备(Personal Devices)、通讯平台(Communications Platforms), 以及消息应用程序(Messaging Applications),包括即时消息应用程序(Ephemeral Messaging Applications)使用的政策和程序。”从该条款可以看出,DOJ不仅关注到了相关平台和程序在企业业务中的应用,也同时将个人设备的使用纳入到了执法评估的范畴。且DOJ明确其在执法过程中会对企业所设定的政策和程序两方面进行评估,具体体现为,对管控该类程序的政策进行了原则性的要求,即应当“根据企业的风险状况和具体业务需求进行定制,并确保在适当的情况下,在最大程度上,与业务相关的电子数据和通信可供公司访问和保存”,且在具体案件中,其会考虑企业是“如何向员工传达政策和程序,以及企业在实践中是否定期、一致地执行这些政策和程序”。
二、政策变化原因分析
1. 新模式下记录保存的要求
传统工作场景下,企业政策试图通过禁止使用不受企业保留政策约束的未经批准的通信方法(例如个人电子邮件、短信等)来保持工作和个人设备之间的界限,所配套的合规管控措施是建立在该界限明确且有效的假设之上的。在此假设下,支持遵守记录保存义务的流程和技术专注于企业电子邮件、传统通讯模式等场景,随之而设立的合规政策也是在此逻辑框架下进行构建的。
但是,新的工作模式,特别是互联网经济规模不断壮大,极大地挑战了FCPA下记录保存的合规性要求。通讯平台及消息传递等应用程序的使用普及率大幅提升,且功能越来越丰富,括实时消息传递、语音功能、视频功能、协同办公工具等。特别是在疫情期间,线上办公需求激增,极大地推进了相关软件在工作场景下的部署。通过在工作环境中使用此类技术,使员工可以享受其所带来的便利性,企业亦可节约办公成本。DOJ也对工作环境的变化表示了关注,认为“消息传递应用程序已在许多市场中变得无处不在,并为企业实现增长和促进沟通提供了重要平台”。随着工作模式的更新、迭代,个人通讯手段在不断浸入传统的工作场景,即使企业禁止使用该类协作应用程序,员工服从工作便利性的需求也会选择牺牲合规性义务的要求。
技术的原因也同时加剧了这种挑战。个人通信和即时通讯程序通常通过移动设备访问,因上述应用程序强调安全通信和免受监控,其用户可以随时自主选择删除全部或部分对话历史记录,且平台可以使用加密技术或是向用户提供定期自动删除等选项,这些都对工作场景下的数据获取及保存提出了极大挑战。特别是当员工在个人设备或没有适当安全和技术管控的设备上使用这些应用程序时,相当于处于监管的真空状态,因此员工极有可能会使用个人设备和第三方消息应用程序从事不当行为。此类通信通常不受企业控制,因此企业及监管者很难预防和发现任何此类不当行为。FCPA的相关执法行动和DOJ领导层的政策演讲或备忘录都表明了对新模式下记录保存的关注,并最终落脚到了审查企业是否已确保保存来自个人通讯和即时通讯程序的数据以供合规和调查之用,DOJ会将企业员工在即时聊天软件上的沟通记录作为FCPA调查以及刑事案件的重要信息来源,这也就反映在了《企业合规计划评估》中。
2. 新挑战中合规执法的期待
FCPA下违法案件的属性导致记录保存对于发现和固定违规行为事实是极为重要的,同时也是极有难度的。在此类案件中,违规者基于理性人的判断通常可以有效识别到其所从事的行为是否存在违法的可能性。因此,被调查对象的反侦察能力普遍较高,违规行为通常也较为隐蔽,这导致通过电脑镜像、审阅企业账号邮件等传统调查手段发现违规事实的可能性已经在逐步降低。例如,在原某公司中国子公司负责人李某某的案件中,李某某及公司另一位高管批准在10年间向有关政府官员行贿,以促进和扩大该公司的业务。同时采取策略以避免相关国家的监管审查。在监管部门开展调查后,李某某在明确知晓调查的情况下,在公司发放的笔记本中安装了“擦除应用程序”,其使用该应用程序一次性从笔记本电脑中删除200多个文件,且使已删除的文件无法恢复。[1]可以想象在这类案件中,调查人员首先需具备足够的知识储备和办案经验才能发现文件被删除的事实,且在其后的数据恢复过程中所需解决的技术问题也较为复杂,执法链条中任何一个环节的缺失都将导致证据难以被发现及固定。针对此类案件的特性,DOJ当然期望企业设立切实有效的合规计划,使得员工能够有效执行记录保存的义务。这样将有助于执法机关节约执法成本,合理配置司法资源。
同时,执法者所面临的新挑战是,员工依赖通讯平台、消息应用程序等处理工作事务的比例在不断提升。由于这些平台的特性导致使用者可以随时对存储的信息进行撤回、删除等操作,该类软件的普遍使用使得违法行为人实现反侦察手段的技术门槛降低。当包含这些通讯平台的设备为个人设备时,企业要求员工提供上述设备存在合法性问题。同时,由于私人生活与工作界面在信息存储上的界限不断模糊,因此如何在收集证据的过程中剥离个人数据、敏感数据等特殊数据也存在较多障碍。综合以上原因,不论是在此类案件的外部调查还是企业内部调查中,采证的难度、合法性等都存在较多障碍。因此,固守原一刀切式的政策指引对于执法者来说固然更便利,但可能造成企业面对不断增加的营收压力和守法成本而不得不选择牺牲合规义务,进而造成企业发生系统性违规的局面。特别针对处于腐败高风险行业的企业,2022年受FCPA执法的8家企业中,至少5家企业涉及制造业,3家企业涉及高科技行业,此外还有航空业、环保业、电信业[2],显然执法机关期待此类企业其对于员工使用即时聊天软件的行为作出更为严格的管控。2023年更新后的《企业合规计划评估》将针对个人设备、即时通讯软件的治理权限交到企业这一侧,要求企业根据自身状况和业务形态对上述领域的数据进行保存,并提供访问路径。这也表明了DOJ在之后的调查中更多地会从沟通渠道、政策环境以及风险管理三个维度来审视企业的合规体系,以这样的方式来倒推企业对该部分数据进行切实可行的合规治理。
