一、序言
抗击新冠肺炎病毒战役引发了公众对“吹哨人”保护问题的关注。作为“吹哨人”最先在互联网上发布病毒信息,并由此被公安机关查处,且同时被中央电视台曝光的李文亮医生因感染新冠肺炎病逝,更是引发人们对“吹哨人”保护的强烈呼吁。党中央和国家对该事件予以前所未有的高度重视,经中央批准,国家监察委员会决定派出调查组赴湖北省武汉市,就群众反映的涉及李文亮医生的有关问题作全面调查。我们期待能够尽快见到调查组对该问题的全面调查报告。在法律层面,该事件所反映出的问题实际上是对涉及公共利益事件的信息报告人,即西方习惯上被称为“吹哨人”(whistleblower)的信息报告和披露行为的法律定性,以及对此种行为和报告人个人的法律保护问题。我国目前对吹哨人保护在立法上还是空白,实践中遇到相关问题自然无法可依。非但如此,由于吹哨人报告的信息可能还涉及敏感领域,被法律法规界定为规控发布信息的范畴和领域,此种吹哨行为非但没有被认为是保护社会公共利益,阻止对社会公共利益和人民福祉侵害的善举,甚至是英雄行为,反而被认为是危害公共利益的行为,甚至受到不应有的处理。国家和社会的治理需要有法可依,有章可循,李文亮事件揭示出我国应该有一部全面规范对吹哨人进行保护的法律。这样一部法律从微观上来讲会起到对吹哨人个人权利和利益的保护,从宏观上来说,则是通过保护吹哨人、吹哨人的吹哨行为,保护社会公共利益,阻止损害和破坏社会共利益的行为和事件发生。
在国家和社会治理中,吹哨人的吹哨行为对于社会公共利益的维护的作用愈来愈重要。1972年的美国水门事件使得美国的《吹哨人保护法》(Whistleblower ProtectionAct)在1989年获得国会立法通过。该法将吹哨人的吹哨行为界定为维护社会利益的行为,受法律保护。它鼓励公民和公职人员,尤其是后者在履职过程中如果发现存在腐败、损害公共利益和国家安全的情形,有权进行检举,包括向媒体记者提供相关信息和报料。该立法的基本理念和原则是,吹哨人及其吹哨行为是合法行为,不会受到泄密指控,司法机构依法应该对他们以及他们的家人给予各种保护。2012年1月3日美国国会又通过了《2012年吹哨人保护补充法案》(Whistleblower ProtectionEnhancement Act of 2012) , 特别规定对于联邦雇员就特定信息进行披露的保护。美国上述两部立法保护对象集中于联邦雇员。而对于其他行业从业人员信息披露的保护则散见于其他法律,如2002年的《萨班斯法案》(Sarbanes-Oxley Act)以及2010年的《多德-弗兰克法案》(Dodd-FrankAct) 则包含了金融领域对于吹哨人的保护规定。
在吹哨人保护立法方面最新的发展是欧盟议会和理事会于2019年10月23日最新通过的《违反欧盟法报告人指令》(Directive (EU 2019/1937 of The European Parliament and the Councilof 23 October 2019 on the protection of persons report breaches of Union law) (以下简称“指令”或“欧盟吹哨人保护指令“)。较之美国上述法律,该法无论是在对吹哨人和吹哨行为的定义、受保护的吹哨人的范围、法律保护的吹哨行为涉及的领域、吹哨人报告的途径、律师和医务人员客户信息保密例外规定、惩罚机制等方面均有进步和发展,可谓目前国际社会最新和最为详细的关于吹哨人保护的立法。我们认为欧盟的该立法完全值得我们学习和借鉴,以制定一部符合中国国情的吹哨人保护法。
二、欧盟吹哨人保护指令的立法宗旨
