前沿观察,

“以铜为鉴,可正衣冠”——《个人信息保护合规审计管理办法(征求意见稿)》解读

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

标签:合规业务-网络安全与数据合规数字经济电信、传媒、娱乐与高科技-数据及隐私权保护

前言

自《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等个人信息保护相关法律法规发布施行后,我国逐步构建起较为完善的个人信息保护体系。考虑到个人信息所具有的可复制性、流通性强等特点,监管部门如何对个人信息处理者的活动进行监督、企业如何自证合规,成为了社会各界关注的重点问题。

有鉴于此,2023年8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《审计办法》”),并公开征求意见。《审计办法》通过明确个人信息保护合规审计的具体要求、形式等内容,以期完善我国个人信息保护监管及企业内部合规体系。

一、个人信息保护合规审计概述

1. 立法沿革

2020年生效的国家标准《信息安全技术 个人信息安全规范(GB/T 35273-2020)》(以下简称“《个人信息安全规范》”)首次在我国个人信息保护领域对个人信息控制者提出了“安全审计”的要求。安全审计作为个人信息安全管理要求的重要组成,要求个人信息控制者建立自动化审计系统,监测记录个人信息处理活动,并对个人信息保护政策、相关规程和安全措施的有效性进行审计。由于《个人信息安全规范》仅是推荐性国家标准,因此有关个人信息保护的安全审计要求仍有待正式立法确认。

2021年8月通过的《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)则首次以法律的形式明确了个人信息保护领域中合规审计的法定义务。具体而言:

   《个人信息保护法》第五十四条:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

   《个人信息保护法》第六十四条:履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以……或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。

根据上述条款,《个人信息保护法》将合规审计分为定期审计和监管审计两种形式,且明确了审计内容的依据为“法律、行政法规”。但是,上述条文暂未对个人信息处理者的合规审计义务进行详细的规定,个人信息处理者对自身应履行的合规审计义务仍存在一定的疑惑。

值得注意的是,2021年12月,由中国信通院云计算与大数据研究所牵头组织的个人信息保护合规审计推进小组发布了《关于推进个人信息保护合规审计的若干建议》,其中对个人信息审计的审计目标、原则、人员、内容、程序等方面设计了具体的框架。同时,电信终端产业协会还于2022年11月发布了团体标准《T/TAF 139-2022 电信和互联网个人信息保护能力审计规范》,并提出了一系列的审计目标、原则与框架,就审计制度、流程、人员、对象、方法等内容进行了规定。我们理解,虽然上述文件不具有法律效力,但仍具有一定的实践参考价值。

综上所述,我国在个人信息保护合规审计方面,暂无具有正式法律效力的具体规则。有鉴于此,2023年8月3日,国家网信办就《审计办法》公开征求意见,旨在及时弥补在合规审计方面的规则空白。《审计办法》一方面承继了此前《个人信息保护法》对合规审计的二分形式,另一方面,进一步明确了开展审计工作的个人信息处理者、专业机构和履行个人信息保护职责部门的三方角色与义务。我们理解,《审计办法》在遵循既有的一般审计原则和《个人信息保护法》的基础上,提出了针对不同类型主体的合规审计规则,这不仅是网信部门积极履行其职责的体现,更是我国在个人信息保护合规审计方面的重要步态。

2. 个人信息保护合规审计对一般审计的承继

合规审计是“审计机构和审计人员依据国家法律、法规和财经制度对被审计单位的生产经营管理活动及其有关资料是否合规所进行的一种经济监督活动”,[1]以一般审计为参照,虽然两类审计的首要目标存在一定的区别,但是,合规审计仍然在一定程度上遵循了一般审计的目的和原则。

