境外動態
一、美國司法部發布《反海外腐敗法》(FCPA)調查和執法指南
【合規資訊】
2025年6月9日,美國司法部發布備忘錄,明確《反海外腐敗法》(FCPA)調查與執法新指南。備忘錄要求減輕在美國海外經營的美國公司所承受的不當負擔,聚焦打擊卡特爾(Cartels)和跨國犯罪組織(TCOs)相關腐敗,并將國家安全與經濟利益納入執法邏輯。(資訊來源:美國司法部)
【合規提示】
建議企業關注以下要點:一是備忘錄要求FCPA執法聚焦三大核心:1.重點打擊與卡特爾、跨國犯罪組織關聯的賄賂行為;2.保護美國企業公平競爭機會,優先調查剝奪美國實體公平競爭權或造成美國企業經濟損失的行為;3.打擊涉及關鍵基礎設施、國防等領域且威脅國家安全的腐敗行為。二是美國執法活動的“戰略目標化”趨勢意味著,傳統的合規體系可能難以全面覆蓋新興的風險評估要素。以往合規重點在于財務流程、第三方審核與內部控制,如今則需擴展至地緣政治、國家戰略利益識別與區域安全穩定因素分析。三是企業在海外經營中需關注“例行商業行為”的合規性。例如,是否存在以高額差旅費、顧問費、捐贈名義變相行賄;是否在特定地區適用便利支付例外條款;是否所有支付都具備可追溯性與合理審批鏈。
二、歐洲數據保護委員會發布《關于GDPR第48條的指南》
【預警資訊】
2025年6月5日,歐盟數據保護委員會(EDPB)《關于向第三國當局傳輸數據的GDPR第48條指南》(以下簡稱《指南》)。《指南》聚焦GDPR第48條,明確了個人數據傳輸至第三國的規范,闡述在何種條件下可以合法響應來自第三國當局的個人數據傳輸請求的最佳評估方法,為歐洲數據控制者和處理者提供實操建議,幫助其應對跨境數據請求,確保數據傳輸的合規性和安全性。(資訊來源:歐盟數據保護委員會)
【要點提示】
建議企業關注《指南》以下要點:一是向歐盟外第三國當局傳輸個人數據時,需以GDPR第48條為核心,首先核查是否存在適用的國際協議(如司法協助條約)作為法律依據。若缺乏有效協議,僅可在例外情形下逐案評估傳輸合法性,且需證明存在“必要安全保障措施”。二是針對母公司在第三國收到當局數據請求后轉由歐洲子公司提供數據的場景,子公司需獨立評估請求是否符合GDPR第48條要件,拒絕無法律依據的跨境數據提供。若接收方為數據處理器,需在合同中額外明確其僅能依指令處理數據,禁止擅自響應第三國當局請求。
三、法國國家信息與自由委員會發布《關于區別數據控制者、處理者和共同控制者的指南》
【預警資訊】
2025年6月6日,法國國家信息與自由委員會(CNIL)發布《關于區別數據控制者、處理者和共同控制者的指南》(以下簡稱《指南》),旨在明確GDPR框架下三類角色的界定標準與責任分配。《指南》主要包括以下內容:數據控制者決定數據處理的目的與方式;數據處理者遵循數據控制者指示處理數據,但不能決定處理的目的,特定情形下可進行數據再利用;數據共同控制者則共同決定處理目的與方式;數據控制者與數據處理者需簽訂數據處理協議,與共同控制者之間建立透明的責任機制。(資訊來源:法國國家信息與自由委員會)
【要點提示】
建議企業關注以下要點:一是核心定義方面,數據控制者指單獨或共同決定處理目的和方式的實體,處理者指代表控制者執行處理的實體,共同控制者指多方主體共同決定個人數據處理的目的和方式,且處理活動不可分割,并因此共同承擔合規責任。二是責任劃分方面,控制者需基于合法事由處理數據、確保數據最小化,高風險處理需進行數據保護影響評估(DPIA)并咨詢CNIL,未履行可能面臨處罰;處理者需采取技術措施保護數據、未經授權不得轉包,超出指示范圍處理可能被認定為控制者并擔責;共同控制者需書面協議明確義務、向數據主體披露安排,未明確可能面臨連帶責任。三是在跨境場景下,控制者主要機構所在地決定監管機構,境外實體若對法國數據主體權益造成重大影響仍受管轄;需關注合同風險、業務變化導致的角色重新認定風險、培訓審計不足風險及跨境管轄審查風險。
四、英國議會審議通過《數據(使用和訪問)法案》
【預警資訊】
2025年6月11日,英國議會審議通過《數據(使用和訪問)法案》(Data Use and Access Bill,簡稱《DUA法案》)。《DUA法案》旨在平衡數據創新與隱私保護,建立綜合性數據治理框架,并通過推動數據共享促進經濟增長。《DUA法案》主要包括以下內容:引入了“公認合法利益”概念,并就滿足特定條件的數據控制者的某些特定的數據處理活動免于進行平衡測試;放寬了針對自動化決策的限制,禁止使用特殊類別數據進行此類自動化決策,除非有適當的保障措施;進一步加強兒童數據保護,要求遵循兒童最大利益原則;提高違反《隱私與電子通信條例》(PECR)的罰款上限,即最高1750萬英鎊或相當于企業全球營業額4%的罰款等。(資訊來源:英國議會)
【要點提示】
建議企業關注以下要點:一是在數據保護層面,《DUA法案》強調合法性、透明性等原則,加強數據主體知情權、刪除權等核心權利,規定自動化決策需滿足合同必需、明確同意等條件并采取人工復核等保障措施。二是《DUA法案》明確“公認合法利益”清單,主要包括國家安全、公共安全或國防、應對緊急情況、偵查、調查或預防犯罪,以及保護弱勢群體等。三是《DUA法案》設立了國際數據傳輸評估標準,要求接收方保護水平不低于英國并考察其法律環境與執法機制。
【聲明】
1.本期信息內容由深圳市司法局編輯發布,由深圳市鵬城法律合規研究院提供技術支持,轉載請注明以上信息;
2.本期信息僅做分享與交流之用,不構成任何法律意見或建議;
3.任何主體均不應當以本期信息及所載內容作為分析和判斷的基礎;
4.企業在做出任何可能影響經營管理的決定前,建議咨詢合規專業人士。
深圳市龍華區人民政府辦公室主辦 網站技術維護電話:0755-23332038
首頁
信息公開
政務服務
互動交流
數字龍華
打印
粵公網安備44030902000263號