欧盟吹哨人保护指令在序言第(1)项明确规定:为公立或私人组织工作的人,或者就其工作所涉行为与这些组织联系的人,常常是最先知晓产生于与此相关对公共利益产生威胁或损害的情形的人。这些被称为吹哨人的人在对违法行为曝光,维护社会福祉方面起到重要作用。然而,潜在的吹哨人常常由于害怕遭到报复,不敢报告他们对所见所闻的担忧和怀疑。因而,无论是欧盟层面还是国际层面,都不断地认可,应该给予吹哨人平衡的和有效的(balanced and effective)保护。
欧盟吹哨人保护指令在明确了该立法的宗旨后,详细列举和规定了吹哨人和吹哨行为在不同领域中为保护公共利益和维护该领域既有法律的实施的意义和重要性, 它们包括:(1)公共采购领域;(2) 金融服务领域; (3)欧盟市场内部产品安全领域;(4)交通安全领域;(5)环境保护领域; (6)欧洲原子能共同体法律实施领域; (7) 加强欧盟现有的关于食品; (8)食品和饲料以及动物健康等方面的法律实施领域; (9) 公共卫生和消费者保护领域; (10) 隐私和个人信息保护领域; (11) 金融领域的欺诈、腐败和其他侵害欧盟财政预算和规定领域; (12) 违反欧盟内部市场规定;(13) 成员国国家援助领域;以及,(14) 公司税法领域。
欧盟吹哨人保护指令在序言第(26)项还特别规定,本法并不影响各成员国法律以及欧盟案例法所规定的对于律师与其当事人通讯保密的法律保护,即所谓“法律职业特权”(legal profession privilege)。而且,医务工作者对其病患的信息保密义务,以及病患个人及其病历信息保密,也均不受本法影响。
三、欧盟吹哨人保护指令的框架结构
欧盟吹哨人保护指令由序言部分和指令规定两大部分组成。序言部分共110项内容,规定本法的宗旨和目的、本法适用的领域、本法适用的例外、吹哨人保护措施的建立等内容。而指令的实体内容部分包括7章共29条内容:
第一章“范围、定义和保护条件”共6条规定。第1条规定本指令的“目的”;第2条规定本指令的“实质范围”,它具体列举了前述吹哨人报告信息可以获得本指令保护的诸多领域;第3条规定本指令的规定和欧盟其他立法以及成员国法律规定的关系;第4条规定受本法保护的吹哨人的范围;第5条对本指令中的一些术语进行定义,以及,第6条规定对于吹哨人保护的条件。
第二章“内部报告和跟进”共3条规定。第7条规定通过内部报告渠道进行的报告;第8条规定建立内部报告渠道的义务;以及,第9条规定内部报告程序及其跟进事宜。
第三章“外部报告和后续跟踪”共5条规定。第10条规定通过外部报告渠道进行的报告;第11条规定建立外部报告渠道的义务以及对于报告的后续跟踪;第12条规定外部报告渠道的设计;第13条规定接到报告的信息及其后续跟踪措施;以及,第14条规定由有关当局对程序进行审查问题。
第四章“公开披露”共1条规定。第15条规定吹哨人公开披露如果符合指令规定的条件便可以依据本指令规定获得保护。
第五章“适用于内部报告和外部报告的规定”共3条规定。第16条规定保密义务;第17条规定对于个人数据的处理;以及,第18条规定对报告的登记。
第六章“保护措施”共6条规定。第19条规定对吹哨人及其相关人进行报复,包括进行报复的威胁和企图,该条还规定了报复可能采取的形式;第20条规定支持措施,即吹哨人以及相关人可以获得的支持和帮助,包括经济上、心理健康方面以及必要的法律援助方面的支持和帮助;第21条规定反对报复的措施,具体有多达七条的措施规定;第22条规定相关人员的保护措施;第23条规定惩罚措施,即规定对阻止和试图阻止吹哨人报告、报复吹哨人的人的惩罚措施;以及,第24条规定不得对权利和补救措施进行放弃。
第七章“最后规定”共5条规定。第25条规定更优惠待遇和不更差条款,即本指令不影响成员国法律对该问题更好处理的规定的适用;第26条是过渡性的规定;第27条规定成员国对本指令实施的汇报、评估和核查制度;第28条规定本指令的生效;以及,第29条规定本指令发送给欧盟各成员国。
