摘要:伴随着《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》等文件的出台,全国各地掀起企业合规的浪潮。在此浪潮之下,上海、江苏、湖北等地区的国资委陆续发布企业合规管理体系指引文件,证券、基金、银行、医药等行业的合规管理规范文件也逐渐落地,华为、吉利等企业率先开展企业合规体系建设。不仅如此,最新版的《合规管理体系要求及使用时指南》(Compliance management systems——Requirements with guidance for use)国际标准已于2021年4月正式施行,此标准将为全球各类企业的合规管理提供专业指导。
在此背景下,本文将合规的触角延伸至正处于变革时期的酒店行业,聚焦酒店领域的合规体系建设,试图为酒店行业下的企业提供合规管理和合规体系建设带来一点思考。
一、酒店行业合规的背景梳理
陈瑞华教授在其出版的《企业合规基本理论》中提到,企业合规与人工智能(AI)被并称为21世纪法学研究的两大前沿课题。[注1]笔者认为,企业合规与迈向智能化道路的酒店行业将成为不可分割的整体。无论是从国家层面还是行业层面抑或是企业层面来说,酒店行业的合规之路才刚刚开始。
(一) 国家层面
合规(compliance)是法治中国最基本的形式要求,法治国家、法治政府和法治社会的一体建设应当以“合规”之路推进。[注2]事实上,我国早在2005年开始就在国有金融企业中推行合规机制,并相继发布《商业银行合规风险管理指引》《保险公司合规管理办法》。[注3]2017年,中国标准化管理委员会发布中国版的《合规管理体系指南》。同年,中国证券监督管理委员会发布《证券公司和证券投资基金管理公司合规管理办法》,以行政规章的方式向证券企业推行强行合规制度。从上述举措可以看出,合规已然被置于国家战略层面的高度之上。特别是美国对华政策收紧以来,中国企业在“走出去”的道路上面临着严峻的合规风险。2018年中兴通讯事件爆发以后,国家陆续发布《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》等文件,将企业合规管理再次提升至国家战略层面的高度。随后,企业合规在证券、医药、能源等行业或领域掀起一波又一波的热潮,由此可见,聚焦于酒店行业的合规建设亦是大势所趋。
(二) 行业层面
根据中国饭店协会发布的《2021年中国酒店业发展报告》[注4],酒店行业存量资产改造、模式创新、业态创新进入活跃期,产品模式从传统星级酒店为主转向商务酒店+经济型连锁+度假酒店+民宿+租赁式公寓+精品饭店+文化主题饭店(如电影酒店、电竞酒店、亲子酒店、民族特色酒店等)多业态百花齐发,行业发展重心从注重发展规模和速度转向注重品质和绩效,经营模式从单体酒店的模式化管理向连锁化、线上化转型。
以同程艺龙为例,2020年其投资设立艺龙酒店管理公司(以下简称“艺龙酒管”),采取存量、下沉、终端化的经营策略,将公司定位为创新型酒店管理赋能服务商,打造自营品牌、联合品牌、合资品牌三大矩阵。一方面,艺龙酒管通过连锁化加盟模式,吸引下沉市场的单体酒店加入旗下酒店品牌,另一方面,通过战略合作模式,与其它酒管公司合资成立新公司或者签订战略投资协议,继而推出新品牌或联合品牌。事实上,新冠疫情过后,携程、美团、去哪儿等头部企业加速平台型OTA的进程,走上连锁化品牌发展之路以挖掘下沉市场。除此之外,疫情倒逼酒店行业驱动科技,加速智慧化升级转型,“智慧酒店”成为酒店行业的新潮流。万豪、洲际、华住、锦江、如家等酒店集团都陆续推出“智慧酒店”,引入智能化管理服务以实现入住流程的智能化以及增值服务的智慧化。
由此可以看出,酒店行业发展正在迈入全新的时代,连锁化和智能化已是酒店行业发展的必然趋势。虽然此种趋势会带领酒店行业继续向前蓬勃发展,但是连锁化和智能化所带来的合规风险也不容忽视。从降低合规风险的角度来说,企业合规管理体系的建立将会助力酒店行业实现更为持续和健康的发展。
(三) 企业层面
企业合规(corporate compliance)发端于美国,目前已成为全世界企业的治理方式。对于企业合规,不能仅仅依字面意思将其解释为“企业依法依规经营”,而应将其视为一种基于合规风险防控而确立的公司治理体系。而合规风险,是指企业因没有遵守法律、规则和准则而可能遭受的法律制裁、监管处罚,以及遭受重大经济损失和声誉损失的风险。[注5]
