安杰法律研究 | 政府监管与合规简报双周刊2021年8月(下）- 大数跨境

首页

安杰法律研究 | 政府监管与合规简报双周刊2021年8月(下）

跨境团长Robert

2021-09-07

导读：安杰法律研究 | 政府监管与合规简报双周刊2021年8月(下）

政府监管与合规简报

2021年8月16日至2021年8月31日

目录

网络安全与数据篇

原创文章

算法监管的“军备竞赛”时代已来临——简评《互联网信息服务算法推荐管理规定（征求意见稿）》
简评《汽车数据安全管理若干规定》

监管动态

工信部关于APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报
网信办启动清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治
网信办启动清朗·移动应用程序PUSH弹窗突出问题专项整治

法规速递

《个人信息保护法》正式出台
《关键信息基础设施安全保护条例》正式发布

广告篇

监管动态

李佳琦公司因直播带货中涉及虚假宣传遭罚款30万元
李诞因发布违背社会良好风尚广告被罚87万

法规速递

市场监管总局就《医疗美容广告执法指南》公开征求意见

新经济篇

监管动态

Tim Hortons的数据信托模式能否“突围成功”？

法规速递

商务部就《直播电子商务平台管理与服务规范》行业标准公开征求意见
Facebook发布DTC跨境电商白皮书

出口管制与制裁篇

监管动态

中国某知名银行因制裁合规问题与美国OFAC达成和解并缴纳巨额和解金
罗马尼亚银行因违反制裁要求被美国监管机构处以86万美元罚款

Part 01

网络安全与数据篇

原创文章

算法监管的“军备竞赛”时代已来临——简评《互联网信息服务算法推荐管理规定（征求意见稿）》

作者：顾正平向文磊

2021年8月27日，国家互联网信息办公室（“网信办”）公开发布了《互联网信息服务算法推荐管理规定（征求意见稿）》（“《算法推荐规定（征求意见稿）》”或“本规定”）。作为与《个人信息保护法》（“《个保法》”）等重要法律法规相关的（但关注点又不尽相同的）、首个涉及算法推荐领域的专门性规定，《算法推荐规定（征求意见稿）》的战略价值无疑是巨大的（乃至在全球范围内而言）、对相关行业企业的影响无疑是深远的。本文以法条评注的方式，结合算法推荐的具体应用场景，为企业合规实务应关注的部分重点内容提供解读与分析。（全文阅读：D@ta｜算法监管的“军备竞赛”时代已来临——简评《互联网信息服务算法推荐管理规定（征求意见稿）》）

第一条：制定背景

《算法推荐规定（征求意见稿）》的制定依据中列明了《数据安全法》（“《数安法》”）、《个保法》等法律和行政法规，即表明违反本规定的行为可能会同时触发《数安法》和《个保法》等相关法律法规的有关罚则（例如暂停或停止提供服务、处五千万元以下或者上一年度营业额百分之五以下罚款等）；
我们理解，相关主管部门（如工信部、司法部、科技部等）可能后续介入本规定的制定修改过程。鉴于本规定的重要性，我们预计本规定很可能于今年内正式出台，相关企业宜充分利用征求意见阶段的窗口期，对本规定提出必要的修改反馈建议，同时根据相关重点条文内容及时部署合规整改工作；
我们理解，基于《个保法》、《数安法》等相关法律的授权，网信办的统筹协调和规则制定权将更趋于频繁和常态化。基于目前的执法趋势，我们建议相关企业（特别是重点企业、重点行业）不宜等待具体实施细则的落地后才做合规调整，而应更积极地开展合规评估、不时与有关监管部门保持密切的沟通并寻求指导。

第二条：适用范围

《算法推荐规定（征求意见稿）》的适用范围是比较广的（本规定明确的个性化推送类、排序精选类、调度决策类系列举方式的提示性规定）。实践中，判断某个应用或某项服务是否落入本规定的规制范围，仅需判断该应用或服务是否使用有别于自然结果的推荐算法（例如短视频分发或新闻推送等、餐饮外卖服务中的商家搜索排序、骑手调度等、出行服务中的订单匹配等、游戏直播服务中的“热榜”等、流媒体音乐服务中的“猜你喜欢”等均属于典型的算法推荐服务）；
我们理解，短视频类应用、直播类应用或服务、垂类搜索服务（例如具有热搜功能的垂直类搜索等）、出行或导航类应用或服务等是《算法推荐规定（征求意见稿）》的重点监管对象。

