從字節最新反腐通報看互聯網企業反舞弊合規體系建設

2024年4月28日，字節跳動發布企業紀律與職業道德委員會通報，就企業員工涉嫌刑事犯罪、違反廉潔誠信制度、違反利益沖突制度、違反信息安全制度等違法違規的舞弊行為進行了通報總結，總計辭退舞弊員工61人，其中多名收受巨額好處費的員工被刑拘。本文通過梳理該通報的核心內容，旨在指出互聯網企業合規治理常見的風險漏洞所在并進一步為企業搭建反舞弊合規體系提出解決方案。

一、字節最新反腐通報主要內容

俄羅斯同中國在各個領域的合作日益密切。目前，中俄兩國在遠東地區的跨境基礎設施建設進展迅速，兩國企業合作意愿強烈。希望未來俄羅斯亞太地區調解員協會能夠同京師律所建立友好合作關系，不斷深化中俄雙方在法律領域的交流互鑒，為兩國經貿合作發展做出積極貢獻。

1、涉嫌構成刑事犯罪
（1）2022年12月至2023年5月，抖音前員工陸瑒利用職務便利，非法收受外部合作商巨額好處費。2024年1月26日，陸瑒因涉嫌非國家工作人員受賄罪，被公安機關立案偵查并采取刑事拘留強制措施。

（2）2022年5月至9月，生活服務前員工高生軍利用職務便利，違規引入服務商，以此收受服務商給予的好處費共計4萬元。2024年1月17日，高生軍因涉嫌非國家工作人員受賄罪，被公安機關立案偵查并采取取保候審強制措施。

（3）2023年8月至9月，產品研發和工程架構前外包員工曹正政違規使用虛擬賬號，聯合外部機構用于抖音賬號刷量并獲取非法收入。2024年3月，曹正政因涉嫌非法經營罪，被公安機關立案偵查并采取刑事拘留強制措施。

（4）2023年12月，抖音直播前員工周潤濫用工作權限并以此牟利。2024年1月，周潤因涉嫌刑事犯罪，被公安機關立案偵查并采取刑事拘留強制措施。

2、違反廉潔誠信制度

近期，公司查處多名員工利用工作職務便利為外部人員提供幫助并收受好處以及使用虛假材料違規報銷、違規打車和獲取房補等行為。上述員工違反了《字節跳動員工行為準則》《員工手冊》等公司制度，公司均予以辭退，并根據具體情節附加取消期權、責令退回全部違規所得、同步陽光誠信聯盟及企業反舞弊聯盟等處罰。

3、違反利益沖突制度

近期，公司查處多名員工在商務合作中未申報和回避特定關系人、利用商業機會為本人或其特定關系人謀利的行為。上述員工違反了《字節跳動員工行為準則》《員工手冊》及《利益沖突管理制度》，公司均予以辭退。

4、違反信息安全制度

近期，公司發現部分員工存在違規獲取、保存、泄露公司內部信息及將包含敏感數據的公司內部系統交由外部人員使用等行為。上述員工違反了《字節跳動員工行為準則》及《員工手冊》中關于信息安全的規定，公司均予以辭退。

二、互聯網企業常見的合規治理舞弊風險

相較于傳統企業，互聯網行業的舞弊人員往往涉案人員年輕化、舞弊手段多樣化、在內控反舞弊上相較傳統企業更善于引進新型技術手段，其具體措施層出不窮。對于互聯網企業而言，企業在經營管理過程中常見高發的舞弊風險主要有以下幾方面：

1、員工利用職務之便收受商業賄賂屢禁不止
正如前文字節通報所述，互聯網企業由于員工規模及合作代理商眾多，其員工存在利用職務便利，非法收受外部合作商好處費、利用手中審批權限違規引入代理商并從中收受服務商好處費等情形，這在互聯網企業中可謂屢見不鮮。在公開案件中，互聯網頭部公司的案件數量占互聯網企業商業受賄犯罪案件數的半數以上。以騰訊為代表的即時通信領域以及以阿里巴巴、京東為代表的電子商務領域均是商業賄賂犯罪的高頻高發領域。這也側面說明互聯網行業“獨角獸企業”的壟斷優勢越大，其商業賄賂風險也越高。

