从法律视角分析西安地铁保安强行拖拽女乘客事件
华东政法大学经济法学院 刘珏琳
近日,“西安地铁女乘客被拖离事件”冲上热搜,引发热议。尽管目前有关部门已经对该事件做出了通报并公布了处理结果,但是公众对此事的关注与讨论仍在继续。
一、事件回顾
8月30日,西安地铁上两乘客发生争执,一名地铁安保人员将其中一名女乘客强行拖离车厢。现场其他乘客拍摄的视频画面显示,事件发生时,该男性安保人员站在女乘客面前,该女乘客坐在座位上对着安保人员身后的男乘客大喊:“你不是要加我微信吗?过来加我微信”并要求其赔偿自己的物品损失。随后地铁到达站点停车,该名安保突然上前拉扯女乘客上半身,试图将其强行拉出地铁车厢,期间女乘客一边反抗一边尖叫大喊:“我不出去”,但该安保人员并未停止动作。拉扯过程中,该名女乘客随身物品散落一地,衣衫不整。当安保人员将其强制拉出车厢时,该名女乘客身体已大面积裸露。随后,该名女乘客称自己的身份证还在车厢内,试图回车厢取回证件,而该安保人员并未停止,试图进行二次拖拽。
二、处理结果
对该事件,8月31日陕西省西安市公安局做出如下处理:根据目前调查掌握证据,乘客郭某、陈某扰乱地铁公共秩序的行为,情节轻微,依据《中华人民共和国治安管理处罚法》第十九条第(一)项之规定,对郭某、陈某不予治安处罚,由公安机关给予批评教育;保安员陈某某工作方法简单粗暴,但尚不构成违法犯罪,责令其所属保安公司对其予以停职并依规调查处理;根据《保安服务管理条例》等有关规定,公安机关对保安公司岗位责任制度、保安员管理制度落实不到位等问题责令限期整改,市地铁运营分公司依据合同约定做进一步处理。此外另有西安轨道交通集团7名相关负责人被处理。
三、争议
从媒体报道和社会舆论来看,大家对这一事件的处理结果并不满意。大众的焦点主要集中在以下几个方面:
1.该名保安的行为是否构成犯罪?
从视频画面来看,该名保安对该名女乘客实施的强制拖拽行为显然是不妥当的,但是这样的行为是否已经构成违反、犯罪,需要结合具体的法律法规作出进一步的分析论证。
首先,和保安行为类型最为相近、也是社会舆论最为热议的罪名是《中华人民共和国刑法》第237条规定的强制猥亵、侮辱罪,以及第246条规定的侮辱罪。
强制猥亵、侮辱罪主要是指:“以暴力、胁迫或者其他方法强制猥亵他人或者侮辱妇女。”
在学理上,强制猥亵、侮辱他人要求行为人的犯罪行为侵犯的是他人的人格、尊严等人身权利;在客观方面这种犯罪行为表现为以暴力、胁迫或者其他方法强制猥亵他人、侮辱妇女;此外,实施该行为的人必须已满16周岁且具有刑事责任能力,且具有主观上的故意。
在此次事件中,保安作为一个显然已满16周岁且具有刑事责任能力的自然人,其强制拖拽行为致使女乘客在公共场合身体大面积裸露,已然伤害了女乘客的性羞耻心,违反了最基本的性道德观。但是其行为是否满足刑法意义上的“暴力、胁迫或者其他方法”、其主观上是否具有“故意”,值得探讨。
该名保安第一次拖拽女乘客时,该女乘客的衣服是在被拉扯的过程中意外脱落,此时,无法证明该保安具有主观上拉扯其衣服、致使其身体大面积裸露,而伤害其性羞耻心的故意。但是当该名女乘客被保安第一次拖拽出车厢后,其试图返回车厢取回个人物品,此时保安再次上前拦腰拉扯,试图将其再次带离车厢。问题的关键在于,是否可以认为,此时该名保安在已经看到女乘客身体大面积裸露的情况下,其可以预见到再次拉扯的行为会给女乘客的人格尊严、性羞耻心带来伤害。显然,作为一个理性的自然人,他是具有这样的预见能力的。
在司法实践中,“暴力、胁迫或者其他方法”,特征在于使得他人处于一种不能反抗、不敢反抗或不知反抗的状态。通过此次事件的视频画面可以看出,该保安强制拖拽女乘客过程中,女乘客虽试图反抗,但由于男女力量悬殊,最终无果。因而可以认为该保安实施了暴力行为,致使该名女乘客处于一种不能反抗的状态。
但是,在认定是否构成犯罪的过程中,除了要考虑是否使用了强制性手段,还要考虑情节的危害程度。在此次事件中,保安最初的目的是为了维护地铁运营秩序;除了双方当事人之外,并未给其他人造成实质性损害,也未实质性影响地铁的正常运营,社会危害性较小,属于情节显著轻微危害不大,因而不应当以强制猥亵、侮辱他人罪论处。
那么是否可以认定为侮辱罪呢?根据我国《刑法》规定,侮辱罪主要是指使用暴力或者以其他方法,公然贬损他人人格,破坏他人名誉,情节严重的行为。这一罪名与强制猥亵、侮辱他人罪不同之处在于,它要求行为人实施行为时必须具有败坏他人名誉的目的,并且要达到“情节严重”的程度。根据上述分析,在该事件中保安最初了为了维护地铁运营秩序,没有证据可以证明他具有败坏该女乘客名誉的目的,此外,其情节也无法达到认定犯罪的程度,因而也不能认定保安行为构成了侮辱罪。
此外,侮辱罪还是一种“亲告罪”,即需要受害人向人民法院告诉才处理,而不是由司法机关主动适用,所以即使该名保安具有上述的主观故意,也只能由该名女乘客通过起诉的方式主动维护自己的权益。
2.该名保安是否需要承担其他方面的法律责任?
