一、英國FCA公布金融機構制裁體系與控制措施的審查結果
【預警資訊】
當地時間9月6日,英國金融行為監管局(Financial Conduct Authority,FCA)公布了對90多家金融服務公司現行的內部制裁合規體系和控制措施的審查結果。調查結果顯示,部分公司在提前進行風險評估、樣本測試和調整等方面表現良好,但部分公司當前的內部制裁合規體系和控制措施存在以下問題:過度依賴第三方篩查工具;制裁合規體系與國際政策不一致;制裁篩查警報評估方面積壓嚴重;內部人員缺乏專業知識,制裁篩查能力不足;客戶盡職調查和客戶評估的質量較低;報告的違規行為與實際情況不一致等。(資訊來源:英國金融行為監管局)
【預警提示】
英國政府機構公布的審查結果提出的合規風險點對我國金融服務公司以及其他跨國企業具有警示和參考意義,建議企業結合該合規審查結果,加強內部制裁篩查和風險評估能力。一是企業應制定清晰的、可執行的制裁篩查流程,明確制裁篩查的標準、步驟和工具,并制定詳細的制裁篩查指南,確保篩查程序有效性和可執行性;建議企業通過專業制裁篩查數據庫、嵌入自動化篩查工具等方式進行制裁篩查,減少人工篩查可能造成的失誤,同時依靠企業內部合規崗位人員及外部合規顧問的專業知識和判斷力進行復核,以彌補第三方工具的局限性;二是建議企業建立完善的盡職調查程序,提高盡職調查的質量,根據業務性質和風險程度確定盡職調查的范圍和深度,建立清晰的盡職調查流程和步驟,包括信息收集、驗證、分析和報告環節,并形成專業化的風險評估和盡職調查報告,定期更新盡職調查信息;三是建議為員工提供持續的培訓,使員工充分了解企業內部的制裁篩查、風險控制政策和流程,規定在制裁篩查過程中出現警報信息后的處理流程,明確參與評估客戶、交易項目受制裁風險的責任部門、責任人員,提升合規崗位員工識別合規風險的意識和能力,暢通所有員工舉報潛在違規行為的渠道。
二、IBM等八家公司自愿承諾管理人工智能風險
【預警資訊】
當地時間9月12日,美國八家人工智能公司簽署了白宮關于人工智能的協議,承諾采取自愿監管措施管理AI技術開發風險,包括在推出產品前進行內外部安全測試、將數據安全作為搭建系統的首要考慮、添加水印系統以確保用戶知情權等。此前,另外七家人工智能公司也簽署了類似協議,承諾采取自愿監管措施管理AI技術風險。(資訊來源:美國白宮)
【預警提示】
美國政府基于安全(safe)、保障(security)和信任(trust)三大原則構建的自愿性框架包括八項具體承諾,這些承諾對我國企業在人工智能開發中的風險管理具有重要的參考價值和借鑒意義。一是建議企業持續關注人工智能模型本身的安全性問題,通過開展內外部安全測試、加強模型權重保護、構建第三方報告系統漏洞機制等措施,有效防范基礎性、系統性的人工智能風險;二是建議企業采用數字水印等技術手段對人工智能生成內容進行標記。在人工智能生成的內容中添加數字水印,有助于用戶對生成內容保持謹慎判斷,減少生成內容錯誤和人工智能濫用對用戶帶來的消極影響;三是建議企業強化與各方的信息交流與溝通,一方面企業可以主動與監管部門、專家學者分享最前沿的實踐信息和經驗成果,以推動人工智能相關立法的完善;另一方面通過主動向用戶報告人工智能系統的功能、局限性、不適用領域等內容,幫助用戶全面認識和正確使用人工智能系統,建立負責可靠的社會形象。
三、荷蘭消費者協會和數據隱私基金會就侵犯隱私對某互聯網公司提起訴訟
【預警資訊】
當地時間9月12日,荷蘭消費者協會(Consumentenbond)和隱私保護基金會在一份聲明中表示將正式對某大型互聯網公司提起訴訟,指控其數據收集行為涉嫌大規模侵犯消費者隱私,要求該公司停止“通過在線廣告拍賣持續監控和分享個人數據”,并支付每位消費者750歐元的賠償金,目前已經有8.2萬名消費者參與了這起索賠。(資訊來源:路透社)
【預警提示】
建議企業關注個人信息全生命周期的合規義務。個人信息全生命周期主要涵蓋收集、存儲、使用、共享、轉讓、公開、刪除六個階段。一是作為收集和使用個人信息的首要前提,企業必須具備合法性基礎,以“個人同意”作為個人信息處理合法性基礎的企業應當嚴格遵循“知情同意”原則,以顯著方式、清晰易懂的語言真實、準確、完整向個人信息主體明示采集的范圍、方式、目的和相關數據主體權利義務等重要事項,并且獲得個人信息主體自愿、明確的同意,針對行蹤位置、健康狀況等個人敏感信息,企業則須履行更為嚴格的合規義務,如滿足特定目的、充分必要性以及嚴格保護措施的要求,獲得個人信息主體的單獨同意等;二是企業應當始終遵循“最小必要”原則,即處理個人信息應當限于實現處理目的最小范圍,不得過度處理個人信息。在數據收集階段,公司收集的個人信息的類型應與實現產品或服務的業務功能有直接關聯,并以最低頻率收集最少數量的信息;三是企業應嚴格限制向第三方共享個人信息,如確有必要,企業應當事先開展個人信息安全影響評估,并依據評估結果采取有效的保護措施。同時,應當向個人信息主體告知共享、轉讓個人信息的目的、數據接收方的類型,并事先征得個人信息主體的授權同意,在涉及向境外傳輸個人信息的情況下,企業應綜合考慮個人信息的數量和類型、企業自身情況、具體出境場景,選擇適合的個人信息跨境傳輸路徑。
【聲明】
1. 本期信息內容由深圳市司法局編輯發布,由深圳市鵬城法律合規研究院提供技術支持,轉載請注明以上信息;
2. 本期信息僅做分享與交流之用,不構成任何法律意見或建議;
3. 任何主體均不應當以本期信息及所載內容作為分析和判斷的基礎;
4. 企業在做出任何可能影響經營管理的決定前,建議咨詢合規專業人士。
深圳市龍華區人民政府辦公室主辦 網站技術維護電話:0755-23332038
首頁
信息公開
政務服務
互動交流
數字龍華
打印
粵公網安備44030902000263號