企业合规风险提示与预警信息（20241223-20250117）【总第128期】

　　为贯彻落实中央关于加强企业合规建设的重要部署，加快推进企业合规示范区建设，深圳市司法局官网推出“合规”专栏，为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务，助力企业增强合规风险抵御能力，为深圳市“走出去”企业保驾护航。

　　新规速递

　　一、国家金融监督管理总局发布《金融机构合规管理办法》

　　【合规资讯】

　　2024年12月25日，国家金融监督管理总局发布《金融机构合规管理办法》，该办法将于2025年3月1日起正式施行。该办法明确了金融机构合规管理的架构、职责和保障措施，涵盖合规文化建设、首席合规官职责、合规管理部设置及监督管理与法律责任，旨在提升金融机构依法合规经营能力，促进金融行业规范运行，防范系统性风险，推动金融业高质量发展。（资讯分类：境内，金融业，金融监管；资讯来源：国家金融监督管理总局）

　　【合规提示】

　　建议金融机构：一是根据“分级管理、逐级负责”原则，建立合规管理制度，明确董事会、高管层、各部门及下属机构的合规管理责任，构建覆盖全机构的合规管理体系，提高合规管理水平；二是加强合规文化建设，鼓励全体员工树立合规经营理念，推动合规意识融入机构治理和日常运营，通过培训、宣传及内部刊物等，向员工普及合规知识。建立奖惩机制，表彰奖励合规优秀者，严惩违规行为，营造良好氛围；三是加强合规管理保障，定期培训考核以提升其能力，赋予首席合规官及合规官参会、知情、调查等权利，健全合规管理部门与其他部门的沟通协调机制，助力信息共享与协作。

　　二、国家金融监督管理总局印发《银行保险机构数据安全管理办法》

　　【合规资讯】

　　2024年12月27日，国家金融监督管理总局正式发布《银行保险机构数据安全管理办法》（以下简称“《办法》”）。该《办法》旨在规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益，维护国家安全和社会公共利益。《办法》共9章81条，明确了数据安全治理架构，要求银行保险机构建立多层治理架构，落实数据安全责任制，强化数据分类分级管理，根据数据的重要性和敏感程度采取差异化保护措施；强调个人信息保护，要求机构在处理个人信息时，目的明确合理，收集范围最小化。（资讯分类：境内，金融业，金融监管，数据和隐私保护；资讯来源：中国政府网）

　　【合规提示】

　　建议银行保险机构：一是建立数据安全管理组织架构，确保数据安全管理工作涵盖董（理）事会、高级管理人员、数据安全统筹部门等内部各层级，明确数据安全保护相关职责，确保数据安全工作有序进行；二是将数据安全纳入整体风险管理框架，在风险识别、评估与监控时充分考虑数据安全风险，并制定针对潜在安全威胁的全面应对措施；三是在处理个人信息时，明确向个人告知信息处理的目的、内容、方式、处理的个人信息种类、保存期限，需要注意收集的个人信息应当限于实现金融业务处理目的的最小范围，严禁过度收集或利用信息从事违法活动。

　　三、商务部 海关总署公布《出口许可证管理货物目录（2025年）》

　　【合规资讯】

　　2024年12月31日，商务部和海关总署公布《出口许可证管理货物目录（2025年）》（以下简称《目录》），《目录》于2025年1月1日起正式施行。《目录》规定了出口许可证管理货物的目录范围、审批流程及监管要求，涵盖申请条件、审查标准及信息提交要求，旨在加强出口货物许可管理，维护国家经济安全与对外贸易秩序，促进外贸健康发展。（资讯分类：境内，贸易管制；资讯来源：商务部）

　　【合规提示】

　　建议出口企业：一是建立商品分类管理机制，根据目录要求，对企业自身生产或经营的货物进行详细分类，确定每类货物是否属于出口许可证管理范围。对于复杂或难以确定的商品，可咨询商务主管部门或专业律师的意见；二是做好全流程合规管理，识别需要取得的许可证类型及使用次数上限，到有权限的许可机构申请签发许可证，若有指定口岸管理出口的，应在指定口岸办理相关出口手续；三是做好记录和档案管理，企业要妥善保存与出口许可证相关的申请材料、审批文件、报关单等资料，建立完整的档案记录，以便在需要时能够提供有效的证明和依据。