三、政策更新应对策略
DOJ在《企业合规计划评估》罗列了企业在制定合规政策时就个人设备和即时通讯软件可以考虑的方向。条款具体内容如下:
1. 沟通渠道——公司及其员工使用或允许使用哪些电子沟通渠道来开展业务?这种做法如何因司法管辖区和业务职能而异,以及产生这种差异的原因是什么?公司采取了哪些机制来管理和保存每个电子通信渠道中包含的信息?每个沟通渠道下的每个员工都可以使用哪些保留或删除设置,公司的政策对每个渠道有何要求?公司确定允许哪些沟通渠道和设置的方法的理由是什么?
2. 政策环境——制定了哪些政策和程序来确保更换的设备中的通信和其他数据得以保留?管理组织确保安全或监控/访问业务相关通信的能力的相关行为准则、隐私、安全和就业法律或政策有哪些?如果公司有“自带设备”(Bring Your Own Device,BYOD)计划,其管理个人设备上存储的公司数据和通信(包括消息传递平台中包含的数据)的保存和访问的政策是什么,以及这些政策背后的理由是什么?公司的数据保留和商业行为政策是如何针对个人设备和消息应用程序应用和执行的?组织的政策是否允许公司审查BYOD和/或消息应用程序上的业务通信?组织允许这些政策有哪些例外或限制?如果公司制定了关于员工是否应将私人电话或消息应用程序中的消息、数据和信息传输到公司记录保存系统以保存和保留它们的政策,那么该政策在实践中是否得到遵循,以及如何执行?
3. 风险管理——员工拒绝公司获取公司通讯的后果是什么?公司是否行使过这些权利?公司是否对不遵守向公司授予这些通信权限的政策或要求的员工进行了纪律处分? 使用个人设备或消息应用程序(包括临时消息应用程序)是否会以任何方式损害组织的合规计划或其进行内部调查或响应检察官、民事执法或监管机构请求的能力?组织如何管理安全并控制用于处理组织事务的通信渠道?组织允许和管理通信渠道(包括BYOD和消息应用程序)的方法在公司业务需求和风险状况的背景下是否合理?[3]
根据DOJ在《公司合规计划评估》中所表达的执法期待,企业显然不能仅依靠相对笼统的规定来处理与个人设备及即时通讯软件相关的合规问题了。总体来说,企业应当根据业务开展的司法管辖区、所属的行业等,以风险为导向,将对相关执法政策的理解转换为适合企业的合规政策。例如,在平衡业务体量及财务预算的基础上,企业可以考虑针对敏感岗位、关键岗位等相关人员提供设备,并要求员工根据合规政策的指引对相关通讯记录予以保存;同时配合技术手段,使企业具备可以从后台调取相关数据的可能,并有效实现个人数据与业务数据的剥离。当然,在企业无法完全提供设备的情况下,企业也不应当漠视员工对于新办公模式的需求。作者认为,企业应当允许员工使用个人设备,也应当适当地允许员工使用个人设备或消息应用程序处理合理的工作内容。在这种场景下,企业应当在合规政策中设置合适的指引,要求员工按照合理的方式、频次等将与工作内容相关的记录保存到公司系统中,以使得企业在必要的情况下能够获取相关的记录。与此同时,企业应当协同反商业贿赂合规、数据安全合规以及IT等相关部门的资源,对企业获取相关通讯的合法性、合理性途径予以设置及监控。企业在识别到相关风险信号的时候,应当在保证独立性的前提下,推动内部调查以查明是否存在相关违规行为,对违规行为人作出处罚,以达到警示效果;在内部调查中需要同时审视合规政策是否存在可提升、可优化的空间,以第三道防线积极推动公司合规体系的建设。
脚注
[1] 一家多层次直销公司中国子公司的两名前高管被指控计划向国外行贿并规避内部会计控制,详见https://www.justice.gov/opa/pr/two-former-executives-china-subsidiary-multi-level-marketing-company-charged-scheme-pay
[2] 2022年美国《反海外腐败法》年度观察,详见http://www.glo.com.cn/Content/2023/01-19/1402118215.html
[3] 《企业合规计划评估》,P17-18
本文作者:F.JY
免责声明
本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证;
本文仅为分享、交流、学习之目的,任何人都不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。
声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
