方達律師事務所：中國年度企業合規藍皮書2020-2021（169頁）.pdf

1、2020-2021中國年度企業合規藍皮書發布方中國公司法務研究院方達律師事務所主筆方達合規及政府監管團隊編輯委員會2020中國年度企業合規藍皮書主任辛 紅 中國公司法務研究院秘書長尹云霞 方達律師事務所合伙人 中國公司法務研究院編輯團隊 喬 楠 中國公司法務研究院秘書長助理呂 斌 中國公司法務研究院研究員陳洪健 中國公司法務研究院市場主管主筆方達合規及政府監管團隊韓 亮 尹云霞 季 諾 王曉萌 林彥華莊燕君 趙何璇 黃 菁 王 瑾 傅鐘琦肖春輝 張 毅 傅育生 康英杰 吳兆豐于水天 龍明珠 王凱琳 周夢媛 許 可衛凌波 王璽龍 李曉霞 劉 超 黎輝輝張 芳 章婭瑋 干瀟露 王愷仁 牛 玥張文豪

2、 郭慶營 王嘉華 薛恩揚 馬建蘭鄭愷嫻 劉書婷 劉心楊 李雪皎 王德軒編輯委員會編輯委員會2020中國年度企業合規藍皮書 中國公司法務研究院中國公司法務研究院是法治日報社設立的、以公司法務研究為核心的平臺。法治日報社主辦的法治日報是中央政法委機關報，是黨和國家在民主法治建設領域的重要輿論陣地，是黨在政法戰線的主要喉舌，是18家中央媒體之一，也是中國目前惟一一家向國內外公開發行的中央級法制類綜合性日報。法治日報社下設法治號、法制網、法人雜志等多個子報子刊、網站與客戶端等新媒體平臺。中國公司法務研究院旨在搭建中國公司法務界最具影響力的信息交流、服務咨詢平臺，通過內容產出和系列活動的開展，提升公司法

3、務在企業內部的戰略地位，推動公司法務職業群體的成長成熟。同時，充分發揮媒體平臺作用，促進企業的穩健發展。中國公司法務研究院旗下擁有中國公司法務年會、中國公司法務30人論壇、走進企業等多個品牌活動，獨家或聯合其他機構連續發布了中國合規藍皮書、中國企業走出去報告、中國企業家犯罪（媒體樣本）報告等系列年度報告。其中，中國公司法務年會是國內首家媒體打造的全國性法務高端交流平臺，也是法治日報傾力打造9年的品牌活動。目前中國公司法務年會不僅在國內舉辦北京、上海、深圳、武漢等會場，同時聯合其他機構與日本法務界建立了交替主辦的年度溝通平臺中日企業法務論壇。方達律師事務所 全方位、專業的中國律師事務所長期以來，

4、方達一直作為大中華區為數不多的頂尖律師事務所之一享有盛名。方達創建于1993年，是首批向國內外客戶提供全方位服務的中國律師事務所之一，在北京、香港、上海、深圳和廣州設有辦公室，擁有約700名律師。方達的律師在監管合規、訴訟、仲裁、投資、資本市場、并購、融資、知識產權、隱私和數據保護以及稅務領域擁有數十年從業經驗，方達在多個行業也具備豐富經驗，可以應對客戶全面的業務需求，為客戶提供全方位的優質服務，并擅長提供復雜法律問題的解決方案。方達憑借近年來在中國法律服務市場的卓越表現榮膺行業各類獎項，充分證明了我們在處理相關領域重大法律事務方面的杰出專業技能。從2000年至今，我們的多個業務領域持續被各大

5、法律評級機構和專業媒體，如錢伯斯亞太、中國法律與實踐、IFLR 1000、亞洲法律事務、PLC Which Lawyer、Dealmakers Monthly、ASIAN-MENA COUNSEL等評為中國頂尖級別律師事務所。編輯委員會2020中國年度企業合規藍皮書主任辛 紅 中國公司法務研究院秘書長尹云霞 方達律師事務所合伙人 中國公司法務研究院編輯團隊 喬 楠 中國公司法務研究院秘書長助理呂 斌 中國公司法務研究院研究員陳洪健 中國公司法務研究院市場主管主筆方達合規及政府監管團隊韓 亮 尹云霞 季 諾 王曉萌 林彥華莊燕君 趙何璇 黃 菁 王 瑾 傅鐘琦肖春輝 張 毅 傅育生 康英杰 吳兆

6、豐于水天 龍明珠 王凱琳 周夢媛 許 可衛凌波 王璽龍 李曉霞 劉 超 黎輝輝張 芳 章婭瑋 干瀟露 王愷仁 牛 玥張文豪 郭慶營 王嘉華 薛恩揚 馬建蘭鄭愷嫻 劉書婷 劉心楊 李雪皎 王德軒編輯委員會編輯委員會2020中國年度企業合規藍皮書 中國公司法務研究院中國公司法務研究院是法治日報社設立的、以公司法務研究為核心的平臺。法治日報社主辦的法治日報是中央政法委機關報，是黨和國家在民主法治建設領域的重要輿論陣地，是黨在政法戰線的主要喉舌，是18家中央媒體之一，也是中國目前惟一一家向國內外公開發行的中央級法制類綜合性日報。法治日報社下設法治號、法制網、法人雜志等多個子報子刊、網站與客戶端等新媒體

7、平臺。中國公司法務研究院旨在搭建中國公司法務界最具影響力的信息交流、服務咨詢平臺，通過內容產出和系列活動的開展，提升公司法務在企業內部的戰略地位，推動公司法務職業群體的成長成熟。同時，充分發揮媒體平臺作用，促進企業的穩健發展。中國公司法務研究院旗下擁有中國公司法務年會、中國公司法務30人論壇、走進企業等多個品牌活動，獨家或聯合其他機構連續發布了中國合規藍皮書、中國企業走出去報告、中國企業家犯罪（媒體樣本）報告等系列年度報告。其中，中國公司法務年會是國內首家媒體打造的全國性法務高端交流平臺，也是法治日報傾力打造9年的品牌活動。目前中國公司法務年會不僅在國內舉辦北京、上海、深圳、武漢等會場，同時聯

8、合其他機構與日本法務界建立了交替主辦的年度溝通平臺中日企業法務論壇。方達律師事務所 全方位、專業的中國律師事務所長期以來，方達一直作為大中華區為數不多的頂尖律師事務所之一享有盛名。方達創建于1993年，是首批向國內外客戶提供全方位服務的中國律師事務所之一，在北京、香港、上海、深圳和廣州設有辦公室，擁有約700名律師。方達的律師在監管合規、訴訟、仲裁、投資、資本市場、并購、融資、知識產權、隱私和數據保護以及稅務領域擁有數十年從業經驗，方達在多個行業也具備豐富經驗，可以應對客戶全面的業務需求，為客戶提供全方位的優質服務，并擅長提供復雜法律問題的解決方案。方達憑借近年來在中國法律服務市場的卓越表現榮

9、膺行業各類獎項，充分證明了我們在處理相關領域重大法律事務方面的杰出專業技能。從2000年至今，我們的多個業務領域持續被各大法律評級機構和專業媒體，如錢伯斯亞太、中國法律與實踐、IFLR 1000、亞洲法律事務、PLC Which Lawyer、Dealmakers Monthly、ASIAN-MENA COUNSEL等評為中國頂尖級別律師事務所。方達合規及政府監管團隊 兼具豐富的本土知識與國際標準的 專業合規團隊方達合規及政府監管團隊具備豐富的本土和國際經驗，團隊成員擁有中國、美國、英國、香港等多地的律師執照，且很多律師在加入方達前在歐美等地積累了豐富的合規經驗。同時，方達合規及政府監管團隊在

10、不斷擴展，吸引了最優秀的人才，包括前檢察官、前執法人員，在刑事調查及訴訟領域、行政審查及訴訟領域經驗豐富的高級合伙人，以及知名的公司內部合規律師。方達合規及政府監管團隊一直為跨國公司和中國企業提供全方位的合規服務，業務范圍覆蓋刑事、民事、行政、勞動等完整法域，尤其在處理反腐敗、反壟斷或競爭法、網絡安全與數據隱私保護、出口管制與制裁、國家秘密、證券監管、反洗錢、雇用和勞動、知識產權、健康和安全及環境法律等。方達合規及政府監管團隊同時也為“走出去”的中國企業在全球提供全方位的監管合規服務。方達合規及政府監管團隊尤其擅長的領域包括：內部調查、政府調查、定制化合規制度建設、刑事案件等，有卓越的專業知識

11、和豐富的實踐經驗。方達合規及政府監管團隊多次榮獲各大權威評級機構獎項，例如，錢伯斯亞太于2017至2021年評選方達榮列中國“公司調查/反腐敗”和“競爭法/反壟斷”業務領域第一等律所。法律500強（亞太區）于2017年至2020年評選方達為“監管/合規”和“反壟斷與競爭法”領域的第一梯隊律所。Asialaw Profiles（亞洲法律概覽）于2018年至2021年評選方達為“競爭/反壟斷”業務領域杰出律所。2020年，方達被Benchmark Litigation（亞太區）評為中國“政府與合規”業務領域“高度推薦律所。2019年，方達也被中國法律與實踐評為“年度監管與合規律所”。編輯委員會20

12、20中國年度企業合規藍皮書目錄第一章 全球重大合規事件評述第二章 問卷調研第三章 反腐敗第四章 反壟斷第五章 數據保護第六章 環境、健康與安全第七章 出口管制與制裁第八章 金融證券第九章 知識產權保護第十章 行政執法與刑事司法012743557385105117131147 方達合規及政府監管團隊 兼具豐富的本土知識與國際標準的 專業合規團隊方達合規及政府監管團隊具備豐富的本土和國際經驗，團隊成員擁有中國、美國、英國、香港等多地的律師執照，且很多律師在加入方達前在歐美等地積累了豐富的合規經驗。同時，方達合規及政府監管團隊在不斷擴展，吸引了最優秀的人才，包括前檢察官、前執法人員，在刑事調查及訴訟

13、領域、行政審查及訴訟領域經驗豐富的高級合伙人，以及知名的公司內部合規律師。方達合規及政府監管團隊一直為跨國公司和中國企業提供全方位的合規服務，業務范圍覆蓋刑事、民事、行政、勞動等完整法域，尤其在處理反腐敗、反壟斷或競爭法、網絡安全與數據隱私保護、出口管制與制裁、國家秘密、證券監管、反洗錢、雇用和勞動、知識產權、健康和安全及環境法律等。方達合規及政府監管團隊同時也為“走出去”的中國企業在全球提供全方位的監管合規服務。方達合規及政府監管團隊尤其擅長的領域包括：內部調查、政府調查、定制化合規制度建設、刑事案件等，有卓越的專業知識和豐富的實踐經驗。方達合規及政府監管團隊多次榮獲各大權威評級機構獎項，例

14、如，錢伯斯亞太于2017至2021年評選方達榮列中國“公司調查/反腐敗”和“競爭法/反壟斷”業務領域第一等律所。法律500強（亞太區）于2017年至2020年評選方達為“監管/合規”和“反壟斷與競爭法”領域的第一梯隊律所。Asialaw Profiles（亞洲法律概覽）于2018年至2021年評選方達為“競爭/反壟斷”業務領域杰出律所。2020年，方達被Benchmark Litigation（亞太區）評為中國“政府與合規”業務領域“高度推薦律所。2019年，方達也被中國法律與實踐評為“年度監管與合規律所”。編輯委員會2020中國年度企業合規藍皮書目錄第一章 全球重大合規事件評述第二章 問卷調

15、研第三章 反腐敗第四章 反壟斷第五章 數據保護第六章 環境、健康與安全第七章 出口管制與制裁第八章 金融證券第九章 知識產權保護第十章 行政執法與刑事司法012743557385105117131147-01-全球重大合規事件評述-02-一、中國 2019-2020 年商業賄賂執法盤點及趨勢2019 年 4 月 23 日，第十三屆全國人民代表大會常務委員會第十次會議通過關于修改反不正當競爭法等八部法律的決定。反不正當競爭法（1993年）（下稱“舊法”）繼 2017 年 11 月后再一次進行修改，修改條款自 2019 年 4 月 23 日起生效，但關于商業賄賂的相關規定較 2018 年生效的版本

16、并未發生改變。自2018 年 1 月 1 日起，新反不正當競爭法（下稱“新法”）施行已有兩年多時間。下文將結合公開可查詢案例的情況分析 2019-2020 年我國商業賄賂案件的執法特點及趨勢。（一）2019-2020 年商業賄賂執法特點我們通過公開渠道關鍵詞檢索的方式，對 2019-2020年查處商業賄賂案件情況進行了匯總1。通過對這些案件的梳理和分析，我們發現，2019-2020 年商業賄賂執法呈現以下特點：1執法數量繼續下降，地區執法不平衡 2802319550320501001502002503002016年2017年2018年2019年2020年執法數量年份商業賄賂行政執法案件數量統計

17、我們對近五年公開可查的商業賄賂行政執法案例進行了統計2，如上表所示，2016-2020 年，商業賄賂行政執法案件數量呈現逐年下降趨勢。2016-2017 年，商業賄賂執法案件穩定在每年 200 件以上，2018 年新法實施之后，執法案件數量急劇下降至 95 件，2019年的執法案件數量進一步下降至 50 件，僅為上一年度的五成多，這與新法對商業賄賂認定的重大調整及細化規則的指引的缺失具有密切的關系。2020 年第一至第三季度由于受到新冠病毒疫情的影響，執法數量銳減，僅有 32 件。疫情結束之后執法數量是否會有所回升，疫情期間積壓的案件對于后續執法是否會有影響仍有待于進一步觀察。除了執法數量繼續

18、下降之外，地區間商業賄賂的執法依然呈現出不平衡的態勢。如下圖所顯示，與 2018年的情況相似，2019-2020 年上海市商業賄賂執法仍然一枝獨秀，執法案件數量占比高達 92.7%，其他存在商業賄賂執法活動的省份包括廣東、江蘇、山東、江西及云南，相當多的省份在 2019-2020 年公開未查到商業賄賂執法案件3。1.本節所引用案例數據來源于威科先行 法律信息庫、上海市市場監督管理局官方網站公布的商業賄賂案件行政處罰決定書，筆者以“商業賄賂”、反不正當競爭法（1993 年）第八條、第二十二條、反不正當競爭法第七條、第十九條的具體內容為檢索關鍵詞，匯總 2019 年 1 月 1 日-2020 年

19、11 月 21 日，共計 82 件商業賄賂行政處罰決定書。2.2016-2017 年數據主要源于威科先行 法律信息庫公布的商業賄賂案件行政處罰決定書，2018-2020 年數據來源于威科先行 法律信息庫及上海市場監督管理局官方網站公布的案例。3.該結論基于我們在威科先行 法律信息庫的案例檢索情況，但實踐中存在一些地方沒有及時將執法信息上網公布的情況。4.對時間上跨越舊法與新法的連續性、持續性違法行為，原則上適用新法，但如果在舊法下處罰較輕，執法部門可能在處理中合理行使自由裁量權，適度兼顧從輕的原則。上海市 92.7%廣東省 2.4%江蘇省 1.2%山東省 1.2%江西省 1.2%云南省 1.2

20、%商業賄賂行政執法機構分布2.新舊法適用并存2019-2020 年的商業賄賂行政執法中，新舊法的適用仍然并存，但與 2018 年新舊法更替過渡以及舊案消化的情況不同，2019 年度適用新法進行查處的案件已達到 38 起，占比上升至 76%。而在 2020 年的執法案例中，根據截至目前所統計的數據，適用新法查處的案例占比為 84%?？紤]到對行政違法行為兩年的追溯時效，之后的商業賄賂行政執法都將主要適用新法進行查處4。舊法 24%新法 76%2019年商業賄賂行政執法適用法律情況新法 84%舊法 16%2020年商業賄賂行政執法適用法律情況3.適用新法的商業賄賂執法依據集中于第七條第一款第（一）和

21、（三）項如下圖所示，在2019-2020年適用新法執法的案例中，52%的案件執法依據是新法第七條第一款第（一）項，即經營者向交易相對方的工作人員進行賄賂，以謀取交易機會或者競爭優勢；29%的案件執法依據是新法第七條第一款第（三）項，即經營者向“利用職權或者影響力影響交易的單位或者個人”進行賄賂。被認-03-定為“利用職權或者影響力影響交易的單位和個人”的主要有醫院及醫生、設計師及建筑裝修公司等。有17%的案件的執法依據是新法第七條第一款第（二）項，即經營者向受交易相對方委托辦理相關事務的單位或者個人進行賄賂，被認定為“受交易相對方委托辦理相關事務的單位或者個人”的均為醫院。另有 1 起案件的執

22、法依據是新法第七條第二款，即經營者向中間人支付傭金未如實入賬。（一）交易相對方的工作人員52%（二）受交易相對方委托辦理相關事務的單位或者個人17%（三）利用職權或者影響力影響交易的單位或者個人29%第七條第二款2%適用新法的商業賄賂行政執法法律依據4.醫藥及工業制造為 2019-2020 年被重點執法的領域如下圖所示，2019-2020 年商業賄賂執法的行業分布仍然呈現集中化態勢。其中，醫藥行業（包括藥品、醫療器械、耗材、保健品、醫療美容等具體領域）仍為重點監管和執法領域，占比高達 52%，涉案主體包括藥企、醫療器械公司、醫藥推廣企業、CRO、第三方咨詢公司等。醫藥領域的高強度執法與國家多部

23、委開展的專項執法行動密切相關，例如，市場監管總局辦公廳 2019 年 7 月 31 日發布了關于貫徹落實 暨開展重點領域反不正當競爭執法行動的通知（市監競爭 2019 42 號），要求“加大對醫藥購銷、醫療服務領域商業賄賂、虛假宣傳等不正當競爭行為的查處力度，營造風清氣正的市場環境”。國家衛生健康委員會亦聯合多部門共同下發了 關于印發 2019 年糾正醫藥購銷領域和醫療服務中不正之風工作要點的通知（國衛醫函（2019）90 號），其中亦明確了要“嚴厲打擊商業賄賂、洗錢等違法犯罪，維護行業秩序”。其他商業賄賂執法比較活躍的領域包括工業制造（14%）、服務（11%）、一般零售（9%）、建筑裝修（5

24、%）等行業。醫藥 52%工業制造 14%服務 11%一般零售 9%建筑裝修 5%工程施工 4%食品 3%廣告 1%紡織 1%2019-2020商業賄賂行政執法行業分布5.參見“上海杰智醫療器械有限公司涉嫌不正當競爭案”，滬工商檢處字2019第 320201810015 號，2019 年 7 月 4 日。6.參見“上海源洪貿易有限公司商業賄賂案”，滬監管嘉處字（2018）第 142018000158 號，2018 年 10 月 31 日。5.商業賄賂的表現形式多樣化如下圖所示，2019-2020 年被查處的商業賄賂案件從賄賂形式來看，現金、回扣、禮品卡/購物卡、傭金、低價或免費提供醫療器械、好處

25、費是最常見的行賄方式。有 35%的案件直接給予現金，18%的案件通過免費或低價提供醫療器械捆綁銷售試劑/耗材的方式，11%的案件涉及按比例給予回扣，8%的案件給予禮品卡、購物卡，7%的案件給予非法傭金，還有不少案例通過給予好處費、禮品、旅游、吃喝玩樂、發放講課費、咨詢費、入場費、股份等形式進行賄賂。根據對 2019-2020 年行政執法案例的梳理，我們發現執法機關在面對數額相對較小的利益輸送的情況下，仍然會被認定為構成商業賄賂。例如在 2019-2020 年的執法案例中，公司向交易相對方的工作人員贈送價值 1,000 元的大閘蟹、價值 3,000 元的預付卡及提供價值 2,714 元的 SPA

26、 等行為都受到了行政處罰。為避免風險，企業應當制定相應的禮品招待政策，應禁止員工贈送現金或現金等價物（例如預付卡、禮品卡等），禁止提供奢侈性禮品及招待，盡量給予金額較低且帶有一定宣傳意義的禮品（如帶有企業 logo 的紀念品等）。企業還應設置相應的禮品招待限額及審批流程，確保員工提供禮品招待的行為合法合規?，F金 35%低價/免費提供醫療器械 18%回扣 11%禮品卡/購物卡 8%傭金 7%好處費 6%旅游 5%禮品 4%吃喝玩樂 2%講課費 1%咨詢費 1%入場費 1%股份 1%2019-2020年商業賄賂的表現形式（二）典型案例分析1.設備免費投放行為在新法下仍存在風險 設備免費投放行為在舊

27、法下一直是商業賄賂的打擊重點，在新法下依然存在較高的商業賄賂風險。在相關案例中，當事人（通常為醫療器械公司）通常在業務開展過程中，為獲得交易機會，向醫院免費提供一定數量的醫療器械，并通過上述手段向醫院配套銷售相應的試劑和耗材。我們注意到，在原先的執法案例中，執法機關或傾向于依據新法第七條第一款第（三）項（賄賂利用職權或影響力影響交易的單位或個人）對這種行為進行處罰，但卻未進一步說明醫院影響了哪一項具體交易5，或回避了對醫院身份的界定，未明確指出醫院屬于新法第七條第一款下哪一類主體6。而在最近的執法案例中，執法機關則援引了新法第七條第一款第（二）項，將醫院認定為受交易相對方委托辦理相關事務的單位

28、，并以此為依據將設備免費投放行為認-04-定為構成商業賄賂7。根據對 2019-2020 年行政執法案例的梳理，我們并未發現針對向醫院提供免費的設備進行試用，而不與醫院采購產品進行捆綁的行為的處罰案例，這類行為被認定為商業賄賂的風險相對較小。因此，如果企業需要以優惠的價格/付款安排向醫院提供設備，應當避免將向醫院提供設備的安排與向醫院銷售試劑及耗材的安排相綁定，例如避免設備的安排與試劑及耗材的銷售互為條件的合同條款，以及避免將提供設備的安排與要求醫院采購試劑及耗材的安排同時簽訂在一份合同中。2.傭金未如實入賬被認定為商業賄賂的風險很高 在舊法下，“回扣”是一種典型的商業賄賂形式。如果沒有明確合

29、同約定，或者沒有在賬目上如實反映，傭金和折扣很容易在執法中被視為“賬外暗中”的回扣，被認定為商業賄賂。新法雖然刪去了關于回扣的禁止性規定，但仍然保留了對折扣/傭金如實入賬的正面的指引性要求。雖然從法條本身而言，這意味著“商業賄賂”與“如實入賬”之間沒有必然聯系，在沒有證據證明同時存在“賄賂他人行為”的情況下，即使經營者之間的銷售折扣或傭金沒有做到“明折明扣、如實入賬”，也不必然意味著違反新法。但是在實踐中“賬外暗中”的操作被認定為商業賄賂的風險依然很高。在 2019 年 10 月南昌市東湖區市場監督管理局做出的行政處罰中，某醫療美容公司為了打開市場，聘用美容行業的從業人員做中間人，給該公司介紹

30、做醫療美容項目的顧客，并給予中間人高額的傭金。該筆傭金未如實記入該公司賬目，而是由該公司法人的個人銀行賬戶支付，因而被執法機構認定為構成商業賄賂8。這表明，實踐中違反“明折明扣”要求的行為很可能直接視同商業賄賂而受到行政處罰。3.介紹交易的單位或個人可能被認定為“利用職權或者影響力影響交易的單位或者個人”目前新法對第七條第一款第（三）項賄賂利用職權或影響力影響交易的單位或個人中的“影響力”沒有非常明確的界定，在實踐中執法機關有很大的自由裁量權。過往的執法案例中，我們注意到這種影響力往往是由于專業形成的影響力，例如醫生對患者的影響力，或者是由于交易的結構，基于身份所形成的影響力，例如家裝公司/設

31、計公司對消費者在家具建材采購過程中的影響力。在實踐中，只要一方有可能影響某一交易決定的做出，并且實際推動了這一交易，都存在被執法機關認定為“利用影響力影響交易”的可能性。我們注意到，在 2019-2020 年的執法案例中，除了上述基于專業性或身份形成的影響力之外，介紹交易的單位或個人也可能被認定為具有影響力。例如，在“騰市監罰201945 號”案件中，執法機關認為當事人“按照顧客購買翡翠金額的比例給付帶人到其店內購物的介紹人及客棧返款”，違反了新法第七條第一款第三項，構成了商業賄賂；又如在“滬市監徐7.參見“上海市浦東新區市場監督管理局行政處罰決定書”，滬市監浦處201915201900243

32、6 號，2019 年 11 月 27 日；“上海市浦東新區市場監督管理局行政處罰決定書”，滬市監浦處2019152019002432 號，2019 年 11 月 27 日；“上海歐典生物技術有限公司涉嫌不正當競爭案”，滬市監長處2020052020000066 號，2020 年 9 月 18 日；“上海仁海生物科技有限公司涉嫌不正當競爭案”，滬市監長處2020052020000077 號，2020 年 9 月 18 日；“上海強翰醫療器械有限公司涉嫌不正當競爭案”，滬市監長處2020052020000075 號，2020 年 9 月 21 日；“上海艾華醫療器械有限公司涉嫌不正當競爭案”，滬市

