为贯彻落实中央关于企业合规建设的重要部署,加快推进企业合规示范区建设,深圳市司法局官网推出“合规”专栏,搭建合规智库信息发布平台,为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务,助力企业增强合规风险抵御能力,为深圳市“走出去”企业保驾护航。
新规速递
一、国务院发布《私募投资基金监督管理条例》
【合规资讯】
7月9日,为了规范私募基金业务活动,保护投资者以及相关当事人的合法权益,促进私募基金行业规范健康发展,国务院发布《私募投资基金监管管理条例》(以下简称《条例》)。《条例》分为七章,包括:总则、私募基金管理人和私募基金托管人、资金募集和投资运作、关于创业投资基金的特别规定、监督管理、法律责任、附则。(资讯来源:国务院)
【合规提示】
建议从事私募基金业务活动的企业,应当遵循自愿、公平、诚信原则,保护投资者合法权益,守法合规开展业务。一是建立健全合规管理、风险管理、内部控制等制度,对业务风险隔离、关联交易等做出合理安排,不得以私募基金财产与关联方进行不正当交易或者利益输送、不得通过多层嵌套或者其他方式进行隐瞒;二是加强对私募基金管理人、私募基金托管人及其从业人员的合规管理。建立从业人员投资申报、登记、审查、处置等管理制度,防范利益输送和利益冲突;要求从业人员定期接受合规和专业能力培训,提高风险防范意识;三是重视投资者适当性管理。私募基金管理人应当向投资者充分揭示投资风险,根据投资者的风险识别能力和风险承担能力匹配不同风险等级的私募基金产品。规范私募基金管理,不得向合格投资者以外的单位和个人募集或者转让,不得向为他人代持的投资者募集或者转让等要求;四是遵循诚实守信、谨慎勤勉原则履行登记备案手续。应保证所报送的材料信息真实、准确和完整;未经登记,不得使用“基金”或者“基金管理”字样或者类似名称进行投资活动。
二、国家网信办就《网络暴力信息治理规定(征求意见稿)》公开征求意见
【合规资讯】
7月7日,为了强化网络暴力信息治理,营造良好网络生态,保障公民合法权益,维护社会公共利益,国家网信办就《网络暴力信息治理规定(征求意见稿)》(以下简称《规定》)公开征求意见。《规定》分为七章,包括:总则、一般规定、网络暴力信息监测预警、网络暴力信息处置、保护机制、监督管理和法律责任、附则。《规定》首次明确了网络暴力信息的概念,要求网络信息服务提供者定期发布网络暴力信息治理公告,加强网络社区板块、网络群组的管理,强化直播和短视频内容审核。(资讯来源:国家网信办)
【合规提示】
建议网络服务提供者严格落实《规定》的要求,从以下方面强化对网络暴力信息的治理工作。一是切实履行信息内容管理主体责任,明确管理部门与负责人,建立完善的网络暴力信息治理机制,健全账号管理、信息发布审核、监测预警、举报救助、网络暴力信息处置等制度;二是完善网络暴力信息监测预警机制,建立健全网络暴力信息分类标准、典型案例样本库、网络暴力信息预警模型;根据历史发布信息、违规处置、举报投诉等情况,动态管理涉网络暴力重点账号,及时采取干预限制措施;三是优化网络暴力信息的管控措施。结合自身业务性质梳理出适用的合规要求,并嵌入到具体业务流程中,例如提供直播或短视频网络服务的企业,应当强化直播和短视频内容审核,及时阻断涉及网络暴力信息的直播,处置含有网络暴力信息的短视频。
三、商务部、海关总署公告关于对镓、锗相关物项实施出口管制
【合规资讯】
7月3日,商务部、海关总署发布公告,根据《中华人民共和国出口管制法》《中华人民共和国对外贸易法》《中华人民共和国海关法》有关规定,为维护国家安全和利益,经国务院批准,决定对镓、锗相关物项实施出口管制。该公告自2023年8月1日起正式实施。满足以下特性的物项,未经许可,不得出口,包括:金属镓(单质)、金属锗(单质,包括但不限于晶体、粉末、碎料等形态)、氮化镓(包括但不限于晶片、粉末、碎料等形态)等。(资讯来源:商务部)
【合规提示】
建议开展出口贸易活动的企业,及时对自身经营物项进行合规筛查,判断所经营物项是否被列入出口管制清单,并严格遵守国家有关出口管制法律、法规、规章的要求出口受管制物项。一是科学设计审查程序。对每一笔交易做好风险审查工作,并按照相关规定办理出口许可手续,通过省级商务主管部门向商务部提出申请,填写两用物项和技术出口申请表并提交相应材料。如企业无法确定相关货物、技术和服务是否属于管制物项,建议向国家出口管制管理部门提出咨询。二是开展出口管制合规体系建设。制定出口管制合规工作手册等指引文件,为企业内部一线员工提供合规操作指引,并将出口合规审核嵌入业务流程和系统审批节点中。三是定期对自身合规管控流程有效性开展检查与评估,及时发现实际操作流程与公司合规管理之间的差异,制定整改方案并跟进整改结果。