　　四、深圳发布《数据交易合规评估规范》

　　【合规资讯】

　　2025年1月3日，由深圳市司法局、深圳市政务服务和数据管理局提出并归口、深圳市数据交易所牵头起草的深圳市地方标准——《数据交易合规评估规范》（DB4403/T 564—2024）正式发布。该规范的主要内容包括评估原则、评估框架、评估等级、主体合规评估、标的合规评估、流通合规评估以及评估过程要求，旨在解决数据要素流通交易的合规卡点，助力数字经济高质量发展。（资讯分类：境内，数据和隐私保护；资讯来源：深圳司法）

　　【合规提示】

　　建议企业：一是明确数据管理人员或操作人员的日常工作操作规程，定期开展员工数据安全教育培训，提升员工数据安全意识与操作技能。对重要数据处理或处理个人信息达到一定数量的企业，应设立专门的数据安全管理部门、个人信息合规管理部门，并明确相关负责人及其职责；二是加强数据安全风险监测，及时发现并补救安全缺陷与漏洞。按照规定开展数据安全风险评估、个人信息保护合规审计等工作，并及时向相关部门报送报告。在数据安全事件发生时，迅速采取处置措施，及时告知相关方并向主管部门报告；三是数据处理过程应符合法律法规要求，不侵犯第三方权益，遵循数据提供方或授权方的限制。交易标的内容应不包含禁止采集的数据类型，不存在危害国家安全、公共利益和侵犯第三方权益的内容。

　　五、市场监管总局发布《医药企业防范商业贿赂风险合规指引》

　　【合规资讯】

　　2025年1月14日，市场监管总局发布《医药企业防范商业贿赂风险合规指引》。该指引共四章49条，主要内容包括医药企业防范商业贿赂风险合规管理体系建设、医药企业商业贿赂风险识别与防范以及医药企业商业贿赂风险处置，旨在预防和遏制医药领域商业贿赂行为，支持和引导医药企业建立健全合规管理体系，维护医药市场公平竞争秩序，维护人民群众健康权益，促进医疗卫生事业高质量发展。（资讯分类：境内，反商业贿赂；资讯来源：国家市场监督管理总局）

　　【合规提示】

　　建议医药企业：一是建立健全合规管理体系，设立专门合规管理部门，完善风险识别评估、合规审核、风险应对和检举报告机制；二是加强商业贿赂风险识别与防范，规范学术拜访、业务接待等9大场景活动，如禁止医药代表干预医疗人员用药，控制接待标准，确保折扣佣金合规，捐赠不与销售挂钩，设备投放合理且权属明确等；三是强化商业贿赂风险处置，一旦发现商业贿赂风险，应立即停止相关行为，并采取措施进行整改，如追回不当利益、调整相关人员岗位等，并积极配合监管部门的调查处理，如实提供相关信息和证据。

　　六、国务院公布《国务院关于规范中介机构为公司公开发行股票提供服务的规定》

　　【合规资讯】

　　2025年1月15日，国务院公布《国务院关于规范中介机构为公司公开发行股票提供服务的规定》（以下简称《规定》），自2025年2月15日起施行。《规定》共19条，主要内容包括中介机构执业规范、中介机构的收费原则、监管措施等。《规定》旨在规范中介机构为公司公开发行股票提供服务行为，提高上市公司质量，保护投资者合法权益，促进资本市场健康稳定发展。（资讯分类：境内，租赁和商务服务业，金融业，金融监管；资讯来源：国务院）

　　【合规提示】

　　建议证券公司、会计师事务所、律师事务所等机构：一是遵循执业规范，遵循诚实守信、勤勉尽责、独立客观的原则，不得配合公司实施财务造假、欺诈发行、违规信息披露等违法违规行为，制作、出具的文件不得有虚假记载、误导性陈述或者重大遗漏；二是合理确定收费，遵循市场化原则，根据工作量、所需资源投入等因素合理确定收费标准，证券公司保荐业务、会计师事务所审计业务不得以股票公开发行上市结果作为收费条件；三是杜绝违规行为，不得在合同约定之外收取费用，或者以临时加价等方式变相提高收费标准，不得通过签订补充协议等方式规避监管收取服务费用，不得违反规定入股，或者通过获取股票公开发行上市奖励费等方式谋取不正当利益。