第四条：总体原则

算法伦理的问题目前已在全球范围内引起了很大的立法和执法关注（典型的立法如欧盟的人工智能法案。中国执法实践中，交易所或证监会亦会针对AI类企业的IPO上市出具关于算法使用伦理方面的问询意见）。此前，科技部也公开发布了《关于加强科技伦理治理的指导意见（征求意见稿）》。

第六条：算法推荐禁止行为

相关企业应通过设置关键词条过滤、敏感内容屏蔽等内容素材的审核机制落实本条第二款的义务。实践中，涉及国家安全、恐怖主义、暴力、色情、赌博等违法犯罪或敏感事项一般应作为内容素材审核机制中的基础（一般更多依靠技术性过滤），而针对侵权内容的处理（例如侵犯他人知识产权、肖像权、名誉权等）则更多地需要根据《民法典》、《电子商务法》等法律法规的要求引入人工审核的制度干预。另外，实践中还需高度重视算法推荐内容是否满足社会主义核心价值观和公序良俗（具体的审查尺度须个案判断）。

第七条：算法安全主体责任

本条的合规义务与《个保法》、《网络安全法》（“《网安法》”）等相关法律项下的合规义务是一致的（例如安全评估、应急处置等）。实践中，针对“公开算法推荐相关服务规则”，并非要求企业公开说明使用的算法推荐逻辑、方法等技术层面的内容，而是要求公开算法推荐服务的对象、目的和实现功能等（通常是以简明易懂的方式向用户展示推荐服务如何实施）。我们建议企业将算法推荐服务的规则纳入其现行的隐私政策协议中（可考虑与自动化决策部分的说明放置于一起）。

第八条：算法模型审核义务

本条的合规落地措施通常包括：（1）设置防沉迷系统（特别是针对未成年人的服务）、或特定时长休眠等（实践中目前主要针对游戏类应用，但我们理解未来执法中可能会针对短视频类应用或直播类应用）；（2）设置用户风险评测功能，设置与用户风险承受能力、风险偏好相适应的商品/服务推荐等；（3）应适当控制针对特定人群的消费内容推荐和定向推送（例如针对女性用户的医疗美容类产品/服务等）。

第九条：信息内容管理义务

实践中，通常可以通过注明为“定推”、“广告”等字样（具体字样应根据不同的业务场景和推荐内容进行区分）来履行本条第一款的显著标识义务；
除了涉及国家安全、恐怖主义、暴力、色情、赌博等违法信息外，目前实践中还须结合网信办的专项治理行动针对特定类型的内容（例如违法违规的财经类内容、恶意炒作灾难事故、娱乐八卦等）采取合规处置措施。

第十条：用户模型/标签管理

实践中，通常禁止列入用户画像的内容包括（1）包含色情（例如针对内涵段子等擦边球式软色情内容也应从严把握）、赌博、迷信、恐怖、暴力的内容；（2）表达对民族、种族、宗教、残疾、疾病歧视的内容；（3）危害国家安全、荣誉和利益，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视；
实践中针对不同消费群体、不同区域的消费者设置的定向推送（例如针对中高端消费人群与针对下沉市场消费者的不同推荐）并不必然构成歧视性或偏见性用户标签。目前我们理解，本条所指的歧视性或偏见性的典型适用场景是带有社会争议、易使得自然人的人格尊严等遭受侵害的算法推荐（例如针对LGBT群体、残障人群等歧视性推荐内容）。

第十一条：算法推荐页面管理

根据网信办专项治理行动的部署要求，新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序的弹窗功能将进行重点执法。具体的六项整改要求主要包括：（1）禁止弹窗推送违规采编发布、转载的新闻信息；（2）弹窗推送新闻信息不得渲染炒作舆情热点，断章取义、篡改原意吸引眼球；（3）未取得互联网新闻信息服务许可的工具类应用不得弹窗推送新闻信息；（4）禁止弹窗推送娱乐八卦、明星绯闻、血腥暴力、奇闻异事、低俗恶俗等有悖社会主义核心价值观内容；（5）禁止通过弹窗渠道放大传播失德艺人、负面争议人物的有关言论；（6）不得扎堆弹窗推送突发事件、灾难事故，不得渲染血腥现场、过度强调案件血腥细节等；
前述多数合规要求亦适用于除弹窗形式以外的推送（特别是热搜、榜单类功能等）。

