根据司法行政系统队伍教育整顿精神,紧扣为群众办实事的宗旨,贯彻落实中央关于企业合规建设的重要精神,推动企业持续加强合规管理。深圳市司法局官网现推出“合规”专栏,搭建合规智库信息发布平台,为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务,助力企业增强合规风险抵御能力,为深圳市“走出去”企业保驾护航。
新规速递
一、网信办等十三部门联合修订发布《网络安全审查办法》
【合规资讯】
1月4日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等十三部门联合修订发布《网络安全审查办法》,自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。(资讯来源:国家互联网信息办公室)
【合规提示】
关键信息基础设施运营者应当加强对采购网络产品和服务的网络安全审查和管理,通过投入使用安全风险预判、产品和服务提供者配合义务要求和承诺等进行全面风险排查和管理,对于影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。对于拟在国外上市或已上市的企业,应当重点梳理和摸排其掌握的个人信息数量情况,掌握超过100万用户个人信息的,应当主动启动网络安全审查申报程序。网络安全审查应当侧重于国家安全因素,包括但不限于设施被非法控制、遭受干扰、中断或者破坏的风险,遵守中国法规的情况,被窃取、泄露、毁损以及非法利用、非法出境的风险,被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险等。
二、网信办等四部门发布《互联网信息服务算法推荐管理规定》
【合规资讯】
1月4日,为规范互联网信息服务算法推荐活动,维护国家安全、社会公共利益和公众权益,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布《互联网信息服务算法推荐管理规定》,自2022年3月1日起施行。《规定》明确了应用算法推荐技术的含义和范围,说明了算法推荐服务提供者的信息服务规范和合规要求,强调了算法推荐服务提供者的用户权益保护要求,还规定了具有舆论属性或者社会动员能力的算法推荐服务提供者,应当按照要求进行备案手续,以及履行有关记录保存、技术支持和协助义务。(资讯来源:国家互联网信息办公室)
【合规提示】
从事算法推荐服务的企业,应当建立健全用户注册、信息发布审核、数据安全和个人信息保护、安全事件应急处置等管理制度和技术措施,定期审核、评估、验证算法机制机理、模型、数据和应用结果等;建立健全用于识别违法和不良信息的特征库,发现违法和不良信息的,应当采取相应的处置措施;加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则;加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在重点环节积极呈现符合主流价值导向的信息;规范开展互联网新闻信息服务,不得生成合成虚假新闻信息或者传播非国家规定范围内的单位发布的新闻信息;不得利用算法实施影响网络舆论、规避监督管理以及垄断和不正当竞争行为。
三、网信办发布《移动互联网应用程序信息服务管理规定(征求意见稿)》
【合规资讯】
1月5日,为了进一步规范移动互联网应用程序信息服务管理,营造清朗网络空间,国家互联网信息办公室对2016年8月1日正式施行的《移动互联网应用程序信息服务管理规定》进行了修订,向社会公开征求意见。征求意见稿主要针对两类主体,一是境内通过移动互联网应用程序提供信息服务的主体(应用程序提供者),二是从事互联网应用商店等应用程序分发服务的主体(应用程序分发平台)。征求意见稿规定,应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、网络数据安全、个人信息保护、未成年人保护等管理制度,确保信息内容安全,营造良好网络生态,强化用户权益保护。(资讯来源:国家互联网信息办公室)
【合规提示】
作为应用程序提供者的企业,应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施。另外,应当规范经营管理行为,不得通过虚假宣传、捆绑下载等行为,或者利用违法和不良信息诱导用户下载,不得通过机器或人工方式刷榜、刷量、控评,营造虚假流量。并且,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。作为应用程序分发平台的企业,应依法履行备案程序,加强上架应用的分类管理和运营行为监督审查,建立健全管理和技术措施,及时发现防范应用程序违法违规行为,依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。