执法动态
一、公安部召开新闻发布会通报严厉打击网络违法犯罪活动情况
【合规资讯】
7月6日,公安部召开新闻发布会,从持续深化网络安全等级保护制度、深入推进关键信息基础设施安全保护工作、强化落实数据安全保护工作、全面加强网络安全监测预警和通报处置、持续开展网络安全监督检查和行政执法工作、严厉打击危害网络和数据安全违法犯罪活动六个方面对全国公安机关严厉打击网络违法犯罪活动,切实维护国家网络和数据安全工作的举措和成效进行通报,并回答了记者的相关提问。2022年,公安机关深入推进“净网2022”专项行动,侦办案件8.3万起。(资讯来源:公安部)
【合规提示】
建设、运营网络或者通过网络提供服务的企业,建议按照《网络安全法》等法律、行政法规的规定和国家标准的强制性要求,履行网络安全保护义务,采取必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性;不得从事危害网络安全的活动,不得为危害网络安全活动提供专门的程序、工具,或技术支持、广告推广、支付结算等帮助;网络运营企业应规范重要数据特别是个人信息数据的处理活动,不得从事非法获取、出售、向他人提供公民个人信息以及非法向境外提供重要数据等违法活动。
二、工信部通报31款侵害用户权益APP(SDK)
【合规资讯】
7月7日,工业和信息化部信息通信管理局发布关于侵害用户权益行为的APP(SDK)通报(2023年第4批,总第30批)。近期工信部组织第三方检测机构对群众关注的休闲娱乐、实用工具、出行服务等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查,发现31款APP(SDK)存在侵害用户权益行为。此次通报涉及的APP(SDK)违规行为主要包括:违规收集个人信息,收集个人信息明示告知不到位,违规利用个人信息开展自动化决策,App强制、频繁、过度索取权限,App频繁自启动和关联启动,欺骗误导用户使用产品或服务,强制用户使用定向推送功能,违规使用第三方服务等。(资讯来源:工业和信息化部)
【合规提示】
建议APP服务提供者和SDK提供者,根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关规定规范收集和使用个人信息的行为,重点针对上述侵害用户权益的典型行为开展自查及整改。强化和提升企业全链条合规管理能力,积极维护消费者合法权益。一是落实主体责任。完善内部管理机制,明确用户权益保护服务的牵头部门和负责人,将相关要求落实到产品研发、推广和运营各环节;二是强化用户个人信息的收集与处理的合规管理,严格审核,及时处理违法违规行为,不得设置障碍或频繁骚扰用户、欺骗误导用户等;三是加强用户权益保护服务,包括规范安全卸载行为,设立客服热线,妥善处理用户投诉积极响应用户诉求等。
三、市场监管总局发布2023年反不正当竞争“守护”专项执法行动典型案例(侵犯商业秘密篇)
【合规资讯】
2023年市场监管总局部署开展反不正当竞争“守护”专项执法行动,并公布一批侵犯商业秘密不正当竞争典型案例,违法行为主要包括:掌握核心技术的员工与他人相互勾结,将其掌握的技术信息非法披露给他人使用;掌握企业关键信息的员工离职后设立同类型公司,违反保密义务使用所掌握的客户信息资料;某公司成本总监违反保密义务向三家投标单位披露项目招投标的标书标底价格、工程清单、价格清单以及相关图纸等商业信息;某科技公司前高管离职前指使员工获得公司系统软件源代码,后招募该公司软件开发人员,用于同类型软件系统的开发及运营;某科技公司员工未经许可携带公司技术秘密资料离职,并用于其实际管理运营的同业竞争公司。上述违法当事人被责令停止违法行为、没收违法所得,处罚款。(资讯来源:市场监管总局)
【合规提示】
经营者在市场竞争中应当遵循诚实信用原则及商业道德,提升法律意识,强化合规经营理念,不得以侵犯商业秘密等方式实施不正当竞争,破坏公平竞争的市场秩序。建议经营者加强识别反不正当竞争合规风险,结合相关执法案例重点完善以下环节的合规管理。一是在人才引进环节强化背景调查和筛查,尤其是聘用从竞争对手或同类型公司离职的人员时,建议充分了解相关人员在前公司的任职情况和解约过程,包括是否掌握前公司的商业秘密、是否与前公司签订保密协议、是否存在竞业限制、离职时相关技术资料的交接情况等,对敏感度较高或风险较大的人员,建议审慎录用或提前采取风险隔离、控制措施;二是对关键岗位人员加强合规宣贯,明确开展各项工作不得使用或允许他人使用通过不正当手段获取的其他公司的商业秘密,不得教唆、引诱、帮助其他公司员工违反其保密义务获取、披露、使用其公司的商业秘密等;三是在与其他公司开展技术合作时,在相关合同、协议中对于双方商业秘密的范围、使用条件等进行明确约定,切实防范合作中侵犯他人商业秘密的合规风险;四是建议商业秘密权利人通过以下方面增强自我保护。规范公司商业秘密从识别、分级分类、加密解密、存储及销毁的全流程管理,防范公司商业秘密泄露;组织涉密人员签订保密协议,规范核心人员竞业限制管理;加强对员工的信息安全培训,提升全员商业秘密保护意识等。
域外动态
一、美国特拉华州议会通过消费者数据隐私法案
【预警资讯】
7月1日,美国特拉华州议会投票通过了一项隐私法案(HB154),法案待特拉华州州长签署后将正式通过,预计将于2025年1月1日生效。该法案将约束两类在特拉华州经营的企业:一是控制或处理超过35,000名消费者个人数据的企业,二是控制或处理超过10,000名消费者个人数据,并从中获得其总收入20%的企业。(资讯来源:美国特拉华州议会)
【预警提示】
建议涉及在美国特拉华州开展业务的企业,应持续关注法案的立法进程,识别判断是否受法案的约束,并适时开展相应数据合规管理工作。一是对收集个人信息实行分类管理。涉及处理敏感个人数据的,应在收集该数据前获得消费者的明确同意;涉及处理非敏感个人数据的,应在遵循必要、合法、目的限制的原则前提下收集该数据;二是建立健全消费者隐私政策。依照法案的明确要求,在收集处理消费者个人数据前,向相关消费者提供合理的、清晰的隐私通知,内容包括所处理的个人数据类别、处理目的、消费者如何行使其权利、控制者与第三方共享的个人数据类别等;三是完善数据处理活动的管控流程。制定与维护数据流清单,梳理所有数据处理活动的实际应用场景,将应用场景对应的合规要求嵌入到产品业务的全过程中。例如:企业为提供个人性化广告推荐服务而处理个人数据,应当开展事前的数据保护评估(DPA),并向消费者提供退出推荐服务的明显标志与选项。
二、欧盟法院认可德国反垄断执法机构有权审查数据侵权行为
【预警资讯】
7月4日,欧盟法院(CJEU)裁定,德国联邦卡特尔办公室(反垄断执法机构)在2019年命令Meta公司彻底改革其追踪用户互联网浏览和智能手机应用的方式时,并没有逾越其权力。判决中欧盟法院认为,成员国反垄断执法机构在调查科技公司是否通过排挤竞争对手而滥用其市场支配地位时,可以审查任何违反数据隐私规则的行为。(资讯来源:欧盟法院)
【预警提示】
在欧盟或向欧盟用户提供产品或服务而开展数据处理活动的企业,应重视欧盟《通用数据保护条例》的合规要求,强化数据(个人数据)合规管理。一是严格落实“告知-同意”规则的实施。当一款产品涉及提供多种业务功能时,应区分产品或服务的业务功能,不采用捆绑方式强迫个人一次性同意多种业务功能可能收集的个人数据或多个处理活动;同时确保个人拒绝同意时,不影响与该个人数据无关的业务功能的正常使用;二是事前开展针对数据融合业务的风险评估。对于将不同渠道和方式获得的数据进行融合与二次利用的工作,应要求业务部门协同合规管理岗位人员及其他相关方,开展事前的个人数据保护影响评估,并采取相应保护措施,例如:数据融合的处理目的超过与原来收集个人信息时所声称的目的,应当再次取得个人的明示同意;三是加强数据合规专项培训与宣贯。针对产品开发、产品运营、市场营销等关键业务岗位人员,开展场景化的数据合规培训,提高相关人员对数据处理活动的合规风险识别能力与意识,切实履行作为合规管理“第一道防线”的职责。
【声明】
1.本期信息内容由深圳市司法局编辑发布,由深圳市鹏城法律合规研究院提供技术支持,转载请注明以上信息;
2.本期信息仅做分享与交流之用,不构成任何法律意见或建议;
3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础;
4.企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载:
粤公网安备 44030402002963号