为贯彻落实中央关于企业合规建设的重要部署,加快推进企业合规示范区建设,深圳市司法局官网推出“合规”专栏,搭建合规智库信息发布平台,为企业提供国内外涉及深圳企业发展的重大合规领域立法及执法的提示和预警服务,助力企业增强合规风险抵御能力,为深圳市“走出去”企业保驾护航。
新规速递
一、证监会发布《上市公司独立董事管理办法》
【合规资讯】
8月4日,为优化上市公司独立董事制度,中国证券监督管理委员会发布《上市公司独立董事管理办法》(以下简称《独董办法》),自2023年9月4日起施行。《独董办法》共六章四十八条,主要内容包括:独立董事的任职资格与任免、职责与履行方式、履职保障、监督管理与法律责任等。同日,上海证券交易所、深圳证券交易所、北京证券交易所同步修订了股票上市规则及自律监管指引等配套规则。(资讯分类:境内,金融监管;资讯来源:中国证监会)
【合规提示】
建议上市公司和拟上市公司充分认识独董制度改革的重要意义,关注独董制度新要求,规范独立董事行为,充分发挥独立董事在上市公司治理中的作用。一是建议上市公司充分利用《独董办法》规定的为期一年的过渡期,对公司董事会及专委会的设置、独立董事专门会议机制、独立董事的独立性、任职条件、任职期限等事项进行全面检查,对不符合《独董办法》及配套措施要求的事项及时整改;二是建议拟上市公司严格遵守《独董办法》的最新要求,关注拟上市证券交易所的最新业务规则等配套措施,在独立董事的任免、职责规范和董事会设置上进行相应的调整和执行;三是建议上市公司根据《独董办法》的要求建立独立董事制度,结合公司性质和业务制定更具有针对性的制度和措施,引导和规范独立董事的行为,确保充分发挥独立董事在公司治理中参与决策、监督制衡、专业咨询的作用,维护上市公司整体利益。
二、数据合规领域多个文件公开征求意见
【合规资讯】
8月7日至9日,全国信息安全标准化技术委员会分别就《网络安全标准实践指南——生成式人工智能服务内容标识方法(征求意见稿)》(以下简称《标识方法》)《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(以下简称《处理要求》)公开征求意见。《标识方法》提出了不同场景下人工智能服务进行内容标识的方法,《处理要求》提出关于敏感个人信息的界定方法,以及敏感个人信息处理的安全要求。8月8日,国家互联网信息办公室就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《管理规定》)公开征求意见,《管理规定》规定了人脸识别技术应用的条件和限度,规范了各类场所安装图像采集、个人身份识别设备的行为。《管理规定》要求人脸识别技术使用者事前进行个人信息保护影响评估和记录,并规定在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案等内容。(资讯分类:境内,网络安全,数据和隐私保护,信息传输、软件和信息技术服务业;资讯来源:国家互联网信息办公室、全国信息安全标准化技术委员会)
【合规提示】
建议企业主动了解最新监管要求,合理使用人脸识别技术、正确处理敏感个人信息,规范生成式人工智能服务内容标识,尽早防范合规风险。一是建议企业加强开展内部合规检查,梳理和筛查企业使用人脸识别技术以及使用其他个人敏感信息的场景,对照《管理规定》以及《处理要求》等国家标准的内容,评估使用人脸识别等行为的合规风险,对不符合要求的行为进行整改,履行《管理规定》要求的特定主体的备案义务;二是建议生成式人工智能提供者提高内容标识水平,根据《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》以及《标识方法》对生成的图片、视频、音频等进行标识,防止公众混淆,确保信息内容的可追溯性;三是建立健全企业合规体系,加强企业合规文化建设,提升相关工作人员采集、使用个人信息或提供生成式人工智能服务时对合规风险的认识,提升企业整体的合规意识。
执法动态
一、公安部公布打击侵犯公民个人信息犯罪十大典型案例
【合规资讯】
8月10日,公安部通报了全国公安机关打击整治侵犯公民个人信息违法犯罪行为的十大典型案例,其中包括云南怒江“2.13”侵犯公民个人信息案、广东佛山某汽车服务有限公司侵犯公民个人信息案、福建厦门某科技有限公司信息泄露案、福建龙岩某公司侵犯公民个人信息案等。公安部发言人表示,目前公安机关侦破的案件中,侵犯公民个人信息犯罪主要发生在信息获取、信息倒卖和下游犯罪环节。目前,公安机关紧紧围绕上述三大犯罪环节,全面摸清产业链各环节特点,开展上溯源头、下追买家的全链条打击,并同步跟进“一案双查”,对互联网企业平台严管严查,压实企业主体责任,坚决遏制侵犯公民个人信息违法犯罪蔓延趋势。(资讯分类:境内,数据和隐私保护;资讯来源:公安部)
【合规提示】