虽然该名保安的行为不构成犯罪,但这是否意味着他不需要承担其他法律责任?在地铁乘客发生争执时,相关人员应如何处理呢?
保安在处理此次地铁争执事件中女乘客采取了“强制”手段,而我国《行政强制法》规定,行政强制措施的实施主体只能是具有资格的行政执法人员。而西安地铁分公司的性质是企业单位,因而,保安并不具有执法权限。此外,保安行为的授权性和禁止性规定直接规定于《保安服务管理条例》。其中第29条:“保安员应当及时制止发生在服务区域内的违法犯罪行为,对制止无效的违法犯罪行为应当立即报警,同时采取措施保护现场”同样说明,在此次事件中,保安无权强制带离女乘客,在遇到类似情况时,只能通过劝离等方式维持公共秩序,如果乘客拒不配合,应当根据29条规定寻求警方的帮助。
3.既然保安具有越权行为,其是否需要承担行政责任?
《保安服务管理条例》第45条对保安在特定情况下需要承担的法律责任做出具体规定:“保安员有下列行为之一的,由公安机关予以训诫;情节严重的,吊销其保安员证;违反治安管理的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任:(一)限制他人人身自由、搜查他人身体或者侮辱、殴打他人的”。
此次事件中,保安虽然具有强制行为,但就其行为是否达到“限制他人人身自由”的程度,由于无法直接在行政法中找到对应解释,因而应根据行政法的上位法宪法做出解释。《中华人民共和国宪法》第37条规定:“中华人民共和国公民的人身自由不受侵犯……禁止非法拘禁和以其他方法非法剥夺或者限制公民的人身自由,禁止非法搜查公民的身体。”在此次事件中,该名保安强行拖拽女乘客迫使其下车,致使女乘客倒地滑行、不能反抗,似乎限制了其自主支配自己行动的自由,与《宪法》相违背。但是《宪法》第37条“以其他方法非法剥夺或者限制人身自由”是兜底性法律条款,对其理解应当遵循同类解释原则,即这里的“其他方法”应当与“非法拘禁”具有同一性。在此次事件中,保安最初的目的是为了维护地铁秩序,其强制行为实质上是一种临时性、应急性措施,这一行为的直接后果是女乘客暂时丧失了行动自由。而“非法拘禁”强调的是通过拘押、禁闭等手段,使得他人处于一种不能支配行动自由的存续状态。因而,涉事保安的行为不能被认为限制了他人人身自由,因而不承担行政责任。
由于民法具有相对性,除行政责任之外,保安是否需承担民事责任,应当结合其是否被起诉,进一步判断。
4.该名女子的行为是否有过错?是否违法并且需要承担法律后果?
该名保安的行为违反了有关行政法规,是否意味着该女乘客的行为就完全没有过错呢?
《西安市城市轨道交通条例》第46条规定:“禁止下列影响城市轨道交通运营秩序和安全的行为:(二)强行上下列车;(十三)在车站或者车厢内打闹嬉戏、大声喧哗;”结合视频画面,该名女乘客在地铁上与男性乘客发生争执大声喧哗、谩骂,显然违反了第(十三)项的规定,其在被保安拖拽下车后,应当能够预料到此时强行上车,不仅可能威胁到自身生命,还可能影响运营秩序,引发地铁运营事故。根据《西安市城市轨道交通条例》第70条有关规定,西安市城市轨道交通管理机构有权对其处二十元以上一百元以下罚款;违反《中华人民共和国治安管理处罚法》的,由公安机关给予处罚。
在此次事件中,虽然女乘客具有一定的过错,但是由于事件情节较轻、未造成实质性损害,所以西安市公安局依据《治安管理处罚法》第19条第(一)项之规定,对两名发生争执的乘客不予治安处罚,由公安机关给予批评教育。
5.该名女乘客可以通过何种途径维护自己的合法权益?
虽然该保安的行为无法构成犯罪,但是其行为事实上已经超出了职权范围,给该女乘客造成了民事权益的侵害。因此,除了向该保安所属单位或上级主管部门投诉,该女乘客还可以向人民法院提起民事诉讼。
根据《民法典》第109条:“自然人的人身自由、人格尊严受法律保护。”第990条第一款:“人格权是民事主体享有的生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权等权利。”第1024条第一款:“民事主体享有名誉权。任何组织或者个人不得以侮辱、诽谤等方式侵害他人的名誉权。”和第995条第一款:“人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。”有关规定,以侵犯名誉权等为由,要求西安地铁运营分公司和该保安承担侵权责任,恢复名誉、赔礼道歉、赔偿损失,维护自己的合法权益。
根据西安市轨道交通集团有限公司官网显示,西安地铁各运营线路的安全员保安服务均为外包,即涉事保安与西安铁路运营分公司之间并非劳动关系,而是西安地铁运营分公司将其保安业务外包给保安服务公司,由其与相关人员订立劳动合同,根据地铁运营公司的具体要求,进行人事管理。根据《民法典》第1191条第一款规定:“用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。用人单位承担侵权责任后,可以向有故意或者重大过失的工作人员追偿。”因此,若该女乘客起诉,应当由该保安所属保安服务公司承担侵权责任,再由其决定是否向该保安追偿。
当然,是否启动上述维权途径,应当遵从女乘客的内心真实意愿。
6.一些乘客拍摄视频并在未经打码处理的情况下上传社交平台传播视频,是否也侵犯了事件中女乘客的权利?