首先,在立法初衷上,《中华人民共和国审计法》(以下简称“《审计法》”)指出审计的目的在于加强国家的审计监督从而维护国家财政经济秩序,提高财政资金使用效益等。在此基础上,审计署进一步制定《审计署关于内部审计工作的规定》,要求相关单位建立内部审计制度,对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,从而促进单位完善治理、实现目标的活动。而个人信息合规审计的目的在于评判个人信息处理活动是否符合法律、行政法规的要求从而判断个人信息权益的受保障程度。但事实上,开展合规审计工作不仅有利于维护个人信息利用秩序,企业自身也可通过合规审计以自证合规,例如,在个人提起个人信息侵权诉讼时,企业可通过提供个人信息合规审计报告证明自身已履行相应的合规义务。

其次,《审计办法》承继了常规审计活动中对审计机构提供提出的公正、客观以及保密的要求。

   《审计办法》第十四条:专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。

专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任专业机构应当采取相应技术措施和其他必要措施,保障数据安全。

一方面,合规审计对企业的重要性不言而喻,如果专业机构不能客观、中立地作出职业判断,而带有偏向性的感情倾向,则可能影响合规审计报告的客观性与真实性,进而影响个人信息保护合规审计的效果从而对个人信息权益的保护造成不利影响。

另一方面,基于个人信息合规审计的特殊性,专业机构将不可避免地获取审计涉及的个人信息,例如客户个人信息或员工个人信息。但是,专业机构基于合规审计获取的个人信息仅能用于合规审计之目的,同时也应遵循个人信息处理的基本原则,如必要原则。我们理解,如专业机构在合规审计范畴之外处理基于审计获取的个人信息,则可能因缺乏相应的合法性基础而承担违法违规处理个人信息的法律责任。

最后,为了确保合规审计的客观性与专业机构的中立性,《审计办法》第十二条还规定,连续为同一审计对象开展个人信息保护合规审计不得超过三次。审计轮换并非个人信息保护领域进行合规审计的独有规定。具体而言,国务院国有资产监督管理委员会发布的《中央企业财务决算审计工作规则》第十二条规定,同一会计师事务所承办企业年度财务决算审计业务不应连续超过5年。财政部发布的《国有金融企业选聘会计师事务所管理办法》第三十一条,金融企业连续聘用同一会计师事务所(包括该会计师事务所的相关成员单位)原则上不超过5年。

通过以上要求,我们理解并非全部财务审计工作均具有审计机构轮换的要求,而针对中央企业以及国有金融企业的特殊要求,可能是因为上述企业的相关事宜可能对公共利益及个人权益具有较大影响。对比个人信息保护领域,由于个人信息处理活动可能对个人人身及财产安全造成较大影响,大规模的个人信息泄露或篡改等安全事件也可能引发电信诈骗等社会事件,为了确保个人信息保护合规审计的客观性与独立性,《审计办法》规定不得超过三次的审计轮换要求也在情理之中。如《审计办法》正式通过并施行,相关企业应特别关注这一要求,避免合规审计的效力遭到质疑。

二、个人信息保护合规审计的国际视野

合规审计作为一种判断相关企业个人信息处理活动是否合法合规的监督手段,在不同司法辖区都有适用的先例。

1. 欧盟

作为世界范围内颇具影响力的个人信息保护立法,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)较早地提出了数据保护审计(Data Protection Audit)的概念,并将数据保护审计作为核查、判断数据处理者以及数据控制者是否遵循GDPR处理个人信息的手段。在GDPR中,关于数据保护审计的要求分别出现在第28条、39条、47条和58条。

我们理解,在GDPR的规范体系下,数据保护审计是对数据控制者和数据处理者已开展的个人信息处理活动遵守GDPR及相关数据保护规范情况进行核查和评判的一种手段,相关企业既可以通过合规审计证明自身个人信息处理行为的合法合规性,监管部门也可通过要求企业进行合规审计的方式,固定相关企业处理个人信息的事实情况。和GDPR第35条规定的数据保护影响评估相比,数据保护审计的特点在于:

首先,数据保护影响评估属于相关企业在开展数据处理活动的事前采取的措施,旨在评估开展数据处理活动的风险。而数据保护审计则是数据处理活动发生后用于评价其是否符合法律要求的手段,相关企业可将合规审计结果作为自身全面履行数据保护义务的有力证明。

