目 录
新规速递
一、 中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》
二、 中国证券监督管理委员会修订发布《上市公司重大资产重组管理办法》
三、 全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》
实务动态
一、 市场监管总局发布四川某公司等七名当事人拒绝、阻碍反垄断调查案行政处罚决定书
二、 最高人民法院、国家发展改革委联合发布依法惩治串通投标及其关联犯罪典型案例
三、 国家税务总局深圳市税务局稽查局依法查处深圳某应用材料有限公司骗享研发费用加计扣除税收优惠偷税案件
境外动态
一、 法国数据保护监管机构对某本地服务平台处以罚款
二、 意大利数据保护监管机构对某科技公司处以罚款
三、 欧盟消费者保护合作网络指控某平台公司违反欧盟消费者保护法
一、中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》
【合规资讯】
2025年5月30日,中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》(以下简称《办法》),自2025年8月1日起施行。《办法》旨在规范货币信贷、宏观审慎、跨境人民币、支付清算等业务领域的网络安全事件报告管理,要求金融从业机构依法依规报告网络安全事件。《办法》共五章三十三条,明确事件分级标准(特别重大、重大、较大、一般)、报告流程及时效要求、监督管理责任及违规处罚措施,同时建立与其他部门的通报协作机制和社会监督机制。(资讯分类:境内,金融业,网络安全;资讯来源:中国人民银行)
【合规提示】
建议金融机构:一是完善内控制度,将网络安全事件划分为特别重大、重大、较大和一般四级,重点结合业务影响程度、数据泄露规模等因素制定分级标准。每年对分级标准进行评估更新,报管理层批准,确保标准与业务发展同步。若事件符合多个分级标准,按最高级别认定,避免因分级不当导致报告延误。二是在网络安全事件发生后及时汇总报告。发生较大等级以上事件,需在1小时内报送事发简要报告,24小时内提交详细报告;重大事件需每2小时报送进展,处置结束后10个工作日内提交总结报告。报告内容需包含事件等级、影响范围、处置措施等要素,涉及个人信息泄露的需说明补救措施及通知用户情况。建立台账记录事件及报告时间,留存至少三年,确保可追溯。三是明确直接责任人处理标准,对主动报告、积极处置的可视情况针对性减轻或免除责任处理。建立内部问责机制,将报告义务纳入岗位考核,避免因管理疏漏引发法律后果。
二、中国证券监督管理委员会修订发布《上市公司重大资产重组管理办法》
【合规资讯】
2025年5月16日,中国证监会修订发布《上市公司重大资产重组管理办法》(以下简称《办法》),自公布之日起施行。此次修订旨在提高审核效率,提升监管包容度,从而进一步释放并购重组市场活力,主要包括以下内容:一是建立重组股份对价分期支付机制;二是提高对财务状况变化、同业竞争和关联交易监管的包容度;三是新设重组简易审核程序;四是明确上市公司之间吸收合并的锁定期要求;五是鼓励私募基金参与上市公司并购重组。(资讯分类:境内,金融业,金融监管;资讯来源:中国证券监督管理委员会)
【合规提示】
建议上市公司:一是完善内部并购重组制度。重点把握信息披露、交易程序、监管审查等方面的新要求,及时修订公司内部并购重组管理制度,确保与监管要求保持一致。二是强化信息披露合规管理,提升透明度与准确性。在筹划和实施重大资产重组过程中,应严格遵循真实、准确、完整、及时的信息披露原则,建立多层级审核机制,防范内幕交易与市场操纵风险,保护中小投资者合法权益。三是做好合规预审与风险评估。在重组项目启动前,联合律师事务所、会计师事务所、评估机构等开展全面法律与财务尽职调查,提前识别潜在合规风险,科学设计交易方案,确保符合证监会审查标准。
三、全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》
【合规资讯】
2025年5月26日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计要求》(以下简称《指南》),旨在指导个人信息处理者及专业机构开展合规审计活动,保护个人信息权益。《指南》明确了个人信息保护合规审计原则,规定了总体要求、实施流程、审计内容与方法,适用于各类个人信息处理主体及专业审计机构开展相关合规审计工作,为规范个人信息保护合规审计活动提供了具体标准指引。(资讯分类:境内,信息传输、软件和信息技术服务业,数据和隐私保护;资讯来源:全国网络安全标准化技术委员会)
【合规提示】