执法动态
一、公安部公布2021年侵犯个人信息十大典型案例
【合规资讯】
1月8日,公安部对外公布了2021年侵犯公民个人信息犯罪十大典型案例。在这些案例中,有非法获取个人信息数十亿条通过暗网出售谋取不法利益,有非法获取老年人信息200余万条并骗取6万余名老年人1500余万元,还有非法注册游戏账号卖给未成年人牟利170余万元等。后续,公安机关网安部门将会同有关部门,认真贯彻落实《刑法》和《个人信息保护法》《数据安全法》等法律法规,完善打击危害公民个人信息和数据安全违法犯罪长效机制,坚持打击和防范并重,做好源头防控,持续保持严打高压态势,不断提升民众的安全感。(资讯来源:公安部)
【合规提示】
根据案例反映的问题,建议企业应当从对外、对内两个方面加强对个人信息安全保护管理。对于商业合作第三方,企业应当加强个人信息安全合规管理,在系统接口、信息系统建设等阶段,需要监督和要求第三方切实履行个人信息安全保护义务,对于个人信息来源的合法和安全性进行排查和分析,加强对接入链接和网站木马程序和病毒的监测和排除,阻止和避免虚假网站与链接侵犯个人信息安全的行为。对于内部数据处理活动,企业应当建立安全有效的个人信息验证机制,加强员工授权于访问的安全管理,并建立适当的机制加强对员工业务操作的管理与监督。
二、反垄断局处罚多家头部互联网企业
【合规资讯】
1月5日,国家市场监督管理总局反垄断局集中发布13份行政处罚决定书。涉案企业受到处罚原因均为违反《反垄断法》第21条规定,在股权变更登记前未依法进行申报,违法实施经营者集中。市场监管总局对该13起未依法申报实施经营者集中的当事人分别处50万元罚款。(资讯来源:国家市场监管总局反垄断局)
【合规提示】
2021年11月,市场监管总局依法对43起未依法申报违法实施经营者集中案作出行政处罚决定时表示,依法处理未依法申报案件,既能保障各类市场主体公平参与竞争,维护反垄断法权威,不断优化公平、透明、可预期的竞争环境,又能有效督促企业提升合规意识和能力,推动企业和行业持续健康发展。反垄断局的上述执法行动表明,平台经济领域反垄断监管仍然是2022年的重点任务。并且,根据此次公布的13起处罚案例,违法交易时间最早到2015年,最新的是2020年11月底,体现了反垄断执法向前追溯与事前审查并重的趋势。对于平台企业而言,应更加关注投资并购等交易是否涉及经营者集中申报,避免因未依法申报而遭受相应的调查和处罚。
三、国家计算机病毒应急处理中心通报20款移动应用隐私不合规行为
【合规资讯】
1月6日,国家计算机病毒应急处理中心通过互联网监测发现20款移动应用存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规定,涉嫌下列超范围采集个人隐私信息的行为:(1)App以默认选择同意隐私政策等非明示方式征求用户同意;(2)未向用户明示申请的全部隐私权限;(3)App在征得用户同意前就开始收集个人信息;(4)未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件;(5)未建立公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限。(资讯来源:国家计算机病毒应急处理中心)
【合规提示】
企业应当按照《App违法违规收集使用个人信息行为认定方法》《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》等规范性文件的要求,对自身App的合规状况进行评估,在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息等。被监测发现存在不合规行为的App的运营者应当立即开始整改,并建立相应的合规管控机制,避免违规问题重现。
域外法讯
一、大型互联网企业再遭天价罚款:cookies的拒绝选项设置不合规
【合规资讯】
当地时间1月6日,法国国家信息与自由委员会(Commission Nationale de l'Informatique et des Libertés,下称“CNIL”)的限制委员会对两家大型互联网企业作出处罚决定,认为其相关产品在cookies的同意设置上,采用的是“一键接受”的模式,但是没有提供同等便捷有效的拒绝模式,用户甚至需要点击才能拒绝所有cookies选项,侵犯了用户同意的自由。CNIL对一家互联网搜索引擎服务企业、一家社交媒体服务企业分别作出罚款1.5亿欧元、6000万欧元的罚款决定,同时要求这些公司在三个月内向位于法国的互联网用户提供一种拒绝cookies的方式,就像现有的接受方式一样简单,以保证他们的同意自由。如果他们不这样做,公司将支付每天延误100,000欧元的罚款。(资讯来源:法国国家信息与自由委员会)
【合规提示】