四、吹哨人的定义和范围
吹哨人(whistleblower)是指为公立或私人组织工作的人,或者就其工作所涉行为与这些组织联系的人,他们常常最先知晓产生于与此相关对公共利益产生威胁或损害的情形,并通过一定的渠道将相关信息进行报告和进行披露的人。他们在对违法行为曝光,维护社会福祉方面起着重要作用。
指令对于吹哨人的保护性立法使得吹哨人制度在欧盟得以建立。在明确定义吹哨人后,指令在第一章对吹哨人制度的适用范围以及适用对象进行了进一步的明确。指令第1条开宗明义规定本指令目的在于规定欧盟成员国对于吹哨人保护制度的共同的最低标准。本指令所保护的吹哨人涉及的信息披露领域包含以下三个方面:
1. 属于违反指令附件中所列,涉及公共采购、金融服务,产品和市场,防止洗钱和资助恐怖主义行为、产品安全性和合规性、运输安全、保护环境、辐射防护和核安全、食品和饲料安全,动物健康和福利、公共卫生、消费者保护、保护隐私和个人数据以及网络和信息系统的安全等领域的欧盟法内的行为。
2. 属于违反《里斯本条约》第325条所指并在欧盟有关措施中进一步指明的影响欧盟经济利益的行为。
3. 属于《里斯本条约》第26条第2款所指与内部市场有关的违约行为。
对于欧盟各成员国而言,对于吹哨人的保护可不局限于上述范围。指令在第1条第1款规定欧盟国家对于吹哨人保护适用范围外,各成员国有权就自身实际情况根据本国法律的规定扩大对指令中未涵盖领域进行保护。
受指令保护的吹哨人实际上不仅限于吹哨人本人。指令第4条规定受指令保护的吹哨人包括以下四类人员:第一类,《里斯本条约》第45条第1款所指具有劳动者地位的人,包括公务员;第二类,《里斯本条约》第49条所规定的自营职业者;第三类,股东和属于企业行政、管理或监督机构的人员;以及,第四类,在承包商、分包商和供应商监督和指导下工作的任何人。
除上述工作关系存续的吹哨人外,已和被举报的公立或私人组织结束了相应工作关系的吹哨者是否属于指令保护范围呢?指令第4条第2款对此规定,即使吹哨人与前述的公立或私人组织已结束了工作关系,其吹哨行为也应受到上述同等保护。
五、内部报告途径、外部报告途径及公开披露
欧盟吹哨人保护指令规定了吹哨人举报和信息披露的几种途径,从而建立起便于吹哨人信息举报的制度保障:
(一)内部报告途径
指令对内部报告途径进行了规定。它首先鼓励吹哨者在相关的公立组织和私人组织内部设立报告制度,并且鼓励吹哨人在通过内部报告并无遭受打击报复的风险时,优先通过各公立组织和私人组织内部设置的报告途径报告信息。欧盟的立法者意在通过各公立组织和私人组织内部的合规机制消化掉多数的较轻微的以及公立组织和私人组织自身有意愿有能力处理的情况,以此减少受理外部报告的公共部门的压力。指令要求公立组织和私人组织依据各自国内法的规定在内部建立内部报告及后续跟踪的途径和程序。根据该规定,吹哨人可以是该组织内部的人员,也可以是因其本职工作而与该组织有联系的人员。
考虑到设置此类内部报告受理和跟踪处置机制需要消耗一定的资源,指令在此条中为50人以下的,业务不涉及金融服务和产品,不涉及反洗钱和金融安全等方面的小型私营企业提供豁免。而成员国也可以根据实际的风险水平来决定是否仍要求某一规模小于50人的私营部门建立内部报告制度,也可以进一步豁免居民少于一万人的市镇当局或其他规模小于50人的法人机构建立内部报告制度的义务。指令同时还规定,规模在50-249人之间的私营部门之间可以通过适当地分享资源来节约成本。而成员国也可以建立各市镇之间共享内部报告制度的途径。此外,指令还进一步要求各成员国就其内部的具体规定与欧盟进行沟通。由此可见,指令在考虑成本压力、应对各国具体情况的适当灵活性以及欧盟内部规则一致性这几方面之间达到了较好的平衡。另外,对于内部报告途径,指令规定既可以由此机构内部的特定部门或个人负责,也可以是外部第三方提供。