近年来,全国公安机关持续打击侵犯公民个人信息违法行为,建议有关企业提高责任意识,落实安全保护措施。一是以公安部公布的典型案例为基本参考,明确数据安全保护的法律红线和合规底线,检查企业在收集和使用公民个人信息时是否存在非法获取、信息倒卖和不法利用等行为,并及时进行整改,排除刑事犯罪风险;二是作为个人信息持有者和使用者的企业提高防范意识和社会责任意识,重点关注公安部通报案例中犯罪行为人侵害数据的手段与措施,以此为鉴构建企业数据安全防线,依照《网络安全法》《数据安全法》《个人信息保护法》及其配套措施梳理企业数据安全管理现状,明确企业的安全管理责任,分析企业现有数据安全管理制度与法律要求之间的差距,进行有针对性的调整和完善;三是处理个人信息达到一定数量或者处理重要数据的企业,尤其是隐患较为突出的即时通讯、网络直播、网络社交、电商平台或金融支付等重点领域的企业,建立健全数据安全合规管理体系,并在企业运营中落实运行,提升新型犯罪的识别和预测能力,保障公民个人信息安全。
二、上海某公司未经许可爬取利用公开数据的行为被法院认定构成不正当竞争
【合规资讯】
近日,天津自贸区法院审结一起天津某数码公司等与上海某公司不正当竞争纠纷案。上海某公司未经原告许可,整体搬运涉案数据并直接用于涉案产品的新闻栏目中。法院认为,该行为既非实现涉案产品正常运营的必要手段,亦不符合社会公共利益的价值需求,其实现的效果并不足以弥补被诉行为给原告造成的损失,影响了正常的市场竞争秩序和健康公平的行业生态,降低了消费者福利,超出了数据利用的合理限度,具有不当性。由此可以认定上海某公司的被诉行为构成对原告的不正当竞争。(资讯分类:境内,数据和隐私保护,信息传输、软件和信息技术服务业;资讯来源:天津自贸区法院)
【合规提示】
数据逐渐成为现代社会的核心生产要素,在数据权属和以数据为客体的行为定性尚处于探索阶段的时代背景下,建议企业严格规范数据使用行为,确保数据使用行为的正当性,预防违法或侵权风险。一是提升数据权属意识,尽管数据具有非独占性,但建议企业在对特定数据进行使用之前判断数据是否为法律保护的客体,对数据的投资成本、信息规模和商业价值进行评估,尊重他人的合法数据权益,预防数据侵权;二是企业明确数据使用的界限,在使用公开数据过程中应权衡使用的方式、手段和范围是否具有正当性。首先,遵守法律法规和行业管理的规定,履行合理注意义务。其次,在使用方式的选择上遵循最小损害原则,尽可能降低对他人数据权益的损害。另建议企业衡量使用行为对公共利益、私人利益和市场竞争造成的影响;三是企业建立风险防范机制,关注行业监管最新动态,结合行业特点及其数据存在形态的特性,列明侵权或违法风险较高的数据使用行为,严格规范企业的数据使用方式,并开展企业内部员工培训,提升企业整体数据使用合规意识。
域外动态
一、美国CFPB拟制定“数据经纪人”规则
【预警资讯】
近日,美国消费者金融保护局(CFPB)发布关于保护美国人免受“数据经纪人(Data Broker)”行为侵害的会议发言。CFPB提出两项提案:一是将提供特定类型消费者数据的“数据经纪人”划定为“消费者报告机构(Consumer Reporting Agency)”;二是明确“信用标题数据(Credit Header Data,信用报告文件中开头部分的数据)”是否为一种“消费者报告(Consumer Reports)”,以限制披露敏感信息的行为。同时,CFPB提出制定数据经纪人问责制度,以应对人工智能发展对处理敏感个人信息行为带来的风险。(资讯分类:境外,数据和隐私保护;资讯来源:美国消费者金融保护局)
【预警提示】
美国制定“数据经纪人”制度可以为我国数据交易市场中的企业提供一定参考,提示相关企业关注数据交易行为的隐私风险,履行数据保护义务。建议数据交易市场中的各主体把控数据流通中的各个环节,以应对监管环境的变化。一是建议数据中介机构和市场供需双方,根据法律要求和业务需要,在技术上完善数据安全措施,如数据加密、访问控制、安全储存、安全传输等;二是建立数据交易合规体系,规范数据交易流程,确保企业有合法的授权进行数据的交易和处理,在数据交易中披露使用范围并严格限制使用范围,主动向数据主体提供充分透明的信息,尊重数据主体的权益,并设置完备的机制响应数据主体的权利请求;三是建议企业提高判断敏感个人信息的能力,在技术上和程序上严格限制敏感个人信息的访问权限,对敏感个人信息进行匿名化处理,降低数据的敏感性,严格保护敏感个人信息,以适应新的监管环境。
【声明】
1.本期信息内容由深圳市司法局编辑发布,由深圳市鹏城法律合规研究院提供技术支持,转载请注明以上信息;
2.本期信息仅做分享与交流之用,不构成任何法律意见或建议;
3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础;
4.企业在做出任何可能影响经营管理的决定前,建议咨询合规专业人士。
附件下载:
