上海复恩社会组织法律研究与服务中心与中国慈善联合会特别举办的中国慈善联合会“善客沙龙”暨第四届复恩社会组织合规沙龙 “慈善事业专业发展：数据安全和个人信息保护”专场 已于6月9日成功举办。

本篇我们将给大家分享来自 北京师范大学 副教授 马剑银 的演讲。

社会组织发展合规新问题

北京师范大学 副教授 马剑银

感谢复恩和陆璇理事长的邀请，今天借着讨论会主题“社会组织发展合规新问题”想跟大家分享两个内容，一个是：谈社会组织合规，我们究竟在谈什么；第二个是：所谓新问题到底新在哪？或者说对社会组织来讲，尤其是当下中国的社会组织来讲，那些新问题真的那么重要吗？

首先，我们谈谈什么是社会组织合规。

“合规”这个词在中文世界中目前非常流行，尤其是法律实务界，但实际上“合规”这个词的使用有很大的差异性。

“合规”，从汉语来讲，是“合乎规定”的意思，而且这个“规定”肯定要超越“法律规定”的界限，但在实践中，“合规”这个词的使用充满着歧义、模糊。在法学上，它一般有两个含义。

“合规”第一个涵义，就是其本义，也就是英文的“compliance”。在国际上，我们说合规概念的起源，它其实不是我们现在通常所说的一个机构要做符合规定的事情这么广泛，主要是说有一些存在特殊风险，或者经营风险性很强的一种行业，例如银行等金融行业，它们要主动积极地去防止一些风险的发生，所以它们要做的不仅仅是“合法”“守法”，而是要找到这个行业或者这个机构相关的所有行为规范，除了法律，还有行业习惯、社会伦理、机构章程、监管部门的临时措施等等。有些规定甚至是潜规则，但长期以来一直如此，已经适用于银行自身业务活动，如果你不这样做，就有可能带来风险，需要承担不利后果。这种不利后果包括法律制裁、监管处罚、重大财务损失或者声誉损失等。

之后，这个“合规”涵义开始泛化，使用到各个领域的企业，例如国有企业，甚至国资委还制定了部门规章《中央企业合规管理办法》，对合规的定义也比较宽泛“所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求”。

“合规”的普遍化使得这些机构往往设立一个单独的部门去处理合规事宜，很多合规部门是有别于法务部门设立的。

第二个合规是刑事合规，在中国语境中常常也表述为“合规不起诉”。

所谓刑事合规，是指为避免因企业或企业员工相关行为给企业带来的刑事责任，国家通过刑事政策上的正向激励和责任归咎，推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险，制定并实施遵守刑事法律的计划和措施。我国语境中是指检察机关对于那些涉嫌犯罪的企业，发现其具有建立合规体系意愿的，可以责令其针对违法犯罪事实，提出专项合规计划，督促其推进企业合规管理体系的建设，然后作出相对不起诉决定的制度。根据企业建立合规体系所依据的程序路径，合规不起诉可分为“检察建议模式”和“附条件不起诉模式”两类。在前一个模式下，检察机关在对企业作出相对不起诉决定的同时，向其送达检察建议，要求其在一定期限内建立专项合规体系。而在后一种模式下，检察机关对于提交合规计划的企业，作出暂缓起诉、合规考察或者附条件不起诉的决定，设定一定的考验期，责令其聘请合规监管人，后者对企业合规进展情况进行全流程监管，并定期提交合规进展报告，在考验期结束后，检察机关根据企业合规的推进情况，作出是否提起公诉的决定。

这种做法在法学界也有争议，但是实践上这几年一直在这么做，所以说这些企业就会主动积极的规范自己的行为，从而获得检察机关的自由裁量，落实对企业尤其是民营企业的正向激励政策，而进行一定程度的变通。

因此，“合规”这个概念实际上是有扩展适用的，所谓“社会组织合规”的概念，恰恰也是一种扩展使用。

宽泛使用“合规”概念，是有好处的，可以说是“多赢”，让大家皆大欢喜。机构和从业人员觉得自己安全了，行业觉得安静了，监管部门觉得轻松了。但是，它实际上还是有一些问题，有一些制度或者话语在进行跨文化移植的时候，有可能存在异化的情形。