第十二条：算法策略

实践中，内容去重、打散干预等算法策略应重点聚焦在对敏感争议内容的处理上。例如针对电商购物、餐饮外卖等算法推荐场景，打散干预等则并非必要措施。

第十三条：不正当竞争

任何形式的刷量行为（包括批量注册真实账号进行）的风险都是很高的；
买热搜、控评等行为目前处于违法违规处理的最强监管范围（例如通过发通稿、买竞争对手的负面新闻热搜等行为也属于典型违规场景）；
利用算法推荐进行自我优待并不必然违法违规（例如将首页优先展示位留给自家应用或服务、优先定向推送自家应用或服务等）。

第十四条：用户告知义务

如前所述，我们建议企业可以将算法推荐服务的情况列入隐私政策协议中的专章（例如个性化推送的部分）。例如在餐饮外卖的场景下，算法推荐的目的可以写成“结合消费者的兴趣、口味等为消费者提供个性化的餐饮商家”，而算法推荐的基本原理和运行机制通常可以描述推荐算法的影响因素（如消费者的购买浏览记录、根据餐饮种类的推荐、品牌商家的销量好评量等）等。

第十五条：用户选择权

本条第一款的合规义务是和《个保法》相一致的。关闭算法推荐服务并不意味着不得使用任何算法；
实践中，基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序，且不因个人信息主体身份不同展示不一样的内容和搜索结果排序，则属于不针对其个人特征的选项。

第十六条：未成年人保护

我们理解，有关执法部门会持续展开针对未成年人保护的专项执法行动；我们建议企业结合应用服务的敏感程度、算法推荐内容的性质等因素考虑制定应用服务的青少年模式等（例如在青少年模式中，游戏类信息内容的推荐或诱导消费类的推荐应当是受限的）。

第十七条：劳动者权益保护

从立法初衷来看，本条的主要适用对象是客运货运、餐饮外卖等应用或服务。对于这两类应用场景而言，针对劳动者的算法推荐服务规则的公示形式可以是灵活的、独立的（独立于针对消费者的隐私政策协议），例如通过官网公示等形式；
适用本条的一大核心争议在于如何界定“劳动者”（即是否要求本规定项下的劳动者等同于《劳动法》、《劳动合同法》等劳动法律法规所界定的劳动者）。例如针对PUGC短视频类应用，通常与平台形成劳务合作关系的专业达人、野生达人等是否也属于本条所保护的对象仍有待实践观察。

第十八条：消费者权益保护

实践中，本条的处罚依据主要是《反垄断法》、《消费者权益保护法》等。从企业算法推荐服务的设计运行角度看，根据消费者偏好等设置不同的交易价格等并不必然是违法违规的（但上述差别待遇须具有合理理由，例如高峰期与平峰期不同的计费规则、不同距离远近的配送费差异等。但不同消费者对同类商品的不同价格敏感度通常不构成差别待遇的合理理由）。

第二十条：分类分级管理制度

结合本条的规定，具有舆论属性或社会动员能力的（例如微博、新闻推送类应用等）、内容类别较敏感（例如金融、医疗健康等）、用户数量巨大、处理数据类型较敏感的（例如地理位置信息等）算法推荐服务属于本规定重点监管与执法的对象；
我们理解，判断某类算法推荐服务是否具有舆论属性或社会动员能力可以结合用户数量（用户数、受众范围等）、活跃度（日活月活等）、内容敏感程度等因素进行考量。

第十九条、第二十三条：特殊算法推荐服务

本条针对具有舆论属性或者社会动员能力的算法推荐服务提供者施加了较为严格的备案审查义务。实践中，算法自评估报告可以参照处理个人信息的安全影响评估、AI类企业IPO上市的招股说明书及反馈回复等样式。我们亦建议企业不时地与相关网信部门进行必要的沟通。
第二十三条第一款的内容将可能直接与《网安法》、《数安法》等法律法规项下的网络安全审查、数据安全审查等制度相关联，因此安全评估的要素也应借鉴考虑网络安全审查、数据安全审查的考量因素。
除公开版本的算法推荐服务规则外，企业还应以内部技术文档等形式制定完整的算法推荐服务规则、以应对监管部门的潜在调查。