2017年3月7日,美国政府宣布中国电讯巨头中兴通讯ZTE违反美国限制向伊朗和朝鲜出口货品的禁令,被罚款12亿美元。作为中国最大上市电讯公司,中兴通讯承认美方指控的同时表示接受为期三年的监管,包括一项合规计划,让一名企业监督者有权深入检查公司的商业记录。[注6]此次事件也让中兴通讯在内的企业深刻地认识到合规是公司战略的基石和经营发展的底线。其实,十多年前,西门子公司也曾因公司涉嫌海外商业贿赂而受到德国慕尼黑检察机关的调查,最终达成和解协议,缴纳总额达8亿美元的罚款。事后,西门子建立了独立而权威的合规组织体系,设置首席合规官担任合规组织的负责人,将合规工作的重点放在反腐败、反垄断、数据保护和反洗钱四大领域。前事不忘,后事之师,合规管理体系的建设对企业的发展至关重要,酒店行业亦是如此。
二、酒店行业合规的重点领域
《中央企业合规管理指引(试行)》第十三条曾明确指出,合规重点领域主要包括:一是市场交易领域,提出反商业贿赂、反垄断、反不正当竞争,规范资产交易、招投标等活动;二是安全生产环保领域,突出防范安全生产、环境保护等合规风险;三是产品质量领域,完善质量体系,确保优质产品和服务;四是劳动用工领域,健全劳动用工合同管理制度,维护劳动者的合法权益;五是财务税收领域,在依法纳税、遵守税收法律方面防范合规风险;六是知识产权领域,在知识产权的注册、许可、转让以及商业秘密和商标保护等方面防范合规风险;七是商业伙伴领域,通过签订合规协议、要求作出合规承诺等方式,促使商业伙伴合规经营。上述七大领域仅是国资委针对国企合规重点领域的基本梳理,尚不能为特定行业的合规管理工作提供标准解答。本文作者认为,不同行业所面临的合规领域的侧重点有所不同。当下,我国酒店行业已进入4.0时代,理应对现阶段酒店行业合规的重点领域再作梳理。
回顾以往,酒店行业的法律服务市场主要集中于酒店日常运营、特许经营、委托管理、地产开发、资产管理等方面。但是,随着酒店行业整体走向品牌连锁化和科技智能化,酒店运营所暴露出的合规风险也会越来越高。以品牌连锁化模式为例,头部酒店集团通过连锁加盟的方式,走轻资产模式,统一物资供应链、物业服务和管理、快速扩张品牌影响力以挤占市场,加速行业的整合。特别是携程、去哪儿、同程等企业利用线上OTA平台进行引流,为线下品牌连锁化经营助力。此种经营模式有利有弊,其弊端在于连锁化模式导致合规风险分散至各个环节,任何一个环节出现问题,风险将会迅速蔓延进而威胁全局。下文将针对酒店行业合规的重点领域进行深入分析。
(一) 信息安全与数据合规
2021年6月10日,十三届全国人大常委会通过《数据安全法》,将数据安全提升到国家安全高度,明确规定“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”[注7]同年7月,国家网信办陆续发布公告称,网络安全审查办公室按照《网络安全审查办法》对“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查。一时间,数据合规成为合规领域最热门的话题。数据安全已成为国家未来安全治理的重点关注问题,数据合规也将成为企业未来健康发展的重要赛道。[注8]
特别是对于酒店行业来说,数字时代的到来使得酒店纷纷引入物业管理系统(PMS)、大数据和客户关系管理系统(CRM)、SAAS平台等打造智能酒店。值得期待的是,人工智能科技进入酒店行业后,无人智慧酒店生态系统将会全面生成。顾客入住前可通过酒店虚拟前台进行咨询,到店后由智能机器人引导办理入住,进入房间后通过人脸识别、智能助手语音控制客房设备、体验智慧酒店服务等。随着《网络安全法》《电子商务法》以及行业合规文件的出台,酒店行业将面临越来越高的信息安全与数据合规要求。
本文前往威科先行法律库以“酒店”、“网络安全”为关键词,检索到396篇行政处罚决定书。通过梳理上述行政处罚案例可以发现,很多酒店在部署和运营内部管理系统时,未严格按照《网络安全法》第二十一条[注9]、第二十五条[注10]等规定采取监测、记录网络运行状态、网络安全事件等技术措施而被处罚。除此之外,2017年全球酒店连锁集团凯悦酒店遭遇黑客攻击,导致全球11个国家的41家凯悦酒店面临数据泄露。同年,洲际酒店被爆旗下1000多家酒店遭遇支付卡信息泄漏的问题。2018年3月,华住酒店近5亿条个人信息的泄漏成为迄今为止最严重的酒店信息泄露事件。因此,本文建议酒店行业从以下三个方面加强信息安全与数据合规。
第一,酒店在日常经营环节中,应加强信息化管理,严格按照《网络安全法》《电子商务法》《个人信息保护法》的规定,履行网络安全保护义务,建立健全用户信息保护制度,避免行政监管处罚。
第二,酒店在融资并购环节中,应加强数据合规,严格按照《网络安全法》《数据安全法》《个人信息保护法》的规定,对数据进行分类分级保护,依法对数据进行加工处理,做好充分的数据合规尽职调查,并据此在并购交易中建立适当的责任机制。
第三,酒店在为欧盟境内的数据主体提供商品或服务或者对发生在欧盟境内的数据主体的活动进行监控时,应严格遵守欧盟《通用数据保护条例》(GDPR),避免基于“长臂管辖”原则而受到欧盟方的处罚。
(二) 知识产权合规
考虑到当下酒店行业的经营模式正在从单体酒店的模式化管理向连锁化、线上化转型,市场上开始涌现出不少独具特色的IP酒店,酒店行业的知识产权合规将迎来新的挑战。
第一,连锁化模式下的商标权、专利权、不正当竞争等问题较之以往更为突出。本文在威科先行法律库输入关键词“连锁酒店”、“商标侵权”进行法律检索时发现,相关案例达342件之多,足以判断出连锁化模式给酒店行业带来的知识产权合规风险不可小觑。根据前瞻产业研究院《中国连锁酒店行业发展前景预测与投资战略规划分析报告》分析,2020年中国酒店连锁化率为31%,同比有所上升,但与欧美成熟市场60%-70%的水平仍有较大差距,还有很大的提升空间。外部环境(居民消费升级和旅游业的繁荣)和酒店业内部的连锁化整合都将是未来连锁酒店发展的动力。预计至2026年,中国连锁酒店客房数可接近800万间,酒店连锁化率将超过50%。[注11]众所周知,连锁酒店是指以加盟经营模式运营的酒店,连锁酒店一般都具有全国统一的品牌形象识别系统、全国统一的会员体系和营销体系。因此,连锁酒店一方面要注重商标管理,维护品牌商标的统一形象,防止非加盟主体对商标的侵权;另一方面要注重酒店智能系统的专利权,无论是自主研发智能管理系统还是与第三方合作,均要防止专利侵权风险的发生。
第二,IP酒店的兴起所引发的知识产权合规风险同样值得关注。随着近年来我国电影业的快速发展,以电影为突破点的各类行业创新手法层出不穷。酒店作为传统行业的代表,为更好地适应新消费市场需求,亦加入了“酒店+电影IP”的创新热潮中,电影主题酒店应运而生。以有戏电影酒店为例,其于2020年8月完成由沸点资本、多彩投平台共计1.75亿元人民币的融资。2021年1月13日,有戏酒店集团旗下核心品牌——有戏电影酒店,获得湖北省电影局颁发的省内点播院线筹建证,成为影视公司、国企单位、平台方之外唯一一家拥有点映院线牌照的酒店。有戏电影酒店的发展不仅为酒店行业带来新的思路,而且为酒店行业的合规指明新的方向。电影酒店作为IP酒店的种类之一,其所暴露出来的知识产权合规风险越来越明显。近年来,酒店在未获授权的情况下直接在酒店内为顾客提供高清影视资源的案件不胜枚举,爱奇艺、华视网聚等知名企业成为法院的“常客”。2017年,北京爱奇艺科技有限公司(以下简称“爱奇艺”)起诉暴风集团股份有限公司、北京暴风新影科技有限公司、北京私影科技有限公司(以下简称“三被告”)在未经授权的情况下,通过其共同经营的BFC超感影音体验中心局域网络向社会公众提供三部电影的播放服务,侵犯其独家信息网络传播权,一审法院判决三被告向爱奇艺赔偿十七万余元。[注12]与此同时,监管部门也对电影酒店开展违规打击活动。比如,2021年3月,上海市浦东新区、静安区针对点播影院设置门槛低,存在无照经营、同步盗录传播商业院线影片、片源违规甚至播放色情影片等违法经营行为等,积极开展专项治理,着力加强对点播影院的市场监管与整治。除此之外,以打造IP酒店为特色的亚朵酒店集团与吴晓波、网易严选、知乎、网易云音乐、虎扑、腾讯云、马蜂窝、同道大叔等品牌合作设计出亚朵·吴酒店、亚朵·网易严选酒店、The DRAMA、马蜂窝快闪酒店、亚朵知乎酒店、亚朵奇妙夜快闪店等特色IP酒店。上述IP酒店不仅为客户提供传统的住宿服务,而且会售卖周边延伸品或者联名商品。考虑到IP产品未经授权而销售会引发商标侵权的风险,IP酒店经营者必须尽到知识产权合规的审查义务。