指令在第9条规定了内部报告的具体程序以及后续跟踪的要求。这些规定具体涉及对吹哨人身份的保密、发出受理通知的期间、与吹哨人的沟通和信息反馈、后续跟踪措施、提供反馈信息的时限、提供关于外部报告的指令以及报告形式等。对于时限,指令明确规定受理通知在7日内发出,信息反馈在其后三个月内提供。对于内部报告的形式,指令明确吹哨人可以选择以口头或书面方式。以口头方式报告的,可以采用电话或语音信息方式,也可以根据吹哨人的要求,在合理的时间内以面谈的方式进行。这些对于程序细节的规定,使指令具有非常强的可操作性。
(二)外部报告途径
指令还规定了运用外部报告途径的原则,吹哨人可以先采用内部报告途径再采用外部途径报告,也可以直接采用外部途径报告。指令具体规定了外部报告的程序以及后续跟踪的要求。除了与内部报告途径相似的一些规定以外,指令对外部报告途径的规定也有很多独特性。首先,指令要求成员国给予其指定的负责外部报告途径的机关足够的资源,以尽可能避免虽有相应机构,但因资源不足,实际上无法有效运作的情况。其次,在制度设计上,规定更加严格,负责外部报告的机关应建立独立自主的外部报告途径。再次,成员国可以规定,负责外部报告的机关可以对正当评估后认为情节显著轻微的案件不再进一步调查。而对于涉及已经处理过的案件的重复报告,没有特殊情况不再处理。此外,在特殊情况下,信息反馈时限可以延长到6个月,案件数量较多时,可以按照严重性排序进行处置,而非一定要按照收到报告的时间先后处理。指令还进一步规定可以将无权处理的报告转交有权处理的机关处理,以及向欧盟报告等内容。
指令规定了外部报告的设计要求,包括独立性、保密、长期保存、报告形式、相关人员的职责和培训等。根据指令规定,成员国需要在其网站上用单独的、易于识别和可浏览的板块发布外部报告的接收和后续跟踪程序信息,包括电子邮件、邮寄地址和电话等联系信息以及电话是否会录音的声明。指令中还就保密问题进行了规定。指令还要求成员国对吹哨人提供法律支持和援助,以便保护吹哨人免于因通过外部报告途径报告信息而遭到追责。此外,依据指令规定,成员国要定期审查其相关规定,至少每三年审查一次,并根据积累的经验做出修订。
(三)公开披露
指令还规定了吹哨人公开披露信息的规则。若吹哨人已经通过内部报告途径和外部报告途径报告,或者直接通过外部报告途径报告,但未在合理的期限内获得正当回应;或者,吹哨人有合理的依据使其相信报告的事件可能对公共利益构成紧迫的或明显的威胁,或其相信通过外部报告途径仍存在遭受打击报复的风险,或者因证据可能被隐匿或销毁、相关机关牵涉其中等原因而导致外部报告途径可能收效甚微,吹哨人如果公开披露信息可以获得保护。
(四)其他规定
指令在第16条规定了保密义务,要求成员国确保相关机关不得向无关人员披露吹哨人的任何身份信息或者可能导致其身份信息暴露的信息,并且仅限于在必要的范围内使用这些信息。成员国同时需要保护报告中所涉及到的其他保密信息,比如商业秘密。对于保密的要求,尤其是对吹哨人身份信息的保密要求,几乎贯穿于指令的始终。
欧盟非常强调对个人数据的保护。该指令第17条规定了涉及个人数据的处理。可以说,在大数据时代,对个人数据的保护已是整体的信息保护制度中不可或缺的环节。对于个人数据的交换和传输,必须遵守欧盟其他相关规定,包括Regulation (EU) 2016/679、欧盟指令 Directive (EU)2016/680以及欧盟规定Regulation (EU) 2018/1725。指令还规定了报告的保管措施,包括保密要求、对口头报告的固定方式和文字记录形式。