第二十二条：备案公示

对于投资人而言，在投资具有舆论属性或者社会动员能力的算法推荐服务类项目时（例如具有社区、论坛、小组、圈层、公众号等功能算法推荐类应用都可能具有舆论属性或社会动员能力），须注意审查目标公司是否具有算法推荐服务的备案资质。

简评《汽车数据安全管理若干规定》

作者：顾正平向文磊

2021年8月20日，国家互联网信息办公室（“网信办”）、国家发展和改革委员会、工业和信息化部（“工信部”）、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（“《汽车数据安全规定》”），该规定将于10月1日起生效。作为与《个人信息保护法》、《数据安全法》等重要数据类法律相配套的、首个涉及汽车数据安全领域的专门性规定，《汽车数据安全规定》围绕汽车数据收集和使用全过程（包括收集、存储、处理、传输、出境等）进行了较为详细的规定和探索，对汽车领域经营者在个人信息和重要数据保护等方面提出了较高的合规要求（也包括跨国企业的本土合规及境内企业的出海合规等）。本文系法商实验室以新旧法条比对及评注的方式，为企业合规实务应关注的部分重点内容提供的解读及分析（全文阅读：D@ta｜首发！简评《汽车数据安全管理若干规定》）。

第一条：立法目的

虽然《汽车数据安全规定》的上位法制定依据中并没有明确列入《个人信息保护法》（“《个保法》”），但显然在汽车数据合规实践中对于个人信息的处理也须遵守《个保法》的有关规定；
从“促进汽车数据合理开发利用”的立法意图来看，《汽车数据安全规定》旨在为汽车行业企业划定“红线行为”的基础上激活汽车数据的应用价值。实践中建议企业结合具体的业务场景从商业合理性的角度对汽车数据的合规使用进行必要评估。

第二条、第三条：适用范围

实践中我们认为一些特定类型的汽车数据处理活动还须遵守其他法规和规范的合规要求（例如工信部有关智能网联汽车的相关规定、智能网联汽车的相关标准等）。
汽车数据处理者的适用范围应做广义理解（尽管不同的汽车数据处理者面临的监管风险可能不同）。例如虽然《汽车数据安全规定》删除了征求意见稿中将“保险公司”列为汽车数据处理者的相关规定，但在汽车保险理赔实务中保险公司也会涉及针对汽车数据的处理、因此并不能豁免其在本规定项下的相关义务（在代表一家投资机构投资某互联网保险科技公司的项目中，我们在进行法律尽调和拟定交易文本时均重点考虑了该公司核赔、核保等业务行为的网络安全与数据合规）；
实践中敏感个人信息/个人信息与重要数据的范围可能是重合的。例如在我们近期处理的一起涉及汽车废旧电池领域的投资项目中，目标公司可以通过追踪电池的位置信息获知车辆行踪轨迹；尽管该等数据收集的逻辑系对物的追踪，但该等数据仍然构成敏感个人信息（同时也构成重要数据）。再例如《汽车数据安全规定》从数据的处理量的角度将“涉及个人信息主体超过10万人的个人信息”新增列为重要数据；
《汽车数据安全规定》的重要数据类型中将征求意见稿的“高精度测绘数据”删除并不意味着从监管层面放松对该数据类型的规制（恰恰相反，在针对某出行服务企业的网络安全审查中，该数据类型是相应主管机关的重点审查对象）；
我们对于《汽车数据安全规定》将泛物流、运输类数据新增作为重要数据的类型并不意外。结合我们为相关物流科技企业及电商平台企业服务的经验，电商物流履行、餐饮配送、货运、邮政等多个业务场景中形成的轨迹信息/位置数据都是较为敏感的；
结合测试道路的性质、自动驾驶的技术（如L3/L4/L5）及商业用途等因素，智能网联汽车的道路测试数据可构成《汽车数据安全规定》的重要数据。

