为贯彻落实中央关于企业合规建设的重要精神,推动企业持续加强合规管理,深圳市司法局官网推出“合规”专栏,搭建合规智库信息发布平台,为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务,助力企业增强合规风险抵御能力,为深圳市“走出去”企业保驾护航。
新规速递
一、“两高一部”联合发布信息网络犯罪案件适用刑事诉讼程序意见
【合规资讯】
为依法惩治信息网络犯罪活动,根据《中华人民共和国刑法》《中华人民共和国刑事诉讼法》以及有关法律、司法解释的规定,结合侦查、起诉、审判实践,最高法、最高检、公安部于8月30日联合发布《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》(法发〔2022〕23号)(以下简称《意见》)。《意见》主要内容有:(1)进一步规范了信息网络犯罪案件的管辖,同时为减少信息网络犯罪案件管辖权争议,对分案并案处理规则、指定管辖等问题作出了明确。(2)进一步规范了信息网络犯罪案件的取证,一方面,明确了公安机关对信息网络犯罪案件的调查核实规则;另一方面,对信息网络犯罪案件的跨地域取证规则作了明确。(3)针对信息网络犯罪案件中普遍存在证据材料数量特别众多且具有同类性质、特征或者功能的情况,进一步规范了信息网络犯罪案件的证据审查。(4)为加大信息网络犯罪案件追赃挽损力度,进一步规范了信息网络犯罪案件涉案财物处理。(资讯来源:最高人民法院)
【合规提示】
《意见》紧扣信息网络犯罪活动的特点,从适用范围、并案与分案处理、重大案件/境外案件指定管辖、采取电子签名与数据电文方式取证、技侦证据和涉众型案件取证以及追赃挽损等多维度清晰地界定了信息网络犯罪刑事诉讼程序的相关规定。随着国家不断加大对信息网络犯罪的打击力度,相关企业在经营中应切实提高合规意识和风险意识。建议相关企业搭建好信息网络合规体系,结合企业整体情况,做好自身合规审查,也可聘请专业律师团队帮助进行审查和制定合规指引。其次,定期对员工开展关于预防信息网络犯罪等培训,提升员工及企业的合规意识,细化员工手册中关于员工权利与义务的约定,阻隔员工个人违法行为与单位犯罪的关联。同时,企业要畅通信息渠道,设立专人与监管部门进行对接,对监管部门发送的告知信息及时查收,并积极配合相关工作。此外,在相关业务活动中企业应对拟合作对象开展尽职调查,并且在后续的合作中,通过签订协议的方式对合作目的、范围、产品用途等予以明确,确保用于合法合规经营。
二、《医疗卫生机构网络安全管理办法》印发并实施
【合规资讯】
为指导医疗卫生机构加强网络安全管理,国家卫生健康委、国家中医药局、国家疾控局于8月29日共同发布《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号)(以下简称《办法》)。《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚,体现了统筹安全与发展的总体平衡,与此前出台的《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规标准一脉相承,承继了前述法律法规中对于“分级分类”“重点数据保护”“全生命周期管理”和“三化六防”(实战化、体系化、常态化和动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控)等要求,同时也根据医疗行业的业务特点和实际需求进行了细化,如对医疗设备的报废处置,以及废止网络中的数据处置安全等提出了具体要求。总体而言,《办法》的颁布为医疗卫生机构网络安全管理提供了工作指南,奠定了卫生健康行业网络安全发展基础。(资讯来源:规划发展与信息化司)
【合规提示】
《办法》适用于医疗卫生机构运营网络的安全管理,未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。建议相关主体按照《办法》要求:(1)建立健全安全管理制度、操作规程及技术规范,及时修订完善制度要求,保持网络和数据安全制度的有效执行力及充分协同;(2)完善内部责任划分,从顶层设计上明确医疗行业网络安全相关权责范围,明确承担安全主管、安全管理员等职责的岗位等;(3)将全生命周期管理的理念贯穿于网络和数据安全管理的方方面面;(4)建立融合管理、技术、运营三位一体的立体化网络安全管理模式;(5)建立防护、监测、处置、保障四个体系协同的综合防控格局。
三、《数据出境安全评估申报指南(第一版)》正式实施
【合规资讯】
