为贯彻落实中央关于企业合规建设的重要精神,推动企业持续加强合规管理,深圳市司法局官网推出“合规”专栏,搭建合规智库信息发布平台,为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务,助力企业增强合规风险抵御能力,为深圳市“走出去”企业保驾护航。
新规速递
一、《中央企业法律纠纷案件管理办法》公开征求意见
【合规资讯】
11月29日,国资委发布《中央企业法律纠纷案件管理办法(公开征求意见稿)》(以下简称《办法》),向社会公开征求意见,有关单位和个人可在2022年12月28日前反馈意见建议。
《办法》共七章三十八条。第一章“总则”,明确了适用范围、管理原则和概念定义等。第二章“组织和职责”,明确规定了法治建设第一责任人、总法律顾问、法务管理部门、业务和职能部门的案件管理责任。第三章“管理机制”,对制度建设、风险排查、案件应对、管理提升、强化考核、信息化建设等方面提出明确要求。第四章“重大案件管理”,要求企业加强重大案件备案管理,健全督办机制,通过多元化方式妥善解决重大案件。第五章“中介机构管理”,对机构选聘、动态评价、风险代理等作出规定。第六章“奖惩”,明确规定了激励机制、追责问责、违规责任和监督责任等。第七章“附则”,要求地方国有资产监督管理机构参照本办法,指导所出资企业加强案件管理工作。(资讯来源:国务院国有资产监督管理委员会)
【合规提示】
建议国有企业及民营企业参考《办法》对中央企业的管理要求,完善企业内部法律纠纷案件管理体系:一是明确分工与职责,建议由企业总法律顾问牵头,法务部门归口,业务及职能部门配合完成案件管理工作;二是定期开展法律纠纷风险排查,完善风险应急预案,及时对类案进行预警;三是健全案件应对、执行以及对积案的管理措施,案件处理完毕后应当及时进行总结分析,梳理案件管理经验,查找经营管理薄弱环节;四是将案件管理情况纳入对所属关系的考核评价,每年对案件情况进行汇总,研究分析案件总体情况、主要特点、发案原因、应对措施等,对识别出来的薄弱领域加强合规管理;五是加强案件信息化管理,建议有条件的企业建立实时监控的案件管理信息系统,即时掌握案件情况,加强案件数据统计分析,形成案件闭环管理;六是加强对法律服务中介机构的管理,切实发挥主导作用,有效整合内外部资源,实现优势互补,推动案件妥善解决。
二、国家药监局发布药品网络销售规范与禁售清单
【合规资讯】
11月30日,为指导各级药品监督管理部门有序开展药品网络交易第三方平台备案和药品网络销售企业报告工作,国家药品监督管理局发布《关于规范药品网络销售备案和报告工作的公告》(以下简称《公告》),对药品网络交易第三方平台提出备案要求,并要求从事药品网络销售的企业按照《药品网络销售监督管理办法》第十一条规定向药品监督管理部门报告,如实填写并提交加盖公章的药品网络销售企业报告信息表。
同日,国家药品监督管理局发布了《药品网络销售禁止清单(第一版)》(以下简称《清单》),该《清单》列明了两大类药品,其一是政策法规明确禁止销售的药品,其二是其他禁止通过网络零售的药品。(资讯来源:国家药品监督管理局)
【合规提示】
《公告》及《清单》是2022年12月1日起实施的《药品网络销售监督管理办法》的配套文件。建议从事药品网络销售的企业以及第三方平台根据《公告》要求,做好网络销售药品备案工作;对照《清单》,避免企业或平台当前存在《清单》所列网络禁售药品。此外,建议相关企业根据已生效的《药品网络销售监督管理办法》,完善企业药品销售合规体系:一是建立并实施药品质量安全管理、风险控制、药品追溯、处方储存管理、不良反应报告、投诉举报处理等机制;二是在网站首页或者经营活动的主页面显著位置,持续公示其药品生产或者经营许可证信息,并确保在网络平台展示的药品相关信息真实、准确、合法;三是建立健全质量与安全防控机制,完善紧急事件控制和处置措施预案,如遇药品上市许可持有人依法召回药品的,应当积极予以配合;四是对于平台而言,应当完善药品合规审查机制,完整保存供货企业资质文件、电子交易等记录。
三、国家标准《工业互联网企业网络安全 第4部分:数据防护要求》征求意见
【合规资讯】
12月1日,全国信息安全标准化技术委员会发布国家标准《工业互联网企业网络安全 第4部分:数据防护要求》(以下简称《标准》),并向社会公开征求意见,有关单位和个人可在2023年1月30日前反馈意见建议。
