合规内部调查：如何避免因不当取证引发次生合规风险-资讯中心-商务调查

资讯中心

合规内部调查：如何避免因不当取证引发次生合规风险

如何看待内部调查中的证据
在谈论内部调查所涉及的法律风险之前，我们不妨先简单了解一下内部调查常见的证据形式及其法律性质。
1. 调查内容的常见证据形式
尽管内部调查系由公司自行开展的一种公司治理手段，有别于国家机关实施的侦查活动，但由于内部调查最终服务于后续的民事（劳动）、刑事法律程序，故两者在证明内容与标准上具有高度共通性。具体而言，内部调查大体围绕危害后果、违规行为、责任主体、主观过错等四个维度展开取证工作。尽管一部分证据可以通过信息检索、文件审阅等方式从公开渠道获取，但是在绝大多数内部调查事项中，公司所能提供的证据远远不能满足后续法律程序的需求，尤其是有关违规行为及主观错过等核心证据，而该类证据的充分与否往往决定了内部调查的成败。
基于反侦查意识，违规员工往往竭尽所能掩饰违规事实，但随着数字化信息技术的广泛应用，大量证据被违规员工有意或无意地通过电子数据留存下来。对于内部调查而言，信息数据化既是机遇也是挑战。谓之机遇，在于众多以往无法或很难用证据固定的违规行为均留有电子痕迹；谓之挑战，在于该类证据通常以QQ、微信、钉钉、电子邮箱、转账记录为信息载体，存储在工作或个人电脑、手机或者移动存储设备中，而这类信息有可能被纳入个人信息甚至隐私的范畴。
2. 常见证据的法律性质
《民法典》人格权编第六章对隐私权作出规定，明确“隐私是自然人的私人生活安宁和不愿为他人所知晓的私密空间、私密活动、私密信息”；同时，《民法典》列举了侵害他人隐私权的主要行为，并基于人格权请求权和侵权损害赔偿请求权构建了侵犯隐私权的责任体系。在司法实践中，诸多审判机关判定QQ、微信、钉钉等即时通信软件（以下均以“微信”指代该等即时通信软件）的通信记录以及私人邮箱内的往来信件均属于隐私，即使上述应用程序及内容留存在公司配发的工作电脑上，只要用人单位未经权利人的同意查看、复制或使用，均视为侵犯隐私权的行为。 [1]
由此可见，虽然信息化技术的普及在客观上为内部调查提供了体量极为可观的证据或线索，但是由于法律为保护隐私与个人信息设置了一道红线，倘若公司在内部调查过程中采取了不当的调查手段或者尺度过限，公司很有可能因侵犯隐私权或不当处理个人信息被追究法律责任。
如何评价不当的取证行为
如前所述，内部调查取证的目的决定了公司不遗余力地获取充足的证据以达到民事（劳动）、刑事法律的证明内容与标准，而违规员工的微信、电子邮件等内容系为数不多的可以证明其主观罪过、违规行为的客观证据。因此，公司希冀通过获取上述关键证据寻找内部调查的突破口。
然而，无论合规律师抑或公司合规官，均不享有公权力以要求违规员工披露微信、邮件等通信内容，且违规员工在一般情况下也缺乏主动、自愿披露上述内容的动力，因此内部调查取证的强烈需求与调查手段及尺度的有限性之间的矛盾关系极为突出。
1. 存在争议的不当取证行为的示例
我们注意到部分公司为了调查员工是否实施或参与违规行为而在未经被调查员工同意的情况下通过下列途径获取、使用相关证据，而这些行为可能会被认为不当取证行为。
收集公司配发的电脑、手机或移动存储设备并制作镜像，逐一查阅、排查该设备内存储的所有内容，包括员工的微信记录及个人邮箱信件；
以维修设备为借口，查阅、复制员工在其工作电脑或手机端留存的所有内容，包括员工的微信、短信、电话通讯记录及个人邮箱信件；
通过程序对员工的工作电脑进行远程控制，查阅、排查工作电脑内存储的所有内容，包括员工的微信记录及个人邮箱信件；
通过程序对员工使用工作手机的通话予以录音，并在回收工作手机后对通话信息予以数据恢复；
使用胁迫等手段要求员工提交或由公司查阅员工个人手机、电脑等设备中的信息；
调取员工的银行转账记录、电话通讯记录、行动轨迹等信息；
明知他人通过上述手段获取员工的相关信息，公司使用或对外披露该信息。
上述常见取证方式具备相似的行为特征，即未经被调查员工的同意，擅自查阅、复制、对第三人或机构披露被调查员工留存在微信、电子邮箱中的信息以及短信、通话记录等，即使上述信息留存于公司配发的工作电脑、手机等电子设备中。诚然，我们通过检索亦发现某些法院判定“办公电脑的使用空间是公开的，……而公司对员工办公电脑中QQ、微信聊天记录进行下载、证据保全不属于向社会公众公开”， [2] 但是从风险防控的视角出发，我们必须承认如果公司未经权利人同意，实施上述取证行为确实存在因侵犯隐私权或不当处理个人信息而被追究法律责任的风险。