举个简单例子，跟合规很相似的，第一个概念就是监管，“监管”一词源于英文的regulation。法学界现在不太用监管这个译词，而是使用“规制”。regulation这个词是规章制度的意思，最初是一个普通法的故事，是英美的故事。为什么会有一个regulation呢？依法不就行了吗？法治不就行了吗？那么为什么会有一个regulation？在英国和美国普通法语境中，以判例法治国，政府被定位为“守夜人”，最小的政府是最好的政府。但是在20世纪之后，政府或者行政管理机关的权力越来越大，甚至被称为，而且在整个社会进行管理的过程当中，起到了很重要的作用。所以说他们希望充分发挥行政机关的创造性、积极性来维持这个社会的运行，而不是被动的以法院为中心。因为如果行政机关完全依法行为，那他们做不了什么，尤其到20世纪之后。所以监管/规制的意思就是说，政府可以通过事先制定成文法规则的方式（regulation），用来发挥政府本身的生态积极性的创新，这些regulation符合法治要求而制定，而且行政机关的行为按照regulation进行行为。

在英美，规制/监管的这个概念是扩张了政府的权力，也就是赋予政府很多可以这样做的权力。所以才有新公共管理运动、公共服务封一系列政府正向积极主动的行为。但这个概念来中国之后，我们感到非常的高兴，翻译成监管，也就是监督管理，也就是强化政府对社会的监督管理。但实际上中国的政府一向是大政府，这个权力够大的，现在这个监管理论一来，我们不仅不去限制政府的权力，而且还要继续给予政府更多更大的权力。Regulation这个话语变成了监督管理话语，产生了异化。

最近一个例子，关于信息网络方面的监管，有人翻译了一本书，叫《law3.0》，说的是1.0版本的law是依规则治理，其实就是法治，2.0的law就是规制，政府制定大量的规章制度去主动治理社会，那3.0版本的law现在就是技术作为标准，成为治理的核心。英美语境中，因为经历了law1.0和law2.0时代的过渡，技术规制，实际上是在这个框架里的升级，技术本身是受到极大制约的。但是这种概念一旦引到这个中国，我们要从法治、规制到技术治理，三位一体同步建设。因为1.0版本的法治基础比较弱，所以我们能够明显感受到这种技术手段对我们的影响，受到权力与资本的控制比较严重。如果在英美的语境中，这是一个逐步推进的自然现象，但在我国，恰恰就会出现技术与权力、资本的结合，反过来削弱法治基础。因此国情不一样，我们去移植或者引用这样的一些概念的时候，恰恰跟其他人、地方也不一样。

还有一个类似的词就是“治理”，这个大家比较熟悉，我在这里就不谈了。

一些外来话语在使用的时候都有可能被异化。“合规”这个词也是如此，“合规”从compliance，企业或者机构为了避免风险主动积极地进行一些行为的自我审查，这本身并没什么问题，因为除了守法，还需要遵守各类其他规范，从而保持机构的安全。但是我们遵守的这些其他规范是什么呢？是否都经得起合法性审查呢？还是只要存在规定就要遵守？遵纪守法还不够，你还要遵守行业规范、各种各样的习惯，甚至有可能是这段时间临时性的规则，如果不遵守，万一发生舆情，万一发生什么，什么时候你都要承担责任。大家都害怕承担责任，因此，会在最大程度上去主动约束自己的行为？就是大家都沉浸在这样的一个氛围里。

银行等高风险机构，因为需要应对高风险，所以行为比较保守，因此主动积极的“合规”行为确实很必要，但是如果是一些带有社会创新功能、带有试错、实验功能的机构都按照这种保守的思路来做，那整个社会就有可能死气沉沉。我们过多地使用合规这样的一个概念，就会异化它，异化到我们会自我规制、自我审查，我们对自己的行为就是非常不自信，就经常觉得，会不会违规呢？会不会出问题呢？当你每天都是想这样的一些事情的时候，你觉得你还会做得好事情也做得好吗？你连做事情的自信都没有。