33、監長處2020052020000068 號，2020 年 9 月 22 日；“秉笙（上海）醫療器械有限公司涉嫌不正當競爭案”，滬市監長處2020052020000074 號，2020 年 9 月 22 日；“上海羽神生物科技有限公司涉嫌不正當競爭案”，滬市監長處2020052020000060 號，2020 年 9 月 22 日；“上海潤華醫療器械有限公司涉嫌不正當競爭案”，滬市監長處2020052020000078 號，2020 年 9 月 22 日；“上海領檢科技有限公司涉嫌不正當競爭案”，滬市監長處2020052020000067 號，2020 年 11 月 2 日。8.參見“南昌市東湖

34、區市場監督管理局行政處罰決定書”，（洪東）市監（公）罰決（2019）4 號，2019 年 10 月 22 日。處2019042019001936 號”及“滬市監徐處2019042019002052 號”案件中，當事人為從事醫療美容的民營醫療機構，為獲取交易機會，向美容店員工支付費用，以激勵其為當事人介紹醫療美容客戶，被認定為違反了新法第七條第一款第三項，構成商業賄賂。因此在實踐中，正常的居間介紹行為與利用影響力影響交易的商業賄賂行為之間的界限可能還有待進一步明確。-05-二、2019-2020 年美國 FCPA 執法盤點（一）FCPA 執法再創歷史紀錄 2019 年，FCPA 執法機關（SEC

35、 和 DOJ）共完成對 16家公司的執法（含 2 個不起訴（Declination）案件），公司和解案件數約與 2018 年持平。2020 年9，SEC 和 DOJ 共完成對 11 個公司的執法（含1 個不起訴案件）。雖然整體案件數量較去年下降，但整體和解金額再創歷史新高。21161291011271317161105101520253020102011201220132014201520162017201820192020FCPA近十年公司案件執法數量2019 年，公司案件與 SEC 和 DOJ 的和解金額總計26.5 億美金，打破 2016 年 24 億美金的紀錄，創歷史新高。102020

36、 年，公司案件與 SEC 和 DOJ 的和解金額總計 26.6 億美金，再次打破 2019 年的紀錄。11 185.032.67.215.661.392411.31026.526.605101520253020102011201220132014201520162017201820192020FCPA近十年公司案件和解金額金額（億美金）伴 隨 2019 和 2020 年 FCPA 執 法 不 斷 創 造 記 錄，FCPA 歷史十大案件榜單也不斷被刷新。129.統計時間截至 11 月 23 日。10.In Terms Of Settlement Amounts,2019 FCPA Enforce

37、ment Has Set An All-Time Record,December 10,2019,http:/ Terms Of Settlement Amounts,2020 FCPA Enforcement Has Set An All-Time Record,October 23,2020,https:/ Street bank earns top spot on FCPA Blog top ten list,October 26,2020,https:/ 案件 所屬國家 FCPA 和解金額（億美元）年份 1 Goldman Sachs 美國 33 2020 2 Airbus SE 法國

38、 20.9 2020 3 Petrobras 巴西 17.80 2018 4 Ericsson 瑞典 10.60 2019 5 Telia 瑞典 9.65 2017 6 MTS 俄羅斯 8.5 2019 7 Siemens 德國 8 2008 8 VimpelCom 荷蘭 7.95 2016 9 Alstom 法國 7.72 2014 10 Socit Gnrale S.A.法國 5.85 2018（二）中國持續成為 FCPA 最熱執法區域2019 年，50%的 FCPA 和解案件涉及中國。此前，涉及中國案件占比最高紀錄為 55.5%，發生在 2016 年。中國持續成為 FCPA 最熱執法區域

39、。2020 年，11 起案件中，有 4 起涉及中國。2019-2020 年的 FCPA 案件中，涉及在中國存在不當行為的案件有 12 個（2019 年 8 個，2020 年 4 個），主要集中在醫療保健、零售、投行、市場營銷、網絡安全、電信、能源、制造八大行業。主要違法事實概括如下：(1)費森尤斯（Fresenius Medical Care）（2019）一家德國透析產品和服務提供商，為銷售其產品，涉及在中國等全球十多個國家行賄醫療衛生人士（HCP），被指控違反 FCPA 反賄賂條款和會計條款。同時受到DOJ 刑事指控，并與 DOJ 達成和解。(2)沃爾瑪（Walmart）（2019）一家美國

40、連鎖企業，因未對子公司實施充分的反腐敗合規管控，放任子公司通過第三方等方式賄賂中國等多國政府官員，被指控違反 FCPA 會計條款。同時受到 DOJ 刑事指控，并與 DOJ 達成和解。(3)德意志銀行（Deutsche Bank AG）（2019）一家德國銀行，涉及在中國和俄羅斯聘用政府官員親屬，以利用政府官員的影響力獲得投行業務，被指控違反 FCPA 會計條款。(4)Quad 公司（Quad/Graphics）（2019）一家美國印刷及營銷公司，在中國和秘魯賄賂政府官員。同時，為掩蓋其與一家受美國制裁的古巴國有電信公司的交易而進行財務造假，被 SEC 指控違反-06-FCPA 反賄賂條款和會計

41、條款。DOJ 對該公司做出不起訴（Declination）的決定。(5)瞻博網絡（Juniper）（2019）一家美國網絡通訊設備公司，其中國子公司的銷售人員偽造文件，以掩蓋實際用于招待客戶的費用，被SEC 指控違反 FCPA 會計條款。(6)巴克萊銀行（Barclays）（2019）英國乃至全球最大的銀行之一，涉及在中國聘用政府官員子女，以獲得業務，被 SEC 指控違反 FCPA 會計條款。(7)愛立信（Ericsson）（2019）全球知名電信設備廠商，涉及在中國等多國利用虛假合同向政府官員輸送利益，被 SEC 指控違反 FCPA 反賄賂條款和會計條款。同時受到 DOJ 刑事指控，并與DO

42、J 達成和解。(8)西港燃料公司（Westport Fuels Systems）（2019）一家加拿大清潔燃料公司，涉及為獲得業務而向中國某政府官員輸送利益，被 SEC 指控違反 FCPA 反賄賂條款和會計條款。(9)諾華（Novartis AG）（2020）全球知名制藥和醫療保健公司，其和子公司同意支付超過 3.4 億美元，以和解其在包括中國在內的多個管轄區的不當行為引起的 SEC 和 DOJ 指控。諾華被 SEC指控違反賬簿與記錄和內控條款。其與 DOJ 達成延遲起訴協議（DPA）。(10)嘉德諾（Cardinal Health）（2020）總部位于美國俄亥俄州的制藥公司 Cardinal

43、 Health，同意支付逾 800 萬美元，以和解其在中國的不當行為違反 FCPA 賬簿與記錄和內控條款的指控。(11)空中客車（Airbus SE）（2020）法國空客公司（Airbus SE）支付 39 億美金與英、美、法三國就其行賄及出口管制問題達成和解。其中，針對 FCPA 相關違法行為和解金額為 20.9 億美元。(12)康寶萊（Herbalife Nutrition Ltd.）（2020）總部位于洛杉磯的直銷公司康寶萊同意支付逾 6,700萬美元，以和解其中國子公司的賄賂行為而違反 FCPA的賬簿和記錄以及內控條款的指控。此外，康寶萊兩位中國籍高管被 SEC 和 DOJ 提起刑事指

44、控。近年來，越來越多的 FCPA 執法案件涉及在中國行賄，詳情見下圖。13.FCPA Enforcement and Anti-Corruption Developments:2019 Mid-Year Review,July 18 2019,Lexology,available at https:/ GE Engineer and Chinese Businessman Charged with Economic Espionage and Theft of GEs Trade Secrets,Apr.23,2019,Dept of Justice,available at https:/2

45、215368489121011870510152025302014201520162017201820192020近年FCPA執法案件涉及中國情況涉及中國案件其他案件（三）兩位中國公民被提起 FCPA 刑事指控2019 年 11 月，中國公民李延亮（Jerry LI）和楊宏偉（Mary YANG）因涉嫌代表其原雇主行賄中國政府官員被 DOJ 提起刑事指控。李同時面臨 SEC 民事指控。截至 2020 年 11 月 23 日，兩人尚未被美國政府刑事逮捕。李延亮曾是某跨國公司中國子公司銷售副總裁、執行董事，是該跨國公司在中國的最高級別管理人；楊宏偉曾任其中國子公司外務部的部長；兩人被 DOJ 指控

46、共謀違反 FCPA，指控還涉及偽證、銷毀證據等罪名。此外，SEC以幫助和教唆違反FCPA對李提起民事指控。兩人的原雇主在中國的 FCPA 違法行為與 2014 年雅芳（Avon）案類似：都涉及早期為獲得在中國的直銷牌照、為刪掉公司負面報道而行賄政府官員（包括國企員工）。雅芳及其中國子公司在 2014 年與 DOJ 和 SEC 達成認罪協議。公開信息未發現雅芳案中其中國子公司高管被提起 FCPA 指控。類似的案件，在 5 年前，執法機關不大會對涉案的外國高管提起刑事指控。但根據當前的執法政策，企業如果不供述涉案的高管并提交相關證據，則很難獲得執法機關的從寬處理（例如減免罰金），并且很難達成有利的

47、和解。李和楊原雇主的執法結果值得進一步關注?？鐕镜闹袊吖苄杼岣呔?。美國上市公司（包括在美國上市的中國公司）或美國公司的中國高管，無論其是否具有美國身份（例如具有美國國籍或持有美國綠卡等），都可能因在中國的賄賂行為而受到 FCPA 刑事和/或民事指控。（四）中國行動計劃開始發力美國 DOJ 在 2018 年底發布中國行動計劃（China Initiative）后，美國執法機構以危及美國國家秘密和商業機密等理由，在美國本土以及第三國對中國公民（包括軍人、學者、商人、企業高管）、美籍華裔甚至相關非華裔美國人展開抓捕行動。2019 年，DOJ 相繼對中國某信息與通信基礎設施和智能終端公司及其關

48、聯主體發起欺詐、洗錢、制裁、妨礙司法等指控，并對多名中國公民發起商業間諜、侵犯商業秘密等相關指控。13DOJ 在 2019 年 4 月針對兩個中國公民商業間諜的指控中表示，今后將加大與私有領域合作，以更好執行中國行動計劃。14DOJ 還在其官網不時公-07-布和更新自 2018 年 4 月起與中國相關的指控。15為實現中國行動計劃的目標，今年 2 月底，美國某參議員致信 DOJ 并抄送 SEC，其在信函中指出中國很多銀行都是國有銀行，督促 DOJ 調查中國金融和非金融公司向美國公司銷售不良債務（distressed debt）所涉及的 FCPA 違法問題，并希望 DOJ 能明確具體的行動步驟，

49、但其并未指出具體存在或可能存在哪些 FCPA 違法行為。16根據外媒報道，DOJ 確認收到了此信，但拒絕置評，SEC 也并未回復該信函。17（五）投資拉美的中國企業需加強 FCPA 執法警惕繼中國之后，巴西也成了 FCPA 熱門執法區域。2019年，共 4 起 FCPA 案件涉及巴西，總計和解金額 6.57億美金，是繼中國之后，執法案件涉及最多的國家。美國和巴西等拉美國家在反腐敗領域的合作越來越多，在拉美有投資的中國企業應重視當地子公司的腐敗問題，避免中國公司牽涉到相關案件中。2020 年，有三起 FCPA 案件涉及在巴西行賄。近幾年涉及巴西的 FCPA 案件，大多為美國和巴西政府聯合執法的結

50、果。巴西在反腐敗立法和執法層面不斷學習美國、英國等實踐。2014 年，巴西通過了反公司腐敗法案（Clean Company Act），該法案在域外效力、和解協議、自我檢舉、企業合規機制等方面，都在學習美國FCPA和英國 反賄賂法案（2010）（The Bribery Act）等國際實踐。182015 年 3 月，巴西頒布了一項法令，明確了企業合規機制應具備的關鍵要素，其內容與 FCPA企業合規機制評估指南類似。19 為進一步加大反洗錢和反海外腐敗執法力度，美國聯邦調查局（FBI）于 2019 年 3 月在邁阿密設立反腐敗調查組。20據公開消息，該調查組將重點關注發生在邁阿密及拉美的腐敗行為。美

51、國與拉美國家執法合作日益緊密，阿根廷、巴西等國近年來不斷掀起反腐敗風暴，在拉美國家有投資的中國企業，應警惕其當地子公司違反 FCPA 及拉美國家反腐敗法律的風險，提防因當地子公司賄賂而牽連中國企業受 FCPA 指控的風險。（六）FCPA 長臂管轄受阻經過長達七年的訴訟，69 歲的英國人 Lawrence Hoskins 在 DOJ 對其的 FCPA 指控中，再一次獲得階段性勝利。2020 年 2 月 26 日，美國一聯邦法官準許了一項無罪判決，認定 DOJ 針對 Hoskins 作為阿www.justice.gov/opa/pr/former-ge-engineer-and-chinese-b

52、usinessman-charged-economic-espionage-and-theft-ge-s-trade 15.Information about the Department of Justices China Initiative and a Compilation Of China-Related Prosecutions Since 2018,Last Updated September 21,2020，https:/www.justice.gov/opa/information-about-department-justice-s-china-initiative-and

53、-compilation-china-related16.Letter to Department of Justice,Marco Rubio,February 25,2020,available at https:/www.rubio.senate.gov/public/_cache/files/48b65f3c-d123-41dc-a71f-90fc74612de5/6CA9B56CF28F730B1CB37AC79D8D76F9.20.02.25-rubio-letter-to-ag-barr-re-china-fcpa.pdf17.U.S.Senator warns of corru

54、ption amid opening of Chinese loan market,February 26,2020,New York(Reuters),available at https:/ compliance:Meeting the global standard,May 1,2014,FCPA Blog,available at https:/ Brazilian Clean Companies Act,Kevin M.LaCroix,11 Dec 2013,LexisNexis,available at https:/ details on Brazils Clean Compan

55、y Act regulations,Leonardo Ruiz Machado and Andy Spalding,March 25,2015,FCPA Blog,available at https:/ Announces New International Corruption Squad in Miami Field Office,March 5,2019,Washington,D.C.FBI National Press Office,available at https:/www.fbi.gov/news/pressrel/press-releases/fbi-announces-n

56、ew-international-corruption-squad-in-miami-field-office21.United States of America V.Lawrence Hoskins,Criminal No.3:12cr238(JBA),February 26,202022.Former Senior Alstom Executive Sentenced to Prison for Role in Money Laundering Scheme to Promote Foreign Bribery,March 6,2020,Department of Justice,htt

57、ps:/www.justice.gov/opa/pr/former-senior-alstom-executive-sentenced-prison-role-money-laundering-scheme-promote-foreign23.Assistant Attorney General Brian A.Benczkowski Delivers Remarks at the American Conference Institutes 36th International Conference on the Foreign Corrupt Practices Act,December

58、4,2019,Department of Justice,available at https:/www.justice.gov/opa/speech/assistant-attorney-general-brian-benczkowski-delivers-remarks-american-conference爾斯通（Alstom）美國子公司的代理人違反 FCPA 的指控不成立。212020 年 3 月初，DOJ 在其官網公布對Hoskins 的量刑，雖然法官判決 FCPA 指控不成立，但 Hoskins 參與的賄賂行為因涉嫌洗錢而被判決 15個月監禁，罰款 3 萬美元。據媒體報道，DOJ

59、已就Hoskins 案的 FCPA 問題再次提起上訴22，本案尚未塵埃落定。英國公民 Hoskins 曾受雇于 Alstom 英國子公司，但涉案期間在法國擔任 Alstom 某部門前副總裁，因涉嫌為獲得 1.18 億美金合同而通過顧問行賄印尼當地官員，被美國政府于 2013 年逮捕，并提起刑事指控。Hoskins 并非美國公民或永久居民，在涉案期間從未涉足美國，其并不屬于 FCPA 直接管轄的主體。Hoskins 案經歷一波三折。2015 年美國康涅狄格州聯邦地區法院認定 DOJ 對 Hoskins 共謀違反 FCPA 的指控不成立。隨后，DOJ 提起上訴。2018 年，美國第二巡回上訴法院維

60、持區法院的部分判決，指出，DOJ 不能以“共謀”理論將明確不屬于 FCPA 管轄的主體納入管轄范圍。隨后，DOJ 以 Hoskins 作為 Alstom 美國子公司的代理人違反FCPA，繼續對其提起刑事指控。2019 年 11 月，Hoskins 被聯邦陪審團認定作為代理人違反 FCPA。在 Hoskins 被聯邦陪審團認定違反 FCPA 之后，業界普遍認為，DOJ 很有可能會以代理理論繼續擴大FCPA 的長臂管轄。但 DOJ 助理檢察長（Assistant Attorney General）在 2019 年 12 月第 36 屆 ACI 國際反腐敗大會上，對 Hoskins 案進行點評，回應

61、了業界的擔憂、傳達了 DOJ 的態度，其核心觀點包括：（1）DOJ 不會擴大代理理論的適用范圍，或者突破 FCPA本身的規定去適用代理理論；（2）DOJ 不會僅憑代理理論，就默認所有母公司都需要為其子公司、合資公司或關聯公司承擔責任。代理理論的適用需要依據個案分析，其成立與否取決于具體的事實和證據。以Hoskins 案為例，DOJ 負舉證義務，需證明 Hoskins在涉案項目相關事宜中作為 Alstom 美國子公司的代理人（Agent of Domestic Concern）；（3）DOJ 不會僅憑代理理論就發起 FCPA 指控，在決定是否發起一項FCPA指控時，其會綜合考慮舉證責任、舉證難度

62、、案件性質和嚴重性、高層管理人員參與程度、自我檢舉、配合程度及補救措施等因素最終決定。23 但在今年 2 月底，聯邦法官認為，DOJ 未能充分證明Hoskins 是 Alstom 美國子公司的代理人，推翻了聯邦陪審團的有罪認定，僅對其涉及的洗錢行為做出有-08-罪判決和量刑。聯邦法官的判決給 DOJ 通過代理理論指控外國主體帶來挑戰。雖然代理理論在 FCPA 下有明確的管轄權依據，理論上美國政府可以據此指控任何外國主體。但對 DOJ 來說，難點是如何證明代理關系的成立。Hoskins 案在 FCPA 方面的階段性勝訴一定程度上證明執法機關無法一味擴大FCPA的管轄權。（七）跨國公司高管在 FC

63、PA 下的個人刑事風險增加FCPA 執法機關近年來在無數場合強調他們對追究個人責任的重視，在近年的執法政策中，向 DOJ 主動提供負有直接責任的個人并提供相關證據是 DOJ 決定對涉案企業寬大處罰的重要考量因素。在相關政策驅動下，DOJ 近年針對企業高管違反 FCPA 的刑事指控不斷增加。例如，2019年，DOJ公布34起個人FCPA刑事執法，創下美國金融危機后的執法新記錄，其中，30 人被認定有罪。24 441112214129191921340510152025303540455020092010201120122013201420152016201720182019DOJ近年針對個人的刑

64、事指控數量在 FCPA 執法案件中，很少有企業選擇庭審。涉案企業幾乎都支付相應和解金與執法機關達成和解。對于被指控的個人，也只有少數人會選擇庭審。在大多數年份，每年約有一個 FCPA 陪審團庭審案件。在 2013至 2016 年，未出現過陪審團庭審案件；在 2017 和2018 年，各出現一個；而在 2019 年，出現三個FCPA 庭審案件，共 4 名被告被認定違反 FCPA。25 No.涉案高管/個人 國籍 時間 FCPA 違法行為 1.Roger Richard Boncy 美國和海地 2019 賄賂海地共和國政府官員 2.Joseph Baptiste 美國 2019 3.Lawrenc

65、e Hoskins 英國 2019 前阿爾斯通副總裁，違反FCPA、涉及洗錢 4.Mark Lambert 美國 2019 某美國交通物流公司前董事長，行賄俄羅斯官員 5.Patrick Ho （何志平）中國 2018 代表一家中國能源公司賄賂非洲政府官員 6.Ng Lap Seng （吳立勝）中國 2017 賄賂聯合國官員 在當前執法政策下，涉案企業如不“交出”實質涉案的公司人員（尤其是涉案高管），將很難與執法機關達成有利的和解?？梢灶A見，在今后的 FCPA 執法中，24.Assistant Attorney General Brian A.Benczkowski Delivers Rema

66、rks at the American Conference Institutes 36th International Conference on the Foreign Corrupt Practices Act,December 4,2019,Department of Justice,available at https:/www.justice.gov/opa/speech/assistant-attorney-general-brian-benczkowski-delivers-remarks-american-conference25.Trending:Juries convic

67、t six FCPA defendants in rare trials,Richard L.Cassin,December 3,2019,FCPA Blog,available at https:/ 判例法將逐漸走向成熟。-09-三、2019-2020 年中國數據保護立法與執法綜述（一）立法綜述2019 年至 2020 年間，我國數據保護領域的立法活動仍然活躍，不同位階的規則不斷出臺以及完備，為監管執法提供了有力的依據，也為企業的合規提供了重要的參考和指引。截至 2020 年底，數據保護領域的主要立法中僅有網絡安全法和民法總則兩部法律中對個人信息保護問題進行了明確規定，不少與個人信息保護相關

68、的規則仍散落在不同行業、領域的單行法律法規中。雖然行業法規以及國家標準眾多，但是法律層面的網絡安全法和民法總則的相關條款均只對個人信息保護進行了原則性、基礎性地規定，這些原則以及規定難以精準地在紛繁復雜的實踐場景中準確地適用，在個人信息保護的全生命周期的一些重要節點甚至沒有直接規定，僅靠監管機關對特定的法律原則進行擴大化或寬泛的解讀難以形成我國個人信息以及數據保護的完整法律框架，也難以給市場實踐提供具體的指引。雖然信息安全技術 個人信息安全規范對指導實踐也具有一定的借鑒意義，無奈“推薦性國家標準”的位階使其在直接適用的問題上略顯尷尬。2019至2020年間，數據保護領域的立法動作可謂“百花齊放

69、”，從 民法典 的出臺與 個人信息保護法（草案）的公開征求意見，到落地層面的重要國家標準信息安全技術 個人信息安全規范（GB/T 352732020）的更新版本生效，以及涉及 App 專項治理多項實踐指南或正式發布或公開征求意見。1、民法典：個人信息保護正式納入人格權編2020 年 5 月 28 日，第十三屆全國人大第三次會議表決通過了 民法典，將于2021年1月1日起正式實施。民法典總則編第一百一十一條延續了民法總則第一百一十一條的規定，對個人信息保護做出了概括性規定，并在人格權編第六章整合了中華人民共和國網絡安全法（簡稱“網絡安全法”）等個人信息保護法律法規以及先前相關的司法解釋中的個人信

70、息保護要求，通過主要的八個條文規定了個人信息相關定義、個人信息保護要求以及責任主體和自然人的權利義務等方面。民法典未實質地更新“個人信息”的概念，也未區分一般個人信息和敏感個人信息，也未對處理不同性質、不同數量的個人信息設定不同規則。但 民法典明確了個人信息與隱私權并不一致，二者之間有所區分，也存在一定重合（即個人信息中的私密信息屬于26.最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定第十二條網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權人請求其承擔侵權責任

71、的，人民法院應予支持。但下列情形除外：（一）經自然人書面同意且在約定范圍內公開；（二）為促進社會公共利益且在必要范圍內；（三）學校、科研機構等基于公共利益為學術研究或者統計的目的，經自然人書面同意，且公開的方式不足以識別特定自然人；（四）自然人自行在網絡上公開的信息或者其他已合法公開的個人信息；（五）以合法渠道獲取的個人信息；（六）法律或者行政法規另有規定。網絡用戶或者網絡服務提供者以違反社會公共利益、社會公德的方式公開前款第四項、第五項規定的個人信息，或者公開該信息侵害權利人值得保護的重大利益，權利人請求網絡用戶或者網絡服務提供者承擔侵權責任的，人民法院應予支持。27.參見“龐理鵬與北京趣拿

72、信息技術有限公司等隱私權糾紛二審民事判決書”，北京市第一中級人民法院，(2017)京 01 民終 509 號。28.參見“原告李洋與被告江蘇蘇寧易購電子商務有限公司隱私權糾紛一審民事判決書”，江蘇省南京市玄武區人民法院，(2016)蘇 0102 民初 1123 號。29.參見“趙亞瓊等與北京京東叁佰陸拾度電子商務有限公司隱私權糾紛一審民事判決書”，北京市大興區人民法院，(2017)京 0115 民初 15827 號。自然人的隱私，但是這些具體代表了哪些類型的個人信息尚未明確）。對于個人私密信息以及其他涉及隱私權部分的處理，民法典規定了比處理一般個人信息更高的要求，即需要個人的“明確同意”或者法

73、律法規另有規定，否則這些處理私密信息的行為屬于禁止性行為。在個人信息侵權的責任主體以及責任劃分上，民法典將個人信息保護的責任主體統稱為個人信息處理者，包含任何處理個人信息的組織或者個人。不同于歐盟的通用數據保護條例（General Data Protection Regulation，“GDPR”），民法典沒有對責任主體的控制者和處理者身份進行區分，個人可以對處理其個人信息的控制者和/或處理者提起訴訟，控制者和處理者之間的合同（比如數據處理協議）也僅能作為兩個主體之間的法律責任分配的方式，不能對抗個人。鑒于需要與民法典的規定進行銜接，個人信息保護法（草案）也延續了這一模式。值得關注的是，民法典

