“新《公司法》+数据合规”背景下董监高的任职资格与个人责任
一、“新《公司法》+数据合规”背景下董监高的任职资格
(一)新《公司法》下董监高的任职资格
新《公司法》,即《公司法》(2023修订)关于董监高任职资格的规定,主要集中在第一百七十八条[1],该条在《公司法》(2018修订)第一百四十六条[2]规定的基础上进行了部分修改。除此之外,《公司法》(2023修订)第一百七十五条[3]延续了《公司法》(2018修订)第六十九条对国有独资公司董事、高级管理人员兼职的限制性规定。上述两个条款关于董监高任职资格的规定主要表现为禁止性情形,因此统称为消极任职资格。
实践中,公司对董监高的选任除了必须遵守法律关于董监高消极任职资格的规定,也会根据公司情况对董监高的职业背景、教育背景、年龄等方面作出相应要求,这属于董监高的积极任职资格。由于积极任职资格因公司不同而有所差异,属于公司自主决策范畴,无法也无必要纳入法律法规的规制中。但是董监高的选择确也关乎公司治理、公司形象等重大问题,实践中也不乏因忽视董监高积极任职资格,引发董监高任职违法违规,将公司推上舆论的风口浪尖的案例。我们认为,公司应当综合考量法律、行政法规以及部门规章、行业规范等涉及董监高任职资格的规定,将规定之外但又与董监高任职密切关联的积极任职条件通过公司章程予以明确。
《公司法》(2023修订)第一百七十八条对董监高任职共作出五个方面的禁止性规定,违反该规定进行的选举、委派或者聘任一律无效。这五个方面主要包括:
1.是否具有完全民事行为能力;
2.是否受过刑事处罚及其情节;
3.是否担任破产公司、企业董事或者厂长、经理,对破产负有个人责任;
4.是否担任公司、企业法定代表人,且对该公司、企业因违法被吊销营业执照、责令关闭负有个人责任;
5.是否因所负数额较大债务到期未清偿被人民法院列为失信被执行人。
相较于《公司法》(2018修订)第一百四十六条,《公司法》(2023修订)第一百七十八条增加以及进行细化的内容有二:
1.因刑事处罚限制任职情形中增加了被宣告缓刑的情形,即“被宣告缓刑的,自缓刑考验期满之日起未逾二年”不得担任董监高。
2.对“个人所负数额较大的债务到期未清偿”进一步予以界定,修改为“个人因所负数额较大债务到期未清偿被人民法院列为失信被执行人”。这一修改明确了个人所负数额较大的债务到期未清偿的认定标准、统一了裁判尺度,即因所负数额较大债务到期未清偿“被人民法院列为失信被执行人”的才不得担任董监高职务。
(二)数据合规立法下的董监高任职资格
在我国数据合规现有核心立法中,对公司董监高任职资格方面作出明确规定的有《个人信息保护法》第六十六条[4]、《未成年人网络保护条例》第五十四条[5]。主要包括:
1.违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行《个人信息保护法》规定的个人信息保护义务,情节严重的,在对直接负责的主管人员和其他直接责任人员处以罚款的同时,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人;
2.违反《未成年人网络保护条例》第二十条第一款关于未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者应当履行的义务第一项和第五项规定,情节严重的,对直接负责的主管人员和其他直接责任人员处以罚款的同时,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和未成年人保护负责人。
上述《个人信息保护法》和《未成年人网络保护条例》关于董监高任职的规定为限制性规定,不同于《公司法》关于董监高任职的禁止性规定。在适用上,赋予了公司自主决策权,即公司可以自主决定是否将特定人员在履行网络数据安全与保护(特别是个人信息和未成年人网络保护)方面的违规责任作为其董监高任职限制条件。当然,也为公司通过公司章程作出相应限制性规定提供了法律遵循。我们认为,在当前大力发展数字经济,激发数据要素潜能的背景下,公司特别是数据资源集中的公司,可能确需根据本公司经营管理需求,决定是否通过公司章程将网络数据信息安全与保护合规义务规定为董监高任职条件。
