行稳致远 进而有为——人力资源服务企业IPO之业务合规要点

2023-09-01

人力资源服务业作为就业优先战略和人才强国战略的重要抓手，其发展和合规受到国家层面的高度重视，配套法规和政策相继出台。2023年8月，人力资源和社会保障部发布的《人力资源服务机构管理规定》生效，进一步规范了人力资源服务机构的业务资质、服务规范。行稳致远、进而有为，本文将结合相关法律法规及近期人力资源服务企业上市问询反馈思路，梳理人力资源服务企业在IPO过程中需要关注的业务合规问题。

一、业务资质相关问题

根据同行业上市公司披露的反馈情况，证监会及交易所（以下合称“审核机构”）对于人力资源服务企业是否具有经营业务所需的全部资质、是否存在超出资质范围开展业务的情形、是否存在劳务派遣资质出租及出借的情形等较为关注，并进行了多轮、递进式问询。

根据《就业服务与就业管理规定》《人力资源服务机构管理规定》《劳务派遣行政许可实施办法》等相关法律法规，开展人力资源服务可能涉及以下业务资质：

（一）主营业务资质

（二）其他可能涉及的业务资质

二、经营规范相关问题

（一）灵活用工相关问题

灵活用工是指人力资源服务机构针对客户雇佣形式灵活、用工时间灵活、服务形态灵活等多样化的用工需求提供的传统劳动关系之外的用工形式，包括非全日制用工、劳务派遣、业务外包、平台型用工等形态。灵活用工业务为科锐国际（300662）和万宝盛华（02180.HK）等同行业上市公司的主要收入来源。根据相关法律法规并结合IPO审核实践，开展灵活用工业务需要注意以下合规要点：

1．平台型用工的合规风险

平台型用工是指用工单位在灵活用工平台上发布用工需求，劳动者在灵活用工平台上注册为“自由职业者”或“个体工商户”，劳动者通过平台接单并完成工作任务，用工单位向平台支付劳动者的服务费和平台管理费的业务模式。若用工单位与劳动者之间被认定为劳动关系或劳务关系，而非服务关系，灵活用工平台基于不真实业务情况开具增值税发票，涉嫌虚开增值税发票。用工单位作为受票方，利用他人虚开的增值税专用发票向税务机关申报抵扣税款，存在被认定为偷税甚至虚开增值税发票的法律风险。因此，开展平台型用工业务时，业务合同里应避免出现用工单位“指定自由职业者”、“自行承担用工风险”、“管理劳动者”等类似表述；用工管理上应避免出现由用工单位直接安排劳动者工作、直接管理劳动者、直接向劳动者发放薪酬等类似安排。

2．人事代理业务的合规风险

人力资源服务企业开展灵活用工业务时可能会涉及人事代理业务（社保代理业务），即公司为不存在劳动关系的员工代为缴纳社保公积金。近年来，国家和各地政府对于社保代缴行为的监管日趋严格，北京、杭州、广州、深圳等多地陆续出台政策文件及采取专项治理行动打击虚构劳动关系代缴社保行为。2023年5月1日，《社会保险基金监督举报工作管理办法》生效，任何组织或者个人可以依照管理办法举报提供虚假文件参保的行为。人事代理业务本质上是社保代缴行为，存在被举报和被社会保险行政部门行政处罚的风险。

3．未足额缴纳社保公积金问题

灵活用工业务涉及的员工数量大且流动性强，未足额缴纳社保公积金问题比较突出。参考科锐国际（300662）的反馈答复思路，解决方案如下：（1）进行补交测算，证明未缴纳社保公积金不会对公司经营业绩产生重大不利影响。（2）取得社会保险管理部门和公积金管理部门出具的不构成重大违法违规证明。（3）发行人或实际控制人就公司社保或公积金瑕疵管理情况可能给公司造成的损失出具兜底承诺。