74、規定了個人信息處理者不承擔民事責任的三種情形：情形一，在自然人或者其監護人同意的合理范圍內；情形二，合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；情形三，為了維護公共利益或者該自然人合法權益，合理實施的其他行為。上述三種情形在最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定 第十二條26的規定中已經有所體現，但是民法典在之前的規則的基礎上作了一些明確和限制，特別是情形二中增加了處理的“合理性”要求，并以該自然人未明確拒絕或者處理該信息不會侵害該主體重大利益為限。這一限制可能會對目前業務中涉及處理較多公

75、開個人信息的企業產生較大影響。民法典下的個人信息保護糾紛仍屬于一般侵權糾紛，因此對于個人信息保護糾紛中的舉證責任，還是適用“誰主張、誰舉證”原則。故此，民法典與民法總則在個人信息保護的侵權責任歸責上沒有實質性變化。在個人信息保護法（草案）中關于個人信息保護權的侵權規定似乎要采取比民法典更為嚴格的方式。個人信息保護法（草案）第六十五條規定“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任”，在一定程度上體現了過錯推定甚至是嚴格責任的歸責思路。而近年來的司法實踐在這一問題上也出現了不同的處理，例如“去哪兒網案”27中，法院雖然沒有突破“誰主張、誰舉證”原則，但在認定侵權事實發生“具有高度

76、蓋然性”的情況下即認定原告完成了舉證；在此前后的“蘇寧易購案”28和“京東案”29中，法院都主張由原告對侵權責任的構成要件承擔舉證責任，原告最終也因未能完成-10-舉證而敗訴；而“四川航空案”30中法院的處理結果類似過錯推定，即法院并沒有讓個人在數據泄露與損害之間的因果關系以及四川航空在數據保護上是否存在過錯上承擔更多的舉證責任。因此，個人信息保護法在侵害個人信息權益民事訴訟歸責原則問題上的走向，將是業界高度關注的問題之一。2、個人信息保護法（草案）：即將開啟個人信息保護的千萬級罰款時代全國人大常委會于 2020 年 10 月 21 日正式對外公布了個人信息保護法（草案）（以下簡稱“草案”）。

77、其正式出臺后將成為我國個人信息保護領域第一部普適性、綜合性的立法。相較于網絡安全法中“網絡運營者”范圍的不確定性，草案的適用范圍則更為直接明確，所有公司在運營中以線上或線下方式處理的消費者用戶個人信息、員工個人信息、供應商或者客戶代表的信息都可能會適用該法。草案借鑒歐盟通用數據保護條例也規定了類似的域外適用效力，要求以向境內自然人提供產品或者服務為目的，或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動也適用草案。同時，草案也明確了個人具有知情權、決定權、查閱復制權、更正補充權、刪除權等權利，并對基于個人同意以外合法處理個人信息的情形作了規定。此外，草案還完善和重構了“告知-同

78、意”系列規則和個人信息出境的規則。履行個人信息保護職責的部門對違反草案、情節嚴重的行為，可以處以五千萬元以下或者上一年度營業額百分之五以下的罰款。具體分析請見“個人信息保護法（草案）重點制度要點評析及合規展望”。3、網絡安全：關鍵信息基礎設施保護持續推進，數據安全法（草案）不容忽視除了數據保護外，2020 年網絡安全領域的兩大立法動作也不容小覷，其一為 網絡安全審查辦法，其二為 數據安全法（草案）。網絡安全審查辦法國家互聯網信息辦公室等十二部門于 2020 年 4 月 27日聯合發布了 網絡安全審查辦法（“審查辦法”）。審查辦法自 2020 年 6 月 1 日起已生效，實施了將近三年的網絡產品

79、和服務安全審查辦法（試行）也相應廢止。事實上，充分評估關鍵信息基礎設施供應鏈中可能存在的網絡安全風險，并落實必要的風險減緩措施，是世界各國的主流實踐。我國現階段出臺 審查辦法將有利于“及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害，保障關鍵信息基礎設施供應鏈安全”。審查辦法正式明確了關鍵信息基礎設施運營者經有關工作部門認定產生，并給出了“網絡產品和服務”的定義，對于關鍵信息基礎設施運營者如何申報網絡安全審查以及監管者審查要點等問題也進行了說明（如下圖所示），而明確審查流程對于關鍵信息基礎設施30.參見“林念平與四川航空股份有限公司侵權責任糾紛二審民事判決書”，四川省成都市中級

80、人民法院，(2015)成民終字第 1634 號。運營者把控供應鏈上的網絡安全以及國家安全風險十分重要。-11-當然，許多網絡產品和服務的提供者也都期待監管者對于“網絡產品和服務”的具體目錄、申報具體操作、如何預判網絡產品和服務對國家安全的影響程度等問題給出更多的指導和解釋。同時，雖然審查辦法在第二十條指出關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者，而相關部門如何判定關鍵信息基礎設施運營者尚有待進一步明確。此外，審查辦法并未對境外網絡產品和服務提供商設置例外或豁免。即使產品和服務僅通過線上方式提供，且供應商并未在中國境內設立實體，供應商仍需要配合關鍵信息基礎設施運營者完

81、成網絡安全審查的義務。因此，為了更好地向境內關鍵信息基礎設施運營者提供產品和服務，境外網絡產品和服務提供商可能需要考慮是否由其中國實體作為產品和服務提供商，更便于協助網絡安全審查的進行。數據安全法（草案）隨著被中央文件確認為新型生產要素，數據以及與之相關的技術已深刻地滲透到各行業的發展中，數據的-12-安全與利用也成為了事關國家安全與經濟社會發展的重大問題。數據安全法（草案）的出臺旨在奠定數據安全領域的法律基礎，以期未來構建覆蓋數據安全保護、監督管理、開發應用、市場資源配置的規則體系。與網絡安全法相比，數據安全法（草案）依舊保持以貫徹總體國家安全觀為基礎，強調對數據領域國家安全風險與挑戰的有效

82、應對，以及對國家主權、安全和發展利益的切實維護。與著眼于網絡運行安全與網絡信息安全的網絡安全法不同的是，數據安全法（草案）核心關注數據層面的安全要求，旨在重點突出對“重要數據”的保護和治理規則，并通過建立數據交易制度和鼓勵政務數據開放來促進科學、有效地利用數據資源，強調安全與發展的互相促進與保障。盡管如此，數據安全法（草案）中并沒有明確重要數據的產生、判斷的方式以及具體的全生命周期的保護規則，其還存在諸多問題有待進一步澄清和明確。此外，在數據安全法（草案）中提出的重要數據的治理以及數據交易中介服務的制度值得關注：草案規定的數據安全監管機制可能會影響監管效率。在草案下，“地區”與“行業”在數據安

83、全領域分別被要求承擔“主體責任”和“監管職責”。以行業和部門為標準進行規制，符合一貫的立法以及國家標準（如重要數據識別指南）的制定思路，也有利于行業主管部門基于行業性的專業知識對該行業和領域的重要數據進行識別和監管。相反，若將重要數據的監管職責交由各地區自行決定，既可能會造成“九龍治水”的監管困境，還可能會因各地監管部門對法律法規理解程度的差異而造成執法尺度不一，繼而不當擴大或縮小“當地”重要數據的范圍，甚至可能導致為規避監管而發生的重要數據跨地區流動和處理，不利于對重要數據進行保護。因此，更為理想的監管機制可能是由部級單位協調、統籌重要數據的整體治理，由地方監管部門負責具體治理工作的開展?！?/p>

84、從事數據交易中介服務的機構”的定義與合規義務有待完善。草案第三十條為數據交易中介服務機構的經營行為提供了概括性的規定，但是目前的義務范圍僅限于“說明”數據來源，“審核”交易雙方的身份，并“留存”審核、交易記錄。前述義務要求數據交易中介服務機構對數據來源進行形式上的審核，難以實質性地保證擬交易數據的來源合法性，實踐中將難以避免非法來源數據的交易，使得中介平臺對非法數據交易的阻遏效果大打折扣。事實上，草案第四十三條也要求數據交易中介服務機構對“未履行義務而導致非法來源數據交易”的情況承擔責任，即要求其承擔實質審核義務。另外，草案尚未規定“從事數據交易中介服務的機構”的定義和范圍。4、App 專項治

85、理：更詳細的實踐指引，更深度的應用測評作為個人信息保護的“前沿陣地”，App 專項治理始終以深度測評、覆蓋面廣、迅速響應而著稱。據了解，自 2019 年 1 月 App 治理工作組根據關于開展 App違法違規收集使用個人信息專項治理的公告正式成立以來，舉報渠道公眾號“App 個人信息舉報”共收到有效舉報信息 28177 條，涉及 5400 余款 App；在實踐執法中，App 治理工作組及其成員單位更是對成千上萬款 App 進行分批次的技術測評和整改溝通，并對其中未能限時有效整改的 App 運營者進行了有效地處置。App 專項治理工作的成果卓絕，一方面得益于多部門緊鑼密鼓的監督和評估，迫使企業對

86、旗下 App 的合規性始終保持高度的關注；另一方面則有賴于多梯度的規則制定，尤其是顆粒度更細、與實踐貼近程度更高的實踐指引。經簡單梳理，截至 2020 年底，除 2020年更新版的信息安全技術 個人信息安全規范（GB/T 35273-2020），僅 2020 年正式發布的與 App 專項治理相關的實踐指引和團體標準文件就多達二十余項，且發文單位均為全國信息安全標準化技術委員會（SAC/TC260）以及工信部下屬的電信終端產業協會：信息安全技術 移動互聯網應用程序（App）收集個人信息基本規范（征求意見稿）；TC260-PG-20202A 網絡安全標準實踐指南移動互聯網應用程序（App）收集使用

87、個人信息自評估指南；網絡安全標準實踐指南移動互聯網應用程序（App）個人信息安全防范指引（征求意見稿），后被同年發布的TC260-PG-20203A 網絡安全標準實踐指南移動互聯網應用程序（App）個人信息保護常見問題及處置指南（v1.0）所替代；TC260-PG-20204A 網絡安全標準實踐指南移動互聯網應用程序（App）系統權限申請使用指南；TC260-PG-20205A 網絡安全標準實踐指南移動互聯網應用程序（App）使用軟件開發工具包（SDK）安全指引；T/TAF 076-2020 移動終端權限申請目的說明實施指南；T/TAF 077.1-2020 APP 收集使用個人信息最小必要評

88、估規范 總則；T/TAF 077.2-2020 APP 收集使用個人信息最小必要評估規范 位置信息;T/TAF 077.3-2020 APP 收集使用個人信息最小必要評估規范 圖片信息；T/TAF 077.4-2020 APP 收集使用個人信息最小必要評估規范 終端通訊錄；T/TAF 077.5-2020 APP 收集使用個人信息最小必要評估規范 設備信息;T/TAF 077.6-2020 APP 收集使用個人信息最小必要評估規范 軟件列表；T/TAF 077.7-2020 APP 收集使用個人信息最小必要評估規范 人臉信息；T/TAF 077.8-2020 APP 收集使用個人信息最小必要評

89、估規范 錄像信息；T/TAF 078.1-2020 APP 用戶權益保護測評規范 超范圍收集個人信息；T/TAF 078.2-2020 APP 用戶權益保護測評規范 定向推送；-13-T/TAF 078.3-2020 APP 用戶權益保護測評規范 個人信息獲取行為；T/TAF 078.4-2020 APP 用戶權益保護測評規范 權限索取行為；T/TAF 078.5-2020 APP 用戶權益保護測評規范 違規使用個人信息；T/TAF 078.6-2020 APP 用戶權益保護測評規范 違規收集個人信息；T/TAF 078.7-2020 APP 用戶權益保護測評規范 下載分發行為；T/TAF 0

90、78.8-2020 APP 用戶權益保護測評規范 移動應用分發平臺管理；T/TAF 078.9-2020 APP 用戶權益保護測評規范 移動應用分發平臺信息展示；T/TAF 078.10-2020 APP 用戶權益保護測評規范 自啟動和關聯啟動行為。2019 年 1 月，中央網信辦、工業和信息化部、公安部、市場監管總局四部門聯合發布關于開展 App 違法違規收集使用個人信息專項治理的公告，正式宣布在全國范圍組織開展 App 違法違規收集使用個人信息專項治理，并成立 App 違法違規收集使用個人信息專項治理工作組。自 2019 年年末四部門聯合發布App 違法違規收集使用個人信息行為認定方法以來

91、，App 專項治理工作正式進入深水區這一變化從 2020 年發布的實踐指引中也不難發現，從網絡安全法概要的規定發展至信息安全技術 個人信息安全規范的全生命周期要求，再以 App 作為切入點將個人信息保護的合規關注點落實到產品功能設計上，著重關注 App 內隱私政策的起草與展示，用戶同意的請求與獲取，功能所需的必要信息范圍，系統權限的申請與調用，用戶權利的行使與響應，第三方 SDK 的信息披露等具體問題。2020 年 12 月 1 日，國家互聯網信息辦公室就之前的常用 App 收集必要個人信息范圍的指引上升到部門規章的高度，發布了常見類型移動互聯網應用程序（App）必要個人信息范圍公開征求意見，

92、這個規定將會給個人信息保護原則中的“必要性”提供指引，但超出這個范圍以外的 App 收集個人信息是否就會被認定為是過分收集有待明確。雖然上述實踐指南并不具有法律拘束力，但是考慮到其能夠將法律法規、國家標準的要求“轉譯”為技術和設計上的要求，對企業合規與執法實踐均有較高的借鑒價值，不排除在監管部門進行技術測評過程中也會進行適度參考，并作為 App 是否符合某項法定要求的事實標準。據報道，App 治理工作組還分別針對應用商店和手機操作系統廠商編制完成了兩部標準規范：App 收集使用個人信息行為應用商店審核管理指南（草稿）和手機操作系統 App 收集個人信息行為透明度增強指南（草稿）?？梢灶A期，隨著

93、 App 專項治理工作的持續、深度發展，企業將仍需高度關注 App 個人信息保護的合規事宜，并密切關注執法動態，適時考慮同步推進第三方 SDK管控與小程序合規工作。31.舊實施辦法中的金融機構包括：在中華人民共和國境內依法設立的為金融消費者提供金融產品和服務的銀行業金融機構，提供跨市場、跨行業交叉性金融產品和服務的其他金融機構以及非銀行支付機構。32.舊 實施辦法 第33條：在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，金融機構不得向境外提供境內個人金融信息。境內金融機構為處理跨境業務且經當事人授權，向境外機構（含總公司、母公司或者分公司

94、、子公司及其他為完成該業務所必需的關聯機構）傳輸境內收集的相關個人金融信息的，應當5、場景化討論-醫藥領域：“真實世界研究”的數據合規困境有待解決真實世界研究（Real-World Study，“RWS”）是指針對預設的臨床問題，在真實世界環境下收集與所涉及的臨床對象相關的健康方面的數據（真實世界數據，Real-World Data，“RWD”）或 基 于 對 RWD 及/或其衍生數據進行一系列恰當和充分的統計分析后，獲得藥物的使用情況及潛在獲益-風險的臨床證據（真實世界證據，Real-World Evidence，“RWE”）的研究過程。RWS 正逐漸成為臨床試驗之外的重要醫學研究方式，支持

95、藥物和醫療器械領域的研發及監管決策。作為人體醫學研究方式之一，RWS 同樣適用知情同意原則，但現有的知情同意制度在 RWS 場景下面臨較大挑戰。RWS 中大量存在的回顧性觀察性研究是在已有的臨床醫療數據基礎上進行的研究分析，則意味著在采集該等數據之時根本無法確定研究目的、性質等信息，從而不可能在采集之時獲得特定臨床患者的特定知情同意。此外，目前實踐中的 RWS 活動也通常難以主張“不涉及個人隱私和商業利益”或者“獲取患者的泛知情同意”?！案嬷?同意”歷來是個人信息保護方面的核心規則之一，在網絡安全法和民法典等法律法規中均有體現，且與知情同意原則非常類似，因而企業在開展 RWS 時獲取知情同意的

96、困難也同樣面臨個人信息保護方面的風險和挑戰。盡管在實際的 RWS 項目中，項目參與方一般會要求對患者的數據進行去標識化處理，但是如果去標識化后的數據仍可能還原識別到個人，其仍無法排除適用“告知+同意”的要求。而現行生效的法律法規中僅規定了匿名化數據的豁免，在現實的大數據技術背景下，真正做到數據匿名化同時又能滿足 RWS 的要求幾乎無法實現，這無疑給企業符合數據合規要求提出了很大的挑戰。個人信息保護法（征求意見稿）在“同意”之外還提供了其他多項處理個人信息的合法性依據。然而，RWS 可能可以主張適用的“正當利益”或“科學研究”條款都并未明確出現在草案當中，在下一階段的立法工作中是否有機會納入，仍

97、有待立法機關的后續態度。6、場景化討論-金融領域：央行發布新版金融消費者權益保護實施辦法2019 年 9 月 15 日，中國人民銀行（下稱“央行”）發布了新版 金融消費者權益保護實施辦法（下稱“新實施辦法”）。新實施辦法已于 2020 年 11月1日正式生效，金融消費者權益保護實施辦法（銀發2016314 號文）（下稱“舊實施辦法”）同時廢止。與舊實施辦法相比，新實施辦法主要的變化之一是刪除了舊實施辦法中適用于金融機構31的數據本地化要求。32除了舊實施辦法，央行也在人民銀行關于銀行業金融機構做好個人金融信息保護工-14-作的通知（銀發201117 號）（下稱“17 號文”）中規定了適用于銀行

98、業金融機構數據本地化的要求。33因此，考慮到 17 號文中的規則目前仍有效，銀行業金融機構并不能因為新實施辦法而免除數據本地化存儲的義務。目前，央行尚未針對其刪除舊實施辦法中數據本地化要求的原因作出任何公開說明。因此，金融機構是否能以及如何在相關業務中跨境傳輸其在境內收集的個人金融信息處于一定的不確定的狀態。需要注意，金融機構如果被央行等主管部門認定為屬于網絡安全法下的關鍵信息基礎設施運營者，其需要遵守網絡安全法下的數據本地化要求，并在跨境傳輸個人金融信息前完成有關的安全評估。7、場景化討論-反壟斷領域：市場監管總局發布指南，劍指平臺經濟反壟斷2020 年 11 月 10 日，國家市場監督管理

99、總局在其官網上公布了關于平臺經濟領域的反壟斷指南的征求意見稿。該征求意見稿根據平臺經濟的特點和目前平臺經濟發展中出現的一些問題，對其特有的反壟斷風險予以明確和提示。征求意見稿明確關注“大數據殺熟”行為。大數據殺熟也是近年引起社會廣泛關注的問題，實踐中的大數據殺熟行為通常表現為針對不同消費者的“同物不同價”等。究竟是隨行就市的正常合理的商業行為，還是大企業借助其市場力量通過“千人千價”攫取壟斷利潤，理論與實務界眾說紛紜。征求意見稿首次提出基于大數據和算法對新用戶和老用戶或者根據交易相對人如用戶的支付能力、消費偏好、使用習慣等實行差異性交易價格或者其他交易條件可能屬于反壟斷法所規制的差別待遇。因此

100、，大型互聯網平臺企業需要積極評估“大數據殺熟”的反壟斷風險，在業務發展需要及法律風險防控二者間平衡考慮。而在數據收集與共享方面，大型互聯網平臺企業除了應關心數據安全與個人信息保護方面的合規風險外，此后可能也需關注反壟斷法方面的風險。首先，征求意見稿提示具有市場支配地位的平臺經濟領域經營者如強制收集用戶信息，可能構成對用戶附加不合理交易條件。其次，在數據共享方面，征求意見稿提出，數據也有可能成為必需設施。判斷數據是否構成必需設施“需要綜合考慮數據對于參與市場競爭是否不可或缺，數據是否存在其他獲取渠道，數據開放的技術可行性，及開放數據對占有數據的經營者可能造成的影響等”。因此，大型互聯網平臺企業如

101、果其數據被認定是必需設施的話，將有義務與其競爭對手和其他經營者共享數據，否則可能構成拒絕交易從而違反反壟斷法。具體分析請見“互聯網平臺反壟斷合規面臨的十大新挑戰”。（二）執法統計1、數據合規刑事執法情況刑法規定了六個涉及網絡安全與個人信息保護的符合法律、行政法規和相關監管部門的規定，并通過簽訂協議、現場核查等有效措施，要求境外機構為所獲得的個人金融信息保密。33.17 號文第 6 條：在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息。罪名，其中之一為侵犯公民個人信息罪，其余五個罪名為網絡安全相關犯

102、罪，分別為：非法獲取計算機信息系統數據、非法控制計算機信息系統罪；提供侵入、非法控制計算機信息系統程序、工具罪；破壞計算機信息系統罪；非法侵入計算機信息系統罪；拒不履行信息網絡安全管理義務罪。根據公開渠道獲取的刑事判決統計，2019 年和 2020年中發生的網絡安全與個人信息保護罪名相關安全的整體分布大致相同，其中侵犯公民個人信息罪案件數量最多，其數量甚至超過其余網絡安全相關犯罪的總和。71%15%8%5%1%0%2020年網絡安全與個人信息相關刑事案例統計侵犯公民個人信息罪非法獲取計算機信息系統數據、非法控制計算機信息系統罪提供侵入、非法控制計算機信息系統程序、工具罪破壞計算機信息系統罪非法

103、侵入計算機信息系統罪拒不履行信息網絡安全管理義務罪71%17%4%7%1%0%2019年網絡安全與個人信息相關刑事案例統計侵犯公民個人信息罪非法獲取計算機信息系統數據、非法控制計算機信息系統罪提供侵入、非法控制計算機信息系統程序、工具罪破壞計算機信息系統罪非法侵入計算機信息系統罪拒不履行信息網絡安全管理義務罪不難發現，自刑法修正案（九）生效以來，侵犯公民個人信息罪的刑事判決逐年遞增，2019 年侵犯公民個人信息罪的刑事判決數量高達 1713 起，這與當年的刑事執法工作重心不無關系，例如針對 P2P、“套路貸”相關的違法犯罪行為的專項執法活動。P2P 平臺、小貸企業、大數據風控機構非法收集、對外

104、提供公民個人信息，被用于電信詐騙、“套路貸”相關犯罪活動中，極大損害了公民的合法權益。隨著2019 年 4 月最高人民法院、最高人民檢察院、公安部、司法部出臺關于辦理“套路貸”刑事案件若干問題的意見，集中打擊、嚴懲“套路貸”相關犯罪也成為了 2019 年的掃黑除惡專項斗爭的核心工作重點之一，而其中“明知他人實施套路貸犯罪而出售、提供、幫助獲取公民個人信息”的侵害行為也被上述意見明確列為共犯情形，并在現實執法中遭到了痛擊。受疫情影響，2020 年網絡安全與個人信息保護相關的刑事案件有所減少，但也保持在較高的水平。年中中信銀行泄露個人銀行賬戶交易明細的案件引起了廣泛討論，近期快遞行業的消費者信息泄

105、露也受到各界高-15-度重視，因而與公民個人信息息息相關的行業都需要高度重視個人信息的保護工作，尤其是涉及大量個人敏感信息的銀行金融、物流快遞、醫藥健康、兒童教育等領域，將可能是監管機構持續關注的重點行業。148614121117139900500100015002000近5年侵犯公民個人信息罪的數量而在網絡安全犯罪的五個罪名中，非法獲取計算機信息系統數據、非法控制計算機信息系統罪的案例數量最多，例如通過偽造 ID、突破反爬措施等非法方式利用大數據爬蟲獲取他人信息系統數據，都有可能觸犯相關罪名。值得說明的是，爬蟲技術本身并不違法，但一旦爬蟲的手段、方式觸碰了法律的紅線，則有可能會被認定為“非法

106、獲取計算機信息系統數據罪”，業務人員、經營企業都可能面臨行政甚至刑事責任的風險，因此審視數據合規的界限對企業來說尤為重要。4147171013226733940520429267710510762108156166782102004006002016201720182019截至2020/10/30 2016-2020年 網絡安全相關犯罪案例數量非法侵入計算機信息系統罪非法獲取計算機信息系統數據、非法控制計算機信息系統罪提供侵入、非法控制計算機信息系統程序、工具罪破壞計算機信息系統罪拒不履行信息網絡安全管理義務罪2、數據合規行政執法情況從宏觀上看，盡管受疫情影響，自 2017 年網絡安全法實施以

107、來截止至今年 10 月底，以網絡安全法第 41 條至第 44 條作為法律依據的行政處罰數量仍呈現逐年增長趨勢，個人信息保護仍持續是行政執法機關關注的重點。網絡安全法條文 規定的主要內容 第 41 條 網絡運營者收集使用個人信息應遵循合法、正當、必要的基本原則，并落實“告知-同意”的規則 第 42 條 未經被收集者同意，網絡運營者不得向他人提供個人信息 網絡運營者應采取必要措施確保個人信息安全，并在發生安全事件時依法履行安全補救、告知用戶和報告主管部門等義務 第 43 條 網絡運營者應響應請求，采取措施協助個人刪除或更正其個人信息 第 44 條 禁止竊取或以其他非法方式獲取個人信息，禁止非法出售