为了指导和帮助数据处理者规范、有序申报数据出境安全评估,8月31日,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》(以下简称《指南》),对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。《指南》在《数据出境安全评估办法》的基础上对“数据出境”的范围进一步进行了明确,包括:(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(3)国家网信办规定的其他数据出境行为。《指南》中数据出境安全评估申报范围包括以下情形:(1)向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(4)国家网信办规定的其他需要申报数据出境安全评估的情形。数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《指南》规定,申报数据出境安全评估。(资讯来源:国家网信办)
【合规提示】
《指南》中,特别值得相关企业关注的是什么场景下可能构成“数据出境”。典型的数据出境场景包括比如国际贸易、国际物流、国际合作、国际科研、境外上市、境外子公司数据往来、员工海外出差、境外司法执法等。具体来说包括但不限于:(1)境内主体使用专用于数据传递功能的软件或硬件介质(如电子邮件、跨境搭建的VPN、API等传输信道、移动硬盘等)向境外主体提供数据;(2)境内主体使用服务器位于海外的信息系统、软件平台时产生的数据上载或存储;(3)境外访问数据处理者部署于境内的服务器/数据库/信息系统等。建议相关企业结合自身商业需求和实际情况,充分梳理和识别涉及数据出境的经营、管理和业务相关情形,按照《指南》等相关法律法规要求切实履行数据出境合规方面的义务。此外,需要注意《指南》提供的《数据出境风险自评估报告(模板)》中要求数据处理者需要说明自身的“数据安全管理能力,包括管理组织体系和制度建设情况,全流程管理、分类分级、应急处置、风险评估、个人信息权益保护等制度及落实情况”,对于此前从未系统进行过数据合规整改工作的企业而言,建议还需要尽快建立符合国家网信办要求的数据安全管理框架及各项数据合规规章制度,从而在实质上符合上述要求。
四、自然资源部就《涉密基础测绘成果提供使用管理办法(征求意见稿)》征求意见
【合规资讯】
为贯彻落实国务院“放管服”改革要求,加强涉密基础测绘成果提供使用管理,8月30日,自然资源部对现行《基础测绘成果提供使用管理暂行办法》(国测法字〔2006〕13号)进行了修订,起草形成了《涉密基础测绘成果提供使用管理办法(征求意见稿)》(以下简称《管理办法》)并面向社会征求意见。《管理办法》的主要内容有:(1)将省级行政区域内的国家级涉密基础测绘成果提供使用审批权下放至省级自然资源主管部门;(2)取消了出具证明函和无偿使用目的证明材料的要求,调整细化了申请表样式内容,增加了对保密管理条件应提交材料的说明;(3)审批时限由原来的20个工作日缩短至10个工作日;(4)新增事中事后监管要求;(5)细化了针对使用目的完成后的大量涉密成果形成的失泄密隐患的相关销毁要求等。(资讯来源:自然资源部)
【合规提示】
建议相关企业建立健全保密管理制度,对申领的涉密基础测绘成果的保管、使用、复制、销毁等各环节进行规范、设立有效防护措施,并将相关情况进行登记及长期保存,实行可追溯管理。此外,建议企业进行经常性的保密教育和检查,落实各项保密措施,使所属人员知悉与其工作有关的保密范围和各项保密制度,支持、配合审批机关开展涉密基础测绘成果事中事后监管工作。相关企业若需委托第三方从事批准用途的应用开发,则应与第三方签订相应的保密责任书,对第三方实施有效管理。第三方为境外的组织、机构和个人以及外商投资企业的,必须按照对外提供涉密测绘成果有关规定,报自然资源主管部门审批。所领取的涉密基础测绘成果使用目的或项目完成后,应采取符合《管理办法》规定的方式和方法予以销毁。销毁的登记、审批记录应当长期保存备查。
执法动态
一、国家药监局发布20批次药品不符合规定的通告
【合规资讯】
8月29日,国家药品监督管理局发布20批次药品不符合规定的通告,经地方食品药品质量检验研究院、中国食品药品检定研究院检验,本次20批次药品不符合规定的项目包括可见异物、装量差异、甲醇量、微生物限度、禁用农药残留量、性状、鉴别、总灰分、酸不溶性灰分、浸出物、含量测定等。对不符合规定药品,药品监督管理部门已要求相关企业和单位采取暂停销售使用、召回等风险控制措施,对不符合规定原因开展调查并切实进行整改。国家药品监督管理局要求相关省级药品监督管理部门依据《中华人民共和国药品管理法》,组织对相关企业和单位存在的涉嫌违法行为立案调查,并按规定公开查处结果。(资讯来源:国家药品监督管理局)
