苏蔚

摘 要：《数据出境安全评估办法》的出台对互联网企业出海合规经营提出了更高的要求，目前虽有较多互联网企业建立了内控体系，但尚未设有明确的首席合规官岗位，或是仅在形式上建立合规官来应对行政机关的外部监管，不利于企业的合规经营。本文对互联网企业设立首席合规官的必要性进行论证，通过对域外合规官的作用进行研究学习来分析本土互联网企业设立合规官的路径及积极作用。

关键词：互联网企业；合规经营；首席合规官；合规路径

一、互联网企业出海合规经营的内外需求

（一）新法出台对互联网企业出海提出合规要求

2022年7月7日，国家网信办发布《数据出境安全评估办法》，在《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的基础上进一步对互联网企业出海经营提出了新的合规要求。中国当前对数据的出境进行了全面的监管，力求维护国家安全、社会公共利益和个人的合法权益。对于企业而言，面对全方面的国内监管和严格的域外制度需根据实际需要持续的更新和加强自身的合规经营才能免受处罚，获取经济利益。

《数据出境安全评估办法》将规制对象限缩为在境内收集网络数据向境外提供的互联网企业。当运营关键基础信息设施的互联网企业或有100万人以上个人信息的互联网企业向域外提供重要数据或大量个人信息时需向对其监管的行政部门申请数据处境安全评估，评估合格的互联网企业方可向域外企业提供数据。监管部门需审核该类互联网企业的以下內容：数据处境的目的、范围和方式是否合规；域外企业是否符合中国的法律要求；域外企业所在国的数据保护法律是否完备；出境数据可能会产生的风险；出境数据的保护措施；出境数据协议中的保护条款是否完备；出境数据是否合规。

《数据出境安全评估办法》第五条与第八条对互联网企业提出的合规要求使得互联网企业必须具有专业的人员和组织来完成评估工作，如果仅依赖企业的法务组织进行审查，则易产生审查片面的问题。而由首席合规官整合合规、法务、财务、审计等部门对此类交易进行审查，则更容易满足网信部门的监管要求。互联网企业首先需理清自身涉及数据出境的业务及相关数据情况，再依据合规管理体系来满足《数据出境安全评估办法》的监管合规要求。

（二）企业高质量发展需建立完善的合规体系

鉴于国内外瞬息万变的新形势，特别是在当前疫情的冲击下，企业的发展必须是科学的发展、健康的发展、高质量的发展，是必须依法合规的发展，否则今天的快速发展可能会为未来埋下隐患，导致受到行政处罚甚至被追究刑事责任。因此，建立合规管理制度，完善企业的各项规章制度非常重要。合规官通过建立完善的合规体系，不断更新企业的管理规章制度，在全企业培养遵守法律法规、合规经营的风气，避免企业可能出现的盲目经营和违规行为，对促进和保障企业又好又快发展将起到积极作用。

（三）企业履行社会责任需要完善的合规体系

企业的合规经营，既是对出资人、债权人和消费者权益保护等利益相关方做出的承诺，又是对国家、社会的长期稳定和发展负责的最直接体现。为此，企业应制定多层次的社会责任战略，要以诚信的态度和专业的技能，依法合规开展业务，切实保障股东、客户及其他利益相关者的利益，真正赢得市场的认可和信赖;要平等对待每一位客户，切实为广大社会公众服务;要“以人为本”，尊重员工，维护员工的合法权益，建立完善的合规流程。对走出国门的企业，要严格遵守法律法规，参与当地公共社会项目;不断提高企业声誉和改善自身形象，实现与当地社会的和谐共赢。

二、域外首席合规官功能分析

（一）合规官的制度来源

合规官制度来源于美国，美国证券交易委员会要求每一家注册的投资公司和投资顾问采取和实施书面政策，并指定一名首席合规官负责管理政策和过程。而合规官属于随意雇佣原则的范围（at-will employment doctrine）合规官可以在协议中谈判条款如：罚款赔偿、判决和和解，但是解雇理由限制和保护不存在，属于自由就业原则。联邦证券法要求公司注册为经纪自营商，投资顾问或投资公司，需指定一名首席合规官负责监督合规工作。企业合规官任命不是法律规定，而是通过推荐和金融监督院推定的任命，所以，公司合规官实践中，有多重头衔，担任多重或双重职务。多年来，合规官的角色已经从单纯的管理、监督角色转变成积极的建议，培训监督和沟通角色。

（二）域外合规官的作用

美国通说认为合规官在工作中需监督企业活动和员工行为，发现和防止不当行为，并与政府合作来与监督机构保持积极开放的关系。美国大约有48%的公司的总法律顾问是首席合规官。合规官通过员工提供的客观信息来分析合规程序是否符合要求并对存在缺陷的合规程序提出修改建议。巴塞尔银行监管委员会认为首席合规官的合规职能是关注商业银行在其经营活动中是否存在违规情形，合规官应当预防商业银行未来可能出现的法律风险。