108、或非法向他人提供個人信息 34.2020 年 App 違法違規收集使用個人信息治理工作啟動會在京召開，2020 年 07 月 25 日，中國網信網，http:/ 22 151 156 0 20 40 60 80 100 120 140 160 180 2017年2018年2019年截至2020年10月30日網絡安全法第41-44條案例數量年度統計網絡安全法第 41 條至第 44 條作為現行生效、普遍適用的個人信息保護法律規則，為監管部門開展個人信息保護的執法工作提供了法律依據。根據從公開渠道獲取的行政處罰決定統計來看，約半數行政處罰的依據為第 41 條；而據統計，在依據第 41 條行政處罰案例

109、中，有一半以上的案例與 App 非法收集使用個人信息有關，包括 App 應用未公開個人信息的收集使用規則、在用戶明確表示不同意后仍收集個人信息、違反必要原則收集與服務無關的信息等?？紤]到 App專項治理工作仍將深度持續進行，可以預期此類執法案件仍將保持在較高的數量水平。中央網信辦、工業和信息化部、公安部、國家市場監管總局四部門于 2020 年 7 月 22 日在京召開會議，啟動 2020 年 App 違法違規收集使用個人信息治理工作，會議指出 2020 年 App 治理工作將進一步加大整治工作的力度，并持續關注 App 治理工作中收集、使用個人信息的行為。34由此可見，App 收集、使用個人信

110、息的合規性仍將是我國行政機關持續關注的重點。下文第四部分“App 治理工作”將進一步解讀 App 違法違規收集使用個人信息的執法實踐情況。80,51%24,15%23,15%29,19%2020年1月-10月網絡安全法41-44條執法數量41條 個人信息收集使用合法、正當、必要、告知并獲取同意42條 網絡運營者的個人信息保護義務，未經同意不得對外提供43條 個人信息的刪除權和更正權44條 禁止非法獲取、出售、提供個人信息網絡安全法第 21 條至第 27 條還為網絡運營者設定了一系列義務，包括安全等級保護、產品安全認證、用戶身份管理、應急事件處置等，實踐中該類執法案例雖然數量相對有限，考慮到網絡

111、安全法在網絡安全保護領域的基礎地位，也應引起相關企業的足夠重視。不難發現，根據從公開渠道獲取的行政處罰統計，大多數處罰的依據為網絡安全法第 21 條，即未落實網絡安全等級保護工作要求。隨著信息安全技術 網絡安全等級保護基本要求等國家標準的實施，自2019年12月開始我國就已正式邁入“等保2.0”時代。對尚未開展等保合規或僅根據“等保 1.0”開展合規的-16-企業而言，應及時對照“等保 2.0”的標準進行重新測評，并對相應漏洞進行識別和修復，以應對監管部門的監督和執法工作。412 72 3 1 153 26 0 50 100 150 200 250 300 350 400 450 21條 網絡

112、運營者的安全保護義務22條 網絡產品和服務的安全維護23條 網絡關鍵設備和安全專用產品的認證檢測24條 網絡用戶身份管理制度25條 網絡運營者的應急處置措施27條 禁止危害網絡安全的行為2020年1月-10月網絡安全法21-27條執法情況3、侵害個人信息引發的民事訴訟長期以來，侵害個人信息在民事領域主要通過人格權中的隱私權或名譽權的侵權之訴來獲得司法救濟，例如被譽為我國“Cookie 隱私第一案”的北京百度網訊科技公司與朱燁的隱私權糾紛案。2017 年以來也有不少此類案件進入公眾視野，例如東航、去哪兒侵犯隱私權案。隨著民法總則第一百一十一條正式明確了個人信息保護的基本要求，依據該條款提起訴訟的

113、案例也逐步增多，例如年內受到高度關注的微信讀書案侵犯個人信息案。根據從公開渠道獲取的民事判決統計，民法總則實施以來侵犯個人信息的案件也在逐年遞增，其中 2020 年可能受疫情影響，案例數量有所回落。2255875701020304050607080901002017年2018年2019年截至2020年10月30日侵犯個人信息的民事案件統計明年起正式生效的民法典對企業收集處理個人信息提出了更為具體的要求，也為個人信息主體主張侵權提供了更為充實的法律依據。隨著公民保護個人信息的意識和能力不斷增強，侵害個人信息的民事訴訟在民法典實施后有可能出現實質性增長。如果個人信息保護法最終采納了“過錯推定”或“

114、嚴格責任”的歸責模式，原告在訴訟過程中的舉證門檻將大大降低，繼而導致同類型訴訟在個人信息保護法正式出臺后可能呈現爆發式增長，這也將顯著增加企業的合規壓力。因此，涉及收集大量用戶或消費者信息的企業應盡快完善數據合規內控制度政策，積極響應個人信息主體的投訴和行權要求，避免因涉訴給企業帶來負面影響。4、App 治理工作2020 年 7 月 22 日，中央網信辦、工業和信息化部、35.2020 年 App 違法違規收集使用個人信息治理工作啟動會在京召開，中央人民政府網，2020 年 7 月 25 日，http:/ 7000 余款違法違規 App，新華網，2020 年 9 月 21 日，http:/ 年

115、 App 違法違規收集使用個人信息治理工作啟動會，會議總結 2019 年四部委針對 2300 余款 App開展深度評估、問題核查，對用戶規模大、問題突出的 260 款 App 采取了公開曝光、約談、下架等處罰措施。35 在 2020 年 9 月召開的國家網絡安全宣傳周 App 個人信息保護主題發布會上，工信部網絡安全管理局處長尚鐵力表示，工信部 2020 年累計巡查 4.8 萬余款App，專項檢查了 200 余款 App；公安部網絡安全保衛局處長趙云霞表示，今年以來，公安部依托網民舉報、巡查發現，依法處置了 7000 余款存在違法違規行為的 App。36 不難發現，App 治理工作仍存在多頭執

116、法問題，工信部、App 專項治理工作組以及公安部均會獨立開展相關檢查與測評工作；除了國家層面的多部門執法外，各地的監管部門也對轄區內企業運營的 App 進行類似的檢查與測評，例如 2020 年 9 月初北京市通信管理局開展了 App 數據安全巡查檢測專項行動，2020 年11 月廣東省通信管理局則通報 88 款問題 App。而這一現象將很有可能持續至 個人信息保護法 正式出臺。通過公開檢索可以發現，App 治理工作近一年治理成果頗多：日期 部門 治理成果 2019/12/14 公安部 公安機關開展 App 違法采集個人信息集中整治，下架整改 100 款違法違規App 2019/12/19 工信

117、部 關于侵害用戶權益行為的 App 通報（2020 年第一批）：16 款 App 2019/12/20 App 專項治理工作組 關于 61 款 App 存在收集使用個人信息問題的通告 2020/5/16 公安部 公安網安部門專項整治違法違規 App取得初步成效，發布違法收集公民個人信息十大案例 2020/7/5 工信部 關于侵害用戶權益行為的 App 通報（2020 年第二批）：15 款 App 2020/7/24 工信部 關于侵害用戶權益行為的 App 通報（2020 年第三批）：58 款 App 2020/8/31 工信部 關于侵害用戶權益行為的 App 通報（2020 年第四批）：101

118、 款 App 2020/9/17 App 專項治理工作組 關于 81 款 App 存在個人信息收集使用問題的通告 2020/10/27 工信部 關于侵害用戶權益行為的 App 通報（2020 年第五批）：131 款 App 2020/11/17 App 專項治理工作組 關于 35 款 App 存在個人信息收集使用問題的通告 根據工信部共計五批次的名單公告，我們整理了被通報 App 所涉問題的類型。如下圖所示，App 違規收集用戶個人信息的行為在被通報的 App 中最為常見，系統權限、個性化推送相關的違規數量也不在少數。-17-5439425283186566118377250204060801

119、00120140160180200強制用戶使用定向推送功能超范圍收集個人信息私自共享給第三方私自收集個人信息違規使用個人信息違規收集個人信息欺騙誤導用戶下載App應用分發平臺上的App信息明示不到位App強制、頻繁、過度索取權限不給權限不讓用過度索取權限頻繁申請權限賬號注銷難工信部五批次通報APP所涉問題匯總而與工信部通報中類型化地歸納 App 問題相比，App專項治理工作組的通報則更為詳細具體，工作組對每款 App 都會有針對性地列出其違規行為，例如某款App 收集的某幾項個人信息與業務功能無關、用戶拒絕打開某幾項非必要權限而被拒絕提供業務功能、沒有逐一列舉其嵌入的某些第三方 SDK、登錄或

120、注冊后無法找到隱私政策等。無論是 App 專項治理工作組還是其成員單位的測評工作，都包含了技術檢測環節，通過對 App 代碼和功能響應的情況進行評估和考核。值得企業注意的是，根據我們的實踐經驗，監管部門獨自或委托第三方開展技術檢測所形成的報告一般會作為通報點名、要求限期整改甚至處罰下架的證據固定方式，而且監管部門一般不會就報告中可能存在的疑點與企業進行事先的核實或溝通。因此，即使在巡檢計劃中未被抽到的企業，可能也需要考慮是否委托專業的第三方技術檢測機構對旗下 App 進行必要的技術盲測，以盡早發現和修正合規隱患。此外，App 專項治理今后的工作范圍也可能從針對 App 的單一治理發展到面向 A

121、pp、第三方 SDK、小程序、應用商店等領域的全面合規測評，這將值得涉 App 企業的進一步關注。37.European Commission,“Communication from the Commission to the European Parliament and the Council Data protection as a pillar of citizens empowerment and the EUs approach to the digital transition-two years of application of the General Data Protec

122、tion Regulation”,June 24,2020.38.歐盟數據戰略是指歐盟委員會于 2020 年 2 月 19 日發布的歐洲數據戰略，旨在推動歐盟的數字化轉型，使得歐盟成為數據時代的榜樣和領導者。參見 https:/ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy#documents，最后訪問時間 2020 年 11 月 17 日。四、2019-2020 年外國數據保護立法與執法綜述（一）GDPR 實施兩周年記：回顧與展望1、歐盟委員會發布 GD

123、PR 實施以來第一份評審報告GDPR 自 2018 年 5 月 25 日開始實施至今已逾兩年。2020 年 6 月 24 日，歐盟委員會按照 GDPR 第 97 條的要求在 GDPR 實施兩周年后公布了其關于 GDPR 實施情況的兩周年報告37，這是歐盟委員會發布的第一份關于 GDPR 的官方評審報告。之后的每四年歐盟委員會都將需要就 GDPR（特別是關于數據跨境和一站式合作機制）向歐洲議會和歐盟理事會提交評審報告。歐盟委員會的報告也吸納了歐盟數據保護委員會（EDPB）、歐盟理事會、各成員國數據保護機構以及專家組織的意見，對業界了解 GDPR 過去兩年實施情況以及未來的安排具有重要參考價值。歐

124、盟委員會在報告中充分肯定了 GDPR 對歐盟數字化發展和歐盟提出的歐洲數據戰略38的支持和推動作用，以及 GDPR 對全球數據保護立法的影響和標桿作用，對業界關于 GDPR 可能制約數字經濟發展的質疑聲音予以了回應。歐盟委員會的報告在認可 GDPR 實現其加強個人數據受保護的權利和保障數據自由流動的立法目標基礎上，總結了 GDPR 在過去兩年實施過程中的問題和未來的工作重點，這些工作重點也體現了未來歐盟監管領域的監管重點和執法方向，也應是企業的合規方向，值得企業關注。這些工作重點主要包括：部分成員國數據保護機關的執法資源仍有待加強；各成員國兒童年齡界限不一致給企業跨成員國提供服務帶來挑戰，未來

125、可能考慮是否在歐盟層面統一兒童年齡；進一步解鎖數據可攜帶權對促進數字經濟特別是刺激競爭和提高市場效率的作用；考慮適當豁免中小企業的部分合規義務，并制定適用于中小企業的合規指南和文件模板，以降低中小企業的合規成本；加強對大型數字化平臺類企業的執法（例如在線廣告領域）；進一步發展和完善跨境傳輸機制，更新標準數據協議（SCC）；GDPR 的域外效力在未來執法中應有所體現；加強國際雙邊或多邊談話，更多地與其他法域就數據保護達成共識，以促進數據流動和跨境貿易；加強與其他領域監管機構的合作執法，特別如競爭監管、電子商務、網絡安全、消費者保護領域的監管機關；評估 GDPR 如何適應新型技術（如人工智能）的發

126、展；要求和支持 EDPB 發布更多的指引、意見和合規工具。2、EDPB 發布多份重量級指引性文件截至 2020 年 11 月 15 日，EDPB 已經共計通過了超過 100 份的指引性文件，其中包括了 EDPB 批準的其-18-前身原第 29 條工作組的 15 份指引，以及新制定的 18份指引（guidelines）和 60 多份意見（opinions）。2019-2020 年，EDPB 相繼發布了關于同意、地域適用范圍、控制者和處理者概念、以及關于跨境傳輸機制的補充措施等重要指引和建議。根據 EDPB 2019 年年報39，EDPB 后續還將會制定關于正當利益、數據主體權利、以及在區塊鏈、人

127、工智能、個人數字助理（personal digital assistant）等領域的指引性文件。EDPB 的指引性文件為企業在實踐中如何理解GDPR和歐盟法院的判決觀提供的詳細的解釋，同時也為企業在實踐中如何落實具體的合規要求提供了具體的操作指南和合規工具，對于我國企業理解數據保護法的原理和實操也具有較高的參考意義。3、2019-2020 年 GDPR 執法統計40 據不完全統計，截至 2020 年 10 月 30 日，GDPR 執法總金額已經達到約 2.4 億歐元。如果沒有 2020 年疫情的影響，該數字可能會更高?？傮w而言，2019 年的執法數量和罰金額度較 2018 年均有大幅度增長，2

128、020 年雖受疫情影響有所放緩，但整體依然呈上升趨勢。436,388 104,843,144 139,507,5629143240050100150200250300201820192020（截至2020年10月）0 20,000,000 40,000,000 60,000,000 80,000,000 100,000,000 120,000,000 140,000,000 160,000,0002018-2020年GDPR執法數量及執法金額變化執法總金額執法數量從執法事由來看，缺乏充分的合法性基礎、未采取充分的技術和組織措施，以及未遵守數據保護基本原則是執法數量最多也是罰金最高的三個事由。其

129、中因缺乏充分的合法性基礎而被執法的案件數量占到所有執法案件的 39%，處罰金額占 67%。包括法國 CNIL 對Google 的 5000 萬歐元罰款，以及德國漢堡數據保護監管機關對快時尚品牌H&M的3500多萬歐元的罰款。39.EDPB 2019 年年報參見 https:/edpb.europa.eu/about-edpb/board/annual-reports_en。40.本節統計數據均來自于：https:/ in GDPR Enforcement“,https:/ HOT ISSUES:COOKIES,DATA TRANSFERS,AND ENFORCEMENT TRENDS”,htt

130、ps:/ 860 萬歐元）。4、各數據保護監管機關未來重點關注領域受制于人力和物力資源的有限性，各數據保護監管機構在其年報或工作計劃中都明確了一定的優先關注和執法領域。例如法國 DPA 在其 2020 年戰略41中列出的重點關注領域包括健康信息的安全、移動服務、基于位置信息的服務、cookies 和同類追蹤技術。比利時 DPA 在其 2020-2025 計劃42中明確，其將重點關注電信、媒體、直接營銷、教育和中小型企業的數據合規問題，優先就 DPO 指定、合法性基礎、數據主體行權的合規要求展開執法，并且也會關注攝像頭、cookies 等在線數據收集技術、健康數據等問題。荷蘭 DPA 在 202

131、0-202343的重點關注領域包括：數據交易、物聯網、用戶畫像、在線行為廣告、人工智能等問題。另外，違反存儲期限限制、最小化等基本原則、數據安全措施、數據處理的合法性基礎、數據主體行權和 DPO 指定預計將依然是執法高頻領域44。值得指出的是，Cookies 和在線廣告出現在了多個國家監管機構的報告或工作計劃里，雖然 ePrivacy 條例的出臺時間一再推遲，但法國、英國、愛爾蘭等多個國家的監管機構此前就 cookies 發布了具體的指引，值得企業在實踐中關注。5、數據保護、消費者保護和競爭法領域的交叉執法互聯網企業天然以占據用戶流量，獲取用戶量為前提，如何看待數據與競爭之間的關系，競爭法中市

132、場地位的分析是否需要考慮數據這一因素，如何分析數據對競爭地位的影響，在近年來引起了廣泛的討論和關注。-19-2019 年 2 月，經過長達 3 年的調查，德國聯邦卡特爾局（德國競爭執法機構）對 Facebook 作出決定，認為 Facebook 將用戶同意其收集用戶在第三方的數據并與用戶的 Facebook 賬號進行融合使用，作為用戶使用 Facebook 社交服務的條件進行綁定，屬于濫用市場支配地位的行為，要求 Facebook 停止該等行為45。德國聯邦卡特爾據的前述禁止性決定在首先被杜塞爾多夫地區高等法院暫緩實施后，又被德國聯邦最高法院于 2020 年 6 月裁定可以繼續實施。2020

133、年 8月，歐盟委員會宣布啟動對 Google 收購穿戴設備供應商 Fitbit 的全面調查46，歐盟委員會的主要顧慮在于Google 在收購 Fitbit 后，將也會同時從 Fitbit 獲得用戶的大量健康數據，該等數據是否可能會進一步加強谷歌在在線廣告領域的主導地位，而不利于市場競爭。對此，歐盟委員會曾在一份建議中指出，在適當的時候競爭、消費者和數據保護機構應當進行相互合作47。6、Schrems II 案為跨境數據傳輸帶來新挑戰在 Schrems II 一案（C-311/18）中，歐盟法院以美國法律賦予其情報等國家機關比較廣泛且不清晰的數據訪問權為由，認為歐盟個人數據傳輸至美國后在美國無法

134、得到充分的保障，因此最后認定歐盟和美國之間的隱私盾（privacy shield）無效。之后，瑞士聯邦數據保護和信息委員（FDPIC）也隨機宣布瑞士和美國之間的隱私盾無效48。除了否定隱私盾外，歐盟法院也就基于標準數據條款（SCC）和經批準的企業行為準則（BCRs）是否可以為數據跨境傳輸提供充分保障提出質疑，因為 SCC 和 BCRs 都不具有對抗政府機關的法定數據訪問權的效力。為此，繼德國、法國、英國等監管機構發布指引之后，EDPB 于 11 月中旬發布了關于為確保遵守歐盟個人數據保護水平而采用的對數據跨境轉移工具補充措施的建議 1/2020（“建議”），其中要求數據出口方在跨境傳輸數據前，

135、評估數據接收方所在國家/地區的法律或者實踐是否可能影響 SCC 的效力，尤其應重點考慮接收方所在國家/地區的監管機關為情報法等監控目的對個人數據的訪問權，以及個人對公權力機關訪問數據可能的救濟權。如果經評估接收國的法律和實踐會影響 SCC 的效力，數據出口方需要考慮采取補充措施來補救接收國法律的影響；而如果經評估即使采取了補充措施，依然無法避免數據接收方所在國家/地區法律或實踐的影響，則不應向該國家或地區傳輸數據。而且，企業需要能夠證明其采用的跨境傳輸機制和補充措施，能夠為跨境傳輸的歐盟個人的數據提供充分的保障水平。此外，歐盟委員會也于 2020年 11 月更新了新的 SCC。（二）美國立法執

136、法動態：互聯網行業成重災區，大額罰金屢見不鮮2019 年到 2020 年，美國在聯邦法層面沒有太多的新45.德國聯邦卡特爾局的原文詳見：https:/www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Missbrauchsaufsicht/2019/B6-22-16.html;jsessionid=40D97C75A9B1DEB4C29DFE44F11E8158.1_cid371.46.Mergers:Commission opens in-depth investigation into the propose

137、d acquisition of Fitbit by Google,https:/ec.europa.eu/commission/presscorner/detail/en/IP_20_1446.47.European Commission,“Communication on data protection rules as a trust-enabler in the EU and beyond taking stock”,https:/eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2019:374:FIN.48.FDPIC consider

138、s CH-US Privacy Shield does not provide adequate level of data protection,https:/www.edoeb.admin.ch/edoeb/en/home/latest-news/media/medienmitteilungen.msg-id-80318.html.49.參見 https:/www.ftc.gov/enforcement/statutes。50.參見 https:/www.ftc.gov/about-ftc/bureaus-offices。51.參見“Privacy&Data Security Update

139、:2019”，https:/www.ftc.gov/system/files/documents/reports/privacy-data-security-update-2019/2019-privacy-data-的立法出現，主要的個人信息保護的立法集中在州法層面。聯邦層面有許多議員提出了許多法案但是都沒有進入實質的程序，比如美國參議員 Josh Hawley 提議制定國家安全與個人數據保護法，其中將中國列為關注國家并且禁止美國用戶數據傳輸到關注國家（包括通過其他非關注國家中轉）。美國 50 個州在個人信息保護的規則上都有不同程度的進展。其中最為完備的州個人信息保護立法為加州的 CCPA。

140、圖片來源：IAPP作為美國聯邦層面主要的數據監管機關，聯邦貿易委員會（Federal Trade Commission,FTC）在數據保護領域的執法權限主要來源于 聯邦貿易委員會法案（Federal Trade Commission Act,FTC Act）第 5節禁止“不公平或欺詐行為”（unfair or deceptive acts or practices）的一般規定。49雖然該條文僅規定了非常原則化的要求，但 FTC 在其多年來的執法實踐中將不公平以及欺詐行為擴展到隱私以及數據保護的許多方面。在執法程序上，FTC 通常會在接到投訴、媒體報道、國會調查時啟動調查程序，調查活動由下屬的消

141、費者保護局（Bureau of Consumer Protection）具體實施。50除 FTC Act 以外，聯邦貿易委員會還在各行業相關法律中獲得隱私領域執法的授權，包括：規定金融機構處理個人私密信息的格雷姆-里奇-比利雷法案（Gramm-Leach-Bliley Act），允許消費者選擇不接收商業電子郵件的 CAN-SPAM 法案（CAN-SPAM Act），規范在線收集 13 歲以下兒童個人信息的兒童在線隱私保護法（Childrens Online Privacy Protection Act），保護消費者提交信息隱私的公平信用報告法（Fair Credit Reporting Act

142、），禁止收款人使用濫用、不公平或欺騙性的行為來收錢的公平債務催收行為法（Fair Debt Collection Practices Act），規范欺騙性電話銷售行為的電信營銷與消費者欺詐和濫用預防法（Telemarketing and Consumer Fraud and Abuse Prevention Act）等。根據 FTC 于 2020 年 2 月公布的2019 年數據與隱私安全工作報告（Privacy&Data Security Update for 2019），FTC 已處理了 130 多起垃圾郵件和間諜軟件案件，以及 80 多起一般隱私訴訟。51FTC 的執-20-法活動廣泛關

143、注社交媒體、廣告技術、金融征信、智能家居領域中數據收集和共享的透明度問題，例如僅在其公布的 2019 年執法案例中就涉及 Facebook 與劍橋分析公司、Google 與旗下視頻平臺 YouTube、短視頻平臺 TikTok、廣告技術公司 Effen Ads、郵件管理公司 Unrollme、信用修復服務提供商 Grand Teton Professionals、金融服務機構 Global Asset Financial Services Group、智能家居產品制造商D-Link 等多家業內企業。52 事實上，受到來自大洋彼岸的 GDPR 執法的壓力，以及迫于歐洲國家對美國互聯網企業數據保護

144、實踐的顧慮，互聯網行業也已成為了 FTC 的數據方面的重點執法目標。這與互聯網商業模式以及大數據、云計算、人工智能等前沿技術突飛猛進的發展不無關系，在數據驅動型經濟背景下，互聯網企業也傾向于收集更多的用戶數據，并通過數據分析、精準營銷等手段對數據進行商業化利用，以挖掘用戶更多的潛在價值?？紤]到“保護消費者”正是 FTC 的戰略目標之一，隨著消費者對個人信息的保護意識逐漸覺醒，互聯網行業則自然成為其重點關注領域，Facebook、Google（YouTube）、Snapchat、Uber、VIZIO、TikTok、Zoom 等互聯網巨頭在 FTC 的數據保護和隱私執法中無一幸免。此外，從近幾年的

145、大額罰單以及過往 FTC 的處罰金額來看，FTC 仍然傾向于用大額罰款來對違規企業進行處罰和威懾。2020 年 4 月 23 日，經聯邦法院批準，FTC 因“劍橋分析（Cambridge Analytica）事件”對 Facebook 在與第三方分享數據的違規行為發起調查后與其達成的和解協議正式生效，其中尤為引人矚目的和解金額是“史無前例”的 50 億美元。在 Facebook 被罰之前，著名的 FTC 高額罰單包括對 Equifax 數據泄露開出的 5.75 億美元罰款，以及對Google 和 YouTube 侵犯兒童隱私開出罰款 1.7 億美元。在數據安全相關的案件中，FTC 通常還會要求