就吹哨人信息报告的途径而言,欧盟保护吹哨人指令的规定有如下几个特点:第一、它特别强调对吹哨人的个人信息的保护;第二、它的规定具有很强的可操作性,同时能够考虑到具体实施部门可能面临的困难;第三、它很好地平衡了灵活性和原则性;第四、它以保护吹哨人的利益为本,从程序、法律保护和资源支持等多个角度,确保吹哨人可以最大限度地在法律的保护下采取适当的报告途径,报告信息。
六、保护措施
指令的第六章“保护措施”共6条规定,分别为禁止报复、支持措施、反对报复的措施、相关人员的保护措施、惩罚措施、不得对权利和补救措施进行放弃:
(一)禁止报复
根据指令的规定,成员国应采取必要措施,禁止对吹哨人进行任何形式的报复,包括威胁进行报复和企图进行报复。该条具体列出了15种报复形式,主要包括暂停工作、解雇、降职等与工作相关的报复手段,还包括名誉损害、财务损失等等。
(二)支持措施
指令规定,成员国应确保吹哨人有权酌情得到支持措施,特别包括:
1. 全面、独立的信息和建议。
2. 保护免受报复之前提供的有效协助。在任何相关当局参与保护免受报复之前,由主管当局提供的有效协助,包括在国家法律规定的情况下,证明吹哨人有资格根据本指令获得保护。
3. 法律援助 。根据欧洲议会和理事会“第2016/1919号指令(欧盟)”和“第2008/52/EC号指令(欧盟)”进行的刑事和跨境民事诉讼中的法律援助,以及根据成员国国内法律,在进一步法律程序中的法律援助和法律咨询或其他法律援助。
4. 财政援助、心理支持。该条还规定了成员国可在法律程序框架内为吹哨人提供财政援助、心理支持等支持措施。
(三)反对报复的措施
指令明确,各成员国应采取必要措施,确保吹哨人免受报复。它特别包括以下七条具体内容:
1. 在符合一定前提条件下,吹哨人不对报告或公开披露承担责任。在不影响律师和医务人员特权的保护、司法审议的保密性的情况下,如果有人根据本指令报告违法信息或进行公开披露,则不应认为他们违反了对信息披露的任何限制,也不应对此类报告或公开披露承担任何责任,前提是他们有合理理由相信,根据本指令,此类信息的报告或公开披露对于披露违法行为是必要的。
2. 若吹哨人获取或访问此类信息不构成独立的刑事犯罪,则不得就获取或访问所报告或公开披露的信息而承担责任。吹哨人不得就获取或获取所报告或公开披露的信息承担责任,前提是获取或获取此类信息不构成独立的刑事犯罪。如果获取或获取构成独立刑事犯罪,刑事责任应继续由适用的成员国国内法律管辖。
3. 因与报告或公开披露无关的,或者不必要的行为而产生的责任的法律适用问题。吹哨人因与报告或公开披露无关的,或者根据本指令披露违法行为所不必要的作为或不作为而产生的任何其他可能的责任,应继续由适用的欧盟或成员国国内法律管辖。
4. 与吹哨人遭受损害有关的法律程序中的举证责任分配。在与吹哨人遭受的损害有关的法院或其他机关的法律程序中,且在吹哨人证明其报告或公开披露并遭受损害的前提下,应推定该损害是为报复该报告或公开披露而作出的。在这种情况下,应由采取有害措施的人证明该措施是存在正当理由的。
5. 采取补救措施的权利。吹哨人应有权根据成员国国内法律就反对报复酌情采取补救措施,包括在法律程序解决之前的临时救济措施。
6. 寻求撤销案件的权利。在法律诉讼中,包括诽谤、侵犯版权、违反保密义务、违反数据保护规则、泄露商业秘密,或根据私人、公共或集体劳动法提出的赔偿要求,吹哨人不得因本指令项下的报告或公开披露而承担任何责任。根据本指令令,这些人员有权依赖该报告或公开披露来寻求撤销案件,前提是他们有合理的理由相信报告或公开披露是披露违法行为所必须的。任何人报告或公开披露属于本指令范围内的违法信息,且该信息包括商业机密,且该吹哨人符合本指令的条件,根据“第2016/943号指令(欧盟)”第3(2)条的规定,此类报告或公开披露应视为合法。