罗斯沃恩对“合规官”的职责作了如下解释：第一，合规官需指导和协调机构合规部的活动，以确保公司政策和程序符合联邦和州法律、法规和规章。第二，合规官需审查、分析和解释新的或修订的法律、法规和规章，以评估法律或修订对公司机构、政策和程序的影响。第三，合规官需为企业内部新程序和政策的实行制定指导方针并指导实施，以遵守新的和修订的法律法规。第四，合规官需指导设计、修订和重写机构指南、表格、报告和文件，以符合新法律或修订法律的解释。第五，合规官需指导或安排合规培训计划，指导员工遵守新政策和程序。第六，合规官需掌握合规法律的技术知识，并对公司管理人员或员工提出的合规问题提供书面或口头回答。

三、中国首席合规官在互联网企业中的路径分析

首席合规官在企业中的独立地位决定了其可以从宏观到微观来帮助企业合规经营，本文拟从以下三方面来论证首席合规官在互联网企业的合规经营中可发挥的巨大作用。

（一）建构合规体系

首席合规官需为企业建立健全合规管理组织体系，明确合规部门的领导和与业务部门的沟通渠道，在各个部门设置专项合规人员，在企业内部实现合规人员全覆盖，渗透到企业的每个角落。

一个完善的合规管理体系需设有三道防线：一是业务部门需建立事前防范的自我审查和监管机制，在业务进行前就对其进行完整的合规审查；二是法务部门、合规部门和风控部门需建立事中的监督审核机制实现合规监督，形成合规的第二道防线；三是内部审计部门和监察部门需建立事后监督及责任追究机制来对违规的人员进行追责形成合规的第三道防线。合规官领导的合规部门既要发挥事中监督的职责，又需作为企业内部管理与外部监管的桥梁将经营风险与法律风险提供给各部门，为各部门解答疑惑与提供改进建议，最大程度的降低风险。

（二）完善合规流程

合规管理体系需要高效的操作流程来支撑其落地，否则体系规定的再完善也会流于形式。合规流程可以强化合规体系的执行力，改变当前企业内存在的不合规情形。合规流程需覆盖到合规风险的识别、评估、应对等方面，不能依靠一成不变的规定来应对风险，最重要的是有效和针对性，要具体化和可操作，流程应当能够解决实际的问题并且避免相互矛盾。合规官制定的业务规定和操作流程需明确内部制度梳理、整合和修订的规范要求，新制度要有必要的合规预估，在源头上解决合规风险管理的制度基础。合规官要制定一套覆盖所有客户、产品和服务、利益相关方的业务流程并督促企业运行使用，做到凡事有章可循，凡事有据可查，凡事有人负责，凡事有人监督。

（三）培养合规文化

合规官需从理论、规制、精神和表现四个方面帮助企业形成自上而下的合规文化。理论方面合规官应当将合规管理的基础理论包括概念、原则、方法等传达给企业的所有员工。规制方面合规官应当将规范企业合规风险的各类规章制度传达给各业务部门，让员工知悉合规经营需要满足哪些内部规定和外部法律。精神方面合规官需帮助企业形成管理者和员工共同信守的思想观念、价值标准、道德规范和行为方式等理念。表现方面是合规官需设立企业向外传播合规文化的名称、标志、产品、广告、宣传等物质载体。从以上四个方面树立全员合规的文化理念。

四、结语

当前国内外对互联网企业的出海经营提出了更多的合规要求，我国互联网企业在应对严格的监管应当付出更高的成本来建立合规体系，首席合规官的设立可以帮助企业在应对合规风险上更加得心应手，也便于使合规体系免于形式，帮助企业更好的经营，增强国际竞争力。

参考文献：

[1] Weber J ， Wasieleski D M . Corporate Ethics and Compliance Programs： A Report， Analysis and Critique[J]. Journal of Business Ethics， 2013， 112（4）：609-626.

[2]BAER， MIRIAM， HECHLER. GOVERNING CORPORATE COMPLIANCE.[J]. Boston College Law Review， 2009.

[3] Mckendall M ，？？Jones-Rikkers D M . Ethical Compliance Programs and Corporate Illegality： Testing the Assumptions of the Corporate Sentencing Guidelines[J]. Journal of Business Ethics， 2002， 37（4）：367-383.

[4]Kelson， Mark， J， et al. CORPORATE COMPLIANCE.[J]. Insights the Corporate & Securities Law Advisor， 2004.

[5]陈瑞华. 企业合规基本理论[M]. 北京：法律出版社2021.

[6]王志乐. 合规：企业的首要责任[M]. 中国经济出版社， 2010.

[7]华东师范大学企业合规研究中心：企业合规讲义[M].中国法制出版社.2018.

[8]郑喆. 加强农发行合规文化建设的思考[C]// 中部崛起与企业文化战略——中部地区优秀企业文化理论成果集. 0.[9]王志乐. 合规：企业的首要责任：first priority of corporate responsibilities[M]. 中國经济出版社， 2010.

[10]马祥. 加强合规文化建设的思考[J]. 现代金融， 2007（5）：2.

[11]陆红胜. YZ农村商业银行农户贷款风险管理研究[D]. 扬州大学.

[12]上海银监局课题组. 中资银行合规风险管理机制建设研究[J]. 新金融， 2005.

作者简介：苏蔚，华东政法大学经济法学院经济法学研究生。