【合规提示】
企业从事药品生产活动,应当遵守药品生产质量管理规范,建立健全药品生产质量管理体系,保证药品生产全过程持续符合法定要求。药品生产企业应完善药品质量监管合规体系,在药品出厂前应当对药品质量进行检验,不符合国家药品标准的不得出厂,并保留完整的生产、检验记录。药企应当按照规定对供应原料、辅料等的供应商进行审核,保证购进、使用的原料、辅料等符合药用要求及药品生产质量管理规范的有关要求。
二、某村镇银行案侦查取得重大进展
【合规资讯】
8月29日,许昌市公安局侦查发现,某村镇银行案中涉案犯罪团伙非法控制4家村镇银行,涉嫌实施系列严重犯罪,该犯罪团队在正常存款利息之外,用非法获取的部分资金,以年化收益率13%-18%“贴息”标准为诱饵吸揽资金,该“贴息”经资金掮客层层盘剥后,被部分大额资金客户获取。目前公安机关已抓获一大批犯罪嫌疑人,已逮捕234人,追赃挽损取得重大进展。(资讯来源:新华社)
【合规提示】
根据《中华人民共和国商业银行法》的规定,商业银行不得违反规定提高或者降低利率以及采用其他不正当手段,吸收存款,发放贷款。商业银行应当加强合规经营意识,做好资本规划,在合法合规的范围内创新存款揽收手段,遵守存款合规管理要求。建议商业银行加强内部审计和业务开展情况稽核,加强资金来源合法性审查,避免违规开展票据业务、大额授信、异地授信,以及通过第三方互联网平台开展存贷款业务。银行业金融机构还应加强面向关键岗位业务人员的专项合规培训,进行金融犯罪行为违规案例宣导,梳理业务人员违法违规及犯罪行为的主要类型,形成合规风险清单。严格问责利用第三方平台以及资金掮客等方式非法吸收并占有公众资金,篡改原始业务数据的违规行为。
三、银保监会深圳监管局处罚某保险经纪公司
【合规资讯】
8月31日,中国银行保险监督管理委员会深圳监管局公示了对某保险经纪公司的行政处罚信息公开表,该保险经纪公司的主要违法违规事实为:未按规定使用独立的银行账户;利用业务便利为其他机构牟取不正当利益;未按规定制作并出示规范的客户告知书;互联网保险经纪业务信息披露不完整、不准确。深圳监管局对公司及上述行为责任人员分别处以警告和罚款。(资讯来源:银保监会深圳监管局)
【合规提示】
保险经纪公司属于以公司形式设立的保险经纪人,根据《保险经纪人监管规定》的要求,保险经纪人应当开立独立的客户资金专用账户和独立的佣金收取账户。保险经纪人在开展业务过程中,应当制作并出示规范的客户告知书,其中应包括以下内容:保险经纪人的名称、营业场所、业务范围、联系方式;保险经纪人获取报酬的方式,包括是否向保险公司收取佣金等情况;保险经纪人及其高级管理人员与经纪业务相关的保险公司、其他保险中介机构是否存在关联关系;投诉渠道及纠纷解决方式。此外,保险经纪人及其从业人员不得利用业务便利为其他机构或者个人牟取不正当利益,不得未按规定开展互联网保险经纪业务,不得未按规定进行信息披露。建议保险经纪人根据法律、行政法规和中国保监会的有关规定,依照职责明晰、强化制衡、加强风险管理的原则,建立完善的公司治理结构和制度;明确管控责任,构建合规体系,注重自我约束,加强内部追责,确保稳健运营。
域外动态
一、美国加州总检察长办公室宣布首例CCPA执法和解
【预警资讯】
当地时间2022年8月24日,美国加利福尼亚州总检察长宣布加州总检察长办公室(the Office of the Attorney General,下称OAG)与某化妆品公司达成和解协议,以解决该公司面临的违反《加州消费者隐私法案》(California Consumer Privacy Act,下称CCPA)的指控。OAG认定该公司未能遵守的合规要求包括:向消费者披露公司“出售”个人信息;提供“不得出售我的个人信息”链接;提供两种或两种以上选择退出销售的方法;通过用户支持的“全球隐私控制”功能处理退出销售请求;在CCPA规定的30天改正期内纠正被指控违规行为。(资讯来源:加州总检察长办公室)
【预警提示】
据CCPA的立法声明,隐私权的根本是个人控制其个人信息的使用(包括出售)的能力。CCPA对“出售”采取了宽泛定义,指企业以口头、书面、电子形式者其他方式出售、出租、发布、披露、传播、提供、转让消费者的个人信息给另一企业或第三方,以获得金钱或其他有价值的对价的行为。为达到加利福尼亚州对消费者隐私保护的要求,出于个性化广告与数据分析目的与第三方共享消费者个人信息的企业应当告知消费者如下信息:企业所收集个人信息的类别、内容、目的,与企业共享个人信息的第三方主体,企业向第三方出售或披露的消费者信息类别。建议企业在其在线隐私政策中披露过去12个月内所出售的,或出于商业目的而披露的消费者个人信息类别清单,如不存在前述出售或披露情况,也应在隐私政策中声明。企业应尊重消费者选择退出的权利,在企业网站主页、隐私政策中提供清晰醒目的、命名为“不得出售我的个人信息”的链接,使得消费者或经其授权的主体可以选择不出售个人信息。根据“全球隐私控制”功能的要求,企业还应当允许消费者一举选择退出所有在线销售。