　　七、国家发展改革委等部门联合印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》

　　【合规资讯】

　　2025年1月15日，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局联合印发了《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（以下简称《方案》）。《方案》从明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障、完善数据流通安全责任界定机制、加强数据流通安全技术应用、丰富数据流通安全服务供给、防范数据滥用风险等七个方面作出具体部署，旨在将安全贯穿数据供给、流通、使用全过程，以成本最小化实现安全最优化，充分释放数据价值，促进数据开发利用。（资讯分类：境内，信息传输、软件和信息技术服务业，网络安全，数据和隐私保护；资讯来源：国家发展改革委）

　　【合规提示】

　　建议企业：一是加强技术应用与创新，按照数据分类分级保护要求，采取不同的安全技术开展数据流通，对于重要数据，采用“原始数据不出域、数据可用不可见、数据可控可计量”等方式实现数据价值开发；二是强化安全服务保障，选择有资质、信誉好的数据安全服务机构，提升企业数据安全治理能力，防范数据滥用风险，遵守法律法规，不参与非法获取、出售或提供数据的行为，不利用数据开展垄断、不正当竞争等活动。

　　实务动态

　　一、最高人民法院发布依法惩处安全生产资格证书涉假犯罪典型案例

　　【合规资讯】

　　2024年12月24日，最高人民法院发布依法惩处安全生产资格证书涉假犯罪典型案例。该批案例共5件，包括孙某强、韩某平等伪造国家机关证件、印章案；刘某政等伪造、买卖国家机关证件案；王某刚、覃某全非法利用信息网络案；李某祥等非法控制计算机信息系统、魏某程提供非法控制计算机信息系统程序案；练某文买卖国家机关证件案。（资讯分类：境内，安全生产；资讯来源：最高人民法院）

　　【合规提示】

　　建议企业：一是强化内部用工管理，制定并严格执行有关安全生产资格证书的管理制度，定期开展安全生产培训教育，确保所有特种作业人员都经过正规培训，并持有合法有效的资格证书；二是建立健全安全生产责任制度，明确各级工作人员的安全生产职责，将安全生产纳入绩效考核体系并做好违规行为记录，严禁企业内部人员从事伪造、变造、买卖安全生产资格证书等违法活动；三是加强招聘审核和用工管理，在聘用新员工尤其是特种作业人员时，须通过官方渠道核实资格证书的真实性、有效性。

　　二、最高人民法院发布首批新就业形态劳动争议专题指导性案例

　　【合规资讯】

　　2024年12月23日，最高人民法院举行新闻发布会，发布首批新业态劳动争议专题指导性案例，并回答记者提问。该批案例共4件，包括指导性案例237号——郎溪某服务外包有限公司诉徐某申确认劳动关系纠纷案；指导性案例238号——圣某欢诉江苏某网络科技有限公司确认劳动关系纠纷案；指导性案例239号——王某诉北京某文化传媒有限公司劳动争议案；指导性案例240号——秦某丹诉北京某汽车技术开发服务有限公司劳动争议案。（资讯分类：境内，劳动用工；资讯来源：最高人民法院）

　　【合规提示】

　　建议企业：一是自觉遵守劳动法律法规，承担用人单位责任，不得通过“连环外包”，诱导劳动者注册为“个体工商户”并订立承揽、合作协议等方式规避建立劳动关系；二是加强风险管理，签订劳动合同时与劳动者科学、合理界定法律关系性质，明确是否存在劳动、劳务、雇佣等关系，预防劳动争议纠纷的发生；三是持续关注政策动态，由于新就业形态领域中劳动用工模式发生很大变化，劳动争议所涉情形复杂多样，与新就业形态劳动者权益保护相关的法律法规也在不断更新和完善，应跟踪劳动法律法规最新动态，及时调整自身的经营策略，加强劳动用工合规管理。

　　三、网信部门严厉打击整治网络水军问题

　　【合规资讯】

　　2025年1月3日，国家网信办通报了部分整治网络水军问题的典型案例。该批案例包括下架关闭网络水军网站平台；整治同质化文案引流炒作问题；打击组织招募网络水军人员行为；严管刷评刷单涨粉等推广服务；查处利用新技术新应用实施流量造假。（资讯分类：境内，网络安全；资讯来源：中国网信网）

　　【合规提示】

　　建议企业关注如下几点：一是建立健全内部管理制度，制定完善的网络营销规范，明确禁止刷单、刷好评、刷流量等行为，建立内部监督和惩罚机制，对违规行为进行严肃处理；二是加强营销管理，选择合法、诚信的营销渠道和合作伙伴，避免与网络水军组织或个人合作，在开展线上活动时，确保活动规则公平、透明，防止出现诱导用户参与虚假宣传的情况；三是积极配合网信部门的监督检查，及时提供相关信息和数据，对发现的网络水军问题及时整改。