其次,数据保护审计除了依据GDPR的规定由企业自主开展外,在特定情形下审计还可能由监管部门提起,此时则具有公权力的监管性质,具有一定的强制性。在GDPR规范下,强制性的数据保护审计的权力落入了欧盟数据保护监管机构(European Data Protection Supervisor,以下简称“EDPS”)的职权范围内。对此,EDPS在2021年6月发布了《数据保护审计的说明:审查注意事项》(What to expect when we inspect: Data protection audits explained),向公众说明强制性数据保护审计的触发情形、原因、主体和阶段。在此基础上,EDPS在于同年12月通过的《EDPS审计指南》(EDPS Audit Guidelines, adopted in December 2021)中进一步明确了数据保护审计的定义、触发条件、规范基础、步骤、救济、结果公开等内容。虽然该指南本身并非为具有正式法律效力的立法,但其为欧盟成员国的监管提供了指导和建议。

2. 英国

英国在个人信息保护领域的合规审计方面也实现了颇具特色的制度创新。作为英国的数据监管机构,英国信息专员办公室(Information Commissioner’s Office,以下简称“ICO”)还开展了以自愿为基础、由监管机构组织开展的数据保护审计活动。

ICO于2022年5月发布了《数据审计指南》(A Guide to ICO Audits),其明确提出了进行数据审计的益处例如展示相关企业对数据保护及个人权利的重视和保护,同时,其还明确了数据审计的重点、审计方案制定与审计方法等内容。一方面,ICO开展的自愿性审计不收取费用,使得相关企业可以免费获取ICO的资源;另一方面,ICO可向被审计单位出具包含数据保护风险、审计意见等内容的审计报告,且被审计单位将被要求接受或部分接受相关建议,并据此制定行动计划。此外,需要注意的是,在创新的自愿性申请审计制度外,ICO同样具有以数据保护审查形式开展强制调查的权力。

3. 美国

相较于欧盟,美国虽然暂不具有类似于GDPR、适用于整体联邦层面的个人信息保护立法,但是具有立法权的各州对数据保护提出了不同的审计要求。其中,最具影响力、最为典型的即是加利福尼亚州的个人信息保护立法。具体而言,以《加州消费者隐私法(CCPA)》为基础的《加州隐私权法案(CPRA)》引入了年度网络安全审计的要求,引起了社会的广泛关注。具体而言,加利福尼亚州要求在个人信息处理活动中“对消费者隐私或安全构成重大风险”的企业应当进行年度网络安全审计,该审计须每年进行一次,企业应当明确审计范围并通过审计程序确保审计的彻底性和独立性。而在界定“对消费者隐私或安全构成重大风险”时,应考虑的因素包括企业的规模和复杂性以及信息处理活动的性质和范围。但尽管如此,企业如何开展网络安全审计工作仍存在一定的不确定性和模糊性。因此,加利福尼亚州开展网络安全审计的实践情况还需要进一步观察相关的立法和执法情况。

在欧美之外,俄罗斯的《联邦个人数据法》、印度《个人数据保护法》也对数据保护审计进行了规定。可见,数据保护审计正逐渐成为各个司法辖区数据保护与监管领域中促进企业数据合规、保护数据安全的制度工具。我国在《个人信息保护法》中规定个人信息保护合规审计也顺应了这一国际趋势,并在此基础上积极制定合规审计的具体规则,指导相关个人信息处理者具体开展合规审计的行为。

三、《个人信息保护合规审计管理办法》(征求意见稿)重点评述

1. 个人信息保护合规审计的强制性质

和一般审计相似,个人信息保护合规审计作为一种审查个人信息处理者是否依法合规开展个人信息处理活动的独立监督方式,具有强制性。个人信息保护合规审计的强制性质来源于《审计办法》的主要制定依据——《个人信息保护法》。在个人信息保护领域,《个人信息保护法》首次以法律的形式提出了个人信息保护审计的基本要求。具体而言,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。我们理解,这一规定为全体个人信息处理者施加了强制性的合规义务,只要构成受到《个人信息保护法》规制的个人信息处理者,就应当按要求开展个人信息保护合规审计。针对大型互联网平台,《网络数据安全管理条例(征求意见稿)》(以下简称“《网数条例(征求意见稿)》”)进一步将审计范围扩展至“平台数据安全情况”“平台规则和自身承诺的执行情况”“数据开发利用情况”等。