我国《民法典》和《刑法》等相关法律保护公民个人信息不受侵害。《民法典》第1034条规定:“自然人的个人信息受法律保护。”《刑法》第253条规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”《个人信息保护法》第4条第一款规定:“个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”显然,在地铁拖拽视频中未经打码处理的公民的肖像及公民赤裸身体的照片属于公民个人信息。
《民法典》第1019条第一款规定:“任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。”《民法典》1032规定:“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”拍摄、传播他人身体的私密部位是侵害自然人隐私权的表现之一,当该女士衣服被撕扯致使身体大面积的裸露后,围观群众的拍摄行为都构成对该女士隐私权的侵犯。
此次事件中,乘客拍摄视频并在未经打码处理的情况下上传社交平台传播的行为,造成了涉事女乘客的个人隐私被泄露并迅速扩散,违反了有关法律的规定,侵犯了女乘客的肖像权和隐私权,情节严重的可能构成侵犯公民个人信息罪。
四、结语
事件发生至今,西安地铁运营公司以及相关的保安服务公司都未曾向该女乘客公开致歉,而这一事件引发热议的另一个原因是事情发生时不论是地铁门旁的女性工作人员、还是围观拍照的其他乘客,都没有及时站出来制止该保安的行为,或是为该女乘客遮挡身体裸露部分,甚至有人在保安拖拽过程中“搭了一把手”,帮助其一起将该女乘客“抬”下车厢,而正是这些冷漠助长了暴力和权势的为所欲为。
法律服务分析方案
李俊 宁德时代新能源股份有限公司法务
敬启者:
很荣幸能为A公司(下或称贵司)就B利用职务之便侵犯贵司商业利益的情况提供法律服务分析方案。该方案是建立在贵司提供的事实基础之上作出的,如果存在与以下事实描述不相符之处,该方案存在需做作相应的调整的可能。
事实分析:
1、2014年A公司与某国企C签订《XXX项目合作协议》(下称《合作协议》),约定共同建设经营“XXX项目”。【推知:贵司已与国企C公司达成合作的意思表示。】
2、B作为A公司董事及首席运营官,全权代表A公司负责“XXX项目”的策划、洽谈、签约、建设及投融资等事宜。【推知:贵司全权授权给B负责项目的全部工作,因此B是按照贵司要求对 “XXX项目”运营进行决策和执行。】
3、《合作协议》签订生效后,A公司积极投入协议履行工作,包括但不限于开展环评、勘探工作等。【推知:贵司和国企C公司约定共同建设经营的“XXX项目”为矿产资源类的项目。】
4、《合作协议》签订后,B利用其负责“XXX项目”之便,暗中阻碍A公司与C公司有效履行《合作协议》,包括但不限于向A公司隐瞒融资信息等,致使A公司与C“XXX项目”合作进展停滞。【推知:融资信息等相关信息是贵司与C公司能有效履行《合作协议》的关键因素,更进一步确定“XXX项目”为矿产资源类项目的推测(具体分析见下文)。】
5、《合作协议》签订后,B与D设立经营范围与A公司一致的E公司(A不知情),并将“XXX项目”机会转移至E公司的关联公司F(由B实际控制)。B后续利用F公司与C对接“XXX项目”,最终“XXX项目”由F与C实际运营。【推知:①F公司系由B实际控制,但通过公示系统不一定可以查询到B和F公司的联系。而从与C公司对接项目的公司系F公司而非和D一同设立的E公司也可看出,B在F公司是属于“幕后操盘手”;②贵司与C公司签订的《合作协议》所涉及的项目并非唯一仅能由贵司和C公司合作,第三方公司亦可以和C公司合作,“XXX项目”是可以更换实际运营主体的。】
已知材料:
1、贵司和C公司签订的《XXX项目合作协议》;
2、A、E、F、C公司工商登记信息;
3、A公司开展环评、勘探工作的工作记录(需确定能否提供);
4、A公司授权B全权负责“XXX项目”的董事会决议(需确定能否提供)
事实与法律具体分析:
从上述对事实材料的简单分析可看出,本案系公司管理人员利用其所掌握的便利,给公司造成损害,谋取个人私利的行为。基于上述事实及材料进行如下具体分析,包括所采用的法律手段,案件能否构成侵权的判断,相应主体及管辖法院的明确以及具体的诉讼请求等。
一、案件性质的确定:民事侵权还是刑事犯罪;
针对B利用职务便利,损害贵司的权益,为其实际控制的公司谋取利益的行为,分析应采用民事还是刑事手段维权。
首先,确认是否可以通过刑事手段进行维权。根据《刑法》罪刑法定的原则,一行为是否构成犯罪,需由《刑法》对此类行为进行规定。而与上述行为相关的条文规定参见《刑法》第一百六十五条、第一百六十六条及第一百六十九条之一。上述条款规定的犯罪行为或是国有公司、企业的工作人员使国家利益遭受损失;或是上市公司的董事、监事、高级管理人员操纵上市公司致公司利益受损,其犯罪主体均为特殊主体。从材料看出,贵司即非国有公司,亦非上市公司,在B的身份不满足以上身份要求的前提下,并未查询到《刑法》中非特殊主体侵犯公司利益相关的条款,因此难以通过刑事手段对B及其控制的公司进行惩罚。