　　境外动态

　　一、美国司法部发布数据跨境传输最终规定

　　【预警资讯】

　　当地时间2024年12月27日，美国司法部发布《关于防止受关注国家或相关人员获取美国敏感个人数据和政府相关数据的规定》（以下简称《规定》）（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons），禁止和限制与特定国家、人员进行数据交易，以防止有关国家获取和利用美国公民的大量敏感数据和政府相关数据。（资讯分类：境外，数据和隐私保护；资讯来源：美国司法部）

　　【要点提示】

　　建议相关企业关注以下要点：一是《规定》所规制的数据范围包括美国人的批量敏感数据，即《规定》明确涵盖的个人标识符、精准地理数据、生物识别符、人类基因组数据、个人金融数据、个人健康数据，以及美国政府相关数据，即有关美国政府机构位置及美国政府职员的相关数据，受《规定》限制的数据交易方式包括涉及披露前述数据的数据经纪交易、供应商协议、聘用协议、投资协议；二是《规定》明确了通过获取许可证以授权开展被禁止或限制的交易的规则，许可证包括一般许可证（general license）与特定许可证（specific license）；在取得许可证、履行CISA规定的安全保护要求的情况下，美国主体也可继续从事相关交易；三是《规定》对进行限制交易的美国人员提出了尽职调查要求，包括了解数据交易类型、交易方身份和数据最终用途等，还要求其保存的交易记录至少10年，包括交易相关的政策、安全措施情况、审计结果、尽调文档等，以便监管机构检查。

　　二、土耳其发布《个人数据跨境传输指南》
   【预警资讯】

　　当地时间2025年1月2日，土耳其个人数据保护局（Kişisel Verileri Koruma Kurumu，KVKK）发布《个人数据跨境传输指南》（Kişisel Verilerin Yurt Dışına Aktarılması Rehberi，以下简称《指南》），旨在规范土耳其数据责任人（veri sorumluları）和数据处理者（veri işleyenler）的数据跨境传输活动，确保个人数据在跨境传输过程中的合法性与安全性。（资讯分类：境外，隐私和数据保护；资讯来源：土耳其个人数据保护局）

　　【要点提示】

　　建议相关企业关注以下要点：一是《指南》明确个人数据跨境传输定义及条件，规定数据处理受土耳其法律约束，适用法律前提为个人数据被传输或可被境外方获取，且数据接收方处于境外；二是《指南》构建了数据跨境传输三步流程，首先判断是否有充分性决定，即目的国、行业或国际组织是否已获得KVKK做出的关于数据保护充分性的认定，若不存在则寻求国际合同等适当保障措施，前两者均不满足时则依例外情形进行数据临时传输；三是《指南》详细规定了多种保障措施，如非国际合同、约束性公司规则、标准合同、承诺书等，并对每种保障措施的具体要求和适用条件进行详细说明，以确保数据传输规范性、保护数据安全与数据主体的权益。

　　三、荷兰数据保护局因某企业违规使用COOKIE对其处以罚款

　　【预警资讯】

　　2024年12月24日，荷兰数据保护局因某企业在2020年的非法个人数据处理行为而对其处以4万欧元的罚款。该公司在没有获取在线商店访客明确同意时，默认用户同意接受cookie并收集其个人数据。荷兰数据保护机构指出，此举违反了《通用数据保护条例》（GDPR），主动询问用户并经其明示同意后收集此类数据才是合规的做法。（资讯分类：境外，隐私和数据保护；资讯来源：荷兰数据保护局）

　　【要点提示】

　　建议相关企业关注以下要点：一是在Cookie政策中明确说明使用目的，包括用于定向广告、数据分析等，区分绝对必要的Cookie和可供选择的第三方Cookie，向顾客提供详细的Cookie列表信息；二是设置Cookie前获得用户的明确同意，可以通过弹窗等简洁明了的呈现方式告知用户Cookie的使用目的、处理方法等信息，并给予客户选择接受与拒绝的权利；三是注意保存证明Cookie设置合规性的必要文件信息以应对数据保护机构的调查，在受到指控时积极配合机构、主动提供资料文件。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院、深圳市企业合规协会提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或决策建议；

　　3.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。