2. 个人信息保护合规审计的开展形式

(1)个人信息保护合规审计触发条件:定期审计vs监管审计

如前所述,根据《个人信息保护法》及《审计办法》第四条、第六条,企业作为个人信息处理者开展合规审计的情形有定期审计和监管审计两种类型。

  • 定期审计

定期审计源于《个人信息保护法》第五十四条的规定,《审计办法》第四条在此基础上进一步明确了“定期”的含义,即处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次合规审计;其他个人信息处理者应当每二年至少开展一次合规审计。

我们理解,虽然定期审计是全体个人信息处理者应尽的法定义务,具有强制性。但是,由于《审计办法》进一步规定的是在有限期间内开展合规审计的最低次数,因此个人信息处理者在符合最低限度基础上开展合规审计仍具有一定的任意性。各企业可依据自身业务开展情况和个人信息处理活动的复杂程度、涉及的个人信息主体量级、个人信息敏感程度等因素合理确定审计频率。如在当年,个人信息处理活动发生重大变化或新增对个人信息权益可能造成较大影响的个人信息处理活动,相关企业也可考虑适时提高合规审计的频率。

  • 监管审计

监管审计源于《个人信息保护法》第六十四条的规定。合规审计作为一种独立地审查和评价个人信息处理者是否遵循法律、行政法规开展个人信息处理活动的监督手段,除了定期开展外,个人信息处理者还可能基于网信部门等履行个人信息保护职责的部门的要求开展相应的合规审计。也即,合规审计也构成网信部门等部门的监管手段。

首先,依据《个人信息保护法》第六十四条和《审计办法》第六条,基于履行个人信息保护职责部门的要求开展监管审计时,被审计单位应当委托专业机构进行审计,而不能仅由企业内部组织进行审计。

其次,《审计办法》明确了专业机构进行合规审计时,被审计单位应履行的协助义务,例如,提供或协助查阅相关文件或资料、协助相关专业机构进入个人信息处理活动的相关场所。值得关注的是,审计过程中,被审计单位提供给专业审计机构的材料中无可避免地涉及个人信息,此时,除知情同意以外,被审计单位或许可考虑主张基于履行法定义务所必需的目的处理相关个人信息。

再者,按照合规审计报告进行整改并复核是基于监管部门要求发生的监管审计的重要特点。在《个人信息保护法》已为个人信息处理者规定了定期审计义务的基础上,作一种监管手段,一方面,我们理解,监管部门可能仅在发现相关企业存在较大合规差距或要求重点企业进行合规审计。例如,瑞典数据保护局(DPA)曾于2017年对谷歌遵循GDPR的情况进行了审计,后续据此进行了罚款。[2]另一方面,《审计办法》第十一条还明确规定,被审计单位还应按照专业机构给出的整改建议进行整改,并由专业机构对整改情况进行复核,最终报送至提出合规审计要求的履行个人信息保护职责部门。我们理解,监管部门要求特定企业开展个人信息保护合规审计工作的目的不仅在于识别该企业现存的合规风险,其根本还在于,要求被审计单位及时对合规差距进行整改,避免受到法律保护的个人信息权益持续被侵犯。

(2) 个人信息保护合规审计开展形式:自行审计vs第三方审计

就个人信息保护合规审计的开展形式而言,《审计办法》明确了自行审计和委托第三方审计两种形式。

一方面,个人信息处理者组织内部可自行开展个人信息保护合规审计。对于企业而言,为了实现高效、有序的内部合规审计工作,参考团体标准《T/TAF 139-2022 电信和互联网个人信息保护能力审计规范》,其可考虑制定内部个人信息保护合规审计制度,明确合规审计的具体开展流程和负责部门,制度化、体系化审计策略、审计操作方式、审计结果规范以及审计问题整改跟踪等内容。同时,基于合规审计具有的监督性等特点,相关企业应确保组织内部开展合规审计的人员具备《个人信息保护法》《审计办法》等个人信息保护及合规审计相关的专业知识,确保内部合规审计的有效性。