2.严重不当取证行为可能引发的直接法律责任
当然，本文所指代的法律责任绝不仅仅是民事侵权责任。公司应当对于上述行为所引发的法律后果有一个全面、清晰的认识，公司可能面临的不利法律后果一方面来自于不当的取证行为本身，而另一方面则在于不当的取证行为可能导致该证据的合法性遭到质疑。
不当的调查取证行为本身可能触发的法律责任包括：
民事责任。《民法典》和《个人信息保护法》均明确规定了侵犯隐私权以及违法处理个人信息的民事侵权责任。因此，被调查员工或者人民检察院等相关组织有权就公司不当取证行为本身主张权利或者提起公益诉讼，要求公司承担侵权责任。
行政责任。《个人信息保护法》第六十六条规定，违反规定处理个人信息，由履行个人信息保护职责的部门作出行政处罚，最严可至吊销营业执照，对直接负责的主管人员和其他直接责任人员最高可处一百万元罚款并限期禁止从业。同时，该法第六十七条规定了相关违法行为应记入信用档案并予以公示。
刑事责任。倘若公司将在内部调查过程中获得的个人信息出售或者提供给他人，达到情节严重的标准，则司法机关有权依照《刑法》第二百五十三条之一侵犯公民个人信息罪追究涉案单位、直接负责的主管人员和其他直接责任人员的刑事责任。
3. 不当取证行为可能引发的间接法律后果
如若公司基于其内部调查所获取的证据与事实发现，对违规员工提起民事或者刑事诉讼；或者对违规员工作出辞退或开除处理后，该员工就此申请劳动仲裁和（或）提起诉讼，则该员工很有可能在仲裁和（或）诉讼过程中质疑内部调查所取得证据的合法性，最终导致公司败诉。由于各法律领域对证据的合法性要求规定不一，因此我们按照不同法律程序分述不当取证对仲裁、诉讼的影响。
民事诉讼。《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》（“《民诉解释》”）第一百零六条规定，对以严重侵害他人合法权益、违反法律禁止性规定或者严重违背公序良俗的方法形成或者获取的证据，不得作为认定案件事实的根据。因此，如果公司欲就员工的违规行为提起民事诉讼并主张经济损失，则法院可能不采纳通过侵害员工隐私权、个人信息权益的方法获得的证据，并最终驳回诉讼请求。
劳动仲裁与诉讼。由于劳动仲裁与劳动诉讼程序中证据合法性的评判标准基本上适用《民事解释》第一百零六条的规定，因此，如若公司基于其内部调查所获取的证据与事实发现，对违规员工作出辞退或开除处理，该员工可能就此申请劳动仲裁和（或）劳动诉讼，裁判机关可能以调查手段侵犯员工隐私权为由不认可所获取证据的合法性，从而否定开除或辞退行为的合法性，并判定公司承担违法解除劳动合同的赔偿责任。 [3]
刑事诉讼。《刑事诉讼法》第五十二条规定，审判人员、检察人员、侦查人员必须依照法定程序收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。同时，《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第一百一十二条对收集、提取电子数据的合法性审查作出专门的规定。由此可见，刑事诉讼中的证据应当由司法机关依法收集，故公司在内部调查中所获得的证据需要经司法机关调取才能“转化”为刑事证据。司法机关为了履行法定职责，有权向有关单位和个人收集、调取证据，因此司法机关可以直接要求违规员工提供微信、电子邮件等信息，无需取得个人同意，只需对涉及隐私的内容保密即可。
特别需要说明的是，刑事诉讼法未明确要求报案人、控告人、举报人所提交的材料必须具备合法性，因此公安机关一般会接受并审查公司提交的所有报案材料，即使该等证据材料的取得侵犯了被调查员工的隐私权、个人信息权益。
如何降低内部调查的合规风险
鉴于我国立法不断加强对隐私与个人信息的保护，并且司法案例显示公司可能因其内部调查的不当取证面临多重法律责任，因此公司应当重新审视其合规措施自身的合规性，避免引发次生合规风险。我们在此就降低调查取证的合规风险提出三个维度的建议。
1. 增设相关约束性条款，确保公司占据主动地位
由于被调查员工与公司的法律关系是通过劳动合同等规范性文件建立起来的，因此公司可以通过事先在员工手册等文件中增加约束性条款，创设或宣告公司在内部调查中所享有的权利。当然，约束性条款所涉及的权利、义务不得与我国法律规定相冲突。一般而言，我们建议公司针对下列对象增设三种约束性条款。