建议企业:一是依据处理个人信息的规模建立适配的审计体系:处理100万人以上信息的企业应指定个人信息保护负责人,处理1000万人以上信息的企业需配备至少10名审计人员(含1名高级、3名中级资质人员)。审计团队需保持独立性,内部审计人员不得参与被审计对象的管理决策,外部专业机构不得连续三次以上对同一企业开展审计。二是审计需贯穿个人信息收集、使用、存储、跨境等全流程。重点核查知情同意机制(如敏感信息单独同意、未成年人监护人同意)、处理规则规范性(如收集清单明确性、保存期限合理性)、自动化决策透明性(如提供非个性化选项、解释说明机制)。三是加强审计结果应用与持续改进机制。将合规审计结果纳入企业高层决策与风险管理流程,作为评估数据合规管理体系有效性的重要依据;同时结合监管动态与技术发展,持续优化审计标准与防护措施,提升整体数据治理能力。
一、市场监管总局发布四川某公司等七名当事人拒绝、阻碍反垄断调查案行政处罚决定书
【合规资讯】
2025年5月27日,市场监管总局发布江苏省市场监督管理局对四川某公司等七名当事人作出的行政处罚决定,上述企业因拒绝、阻碍反垄断调查被依法处罚。(资讯分类:境内,反垄断;资讯来源:国家市场监督管理总局)
【合规提示】
建议企业:一是高度重视反垄断调查配合义务,杜绝抗拒执法行为。在面对反垄断行政执法调查时,严格遵守《中华人民共和国反垄断法》及相关程序规定,不得拒绝、阻碍执法人员依法履职,避免因抗拒调查导致加重处罚。二是建立健全反垄断合规内部应对机制。建议设立专门合规应对团队或指定专人负责协调反垄断调查事项,确保在调查过程中依法配合。
二、最高人民法院、国家发展改革委联合发布依法惩治串通投标及其关联犯罪典型案例
【合规资讯】
2025 年 5 月 19 日,最高人民法院与国家发展改革委联合发布 6 件依法惩治串通投标及其关联犯罪典型案例,旨在规范招投标市场秩序、维护公平竞争环境。此次发布的典型案例分别为:被告人张某串通投标案——依法惩治损害民营企业合法权益的串通投标行为;被告人王某甲、王某乙串通投标案——依法惩治农村生产经营领域的串通投标行为;被告人李某琼受贿、串通投标案——依法惩治医疗领域“量身定做”串通投标行为;被告人袁某、赵某串通投标、行受贿案——依法惩治教育领域的串通投标行为;被告人王某串通投标、伪造印章案——伪造印章后用于串通投标,应依法数罪并罚;被告人潘某受贿、串通投标案——制发司法建议,推动招投标领域综合治理。(资讯分类:境内,反商业贿赂,反腐败;资讯来源:最高人民法院)
【合规提示】
建议企业:一是健全内部招投标管理制度。加强对招标代理机构选择、资质审核、评标打分等环节的管控,要求员工如实申报与投标方的利益关联,重点关注是否存在“拆分标段售卖”“阶梯式布点报价”等异常情况。必要时可引入第三方廉洁审计,对投标保证金流向、陪标费支付等开展专项核查,杜绝“以贿串标”的合规风险。二是建立“资质文件三级核验”机制,通过官方渠道查询投标人社保记录、业绩证明等材料真实性,拒绝使用借用、冒用的资质或虚假印章文件。完善员工背景审查,避免录用有伪造文件等不良记录的人员参与投标业务。
三、国家税务总局深圳市税务局稽查局依法查处深圳某公司骗享研发费用加计扣除税收优惠偷税案件
【合规资讯】
2025年5月19日,国家税务总局深圳市税务局稽查局依法查处深圳某公司骗享研发费用加计扣除税收优惠偷税案件。经查,该公司通过在研发费用中虚列黄金材料消耗支出等手段进行虚假纳税申报,违规享受研发费用加计扣除税收优惠,少缴企业所得税1621.16万元,并存在其他少缴税款违法行为。税务部门最终对其作出追缴税款、加收滞纳金并处罚款共计3618.15万元的处理处罚决定。(资讯分类:境内,制造业,财务税收;资讯来源:国家税务总局)
【合规提示】
建议企业:一是建立健全研发项目管理制度,确保研发费用真实、准确、完整归集,严格按照税法规定范围和标准进行加计扣除申报,杜绝虚增研发费用、违规列支等违法行为。二是建立研发费用专项台账,如实记录材料消耗、人工成本等支出,确保特殊材料的采购、领用、损耗记录与研发项目实际需求匹配,避免虚构“材料消耗”等虚假成本。三是深入研读研发费用加计扣除政策细则,明确“实质性研发活动”与“生产经营支出”的边界,严禁将日常生产用料混入研发费用申报。申报时需同步整理研发项目立项书、费用分配表、成果证明等佐证材料,形成“项目-费用-成果”的完整证据链。
【合规资讯】
2025年5月21日,法国数据保护监管机构(CNIL)依据《通用数据保护条例》(GDPR)对某本地服务平台企业处以90万欧元罚款,因其在处理用户个人数据时存在多项合规缺陷。调查显示,该企业在未经用户明确同意的情况下长期收集、存储并用于定向广告推送个人数据,且未建立有效的数据访问控制机制,导致部分用户信息存在泄露风险;同时,该企业未能及时响应数据主体的删除请求,违反GDPR关于数据主体权利的规定。(资讯分类:境外,数据和隐私保护;资讯来源:欧盟数据保护委员会)