另一方面,个人信息处理者也可委托第三方专业机构开展合规审计。同时,依据《个人信息保护法》第六十四条和《审计办法》第六条,网信部门等履行个人信息保护职责的部门在要求特定企业开展监管审计时,必须委托第三方专业机构。此外,《网数条例(征求意见稿)》第五十三条也规定,大型互联网平台运营者在对平台数据安全情况、个人信息保护情况等进行每年的年度合规审计时,也必须委托第三方进行审计,而不能自行审计。

我们理解,和自行审计相比,委托第三方专业机构审计更具中立性。考虑到监管部门要求个人信息处理者开展合规审计时可能已经发现特定企业存在相关未遵循法律、行政法规处理个人信息的情况(例如经用户投诉、举报或监管部门在日常工作如APP专项治理过程中发现特定企业严重违规等情形),因此此时由第三方专业机构进行合规审计更能准确、真实地审查和评价相关企业个人信息处理活动的合规情况。

四、关于《个人信息保护合规审计管理办法》(征求意见稿)的思考

1. 在既有审计框架内细化个人信息保护合规审计规则

一方面,《审计办法》以《个人信息保护法》为上位法依据,进一步细化了《个人信息保护法》第五十四条和第六十四条规定的定期合规审计和监管审计的具体时间期限、审计流程和形式要求等,还以附件《个人信息保护合规审计参考要点》的形式为相关企业开展个人信息保护合规审计提供具体参考。

另一方面,个人信息保护合规审计作为核验个人信息处理者处理个人信息的行为是否遵循法律、行政法规的手段,其遵循了一般审计的客观性、中立性原则。此外,对于提供合规审计服务的专业机构,《审计办法》进一步规定,如专业机构存在出具虚假、失实报告等违规行为,如属实,还会被永久禁止列入个人信息保护合规审计专业机构推荐目录。这一类似于“负面清单”的处罚措施,不仅有助于督促专业机构秉持诚信正直、公正客观地开展工作,还有助于国家网信部门等有关部门构建高质量水准的个人信息保护合规审计专业机构推荐目录,提高整体性的合规审计质量,从而提高我国的个人信息保护水准,打造个人信息主体可信任的个人信息处理生态环境。

2. 需要协调大型互联网平台额外义务的法理基础

《个人信息保护合规审计参考要点》虽然为企业以及专业机构开展个人信息保护合规审计提供了具有可落地性的参考与指引,但可能使得大型互联网平台运营者承担过重的义务。

(1)“大型互联网平台运营者”的范畴不明

具体而言,《个人信息保护合规审计参考要点》第二十八条至第三十一条明确规定了大型互联网平台运营者的合规审计要求。但是,一方面,《审计办法》目前明确指出的制定依据《个人信息保护法》并未对“大型互联网平台运营者”的主体对象施加合规义务,而是为“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的个人信息处理者施加了具体的合规义务。另一方面,我们理解,“大型互联网平台运营者”的概念可能源于《网数条例(征求意见稿)》。《网数条例(征求意见稿)》第七十三条规定,“大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者”。但遗憾的是,《网数条例(征求意见稿)》暂未正式通过,因此,《个人信息保护合规审计参考要点》为大型互联网平台运营者提出的合规审计要点要求可能缺乏明确的适用性,有待在正式立法中进一步确认。

(2)大型互联网平台运营者的合规审计要点可能超出《个人信息保护法》的范畴

即使在认为《个人信息保护合规审计参考要点》所规定的“大型互联网平台运营者”等同于《个人信息保护法》第五十八条规定的“提供重要互联网平台服务、用户数量巨大、业务类型复杂”的个人信息处理者,现有参考要点的内容也可能超出了《个人信息保护法》的范畴。