其次确认是否可以通过民事手段进行维权。《公司法》第一百四十七条规定:“董事、监事、高级管理人员应当遵守法律、行政法规和公司章程,对公司负有忠实义务和勤勉义务”,同时在《公司法》第一百四十八条中对董事、监事、高级管理人员的忠实义务作了相应的禁止性规定,其中禁止事项的第(五)项规定:“未经股东会或者股东大会同意,利用职务便利为自己或者他人谋取属于公司的商业机会,自营或者为他人经营与所任职公司同类的业务。”。B的身份为贵司董事及首席运营官,虽然首席运营官并非《公司法》第二百一十六条第一款规定的高级管理人员,但B掌握“XXX项目”业务的核心信息,并决定项目的决策及发展方向,因此从其所承担的工作职责可看出B属于贵司的高级管理人员。最高人民法院在周旭、甘肃中集华骏车辆有限公司再审审查与审判监督民事裁定书中亦持这样的观点。退一步而言,即便B不被认定为高级管理人员,B作为贵司的董事也应负起忠实义务。
通过分析B的行为,其可能违反《公司法》第一百四十八条第(五)项的忠实义务,贵司可向法院提起损害公司利益责任纠纷之诉,要求B对其所造成的损害进行赔偿。接下来着重分析B的行为是否能构成法律意义上的侵权。
二、民事侵权的构成要件的达成;
通过分析前述事实可知,“XXX项目”应为矿产资源类项目。我国对于矿产资源的开发利用有着极其严格的法律规定,这点无论是在《宪法》《民法典》,还是在《矿产资源法》中均有具体体现。我国的矿产资源属国家所有,并由国务院行使所有权,而在所有权的基础上可以设立矿产资源用益物权——探矿权和采矿权(统称为矿业权)。而矿产资源勘探和开采具有投入大、周期长、不确定性高三大特点,因此,针对矿产资源类项目的经营建设,资金的获取就显得极其重要。而且,中国证券投资基金业协会曾于2014年12月24日发布《资产证券化业务基础资产负面清单指引》,将“矿产资源开采收益权、土地出让收益权等产生现金流的能力具有较大不确定性的资产”列入负面清单范畴,致使矿业权收益权目前在证券交易所实行资产证券化存在操作障碍。矿产资源类项目开发融资渠道收窄,获得资金难度可见一斑。B在负责“XXX项目”的投融资事宜时,向贵司隐瞒融资信息,导致贵司和C公司的合作难以为续。
而从C公司和F公司实际运营了“XXX项目”的情况可看出,贵司与C公司所签署的《合作协议》并非具有唯一性。此时贵司曾与C公司的合作能否视为贵司的“商业机会”?若答案是肯定的,则可认定B违反了“忠实义务”,满足民事侵权的条件。
虽然我国现行法律或者司法解释并没有对“商业机会”作出明确统一的法律解释,但是各级法院在作出判决的时候会将“商业机会”予以释法阐明,可管中窥豹一番。例如江苏省高级人民法院在常州三立环保设备工程有限公司与邹焱、戴小苹等损害公司利益责任纠纷案中,认定:“公司商业机会应当考虑以下几个方面的因素:一是商业机会与公司经营活动有关联;二是第三人有给予公司该商业机会的意愿;三是公司对该商业机会有期待利益,没有拒绝或放弃。”。而从本案材料可以看出,贵司和C公司在签订《合作协议》的时候,贵司已经满足上述三个要素条件。但由于该“商业机会”并非唯一,在此过程中,贵司为争取该机会所作出的实质性努力就非常重要。从公报案例“林承恩与李江山等损害公司利益纠纷案”中可看出最高人民法院的观点:“非专属商业机会,公司及其董事、股东是否为争取到这个机会而做出过实质性的努力很关键,若有,在公司努力争取的过程中,公司董事、高级管理人员未经股东会或者股东大会同意,利用职务便利将公司可以争取到商业机会,给他人或自己获取则构成侵犯公司利益,反之则不构成侵犯公司利益。”。因此,虽然关于“XXX项目”的合作并非贵司专属的机会,但贵司在这个过程中作出了极大的努力(包括但不限于开展环评、勘探工作等),仅是由于B从中隐瞒关键信息,对合作进行阻挠而导致项目无法推进。因此,贵司取得与C公司的合作可视为贵司的“商业机会”。而B作为应负忠实义务的人员,在负责“XXX项目”中恶意窃取属于贵司的“商业机会”的行为则构成法律意义上的侵权。
三、案件诉讼主体及管辖法院;
在本案中虽然是B利用工作职务便利窃取了属于贵司的“商业机会”,但实际操作该项目的却是F公司。因此尚需分析本案的适格原告及被告,进而确定本案的管辖法院。
首先,作为权益受损的贵司可作为原告。根据《公司法》第一百五十一条,仅在满足特定条件情况下,股东才有权为了公司的利益以自己的名义直接向人民法院提起诉讼。而在贵司欲提起诉讼的前提下,股东无需以自己的名义起诉B。那么贵司的其他股东可否以B的行为间接侵犯其利益而也作为原告提起诉讼呢?通过分析唐为桂、花孝植公司盈余分配纠纷案,可以看出法院对此种观点的看法:“即使唐为桂占为己有成立,也是直接侵害三元公司的利益,并未直接侵害三元公司的其他出资人的权益,应由三元公司主张权利或者股东代表公司主张权利(即股东代表诉讼),也不是本案原告直接主张权利。”,即必须是直接损害了股东的利益,股东才可以成为侵权案件的原告。在三亚汇泉房地产开发有限公司与三亚御苑置业有限公司损害股东利益责任纠纷案中,海南省高级人民法院的观点也类似:“公司人格在法律上独立于股东,公司利益不等同于股东利益……作为股东的三亚御苑公司请求判令汇泉公司对椰林书苑公司造成的损失直接赔偿给三亚御苑公司无事实和法律依据。”。因此,贵司的其他股东难以以B的行为间接侵犯其利益而作为原告提起诉讼。