第六条：处理原则

基于我们的项目经验，针对脱敏处理是否能够实质降低数据处理的风险应根据不同的数据类型和业务场景进行判断（例如去标识化技术或加密技术是可逆的、或访问控制、密钥管理等制度松散等情况）。但无疑，以明文形式收集、处理个人信息或相关数据的网络安全和数据方面的风险是较高的（特别是针对监管重点行业或监管重点企业）。

第七条：告知义务

由于《个保法》已经正式出台（并将于11月1日生效），因此汽车数据处理者违反本条规定将适用《个保法》项下的相关罚则；
提供车载导航、车内通信、娱乐系统的软件服务商在履行落实本条规定的合规义务时可能会遇到一定的难题：特别是在汽车仅构成该软件服务商提供服务的应用场景之一的情况下，软件服务商是否需要区分制定隐私政策，需结合具体的业务场景进行评估。

第九条：敏感个人信息处理

本条的合规义务非常高，且直接与《个保法》相衔接并可能适用相应的违规处理数据的罚则。例如如何落实“征得单独同意从而处理敏感个人信息”的义务可能会困扰相关企业；
全球范围内的生物识别特征信息的规制均是很严格的。例如基于先前处理的一起涉及境外40个国家的跨境数据合规及商业化项目经验，个别东南亚国家明确禁止任何形式下的生物识别特征信息的跨境，而一些国家也限制企业利用生物识别特征信息进行商业化（例如限制定向广告等）。

第十条：安全评估

与《数据安全法》（“《数安法》”）相衔接的是，汽车数据处理者处理重要数据也须开展定期风险评估并履行报送义务。实践中如何确定/限定风险评估的范围是十分考究的。例如在处理应对有关执法部门的专项执法行动时，是否有必要或是在何等范围内向有关执法部门披露完整的业务数据处理行为和数据流向（典型例子是关联公司间的数据共享等）须结合不同的场景和条件进行判断。

第十一条：本地化义务

本条明确了汽车重要数据的本地化要求。除安全评估义务以外，针对汽车重要数据的处理还可能涉及网络安全审查、数据安全审查；
未列入重要数据的个人信息还须满足《个保法》项下的相关合规要求（例如使用标准合同条款等）。

第十二条：数据跨境

本条的规定具有突破性，但在实践落地时仍有一些问题有待进一步明确。例如当汽车数据处理者需要针对相关重要数据进行超出安全评估的目的、范围等的跨境使用时，该等数据处理行为究竟应重新进行安全评估、亦或是仅履行变更申报即可，仍有待未来的实践予以明确（当然，未经安全评估即超范围、超目的的跨境使用则已触发《个保法》和《数安法》的相关罚则）。
我们认为，本条第二款的抽查核验等执法可能会迅速部署开展，而相关执法部门很可能会以专项行动的方式推进执法工作。

第十六条：智能网联汽车

作为《汽车数据安全规定》的新增条款，本条既充分反映了执法部门对于智能网联汽车领域的重点监管态度，也为相关企业协助国家建设健全智能网联汽车平台、赋能智能网联汽车监管提供了商业化的布局方向。

监管动态

工信部关于APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报

2021年8月18日，工信部发布通报称针对APP违规调用通信录、位置信息以及开屏弹窗骚扰用户等三方面突出问题，组织开展了“回头看”（2021年第8批）[1]行动，共发现携程旅行、搜狐视频、企业微信等43款APP仍存在整改不彻底、技术手段对抗、同一问题在不同地域整改不一致的问题，故责令限期整改。此外，工信部协同通信局组织开展了手机应用软件监督检查，通报了210款侵害用户权益的APP[2]（2021年第9批），并下架67款侵害用户权益的APP[3]。

合规建议

工信部在个人信息保护领域的执法已经积累了大量的实践经验并形成了常态化的执法流程和机制，实践中也会委托第三方检测机构对APP的个人信息收集和处理等行为进行检测（而不仅仅只是审查是否具有隐私政策文本）。对于企业而言，《个人信息保护法》（“《个保法》”）正式出台后，个人信息保护的合规工作已逐步进入深水区，应尽快从技术层面、数据资产层面等角度落实《个保法》及相关国家标准的严格合规义务。

