《欧盟举报人保护指令》对欧盟公司意味着重大合规变革

2019年10月7日，欧洲理事会通过《欧盟举报人保护指令》（“指令”）。该指令旨在实现两个目标：（1）开设强制性举报渠道，以便就违反欧盟法律的行为进行举报；（2）对举报违反欧盟法律行为的举报人提供更高级别的保护措施，以防止报复。 

目前，欧洲举报人保护的现状较为松散，只有大约十个成员国对举报人提供有力的法律保护（例如，德国仅有有限的保护措施）。在欧盟层面，对举报人的保护是针对特定行业领域的，以金融服务业为重点。在公司丑闻频发的背景下，该指令的颁布是各界促进举报者保护的重要一步，以确保举报者得到倾听和保护，并追究涉及不法行为的公司的责任。对于雇佣事宜中不当引用保密条款和保密协议的情况，也可参考该指令。 

各成员国必须在2021年10月之前按照该指令修订各自国家法律。在此之前，公司应设立匿名举报机制。由于脱欧，英国已在与政府欧洲审查委员会的公开函件中表示将不会就该指令对英国法律进行修订。但英国早已根据1996年《雇佣权利法》和1998年《公共利益披露法》在具有一定的保护措施，并已承诺就有关保密条款和保密协议进行立法。 

1)   强制设立内部举报渠道
该指令适用于所有员工人数超过50的在欧盟的上市公司和私营公司，以及居民超过一万人的地区政府。根据该指令，欧盟内部的这些实体首次被强制要求设立内部举报机制。尽管内部举报要求对于公司实体最为至关重要，但它只是三层举报系统中的一个分支。该三层举报系统包括：

1. 内部举报披露；
2. 向成员国主管部门进行外部举报披露；
3. 在某些受限情况下向媒体举报。

根据内部举报义务，公司必须建立指定的渠道（通过电话、电子方式或亲身）接收针对不当行为的举报，以确保匿名接收。公司必须在七日内确认收悉举报，并且在三个月内通知举报人有关后续措施的进展情况。内部举报渠道可以由公司自行建立和运营，例如基于互联网的举报工具，也可由外部第三方提供。

成员国将在各自的政府内部设立独立且保密的外部举报渠道，要求在七天内确认收到举报，并在三个月内（在合理情况下延长至六个月）进行跟进。外部举报机制通常在内部举报无果的情况下以供使用。最终，举报者可在某些极端情况下通过媒体进行公开举报。该指令还可能意味着，由于举报渠道将成为法律要求，在某些情况下，不能依赖保密条款或保密协议来防止披露。

该指令适用于针对各种违反欧盟法律的行为的举报，包括有关欺诈、洗钱、安全、国家安全、环境保护、消费品、公共采购、竞争、税务和数据隐私等的欧盟法律。该指令虽并未尽录，但列出了其所适用的相关法律的一个具体列表。成员国在按照指令修订各自国家法律时可以超出该列表的范围。

举报渠道的设计和运作必须以安全的方式进行，以确保举报人及其报告中所提及的任何人的保密性。指令要求允许匿名举报，接收方就任何特定的举报在独立分析后决定是否接受并跟进。尽管有酌情权，匿名举报人必须被保护，确保不受报复。

2)   提供保护措施，防止报复
指令要求，无论通过何种举报渠道，善意举报的人士必须被保护不受报复。潜在的报复包括停职、解雇、遣散、拒绝升职、重新安排工作日、负面业绩评估以及强迫、骚扰、威胁和歧视。

受该指令保护的个人范围广泛，适用于所有“举报人”，包括雇员、自雇人士、股东、管理者和受承包商监督的人士等等。该指令也适用于工作关系已经结束或尚未开始的人士，以及某些第三方。

可以通过确保举报人不会招致个人责任以及可获得某些补偿措施来防止报复。此外，应通过信息和建议的方式、有关部门的有效协助、刑事和跨境民事司法程序中的法律援助、财务援助和其他措施对举报人提供支持。

为保护举报人不受报复，指令要求成员国对任何试图妨碍举报或报复举报人（包括提起无理取闹的司法程序或违反保密义务等）的人士采取有效、适宜和劝诫性惩罚措施。这些措施应驱使公司积极主动地履行其义务，防止其管理层、从属人员或雇员的报复行为，避免因这些报复行为被认为是帮凶或负有责任。

3)   下一步措施
在每个成员国均按指令要求实施相关法律法规后，欧盟举报人保护的确切情况将更加具体和明朗。现阶段可以明确的是，指令的范围广泛，将要求许多公司实施或升级内部举报制度。欧盟境内的许多公司首次需要进行风险评估、建立正式的举报流程，以符合新指令的要求。即使公司已经有举报流程，也需要审视现有架构，以确保完全符合最新标准。

设立匿名举报热线以及调查和案例管理体系一直以来都被视为最佳实践，从今往后，更将成为一项要求。除了建立正式、保密的内部举报渠道，公司还需将一系列机制纳入其人力资源、法务和合规体系，包括确保举报人在举报过程中及举报后不受损害、举报记录匿名、举报经独立调查属实将采取的行动等。公司还必须知晓，如果内部机制不完善，举报人可能向外部或媒体进行举报。