146、涉案企業實施全面的安全方案，每兩年對安全方案進行一次詳盡的評估，并提交高級管理層關于企業遵守命令的年度證明。例如，2020 年 11 月，FTC 與 Zoom 達成和解協議，Zoom 同意建立和實施全面的安全程序，并停止對隱私和安全的虛假陳述，以更具體的救濟措施保護其用戶群；同時 Zoom 必須接受獨立第三方對其安全計劃進行的兩年一次的評估，且 FTC 有權審查這一評估。53 值得注意的是，FTC 的處罰并不排除受到影響的個人提出訴訟或者參與集體訴訟的可能。此次 FTC 與Facebook 和解協議批準前，美國聯邦第九巡回上訴法院則稱“即使在用戶退出社交媒體網站后，Facebook仍然會追蹤用

147、戶的網絡活動，因而侵犯了用戶的隱私權”，“用戶可以根據聯邦和加州隱私和竊聽相關的security-report-508.pdf。52.同上。53.參見 https:/www.ftc.gov/enforcement/cases-proceedings/192-3167/zoom-video-communications-inc-matter。54.參見“Privacy lawsuit against Facebook revived”，https:/ pays$550M to settle facial recognition privacy lawsuit”，https:/ 第 28-2 條。

148、57.PIPA 第 28-7 條。58.PIPA 第 15 條(3)款和第 16 條第(4)款。法規進行起訴索賠”54；2020 年 1 月，Facebook 則同意支付 5.5 億美元，與原告就其在伊利諾伊州使用人臉識別技術而遭遇的用戶集體訴訟達成和解。55 除了 FTC 的執法以外，CFIUS 以及其他美國的政府部門也越來越多地把個人信息保護作為國家安全的考慮要素之一，在不同的行政程序中均有體現，例如CFIUS 要求中國投資人限期出售已經投資的同性戀交友軟件 Grindr，其中主要的考量要素是數據的類型以及數據的量級（Grindr 收集了大量的用戶個人信息，包括性取向、HIV 狀態等）。美

149、國國家安全專家指出“如果中國政府掌握了 Grindr 的個人信息，可能會在某些情況下用來敲詐美國官員以及國防承包商等擁有安全訪問權限的人，迫使他們為中國提供信息或其他支持?！保ㄈ﹣喼拗饕獓覕祿Ｗo立法和執法重點1、韓國修訂 PIPA2020年1月9日韓國國會通過了對 個人信息保護法（Personal Information Protection Act,PIPA）、促 進 利 用 信 息 和 通 訊 網 絡 法（Act on the Promotion of Information and Communications Network Utilization and Information

150、 Protection）和信用信息使用及保護法（Act on the Use and Protection of Credit Information）3 部主要個人信息保護法律的修正案。修正案于 2 月 4 日公布，8 月5 日生效。本次 PIPA 修訂體現了韓國在保護個人信息的需求和拓展數據使用方式的需求之間的平衡，為數據經濟的發展鋪平了道路。修正案增加了“去標識化個人信息”（pseudonymized information）的概念，企業為了統計、科學研究和出于公共利益的存檔的目的處理去標識化個人信息時，不需要取得個人信息主體的同意，56也無需履行 PIPA 規定的部分義務，例如在間接收

151、集時告知個人信息主體、留存期限屆滿時刪除個人信息、回應個人信息主體行權請求等57。關于去標識化的標準、去標識化個人信息的融合等事宜，數據保護機關將指定實踐指南進一步明確。修正案還引入了 GDPR 下“兼容”（Compatibility）的概念，企業為與收集個人信息時的原始目的合理相關的目的進一步使用或提供個人信息時，不必再取得個人信息主體的同意。58 此次修訂還改革了韓國的個人信息保護監管機制。此 前，韓 國 行 政 安 全 部（Ministry of Interior&Safety）和 廣 播 通 信 委 員 會（Communications Commission）分工履行個人信息保護相關問

152、題的監管職責，修訂后的 PIPA 設立了個人信息保護委員會（Personal Information Protection Commission，-21-PIPC）獨立負責個人信息保護工作。59 2、日本修訂 APPI2020 年 6 月 5 日，日本國會批準了個人信息保護法（Act on the Protection of Personal Information，APPI）的修正案，部分規定將在正式發布之日（6 月12 日）起 2 年內實施。修訂后的 APPI 采取了更加接近 GDPR 的立法方式。此次修訂的一大變化是擴大了個人信息主體權利的范圍，例如將刪除或停止處理權的行使范圍擴展至企業

153、不當使用個人信息、不再需要使用個人信息或者個人信息發生泄漏時60，允許個人信息主體要求企業以電子形式提供自己的個人信息和要求企業披露向第三方分享自己個人信息的記錄。61 此次修訂也加強了向第三方分享個人信息的限制。在舊法下，企業可以通過允許個人信息主體 Opt-out 的方式向第三方分享用戶個人信息而不需要取得個人信息主體的明示同意，新法禁止企業在特定情形下通過這種方式與第三方分享用戶個人信息，并要求企業在分享時披露接收方的名稱及其負責代表等更多的信息。62在數據跨境傳輸方面，根據新法的規定，企業如果基于用戶的同意實施跨境傳輸，則應當告知用戶目的地國家以及該國是否有個人信息保護法律等信息。63

154、 為了促進對數據要素的利用，APPI 特別地引入了“去標識化個人信息（Pseudonymously Processed Information）”的概念，并降低了企業在處理去標識化個人信息時的合規要求，例如在處理去標識化個人信息時只需要向公眾進行告知而不需要告知個人信息主體，不適用個人信息主體的更正權或停止處理權。64 在行政監管方面，新 APPI 將匯報數據泄露事件確認為一項強制性義務，要求企業在發生數據泄露時向數 據 保 護 機 關（Personal Information Protection Commission，PPC）報告并通知相關的個人信息主體。65新 APPI 加大了對違法行為

155、的處罰力度，將罰金上限提高至 1 億日元（約 100 萬美元）66。單獨違反 PPC的命令可能被處以 1 年以下監禁或 100 萬日元（約 1萬美元）以下的罰金。67 此次修訂還明確了 APPI 的域外效力，規定整部法案適用于在向日本自然人提供商品或服務過程中處理該等自然人個人信息的境外主體，使得 PPC 可以要求境外主體其個人信息處理活動相關的報告以及公開境外主體違反 PPC 命令的情況。68 59.PIPA 第 7 條。60.APPI 第 30 條。61.APPI 第 28 條。62.APPI 第 23 條。63.APPI 第 24 條。64.APPI 第 35-2 條。65.APPI 第

156、 22-2 條。66.APPI 第 87 條。67.APPI 第 83 條。68.APPI 第 75 條。69.PDPA 第 26A 和 26E 條。70.PDPA 第 48J 條。71.PDPA 第 26F 至 26J 條。72.PDPA 第 22A 條。73.PDPA 第 15A 條。74.PDPA 第 17 條。75.PDPA 第 48D 至 48F 條。76.參見 https:/www.pcpd.org.hk/english/resources_centre/publications/annual_report/files/anreport19_full.pdf。77.同上。3、新加坡

157、修訂 PDPA2020 年 11 月 2 日新加坡通過了新的2012 年個人 信 息 保 護 法（Personal Data Protection Act 2012，PDPA）修正案。新加坡此次修訂 PDPA 的一大目的是實現保護個人信息主體和支持企業更靈活地使用個人信息之間的平衡。在保護個人信息主體方面，PDPA 設定了強制性的數據泄露匯報要求，規定企業在數據泄露事件對個人信息主體造成或可能造成重大損害或者數據泄露事件涉及規模較大時報告數據保護機關（Personal Data Protection Commission，PDPC），以及在數據泄露事件對個人信息主體造成或可能造成重大損害時通知

158、個人信息主體。69PDPA 也加大了對數據泄露事件的處罰力度，新加坡境內年收入超過 1 千萬新幣（約7442913 美元）的企業可能被處以最高年收入 10%的罰金70。PDPA 還增強個人信息主體的權利，增加了個人信息主體的數據可攜帶權，71以及要求企業在拒絕響應個人信息主體訪問個人信息的請求時留存一份個人信息副本72。在支持企業使用個人信息方面，此次修訂擴大了“視為同意”（deemed consent）條款的適用范圍，企業進行為了履行合同所必需的個人信息處理活動73以及在告知個人信息主體并給予合理的 Opt-out 期限后為了新的目的而使用或分享個人信息時，無需再取得個人信息主體的明示同意。

159、修正案同時增加了取得同意的例外情形。74 修訂后，個人也可能因為違反 PDPA 而承擔責任，受到不超過 5,000 元新幣（約 3721 美元）罰款或不超過 2 年監禁的處罰。75 4、香港執法動態：網上個人資料外泄是執法重點香港個人資料私隱專員公署（Privacy Commissioner for Personal Data）在 2020 年 4 月發布的2018-2019 年度實踐數據管治報告（以下簡稱“報告”）中表示網上資料外泄是當前和未來的執法重點。762018至 2019 年度，香港個人資料私隱專員公署接獲 113件數據外泄事故，涉及 349,545,512 名人士的個人資料，而這些

160、數據外泄事故涉及黑客入侵、系統設定有誤、遺失文件或便攜式裝置、經傳真、電郵或郵遞意外披露個人資料等。77其中，資訊科技類企業發生數據外泄事故的情況大幅增多，這引起了公眾對保障網上個人資料隱私的廣泛關注。-22-香港個人資料私隱專員公署發布的報告中重點分析了一宗本地航空公司九百四十萬名乘客的網上資料外泄事件，外泄的資料包括乘客姓名、電郵地址、航空公司會員號碼、身份證和信用卡資料。由于航空公司資料安全系統存在各種漏洞，肇事者繞過了保安控制系統，安裝惡意軟件，從而獲取個人資料。航空公司的系統沒有為已知漏洞采取足夠的保護措施；安全檢查次數過少（每年只進行一次），而且無法檢測出個人資料外泄行為和漏洞；遙

161、距登入的安全沒有得到妥善保障；過時的個人資料仍被保留，沒有妥為刪除。香港個人資料私隱專員公署表明，雖然個人資料（私隱）條例下保障個人資料的安全不是絕對的責任，但評估保障個人資料安全措施時須視乎具體個別情況，考慮資料的數量、性質和敏感性，以及資料外泄可能造成的損害。最終，該航空公司在得知外泄事故 7 個月后才報告事故，雖然根據現行法律延誤報告并不違法，但私隱專員認為，如果航空公司能及時報告事故，便可大大減少對受影響乘客造成的損害。78 此外，香港個人資料私隱專員公署還重點分析了另一宗個人資料外泄事故，該事故涉及一間本地電訊公司三十八萬名客戶的個人資料外泄。香港個人資料私隱專員公署再次提及多項漏洞

162、，例如資料沒有加密而引致資料外泄、沒有對遙距登入系統實施多重認證，以及不必要地保留過時的個人資料。79 值得注意的是，香港政府于 2020 年 1 月 20 日的檢討文件中首次公布相關法例及執法重點的改變。該文件載有對個人資料（私隱）條例的修訂建議，例如強制性資料外泄事故通報機制；個人資料保留時間；必須在 5 個工作日內向私隱專員公署報告任何存在確實重大損害的資料外泄風險；對網上資料儲存及處理服務提供者的直接規管；加重罰則；以及實施因違反 個人資料（私隱）條例而產生的行政罰款。80 香港個人資料私隱專員公署的以上執法行動和香港政府對個人資料（私隱）條例的修訂建議，顯示了香港個人資料私隱專員公署

163、和香港立法機關目前正在致力于加強香港的個人資料保護制度和個人資料外泄事故的執法工作，因此受監管的公司在未來應當更加關注收集個人資料種類、個人資料的儲存方式以及網上違法行為所帶來的潛在風險。78.同上。79.同上。80.參見 https:/www.legco.gov.hk/yr19-20/english/panels/ca/papers/ca20200120cb2-512-3-e.pdf，最后訪問于 2020 年 11 月 22 日。五、美國出口管制 2019 年執法情況總結與評述在 2019 年不斷升溫的中美貿易戰中，出口管制成為美國政府遏制中國企業發展，乃至中國科技制造業發展的利器。自 20

164、19 年 3 月美國政府宣布將 30 余家中國實體放入“未經核實清單”，到 5 月 16 日宣布將華為及一系列關聯公司放入“實體清單”，基本全面叫停華為與美國公司的合作，再到 10 月份將數家在人工智能領域領先的中國企業放入實體清單，美國針對中國企業的出口管制攻勢一浪高過一浪。這也使得出口管制成為中國企業在 2019 年最為關注的合規問題之一。2020 年 1 月 15 日，中美簽署第一階段貿易協議，這場舉世矚目的貿易戰暫時?；?。但是中美兩國在科技領域，尤其是新興技術領域的博弈還將持續進行下去。美國對華的出口管制措施還將在很長一段時間內成為對中國科技制造企業的嚴峻挑戰。（一）2019 年中國企

165、業受美國出口管制政策影響的數據一覽 2019 年共（曾）有 37 家中國主體因“無法核實其所涉的出口行為是否善意”而被美國商務部工業和安全局（“BIS”）放入“未經核實清單”，規定在出口、轉出口及境內轉移中不再適用許可例外且對于無許可證要求的出口物項需要做出合規聲明。后經努力，有8 家中國主體成功從“未經核實清單”上被移出；2019 年共有 62 家中國主體因被 BIS 認為“從事違反美國國家安全和/或外交政策利益的活動”而被放入“實體清單”，規定在出口、轉出口及境內轉移中不再適用許可例外且對所有適用出口管制規定的物項增設額外的許可證要求。需要說明的是，5 月 21 日華為及華為關聯公司共 6

166、8 家主體被放“實體清單”，10 月 9日另新增 46 家華為關聯主體，而在本統計中，上述公司均記為華為 1 家。-23-在 29 家“未經核實清單主體”中，15 家為企業，8家為技術中心/研究所（院），6 家為大學。15 家企業主要集中于光學、電子科技、儀器制造、航空技術、自動化工程、微系統、傳感、材料等領域；8 家技術中心/研究所（院）主要集中于納米能源、應用化學、物質科學、應用/技術物理、天文等領域。在 62 家“實體清單主體”中，23 家為企業，19 家為公安局，12 家為研究所（院），另有 3 所學校及 5 名個人。23 家企業基本均為中國的科技企業，集中于通訊、傳感、AI、無人機、

167、人臉識別等高精尖領域；12家研究所（院）主要研究航天科工技術和計算技術；19 家公安局則位于新疆各地區。（更詳細解析請見中國科技企業如何避開美國出口管制陷阱）（二）2019 年被處罰出口行為的情況分析我們對 BIS 公布的 2019 年 37 起因違反出口管制規定而遭到處罰的案件進行了梳理：1.被處罰主體的情況案件處罰情況匯總 追責主體 刑事責任 民事責任 罰則 自然人 25 起 1 起 罰款（最高達 15 萬美元）監禁（最長達 342 個月）取消出口特權（最長達 10 年）單位 0 起 6 起 民事罰金（最高達 13.6 萬美元）出具臨時出口禁止令 自然人 及單位 4 起中個人被追究刑事責任

168、，1 起被追究民事責任 （個人）被處以罰款、監禁及沒收不法利益 （單位）處以民事罰金（最高達 30 萬美元）取消出口特權（最長達 10 年）經統計，在37起案件中，26起案件追究自然人的責任；6 起追究公司責任；5 起案件中同時追究了公司及自然人的責任。根據 BIS 披露的案件信息，上述案件中包含多名非美國籍的自然人和公司被處罰。在自然人和有關公司被同時處罰的案件中，被處罰的自然人均為有關公司的高管，包括 CEO、CFO、注冊代理人、出口合規官、內審主管等。他們都被認定為曾積極的參與到違反美國出口管制法的共謀行為中。2.被追責原因 35%（13 起）的案件涉及違反武器出口管制法(“AECA”)

169、，與未經許可出口 USML 中的國防用品有關。33%（12 起）的案件涉及違反出口管理條例(“EAR”)，主要涉及未經許可出口受控軍民兩用物項。另外 19%（7 起）的案件的案由是違反國際緊急經濟權力法（“IEEPA”），涉及的出口目的地包括伊朗、俄羅斯、敘利亞、中國香港等。另外的極少數案件涉及到違反美國法典第 18 編 554（a)條（從美國走私）、違反美國法典第 18 編 371 條（不準陰謀侵犯、欺騙美國政府）、美國反間諜法案。3.出口最終目的地國 235目的地為中國（包括中國香港）其他國家受處罰行為的出口最終目的地國家在這 37 起案件中，違規的行為多為未經許可而將受控物項出口或轉出口

170、給禁運國或者黑名單上的主體。其中有兩起案件涉及到中國，包括 Multiwire 案和自然人 Chen Si 案。在 Multiwire 案中，美國公司Multiwire 在 2014 年和 2015 年在未獲得許可證的情況下將出口 ECCN 編號為 EAR99 的勞厄背向反射實時影像探測器和配件出口至中國的電子科技大學（當時為實體清單上的主體），上述物項總價值117,156美元。最終 Multiwire 公司被處以 80,000 美元的民事罰款。在 Chen Si 案中，中國公民 Chen Si 違規出口美國原產的 ECCN 編號為 3A001 的用于雷達與軍事干擾設備的集成電路和其他部件，以

171、及違規出口太空通訊設備至中國。根據 BIS 披露的信息，除中國以外，受罰出口行為的-24-目的地國家還主要包括俄羅斯、伊朗、黎巴嫩、敘利亞、墨西哥、土耳其等國家。4.案件中受控物項的分類 我們將 37 起案件中所涉及的出口受控物項按性質和行業進行了分類。由上圖可見，BIS 處罰的多數案件與軍品出口有關，具體違規行為多為未經許可出口美國防務目錄（The U.S.Munitions List,下稱“USML”）中的國防用品給受限國家。BIS 在航空航天領域的執法也較為活躍，多個案件涉及將美國原產的航空器和部件或航天通訊技術出口給受限目的地。此外，多個案件中的物項涉及電子、能源、制造等領域，值得關注

172、。5.違規出口物項所涉及的 ECCN 碼 因為較多案件所涉及的國防軍品物項并非由 EAR 管控，所以多數案件不適用 ECCN 碼。由于保密和敏感等原因，25%的案件并未披露違規出口物項所涉及的ECCN 碼。根據已有的信息，較多違規出口物項被歸類為 EAR99，即沒有 ECCN 號一般無須辦理許可證的物項。但對于 EAR99 來說，仍然要符合一般禁止第 4-10項的審查，即要符合最終用戶、終端用途和出口目的國審查等。從 ECCN 的分布可以看出，BIS 目前的執法重點仍然在于 ECCN 五個功能組的 A 類：系統、設備和組件，對于材料、軟件和技術的執法尚不活躍。我們理解這與對軟件和技術的出口定性

173、難度、舉證難度和綜合執法難度有關。6.值得關注的裁量因素我們注意到以下幾個方面是美國政府在執法時重點考慮的裁量因素，值得中國企業關注：出口管制合規體系的缺失。在 Multiwire 案中，BIS 公布的處罰決定書中特別強調 Multiwire 公司作為業內富有經驗的出口商，卻并未建立出口管制合規體系來對外國客戶進行篩查，并且在兩次違規出口行為發生時都未對該中國客戶的身份進行篩查。在 Jaguar Imports LLC 案中也提到了類似的考慮因素。違反行為的數量和持續時間。在多個案件中都提及了違反行為持續時間長和違反行為的數量，持續時間越長、違反行為越多則處罰越嚴厲。未能履行資料保存的義務。在

174、 Cortran Corporation 案中，該公司未經許可將畜牧用電子探測器材非法出口給委內瑞拉、墨西哥、南非、捷克等國，非法獲利 81010 美元；且未能完整保存有關交易的發票和提單等資料，從而違反了出口商的資料保存義務。虛假陳述。在 Ghaddar Machinery Co.案中，黎巴嫩公司曾對英國供應商做出虛假陳述，承諾英國供應商其將遵循有關美國出口管制法規。但事實上該公司明知且故意從英國供應商處購買美國原產引擎，并轉出口給敘利亞。這給中國企業的啟示在于，建立出口管制合規體系，尤其是完整的文檔保管制度，不只是能夠幫助企業規避違反風險，在出現違法情形時還能有效幫助企業減輕處罰。而當企業

175、面臨政府執法時，采取回避或是欺騙的方式應對，將對企業帶來負面的后果。（三）被放入出口管制黑名單對中國企業造成的負面影響從數據和案例可以發現，將中國企業放入出口管制黑名單，是美國政府對中國企業施加出口管制的主要方式。那么對于中國企業而言，名列黑名單究竟會產生哪些影響呢？請見下圖：以被放入實體清單的華為為例，因被美國政府認定從事違反美國國家安全和/或外交政策利益的活動，不僅在所有涉及華為的出口、轉出口及境內轉移中不再適用許可例外，所有適用出口管制規定的物項在出口給華為時，出口商均需得到美國商務部等主管部門的事前許可。-25-在具體的貿易合作中，美國出口商無法在無許可證的情況下，將產品出口給華為；作

176、為華為供需鏈上下游的中國合作商，也無法再將適用美國出口管制規定的物項在無許可證的情況下出售給華為。雖然美國商務部對與華為的交易頒布了臨時的許可令并三次延長了臨時許可的期限，但臨時許可的交易范圍非常有限。（四）美國司法部新發布的執法政策美國司法部于 2019 年 12 月 13 日發布了商業組織的出口管制和貿易制裁的執法政策（“執法政策”）。鼓勵企業發現自身違法行為時向美國政府進行報告，以此減輕處罰。執法政策明確了在不存在加重情節的情況下，“主動披露”的企業可以適用推定不起訴以及不罰款的處理結果：違反出口管制規定的企業如主動披露違法行為、主動且充分配合有關部門的調查并及時準確地進行補救措施，則可

177、被認為滿足了“主動披露”的要求。其中，配合調查包括及時披露與違規行為相關的所有事實、積極開展內部調查、及時保存及留檔信息、接受主管部門的約談等；補救措施包括實施針對違法行為的補救措施、對責任人進行處罰、保留業務揭露及完善企業合規計劃等。-27-問卷調研-28-本次調研問卷的發放時段為 2020 年 6 月 10 日至2020 年 9 月 28 日，主要涉及 2019-2020 年度國內外立法、執法活動對企業合規建制、應對監管執法、自主開展合規實踐的影響問題。最終共計回收 405 份有效問卷，覆蓋了醫療與健康、能源與環保、金融與投資、批發與零售、傳統制造業、房地產、建筑與餐飲住宿（統稱“房地產”

178、）、TMT、信息傳輸、軟件和信息技術服務（統稱“TMT”）、科技、智能制造業（統稱“智能制造”）、交通、運輸、倉儲和郵政（統稱“交通運輸”）以及專業服務（如咨詢、法律、審計、會計與人力資源）等多個行業。其中本章節所涉及數據比對是與 2018-2019 年度（“上一年度”）藍皮書的問卷調研數據進行對比。405 位來自不同企業的受訪者中，按照類型劃分，外商獨資企業約占 26%、內資民企約占 34%、國企約占35%、中外合資企業約占 5%；按照是否為境外上市企業劃分，境外上市企業占 11%，而在境外上市企業中37%的企業在美國上市，67%的企業在香港上市，7%的企業在其他國家（地區）上市（部分企業在

179、多地上市）。按照行業劃分，有約 19%的企業來自金融與投資行業，醫療與健康行業和傳統制造業行業占比均約為 14%，TMT 與房地產各自占比約為 12%及 9%，智能制造、能源與環保、交通運輸、批發與零售、專業服務等行業的部分企業也參與了調研。按照規模劃分，約 54%的企業為 1000 人以上的大型企業，501-1000 人的中型企業以及 500 人以下的企業各占比約為 11%和35%。一、國外執法變化對企業的影響（一）企業受境外執法情況行政調查仍為企業遭受境外執法的首要類型，醫療與健康及批發與零售為 2019-2020 年度遭遇境外執法的高風險行業2019-2020 年遭遇境外執法的中國企業（

180、包括國有企業、內資民企、中外合資企業以及外商獨資企業）占比約為 7%。在遭遇境外執法的企業中，被行政調查過的企業占 52%，較去年相比下降了 9%，但行政調查仍然是企業遭遇最多的境外執法類型。被行政處罰過的企業占比達 41%，較上一年度增長 8%；而員工受到行政處罰的比例則由上一年度的 22%增至 26%。2019-2020 年受到刑事調查的企業的比例 3.7%，與上一年度 17%相比呈現較大幅度的下降（見圖 1）。從企業類型角度看，內資民企遭遇境外執法的比例最高，達 11%，其中過半數的企業還受到過行政處罰，而中外合資企業則罕見地未遭遇到境外執法的情況（見圖 2）。從行業角度看，醫療與健康及

181、批發與零售行業受境外執法的比例均為最高，為 11%。（見圖 3）（圖 1：2019-2020 年中國企業受境外執法（調查/處罰）情況）國企內資民企中外合資外商獨資有被行政調查過1%5%0%5%員工被行政處罰過2%2%0%1%企業被行政處罰過1%6%0%1%有被刑事調查過1%0%0%0%員工被刑事處罰過0%1%0%0%企業被刑事處罰過0%0%0%0%沒有或不清楚95%89%100%95%95%89%100%95%0%100%200%300%400%500%600%0%1%2%3%4%5%6%7%2019-2020年中國企業受境外執法類型-類型（圖 2：2019-2020 年中國企業受境外執法類型

182、 類型）醫療與健康 批發與零售TMT傳統制造業其他有被行政調查過5%5%8%2%2%員工被行政處罰過5%0%2%4%0%企業被行政處罰過4%11%4%2%2%有被刑事調查過0%0%0%0%0%員工被刑事處罰過0%0%2%0%0%企業被刑事處罰過0%0%0%0%0%沒有或不清楚89%89%90%95%95%89%89%90%95%95%0%50%100%150%200%250%300%350%400%450%0%2%4%6%8%10%12%14%2019-2020年中國企業受境外執法類型-行業（圖 3：2019-2020 年中國企業受境外執法類型-行業）美國仍為對中國企業實施境外執法最主要國家2

183、019-2020 年遭遇境外執法的中國企業當中，盡管遭受到美國政府執法的企業從 88%下降到 71%，美國仍然是對中國企業實施境外執法的首要國家（見圖 4），且反腐敗再度成為美國對中國企業執法的最重要原因，占比高達47%，反壟斷次之，占比29%。而在上一年度，美國對中國企業制裁最重要的原因是經濟制裁/出口管制，這一比例已經由去年的40%降至今年的18%（見圖 5）。-29-11.11%3.70%7.41%11.11%11.11%70.37%其他英國法國德國日本美國0%10%20%30%40%50%60%70%80%2019-2020年中國企業受執法國家（圖 4：2019-2020 年中國企業受

184、境外執法的國家）11.76%5.88%17.65%23.53%29.41%47.06%0%5%10%15%20%25%30%35%40%45%50%其他網絡安全、數據/個人信息保護經濟制裁/出口管制知識產權（包括商業秘密）反壟斷反腐敗2019-2020年中國企業受美國政府執法的原因（圖 5：2019-2020 年中國企業受美國政府執法的原因）（二）境外執法的手段及風險超七成遭遇境外國家執法的企業系受長臂管轄執法經調研發現，在遭遇境外國家執法的企業中，超七成是因為境外長臂管轄的規定而面臨執法，這一比例與上一年度基本持平。在受到境外長臂管轄執法的企業中，68%被執法的業務行為發生在中國，42%的業

185、務行為發生在境外。存在近二成的企業的境內外業務均遭到了境外長臂管轄執法（見圖 6）。（圖 6：該國執法行為是否屬于長臂管轄執法）跨境執法的聯動風險有所下降經調研發現，曾遭受境外執法的企業在受到一個國家執法后又引起其他國家執法的聯動的比例從去年的11%降至 4%（見圖 7）。是3.70%否66.67%不清楚29.63%一國的執法是否引起其他國家聯動（圖 7：一國的執法是否引起其他國家聯動）（三）企業受境外反腐敗執法的情況給予交易相對方的員工好處仍是企業或員工受到境外反商業賄賂執法的首要原因與去年一樣，2019-2020 年給予交易相對方的員工好處是企業或員工遭受反商業賄賂調查或處罰的首要原因，其

186、比例由上一年度的 60%上升至 75%。另外，各有 25%的企業是因為給予受交易相對方委托方好處或給予有影響力的第三方好處而受到反商業賄賂調查或處罰（見圖 8）。25.00%25.00%75.00%0%10%20%30%40%50%60%70%80%給予有影響力的第三方好處給予受交易相對方委托方好處給予交易相對方的員工好處遭受境外反腐敗執法的原因（圖 8：遭受境外反腐敗執法的原因）（四）企業受境外經濟制裁/出口管制執法的情況與受制裁主體進行交易為企業受制裁最主要原因；一半企業的違規行為涉及伊朗；DOJ 為進行經濟制裁/出口管制執法的主要執法部門在因經濟制裁/出口管制被執法的企業中，43%被執法

187、的原因是與受制裁主體進行交易。與受制裁國家或其地區或其主體進行交易緊隨其后，占 29%。此外，有約 14%的被執法企業因無出口許可證卻出口受管制的物項被執法（見圖 9）。因經濟制裁/出口管制被執法的企業中，有 50%企業的違規行為涉及伊朗，其次是敘利亞和朝鮮，均占比三分之一（見圖 10）。而在作出經濟制裁/出口管制執法的執法部門當中，參加調研的企業受美國司法部（DOJ）執法的占比最高，占比 43%，其次是美國商務部工業安全局（BIS）和財政部海外資產辦公室（OFAC），占比均為 29%（見圖11）。-30-14.29%14.29%14.29%28.57%42.86%0%5%10%15%20%2

188、5%30%35%40%45%不清楚其他在無出口許可證的情況下出口受管制的物項與受制裁國家或地區或其主體進行交易與受制裁主體進行交易遭受境外經濟制裁與出口管制的原因（圖 9：遭受境外經濟制裁與出口管制的原因）16.67%16.67%16.67%33.33%33.33%50.00%0%10%20%30%40%50%60%不清楚其他古巴朝鮮敘利亞伊朗違規行為所涉及受經濟制裁與出口管制國家/地區（圖 10：違規行為所涉及受經濟制裁與出口管制國家）14.29%14.29%28.57%28.57%42.86%0%5%10%15%20%25%30%35%40%45%不清楚國務院國防貿易管制局（DDTC）財政

189、部海外資產辦公室（OFAC）商務部工業安全局（BIS）司法部（DOJ）進行經濟制裁/出口管制的執法部門（圖 11：進行經濟制裁/出口管制的執法部門）二、國內立法及執法變化對企業的影響（一）企業受境內執法情況企業遭受境內執法中近六成為行政調查，受到行政處罰比例為 52%；企業員工遭受行政處罰比例顯著上升2019-2020 年度，參加調研的企業中 24%遭遇過境內政府執法，相比上一年度 32%的比例有所下降（見圖 12）。受到境內執法的企業中，將近 60%的企業遭受過行政調查，為境內執法的首要類型；此外，企業遭受過境內行政處罰的比例為 52%。但是，企業遭受行政調查與行政處罰的比例與上一年度相比均

190、有略微下降。相反，將近一成的受訪企業遭受過刑事調查，這一比例與上一年度相比有略微上升；同時，相比上一年度，員工遭受行政處罰比例由 10%顯著上升至21%（見圖 13）。有,24.20%沒有或不清楚,75.80%2019-2020年企業遭遇境內政府執法情況（圖 12：2019-2020 年企業遭遇境內政府執法情況）1.02%9.18%14.29%21.43%52.04%57.14%0%10%20%30%40%50%60%70%企業被刑事處罰過有被刑事調查過員工被刑事處罰過員工被行政處罰過企業被行政處罰過有被行政調查過2019-2020年企業遭遇境內政府執法情況（圖 13：2019-2020 年企

191、業遭遇境內政府執法情況）中外合資企業被行政調查或者處罰的比例最高，國企與內資民企受刑事調查或者處罰比例較高調研數據顯示，中外合資企業于 2019-2020 年遭受到行政調查或處罰的比例均處于較高水平，遭遇行政調查的比例為 30%，受到行政處罰的比例為 15%，相比于去年的 24%以及 12%均有所提升。國企、內資民企以及外商獨資企業的員工遭受到行政處罰的比例，相較去年也皆有所上升，其中國企員工受行政處罰比例由 5%上升至 9%，內資民企員工遭受行政處罰比例由 1%上升至 4%，外商獨資企業員工遭受行政處罰比例由 0%上升至 2%。刑事方面相較而言，與上一年度相同，國企與內資民企受刑事調查或處罰

192、的比例較高，兩類企業被刑事調查的比例分別為 3%與 2%，員工受刑事處罰的比例更高達 5%，另有 1%的國企曾以單位主體的形式被刑事處罰過（見圖 14）。國企內資民企中外合資外商獨資有被行政調查過11%15%30%12%員工被行政處罰過9%4%0%2%企業被行政處罰過13%12%15%12%有被刑事調查過3%2%0%1%員工被刑事處罰過5%5%0%0%企業被刑事處罰過1%0%0%0%沒有或不清楚77%73%65%81%77%73%65%81%0%50%100%150%200%250%300%350%400%450%500%0%5%10%15%20%25%30%35%2019-2020年中國企業

193、受境內執法類型-類型（圖 14：2019-2020 年中國企業受境內執法類型 類型）-31-2019-2020 年度遭遇境內執法的高風險行業：房地產與批發零售在企業行政處罰方面，房地產和批發零售行業受行政處罰的達 25%和 26%，相比去年有所下降。在員工行政處罰方面，交通運輸及金融投資行業的情況比較突出，同時房地產、醫療健康行業、傳統制造業員工遭受行政處罰比例也相較上一年度有所提高?？傮w看來，2019-2020 年度，房地產和批發零售行業企業遭遇境內執法的比例高于其他行業企業，分別達到 42%與32%。盡管 2019-2020 年房地產行業的企業遭遇境內刑事調查的比例由 18%降至 6%，但

194、是該行業中所有遭遇刑事調查的受訪企業都存在員工遭到刑事處罰的情況。由此可見，房地產行業的境內監管力度仍然強勁（見圖 15）。醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業交通運輸其他有被行政調查過18%14%17%16%19%10%15%10%6%員工被行政處罰過5%0%12%0%8%0%5%15%0%企業被行政處罰過11%14%16%26%25%10%11%15%2%有被刑事調查過2%0%3%0%6%4%4%0%0%員工被刑事處罰過2%0%3%0%6%10%2%10%2%企業被刑事處罰過0%0%0%0%0%0%2%0%0%沒有或不清楚71%72%77%68%58%78%76%

195、70%92%71%72%77%68%58%78%76%70%92%0%50%100%150%200%250%300%350%400%450%0%10%20%30%2019-2020年中國企業受境內執法類型-行業（圖 15：2019-2020 年中國企業受境內執法類型-行業）大型企業遭受境內執法強度較大，但中小型企業也存在受境內執法可能性與上一年度趨勢基本相同，大型企業被執法的可能性較中小型企業更高，例如 1000 人以上的企業被境內執法的概率為 26%。中小型企業遭受境內政府調查或執法情況也依舊存在，其中遭到行政處罰的比例有所上升（見圖 16）。少于500人501-1000人1000人以上有被

196、行政調查過17%9%13%員工被行政處罰過3%4%7%企業被行政處罰過11%4%16%有被刑事調查過2%0%3%員工被刑事處罰過0%4%6%企業被刑事處罰過0%0%0%沒有或不清楚76%83%74%76%83%74%0%50%100%150%200%250%300%0%5%10%15%20%2019-2020年中國企業受境內執法類型-規模（圖 16：2019-2020 年中國企業受境內執法類型-規模）廣告違法仍為企業遭受境內執法的首要原因，產品質量、環境違法為重要原因在遭受到境內執法的企業中，有 28%曾因廣告違法而遭受境內執法，其次是產品質量違法，由上一年度的11%上升至 20%，緊隨其后的

197、是占比 19%與 17%的環境違法和稅務違法（見圖 17）。14.29%5.10%6.12%8.16%9.18%10.20%14.29%15.31%17.35%19.39%20.41%27.55%0%5%10%15%20%25%30%其他進出口反洗錢食品、藥品、醫療器械安全反壟斷網絡安全、數據/個人信息保護金融證券反商業賄賂稅務環境產品質量廣告2019-2020年中國企業受境內執法原因（圖 17：2019-2020 年中國企業受境內執法原因）與上一年度數據相比，不同類型企業遭受境內執法的主要原因變化較大。在廣告違法層面，內資民企、中外合資企業以及外商獨資企業遭遇境內廣告執法的比例與上一年度相比

198、均有上升。產品質量問題占比日益顯著，成為企業遭遇境內執法最重要的原因之一，其中外商獨資企業的情況尤為顯著，其遭遇境內產品質量執法的比例從上一年度的 8%上升至 45%。另外，環境保護執法強度仍然較高，國企因環境違法受境內執法占比為 30%，中外合資企業因環境原因受境內執法的比例更高，達到 43%，均為同類型企業中遭遇境內執法最主要的原因（見圖 18）。從行業來看，與上一年度數據相比，2019-2020 年企業遭受境內執法的原因變化也較大，體現出較強的行業差異性。其中，醫療與健康行業受到反商業賄賂境內執法最為顯著，占比由上一年度 25%漲至 38%；金融與投資行業則受金融證券境內執法最為明顯，占

199、比高達 72%；房地產行業的產品質量問題較為突出，占比從去年的 22%上升至 40%；環境問題在傳統制造業中體現得較為明顯，54%受境內執法的傳統制造業企業受執法原因為環境問題（見圖 19）。國企內資民企中外合資外商獨資廣告15%30%43%40%產品質量15%14%14%45%環境30%8%43%15%稅務21%22%14%5%反商業賄賂3%22%14%25%金融證券18%19%0%0%其他48%38%57%40%48%38%57%40%0%50%100%150%200%250%300%350%0%10%20%30%40%50%60%70%2019-2020年中國企業受境內執法原因-類型（圖

200、 18：2018-2020 年中國企業受境內執法原因 類型）-32-醫療與健康金融與投資房地產TMT傳統制造業其他廣告38%0%33%45%38%24%產品質量25%0%40%18%31%16%環境6%0%27%0%54%28%稅務13%22%27%18%8%16%反商業賄賂38%0%27%18%0%12%金融證券6%72%0%0%0%0%其他38%39%40%55%23%60%38%39%40%55%23%60%0%50%100%150%200%250%300%350%400%450%500%0%20%40%60%80%2019-2020年中國企業受境內執法原因-行業（圖 19：2019-2

201、020 年中國企業受境內執法原因-行業）（二）境內執法的主體及變化市場監管局仍然是最主要的境內執法主體，公安局、環保局的執法也不容忽視市場監管局、公安局、環保局是 2019-2020 年度對企業進行調查和執法最主要的幾個政府機關，其中，對企業進行調查執法的案件中 64%由市場監管局發起，相比上一年度有較大幅度的上升，占比超六成，其次公安局執法比例也由上一年度的 13%上升至 23%，環保局執法比例則由上一年度的 22%略微下降至 19%。相較上一年度，工商監管機關（即工商局和機構改革后的現市場監管局）近兩年一直保持半數以上的執法占比量，公安局、環保局、銀保監會和稅務局近兩年一直維持較高執法活躍

202、度（見圖 20）。就企業類型而言，市場監管局在各類型企業的境內執法中均為最主要的執法主體，在針對外資企業（包括外商獨資、中外合資企業）發起的境內執法中體現得尤為明顯：2019-2020 年，90%遭受過境內執法的外商獨資企業曾面臨市場監管局的執法，86%的中外合資企業也曾經遭遇類似的情況。另外，中外合資企業與國企受環保局執法的占比較為突出，分別為 43%及30%，僅次于市場監管局（見圖 21）。就行業而言，除個別行業中特定合規問題尤為突出需要其他執法機關介入以外，企業面臨行業主管部門執法的情況更為常見。金融與投資行業受銀保監會監管趨勢較為明顯，61%的境內執法由銀保監會發起；紀委與監察部的監管

203、在房地產行業中較為強勢，占該行業約三分之一的執法量；傳統制造業的環境問題較為突出，其 54%的境內執法是由環保局作出的（見圖22）。9.18%1.02%4.08%5.10%6.12%7.14%7.14%8.16%9.18%9.18%13.27%13.27%19.39%23.47%64.29%0%10%20%30%40%50%60%70%其他發改委海關監察委工信部檢察院網信辦食藥局紀委與監察部證監會銀保監會稅務局環保局公安局市場監管局2019-2020年對企業進行調查的執法或司法機關（圖 20：2019-2020 年對企業進行調查的執法或司法機關）國企內資民企中外合資外商獨資市場監管局42%68

204、%86%90%公安局18%32%29%15%環保局30%8%43%15%銀保監會21%14%0%0%稅務局12%14%29%10%紀委與監察部24%3%0%0%證監會6%19%0%0%其他39%30%43%30%39%30%43%30%0%20%40%60%80%100%2019-2020年對企業進行調查的執法或司法機關-類型（圖 21：2019-2020 年對企業進行調查的執法或司法機關 類型）醫療與健康金融與投資房地產TMT傳統制造業其他市場監管局81%28%87%73%46%72%公安局19%22%27%73%0%16%環保局6%0%27%0%54%28%銀保監會0%61%0%18%0%

205、0%稅務局13%6%13%9%8%24%紀委與監察部0%0%33%0%0%16%證監會0%33%0%9%8%4%其他31%22%40%36%23%44%31%22%40%36%23%44%0%20%40%60%80%100%2019-2020年對企業進行調查的執法或司法機關-行業（圖 22：2019-2020 年對企業進行調查的執法或司法機關 行業）近七成企業認為 2019-2020 年度境內執法頻率變化不大或有所提高，認為境內執法頻率提高的企業比例較上一年度相比降低在參加調研的企業中，約 51%的企業認為在 2019-2020 年度應對政府執法的頻率與上一年度基本持平，而有 15%的企業認為

206、執法頻率有所提高，這一數據與上一年度相比降低了 10%（見圖 23）。從企業類型角度看，相較外商獨資企業和中外合資企業，更多的內資民企和國企認為政府執法的頻率有所提高，占比分別為 20%和 17%（見圖 24）。就行業而言，交通運輸行業與金融與投資行業企業更多地認-33-為政府執法的頻率有所提高，占比分別為 25%與 22%（見圖 25）。保持原狀，沒有太大變化51.11%越來越頻繁15.06%有減少7.41%不清楚26.42%2019-2020年企業應對其他政府執法相較之前年度頻率（圖 23：2019-2020 年企業應對政府執法相較之前年度頻率）48%53%35%57%17%20%5%8%

207、7%9%10%6%29%18%50%30%0%10%20%30%40%50%60%70%80%90%100%國企內資民企中外合資外商獨資2019-2020年企業應對政府執法相較之前年度頻率-類型保持原狀，變化不大越來越頻繁有減少不清楚（圖 24：2019-2020 年企業應對政府執法相較之前年度頻率 類型）（圖 25：2019-2020 年企業應對政府執法相較之前年度頻率 行業）（三）企業受境內反腐敗執法情況給予交易相對方的員工好處仍是企業或員工受到反商業賄賂執法的首要原因2019-2020 年企業或員工遭受境內反商業賄賂執法的首要原因是給予交易相對方的員工好處，其比例由去年的 40%上升至

208、60%，還有約三分之一的企業是因為給予交易相對方委托方好處而受到反商業賄賂調查或處罰，這一水平與與上一年度基本一致。除此之外，還有兩成的企業因給予有影響力的第三方好處受到調查或處罰（見圖 26）。這一情況與企業遭遇境外執法的整體態勢也基本相同。26.67%20.00%33.33%60.00%0%10%20%30%40%50%60%70%其他給予有影響力的第三方好處給予交易相對方委托方好處給予交易相對方的員工好處企業或員工受反商業賄賂調查或處罰的原因（圖 26：企業或員工受反商業賄賂調查或處罰的原因）（四）企業受境內廣告執法的情況如前所述，廣告違法是導致企業遭受境內執法的首要原因，占比約為 28

209、%（見圖 17）。廣告執法在各種類型企業中都有所體現，但中外合資企業似乎是廣告執法的重點關注對象，2019-2020 年中外合資企業遭遇調查或處罰的首要原因之一是廣告執法，占比超四成，其遭遇廣告執法的比例顯著高于國企和內資民企（見圖 18）。因廣告遭遇執法的高風險行業有醫療健康、TMT、傳統制造業，三者 2019-2020 年遭遇調查或處罰的原因均有四成左右為廣告執法，明顯高于其他行業（見圖 19）。與上一年度數據相同，因發布違法廣告而受到行政執法的企業中，因在廣告中使用絕對化用語而受到調查或處罰的企業占比最高，其次為虛假廣告，本年度兩項執法事由分別占比為 56%和 30%，與去年相比均有所提

210、升。從被執法的廣告形式上來看，互聯網廣告遭受調查或處罰的比例仍然高于傳統媒介廣告，足以見得執法機關對互聯網廣告管控的重視（見圖 27）。7.41%14.81%14.81%18.52%29.63%55.56%0%10%20%30%40%50%60%其他使用醫療用語/易與藥品、醫療器械相混淆的用語傳統媒介廣告互聯網廣告虛假廣告絕對化用語企業因廣告受調查或處罰的原因（圖 27：企業因廣告受調查或處罰的原因）（五）企業受境內網絡安全執法的情況2019-2020 年度執法機關對于網絡安全問題的執法在國企、內資民企和外資企業中都有所體現，但主要體現在內資民企與中外合資企業。16%的內資民企與14%的中外合

211、資企業在 2019-2020 年度遭受過網絡安全執法。此外，因網絡安全遭遇執法的高風險行業有 TMT 和智能制造行業，兩行業遭遇調查或處罰的原因中分別有 45%以及 50%為網絡安全。-34-2019-2020 年因網絡安全而受到行政執法的企業中，企業因違法違規收集使用個人信息受到調查或處罰的比例由上一年度的 17%顯著上升至 50%，可以看出2019-2020 年執法機關對于個人信息保護的關注程度急劇上升，這一態勢也明顯體現在多個監管部門對App 的專項治理工作中（見圖 28）。66.67%16.67%33.33%50.00%0%10%20%30%40%50%60%70%其他未采取充分的數據

212、和網絡安全保護技術措施對用戶管理、信息發布管理不當違法違規收集使用個人信息企業因網絡安全、數據/個人信息保護受調查或處罰的原因（圖 28：企業因網絡安全受調查或處罰的原因）（六）企業受境內環境執法的情況如前所述，2019-2020 年度環境問題為執法機關執法重點關注的領域之一，在中外合資企業與國企中體現得較為明顯，分別有 43%的中外合資企業與 30%的國企于 2019-2020 年遭受過境內環境執法（見圖18）。此外，遭受執法的高風險行業為傳統制造業，該行業于 2019-2020 年遭遇調查或處罰的原因中高達54%為環境保護問題（見圖 19）。2019-2020 年因環境問題受到境內執法的企

213、業中，企業因違規處置固體廢物受到調查或處罰的比例為42%，為首要原因。其次為違規排放廢水與違規排放廢氣，均占執法比例26%。另外未進行環境影響評價、違反“三同時”及土壤污染也是企業受境內環境調查和處罰的重要原因，占比均為 21%。同時，企業遭遇境內環境執法的原因也呈現出多元化的趨勢，參加調研企業受環境執法的原因除了上述以外，還包括因項目驗收、常規檢查、土地林業、噪音、新聞媒體報道引發環境部門的關注等原因引發的環境執法（見圖29）。36.84%21.05%21.05%21.05%26.32%26.32%42.11%0%5%10%15%20%25%30%35%40%45%其他未進行環境影響評價違反

214、“三同時”土壤污染違規排放廢氣違規排放廢水違規處置固體廢物企業因環境受調查或處罰的原因（圖 29：企業因環境受調查或處罰的原因）（七）企業受境內金融證券執法的情況2019-2020 年度，18%的國企與 19%的內資民企內資民企遭受過境內金融證券執法，相反，參加調研的外商獨資企業與中外合資企業卻未在本年度遭受過境內金融證券執法（見圖 18）。此外，因金融證券問題遭受執法的高風險行業為金融與投資行業，該行業于 2019-2020 年遭遇調查或處罰的原因中高達 72%為金融證券問題，呈現出明顯的行業相關性。（見圖19）未勤勉盡責是 2019-2020 年企業因金融證券問題受到境內執法的首要原因，比

215、例高達 57%。其次則為利用未公開信息交易、內幕交易及違規信息披露，均占執法比例的 14%（見圖 30）。28.57%7.14%14.29%14.29%14.29%57.14%0%10%20%30%40%50%60%70%其他操縱市場違規信息披露內幕交易利用未公開信息交易未勤勉盡責企業因金融證券受調查或處罰的原因（圖 30：企業因金融證券受調查或處罰的原因）三、企業合規建制（一）企業對合規工作的重視程度約 85%的企業的領導層重視合規工作；內資企業對合規工作重視程度仍舊最低參加調研的企業中有約 85%的企業的領導層重視合規工作（見圖 31），相比于上一年度的 77%上升了 8%。從企業類型層面

216、看，與上一年度相比，各類型企業領導層重視合規工作的比例均有所增加。其中，外資企業的領導層仍舊比國企和內資民企的領導層更重視合規工作：在受訪企業中，超過九成外資企業的領導層重視合規工作，而內資民企中僅有不足八成的領導層重視合規工作（見圖 32）。2019-2020 年，TMT 企業領導層對合規工作最為重視，比例高達 92%，而相較于上一年度數據，TMT 企業受境內政府執法的比例也由 36%下降至 22%；作為上一年度境內被執法風險最高的行業之一的房地產行業，企業管理層重視合規工作的比例由上一年度的 53%提升至 89%，因而本年度其遭遇境內政府執法的比例也由 53%降至 42%。由此可見，企業領

217、導層對于合規工作的重視程度越高，企業更有可能投入更多資源開展合規工作，以降低自身被執法的風險（見圖 15 和圖33）。-35-重視85.43%不重視,8.15%不清楚,6.42%企業領導層對合規工作的重視與否（圖 31：企業領導層對合規工作的重視與否）85%79%100%91%8%14%2%6%7%7%0%10%20%30%40%50%60%70%80%90%100%國企內資民企中外合資外商獨資企業領導層對合規工作重視與否-類型重視不重視不清楚（圖 32：企業領導層對合規工作重視與否 類型）（圖 33：企業領導層對合規工作重視與否-行業）企業領導層通過多種方式重視合規工作；內資民企和批發與零售