网信办启动清朗商业网站平台和"自媒体"违规采编发布财经类信息专项整治

2021年8月27日，网信办决定开展清朗·商业网站平台和“自媒体”违规采编发布财经类信息专项整治。[4]

此次专项整治重点聚焦财经类“自媒体”账号、主要公众账号平台、主要商业网站平台财经版块、主要财经资讯平台等4类网上传播主体，重点打击以下八类违规问题：一是胡评妄议我财经方针政策，唱衰中国经济的行为；二是盲目转载境外歪曲解读我财经报道评论的行为；三是散布“小道消息”，造谣传谣的行为；四是恶意篡改、片面曲解等“标题党”行为；五是充当金融“黑嘴”，恶意唱空或哄抬个股价格的行为；六是炒作负面信息，谋取非法利益的行为；七是炒作社会恶性事件，煽动悲情、焦虑、恐慌情绪的行为；八是冒用滥用他人名义开办财经专栏、账号的行为。

网信办启动清朗移动应用程序PUSH弹窗突出问题专项整治

2021年8月27日，网信办决定启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”。[5]

此次专项整治重点面向新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序，明确以下六项整改要求：一是PUSH弹窗推送新闻信息必须采用规范稿源；二是PUSH弹窗推送新闻信息不得渲染炒作舆情热点，篡改原意吸引眼球；三是PUSH弹窗推送新闻信息要求工具类应用取得互联网新闻信息服务许可；四是禁止PUSH弹窗推送娱乐八卦、血腥暴力、低俗恶俗等有悖社会主义核心价值观内容；五是禁止通过PUSH弹窗渠道放大传播失德艺人、负面争议人物的有关言论；六是遇突发事件或灾难事故，不得渲染血腥现场，不得扎堆PUSH弹窗推送相关信息。

法规速递

《个人信息保护法》正式出台

2021年8月20日，经过三次审议，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》，将于2021年11月1日起施行。[6]

《个人信息保护法》共8章74条，官方权威解读十大亮点如下所示：一是确立了合法、正当、必要和诚信等个人信息保护原则；二是构建了以“告知-同意”为核心的个人信息处理规则；三是禁止“大数据杀熟”行为以规范自动化决策；四是严格保护生物识别、金融账户、行踪轨迹等敏感个人信息，尤其是不满十四周岁未成年人的个人信息；五是规范国家机关依法依规处理个人信息的活动；六是赋予个人充分权利，规定个人信息可携带权、死者个人信息的保护等；七是强化个人信息处理者的合规管理和保障信息安全等义务；八是赋予大型网络平台特别义务以完善平台治理，强化外部监督；九是规范个人信息跨境流动，明确向境外提供个人信息的途径；十是健全个人信息保护工作机制，明确各部门监管职责。

《关键信息基础设施安全保护条例》正式发布

2021年8月17日，国务院正式发布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。[7]

《条例》以坚持问题导向，压实责任和做好法律法规相衔接为总体思路，共制定了六章51条，主要包括以下六个方面的内容：一是明确了关键信息基础设施范围和保护工作的原则目标；二是明确了监督管理体制；三是完善了关键信息基础设施认定机制；四是明确了运营者的责任义务；五是明确了保障和促进措施；六是明确了各方面的法律责任。

其中为明确关键信息基础设施认定，《条例》规定了关键信息基础设施的定义、范围和认定程序，以及认定的核心标准。为全方位地压实责任，《条例》规定关键信息基础设施运营者、保护工作部门、以及网信部门、公安机关等国家相关职能部门的责任，落实了“谁运营、谁负责”“谁主管、谁负责”的原则。

Part 02

广告篇

监管动态

李佳琦因直播带货中涉及虚假宣传遭罚款30万元

近日，李佳琦关联公司美腕（上海）网络科技有限公司，因旗下主播通过淘宝直播在对美容仪产品的推广介绍中使用“全脸激活胶原蛋白、提拉紧致、提拉淡纹，效果巨明显……坚持用了一个月，就相当于打了一次热玛吉，效果真的很可怕很神奇”等用语被上海市长宁区市场监管局处罚30万元。上海市长宁区市场监督管理局认为，案涉美容仪产品与“热玛吉”两者从定价、产品使用性能、功能、持续效果等方面都存在较大差异，当事人在无任何依据的情况下对两者的对比易引发受众不恰当的联想、足以对消费者造成误导，构成虚假宣传。[8]