2、數據型舞弊呈上升趨勢
從字節通報中不難發現，公司發現部分員工存在違規獲取、保存、泄露公司內部信息及將包含敏感數據的公司內部系統交由外部人員使用等違規行為。實踐中，由于互聯網企業存有大量用戶數據信息，也涉及到企業大量商業秘密保護及個人信息保護，在實踐中，一些舞弊員工利用計算機信息系統或計算機信息知識作為手段，使用、泄露企業的大量涉密數據或信息，涉嫌侵犯了企業的商業秘密。此外舞弊員工超出授權范圍使用公司賬號、密碼、Token令牌等登錄公司的信息管理系統，并未經許可下載存儲數據，該行為根據我國《刑法》及相關司法解釋被歸為涉嫌非法獲取計算機信息系統數據。例如引起不小轟動的華為員工非法獲取計算機數據案，易某違反規定多次通過越權查詢、借用同事賬號登錄的方式獲取計算機信息系統中存儲、處理或者傳輸的數據，基于“侵入或其他技術手段”實施了非法獲取行為，其行為已構成非法獲取計算機信息系統數據罪。一審法院判處易某有期徒刑一年，并處罰金人民幣二萬元。

3、內外勾結，企業員工與合作方/供應鏈舞弊謀利頻發
從盈利模式上來看，互聯網企業主要通過廣告業務、增值業務和傭金業務獲利。無論是以運營為主的電子商務類互聯網企業如淘寶京東，還是以技術為核心的資訊類企業騰訊百度，其“流量為王”的盈利模式均與傳統制造業和服務業有顯著區別。這無論對外部供應商、合作方而言還是對內部員工來說獲取流量權利就擁有了變現的能力，給企業員工提供了大量的基于“流量”的尋租空間，通過與合作方、代理商、供應商的內外勾結滋生了大量舞弊案件。同時，企業一些舞弊人員利用手中審批權限，在商業合作中隱瞞申報和回避特定關系人、利用商業機會選擇特定關系人或與本人有利益輸送的關聯合作方，從而獲取好處，這在字節反舞弊通報中也存在不少案例。

三、互聯網企業反舞弊合規體系建設路徑

1、制訂嚴格的反商業賄賂治理結構體系

近年來，商業賄賂類案件有增無減，是互聯網企業合規經營的重災雷區。那么，企業應如何針對商業賄賂類舞弊犯罪制定切實有效的專項合規整改計劃？筆者提供下列可行性建議：

（1）完善反商業賄賂決策機制。企業的決策層和管理層要不斷提高反商業賄賂識別能力、拒絕能力和相關不利后果的規避能力等。決策層和管理層通過不斷交流反商業賄賂的經驗教訓，將反商業賄賂的理念和行為制度化。（2）建立完善的企業內控制度。首先，在企業的內控制度中應當專門建立商業賄賂法律風險的評估機制、預警機制和應對機制。其次，企業管理層在年度工作報告中應對內控制度的效果做出說明，增加內控制度實施的透明度。最后，企業內控制度應該同時包含獎勵和懲罰機制，對于涉嫌商業賄賂犯罪的職員采取堅決果斷的懲罰措施，而對堅持職業道德的職工提供補償或獎勵。（3）企業內部成立商業賄賂調查部門。商業賄賂調查機構的主要功能應該有：搜集研究企業商業賄賂的案例，準確把握商業賄賂行為的新類型和反商業賄賂斗爭的新形勢；監督企業法人及其職員、分公司、子公司日常的商業行為，為決策管理機構提供可疑的商業賄賂線索；當企業不確定即將或已經作出的行為是否存在觸犯反商業賄賂法律的風險時，向相關執法機構咨詢報備。