《个人信息保护法》第五十八条规定,对于严重违反法律、行政法规处理个人信息的平台内的产品或服务提供者,相关企业应当停止提供服务。而《个人信息保护合规审计参考要点》第三十条在此基础上,还新增了“是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性”以及“是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核”。

首先,前述两项对平台内产品或服务提供者的审核义务超出了《个人信息保护法》对个人信息处理者施加的合规义务。《个人信息保护合规审计参考要点》第一条规定,“本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定,为开展个人信息保护合规审计提供参考。”而现有的《个人信息保护法》及重要的推荐性国家标准《个人信息安全规范》暂未对前述两项合规审计内容进行规定。相较而言,无论是《个人信息保护合规审计参考要点》第二条就个人信息处理活动合法性基础形成的重点审计事项,还是第二十六条规定对个人信息安全事件应急预案的合规审计,均能在《个人信息保护法》中找到依据。

其次,我们理解,要求平台运营者对其平台内的全部产品或服务提供者开展的个人信息处理活动遵循法律、行政法规的情况进行合规审计在实际中也可能有悖于比例原则,使得作为个人信息处理者的互联网平台运营者承担过重的负担。具体而言,我们理解,在产品或服务非平台企业自营的情况下,APP等产品的运营者或服务提供者应对自身开展的个人信息处理活动负责。无论是为用户提供、公布合法、合理的个人信息处理规则,还是对自身个人信息处理情况遵循法律、行政法规的情况进行合规审计,均是《个人信息保护法》为个人信息处理者施加的法定义务。而互联网平台运营者仅为其他个人信息处理者提供经营环境,不实际处理相关用户个人信息。如果此时仍要求平台企业对其平台内全部产品或服务提供者的个人信息处理活动负责,一方面,一个互联网平台内可能存在众多产品或服务;另一方面,平台可能也暂不掌握相关提供者处理个人信息的全部具体信息,因此,《个人信息保护合规审计参考要点》第三十条有关大型互联网平台运营者的审计要求将极大地增加相关互联网企业的负担。

结语

个人信息保护合规审计作为个人信息处理者均应履行的法定义务,一方面有助于企业对自身开展的个人信息处理活动进行自我监督,另一方面可为外部监督提供切实有效的抓手,最终有助于提高我国整体的个人信息保护水平。

基于顺利开展个人信息保护合规审计的目的与需要,企业应首先构建内部合规审计制度。其中,需关注的要点包括但不限于:

  •  定期开展个人信息保护合规审计频率;  
  • 企业内部个人信息保护合规审计标准;
  • 企业内部个人信息保护合规审计流程;
  • 企业内部个人信息保护合规审计责任部门及职责;
  • 专业机构选任要求与流程。

此外,企业还应积极地持续关注个人信息保护合规审计的最新监管要求与动态,对《个人信息保护合规审计参考要点》的性质、合规审计结果、审计责任等内容形成完整、清晰地了解与认识,从而进一步完善自身的个人信息保护合规审计框架,提高相应的合规审计能力。

感谢实习生赵伊然和谢子恒的贡献

扫码订阅“金杜律师事务所”,了解更多业务资讯

中国信息通信研究院个人信息保护合规审计推进小组:《关于推进个人信息保护合规审计的若干建议》,http://www.gznsxh.cn/uploads/20211207/ead92fd8495f6065de5658016d8c6d08.PDF。

The Swedish Data Protection Authority imposes administrative fine on Google, https://edpb.europa.eu/news/national-news/2020/swedish-data-protection-authority-imposes-administrative-fine-google_en.

参考资料

  • [1]

    中国信息通信研究院个人信息保护合规审计推进小组:《关于推进个人信息保护合规审计的若干建议》,http://www.gznsxh.cn/uploads/20211207/ead92fd8495f6065de5658016d8c6d08.PDF。

  • [2]

    The Swedish Data Protection Authority imposes administrative fine on Google, https://edpb.europa.eu/news/national-news/2020/swedish-data-protection-authority-imposes-administrative-fine-google_en.