二、新《公司法》下董监高的个人责任
《公司法》2023年修订的一大亮点即对董监高个人责任的细化与强化。经我们梳理汇总,全文涉及董监高行为规范和个人责任的主要条款21个,董监高的个人责任贯穿了公司的全生命周期,可以说新《公司法》是我国《公司法》发展至今对董监高责任规定最严的一部。该21个主要条款涉及董监高个人责任11项:
1.有限责任公司董事在公司资本维持方面对股东出资催缴和股东抽逃出资方面的责任;
2.股份有限公司董事对违法违规违章董事会决议的责任;
3.上市公司董事对关联关系书面报告义务;
4.股份有限公司董监高对持有本公司股份及其变动情况的申报义务及转让的限制;
5.股份有限公司董监高对公司违规财务资助行为的责任;
6.董监高遵法遵规守章义务;
7.董监高忠实与勤勉义务一般规定及类型化表现;
8.董事、高级管理人员职务行为赔偿责任;
9.董事、高级管理人员受股东指示行为仍需承担责任;
10.董监高对违法减资的责任;
11.董监高对清算义务的责任。
《公司法》(2023修订)关于董监高行为及责任条款梳理一览
行为及责任类型 |
《公司法》(2023修订)对应条款 |
有限责任公司董事对股东出资核查义务及责任 |
第五十一条有限责任公司成立后,董事会应当对股东的出资情况进行核查,发现股东未按期足额缴纳公司章程规定的出资的,应当由公司向该股东发出书面催缴书,催缴出资。 未及时履行前款规定的义务,给公司造成损失的,负有责任的董事应当承担赔偿责任。 |
有限责任公司董监高对抽逃出资的责任 |
第五十三条公司成立后,股东不得抽逃出资。 违反前款规定的,股东应当返还抽逃的出资;给公司造成损失的,负有责任的董事、监事、高级管理人员应当与该股东承担连带赔偿责任。 |
股份有限公司董事对董事会决议的责任 |
第一百二十五条董事会会议,应当由董事本人出席;董事因故不能出席,可以书面委托其他董事代为出席,委托书应当载明授权范围。 董事应当对董事会的决议承担责任。董事会的决议违反法律、行政法规或者公司章程、股东会决议,给公司造成严重损失的,参与决议的董事对公司负赔偿责任;经证明在表决时曾表明异议并记载于会议记录的,该董事可以免除责任。 |
上市公司董事对关联关系书面报告义务 |
第一百三十九条上市公司董事与董事会会议决议事项所涉及的企业或者个人有关联关系的,该董事应当及时向董事会书面报告。有关联关系的董事不得对该项决议行使表决权,也不得代理其他董事行使表决权。该董事会会议由过半数的无关联关系董事出席即可举行,董事会会议所作决议须经无关联关系董事过半数通过。出席董事会会议的无关联关系董事人数不足三人的,应当将该事项提交上市公司股东会审议。 |
股份有限公司董监高对持有本公司股份及其变动情况的申报义务及转让的限制 |
第一百六十条公司公开发行股份前已发行的股份,自公司股票在证券交易所上市交易之日起一年内不得转让。法律、行政法规或者国务院证券监督管理机构对上市公司的股东、实际控制人转让其所持有的本公司股份另有规定的,从其规定。 公司董事、监事、高级管理人员应当向公司申报所持有的本公司的股份及其变动情况,在就任时确定的任职期间每年转让的股份不得超过其所持有本公司股份总数的百分之二十五;所持本公司股份自公司股票上市交易之日起一年内不得转让。上述人员离职后半年内,不得转让其所持有的本公司股份。公司章程可以对公司董事、监事、高级管理人员转让其所持有的本公司股份作出其他限制性规定。 股份在法律、行政法规规定的限制转让期限内出质的,质权人不得在限制转让期限内行使质权。 |
股份有限公司董监高对公司违规财务资助行为的责任 |
第一百六十三条公司不得为他人取得本公司或者其母公司的股份提供赠与、借款、担保以及其他财务资助,公司实施员工持股计划的除外。 为公司利益,经股东会决议,或者董事会按照公司章程或者股东会的授权作出决议,公司可以为他人取得本公司或者其母公司的股份提供财务资助,但财务资助的累计总额不得超过已发行股本总额的百分之十。董事会作出决议应当经全体董事的三分之二以上通过。 违反前两款规定,给公司造成损失的,负有责任的董事、监事、高级管理人员应当承担赔偿责任。 |