李诞因发布违背社会良好风尚广告被罚87万元

知名脱口秀演员李诞因在微博中发布含“一个让女性轻松躺赢职场的装备”内容的女性内衣广告而被北京市海淀区市场监管局罚没约87万元。北京市海淀区市场监督管理局认为，“躺赢职场”广告将“职场”与“内衣”挂上关系，文案内容低俗，有辱女性尊严，且当事人实施广告代言行为的同时并未使用过该商品，因此李诞的该项广告同时构成了发布违背社会良好风尚的违法广告的行为和广告代言人为其未使用过的商品作推荐、证明的行为。[9]

法规速递

市场监管总局就《医疗美容广告执法指南》公开征求意见

2021年8月27日，市场监管总局就《医疗美容广告执法指南》向社会公开征求意见。[10]

征求意见稿指出，市场监管部门要重点打击制造“容貌焦虑”，将容貌不佳与“低能”“懒惰”“贫穷”等负面评价因素做不当关联；宣传诊疗效果或者对诊疗的安全性、功效做保证性承诺；使用患者名义进行诊疗前后效果对比；利用广告代言人（“推荐官”“体验官”）为医疗美容做推荐、证明；以介绍健康、养生知识、人物专访、新闻报道变相发布医疗美容广告等十大类医疗美容广告乱象。

合规建议

据今年5月市场监管总局等八部委的医疗美容服务专项整治工作方案，2021年6月至12月期间医疗美容广告都将成为广告监管执法重点，指南征求意见期仅七日，亦可看出执法的从快节奏。对开展医疗美容相关业务的企业而言，应考虑：（1）尽快梳理相关许可和备案是否齐全；（2）整理已发布且仍有效的相关广告（无论网络广告、印刷广告、传媒广告、流动广告或其他形式），核对《指南》执法重点、开展自我排查；（3）谨慎处理医患关系，避免患者投诉举报引发不必要的调查合规成本与商誉损失。

而对平台企业、广告或营销服务提供商企业而言，也应考虑：（1）梳理现有合作关系医疗美容品牌企业的资质和备案情况（如医疗机构执业许可证、医疗美容分级备案情况、医疗广告审查证明的广告成品样件表等），确认品牌方未超出资质范围发布广告；（2）按照《指南》执法重点，推荐甄选品牌合作方的内部流程与审查标准。

此外，尽管此次征求意见稿将适用范围限定在以创伤性或者侵入性手段开展的医疗美容服务，但非直接创伤性或直接侵入性手段的医疗美容亦可能引起执法关注。

Part 03

新经济篇

监管动态

Tim Hortons的数据信托模式能否“突围成功”？

全球知名的加拿大咖啡连锁店TimHortons的中国实体公司 (“THIL”)，计划通过SPAC(特殊目的收购公司)方式借壳Silver Crest Acquisition Corp.在美国上市。为解决中国企业海外上市的网络安全及数据合规顾虑，THIL提出了一种解决方案——即在中国成立一家独立的公司（“NewCo”），专门用于保护THIL消费者数据的存储及使用（THIL将不持有NewCo任何股份）。THIL表示，这项计划须获得网信办和其他相关监管机构的批准，并须持续地接受监管机构的审查。

合规建议

数据信托目前被认为是解决数据跨境流动合规风险（特别是针对中国企业海外上市的情景）的解决方案之一（数据信托的模式在英国已有一些相对成熟的实践经验）。我们理解，实践中不同行业、不同企业、不同业务情景下所能采用的、合规的数据信托模式是不尽相同的。针对中国企业海外上市的场景而言，THIL的数据信托模式（通过设立新公司，使得数据的控制权与使用权分离）不会是唯一一种方案选择，因此企业仍需结合具体的业务场景、设计定制化的数据信托方案。

法规速递

商务部就《直播电子商务平台管理与服务规范》行业标准公开征求意见

2021年8月18日，商务部发布公告，公开征求《直播电子商务平台管理与服务规范》行业标准（征求意见稿）意见。[11]