二、美国禁向中国出口部分人工智能芯片
【预警资讯】
当地时间8月31日,美国某芯片设计商表示,美国官员已命令其停止向中国出口用于加速AI、资料分析和高效能运算作业的两种计算芯片,这阻碍了该公司的一项在本季度高达4亿美元销售额的业务。美国另一半导体公司的发言人当天也表示,美国官员已经通知该公司停止向中国出口某些人工智能芯片。(资讯来源:路透社)
【预警提示】
美国此次“芯片禁令”针对的是两家美国半导体公司的部分产品,暂不涉及其他以中国为目标市场之一的人工智能芯片,且相关企业可以通过向美国申请许可证的方式继续对华出口。建议国内半导体行业企业开展供应链调查,厘清产品中使用的进口芯片类型和芯片制造商信息,筛查是否属于美国禁止出口的芯片类型,持续关注供应链中的关键供应商是否受到出口禁令约束,以及受到出口禁令约束的供应商是否申请并获批许可证。对美国技术、原材料、设备依赖程度较高的企业应以此为契机,增强风险管理意识,密切关注行业政策和动态,制定出口管制应急预案,考虑对供应链中的海外原材料及技术设备进行国产化替代。
三、中国企业在美专利侵权案中胜诉
【预警资讯】
当地时间8月31日,美国上诉法院确认三家总部分别位于美国、中国台湾、中国大陆的电子产品制造商在其设备进口侵犯无线技术专利的指控中胜诉。法院表示,三家公司的智能手机、智能手表、平板电脑和其他支持LTE的设备并未侵犯原告某专利持有公司拥有的两项专利中的权利。(资讯来源:路透社)
【预警提示】
近年来,因非专利实施主体NPE(Non Practicing Entity)引发的诉讼屡见不鲜,一般而言,NPE是指本身不从事专利产品的生产、销售,专门通过专利市场化运营盈利的企业,在NPE合法有效持有专利的前提下,NPE有权基于所持有的专利对使用其专利的公司提起批量诉讼,以获得高额许可费或侵权赔偿金。在美专利诉讼程序中,企业应诉及提出动议的成本较高,建议企业在产品立项、研发、销售全流程中做好专利自由实施(Free to Operate,FTO)检索,预先规避专利侵权风险。企业应当关注本行业中NPE提起专利诉讼的动向,针对常见的NPE公司及其持有的专利进行筛选,根据已有专利调整技术方案,避免落入NPE持有专利的保护范围。若已被NPE起诉专利侵权,建议企业选择合理的应对策略,如尽快提起专利无效主张,从根本上反击专利侵权指控,同时利用专利无效程序增加NPE的诉讼成本。
四、某汽车制造商因淡化气囊风险被澳大利亚罚款1250万澳元
【预警资讯】
当地时间9月2日,澳大利亚竞争监管机构表示,澳大利亚联邦法院已下令某汽车集团在当地的子公司支付1250万澳元的罚款,原因是该公司在召回安装某日本公司生产的存在“可能致命”缺陷的安全气囊的车辆时未向客户说明召回的紧急程度。澳大利亚竞争与消费者保护委员会表示,在与27名消费者的交谈中,该公司员工将此次召回描述为一种“预防措施”,或暗示汽车使用的安全气囊类型没有造成任何事故或伤害,但这种说法并不准确。(资讯来源:环球市场播报)
【预警提示】
为保障产品质量安全,帮助企业及分销商、零售商确定受影响产品和限定召回范围,避免存在安全隐患的产品引发事故给生产、经营企业带来更大的损失,建议企业做好产品及零部件全流程可溯源工作,保留所有与生产、供应和销售该产品的供应商详细信息,确保准确记录产品批号信息,记录产品主要组成部分详情,以便进行产品原料及供应商跟踪。汽车生产企业应当加强产品安全及合规生产、合规经营宣贯工作,做好风险应急预案,如针对产品召回设置合理的决策流程和审批节点,决定如何收集召回产品,如何判断应采取修复还是销毁方式处理召回产品。在发布召回通知时,企业应履行合理的告知义务,如实向消费者披露缺陷产品可能造成的人身伤害或其他风险,说明产品召回的紧急程度。
【声明】
1. 本期信息内容由深圳市司法局编辑发布,由深圳市鹏城法律合规研究院提供技术支持,转载请注明以上信息;
2. 本期信息仅做分享与交流之用,不构成任何法律意见或建议;
3. 任何主体均不应当以本期信息及所载内容作为分析和判断的基础;
4. 企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载:
粤公网安备 44030402002963号