（1）创设员工在内部调查程序中的权利义务。我们注意到多数公司所颁行的员工手册一般会明文规定触发惩戒以及解除劳动合同的具体事由，而未规定内部调查程序及该程序中被调查员工的权利义务。我们建议公司可以增设下列条款：
公司可以要求员工在被调查期间暂停工作并带薪休假；
员工具有配合内部调查的义务，并有义务提交相关工作文件；以及
员工违反上述配合义务的罚则。
（2）重申公司对配发的电子设备的所有权及使用限制。我们建议公司在IT政策文件中明确规定下列内容：
公司配发的工作电脑、手机或者移动存储设备及存储的信息均归公司所有；
公司基于管理、安全等需求会持续远程监测上述电子设备并抓取数据；以及
禁止员工在上述电子设备中存储与工作无关的信息，包括但不限于个人信息。
上述IT政策对于侵犯个人信息权益的主张形成有效的抗辩。
（3）创设针对供应商的反腐败条款。除了增加被调查员工在内部调查中的配合义务外，不少公司开始尝试在与供应商签订的合同中增设反腐败条款，强化内部调查的手段。该条款核心内容包括：
禁止供应商及相关人员从事任何违反反腐败法律的行为；
供应商有义务保存财务记录及资料；
公司享有查阅上述文件、进行反腐败审计等权利；
供应商具有配合反腐败审计与调查、接受公司及其委托的第三方专业机构访谈等义务；以及
违反上述义务的罚则。
2. 规范个人信息的取证行为，防止公司触犯红线
对于员工个人电子设备中存储的微信、电子邮件等信息，以及对于尚未建立完整IT政策的公司配发给员工的电子设备中存储的上述信息而言，由于上述两类信息可能被纳入隐私或个人信息的范畴，故公司应当约束其调查取证行为，我们建议采取如下措施：
（1）检视个人信息必须征得员工的事前同意。由于个人信息本身的敏感性且该信息在法律上可能招致对员工的不利后果，故劝说被调查员工向公司披露其个人信息是一项艰巨的任务。然而，我们在参与大量的内部调查项目中发现，这并非是不可完成的。我们总结出一些行之有效的方式，供公司参考：
向员工解释，收集的微信记录、电子邮件等仅为调查目的使用；公司原则上仅会审阅关键词命中的文件而并非查看所有通信记录；公司会合理使用相关信息，无关的信息会在调查结束后被删除；
如若员工仍不同意公司检视其个人信息，公司可以当着员工的面用关键词搜索微信、电子邮件中的相关记录；或者让员工自行导出与工作相关的微信、电子邮件等记录。
（2）聘请第三方专业机构对电子设备中的员工个人信息制作镜像并通过关键词检索证据。我们建议公司聘请第三方专业机构提取并检视员工的个人信息，并要求第三方专业机构签署保密协议。这一安排的好处在于：
消除员工对于公司内部可能通过检视其电子设备从而知悉其隐私或个人信息泄露的担忧；
专业机构在处理个人信息方面具有更强的合规要求与更专业的检索方法；
通过聘请专业机构，可以对员工潜在的侵犯隐私、个人信息权益主张形成有效的抗辩。
（3）保护公司获得的个人信息。公司应该建立个人信息相关证据的保密机制，包括：
对个人信息采取物理性保密，譬如使用加密存储设备、保险箱等；
对检视个人信息相关证据的人员范围进行界定，并通过程序留存处理涉密信息的电子足迹；
要求相关人员签署保密协议并建立追责机制。
3. 注重对取证流程的固证留痕，减少合规措施的合规风险
我们在大量内部调查项目中发现，即使员工事前同意公司的取证请求，事后仍有可能主张公司没有征得其同意或其同意系出于公司的胁迫、欺诈等行为。鉴于此，我们建议公司对取证流程本身做好固定证据工作，大体包括：
（1）将相关政策性条款及IT政策送达全体员工并要求签字确认。我们通常遇到员工主张公司从未出台或者未向其告知相关政策，并以此作为违反该政策的抗辩事由，而上述告知送达程序可以有效对抗员工的该等主张。
（2）对取证过程进行全程同步录音录像。我们建议公司重点对两方面事项进行全程同步录音录像：
征得员工同意的全过程，以证明同意系员工的自由意思表示；
查阅其微信、电子邮件等个人信息的全过程，以证明公司系围绕被调查事项检阅与工作相关的信息内容。
（3）要求员工签署同意函。员工同意函应该涵盖下述事项：
员工同意对其使用的电子设备制作镜像以及就上述设备储存的信息用于内部调查及政府调查；
员工同意将该等信息传输给第三方并用于数据处理；
员工知悉并确认公司就实现目的而检查、删除、传送的内容可能包括调查范围外的其他个人信息。

上一篇: 打假网：职业打假人知假买假怎么办？ 下一篇: 什么是尽职调查？为什么要进行尽职调查？