针对直播电子商务当前发展存在的主要问题（如虚假宣传、货不对版、不退不换、涉嫌假货、不明链接、引导线下交易等），本标准描述了直播电商生态体系，规定了直播营销平台、直播主体、电子商务交易平台等角色在直播电子商务中的管理和服务要求。此规范将进一步引导和促进电子商务平台经营者依法履行主体责任并营造良好的电子商务消费环境，通过规范和明确直播电子商务过程中“人、货、场”等之间的相互关系与权责，得以协调协作各参与方，从而促进直播电子商务健康发展。

Facebook发布DTC跨境电商白皮书

近日，Facebook 发布了《DTC 跨境电商白皮书》。[12]DTC（Direct-to-Consumer，直营电商）不局限于单一的销售渠道，而是以消费者为终端，具有自主掌握与消费者的关系，个性化营销讲述品牌故事，营销驱动品牌迭代等优势。

报告主要分为以下几个部分：

疫情下全球电商发展趋势：疫情下全球电商加速发展，封城措施带动跨境消费。
DTC 消费者行为洞察：千禧一代（80后）Z世代（95后）是引领全球消费行为和带动袋子商务业绩成长的主力族群。
DTC 新兴关注品类：后疫情时代，时尚类、家居和园艺、健康与美容、体育用品四大核心品类获得高速成长。
DTC 运营和发展模式：DTC品牌需要重点关注用户满意度和新用户的增长，指出用户是持续创造价值的基础，用户的增长即是品牌的增长。
DTC 营销解决方案：一方面要建立品牌意识，进行品牌营销；通过调研广告、直播和精品栏广告的方式来增强互动，进行内容营销；以及利用自动化或机器学习算法来帮助获客利益最大化，实现效果营销。另一方面也要定制化用户广告，以加强用户忠诚度。

Part 04

出口管制与制裁篇

监管动态

中国某知名银行因制裁合规问题与美国OFAC达成和解并缴纳巨额和解金

2021年8月26日，中国某知名银行因违反《苏丹制裁条例》，与美国财政部外国资产控制办公室（OFAC）达成和解，缴纳两百多万美元的和解金。该银行利用美国代理行，通过美国金融系统处理了111笔涉及当时被全面制裁的苏丹的交易，该行为显著违规。但由于该银行此前未违反美国的制裁规定，且自愿披露了上述行为，同时也已采取了一些补救措施，因此OFAC认定该案“并非情节严重”，对其从轻处罚，要求其缴纳2,329,991美元的和解金。

OFAC在当天还公布了另一起与罗马尼亚银行的和解案件。该案中，罗马尼亚的First Bank SA 及其美国母公司JC Flowers & Co因违反《伊朗交易和制裁条例》以及《叙利亚制裁条例》等规定，与美国财政部外国资产控制办公室（OFAC）达成和解，同意支付862,318美元。FirstBank SA通过美国银行为位于伊朗和叙利亚的个人或实体处理美元付款，共计98笔商业交易，合计3,589,189美元。这些交易为伊朗和叙利亚间接提供了金融服务，并导致美国金融机构向叙利亚提供出口金融，显著违规。但由于First Bank SA自愿披露了上述行为且已采取了多项补救措施，上述违规行为也并非情节恶劣，因此OFAC裁定最终和解款金额为862,318美元。

合规建议

由OFAC执法的金融制裁是美国出口管制与制裁体系中的重要一环，因此对于企业而言（特别是银行等金融机构）建立完整的、成熟的制裁合规体系（例如本案中涉及的承诺救济措施如建立由管理层负责的合规委员会、年度全行范围内的制裁风险评估、基于职级和业务线的制裁合规培训等）是相当重要的。

对于商业银行等处理交易量很频繁的金融机构而言，在执行OFAC金融制裁合规时还应考虑：（1）对前台交易人员等关键业务岗位员工进行专项培训，做好客户尽职调查；（2）及时更新制裁国家、制裁企业和人员的清单，核实KYC信息并确保客户不落入制裁清单、以免触发“表面违反”制裁规则；（3）定期及时排查、监测合规风险，发现风险时主动向OFAC汇报沟通并暂缓可疑的款项交易，避免被OFAC认定存在违法加重情节。