企业使用cookies作为收集、跟踪、分析特定用户在某一网站或应用平台上的浏览痕迹时,应当遵守有关个人信息收集、使用的合规要求。在cookies隐私协议的设置中,在用户进入网站或应用平台的第一时间,企业应当在进入页面或端口向用户完整、清晰地展示cookies技术的提供cookies类型、功能或使用目的、所收集的个人信息的类型、是否涉及向第三方提供个人信息,以及用户如何更改非必需的cookies的偏好设置,并向用户提交cookies隐私协议申请。并且,企业应当将cookies的同意设置与拒绝设置保持平等和同等的操作条件,不得设置不合理的或者额外的要求,对用户拒绝有关cookies技术设置障碍和门槛。
二、欧洲数据保护委员会发布数据泄露通知示例指南
【合规资讯】
当地时间1月3日,欧洲数据保护委员会(The European Data Protection Board,简称EDPB)发布了关于数据泄露通知示例的指南。该指南是EDPB于12月全体会议上讨论后通过的,涉及关于处理数据泄露和风险评估的具体的建议和最佳实践。指南中重点关注的具体事件包括勒索软件攻击、数据泄露攻击、内部人员危险、设备或文件丢失或被盗、错误发送、社会工程等。(资讯来源:欧洲数据保护委员会)
【合规提示】
企业应当建立健全数据泄露和安全风险的监测和防控机制,对数据进行分类分级的安全保密管理,采用不同安全等级的加密以及访问限制技术工具。一旦发生重大的数据泄露事件,企业应当按照有关要求和流程及时履行报告义务,将数据安全事件的原因、泄露的数据类型和范围、对个人或者有关主体可能造成的权益影响等向有关主管部门和有关个人进行报告和通知。企业应当对根据企业的实际情况,开展网络安全等级保护测评,不断优化和推进企业的数据安全和网络安全合规管理体系的建设,履行数据保护及网络安全义务。
三、德国联邦卡特尔局首次适用针对大型数字公司的滥用控制新措施
【合规资讯】
1月5日,德国反垄断机构联邦卡特尔局宣布,其已经做出决定对美国大型数字公司实施扩展滥用控制,以对该公司的特定反竞争行为采取更加深入的调查与行动。该行动的依据是2021年1月生效的《德国竞争法》第19a条,该条款能使联邦卡特尔局能够更早、更有效地进行干预,尤其是针对大型数字企业的行为。联邦卡特尔局表示,该机构已经在更仔细地调查该公司对用户数据的使用情况,以及该公司旗下的新闻服务。此外,联邦卡特尔局还在考虑对某大型互联网电商平台、社交媒体服务企业以及某跨国科技公司执行进一步调查。(资讯来源:德国联邦卡特尔局)
【合规提示】
2021年1月修订的《德国竞争法》第19a条引入了跨市场竞争的概念,以识别对跨市场竞争具有重要意义的平台并规范其滥用行为。在判断平台企业是否在主业领域具有反垄断法意义上的支配地位时,需要关注该平台企业主业上吸引的用户是否会高频次地使用其平台上提供的其他服务,以及平台企业获取用户数据进而影响跨市场竞争的能力。根据该条,联邦卡特尔局可以禁止那些对跨市场竞争至关重要的公司从事某些反竞争行为,包括对集团自身服务的自我偏好,采取捆绑或捆绑战略等,不以业绩为基础的反竞争手段对不占据主导地位的市场进行渗透,以及通过处理与竞争相关的数据,增设或提高进入市场的壁垒等。
四、世界银行制裁三家公司
【合规资讯】
1月4日,世界银行集团宣布,因涉嫌在马达加斯加机场项目和/或萨格勒布机场项目中存在串谋和欺诈行为,对马达加斯加建筑公司、法国两家公司实施为期12个月到24个月的制裁。受到除名制裁的公司将失去参与世界银行集团各机构资助的项目和业务的资格;受到有条件不除名制裁的公司只要继续遵守和解协议规定的义务,将有资格参与由世界银行集团资助的项目。根据和解协议,作为解除禁令的条件,上述公司应加强集团的诚信合规项目,并遵守世界银行集团《诚信遵守准则》的规定。(资讯来源:世界银行集团)
【合规提示】
世界银行集团的制裁制度是指,世界银行对参与世界银行资助项目、从事符合定义形式的欺诈、腐败、共谋、胁迫或妨碍行为的个人和实体进行制裁的有关规定。世界银行主要制裁行为包括除名、有条件不除名、谴责、恢复原状以及经济补偿等。值得关注的是,2010年4月9日,非洲开发银行集团、亚洲开发银行、欧洲复兴开发银行、美洲开发银行和世界银行集团五家国际多边发展银行签署关于制裁决定的多边协议,这使得世界银行的制裁具有联合与连带制裁的效力。参与世行项目的企业以及其代理人应当根据《世界银行诚信合规指南》的11项原则,全面搭建包括禁止不当行为、风险评估和审查、内部政策、关于业务伙伴的政策、培训和宣传、激励措施、违规报告、对不当行为的补救等内容的合规体系。
【声明】
1. 本期信息内容由深圳市鹏城法律合规研究院提供,转载请注明以上信息;
2. 本期信息仅做分享与交流之用,不构成任何法律意见或建议;
3. 任何主体均不应当以本期信息及所载内容作为分析和判断的基础;
4. 企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载:
粤公网安备 44030402002963号