218、行業企業對合規工作重視程度較低根據調研結果顯示，企業領導層通常會通過對員工培訓、指定高管分管合規事宜、設置相關機制、投入固定資源預算到合規工作和聘請外部專家咨詢或內部調查等方式來開展合規工作。在參加調研的企業當中，采取上述方式的領導層占比均超過 55%，更是有超過65%的參加調研企業針對合規工作設置了相關機制（見圖 34）。55.80%56.05%62.22%64.20%65.93%50%52%54%56%58%60%62%64%66%68%有固定的資源和預算投入到合規工作聘請外部專家咨詢或內部調查有對員工的培訓有指定高管分管合規事宜有設置相關機制企業領導層重視合規工作的方式（圖 34：企業領

219、導層重視合規工作的方式）從企業類型角度看，與上一年度的情況大致持平，外資企業的領導層普遍會采取更為多樣化的方式開展合規工作，同時也更加注重對員工的培訓和設置相關機制，超過四分之三的外商獨資企業與中外合資企業在開展合規工作過程中既會設置相關機制，也會為員工提供相應的合規培訓，這一比例也遠高于國企和民企。內資民企領導層開展合規工作的方式多樣性情況與上一年度相比略有退步，采取上述合規措施（即固定的資源和預算的投入、指定高管分管合規事宜、設置相關的機制及有對員工的培訓、聘請外部專家咨詢或內部調查）的整體比例與上一年度相比均有減少（見圖35）。從行業角度看，智能制造和 TMT 行業的企業管理層會普遍采取

220、更為均衡且多樣化的方式開展合規工作，同時相比較其他行業更加注重相關機制的設置和聘請外部專家咨詢或內部調查，而批發與零售行業在上述兩方面均處于行業墊底水平，占比分別僅為 47%和 42%（見圖 36）。國企內資民企中外合資外商獨資有固定的資源和預算48%50%70%72%有指定高管分管合規事宜66%57%95%64%有設置相關機制65%53%95%78%有對員工的培訓56%54%85%76%聘請外部專家咨詢或內部調查52%53%75%61%0%20%40%60%80%100%企業領導層重視合規工作的方式-類型（圖 35：企業領導層重視合規工作的方式 類型）醫療與健康能源與環保金融與投資批發與零售

221、房地產TMT傳統制造業智能制造交通運輸專業服務其他有固定的資源和預算投入到合規工作65%38%60%42%44%80%45%65%50%56%31%有指定高管分管合規事宜56%59%70%42%72%63%65%74%60%61%69%有設置相關機制64%55%74%47%61%80%65%77%55%44%63%有對員工的培訓69%52%65%37%58%67%60%74%50%56%75%聘請外部專家咨詢或內部調查51%48%66%42%67%67%45%71%50%39%31%0%20%40%60%80%企業領導層重視合規工作的方式-行業-36-（圖 36：企業領導層重視合規工作的方式

222、行業）近八成企業合規最高負責人為企業最高管理層或直接向董事會報告約 39%參加調研的企業的合規最高負責人為企業最高管理層，除此以外，合規最高負責人直接向董事會匯報的企業約占 38%。僅約 8%的企業無最高合規負責人（見圖 37）。合規最高負責人為公司最高管理層,39.26%合規最高負責人直接向董事會匯報,37.53%合規最高負責人不是公司最高管理層也不直接向董事會匯報,12.35%公司無合規最高負責人,8.40%不清楚,2.47%企業合規最高負責人的獨立性（圖 37：企業合規最高負責人的獨立性）從企業類型角度來看，外資企業中合規最高負責人的獨立性更為明顯，近九成參加調研的外資企業的合規最高負責

223、人為企業最高領導層或直接向董事會匯報，比例顯著高于國企或民企。內資民企合規負責人的獨立性相對不足，近三成內資民企目前尚未設置合規最高負責人或合規最高負責人既不是企業最高領導層也不直接向董事會匯報（見圖 38）。在不同的行業中，金融與投資企業的合規最高負責人獨立性最強，約 87%的企業合規最高負責人是企業最高管理層或直接向董事會匯報；傳統制造業企業的合規負責人獨立性在行業內相對較差，約 31%的企業無合規最高負責人，或合規最高負責人不是企業最高管理層也不直接向董事會匯報（見圖 39）。41%30%50%46%36%40%45%37%11%16%12%10%12%3%2%2%5%3%0%20%40

224、%60%80%100%國企內資民企中外合資外商獨資企業合規最高負責人的獨立性-類型不清楚公司無合規最高負責人合規最高負責人不是公司最高管理層也不直接向董事會匯報合規最高負責人直接向董事會匯報合規最高負責人為公司最高管理層（圖 38：企業合規最高負責人的獨立性-類型）40%48%38%47%28%35%45%26%35%44%63%33%34%49%37%53%35%22%42%45%33%19%20%3%5%16%11%16%18%19%10%6%0%7%14%4%8%10%13%6%10%11%13%4%4%2%6%6%6%醫療與健康金融與投資房地產傳統制造業交通運輸其他公司合規最高負責人的

225、獨立性-行業合規最高負責人為公司最高管理層合規最高負責人直接向董事會匯報合規最高負責人不是公司最高管理層也不直接向董事會匯報公司無合規最高負責人不清楚（圖 39：企業合規最高負責人的獨立性 行業）（二）企業的合規政策建設及合規重點領域77%的企業都制定了相關的合規政策2019 年-2020 年，參加調研的企業中 77%都制定了合規政策（包括合規總政策或專項政策），這一比例與上一年度的調研數據基本持平。其中，約 63%的企業有合規總政策，約 52%的企業有對于企業高風險方向的專項制度（見圖 40）。5.68%17.04%51.60%62.96%0%10%20%30%40%50%60%70%無，短

226、期內無制定或推行計劃無，但在制定或將制定或推行有對于公司高風險方向的專項制度有合規總政策企業合規政策建設情況（圖 40：企業合規政策建設情況）外資企業合規政策建設較為完備；國企缺少針對高風險方向專項制度整體看來，外資企業都有較為全面的合規政策。其中，85%的中外合資企業制定了合規總政策，同時 70%更是對于企業高風險方向的事項制定了專項制度，相比于其他參加調研的企業而言，在制度建設工作上最為完善。盡管 62%的國企已具備合規總政策，相比于上一年度上升了 9%，但具備對于企業高風險方向的專項合規制度的僅為 35%（見圖 41）。-37-國企內資民企中外合資外商獨資有合規總政策62%49%85%7

227、7%有對于公司高風險方向的專項制度35%51%70%72%無，但在制定或將制定或推行22%21%10%6%無，短期內無制定或推行計劃6%8%0%3%0%10%20%30%40%50%60%70%80%90%企業合規政策建設情況-類型（圖 41：企業合規政策建設情況 類型）醫療與健康行業和 TMT 企業合規政策建設較完備；能源與環保行業企業專項合規政策建設薄弱就行業而言，醫療健康行業與 TMT 企業的合規政策建設較為完備，已經制定合規總政策的醫療健康行業企業和 TMT 企業分別占比 73%與 69%，這兩類企業在高風險方向的專項制度建設方面的表現也在行業內處于領先地位，占比分別高達 56%和 6

228、9%。相比之下，能源與環保行業企業的專項合規政策建設能力較為薄弱，僅有約三分之一的企業有針對高風險方向的專項制度，比例在所有行業排名中處于墊底地位（見圖 42）。醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業智能制造交通運輸專業服務其他有合規總政策73%66%74%53%53%69%55%65%40%50%56%有對于公司高風險方向的專項制度56%34%48%58%53%69%40%61%60%50%31%無，但在制定或將制定或推行16%10%12%11%25%12%31%13%10%22%25%無，短期內無制定或推行計劃0%10%5%16%6%2%5%6%10%6%13%0%

229、20%40%60%80%100%企業合規政策建設情況-行業（圖 42：企業合規政策建設情況 行業）企業合規部門重點關注反腐敗與內部調查參加調研企業的合規部門職能主要包括高風險反腐敗專項管控、內部調查、應對政府執法、高風險數據保護專項管控、知識產權專項管控、高風險經濟制裁及出口管制專項管控、社會責任等。其中，高風險反腐敗專項管控和內部調查在合規部門職能范圍中最為常見，占比均為 65%（見圖 43）。5.68%26.42%32.35%39.51%45.93%46.42%64.69%65.43%0%10%20%30%40%50%60%70%其他社會責任（CSR）高風險經濟制裁出口管制專項管控知識產權

230、專項管控高風險數據保護專項管控應對政府執法內部調查高風險反腐敗專項管控企業合規部門的職能（圖 43：企業合規部門的職能）從不同類型的企業來看，外資企業合規部門尤其注重反腐敗及內部調查。外商獨資與中外合資企業合規部門的職能中包括反腐敗管控的占比分別為 83%及90%，包括內部調查的占比分別為 73%和 90%，比例明顯高于國企與民企。事實上，在不同職能事項上，國企與民企的合規部門也更為關注反腐敗管控與內部調查，二者占比均接近 60%，但是較少關注經濟制裁與出口管制領域的合規事項，僅 27%的參加調研國企及 28%的參加調研國企的合規部門職能中有涵蓋高風險經濟制裁與出口管制專項管控，在各自的各項職

231、能中均為墊底（見圖 44）。就行業而言，TMT 行業的企業合規部門職能范圍相對全面及均衡，且尤其注重數據保護方面的合規事宜，合規部門職能中包括數據保護專項管控的 TMT 企業占比高達 90%，其中主要原因之一也是 TMT 行業中擁有眾多“數據敏感型”“數據驅動型”企業，業務經營活動中通常會涉及大規模的數據處理。相比之下，交通運輸行業的企業合規部門職能在全面程度和均衡程度上均處于業內較為落后的位置（見圖 45）。國企內資民企中外合資外商獨資高風險反腐敗專項管控58%57%90%83%高風險數據保護專項管控34%48%40%63%高風險經濟制裁出口管制專項管控27%28%50%42%知識產權專項管

232、控36%49%40%32%應對政府執法42%44%55%54%內部調查57%63%90%73%社會責任（CSR）21%26%20%35%0%20%40%60%80%100%企業合規部門的職能-類型（圖 44：企業合規部門的職能 類型）-38-醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業智能制造交通運輸專業服務其他高風險反腐敗專項管控84%66%56%53%61%65%71%81%50%50%63%高風險數據保護專項管控40%31%43%53%39%90%38%68%25%28%13%高風險經濟制裁出口管制專項管控24%28%19%16%25%47%53%68%20%11%25

233、%知識產權專項管控33%24%36%53%31%65%38%65%15%44%13%應對政府執法38%45%52%68%53%57%47%45%20%39%19%內部調查73%48%68%74%78%63%55%61%55%72%63%社會責任（CSR）20%31%19%26%28%39%29%35%15%22%25%0%20%40%60%80%100%企業合規部門的職能-行業（圖 45：企業合規部門的職能 行業）（三）企業經濟制裁及出口管制的風險企業的經濟制裁或出口管制的合規風險主要來源于美國、中國和歐盟參加調研企業所關注的經濟制裁或出口管制的風險主要來源于美國、中國、歐盟、英國、日本、韓國

234、、非洲國家等國家及聯合國。如前所述，在 32%合規部門職能包括高風險經濟制裁或出口管制專項管控的企業中，認為風險來源于美國的比例最高，達到88%；其次，57%認為風險來源于中國，50%認為風險來源于歐盟（見圖 46）。3.05%19.85%20.61%50.38%57.25%87.79%0%10%20%30%40%50%60%70%80%90%100%其他日本英國歐盟中國美國企業經濟制裁/出口管制合規風險來源國家（圖 46：企業經濟制裁/出口管制合規風險來源國家）就企業類型和行業而言，中外合資企業及智能制造行業企業是最為關注經濟制裁或出口管制合規風險的企業，分別有 50%和 68%的企業的合規

235、部門職能中包括高風險經濟制裁或出口管制的專項管控（見圖 44 和圖 45）。另外，值得一提的是，金融與投資行業中，來自英國的經濟制裁與出口管制合規風險較為明顯，在參加調研的金融與投資企業中，近 40%關注經濟制裁與出口管制合規風險的認為該等風險來自英國，這一比例也遠高于其他行業看待來源于英國的經濟制裁與出口管制的態度（見圖 47 和圖 48）。國企內資民企中外合資外商獨資中國54%50%60%66%美國82%89%90%91%歐盟49%58%60%43%英國18%26%20%18%日本21%29%0%16%0%10%20%30%40%50%60%70%80%90%100%0%10%20%30%

236、40%50%60%70%80%90%100%企業經濟制裁/出口管制合規風險來源國家-類型（圖 47：企業經濟制裁/出口管制合規風險來源國家 類型）醫療與健康金融與投資TMT傳統制造業智能制造能源與環保其他中國46%80%57%48%62%50%59%美國92%87%87%86%90%88%86%歐盟46%47%57%48%57%63%41%英國15%40%17%21%14%13%23%日本23%20%17%24%24%0%18%0%20%40%60%80%100%企業經濟制裁/出口管制合規風險來源國家-行業（圖 48：企業經濟制裁/出口管制合規風險來源國家 行業）（四）企業的知識產權合同簽訂情

237、況絕大多數企業在與供貨商簽訂的合同中約定了由供應商承諾不侵犯他人知識產權等自我保護條款企業在與供貨商簽訂的合同中包含由供應商承諾不侵犯他人知識產權等自我保護條款的比例從上一年度的84%進一步上升為 91%，但也有 3%的企業與供貨商的合同中仍然沒有設置自我保護條款（見圖 49）。是90.63%否3.12%不清楚6.25%企業是否在合同中約定知識產權自我保護條款（圖 49：企業是否在合同中約定知識產權自我保護條款）就企業類型和行業而言，設置自我保護條款的中外合資企業比例達到 100%（見圖 50）；而傳統制造業設置自我保護條款的狀況相對較低，在合規部門具備知識產權職能的傳統制造業企業中，僅 81

238、%會在業務合同中設置知識產權保護條款（見圖 51）。-39-90%90%100%91%6%1%3%4%9%6%0%10%20%30%40%50%60%70%80%90%100%國企內資民企中外合資外商獨資企業是否在合同中約定知識產權自我保護條款-類型是否不清楚（圖 50：企業是否在合同中約定知識產權自我保護條款 類型）（圖 51：企業是否在合同中約定知識產權自我保護條款 行業）近半數的企業在與國際市場相關的合同中約定了由企業承擔對第三人知識產權侵權責任的條款在與國際市場的經銷商或零售商訂立供貨合同時，49%的企業會在合同中設置由企業承擔侵犯第三人知識產權的法律后果的條款（見圖 52），與上一年

239、度的53%相比，今年的這一比例有所下降。是48.75%否7.50%不清楚19.37%不適用24.37%企業是否在合同中約定承擔知產侵權責任條款（圖52：企業是否在國際市場的供貨合同中約定承擔知識產權侵權責任條款）就企業類型而言，國企在國際市場的供貨合同中設置知識產權侵權責任條款的比例最低，僅為 39%（見圖 53）。從行業角度，醫療與健康行業企業設置該等條款的比例最高，占比達 67%，而金融與投資行業對設置該等條款的態度最為謹慎，參加調研的企業中僅32%設置了該等條款（見圖 54）。39%52%63%52%8%4%25%9%20%21%13%18%33%22%21%0%20%40%60%80%

240、100%國企內資民企中外合資外商獨資企業是否在合同中約定承擔知產侵權責任條款-類型是否不清楚不適用（圖 53：企業是否在國際市場的供貨合同中約定承擔知識產權侵權責任條款 類型）67%32%60%55%53%52%50%35%6%4%9%3%19%10%10%22%21%18%19%14%35%15%6%43%40%18%25%14%5%40%0%20%40%60%80%100%醫療與健康金融與投資批發與零售房地產TMT傳統制造業智能制造其他企業是否在合同中約定承擔知產侵權責任條款-行業是否不清楚不適用（圖 54：企業是否在國際市場的供貨合同中約定承擔知識產權侵權責任條款 行業）（五）企業進行投

241、資合規盡職調查94%企業在對外投資中進行合規盡調調研數據顯示，77%的企業在業務中都涉及投資行為（見圖 55），而且合規事項仍然是 2019-2020 年間企業做出投資決定的重要考量因素之一。在投資活動中，僅有約 6%的企業選擇不進行任何合規盡職調查，比例與去年持平。在涉及投資業務的各類企業中，65%的外商獨資企業會進行專門的合規盡職調查，約51%的國企則傾向于以投資盡調中簡單涵蓋部分合規內容的方式開展合規盡調（見圖 56）。TMT 是在投資中進行專門合規盡調比例最高的行業，占比約 60%；綜合看來，醫療與健康、金融與投資、房地產、TMT企業在投資中開展不同程度合規盡調的占比相較其他行業更高，

242、在這些行業的投資活動中選擇不進行任何合規盡調的企業僅占 3%（見圖 57）。-40-（圖 55：企業投資中進行合規盡職調查的情況）41%41%54%65%51%51%46%32%8%8%3%23%17%35%29%0%10%20%30%40%50%60%70%80%90%100%國企內資民企中外合資外商獨資企業投資中進行合規盡調的情況-類型投資中進行專門合規盡調僅在盡調中覆蓋部分合規不進行任何合規盡調公司業務不涉及投資行為（圖 56：企業投資中進行合規盡職調查的情況 類型）醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業智能制造交通運輸專業服務其他不進行任何合規盡調3%9%3%8

243、%3%3%13%8%19%14%8%僅在盡調中覆蓋部分合規43%55%40%46%61%38%53%31%63%43%67%投資中進行專門合規盡調54%36%57%46%35%60%34%62%19%43%25%公司業務不涉及投資行為33%24%9%32%14%18%31%16%20%61%25%54%36%57%46%35%60%34%62%19%43%25%43%55%40%46%61%38%53%31%63%43%67%3%9%3%8%3%3%13%8%19%14%8%33%24%9%32%14%18%31%16%20%61%25%0%10%20%30%40%50%60%70%80%90

244、%100%0%10%20%30%40%50%60%70%80%90%100%企業投資中進行合規盡調的情況-行業（圖 57：企業投資中進行合規盡職調查的情況 行業）反腐敗及數據合規是企業投資進行盡職調查關注的熱門領域根據參加調研的企業反饋，在投資中主要會進行反腐敗、數據合規、反洗錢、經濟制裁、環境保護、出口管制、稅務、勞動法、知識產權等方面的盡職調查。其中，在盡職調查范圍中納入反腐敗及數據合規的企業占比最高，分別有 66%和 55%的企業會選擇對前述兩個事項進行盡職調查（見圖 58）。4.45%35.27%38.01%38.36%41.10%55.48%65.75%0%10%20%30%40%5

245、0%60%70%其他出口管制環境保護經濟制裁反洗錢數據合規反腐敗企業投資中進行盡職調查的方面（圖 58：企業投資中進行盡職調查的方面）就不同類型企業的關注點而言，外資企業在投資中進行反腐敗盡職調查的比例顯著高于國企與內資民企?，F階段，出口管制為國企及內資民企在進行投資合規調查時最少關注的領域（見圖 59）。就行業而言，反腐敗為醫療與健康行業在投資盡調中最關注的問題，在投資盡調中涵蓋反腐敗問題的醫療與健康企業比例達 81%；環境保護是能源與環保行業企業在投資盡調中最為關注的問題，在投資盡調中涵蓋環境保護問題的企業比例達 80%；TMT 企業的投資盡調最為關注數據合規問題，占比高達 85%；金融與

246、投資企業在投資中最關注反洗錢問題，占比 68%；64%的傳統制造業企業在投資盡調中關注經濟制裁問題；67%智能制造業企業在投資盡調中關注出口管制問題（見圖 60）。國企內資民企中外合資外商獨資反腐敗58%54%92%89%數據合規42%64%38%65%經濟制裁38%36%62%39%反洗錢41%38%62%40%環境保護50%32%38%31%出口管制34%28%54%44%0%10%20%30%40%50%60%70%80%90%100%企業投資中進行盡職調查的方面-類型（圖 59：企業投資中進行盡職調查的方面 類型）醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業智能制造交

247、通運輸其他反腐敗81%50%62%67%73%62%64%75%46%71%數據合規47%30%65%58%37%85%45%67%46%41%經濟制裁19%40%38%42%40%33%64%46%31%29%反洗錢25%25%68%25%37%49%30%38%31%24%環境保護19%80%32%42%33%21%67%46%31%35%出口管制19%30%26%25%27%38%61%67%38%29%0%20%40%60%80%100%企業投資中進行盡職調查的方面-行業（圖 60：企業投資中進行盡職調查的方面 行業）-41-（六）企業網絡安全及個人信息保護制度約六成企業建立數據合規體

248、系；超八成 TMT 企業建立數據合規體系，房地產行業建立數據合規體系的企業不足四成 近六成企業已經建立數據保護合規體系，這一比例較上一年度上升將近一成。其中，參加調研的外商獨資企業中，75%已經在企業內部建成了一套數據保護合規體系。近六成國企目前還沒有形成該合規體系，盡管如此，相比上一年度近七成的比例，今年的情況已有所改善（見圖 61 和圖 62）。從行業角度看，TMT行業 84%的企業已建立數據合規體系，而房地產企業中建立該體系的不足四成（見圖 63）。該現象與國內執法情況有所關聯，中國企業遭遇到網絡安全或數據保護相關的執法中，TMT 行業企業以 45%位列前茅，而房地產行業僅為 13%。另

249、外，從企業規模角度看，是否建立數據合規體系與企業規模呈較強的正相關性（見圖 64）。28.89%17.04%14.81%40.49%4.20%有針對中國的數據保護合規體系有全球統一的數據保護合規體系有針對歐盟GDPR的數據保護合規體系否其他企業是否有數據合規體系（圖 61：企業是否有數據合規體系）11%9%5%38%7%17%5%25%24%40%50%16%59%46%40%25%0%10%20%30%40%50%60%70%國企內資民企中外合資外商獨資企業數據合規體系情況-類型有全球統一的數據合規體系有針對GDPR的數據合規體系有針對中國的數據合規體系沒有或其他（圖 62：企業數據合規體系

250、情況 類型）醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業智能制造交通運輸專業服務有全球統一的數據合規體系22%7%21%5%11%16%18%32%25%0%有針對GDPR的數據合規體系22%7%5%16%6%37%18%19%5%11%有針對中國的數據合規體系20%38%30%32%25%55%15%26%25%44%沒有或其他42%52%45%47%61%16%53%26%45%50%0%10%20%30%40%50%60%70%企業數據合規體系情況-行業（圖 63：企業數據合規體系情況 行業）11%17%21%8%13%19%25%33%31%59%39%36%0%10

251、%20%30%40%50%60%少于500人501-1000人1000人以上企業數據合規體系情況-規模有全球統一的數據合規體系有針對GDPR的數據合規體系有針對中國的數據合規體系沒有或其他（圖 64：企業數據合規體系情況 規模）近六成企業設置專門人員或部門負責數據保護事務在參加調研的企業中，57%的企業設置了專門負責網絡安全和數據保護的專門人員（見圖 65），但是這一比例在外資企業與內資企業中仍然存在差距，例如66%的外商獨資企業設置了專門人員負責數據保護事項，但是僅有不足一半的國企作出了類似的安排（見圖 66）。與建立數據合規體系的整體趨勢相同，TMT行業中高達 84%的企業設置了專門人員負

252、責數據保護事項，充分體現了 TMT 行業對數據合規問題的重視程度。（見圖 67）有,56.54%沒有,40.74%不適用,0.74%其他,1.98%企業負責網絡安全和數據保護的專門人員（圖 65：企業負責網絡安全和數據保護的專門人員）-42-1%1%5%52%42%35%34%48%57%60%66%0%10%20%30%40%50%60%70%80%90%100%國企內資民企中外合資外商獨資公司設置專門人員或部門負責數據保護的情況-類型不適用沒有或其他有（圖 66：企業設置了專門人員或部門負責數據保護的情況 類型）（圖 66：企業設置了專門人員或部門負責數據保護的情況 類型）（圖 67：企業

253、設置了專門人員或部門負責數據保護的情況 行業）六成企業進行過數據本地化；幾乎所有 TMT 行業企業進行過數據本地化，遠高于其他行業調研發現，在根據要求需要進行數據本地化的企業當中，四成企業沒有實際進行過數據本地化（見圖68）。與上一年度超六成企業沒有進行過數據本地化的情況相比，企業數據本地化普及程度總體來說有所提高。從行業角度來看，TMT 行業中所有參加調研的企業均進行過數據本地化，占比遠高于其他行業，例如交通運輸行業企業進行數據本地化的比例僅為31%，這也可能與網絡安全和數據保護執法重點關注TMT 行業的趨勢有關（見圖 70）?？紤]到在國內開展業務和配合監管的需要，外企業進行數據本地化的比例

254、相對更高，中外合資企業中的這一比例更是高達83%；相比之下，僅四成國企進行過數據本地化，整體態勢落后于其他類型企業（見圖 69）。（圖 68：企業數據本地化情況）40%51%83%64%4%9%8%56%39%17%27%41%21%40%30%0%20%40%60%80%100%國企內資民企中外合資外商獨資企業數據本地化情況-類型沒有有，在其他國家存儲數據或計劃將數據遷移至該國有，在中國境內存儲數據或計劃將數據遷移至境內不清楚/不適用/其他（圖 69：企業數據本地化情況 類型）60%60%53%55%42%78%33%63%31%60%29%7%2%8%22%10%11%33%40%45%4