《标准》是开展工业互联网企业网络安全分类分级管理工作的系列标准之一,由应用工业互联网的工业企业防护要求、平台企业防护要求、标识解析企业防护要求以及数据防护要求四个部分组成,旨在规范工业互联网企业网络安全要求及数据防护要求。(资讯来源:全国信息安全标准化技术委员会)
【合规提示】
建议工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业等主体,根据《标准》中的数据防护要求,完善工业互联网数据安全管理和工业互联网数据处理过程安全防护:一是根据《标准》对工业互联网数据进行分级分类管理,制定数据分类分级清单,出现生产经营重大变化、数据流动等情况的,应当在规定时间内更新数据分类分级清单、重要数据和核心数据具体目录和相关情况记录;二是建立健全一般数据、重要数据、核心数据,在数据收集、数据存储、数据使用加工、数据传输、数据公开、销毁等全生命周期的分级防护机制,完善数据出境、转移、委托处理等过程的分级防护要求;三是建立内部管理制度,安全管理制度和机构、人员管理、系统与设备安全管理、供应链安全管理、安全评估、日志留存、安全审计、应急处置等。
执法动态
一、广东通信局通报48款未按要求完成整改的APP
【合规资讯】
近日,广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动,近期共监测发现280款APP存在侵害用户权益和安全隐患问题,发出《违法违规APP处置通知》责令APP运营者限期整改,并通知相关应用商店协助督促APP运营者整改。所涉问题包括违规收集个人信息,APP强制、频繁、过度索取权限,APP频繁自启动和关联启动,超范围收集个人信息,注销账号难,强制用户使用定向推送功能。(资讯来源:广东省通信管理局)
【合规提示】
建议APP运营者透明化展示个人信息处理活动,App持续或频繁调用敏感系统权限期间(如调用麦克风、相机、位置权限),应提供展示指示标识的功能,移动终端需对APP读取个人信息、自启动、被关联启动的行为进行统计和记录,设计统计、查询界面,为用户直观呈现个人信息调用情况。移动智能终端应为用户提供管理App自启动、被关联启动等行为的控制选项,选项的默认设置应为关闭状态,或在 App 首次自启动、被关联启动时提示用户,由用户选择是否允许自启动、被关联启动。APP运营者应向用户提供账号注销服务,不得为注销服务设置不合理的障碍。若APP运营者拟将收集到的用户搜索、浏览记录、使用习惯等个人信息用于定向推送或精准营销,应当事先向用户告知,以显著方式标示,并提供关闭该功能的选项。
二、某上市公司因信息披露违规受到行政处罚
【合规资讯】
12月3日,某上市公司公告称,公司收到中国证监会送达的《行政处罚事先告知书》。证监会调查认为,公司涉嫌未按照规定披露实际控制人,2019年至2020年年度报告虚增收入及利润,2020年年报未计提商誉减值,虚增利润等违法事实,构成《证券法》第一百九十七条第二款所述的披露的信息有虚假记载的行为。证监会拟责令公司改正,给予警告,并处300万元罚款,对相关责任人给予警告并处罚款。(资讯来源:巨潮资讯网)
【合规提示】
建议上市公司及时依法履行信息披露义务,披露的信息,应当真实、准确、完整,简明清晰,通俗易懂,不得有虚假记载、误导性陈述或者重大遗漏。上市公司应当加强信息披露合规培训和教育,建立内部控制和实时监控机制,督促董事、监事、高级管理人员等责任人员勤勉尽职,及时进行必要、审慎的核查,对可能存在的信息披露违法违规行为采取相应补救措施。建议上市公司关注监管转型信息披露要求、分行业信息披露要求,加强投资者关系管理,披露的信息应当有针对性地反映公司情况或澄清投资者的问题,确保内容简明清晰,语言通俗易懂,披露的信息应当前后一致。建议上市公司定期进行信息披露合规性和有效性评价,针对公司目前信息披露机制运行的痛点盲点和薄弱环节,完善相关制度和操作指引,为信息披露工作配置充足的资源。
域外动态
一、美国某公司因用户数据泄露被爱尔兰监管机构罚款
【预警资讯】
当地时间11月28日,爱尔兰数据保护委员会(Data Protection Commission,DPC)以违反欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)两项条款为由,对某美国公司处以2.65亿欧元罚款。据调查,该公司收集的个人数据库已于互联网上公开,DPC根据GDPR第25条审查了公司技术和管理措施的实施情况,并要求公司采取补救措施以保证处理个人信息的合规性。(资讯来源:爱尔兰数据保护委员会)
【预警提示】