其次,关于被告的确认。B作为贵司的董事及首席运营官,实际损害了贵司的权益,其作为本案的被告合情合理。但和B有关联的E及F公司能否成为损害公司利益责任纠纷的被告?虽然在娄底市娄星拍卖有限公司与娄底市鼎力拍卖有限公司、杨亚妮损害公司利益责任纠纷案中,法院认为:“因损害公司利益的主体只能是公司的董事、监事、高级管理人员,故被上诉人鼎力拍卖公司不是本案适格的当事人,上诉人娄星拍卖公司与被上诉人鼎力拍卖公司之间的纠纷,上诉人娄星拍卖公司可另行通过其他途径解决。”,但是如果B和E公司或\及F公司存在共同侵权的情形,根据《民法典》第一千一百六十八条的规定,共同侵权人应当承担连带责任。该观点也体现在最高人民法院审理的杨帅军、新疆亚欧大陆桥国际物流有限责任公司损害公司利益责任纠纷一案中。虽然E公司为B设立的经营范围与贵司一致的公司,但B并未通过E公司谋取属于贵司和C公司合作的“XXX项目”的商业机会,在本案中并未和B共同实施侵权行为,反而是由B实际控制的F公司来操作该项目。因此,在证明F公司与B存在共同侵权的前提下,可将F公司作为被告一同起诉。当然,如能证明E公司在此过程中也损害了贵司的利益,同样是可以作为被告一并起诉的。
再次,关于管辖法院的选择。虽然根据《民事诉讼法》第二十八条的规定:“因侵权行为提起的诉讼,由侵权行为地或者被告住所地人民法院管辖”,但与公司有关的纠纷应适用特别的管辖规则。在恒富创业投资企业、利迅投资(香港)有限公司损害公司利益责任纠纷一案中,最高人民法院指出:“依照本院《民事案件案由规定》(根据(法〔2011〕41号)第一次修正),损害公司利益责任纠纷已被明文列入该规定第八部分之二十一“与公司有关的纠纷”的第二百五十六项案由,不在该规定第九部分“侵权责任纠纷”之列。因此,有关损害公司利益责任纠纷的地域管辖,不适用民事诉讼法及其司法解释关于侵权责任纠纷的规定。”。综上看出,涉及本案的纠纷裁定适用公司住所地人民法院管辖,即应在贵司住所地人民法院提起诉讼。
四、诉讼请求的确定;
因公司利益受损而提起的诉讼,其目的在于“填平”公司遭受的损失。根据《最高人民法院关于当前形势下审理民商事合同纠纷案件若干问题的指导意见》第10条的精神,侵权行为对公司造成损失的赔偿范围应为本属于贵司的预期可得利益。该利益通常体现为被告与案外人签订业务合同所获得的利润。
此外,《公司法》第一百四十八条的规定中还明确,如果董事、高级管理人员违反了对公司的忠实义务,其“所得的收入应当归公司所有”。该收入不单单是B经营同类业务所获收益,还包括了B在职期间从公司获取的工资、分红、奖金等收入,即公司有权对上述收入行使归入权。
综上,贵司可通过民事手段进行维权,而B的行为也符合相关侵权要件,在可以证明E公司及F公司和B有共同侵权的基础上可将其作为被告一同在贵司所在地法院提起诉讼,要求被告返还应属于贵司的预期可得利益及B在贵司任职期间所得的工资、分红、奖金等收入。上述意见系根据贵司提供的资料分析而成,如果事实情况或者证据情况发生变化,本分析方案也应发生相应变化。
顺颂
商祺
XXX律师事务所
2021年 X 月 X 日
备忘录
黄玮航 复旦大学法律硕士
备忘录/MEMO
收件人:A公司 XXX 法务总监
发件人:A公司 黄玮航 法律顾问:
时间:2021年9月10日
关于:A公司的商业数据与员工个人信息于境外收集和储存的法律意见
敬启者:
作为A公司的法律顾问,根据您2021年8月25日发送的邮件,我们对您所提出的法律问题进行了梳理:一是A公司作为2021年初设立于中国的外商独资企业,是否可以采用德国B公司的企业管理软件从德国直接收集来自中国的商业信息,这些信息一方面包括与供应商,分销商的交易信息和数据,另一方面包括少数来源于《劳动合同》的员工个人信息;二是对于以上信息,能否能收集后直接储存在德国。贵部门希望了解在该等情形下,从事以上行为可能存在的法律风险。对此,我们进行了相应的法律研究:
一、 关于商业信息(供应商、分销商交易信息和数据)的收集与储存
简要结论:若商业信息能够与员工个人信息区分处理,数据体量极少且不涉及“重要数据”时,经自我评估后可以从德国收集,并储存于德国。但若数据体量较大(如超过1000GB),或属于“重要数据”(如包含人口健康等数据)时,原则上应当储存于中国,确有必要出境时应当报请监管机关进行安全评估。
1. 中国法下关于“商业数据出境”的法律规制框架
在中国法下,根据《信息安全技术 数据出境安全评估指南》(草案)(以下简称“《评估指南》”)的规定,数据出境是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。其中《评估指南》通过正面和反面两种方式列举了数据出境的具体形式。
由此,A公司若将德国B公司的企业管理软件配置至中国,并收集与供应商之间的交易信息,该行为属于将中国境内的数据转移出境,将会受到中国法下关于“数据出境”的法律规制。
《数据安全法》明确了相关法律适用的问题,即“关键信息基础设施运营者”在境内运营中收集和产生的重要数据出境,仍适用《网络安全法》的有关规定。由此,关于目前中国法律下对于“商业数据与个人信息”的出境监管,我们梳理出如下法律框架表格,并于后文予以分析:
表格 1 商业数据和个人信息出境主要法律
效力等级 | 名称 | 本文简称 | 发布单位 | 生效时间 |
法律 | 《中华人民共和国数据安全法》 | 《数据安全法》 | 全国人大常委会 | 2021.09.01 |
《中华人民共和国个人信息保护法》 | 《个人信息保护法》 | 全国人大常委会 | 2021.11.01 | |
《中华人民共和国网络安全法》 | 《网络安全法》 | 全国人大常委会 | 2016.11.07 | |
行政法规 | 《关键基础设施保护条例》 | 《关键设施条例》 | 国务院 | 2021.09.01 |
部门规章 | 《数据安全管理办法》(征求意见稿) | 《数据安全办法》 | 国家互联网信息办公室 | 2019.05.28 |
部门规范性文件 | 《个人信息和重要数据出境安全评估办法》(征求意见稿) | 《重要数据出境评估办法》 | 国家互联网信息办公室 | 2017.04.11 |
《个人信息出境安全评估办法》(征求意见稿) | 《个人信息出境评估办法》 | 国家互联网信息办公室 | 2019.06.03 | |
《网络安全审查办法》 | 《网络安全办法》 | 国家互联网信息办公室、国家发展和改革委员会等 | 2020.04.13 | |
《网络交易监督管理办法》 | 《网络交易办法》 | 国家市场监督管理总局 | 2021.05.01 | |
国家标准 | 《信息安全技术数据出境安全评估指南》(草案) | 《评估指南》 | 国家信息安全标准化技术委员会 | 2017.05.27 |
根据上述法律法规的内容,我们梳理出现阶段“原则上须以境内本地化存储”的数据,具体包括:
l 在中华人民共和国境内运营中收集和产生的重要数据;
l 在中华人民共和国境内运营中收集和产生的个人信息;
l 国家机关处理的个人信息。
以及依据《评估办法》第11条规定“绝对不可出境的数据”,具体包括:
l 个人信息出境未经个人信息主体同意,或可能侵害个人利益;
l 数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
l 其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
2. 论证与分析
总体而言,中国在立法趋势上,对数据出境的要求正日趋严格。因此本备忘录的论证与分析倾向于从严把握,以更好地适应监管部门的合规要求,以最小的变革成本应对未来的监管压力。
1) 中国信息安全法律所规制的主体范围
《数据安全法》对“重要数据”进行了二分监管,简要分析如下:
l 对于“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据”出境,直接援引《网络安全法》的规定;
l 对于“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据”,则需进一步由国家网信部门会同国务院有关部门制定出境安全管理办法。
《网络安全法》第37条将评估主体适用范围限定于“关键信息基础设施的运营者”。但随后出台的《重要数据出境评估办法》与《评估指南》均将适用范围明确扩展至“网络运营者”。
其次,对“关键信息基础设施运营者”的定义,《网络安全法》规定,若企业运营的网络设备遭到破坏、丧失功能或者数据泄露后,可能严重危害到国家安全、国计民生、公共利益的,则这些企业很有可能会被认定为关键信息基础设施运营者。此外,《关键设施条例》规定了有权认定“关键信息基础设施运营者”的机关。
最后,《网络安全审查办法》补缺了此前网络安全审查的审查短板,审查范围从关键信息基础设施运营者扩大到了全部数据处理者。还增加了对“数据处理者开展数据处理活动”的审查。
因此,A公司使用B公司的企业管理软件传输交易数据,B公司虽然是企业管理软件的提供者,在中国法项下仍属于“数据处理者”,通过B公司的企业管理软件向中国境外传输数据的行为仍受到中国法律规制。
2) 需进行评估的数据类型
《网络安全法》对“重要数据”并未定义。《重要数据出境评估办法》中采取了宽泛、模糊定义:重要数据是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照未来制定的国家有关标准和重要数据识别指南。,《重要数据出境评估办法》第9条列举了部分法定情形,在出境数据符合这些法定情形时,网络运营者应报请行业主管或监管部门组织安全评估。
我们认为,在未来更加详尽的指南尚未公布前,对于重要数据的定义应当从严把控,以期最小化合规风险。因此,对于B公司将使用企业管理软件收集的交易数据,若仅仅收集一些简单的财务数据,则可以不定义为“重要数据”,但如果交易数据范围较大、数据较多(例如超过1000GB),且大量的交易数据中可以借此从中对地区的经济状况进行分析,对消费者画像进行建立等商业行为,则应当界定为“重要数据”,且A公司为主营业务为牙具,在商业活动中可能掌握消费者口腔健康数据的整理与分析,该部分数据存在被认定为“人口健康数据”的可能性,因此应报请监管机关进行相应的数据出境评估。
3) 在数据确有必要出境时,如何履行评估义务?