7. 对损害提供补救和赔偿。成员国应采取必要措施,确保根据本国法律对吹哨人遭受的损害提供补救和充分赔偿。
(四)相关人员的保护措施
指令规定了对相关人员的保护措施,包括:
1. 成员国应根据《宪章》确保相关人员充分享有获得有效补救和公平审判的权利,以及无罪推定和辩护权,包括听取意见的权利和查阅其档案的权利。
2. 主管当局应根据国家法律确保,只要报告或公开披露所引发的调查正在进行,相关人员的身份就受到保护。
3. 指令规定的关于保护吹哨人身份的规则也应适用于保护相关人员的身份。
(五)惩罚措施
指令还规定了惩罚措施,既包括成员国应规定对阻止和试图阻止吹哨人报告、报复吹哨人的人的惩罚措施的要求,也规定了成员国应规定对吹哨人适用的有效的、相称的和劝阻性惩罚,具体详见下文的介绍和阐述。
(六)不得对权利和补救措施进行放弃
另一方面,该指令还明确规定,受法律保护的吹哨人,应符合以下两项条件,其一,其有合理理由相信,在提交报告时所举报的违规信息是真实的,且这些信息属于相关规定的范围;其二,其根据本指令的相关规定进行了内部报告或外部报告,或进行了公开披露。欧盟各成员国还应规定针对吹哨人本人的有效,适当并具有劝阻性质的处罚措施,并根据本国法律,规定相关当事人赔偿因其举报或公开披露虚假信息所造成的损失。
为了保障吹哨人保护规则的有效性,应建立适当有效的刑事、民事或行政处罚机制。这其中,既要通过立法阻却针对吹哨人直接的报复行为,也应对披露吹哨人重要信息的行为进行处罚,以此遏制针对吹哨人的恶意举报,维护吹哨人的权益和信誉。基于这样的立法考量,欧盟立法基于适当性和相称性原则设计和制定了上述处罚机制,从而一方面能够确保对吹哨人的保护,另一方面,也防止阻碍潜在吹哨人的信息报告行为。
中国在未来可能的吹哨人保护法相关立法中,可以借鉴欧盟吹哨人保护指令中关于处罚措施的相关规定。一方面,在立法中明确应受处罚的针对吹哨人的报复行为,其中既包括直接的报复行为,如职务报复和通过提起诉讼加以报复,也包括泄露吹哨人身份信息或其他损害吹哨人权益和信誉的行为。另一方面,也应在立法中明确,吹哨人有合理理由相信,在提交报告时所举报的违规信息是真实的。如果吹哨人明知举报或公开披露信息为虚假信息,仍然蓄意为之,其本身也应受到相应的处罚。在吹哨人保护中,制定适当相称的处罚机制显得尤为关键。该处罚机制,既应当保证不对潜在吹哨人产生劝阻作用,同时还应提醒吹哨人,其在举报或公开披露对社会可能造成重要影响的信息时,须保持必要的审慎态度。报告信息时,他应该有合理理由相信,其所报告的信息是真实的,而杜绝造谣传谣,防止错误的信息报告对社会产生不利影响。
小结
此次新冠肺炎病毒在中华大地的肆掠,给国家、社会和人民造成了巨大的灾难。人们在问,如果最早披露病毒信息的八人的行为没有被警察处理,没有被中央电视台进行负面报道,而这些吹哨人披露的信息相反是被相关部门接受、被重视,并由此立即引起社会的警觉,果断采取应对措施,疫情会否导致其后的爆发,成为巨大的灾难?发生了的已然发生,再美好的假设也是无用的。重要的是,这次事件后,我们应该反思这一事件的原因,从其中吸取教训,让灾难成为推动社会进步的一次契机。制定一部我国的吹哨人保护法,厘清吹哨人吹哨行为的合法与违法边际,保护吹哨人的利益,使吹哨人的吹哨行为成为国家和社会治理的有机组成部分,应该是我们汲取此次新冠肺炎灾难信息披露方面的教训,可以取得的积极收获。欧盟吹哨人保护指令是目前为止世界上最为全面,也最先进的关于吹哨人保护的一部立法。该立法的体例、理念、概念及其对吹哨人保护的各种机制设计都可以为我们所学习借鉴。多难兴邦,但愿我们的国家在经历此次新冠肺炎疫情灾难后,从灾难中总结教训,我们的社会和国家治理可以得到进步!