最新文章
前沿观察
医药行业长期处于反腐关注的重点。不久前,中央纪委国家监委再次发文强调,持续加大对行贿行为的惩治力度,深化重点领域反腐工作,医药领域位列其中。作为反腐败领域的重要法规,修改后的《监察法》将于 2025 年 6 月 1 日起施行。 《监察法》虽然主要规制公职人员,但对于涉嫌行贿犯罪、介绍贿赂犯罪或共同职务犯罪的涉案非公职人员,监察机关同样具有管辖权。而且,中央纪委国家监委官网也曾发文指出,要针对典型行贿行为加大惩治力度。坚持受贿行贿一起查,严肃查处那些老是拉干部下水、危害医药领域政治生态的行贿人,依法追缴行贿所获不正当利益,强化对行贿人的联合惩戒,坚决遏制搞腐败“一本万利”的行为动机。在监察机关坚持行受贿一起查的大背景下,2025 年可能有更多医药企业及人员被要求配合或协助调查。医药企业及相关人员应高度关注《监察法》的修改。 此次修改涉及二十四条,主要包括五方面:一是完善监察派驻规定;二是授予监察机关必要监察措施;三是完善监察程序;四是充实反腐败国际合作规定;五是强化监察机关自身建设。建议医药企业及相关人员重点关注监察派驻、监察措施以及监察程序中的留置时间等关键内容。争议解决与诉讼-合规调查及公司治理-反商业贿赂及合规,医疗健康与医药-医药与医疗器械

2025/02/05

前沿观察
香港金管局(HKMA)近期发布了一项拟议规则,将在香港全面实施巴塞尔委员会对银行持有的通证等加密资产制定的监管资本标准(巴塞尔加密资产监管标准)。 巴塞尔加密资产监管标准对于银行来说至关重要,因为它规定了银行必须为其加密资产风险敞口持有多少监管资本金(regulatory capital)。巴塞尔加密资产监管标准还对银行的加密资产风险敞口提出了杠杆资本、敞口限额、风险管理和信息披露等方面的要求。加密资产包括通证化资产(tokenised assets)、稳定币(stablecoins)以及比特币等无支持的加密资产。 巴塞尔加密资产监管标准对(1)使用无许可区块链(permissionless blockchain)的加密资产(包括使用无许可区块链的通证化资产和稳定币)、(2)无支持的加密资产(如比特币)以及(3)缺乏有效稳定机制的稳定币提出了非常严格的监管资本要求。这意味着银行需要为这些类型的加密资产持有大量的资本金。 香港金管局的银行资本规则适用于在香港成立注册的本地银行和其他受香港金融管理局监管的香港本地银行业金融机构(统称“香港本地银行业机构”,Hong Kong incorporated authorized institutions)。下图概述了巴塞尔加密资产监管标准和香港金管局拟议规则的核心内容。银行与融资-金融科技,数字经济,金融机构-金融市场监管

2025/02/05

前沿观察
根据国家统计局1月17日公布的权威数据,2024年,我国社会消费品零售总额487895亿元,比上年增长3.5%;其中,除汽车以外的消费品零售额437581亿元,增长3.8%。从对经济增长的贡献看,全年最终消费支出拉动经济增长2.2个百分点。 2024年,在政策层面积极提振内需市场活力的同时,监管层面亦同步持续发力。无论是食品、化妆品等传统消费领域,还是数字消费、健康消费等新兴增长极,尤其是面对快消行业新业态、新引擎,国家及地方陆续布局一系列新规,并在执法实践中稳步落地。 本文将基于团队对消费品行业的持续关注与丰富经验,从立法动态和执法实践两个关键维度着眼,对2024年度快消行业 监管的突出亮点进行年度回顾与盘点,旨在与读者共同探寻其中的脉络与意义。公司与并购-公司合规体系,农业和食品

2025/01/27