基于上述讨论,B公司的企业管理软件在中国境内运营中产生和收集的商业数据,因业务需要,确需向境外提供的,应当进行安全评估。
依据上述法律法规,我们梳理出评估的基本流程:
4) 监管机关评估时的倾向与内容
根据《重要数据出境评估办法》第8条规定,数据出境安全评估首先应当评估数据出境的目的,要求出境必须具有合法性、正当性和必要性:
l 合法性包括:不属于法律法规明令禁止的;不属于国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
l 正当性包括:个人信息主体已同意的;虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外;不违反相关主管部门规定的。
l 必要性包括以下任一种或几种情况:履行合同义务所必需的;同一机构、组织内部开展业务所必需的;中国政府部门履行公务所必需的;履行中国政府与其他国家和地区、国际组织签署的条约、协议所必需的;其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。
在此基础上评估数据出境的安全风险,将数据出境及再转移后被泄露、损毁、篡改、滥用等风险有效降低至最低限度。在A公司通过企业管理软件传输的商业信息中,若与员工的个人信息无法区分,则监管机关还会将该部分个人信息的内容,以及员工是否知情和同意作为重要的评估因素。
3. 结论
通常而言,A公司与供应商、分销商的交易信息和数据体量不会很大,且不涉及国家安全和社会秩序有影响的数据,因此如果该部分商业数据能够与员工个人数据相区分的话,对于该部分数据仅仅需要履行自评估程序,符合条件时报送监管机关即可出境;但是如果无法区分,则应当报请监管机关进行评估。
一、 少数个人信息(摘自《劳动合同》的员工信息)的收集与储存
简要结论:个人信息原则上不可以直接从德国收集,也不可以储存于德国,确有必要出境时,应履行相应的告知、获取同意与安全评估程序。出境后应当制作个人信息出境记录,且记录至少留存5年。
1. 法律框架分析
上述对商业信息出境进行规制的法律中,包括了部分对个人信息出境规制的内容,但相较于商业数据信息,个人信息有着更加复杂的敏感性。《网络安全法》对“个人信息境内存储”作出原则性规定,《民法典》也从民事权益角度对个人信息出境予以限制。
除上述法律以外,关于个人信息的出境还包括专门法律,目前《个人信息保护法》、《网络安全法》、《数据安全法》三部法律形成中国对个人信息出境规制的基本法律框架。此外,2017年《重要数据出境评估办法》第2条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息,应当在境内存储。由此确立个人信息应原则上境内储存的原则。
2. 分析与论证
1) “个人信息”的定义与《个人信息保护法》的适用范围
《个人信息保护法》第4条规定:个人信息是“以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。由此可见,A公司从劳动合同中获取的员工信息,属于中国法律下《个人信息保护法》所规制的员工的个人信息。
《个人信息保护法》第3条第2款规定,“以向境内自然人提供产品或者服务为目的”的在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,或者属于“分析、评估境内自然人的行为”,也适用本法。因此境外B公司处理该部分个人信息时,也受中国法律规制。
最后,对于境外的个人信息处理者,《个人信息保护法》第53条进一步要求应当在中国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构或者代表的信息报送履行个人信息保护职责的部门。也即实际处理信息的A公司与B公司应当在中国境内有专门机构或代表,以履行告知境内自然人收集其个人信息与报送评估的义务。
2) 哪些主体有权收集员工信息并受中国法律规制
根据《网络安全法》第76条的规定,“网络运营者”是指网络的所有者、管理者和网络服务提供者。也即中国法律下定义网络运营者的范围非常广,除了互联网公司、电子商务企业之外,还包括运用互联网、企业内网、工业网等处理个人信息的企业等。此外,根据《个人信息出境评估办法》的规定,跨国公司在中国投资的合资公司/独资公司、在华代表处以及办事机构向境外母公司提供员工姓名、电子邮箱地址、电话号码等员工管理信息时,均会构成个人信息出境,从而应办理信息出境前的安全评估手续。
因此,对于涉及密集员工个人数据的企业管理软件而言,无论是否会被归类为关键信息基础设施运营者,都有可能履行个人信息跨境传输要求的义务。
3) 可以收集的员工个人信息范围
根据中国《劳动法》的规定,用人单位有权获得劳动者与劳动合同直接相关的基本信息,包括年龄、性别、姓名、学历、联系方式及工作经验等,根据特定行业要求(例如法律服务行业、证券行业等),还可以了解资格证书、违法记录等(《中华人民共和国劳动合同法》第8条)。
但是对于与劳动合同无直接关系的其他信息,比如婚姻状况、子女情况、宗教信仰及个人爱好等信息,劳动者有权拒绝提供。但劳动者自愿提供的除外。
《个人信息保护法》第13条列举了多项处理个人信息无需取得个人同意的情形,其中与A公司境外发送信息相关的为第1款和第6款,第1款规定“为履行合同、实施人力资源管理所必需”。第6款规定“在合理范围内处理已公开的个人信息”。
由此,A公司如符合以上两款情形时,可以在一定程度上收集《劳动合同》中员工的个人信息。但需要注意的是,尽管“在合理范围内处理已公开的个人信息”在一定程度上为企业利用个人信息提供了法律依据,但该项在实际应用时,仍然面临很大的挑战和不确定性,即“合理范围”难以界定,需要个案判断。根据《民法典》相关规定以及目前的司法和执法实践,判断“合理性”的关键是符合个人信息被公开时的预期用途。因此,企业仍需谨慎引用该例外情形处理个人信息。
4) 收集的个人信息如何出境和储存
在出境前,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。其次,个人信息处理者应当采取必要措施,保障境外接收方的活动达到中国规定的保护标准。同时,个人信息处理者向中国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
除此之外,《重要数据出境评估办法》第12条要求,当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
《个人信息出境评估办法》要求对于任何个人信息出境,都必须向省级网信部门申报个人信息出境安全评估。如评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。上述规定为个人信息出境间接地设置了“经省级网信部门同意”的要求,即同意的主体是“省级网信部门”,“同意”的标准是:是否可能影响国家安全、损害公共利益或者是否难以有效保障个人信息安全。
根据《个人信息保护法》第38条的规定,个人信息出境将按照不同的个人信息处理者,实施不同类型的个人信息出境安全审查。具体而言:
关键信息基础设施运营者(CIIO)原则上应将其在境内收集的个人信息储存在本地。确需向境外传输的,应当通过国家网信部门组织安全评估;