董监高遵法遵规守章义务 |
第一百七十九条董事、监事、高级管理人员应当遵守法律、行政法规和公司章程。 |
董监高信义义务一般规定(包括影子董事) |
第一百八十条董事、监事、高级管理人员对公司负有忠实义务,应当采取措施避免自身利益与公司利益冲突,不得利用职权牟取不正当利益。 董事、监事、高级管理人员对公司负有勤勉义务,执行职务应当为公司的最大利益尽到管理者通常应有的合理注意。 公司的控股股东、实际控制人不担任公司董事但实际执行公司事务的,适用前两款规定。 |
董监高信义义务行为类型化表现及责任 |
第一百八十一条董事、监事、高级管理人员不得有下列行为: (一)侵占公司财产、挪用公司资金; (二)将公司资金以其个人名义或者以其他个人名义开立账户存储; (三)利用职权贿赂或者收受其他非法收入; (四)接受他人与公司交易的佣金归为己有; (五)擅自披露公司秘密; (六)违反对公司忠实义务的其他行为。 第一百八十二条董事、监事、高级管理人员,直接或者间接与本公司订立合同或者进行交易,应当就与订立合同或者进行交易有关的事项向董事会或者股东会报告,并按照公司章程的规定经董事会或者股东会决议通过。 董事、监事、高级管理人员的近亲属,董事、监事、高级管理人员或者其近亲属直接或者间接控制的企业,以及与董事、监事、高级管理人员有其他关联关系的关联人,与公司订立合同或者进行交易,适用前款规定。 第一百八十三条董事、监事、高级管理人员,不得利用职务便利为自己或者他人谋取属于公司的商业机会。但是,有下列情形之一的除外: (一)向董事会或者股东会报告,并按照公司章程的规定经董事会或者股东会决议通过; (二)根据法律、行政法规或者公司章程的规定,公司不能利用该商业机会。 第一百八十四条董事、监事、高级管理人员未向董事会或者股东会报告,并按照公司章程的规定经董事会或者股东会决议通过,不得自营或者为他人经营与其任职公司同类的业务。 第一百八十六条董事、监事、高级管理人员违反本法第一百八十一条至第一百八十四条规定所得的收入应当归公司所有。 第一百八十七条股东会要求董事、监事、高级管理人员列席会议的,董事、监事、高级管理人员应当列席并接受股东的质询。 第一百八十八条董事、监事、高级管理人员执行职务违反法律、行政法规或者公司章程的规定,给公司造成损失的,应当承担赔偿责任。 |
董事、高级管理人员职务行为赔偿责任 |
第一百九十一条董事、高级管理人员执行职务,给他人造成损害的,公司应当承担赔偿责任;董事、高级管理人员存在故意或者重大过失的,也应当承担赔偿责任。 |
董事、高级管理人员受指示行为仍需承担责任 |
第一百九十二条公司的控股股东、实际控制人指示董事、高级管理人员从事损害公司或者股东利益的行为的,与该董事、高级管理人员承担连带责任。 |
董监高对公司违法分配利润的责任 |
第二百一十一条公司违反本法规定向股东分配利润的,股东应当将违反规定分配的利润退还公司;给公司造成损失的,股东及负有责任的董事、监事、高级管理人员应当承担赔偿责任。 |
董监高对违法减资的责任 |
第二百二十六条违反本法规定减少注册资本的,股东应当退还其收到的资金,减免股东出资的应当恢复原状;给公司造成损失的,股东及负有责任的董事、监事、高级管理人员应当承担赔偿责任。 |
董事对清算义务的责任 |
第二百三十二条公司因本法第二百二十九条第一款第一项、第二项、第四项、第五项规定而解散的,应当清算。董事为公司清算义务人,应当在解散事由出现之日起十五日内组成清算组进行清算。 清算组由董事组成,但是公司章程另有规定或者股东会决议另选他人的除外。 清算义务人未及时履行清算义务,给公司或者债权人造成损失的,应当承担赔偿责任。 第二百三十八条清算组成员履行清算职责,负有忠实义务和勤勉义务。 清算组成员怠于履行清算职责,给公司造成损失的,应当承担赔偿责任;因故意或者重大过失给债权人造成损失的,应当承担赔偿责任。 |
通过上述条款内容的梳理,新《公司法》对董监高个人责任的修订主要呈现三个特点:
第一、董事个人责任主体范围的扩展。新《公司法》引入了“事实董事”和“影子董事”制度。“事实董事”,即公司控股股东、实际控制人虽然不担任董事但实际执行公司事务,应当同公司董事一样履行忠实勤勉义务。“影子董事”,即公司的控股股东、实际控制人指示董事、高级管理人员从事损害公司或者股东利益的行为的,与该董事、高级管理人员承担连带责任。两项制度的引入,形式上似乎是董事个人责任的强化,但实质上仍是对公司股东权力的控制,是公司治理中权力制衡的表现。
第二、扩大了董监高责任范围。董监高基于忠实勤勉义务的个人责任可以说贯穿公司全生命周期。概括而言,董监高个人责任表现为“对公司损失、公司外第三人损失以及公司债权人损失的赔偿责任”和“因违反公司法规定获得的收入归公司所有”两种。其中“董事、高级管理人员执行职务,给他人造成损害的”以及“清算组成员怠于履行清算职责,给债权人造成损失的”,董事、高级管理人员或者董事需以存在故意或者重大过失为承担赔偿责任的先决条件。
第三、对董事任职风险的平衡。一方面表现为上述关于控股股东、实际控制人连带责任的规定,另一方面表现为董事责任保险制度的设立。
三、数据合规立法下董监高的个人责任
数据合规是数据权属界定、数据安全交易、数据有效利用的先决条件。我们在数据合规立法背景下对董监高个人责任问题的探讨,主要立足于数据违规行为及其责任形式对《公司法》关于董监高任职限制和个人责任承担的影响方面。
(一)数据违规责任表现
1.数据违规刑事责任
从个人数据、企业数据、公共数据三个维度来看,数据刑事违规行为涉及的主要刑事罪名包括:侵犯公民个人信息罪;侵犯商业秘密罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪;破坏计算机信息系统罪;拒不履行信息网络安全管理义务罪;帮助信息网络犯罪活动罪等。在构成单位犯罪时,除了对单位判处罚金外,同时对直接负责的主管人员和其他直接责任人员处以相应刑罚。
2.数据违规行政责任
从个人数据、企业数据、公共数据三个维度来看,数据行政违规行为主要集中在违规处理个人信息;处理个人信息未履行规定的保护义务;数据处理活动存在较大安全风险;开展数据处理活动的组织、个人不履行规定的数据安全保护义务;违法向境外提供重要数据;窃取或者以其他非法方式获取数据,开展数据处理活动;网络运营者不履行法定的网络安全保护义务、违反用户身份管理规定、未履行信息安全管理义务等;网络产品或者服务的提供者未履行网络产品和服务安全义务等。责任形式主要包括约谈、整改;对单位罚款、责令暂停相关业务或者停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、记入信用档案等;对直接负责的主管人员和其他直接责任人员处以罚款、可以禁止在一定期限内担任董监高。
3.数据违规民事责任
从个人数据、企业数据、公共数据三个维度来看,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。违反数据安全、网络安全相关法律规定,给他人造成损害的,依法承担民事责任。
(二)数据违规行责任对董监高任职和个人责任的影响
综上对数据违规刑事责任、行政责任、民事责任的梳理,结合《公司法》关于董监高任职、行为规范以及个人责任的规定,我们认为:
第一、董监高因为公司或其个人数据违规行为承担刑事责任或者行政责任的,一方面可能对董监高任职资格产生消极影响,另一方面可能导致所在公司作为数据资源持有者、数据交易一方主体资格的合规瑕疵,从而影响数据权属界定、数据产品合规评价、公司合规经营评价等,从而有碍数据资源资产化以及数据交易的实现。
第二、在公司因数据违规行为被责令暂停相关业务或者停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、记入信用档案等,对公司经营造成损失,或者在公司因数据违规行为承担罚款的行政责任,或者对外承担民事赔偿责任的情况下,董监高或可能因对上述违规行为未能尽到忠实与勤勉义务而承担赔偿的个人责任。
“新《公司法》+数据合规”双背景下公司治理与公司董监高风险防范是一个新的课题。法律总要在实践中得以丰富,在违反法律、行政法规关于数据安全与保护义务时,董监高是否要承担法律责任、在什么情况下承担责任、责任内容为何等问题,仍是我们要继续解决的难点。