综上所述,酒店行业合规已经完成从合规1.0到合规2.0的转变,合规1.0即指传统法律领域的合规,合规2.0在合规1.0的基础上纳入未来酒店行业最为突出的信息安全与数据合规、知识产权合规等领域。基于上述分析,下文将从合规体系建设的角度为酒店行业提供法律建议。
三、酒店行业合规体系建设初探
从现有的合规指引文件可以梳理出,有效的合规体系框架主要包括以下四个方面。第一,合规管理组织架构,即明确董事会、监事会、经理层的合规管理职责,任命合规管理人,划定合规管理牵头部门;第二,合规管理制度体系,即建立反商业贿赂、反垄断、反不正当竞争、安全环保、劳动合同管理、财务报销、知识产权保护、商业伙伴(采购)、合规档案管理、合规报告等制度;第三,合规管理运行机制,即确立合规风险识别预警及应对机制、合规审查机制、合规考核与问责机制、合规管理体系定期评审机制、合规咨询、举报、查处机制、合规培训机制等;第四,合规管理文化建设,即设计合规手册、合规管理制度、合规承诺书等。为创建上述合规管理体系,第一步要进行调查研究,识别合规风险;第二步要建立合规制度;第三步要强化合规职责;第四步要完善合规机制;第五步要推进持续合规;第六步要持之以恒,形成合规文化。
以西门子为例,其合规体系由两个部分组成:一是商业行为准则,二是三大制度保障。前者包括八个部分,分别确立了“基本行为要求”、“如何对待商业伙伴和第三方”、“避免利益冲突”、“公司财产的使用”、“环境、安全与健康”、“投诉与建议”、“合规执行与监督”等方面的规则。这些商业行为准则基本上确立了西门子公司的基本合规制度。后者则包括三大支柱性制度:防范、监控和应对。所谓防范,是针对可能的合规风险所采取的预防性措施,其中合规风险管理和培训是防范体系的核心部分。而监控体系包括四项流程:控制管理、审计、投诉处理及报告责任。所谓的应对体系,则包括对违规行为的及时调查识别、对存在违规行为的员工进行处罚,并在全球范围内进行个案的跟踪。[注13]那么,酒店行业的合规管理体系又当如何确立呢?考虑到酒店行业项下不同类型的酒店发展模式和进程有所差异,本文建议酒店经营者根据自身发展情况,参考基本的合规管理体系进行有针对性的合规建设。在此提醒,华住、格林、开元、锦江、首旅、华天、金陵等上市酒店企业建立合规管理组织,制定合规管理制度,确立合规风险识别预警及应对机制,开展合规管理文化建设。对于正在开展连锁化经营且尚未上市的酒店企业,建议在关注安全生产合规、劳动用工合规的同时,加强数据合规与知识合规的管理。
注释及参考文献:
[1] 参见陈瑞华:《企业合规基本理论》第二版,法律出版社,初版序言第3页。
[2] 参见叶海波:《法治“一体建设”的双重逻辑与“合规”进路》,载于中国社会科学报。
[3] 参见陈瑞华:《中国金融监管机构确立的合规体系》,载《中国律师》2019年第8期。
[4] 参见http://www.199it.com/archives/1235849.html,最后访问时间为2021年8月1日。
[5] 参见陈瑞华:《企业合规基本理论》第二版,法律出版社,第8页。
[6] 参见https://www.bbc.com/zhongwen/simp/world-39200522,最后访问时间为2021年8月1日。
[7]《数据安全法》第二十四条:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。
[8] 参见张韬:《滴滴网络安全审查事件的深度分析与合规指引》,载于德恒律师事务所官网。
[9]《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
[10]《网络安全法》第二十五条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
[11] 参见http://finance.eastmoney.com/a/202107302023383777.html,最后访问时间为2021年8月1日。
[12] 参见(2017)京0107民初12591号判决书。
[13] 参见陈瑞华:《企业合规基本理论》第二版,法律出版社,第5页。