2、進一步完善數據保護、個人信息保護制度

隨著數字化時代的發展，數據保護和商業秘密保護成為互聯網企業反舞弊合規的重要方面。企業應制定相關政策和措施，確保個人信息和敏感商業信息的安全和保護。這包括數據的合法采集、使用和存儲，以及遵守相關的隱私保護法律和法規。筆者認為，對于事先預防和事后治理數據合規建設方面，（1）應建立和完善企業數據管理制度，建立健全數據合規管理基本制度，包括但不限于企業網絡安全與數據保護的原則性規范、數據分類分級和權限管理規范及技術應用規范、個人敏感信息處理規范、數據跨境傳輸風險評估規范、數據安全事件處理制度；（2）應建立健全數據管理風險的識別、評估與處理機制。企業應對經營流程各環節、各崗位履職進行數字合規風險源梳理，根據風險點制定防范措施。通過相應的技術措施保障數據管理的安全性，進行日常數據管理風險監測。有條件的企業可以定期委托第三方機構進行數據合規審計、防火墻建設、漏洞掃描等方式客觀評估數據管理的安全性，特別針對國家核心數據、個人敏感數據的安全管理；（3）建立健全違法違規行為的舉報和調查制度。應當設立匿名舉報制度，對企業經營活動中存在的數據合規風險隱患或者已發生的違法違規行為設立具體的舉報途徑和步驟，便于企業及時發現并處理。

3、建立完整的“事先預防”商業秘密保護機制

為了更好的預防及減少員工侵犯商業秘密情形的發生，企業應建立事先保護機制，加強對商業秘密的保密審查，并為后續的線索收集和調查取證提供便利條件。筆者提供下列可行性建議：

（1）加強企業員工的監管。在侵犯商業秘密案件中，員工禁不住利益誘惑，協助外部企業或人員獲取用人單位的商業秘密或離職后為順利跳槽泄露原用人單位的商業秘密成為員工侵犯企業商業秘密的常見侵權或犯罪場景。因此，對于公司內部員工的管理是加強商業秘密保護的重要一環。

首先，完善并執行保密協議與保密制度。一方面，公司應在員工入職時就應當以勞動合同的保密條款或單獨的保密協議的方式明確約定員工的保密義務，保密期限的起始時間應不晚于其接觸涉密信息之時，且應至少涵蓋勞動關系存續期間。另一方面，公司還應制定保密制度并交付給每個員工、組織培訓活動，保證每個員工均知悉和理解保密制度的內容，同時保留交付和培訓的記錄作為證據。

其次，崗位調動或離職時作脫密管理。企業內部的調崗也可能涉及商業秘密的擴散或轉移，有必要針對具體情況對相關人員工作脫密處理，包括收回涉密文件等載體、刪除員工電子存儲的涉密信息、更新保密協議等，同時根據員工的涉密情況可進一步約定競業限制協議。

（2）加強信息管理。以標記、分類、分級、封存等方式，對商業秘密涉及的載體及信息進行區分和管理。第一，分級管理。不同涉密信息具有不同的秘密程度及商業價值，因此企業需要對涉密信息進行分級和標記，在此基礎上對不同級別的涉密信息作區分管理。第二，存儲管理。涉密信息應當采取區別于非涉密信息的存儲方式，包括限定存儲時間、保管人員和存儲載體。員工因工作必要而獲取涉密信息時，應當避免交付原件，并應跟進復制件歸還或銷毀情況，避免涉密信息存儲范圍的擴大。 第三，接觸管理。涉密信息應限定可接觸人員的范圍、訪問和獲取程序。員工獲取涉密信息時，應以層級審批、簽署保密承諾為前提，并應規定返還時間、保留流轉記錄等。

（3）加強管控商業活動的泄密風險。第一，在商業交流活動中，因商業利益的必要而需要披露涉密信息或允許外來人員訪問涉密區域時，應當在披露前要求外來人員簽署保密承諾、留存訪問記錄，禁止外來人員對涉密載體、涉密區域進行拍照、錄像或錄音。第二，在商業合作過程中，無論是磋商階段還是合作期間均應與合作商簽署保密協議，以“列舉+兜底”的方式約定保密信息內容。對于涉及重要商業秘密的合作，企業還應要求合作商的員工承擔保密義務，并與參與合作項目的合作商員工簽署保密協議。