建议企业从“技术+管理”两个维度开展个人信息安全与保障工作。其一,关于个人信息本身的技术安全管理,企业应当对个人信息进行分类分级标识与隔离,传输与存储加密,彻底删除与匿名化,备份与恢复等,落实个人信息合规处理的技术要求。其二,关于个人信息的管理运用,企业需要借力IT和信息化工具,实现访问权限分级设置与身份验证、访问操作事件记录、业务审批流程信息化建设、网络物理环境安全、网络攻击处置与应急等技术安全保障。企业还应当建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。个人信息处理者需合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训。
二、英韩就个人信息自由跨境传输达成充分性决定
【预警资讯】
当地时间11月23日,英国政府发布与韩国个人信息跨境传输的充分性决定。充分性决定的核心是英国信息专员(Information Commissioner)认为韩国具备足够的个人信息保护水平。若英国政府评估后认为一个国家或地区的法律框架能够提供与英国类似的数据保护水平,则英国的实体可以依据该充分性决定与该国家或地区的实体自由进行个人信息跨境传输。(资讯来源:英国政府)
【预警提示】
企业开展数据跨境传输活动应当同时满足合法性和正当性的要求,不具有合法性和正当性的,不得进行数据跨境传输;在具备合法性和正当性的基础上,企业应当评估数据跨境传输活动是否风险可控,能否有效避免数据跨境传输及再转移后被泄露、损毁、篡改、滥用的风险。评估数据出境计划的风险,应综合考虑出境数据的属性和数据出境发生安全事件的可能性,包括数据的数量、范围、类型、敏感程度和技术处理情况,以及发送方数据出境的技术和管理能力,数据接收方的安全保护能力、采取的措施,数据接收方所在国家或区域的政策法律环境。建议企业在跨境传输个人信息前,重视评估数据接收方所在国家或企业的政策法律环境,包括该国家或地区现行的个人信息保护法律、法规、标准情况,与出境前所在国家或地区个人信息保护法律、法规、标准提供的保护水平相比的差异性;该国家或地区加入的区域或全球性的个人信息保护方面的机制,以及所做出的具有约束力的承诺;该国家或地区落实个人信息保护的机制,如是否具有法定的个人信息保护机构、相关司法机制、行业自律协会和自律机制等,以及为个人提供的行政和司法救济渠道的有效性。
三、欧盟将违反限制性措施的行为加入刑事犯罪清单
【预警资讯】
当地时间12月2日,欧盟委员会(European Commission)提议将违反欧盟限制性措施的行为加入刑事犯罪清单(the list of EU crimes),具体罪行包括:向指定人员、实体或机构提供资金或经济资源,或为指定人员、实体或机构的利益提供资金或经济资源;未能冻结这些资金;使指定人员能够进入成员国领土或通过成员国领土过境;与欧盟限制措施禁止或限制的第三国进行交易;禁止或限制进口、出口、销售、购买、转让、过境或运输的商品或服务的贸易;提供被禁止或限制的金融活动;或者提供其他被禁止或限制的服务,例如法律咨询服务、信托服务和税务咨询服务。罪行将涵盖规避欧盟限制措施,个人最高可被判处五年有期徒刑,公司可能会被处以前一年度全球总营业额5%的罚款。(资讯来源:欧盟委员会)
【预警提示】
建议企业梳理自身业务流,关注涉及欧盟主体、对欧盟投资、适用欧元等欧盟连接点的业务场景,关注涉及航空、航运、金融、能源、国防等重点领域的交易,做好风险识别与风险预警。企业应当跟进出口管制与经济制裁领域立法、执法的最新动态,在交易合同拟定时预先考虑政策和法律风险,为合同条款调整和终止预留操作空间,在可能涉及欧盟连接点、可能受到限制性措施影响的合同中重点修改陈述与保证、不可抗力、重大不利变化、重大不利影响、合同终止与合同解除等条款,斟酌具体表述。建议企业对供应商、客户、商业合作伙伴开展尽职调查,筛查是否属于受制裁对象,是否被采取了限制性措施,做好风险评估,制定制裁应急预案和交易替代方案,决策是否需要选用替代性方案。
【声明】
1. 本期信息内容由深圳市司法局编辑发布,由深圳市鹏城法律合规研究院提供技术支持,转载请注明以上信息;
2. 本期信息仅做分享与交流之用,不构成任何法律意见或建议;
3. 任何主体均不应当以本期信息及所载内容作为分析和判断的基础;
4. 企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载:
粤公网安备 44030402002963号