因此，我们想问，“社会组织”是高风险行业和部门吗？

本来这个行业的存在，本来就是没有那么高大上，一定要让它们承担什么功能？社会组织的存在，很多时候就是一种多样化的去试错、去创新，但是我们的社会组织呢？“合规”话语却成了第一要务。当然，我并不反对讨论社会组织的风险防控，社会组织的规范治理，但是“合规”这样的话语使用多了，会不会扼杀整个行业的活力呢？我觉得是有这种可能的，至少目前的氛围下，是很有可能的。

因此，如果我们谈合规，大家要明白，这是跟我们之前谈社会组织风险防控，社会组织规范治理这些东西是一样的，它不是一个新的东西。律师们喜欢使用一些新词去营销，帮助大家解决难题，这是一件好事，但是也不要过度营销。

接下来要谈的是第二个话题——合规新问题？

今天讨论的主题是社会组织如何应对数据安全和个人信息保护，这不仅仅是社会组织需要面对的新问题，是所有的组织都要面对的新问题。我们国家出台了两部法律：《数据安全法》与《个人信息保护法》，全社会都在学习、消化这两部法律的内容，以及其与欧洲、美国等国相似法律的异同。但社会组织在学习、消化这些问题中有什么特别的地方吗？我觉得可能是领域与内容上的特别，并没有性质上的特别。例如如何使用客户的个人信息，对于社会组织来说，就是社团的会员信息，慈善组织的捐赠人、受益人的信息，如何处理机构内的电脑、网络中存储的数据，涉外社会组织还要关注数据出入境的管理问题等等。这些内容非常多，需要学习的也很多，但就我今天要讨论的主题来说，社会组织风险防控的重点并不在这些新问题上，而是日常风险防控和规范治理。基础合规都还没有合格，没有学会走，就先不要顾着想跑了。

我初略查了一下，目前，整个社会组织风险防控和规范治理的问题，已经进入诉讼程序的，有知识产权纠纷、合同纠纷，劳动争议纠纷、侵权责任纠纷、物权纠纷等，至于在行政监管、行政执法领域，这种规制性的问题更多。而这方面的培训，实际上我们做的是不够的，所以，我觉得要谈社会组织合规新问题，一定要结合我们社会组织常规的风险防范，规范治理或者合规的问题讨论。

例如，内部治理风险防控，除了常规的内部人控制风险、财务治理制度、项目管理制度、专项基金管理制度的风险之外，新的社会组织党建的要求，对于党组织和原有的治理体系之间的衔接同样是风险点所在，监事制度的健全问题同样存在风险，现在出现的上市公司独立董事承担责任的问题是值得社会组织的监事们警惕的。监事（甚至包括理事）对社会组织的决策是否要承担责任以及怎么承担责任？

例如财产使用过程中出现与捐赠人目的不一致、投资保值增值出现决策失误，以及项目资金来回挪用的问题，都已经出现纠纷。

例如慈善组织的知识产权性质、慈善组织的商标、专利和版权能否让商业机构来代持，怎么理顺其中的关系，如何解决劳务人员与志愿者的关系的问题，募捐与捐赠、与商业机构合作时的公益营销的问题等等。甚至还会有一些项目执行风险，例如如何面对受益人遭受舆论风险时对项目甚至组织的影响，像银杏计划，这是一个非常出色的项目，但是也因为个别受助人的道德失范行为遭受舆论风险，被质问为何要去资助这种道德失范的受助人。

有些问题是可以主动积极的通过合规或者风险防控、健全制度来避免的，有的只能通过事后的积极应对才能处理。有的是合规问题，有的恰恰是责任承担的方式问题，过度关注事先的合规，反而会影响机构和行业的创新，政府部门有一刀切的“懒政”，社会组织同样会有这种一刀切的“懒事”。

总而言之，面对日益发展的新事物，尤其是信息技术的新发展，我们当然要有敏感性，去接触、学习新事物，但是，仅仅追求前沿、时髦，是不够的，首先要做的反而是常规的、基础的问题。用一句话来总结就是，关于社会组织合规新问题，首先要谨慎对待“合规”，其次更不要一味去关注新问题而忽视更为基础和常规的老问题。