【合规提示】
建议企业关注如下要点:一是在法国经营企业若涉及欧盟用户数据的商业营销,需严格遵循GDPR第7条及法国《电子通信代码》要求,确保用户同意的“自由、明确与知情”:不得通过预勾选、默认同意或隐蔽条款获取授权,需以清晰独立的弹窗或表单区分必要与非必要数据处理(如营销短信与核心服务功能),并为用户提供逐项选择的权利。二是企业需在隐私政策中详细披露数据来源、使用目的、共享对象及跨境传输路径,核查上游收集环节的合规性。建议建立“数据供应链合规台账”,要求供应商提供原始同意记录、数据收集声明等文件,确保从源头满足GDPR“合法性基础”要求。对于电子营销场景,需单独说明营销频次、退订方式及数据保留期限,避免因披露模糊被认定为“非法处理”。三是根据GDPR相关规定,企业需结合业务规模评估违规风险,每年至少开展一次GDPR合规审计,重点核查同意记录的完整性、营销数据的合规性及跨境传输的标准合同条款(SCCs)有效性。
【预警资讯】
2025 年 5 月 21 日,意大利数据保护监管机构(SA)宣布对某聊天机器人软件的开发公司处以500万欧元罚款,因其违反《通用数据保护条例》(GDPR)多项规定。调查显示,该公司在2023年2月前未明确相关软件服务数据处理的合法依据,隐私政策存在缺陷,且未实施年龄验证机制(尽管宣称排除未成年人用户),当前的年龄验证系统仍存在技术漏洞。SA认定其违反GDPR第5条(数据处理原则)、第6条(处理合法性)、第12-13条(透明告知义务)、第24条(控制者责任)及第25条(设计与默认数据保护),除罚款外,还责令其整改数据处理操作。(资讯分类:境外,信息传输、软件和信息技术服务业,数据和隐私保护;资讯来源:欧盟数据保护委员会)
【要点提示】
建议企业关注以下要点:一是企业开发涉及欧盟用户的AI应用时,需依据GDPR第6条逐项明确数据处理的合法性基础(如用户明确同意、履行合同必需等),杜绝“一揽子授权”或模糊处理。二是企业可参照GDPR第12、13条要求,以“清晰通俗语言”编制隐私政策,详细披露AI系统的数据收集范围、使用目的、存储期限及共享对象(含第三方算法服务商)。三是若AI服务可能吸引未成年人使用,企业需在注册及使用环节实施“多层级验证”,如结合身份证核验、人脸识别等技术手段,确保“青少年模式”有效适用。
三、欧盟消费者保护合作网络指控某平台公司违反欧盟消费者保护法
【预警资讯】
5月26日,欧盟委员会联合比利时、法国、爱尔兰和荷兰的消费者保护机构,通过欧盟消费者保护合作网络(Consumer Protection Cooperation, CPC)发起行动,指出某平台存在违反欧盟消费者保护法的情形。目前,该平台公司仍在接受调查,并被要求向CPC披露更多的行为细节。CPC在调查报告中声明,该零售商存在包括虚假折扣、压力销售政策、信息缺失与误导、欺骗性商品标签、误导性声明等一系列违法行为,特别是在信息展示问题上,其向消费者展示的关于消费者履行退货退款等法定权利的信息是不完整和错误的,并且未按照消费者的行权要求进行正确的退货退款处理。(资讯分类:境外,批发和零售业,信息传输、软件和信息技术服务业,广告营销;资讯来源:欧盟消费者保护合作网)
【要点提示】
建议企业关注以下要点:一是CPC网络是根据《消费者保护合作条例》,由27个欧盟成员国、挪威、冰岛的消费者执法机构组成了一个网络。CPC网络针对违反欧盟消费者保护法的跨境违法行为,采取联合调查和执行行动。欧盟委员会在某些情况下协调这些联合行动的开展。二是2024年4月,欧盟委员会根据《数字服务法》(DSA)正式将案例涉及的平台公司划定为“超大型在线平台”(VLOP),这意味着其需要遵循DSA中规定的对VLOP的一系列要求,包括:更严格地监控非法产品,提交风险评估报告、列出假冒伪劣产品等;加强消费者保护措施,纳入年龄分级购买体系等;确保更高的透明度,提供公开访问权限以供委员会审查等。三是在欧经营企业可针对欧盟《消费者权利指令》《数字服务法》等相关法律,组织专业团队或聘请欧盟本地法律顾问,对平台在商品信息披露、退货政策、用户协议条款等方面进行全面合规审查,确保业务模式符合当地法律。
【声明】
1.本期信息内容由深圳市司法局编辑发布,由深圳市企业合规协会提供技术支持,转载请注明以上信息;
2.本期信息仅做分享与交流之用,不构成任何法律意见或决策建议;
3.企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载: