大数跨境
首页
>
安杰法律研究 | 政府监管与合规简报双周刊(2021年5月)
>
0
0

安杰法律研究 | 政府监管与合规简报双周刊(2021年5月)

安杰法律研究 | 政府监管与合规简报双周刊(2021年5月) 安杰世泽律师事务所
2021-06-02
2
导读:政府监管与合规简报(2021年5月15日-2021年5月31日)



政府监管与合规简报

(2021年5月15日-5月31日)


网络安全与数据篇

原创文章    

- 汽车数据合规趋向实务问答

法规速递

- 《数据安全法》草案将进行第三次审议

- 网络安全与数据领域国家标准最新发布


新经济篇

法规速递

-《网络直播营销管理办法(试行)》正式生效


出口管制与制裁篇 

法规速递

- 商务部发布两用物项出口管制内部合规指导意见

- 欧盟理事会通过《欧盟两用物项出口管制条例》

司法前沿

- 小米被移出CMCC制裁清单

- 高云半导体起诉美国国防部和财政部




01
PART
网络安全与数据篇



原创文章- 汽车数据合规趋势实务问答


作者:顾正平、向文磊、李芳逸


2021年5月12日,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》[1](“《汽车数据管理规定》”)。作为与《个人信息保护法》、《数据安全法》等重要数据类法律相配套的、首个涉及汽车数据安全领域的专门性规定,《汽车数据管理规定》围绕汽车数据收集和使用全过程(包括收集、存储、处理、传输、出境等)进行了较为详细的规定和探索,确立了车内处理原则、匿名化处理原则、最小保存期限原则、默认不收集原则等数据处理原则,并对汽车领域经营者在个人信息和重要数据保护等方面提出了较高的合规要求(也包括跨国企业的本土合规及境内企业的出海合规等)。尽管我们预计《汽车数据管理规定》最终稿的出台将不早于《个人信息保护法》、《数据安全法》的正式出台[2]且相关内容仍会有一定程度的调整修改,但鉴于总体智能网联汽车领域的监管成熟化和迫切需求,相关企业宜提前进行业务合规布局。本文拟以实务问答的形式、尝试就汽车数据领域的部分关键问题提供初步合规分析及针对具体条款的点评建议,供相关企业决策时参考。

某中国新能源汽车企业将其存储于挪威数据中心的汽车相关数据传输至中国是否应受《汽车数据管理规定》的监管?

首先,将存储于境外的汽车数据传输至中国的服务器不属于《汽车数据管理规定》的规制范围。但该行为应满足挪威信息保护和跨境传输方面的监管要求。其次,若该等回传的数据与境内的相关汽车数据融合入数据中台进行运算、分析等会受到《汽车数据管理规定》的监管。此外,如涉GDPR司法辖区的个人数据跨境传输须做好跨境数据流通的合规评估。

问:实践中如何理解适用个人信息和重要数据的匿名化处理原则?

答:有观点认为,《汽车数据管理规定》规定的匿名化处理原则中匿名化的要求系针对个人信息,而脱敏处理则针对重要数据。我们倾向于认为,具体是否采用匿名化处理或使用何种脱敏技术应视具体的数据类型、数据应用场景等具体情况来分析判断。例如针对测绘数据而言,其他法规已有针对该等数据安全管理的明确要求。再例如针对车载流媒体音乐软件的相关数据(但不同主体、不同形式如在线播放或本地播放的数据收集的合规性可能有所差异),《汽车数据管理规定》要求匿名化处理似乎过于严格(我们倾向于认为脱敏处理即可,从而有利于根据画像化用户的听歌习惯进行定制化推荐)。

问:实践中如何理解适用默认不收集原则?

答:首先从条文表述来看,默认不收集原则并非强制性的合规义务。其次,如何合规收集(或具体而言,如何履行告知并取得同意的义务)取决于拟收集数据的类型、数据收集的主体等。例如针对整车企业而言,车辆使用说明书或销售协议及车载显示面板等可以满足告知同意的场景要求。再比如针对敏感个人数据的收集,要求驾驶人单次同意授权的规定则可能引发较多的实务问题:例如道路交通5G基础设备提供商通过路面传感器收集车流数据时似乎无法征得驾驶人的直接授权同意。

问:针对《网络预约出租汽车经营服务管理暂行办法》与《汽车数据管理规定》就数据保存期限规定的潜在适用冲突,网约车平台企业该如何适用?

答:《网络预约出租汽车经营服务管理暂行办法》(“《暂行办法》”)第二十七条规定“网约车平台公司所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年”。但是,根据《汽车数据管理规定》第3条的列举式定义,网约车平台同时属于受规制的运营者,因此同样应遵循《汽车数据管理规定》第6条第3项规定的对个人信息和重要数据的最小保存期限原则(该原则尚未明确限定期限时长)。针对二者就数据保存期限的潜在冲突,我们理解应回归到二者各自规制的信息范围。网约车平台所采集和生成的数据中,除了依《暂行办法》第18条第2款列明的“驾驶员、约车人在其服务平台发布的信息内容、用户注册信息、身份认证信息、订单日志、上网日志、网上交易日志、行驶轨迹日志”等数据遵照2年保存期要求外,其他类别的个人信息和重要数据仍应遵循《汽车数据管理规定》规定的最小保存原则。至于前述最小保存原则对应的具体期限时长,尚待立法者进一步修改或明确。

问:《汽车数据管理规定》第12条是否强制要求企业必须将汽车数据进行本地化存储?

答:不是。汽车数据是否需要存储在境内,取决于该企业是否构成关键信息基础设施运营者、个人信息处理的数量是否达到相应量级等因素。

问:关于汽车交通运输活动开展中所涉的个人信息的出境,能否依据《个人信息保护法(二审稿)》中提供的标准合同的方式合规出境?

不能。《汽车数据管理规定》第12条做了明确限缩,企业(例如针对跨国整车品牌企业或车载系统解决方案提供商等)只能通过安全评估这一方式实现数据出境。

问:相关企业何时触发监管数据报送义务?

答:根据《汽车数据管理规定》第17条的规定,处理重要数据或处理个人信息主体超过10万人的汽车数据运营者应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。
























法规速递


数据安全法》草案将进行第三次审议


十三届全国人大常委会第九十四次委员长会议26日上午在北京人民大会堂举行。栗战书委员长主持。会议决定,十三届全国人大常委会第二十九次会议6月7日至10日在北京举行。


委员长会议建议,十三届全国人大常委会第二十九次会议审议包括数据安全法草案在内的一批法律草案。这将是数据安全法草案第三次提请全国人大常委会审议。根据法律规定,法律草案提请全国人大常委会审议后,一般需经过三次常委会会议的审议。《数据安全法》正式出台指日可待。


全国信息安全标准化委员会发布一系列网络安全与数据领域的国家标准,对企业合规提出新要求


近期全国信息安全标准化委员会发布的一系列网络安全与数据领域推荐性国家标准征求意见稿的要点归纳如下:




02
PART
新经济篇























法规速递


《网络直播营销管理办法(试行)》正式生效


2021年5月25日,《网络直播营销管理办法(试行)》(以下简称“《办法》”)正式生效。本《办法》的出台依托时下互联网商业模式新业态——直播带货的迅猛发展为背景,旨在规制该行业出现的诸多问题,包括但不限于直播营销人员言行失范、利用未成年人直播牟利、平台主体责任履行不到位、虚假宣传和数据造假、假冒伪劣商品频现、消费者维权取证困难等。


本《办法》按照全面覆盖、分类监管的思路,一方面针对网络直播营销中的“人、货、场”,将“台前幕后”各类主体、“线上线下”各项要素纳入监管范围,另一方面明确细化直播营销平台、直播间运营者、直播营销人员、直播营销人员服务机构等参与主体各自的权责边界,进一步压实各方主体责任。具体而言,《办法》对平台提出了加强事前预防、事中警示、事后惩处,落实对账号管理、安全评估、实时巡查、投诉机制的管控等方面的要求;对直播间运营者和直播营销人员则提出八条红线和五个环节的具体要求;同时完善了民事、行政和刑事法律责任相衔接的体系化规定。



03
PART
出口管制与制裁篇























法规速递


商务部发布两用物项出口管制内部合规指导意见


2021年4月28日,我国商务部发布2021年第10号公告,出台了《商务部关于两用物项出口经营者建立出口管制内部合规机制的指导意见》[1](以下简称“《两用物项出口合规指导意见》”)。本次《两用物项出口合规指导意见》是继2020年12月1日《中华人民共和国出口管制法》正式施行以来,我国对出口管制制度建设的又一重要进展。在完善2007年第69号公告《关于两用物项和技术出口经营者建立内部出口控制机制的指导意见》的基础上,《两用物项出口合规指导意见》旨在进一步推动从事出口管制法规定的相关行为的两用物项出口经营者等主体建立符合自身实际情况的出口管制内部合规机制。依照本次公告具体内容,相关出口经营者宜重点从以下方面进行合规布局。

《两用物项出口合规指导意见》

企业合规布局建议

基本原则

合法性原则

  • 以相关行为的合法合规为根本原则;

  • 重视对上位法《出口管制法》中的相关效力性与管理性规定的合规,以及海关对两用物项和技术进出口许可证监管方面的合规;

  • 加强学习上述法律框架下的具体法律责任,防范违法违规风险。

独立性原则

  • 合理设计并改善内部合规机制的流程控制;

  • 可考虑内部合规机制行使一票否决权,减小违法违规操作风险。

实效性原则

  • 结合经营实际情况,强调高层重视、全员参与、全程控制、定期评估。

基本要素

拟定政策声明

  • 由出口经营者的最高管理者或主要负责人签署承诺性书面声明,申明其将严格执行国家出口管制法律法规、高级管理层对内部合规机制支持态度的承诺。具体为对合规工作的规则体系、组织权限、覆盖范围的承诺等;

建立组织机构

  • 设立出口管制内部合规机制的组织机构,明确主管部门和人员职责,授权负责合规的人员对任何有异议的出口相关行为发出禁令或征询政府主管部门的意见;

  • 推荐对内部合规组织机构采取三层结构体系:最高是由公司决策层领导的出口管制合规委员会(或独任首席合规官),履行管制合规管理职能;中层是独立的出口管制合规部门,牵头公司内部合规工作,并向其他部门提供合规支持;基层是业务部门,负责在合规部门指导下执行合规制度。

全面风险评估

  • 进行全面的风险评估;

  • 主要对经营物项、客户、技术研发、内部运营、境外合规和合作伙伴等方面进行评估,并采取相应的风险防范措施;

  • 在风险评估中若有疑问可及时向国家出口管制管理部门或外部专业机构咨询。

确立审查程序

  • 建立出口审查程序,杜绝管制物项未经内部审查随意出口;

  • 重点审查:经营的物项是否为国家出口管制清单控制物项,经营行为是否合规,最终用户所在国是否为受联合国制裁国家或其他敏感国家,最终用户和最终用途是否存在风险,最终用途是否具备合理性,客户的支付方式是否符合一般的商务习惯,出口运输路线是否合理等。

制定应急措施

  • 设置内部举报途径和可疑事项调查流程,要求员工在发现可疑订单、可疑客户或可疑行为后及时向内部合规组织举报并开展调查;

  • 如若发现出口物项应申请出口许可但未申请等行为的,或最终用户和最终用途发生改变或与合同不符等情形的,应采取紧急补救措施,并及时向政府部门报告。

开展教育培训

  • 实际制定定期或不定期培训计划,采取多种培训形式(包括但不限于集体自学、外部研讨以及订阅知识刊物等),实现全员培训,将出口管制培训列为员工绩效考核的指标;

完善合规审计

  • 建议定期对出口管制内部合规机制的合理性、可行性、有效性等进行审计;

  • 审计内容主要包括:各项两用物项交易过程中是否遵循了审查流程、组织机构运行是否顺畅、可疑事项调查是否有效以及合规事务是否出现需要改进的地方等。据此可反映内部合规机制运行状况以及整改方向。

保留资料档案

  • 建议完整、准确保留与出口管制相关的文件,包括出口记录、与政府部门沟通情况、客户信息及往来文件、许可申请文件、许可审批文件以及出口项目执行情况等,以确保出口经营者能够在日常贸易管制活动以及定期审核期间进行有效的检索。

编制管理手册

  • 建议编制出口管制内部合规机制管理手册,更好普及国家出口管制法律法规和合规制度,增强员工的合规熟悉度与执行力。


需要注意的是,我国商务部《两用物项出口合规指导意见》的出台仅作为企业建立出口管制合规制度的一般性指引,而并非强制性或效力性管理规定。回溯到作为上位法的《出口管制法》,其第五条第四款的表述亦为国家出口管制管理部门适时发布有关行业出口管制指南以“引导”出口经营者建立健全出口管制内部合规制度。企业未全面依照《两用物项出口合规指导意见》建立健全内部合规制度的,不会直接面临行政法上责任;但若在运行良好内部合规制度的同时仍发生其他违法违规事项,也不能依此完全免除责任。尽管如此,出口经营者参照《两用物项出口合规指导意见》建立健全内部合规制度仍有极大裨益,诸如《出口管制法》第十四条项下所列可享受国家出口管制管理部门对有关管制物项给予的通用许可等便利措施等。


欧盟理事会通过《欧盟两用物项出口管制条例》


2021年5月10日,欧盟理事会通过《欧盟两用物项出口管制条例》[1],待欧洲议会和理事会签署通过的法规后,该法规将于《欧盟官方公报》(EUOfficial Journal)正式公布,并于公布后90天生效。《欧盟两用物项出口管制条例》将取代此前两用物项出口管制主要法律文件《第428/2009号欧盟理事会规章(CouncilRegulation (EC) No 428/2009)》, 成为欧盟对两用物项出口管制的新的法律依据。


《欧盟两用物项出口管制条例》涵盖了两用物项的出口、中间服务、过境、转让和技术援助等事项,分为序言、正文10章32条及6个附件组成。鉴于《欧盟两用物项出口管制条例》的适用仍然由各成员国具体执法裁量,因而该法规旨在进一步协调欧盟范围内各成员国执法口径的一致性。同时,考虑到日益趋严的欧盟出口管制法律体系对企业的潜在重大影响,我们建议企业应全面了解欧盟相关出口管制制度,并及早评估自身的供应链安全,确保涉及欧盟两用物项的出口管制合规。























司法前沿




小米被移出CMCC制裁清单


5月26日,根据小米自愿性公告[1]:美东时间2021年5月25日下午4时09分,美国哥伦比亚特区地方法院颁发了最终判决,解除了美国国防部对于本公司“中国军方公司”的认定,正式撤销了美国投资者购买或持有本公司证券的全部限制。


高云半导体起诉美国国防部和财政部


据彭博社报道,广东高云半导体科技股份有限公司于2021年5月21日在美国哥伦比亚特区联邦地区法院,针对美国国防部将其列入CCMC清单提起诉讼。除美国国防部外,一同作为被告的还有美国财政部、美国国防部长奥斯丁、美国财政部长耶伦以及美国总统拜登。


高云半导体于2021年1月14日被美国国防部列入CCMC清单。1月15日,该公司发表公告表示[2]:


高云半导体自成立以来以自主创新、合法合规运营为原则,严格遵守生产经营活动所涉及相关国家和地区的法律法规,无军方背景,且从未有任何涉及军事应用的经营行为。


经公司内部评估,该事件对公司产品技术研发、生产运营及财务状况均无实质影响,公司将通过法律途径与美国政府相关部门进行沟通,并视情况采取一切可行措施,积极寻求解决方案,维护公司合法利益。


高云半导体成为小米、箩筐技术之后第三家起诉美国国防部CCMC列名决定的中国公司。此前,小米和箩筐技术均从美国法院申请获得了临时禁令,禁止美国第13959号行政令对其生效;小米随后还与美国国防部达成一致,后者同意将小米从CCMC清单中移出。



注释

[1]http://www.gov.cn/hudong/2021-05/12/content_5606075.htm


[2]目前《个人信息保护法》、《数据安全法》均为全国人大二次审议稿,尚未正式出台。


[3]商务部公告第10号http://www.mofcom.gov.cn/article/zwgk/zcfb/202104/20210403056267.shtml


[4] Trade of dual-use items: new EUrules adopted - Consilium (europa.eu);pdf (europa.eu)  


[5]http://www.cninfo.com.cn/new/disclosure/detail?orgId=9900037222&announcementId=1210091841&announcementTime=2021-05-26%2007:18


[6] http://www.csia.net.cn/Article/ShowInfo.asp?InfoID=102194


作者介绍
 顾正平 | 合伙人 

michaelgu@anjielaw.com

(8610) 8567 5959

(86) 1380 1314 799

顾正平律师是安杰律师事务所的合伙人,专长于竞争法、公司并购、TMT及法律合规业务。顾正平律师连续多年被国际评级机构评为反垄断和并购领域及TMT领域的领先律师。


声 明

文章仅代表作者观点,不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。

【声明】内容源于网络
0
0
安杰世泽律师事务所
安杰世泽律师事务所提供高品质综合性法律服务。业务领域包括:资本市场与证券、竞争法/反垄断、PE & VC、知识产权、争议解决、劳动雇佣、跨境投资与并购、保险、海商海事、银行与金融、能源、TMT、生命科学与医疗健康、私人财富管理、体育等。
内容 3425
粉丝 0
安杰世泽律师事务所 安杰世泽律师事务所提供高品质综合性法律服务。业务领域包括:资本市场与证券、竞争法/反垄断、PE & VC、知识产权、争议解决、劳动雇佣、跨境投资与并购、保险、海商海事、银行与金融、能源、TMT、生命科学与医疗健康、私人财富管理、体育等。
总阅读484
粉丝0
内容3.4k