4、進一步優化、細化商業伙伴管理制度
（1）制訂詳細的招聘管理制度

明確禁止以違反招聘流程，通過向政府官員近親屬或其推薦的特定人員不當提供就業機會的方式來換取業務的行為。加強對擬招聘員工的背景調查，包括但不限于是否與政府官員存在近親屬關系、是否存在商業賄賂、貪污侵占等方面的不良記錄。

（2）優化完善禮品及招待管理制度

明確允許贈送禮品、提供招待的原則。明確禁止及允許贈送的禮品種類、贈送禮品的次數及金額限制、贈送禮品的審批權限、贈送禮品的記錄要求、申請報銷材料及審批權限。明確允許的招待對象、招待方式、招待限額、招待申請審批權限申請報銷材料及審批權限。明確允許員工接受商務饋贈及招待的原則及要求。

（3）對供應商、合作方、代理商的選任制訂標準化流程

企業與外部合作伙伴的合規要求不可忽視。在與供應商、合作伙伴、代理商等建立業務關系之前，企業應進行充分的盡職調查。盡職調查包括對合作伙伴的背景調查、經營狀況評估、合規能力評估等，以確保合作伙伴具備合規意識和能力，避免與不合規的實體合作，降低合規風險。企業還應建立合適的合作伙伴管理機制，包括合作伙伴的監督和審計，確保其合規性和合作的穩定性。

5、強化內部舉報、調查問責制度落地實施
建立內部舉報和調查機制是互聯網企業反舞弊合規建設中的關鍵環節。內部舉報機制可以為員工提供匿名或實名舉報的渠道，以揭露舞弊犯罪行為。舉報渠道應安全、便捷、保密，并公開宣傳，鼓勵員工參與。

同時，企業應建立明確的舉報調查程序，對收到的舉報進行及時、客觀、公正的調查。調查應遵循合規程序，確保調查過程的公正性、透明性和保密性。調查結果應及時報告給相關責任人和管理層，并采取適當的糾正和處理措施。

6、建立、健全員工教育和培訓制度
員工教育和培訓是確?；ヂ摼W企業反舞弊合規有效實施的關鍵環節。企業應定期開展員工教育和培訓計劃，向員工傳達企業合規的政策、規定和要求。教育和培訓內容應包括違規犯罪行為的定義和類型、合規政策和程序的具體操作、舉報渠道的使用方法等。培訓計劃還應考慮員工的特定崗位和職責，提供具有互聯網行業特色的針對性知識和技能培訓，如網絡安全、數據保護、反洗錢金融安全、互聯網平臺責任、反腐敗反商業賄賂等相關方面法律法規。通過員工教育和培訓，員工可以增強對不當行為的識別和防范能力，增強合規意識，提高企業合規的整體效果。

結語

隨著云計算、大數據、人工智能等信息通信技術的快速發展和應用普及，互聯網企業自身快速的發展所帶來的舞弊犯罪風險也相伴相生。從企業的角度出發，在國家大力打擊腐敗、倡導廉潔的當下，互聯網企業更應防范舞弊風險，守住法律底線，加強合規體系建設，實現合規治理、健康發展的良性目標。

律師簡介

胡晨陽，北京市京師 (上海)律師事務所創始人，京師律所全國刑委會副主任，上海大學法學院兼職教授、對外經濟貿易大學法律碩士研究生實踐導師，擁有超過10年的刑事偵查工作經驗，超過20年的刑事案件執業律師經驗。

專業領域：企業合規和反舞弊調查、刑事辯護

李菊，中國政法大學經濟法碩士，京師上海律所企業內控與反舞弊研究中心副秘書長，擁有多年企業投融資并購、企業合規、爭議解決等實務經驗，先后參與多起新三板上市、股權收購、業務合規等專項法律服務。

專業領域：企業商事爭議解決、企業合規