一般的个人信息处理者如处理信息未达到规定数量,通过专业机构的认证,或者按照国家网信部门制定的标准合同与境外接收方订立合同后,即可出境;如处理数量达到规定数量,则参照CIIO进行管理。
由此,我们依据上述法律法规梳理出现阶段个人信息出境流程,并在下文予以具体分析:
监管机关评估方向
从内容上来看,网信部门重点评估点在于网络运营者获取个人信息的合法正当性、网络运营者与境外接收者对个人信息主体合法权益的保护能力、个人信息出境合同的可执行性。反之,如果网络运营者或接收者无力保障个人信息安全,或者网络运营者或接收者发生较大数据泄露、数据滥用等事件时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息。
此外《个人信息出境评估办法》第20条规定,境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。也即A公司虽然使用的是B公司的企业管理软件收集员工个人信息,也应当通过设立在中国境内的子公司或其他有权主体履行告知员工且获得同意的义务。
1) 个人信息出境时各方义务安排
对于网络运营者而言,个人信息出境合同应明确规定运营者(个人信息发送方)承担以下义务:
l 告知义务:以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。
l 提供合同副本义务:应个人信息主体的请求,提供网络运营者与接收者签订的个人信息出境合同的副本。
l 先行赔付义务:应个人信息主体的请求,向境外接收者转达个人信息主体诉求,包括向境外接收者索赔;当个人信息主体不能从境外接收者获得赔偿时,网络运营者应先行赔付。
l 对境外接收者,《个人信息出境评估办法》也设立了相应的合同义务,A公司作为跨国公司,境外母公司在接受中国境内个人信息时应当引起注意:
l 路径提供义务:个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除;
l 情况重大变化时的报告义务:确认签署及履行合同不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并报告网络运营者所在地省级网信部门。
l 合同终止后的义务:除非境外接收者已经销毁了接收到的个人信息或作了匿名化处理,即使个人信息出境合同终止,也不能免除接收者承担涉及个人信息主体合法权益的义务
2) 员工个人信息违法出境的法律责任
相比于《网络安全法》等相关规定,《个人信息保护法》对个人信息相关的违法行为处罚力度更大,设置了更严格的法律责任。
首先是民事责任,根据《民法典》人格权编关于个人信息保护的规定,个人信息受到侵害时,受害人有权依照《民法典》和其他法律的规定,请求行为人承担停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉的民事责任。此外根据《个人信息出境评估办法》,在个人信息出境合同中,个人信息主体是涉及个人信息主体权益的受益人。个人信息主体合法权益受到损害时,可以向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。
其次是行政责任,《个人信息保护法》极大地提高了企业违法处理个人信息时的罚款数额。违法处理个人信息情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、吊销相关业务许可或者营业执照。该处罚标准程度之高前所未有,因此企业有必要认真制定个人信息出境的合规计划。
再次,《个人信息保护法》还增加了“记入信用档案”的处罚机制
最后,相较于《网络安全法》,对于“情节严重”的行为,违法企业的相关责任人员不仅可能受到高达百万的罚款,还可能同时受到从业限制,在一定期限内无法担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。如违法处理个人信息涉嫌犯罪,监管部门将同时移送公安机关处理。
尽管个人信息保护法对何种违法行为将落入“情节严重”的范围未提出明确标准,留待执法部门出台更细致的裁量规则。但整体而言,增加的处罚种类和加重的处罚力度都将大大增加企业的合规成本。因此我们认为对于A公司的数据出境方案,从严把握将极大减少合规的风险。
二、 结论与建议
综上所述,虽然上述法律法规部分为征求意见稿的形式,但我们认为这些新固定释放了一个很明显的信号,即安全评估极为强调企业的主体责任:对于一般情形,企业自行评估,并对评估结果负责;对于特定情形,企业应当主动报请有关部门参与评估。由此,对企业而言,在一般情形中,如果未开展自行评估,或在自行评估中存在任何隐瞒、欺诈或造假行为,或在特殊情形中,如果未及时报请行业主管或监管部门进行评估而擅自开展数据跨境传输行为,都会面临监管机构的整改要求,甚至处罚。
因此我们建议A公司应当从严把握数据出境的标准,尽可能地于中国本地建立数据中心储存数据,如确有必要出境时应积极履行出境前的主动评估义务,减少合规成本与监管机关未来可能带来的压力。
1) 做好信息本地化的技术准备
就本企业需要进行跨境传输的数据进行分类,准确识别所涉“个人信息与重要数据”。对于那些可以本地化存储和加工的信息和数据,做好在中国境内存储相关信息的技术准备。
2) 区分处理个人信息与商业信息
为满足监管机关对个人信息出境不断强化的监管要求,跨国公司应当依法建立并完善个人信息保护制度,对员工个人信息的收集、存储、使用、共享等处理行为做出明确规定,通过公司内部系统或者书面形式向员工通知,并获得其签收确认。
跨国公司为了集团内部管理需要,一般会向境外母公司传输员工管理信息。为此,作为个人信息保护制度的配套文件,跨国公司应提前与员工签署《个人信息使用同意承诺函》等文件,单独列明为内部管理之目的而需要向境外母公司集团共享的员工信息类型(例如姓名、所属部门、电子邮箱、紧急联系手机号、住址等),并获得员工的授权同意。
此外,跨国公司还应注意仅在最小必要范围内向母公司集团共享员工个人信息,并对不同类型的个人信息设置不同的访问、管理权限,防止发生个人信息泄露事件。
3) 积极了解境外接收方数据安全情况
建设和完善数据安全的软硬件设施,了解数据出境目的地的网络安全状况,确保与出境数据的境外接收方形成有效的联动机制。A公司位于法国,B公司位于德国,均属于欧盟(EU)国家公民数据的企业,必须执行欧盟有关用户数据保护的严格新规:《通用数据保护规范》(GDPR)。每一个GDPR违规行为将受到高达2000万欧元的严重处罚,或者上一年全球年营业额的4%,以较高者为准。因此,准确理解与制定境外信息接收地的合规计划,将有助于企业目标的实现。
4) 强化与监管机关的沟通,履行评估义务
最为重要的是,企业在发生跨境数据或信息传输前,与行业主管或监管部门进行有效的沟通,对可能的数据出境行为先行报备,了解清楚出境数据的评估属于自我评估还是报请评估,以大大减少数据传输的合规成本和风险。
我们相信以上分析能够对您的决策起到帮助,并且我们将密切关注数据与信息安全领域未来立法动态,并与您的工作保持协调。如您有任何疑问,请随时与我们联系。
顺颂
商祺!
A公司法务部
黄玮航
二零二一年九月二十四日
