企业合规是指企业在经营管理过程中，遵守国家法律法规、社会道德和商业规范，履行社会责任的行为。在当今竞争激烈的商业环境中，保持企业合规可为企业树立诚信品牌，提升企业形象和市场竞争力。本文将就通过上海A网络科技有限公司案例剖析企业合规的意义，为企业提供合规管理方面的启示和指导。
企业背景与案件经过
       上海A网络科技有限公司（以下简称“A公司”）成立于2016年1月，系一家为本地商户提供数字化转型服务的互联网大数据公司。A公司现有员工1000余人，年纳税总额1000余万元，已帮助2万余家商户完成数字化转型，拥有计算机软件著作权10余件，2020年被评定为高新技术企业。被不起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。
       2019年至2020年，在未经上海B信息科技有限公司（以下简称“B公司”，系国内特大型美食外卖平台企业）授权许可的情况下，A公司为了以提供超范围数据服务吸引更多的客户，由公司首席技术官陈某某指使汤某某等多名公司技术人员，通过“外爬”“内爬”等爬虫程序（按照一定的规则，在网上自动抓取数据的程序），非法获取B公司运营的外卖平台（以下简称“B平台”）数据。其中，汤某某技术团队实施“外爬”，以非法技术手段，或利用B平台网页漏洞，突破、绕开B公司设置的IP限制、验证码验证等网络安全措施，通过爬虫程序大量获取B公司存储的店铺信息等数据。王某某技术团队实施“内爬”，利用掌握的登录B平台商户端的账号、密码及自行设计的浏览器插件，违反B平台商户端协议，通过爬虫程序大量获取B公司存储的订单信息等数据。上述行为造成B公司存储的具有巨大商业价值的海量商户信息被非法获取，同时造成B公司流量成本增加，直接经济损失人民币4万余元。
       案发后，A公司、陈某某等人均认罪认罚，A公司积极赔偿被害单位经济损失并取得谅解。2020年8月14日，上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪提请上海市普陀区检察院审查逮捕。8月21日，普陀区检察院经审查认为，陈某某等人不具有法律规定的社会危险性，依法决定不批准逮捕。2021年6月25日，上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。2022年5月，普陀区检察院依法对犯罪嫌疑单位A公司、犯罪嫌疑人陈某某等14人作出不起诉决定。
合规问题分析
1. 非法数据获取
       A公司的员工在未经B公司授权的情况下，利用爬虫程序非法获取了B平台的商户信息和订单数据。这种行为涉及侵犯他人的商业利益和隐私权，违反了信息安全和数据保护的法律法规。企业在处理大量敏感数据时，应该确保自己拥有合法的获取权限，并遵守相关的数据保护法规。
2. 违反协议规定
       汤某某和王某某等A公司员工在进行数据爬取时，突破了B公司设定的网络安全措施，违反了B平台商户端协议。在企业之间的合作中，合规经营需要遵守合同和协议的规定，维护各方的合法权益。
3. 漠视商业信誉导致经济损失扩大
       A公司的非法行为造成了B公司直接经济损失和流量成本增加，同时也破坏了B公司的商业信誉。非法获取了B公司的商户信息和订单数据后，A公司利用这些数据进行竞争或其他商业活动，导致B公司丧失了商机和潜在收入。由于A公司的非法行为，B公司需要增加用于数据安全和网络防护的成本，以避免类似事件的再次发生。这意味着B公司不得不投入更多的资源和资金来应对和修复这种违规行为的影响，从而直接导致经济损失的发生。A公司非法获取B公司数据的行为不仅侵犯了B公司的权益，还暴露了B公司在数据安全和合规管理方面的薄弱点，给外界传递了不负责任和不受信任的信息。这种失信行为很可能导致潜在客户和合作伙伴对B公司的高度警惕甚至拒绝合作，进而影响其市场竞争力和商业发展。
4. 内部合规管理不完善
       A公司在员工行为管理和合规管理方面存在一定的问题。首先，公司的核心技术人员在非法数据获取中起到了推动和指使的作用，涉及到内部监管和管理的缺失。其次，公司在保障员工的合规意识培养和教育方面也有待加强，没有建立健全的内部合规制度和流程。
合规措施及意义
1. 加强信息安全意识
       企业要加大对员工的信息安全教育培训，提高他们的信息安全意识和风险防范能力，加强对敏感数据的保护。定期组织员工信息安全培训，包括教育员工有关数据保护、网络安全和合规要求等方面的知识。培训内容可涵盖信息安全政策、数据分类和加密、密码管理、网络钓鱼和网络攻击防范等内容，以提高员工对信息安全风险的敏感性和辨识能力。
2. 建立内部沟通机制、强化密码保护
       企业应建立畅通的内部沟通渠道，对员工就信息安全问题进行交流和解答。可以设立专门的信息安全联系人或小组，负责与员工沟通信息安全政策、合规要求和最佳实践。企业应教育员工使用强密码，并定期要求更换密码。同时，鼓励使用双重认证和密码管理工具来增强账户的安全性。
3. 强化数据保护意识、防范外部威胁
       企业应明确规定员工在处理敏感数据时的责任和义务，并提供必要的工具和技术来保护数据的安全和完整性。员工需要了解不同数据的敏感性和保护级别，以避免数据泄露或不当使用。鼓励员工对来自外部的潜在威胁，如网络钓鱼、恶意软件等保持警惕，并提供举报渠道。同时，及时向员工提供有关当前流行的网络攻击和诈骗的信息，以增强员工的防范能力。
结语
       上海A网络科技有限公司是一个令人深思的案例，凸显了企业合规问题的紧迫性，同时也为企业提供了重要的教训。企业应加强合规意识，建立健全的内部合规管理体系。这包括加强员工合规意识培养和教育，明确规范员工行为准则，并建立有效的内部监管和风险预防机制。同时，企业应积极遵守相关法律法规，加强对合作伙伴协议的遵守，以诚信经营树立良好品牌形象，并确保数据及客户隐私的保护。只有在合规经营的基础上，企业才能实现可持续的发展和赢得信任与支持。

案例来源：最高人民检察院
编辑｜ 纳升合规科技法务部
排版｜ 谢采云

【声明】官网对所有原创、转载、分享的内容、陈述、观点判断均保持中立，推送文章仅供读者参考。官网发布的文章、图片如有作者来源标记有误或涉及侵权，请原创作者友情提醒并联系小编删除。原创文章未经许可禁止转载，如需转载请联系小编获取授权。