据当事女员工自述，其被领导无理要求，冒着台风“烟花”从杭州去济南出差工作，却被要求陪商家喝酒，在被灌醉后遭到侵犯、猥亵。虽然当事女员工在事发后第一时间报了警，虽然警察对涉嫌犯罪的女员工领导采取了24小时拘留审讯，但侵害人事后仍在阿里巴巴集团正常上班。

不平而鸣！当事女员工先向其部门上司反应，却遭遇漠视、推脱和冷处理。不得已，其又在公司内部群曝光，消息却被撤回，自己也被移除群聊；尔后又在公司食堂拉横幅、喊喇叭举报，却被保安架走。走投无路，她只能选择在网络公开曝光，方才引起阿里巴巴高层的重视，换来阿里巴巴迟来的行动——侵害人被开除、相关领导辞职、公司开展反性骚扰培训和制定相应行动准则。

阿里巴巴的行动是必要的，但还不够。开展性骚扰培训和制定相应行动准则是公司的预防行动，以避免再次发生女员工被侵害的事，相关人员辞职或被开除是确认女员工被侵害后的整治行动，但两者之间的连接环节缺乏必要的制度设计，即一旦又发生了女员工被侵害的事件，阿里巴巴管理层如何快速获知并调查，被侵害女员工的合法利益如何尽可能快地得到保护。我们看到，阿里巴巴管理层并不是不重视女员工被侵害事件，其处理行动也十分迅速，它根本是无法迅速地获取此信息。而获取信息的环节就是被阿里巴巴忽略的制度设计，使得被侵害女员工在事发后投诉无门，不得已采取对自己隐私、生活影响最大的网络曝光方式，以获得的阿里巴巴管理层的“知情”。

在像阿里这样规模巨大的公司，即使公司的事先预防机制再好，也不可能确保公司不会发生侵害或违法事件，因此，在预防机制之外，公司应建立对侵害或违法行为的查明机制，以便公司迅速采取行动，保护被侵害人员。关于公司对内部违法行为的查明机制，除了定期的公司内部合规审计之外，公司建立内部“吹哨”机制是非常必要的，以使公司能迅速地获知公司内部可能存在的违法行为。

试想一下，在此次阿里女员工被侵害事件中，如果阿里巴巴已建立起成熟的内部“吹哨”机制，那么，当事女员工与阿里巴巴本身的处境都会好很多：

首先，当事女员工可以透过该机制直接举报侵害人的违法行为，她就没有必要、也不会采取网络曝光的方式，其后续的生活与工作质量将极大提高，而阿里巴巴高层也可通过该机制的迅速反馈，迅速地采取调查与整治行为，外界也会降低对阿里巴巴及其管理层的质疑。

其次，通过成熟的内部“吹哨”机制，所有举报人员的个人信息、隐私都能获得有效保护，这能降低举报人举报违法事件的顾虑，那么，阿里巴巴内部对侵害事件知情且有正义感的其他员工，很可能就通过该机制来举报或作证，不至于发生被侵害女员工在公司食堂被其他员工冷漠对待的寒心一幕。

再次，公司内部“吹哨”机制的一项核心目的便是保护举报人员免于被报复，并准备充分的保护措施，透过此保护措施，被侵害女员工在事后也不太担心有被其部门上司漠视、冷处理或软压迫的可能。

企业如何建立成熟的内部“吹哨”机制？我们看到，虽然很多企业建立了举报热线，但企业的内部“吹哨”机制远不只是一条举报热线，它的建立要从企业文化、公司管理层认知、员工认同等多个方面着手。在此次阿里女员工被侵害事件中，该员工首先考虑的也是在企业内部举报，但因为阿里没有应对此类事件的内部“吹哨”机制，该员工的内部举报得到的仅是漠视、禁言和软压迫。

透过此不幸事件，我们也应当看到成熟的企业内部“吹哨”机制必须具备的要素：

1. 独立的人员或部门。企业无论是通过聘任外部第三方（被称为“调查官”（ombudsman）），还是任命内部人员或部门组建自己的内部“吹哨”机制，务必要保持该等人员或部门的独立性，避免利益冲突，赢得举报人员的信任。如果这类人员或部门不是独立的，甚至与举报人员有利益冲突，很难想像，他们能客观、公正地对待内部举报人的举报，甚至很可能会采取损害举报人利益的行动，就像这次侵害事件一样，首先接到被侵害女员工投诉的部门领导也是此前提拔侵害人的领导，其明显不具备独立性，他们在行动上也对被侵害女员工采取了漠视、推脱手段。

2. 迅速的举报响应机制。在接到企业内部人员的举报后，企业的内部“吹哨”机制应能够迅速地对举报做出响应。关于举报响应，笔者建议参考《欧盟吹哨人保护指令》第9、18条的规定，具体包括：（1）举报反馈，即内部“吹哨”机制负责人员应在收到举报后的有限时间内向举报人发出接收通知，并在合理期限内给予举报人反馈，举报的侵害/违法行为越急迫，反馈也需要越及时；（2）联络，内部举报机制负责人员必须采取书面和/或口头的方式与举报人进行联系，且务必确保举报人身份的保密；（3）记录，对于举报或联络的信息，在履行保密义务的基础上，都应当予以记录，并由举报人审核记录。试想一下，如果被侵害女员工的举报能被阿里巴巴积极地响应，让该员工看到公司对此事的重视，就能够很大程度平复被侵害女员工的消极情绪，该员工也不会采取极端的网络曝光方式。

3. 有效的保护措施。对内部举报人员的保护，是企业内部“吹哨”机制的重中之重。通常来讲，对举报人的保护措施包括：（1）身份保密的保护，在内部举报机制中，不仅举报人的身份信息不能透露，该举报人的近亲属的身份信息也不能透露；（2）免于报复的保护，由于针对举报人的报复措施种类多样，包括暂停工作、解雇、降职、调职、负面绩效评估、歧视、不利或不公平待遇等，公司应禁止任何形式的对举报人的报复；（3）负面保护措施，即对举报人施加报复措施的人或部门，在公司层面采取相应的惩罚措施。客观地讲，因被侵害女员工的网络曝光，其身份不再保密外，阿里巴巴后续采取的保护措施是有力的。

以上只是企业内部“吹哨”机制的必要要素的简单介绍。实践中，企业要建立成熟的内部“吹哨”机制，还会面对其他各方面的挑战，比如企业文化与内部举报的关系、内部“吹哨”机制机构人员的独立性保障措施、员工对该机制的信任问题、第三方以公益为由对举报人身份的刺探，等等。

观察国内外立法，英国的《1998年公共利益披露法案》（Public Interest Disclosure Act 1998）、日本的2004年《公益通报者保护法》均有关于内部举报的规定。我国目前虽然没有关于要求建立企业内部举报机制的法律规定，但企业可自行建立内部举报机制，比如为配合党纪和行政监察的需要，很多国企和央企建立了内部监察举报制度。而关于企业内部“吹哨”机制最体系的规定要属欧盟议会和理事会于2019年10月23日通过的《欧盟吹哨人保护指令》，该指令对一定规模的企业设置了强制的内部“吹哨”机制建立义务。

笔者相信，在欧洲有子公司的阿里巴巴一定知道《欧盟吹哨人保护指令》即将实施，其子公司很可能要强制性地建立内部“吹哨”机制，因此，阿里巴巴很可能正在或即将建立自己的内部“吹哨”机制。但笔者还是希望，阿里巴巴以及其他跟阿里巴巴同等规模的公司加快速度，建立自己的内部举报机制，让被侵害人不得已采取网络曝光的情景不再出现。