（二）劳务派遣与劳务外包业务模式的区分问题

劳务派遣与劳务外包业务模式的区分问题在科锐国际、外服控股、中智股份以及越吴股份等同行业上市公司的审核过程中皆有涉及，审核机构一般重点关注以下问题：（1）劳务派遣与外包业务的相关披露是否准确、客观；（2）二者在收费模式、员工薪酬确定方式、薪酬结构、支付方式以及社保公积金缴纳方式等方面的差异。

1．区分要点

人力资源服务机构在劳务派遣和劳务外包中承担的角色不同，从而导致两种业务模式在劳动者管理方式、责任承担、收入确认方式等方面的差异。结合《长三角地区劳务派遣合规用工指引》（以下简称《指引》）的相关规定，劳务派遣和劳务外包的区分要点如下：

2．“假外包、真派遣”的问题

根据《指引》的相关规定，存在以下情形的劳务外包可能会被监管部门认定为劳务派遣：（1）承包单位的劳动者在企业的生产经营场所使用企业的设施设备；（2）承包单位的劳动者接受企业的指挥管理、按照企业的安排提供劳动；（3）承包单位的劳动者以企业的名义提供劳动；（4）其他名为劳务外包实为劳务派遣的情形。

（三）数据合规相关问题

随着《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》等法律法规的相继颁布，我国数据和个人信息保护的法律体系进一步完善。人力资源服务企业作为个人信息密集型行业，其业务开展过程中的数据合规问题一直是IPO审核重点关注问题之一。结合科锐国际、外服控股及中智股份等IPO审核实践，同行业上市公司主要采取以下措施来满足数据合规的相关要求：

1．建立全生命周期的数据安全管理模式

（1）收集环节：直接向终端个人用户采集数据的，在收集数据前，应先通过隐私政策向用户告知处理用户数据的目的、方式和范围，并征得用户的明确同意。从数据供应商处采购的，在采购合同中约定数据来源合法合规确认条款。（2）存储环节：选择具备相关资质认证的第三方数据存储服务机构提供存储服务；将数据依法存储于中国境内，避免数据跨境流动的风险。（3）使用环节：查阅机密文件资料必须办理严格的登记手续；建立最小授权的访问控制策略，对管理人员、操作人员、审计人员的角色进行分离设置等访问控制措施。

2．落实数据分类分级

按照数据重要程度及风险级别，对数据实行分级保护，对于不同安全等级的数据，采取不同的数据使用范围、授权级别、保存和销毁方式。根据科锐国际（300662）的法律意见书，公司对所有的重要信息进行密级划分，以信息的重要程度和泄密风险损失为划分标准，将一般信息分为三类：机密类、秘密类和重要类，其中候选人资料列入最高级别机密类。

3．建立健全数据安全管理制度

公司高管牵头设立的信息化管理委员会/小组统一协调管理信息安全工作，并制定多项数据安全管理制度。如外服控股（600662）披露，公司建立了隐私安全管理小组，组织策划和实施隐私保护工作，制定、颁布和实施了《信息安全和隐私信息管理手册》《信息安全策略》《信息安全和隐私信息管理适用性声明》《信息安全文件控制程序》《第三方安全管理规定》《数据安全管理规定》等信息安全和隐私保护的制度文件。

4．取得相关管理体系认证证书

根据中智股份（A股在审）的法律意见书，公司的信息安全管理体系、隐私信息管理体系通过了第三方机构挪威船级社DNV的认证，获得了相关管理体系认证证书；公司的信息安全管理体系符合ISO/IEC 27001:2013标准、隐私信息管理体系符ISO/IEC 27701:2019标准；公司通过了SOC2Type2三大评估领域（安全性、可用性、保密性）数据安全审计。

三、结语

人力资源服务业作为现代服务业和生产性服务业的重要组成部分，发展势头强劲，市场规模不断上升，上市企业持续增多。行稳致远、进而有为，我们建议人力资源服务行业在资质证照和经营活动等方面完善业务合规的搭建与实施，促进企业稳定有序、高质量发展。

本文作者：

指导合伙人：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。