255、5%50%58%26%69%40%71%24%48%25%42%28%35%27%39%35%17%56%0%20%40%60%80%100%醫療與健康能源與環保金融與投資批發與零售房地產TMT傳統制造業智能制造 交通運輸 專業服務其他企業數據本地化情況-行業沒有有，在其他國家存儲數據或計劃將數據遷移至該國有，在中國境內存儲數據或計劃將數據遷移至境內不清楚/不適用/其他（圖 70：企業數據本地化情況 行業）-43-反腐敗-44-一、美國司法部再次更新 企業合規機制評估2020 年 6 月，DOJ 刑 事 司（Criminal Division）反欺詐科（Fraud Section）在其官網再次

256、更新了企業合規機制評估（Evaluation of Corporate Compliance Programs）（下稱“評估”）。該評估系 2017 年正式發布，DOJ 于 2019 年 4 月曾進行過修訂。從本次修訂可以看出，DOJ 對企業合規機制的期待越來越高。DOJ 在修訂后的評估強調，每個公司面臨的風險不同，相應地，DOJ 在評估企業合規機制時也會考慮企業面臨的各種內外因素，包括公司規模、行業風險、地域風險和監管風險等。DOJ 試圖通過評估，從企業合規機制的搭建、實施和合規機制有效性三大根本問題出發，列舉公訴人員在評估企業合規機制時考慮的常見問題，為企業搭建合規機制提供指引。下表為評估

257、的要點概覽，紅色字體為修訂主要新增的部分。美國司法部企業合規機制評估要點概覽123456風險評估政策和程序培訓和溝通匿名舉報機制和調查流程第三方管理并購風險管理流程；與風險相適應的資源配置；風險評估的定期審查、更新和修訂（是快速的及時性修訂，還是根據不同職能部門的運營數據和信息進行持續性修訂；是否據此對政策、機制和內控進行相應更新）；過往的經驗教訓（Lessonslearned）設計與更新；全面性；公開性（是否向員工、子公司及第三方等傳達政策、政策是否被公開、是否容易被員工獲取、是否持續追蹤并了解哪些政策吸引了相關員工更多的注意）；融入日常經營與內控機制；向合規內控人員提供的指導和培訓與風險相

258、適應的培訓；培訓的形式、內容和有效性（線上、線下培訓中員工是否有途徑提問；如何處理未能通過全部或部分測試的員工；是否檢測培訓的效果）；針對不當行為給員工傳達的態度；員工可獲得的指導舉報機制的有效性（是否有機制檢測員工知曉舉報途徑、員工對舉報途徑是否有任何問題）；內部調查的開展、調查范圍的合理性、調查的獨立性、客觀性、調查文件留存、調查主體等；對調查結果的響應和追責；對舉報和調查機制的資源投入及結果追蹤（是否定期檢測舉報機制的有效性）與風險相適應的第三方管控流程及與企業采購和管理流程的融合；適當的管控（使用第三方的必要性和合理性、與第三方的合同條款）；第三方的管理與監督（針對第三方的獎懲機制、審

259、計權、對第三方的全周期管控）；風險點的實時監督和處理盡調流程（投資前的盡職調查）；并購流程中的合規整改及流程；從投前盡調到投后實施合規管控措施的流程（投后對被收購主體實施合規政策和程序、投后審計的流程）一、企業合規機制的搭建-45-從上述評估要點概覽來看，DOJ 對整體框架并未做改動，也未進行實質性修訂，只是在現有框架下針對具體問題進行進一步細化和明確。（一）細化風險評估的要求 根據原評估，企業在搭建合規體系時需要對風險評估實施定期審查（Periodic review），使企業合規機制與其面臨的風險相匹配。修訂后的評估對“定期審查”提出進一步要求，并在風險評估中新增審查要素“過往的經驗教訓”（

260、Lessons learned），要求公訴人員考慮：定期審查風險是局限于快速的及時性審查（A“snapshot”in time），還是根據不同職能部門的運營數據和信息進行持續性審查？開展定期風險審查后，企業是否對政策、機制和內控進行了相應更新？企業是否有流程追蹤過往的經驗教訓（包括來自企業自身的歷史問題和同行業、同地區其他公司運營過程中暴露的問題）并將該等經驗教訓納入定期風險評估的范疇？（二）強調合規機制的有效性DOJ 一直在強調企業合規機制的有效性，只有真正落實且有效的合規機制才有可能幫助企業避免承擔公司責任。評估的多處修訂反映了 DOJ 對企業合規機制是否真正實施且有效的重視。例如：123

261、123中高層領導的合規承諾自治和資源獎懲措施持續性改善、定期檢測和審查不當行為的調查潛在不當行為的分析和補救管理層人員（言行的合規性、向員工傳達的合規態度、如何處理業務或收入與合規風險的關系）；中高級管理人員的合規行動與承諾；董事會、審計人員的合規監督（具體措施）合規架構（合規組織匯報線、合規官、合規人員、選擇當前合規架構的原因）；合規組織的權威和地位；合規人員的經驗和資歷（對合規內控人員的培訓和發展）；對合規的人員投入和資源支持；數據資源與便利（合規人員在行使職能時利用和獲取數據資源的便利性及障礙；如果存在障礙，如何解決）；合規職能的獨立性（向董事會/審計委員會直接匯報的權力、匯報頻率等）；

262、合規職能的外包（是否外包；如存在外包，如何進行監管）獎懲措施的人事流程；獎懲措施適用的一致性（是否在組織內統一適用、合規職能是否監督內部調查及根據調查結果適用懲處措施的一致性）；激勵機制（如何獎勵合規行為）內部審計；內控檢測；風險評估、政策、機制和程序等的持續性更新（是否基于自身不當行為和/或其他公司面臨的類似風險更新企業合規機制）；合規文化內部調查范圍合理性、獨立性、客觀性和文件留存；內部調查結果的跟進、應對（懲處、追責、問題發生的根源分析）問題根源分析；此前的合規漏洞；付款流程漏洞與改善；供應商管理；此前不當行為的風險預示；補救措施；追責二、企業合規機制的實施三、企業合規機制的有效性-46

263、-在“培訓的形式、內容和有效性”部分，修訂后的 評估新增如下問題，體現了 DOJ 對員工培訓有效性的關注：線上或線下培訓中，是否有途徑供員工提出問題？針對未能通過全部或部分培訓測試的員工，企業是如何處理的？企業是否會就合規培訓對員工行為或企業運營產生的影響進行評估？在“舉報機制的有效性”部分，修訂后的評估新增如下問題，體現 DOJ 關注企業的舉報機制是否真正發揮作用：企業是否采取措施去測試員工是否知曉舉報熱線的存在？員工對舉報機制是否有任何使用建議？企業是否定期測試舉報熱線的有效性？例如追蹤一個舉報從發生到結束的始末？在“懲處措施”部分，修訂后的評估在“統一適用”（Consistent app

264、lication）下新增下述問題，體現 DOJ 關注企業的懲處措施是否真正有效、是否“一視同仁”：合規職能是否監督內部調查及相應的處罰措施以確保懲處措施適用的一致性？有業內人士認為，上述這一條應該是本次評估修訂的最大改動，評估要求懲處措施實施的“一致性”意味著企業根據內部調查發現員工存在不當行為后，應當一視同仁，實施一致的懲處措施，而不能對一些員工（例如中高層管理人員）采取“優待”或區別對待。如果存在“優待”或區別對待，則說明企業的合規機制及相應的懲處措施實際上并未得到有效實施。此外，此前的評估就強調，有效的合規機制還需被定期檢測、審查并進行不斷完善，DOJ在修訂后的 評估中進一步要求“企業根

265、據其過往不當行為和/或其他公司面臨的類似風險，審查和更新其合規機制”，這符合 DOJ 對企業合規機制的一貫要求。（三）強調對第三方的合規管控在“舉報機制的有效性”下，修訂后的評估新增如下問題，體現 DOJ 對第三方合規管控的重視：企業的舉報機制是否也向第三方公布（而非僅向員工公布）？在“第三方管理”下，修訂后的評估新增如下問題：企業對于第三方是否是全周期的管控，是否貫穿于其與第三方合作的始終，還是僅在第三方的選聘階段進行管控？從新增的問題可以看出，針對第三方管控問題，DOJ期待企業進行全流程、全周期管控，企業不僅要在開始選用第三方時評估其與外國政府官員的關聯性，還需在與第三方的合作過程中直至合

266、作結束，對第三方開展持續性、全周期的合規管控。（四）進一步強調投資盡調前的盡職調查和投后管控原來的評估已經強調企業要在投資并購活動中開展投資前的盡職調查，修訂后的評估要求一個良好的合規機制還應包括“相應流程，使得企業能將被收購主體及時有序地整合至現有的合規機制架構和內控中”。同時，在原有的盡職調查流程中，評估新增了如下要求：企業是否能在投資并購前完成盡職調查？如果不能完成，原因是什么？投資完成后，對被投公司的審計流程是什么？從上述新增的問題來看，DOJ 進一步明確期待企業在投資并購前就完成盡職調查，評估相關合規風險，如果在投資并購前無法完成盡調，還需有合理的解釋。并且，DOJ 還期待企業對收購

267、后的子公司加強合規整合，開展投資后的審計。近年來，DOJ 和 SEC 非常重視投資并購活動中的盡職調查以及投后的合規管控。2018 年 DOJ 宣布擴 大FCPA 公 司 執 法 政 策（FCPA Corporate Enforcement Policy）適用范圍，根據該政策，如果受管轄企業在 M&A 中發現不合規行為后主動向 DOJ披露并積極配合采取補救，則企業可以根據該政策獲得從寬處罰。而如果受管轄企業在投資并購活動中發現被投公司存在不合規問題，投資方一方面可能面臨承繼責任風險，另一方面還面臨如何進行投后管控的問題。如果企業對投資前發現的問題不及時進行相應管控，反而在投資完成后明知并且繼續

268、放任被收購公司的不當行為，則投資方有可能因被投公司的不當行為而違反 FCPA。DOJ 的上述執法政策，可以在近年的執法案例中看到相關實踐。例如，在 2018 年一個 FCPA 案件中，某紐交所上市公司因在其收購中國子公司時，投前盡調不充分，投后并未加強合規管控，子公司在投后持續的不合規行為導致該上市公司違反 FCPA。但該上市公司主動向執法機關自我檢舉，積極配合，最后與 DOJ 達成了不起訴（Declination）的結果，與 SEC 也達成了和解。（五）強調合規資源的投入和合規的獨立性修訂后的評估在合規人員的“經驗和資質”下新增以下內容：企業在合規及內控人員的進一步培訓和發展方面投入了多少資

269、源？修訂后的評估還將合規人員的“數據資源的獲取及便利”（Data resource and access）作為一個評估問題：合規及內控人員是否有足夠的直接或間接獲取數據資源的途徑，使得其能夠及時有效的監督和/或檢查政策、內控和交易？是否有相關阻礙限制合規及內控人員獲取相關數據資源？如果存在該等阻礙，企業采取了何等措施去消除這些阻礙？實踐中，企業如果不根據自身情況投入相應的合規資源，合規職能可能無法真正發揮作用。上述修訂，進一步體現了 DOJ 對企業合規資源投入的重視。（六）為什么要重視評估？-47-評估以美國司法部刑事司名義更新和對外發布，其本身是一份指導性文件，并不具有法律強制力。但它是美國

270、公訴人員評估企業在違法當時、起訴及結案時企業合規機制有效性的一個指引，旨在幫助公訴人員確定合適的：結案（Resolution）或起訴方式；罰金（如有）；在刑事結案中的企業合規義務，例如合規監督及報告義務等。在司法部處理的各類案件中（如 FCPA、制裁與出口管制、反洗錢等），司法部執法人員均會根據評估來判斷企業的合規機制的有效性。企業是否具備有效合規機制，很大程度上決定了企業相關違法犯罪行為將以何種方式了結，或受到何等程度的處罰。具備有效合規機制的企業甚至可以避免被執法機關提起指控。歷史上，已有部分企業憑借其有效的合規機制，成功避免單位被執法機關起訴，執法機關僅對涉事高管進行了指控。例如在 20

271、19 年的執法案件中，高知特科技公司（Cognizant Technology）成功與 DOJ 達成不起訴（Declination），DOJ 只起訴了其首席運營官和法務部負責人。此外，評估的內容與 OECD、世界銀行等國際組織的合規指引內容具有很大相似性。且其他國家（例如法國、英國、巴西）也逐漸學習和借鑒美國的 評估、世界銀行、OECD 等組織的合規指引。此外，該評估的主要內容與美國其他監管機構（例如制裁、出口管制領域）發布的合規指引也有很大程度的相似性和一致性?？鐕救绻朐谌澜绶秶鷥却罱ㄆ者m、有效的合規機制，防范不同國家重大合規風險，評估是其可以參考的重要文件。1.A Resource

272、 Guide to the U.S.Foreign Corrupt Practices Act,Second Edition,updated July 3,2020,Department of Justice,available at https:/www.justice.gov/criminal-fraud/fcpa-resource-guide.2.Hey,who changed the FCPA Resource Guide?Benito Romano and Lauren Kaplin,August 5,2015,available at https:/ 指南2020 年 7 月，DO

273、J 在其官網公布了業界期待已久的第二版美國反海外腐敗法資源指南（A Resource Guide to the U.S.Foreign Corrupt Practices Act,Second Edition）（“FCPA 指南”）。該指南由SEC 和 DOJ 于 2012 年首次聯合發布，吸納了美國商務部和國務院等部門的意見，旨在向廣大企業和公眾提供美國反海外腐敗法（FCPA）相關的實用信息和指導。1第二版FCPA 指南更新了 FCPA 領域自2012 年以來的變化，包括近年的執法案例、司法判例，引入 DOJ 執法政策，澄清一些關鍵問題等。事實上，DOJ 在 2015 年修改過第一版FCPA

274、 指南，但那一次并非實質性、大面積改動，DOJ 官方并未發布正式的消息，也并未發布新的版本。2而此次修訂在第一版的基礎上改動較多，DOJ 將第二版FCPA 指南在其官網正式宣布。雖然其只是一部指南，不具有法律強制力，但在實踐中，無論是 FCPA 從業者，還是跨國公司開展合規建設，都離不開這部“白皮書”。該指南涵蓋了公眾想要了解的眾多 FCPA 的宏觀和微觀的問題。例如，FCPA 是什么，為什么會有 FCPA，FCPA 的執法機關是誰，FCPA 的管轄范圍有多廣，違反 FCPA 的后果是什么，被執法企業如何抗辯等宏觀問題。再比如，如何認定外國政府官員（foreign official），如何認定

275、任何有價值的事物（anything of value），什么是故意忽視、鴕鳥政策（willful blindness）等微觀問題。對眾多跨國公司而言，這是一部非常實用的指南。在 DOJ 發布企業合規機制評估（Evaluation of Corporate Compliance Programs）之前的很多年，跨國公司都在參考 FCPA指南 中的三大基本原則（企業合規機制的設計、實施及合規機制有效性）和指導細則來搭建和落實企業合規體系。DOJ 今年更新的企業合規機制評估也是在第一版FCPA 指南的基礎上進一步細化和更新的。第二版FCPA 指南保留了第一版指南的整體框架和章節，但在內容方面進行了非

276、常多的更新和細化，包括更新最近幾年的執法案例和司法判例，引入 DOJ最新執法政策和指導文件，更新了一些信息和數據，進一步澄清和明確 FCPA 相關問題的認定等。第二版FCPA指南 力圖反映FCPA最新的執法和司法動態，旨在為企業和大眾提供更及時、有效的指導。（一）增加最新執法和司法案例第一版FCPA 指南的一大特點是 DOJ 和 SEC 引述了大量執法案例，以明確 FCPA 相關問題和執法態度。第二版FCPA 指南，在不少關鍵問題中，引述和討論了近幾年的一些典型執法案例和司法判例，體現了近幾年執法和司法判例的發展和變化。以下為部分第二版FCPA 指南更新的備受業界關注的案例。1.長臂管轄是否受

277、阻需要繼續觀望-48-第一版FCPA 指南明確指出，即使外國公司和個人并未在美國領土范圍內從事促進賄賂行為，其也可能因共謀、幫助和教唆理論而受到 FCPA 指控。這實際上是對 FCPA 原文的擴大解釋，導致實踐中這個問題備受爭議。在 United States v.Hoskins 案中，美國第二巡回上訴法院在 2018 年判定，不能以共謀、幫助和教唆理論將明確不屬于 FCPA 管轄的主體（FCPA明確規定了三類受管轄的主體）納入管轄范圍。公開消息顯示，DOJ 在今年 3 月繼續對 Hoskins 案提起上訴3，Hoskins 是否受 FCPA 管轄及最終是否被認定違反 FCPA 仍然需要觀望。

278、第二版FCPA 指南雖然新增了美國第二巡回上訴法院對該問題的認定，但同時也指出，至少有一個區法院拒絕認同前述第二巡回上訴法院對 Hoskins 案的說理，認為即使某被告不屬于 FCPA 明確管轄的三類主體，其依然可能因共謀違反 FCPA 反 賄 賂 條 款（anti-bribery provision），因幫助和教唆違反 FCPA 而承擔相關刑事責任。4此外，第二版FCPA 指南在會計條款（accounting provision）部分進一步指出，會計條款適用于任何人（any person），因此，會計條款的適用不受美國第二巡回上訴法院關于共謀、幫助和教唆違反 FCPA 反賄賂條款相關判決的限

279、制。5任何人如果幫助和教唆或導致違反FCPA會計條款，都可能受到FCPA民事指控。6 雖然共謀、幫助和教唆理論的使用在司法層面受到一定阻礙，但從第二版FCPA 指南新增的內容以及 DOJ 對 Hoskins 案繼續提起上訴來看，FCPA 執法機關并未完全放棄使用共謀、幫助和教唆理論去指控外國主體，其他法院是否認可第二巡回上訴法院在Hoskins 案中的判決，依然需要觀望。鑒于此，外國主體應注意其與受 FCPA 管轄的主體（例如美國公司、在美上市公司等）之間的業務往來，警惕因前述理論受到 FCPA 指控的風險。2.外國政府官員的認定依然存在很大不確定性第 二 版FCPA 指 南 增 加 第 十

280、一 巡 回 上 訴 法 院在 United States v.Esquenazi 案中有關政府工具（instrumentality of government）的認定，外國政府官員的認定依然存在很大不確定性。在 FCPA 下，外國政府官員的認定非常寬泛。只要是政府部門、政府機關、政府工具中的員工，都被視為政府官員。而關于政府工具，FCPA原文和第一版 FCPA指南并未進行定義，執法實踐和司法判例對如何認定政府工具也無明確、統一的標準，導致實踐中，對政府工具的認定成為一個難點和爭議點。第一版FCPA 指南并未定義什么是政府工具，指出政府工具的認定需要法院結合具體事實進行個案分析，考慮所有權（ow

281、nership）、控制力（control）、地位（status）和職能（function）四大要素。對于具體如何認定這四大要素，第一版FCPA 指南并未給3.Notice of Appeal,United States v.Hoskins,No.3:12-CR-238(JBA)(D.Conn.Mar.9,2020).4.A Resource Guide to the U.S.Foreign Corrupt Practices Act,Second Edition,Updated July 3,2020,by Department of Justice and Securities and Ex

282、change Commission,page 36.5.A Resource Guide to the U.S.Foreign Corrupt Practices Act,Second Edition,Updated July 3,2020,by Department of Justice and Securities and Exchange Commission,page 46.6.See Section 20(e)of the Exchange Act,15 U.S.C.78t(e).7.A Resource Guide to the U.S.Foreign Corrupt Practi

283、ces Act,Second Edition,Updated July 3,2020,by Department of Justice and Securities and Exchange Commission,page 20.8.A Resource Guide to the U.S.Foreign Corrupt Practices Act,Second Edition,Updated July 3,2020,by Department of Justice and Securities and Exchange Commission,page 24.出標準，而是列舉了實踐中法院經?？紤]

284、的十一項具體因素。而第二版FCPA 指南中，在提出所有權、控制力、地位和職能四項要素之后，指出美國第十一巡回上訴法院在 United States v.Esquenazi 案中，將政府工具定義為受外國政府控制并履行外國政府職能的實體。在該定義基礎之上，進一步指出第十一巡回上訴法院對控制力和職能這兩大關鍵要素具體如何認定。第二版FCPA 指南還指出其他法院在認定這一問題時也是通過非窮盡式列舉一些需要考慮的關鍵因素。7 從當前執法和司法實踐來看，政府工具的認定具有較大難度和不確定性，導致外國政府官員的范圍存在很大不確定性。實踐中，企業在評估某個機構是否構成政府工具、相關人員是否構成外國政府官員時，

285、應當考慮FCPA 指南中的這些要素。3.以當地法抗辯，成功的可能性較小在基于當地法的抗辯（local law defense）部分，第二版FCPA 指南新增了中國富豪吳立勝案（United States v.Ng Lap Seng）。吳立勝于 2015 年被美國聯邦調查局逮捕，并于 2016 年被指控涉嫌賄賂聯合國多名官員違反 FCPA，于 2017 年被做出有罪判決。根據FCPA規定，被告可用當地成文法律法規（written laws and regulations）主張合法抗辯，即如果某行為在當地成文法律法規下系合法，則被告可以主張構成不違反 FCPA 的抗辯。在 FCPA 執法實踐中，幾

286、乎很少有被告成功援引這一條抗辯，使其免于 FCPA 處罰，因為基本上全球很少有國家會將允許腐敗賄賂規定在其法律中。但實踐中，對于五花八門的給好處的行為是否構成賄賂往往也存有一定爭議，所以一些執法中，不少被告會嘗試使用這一條進行抗辯。實踐中，法院會依據個案分析，以判定被告是否可以援引該條進行抗辯。在新增的吳立勝案中，被告辯稱陪審團認定的一項事實包括涉案款項的支付，在安提瓜和多米尼加共和國的成文法律法規中并不違法。但是法院認為該項認定與 FCPA 規定的成文法律法規的積極性抗辯（affirmative defense）的釋義并不符合，因此未支持被告的抗辯。8從當前司法實踐來看，被告僅證明涉案行為在

287、當地不違法很難被認定構成 FCPA 抗辯，除非當地成文法律法規明確規定某項行為是被允許或合法的。（二）繼續推行成功的執法經驗1.將FCPA 執法政策納入FCPA 指南第二版FCPA 指南引入了FCPA 公司執法政策（FCPA Corporate Enforcement Policy）（“FCPA-49-執法政策”），繼續推行 DOJ 的成功執法經驗。FCPA 執法政策是 DOJ 于 2017 年根據此前的試點計劃（pilot program）而確定的一項長久政策，同時被納入聯邦檢察官指南（United States Attorneys Manual），成為檢察官辦案的重要指南。該執法政策旨在鼓

288、勵違反了 FCPA 的企業主動向 DOJ報告違法事實，積極配合調查以及整改，對于符合特定條件的涉案企業，DOJ 會對其從寬處罰，甚至以不起訴（declination）來結案。鼓勵企業主動自我檢舉、主動配合、主動開展補救措施一直是 SEC 和 DOJ 極力推行的政策。這些措施使得這兩大執法機關用很少的執法資源撬動了巨大的反腐敗成果，這也是 FCPA 執法成功的一大關鍵。也因此，兩大機關在近幾年繼續推行這樣的執法機制。第二版FCPA 指南不僅納入了FCPA 執法政策的主要內容，并且還列舉了三個涉案企業通過FCPA執法政策成功獲得不起訴的典型案例。9DOJ 的這一舉措，無疑是在鼓勵更多企業按照FCP

289、A 執法政策主動自我檢舉、主動配合、主動開展補救措施，以降低 DOJ 的執法難度和成本。2.將企業合規機制評估納入FCPA 指南第二版FCPA 指南引入了 DOJ 于上個月更新的企業合規機制評估（“合規評估”）（Evaluation of Corporate Compliance Programs）。合規評估是 DOJ 于 2017 年首次發布并已經兩次更新的指導性文件，是檢察官評估企業合規機制有效性的一個指引，旨在幫助檢察官確定合適的：（1）結案（resolution）或起訴方式；（2）罰金（如有）；（3）在刑事結案中的企業合規義務，例如合規監督及報告義務等。第二版FCPA 指南在“企業合規

290、體系”（corporate compliance programs）章節，新增“對不當行為的調查、分析和補救”（investigation,analysis,and remediation of misconduct），強調執法機關不僅關注合規體系是否能對不合規行為做出有效應對，而且關注企業是否從不合規行為中汲取教訓（lessons learned），并反映在企業的相關政策、培訓和內部控制中，以此有效預防合規風險。汲取經驗教訓也是DOJ 在上月更新合規評估時新增的內容，第二版FCPA 指南專門對此進行更新，體現 DOJ 在執法中對這一問題的重視。在同一章節，第二版FCPA 指南還在“其他合規

291、指 引 和 國 際 最 佳 實 踐”（other guidance on compliance and international best practices）中，增列了 DOJ 的合規評估作為企業合規建設的參考文件。第二版FCPA 指南再次凸顯了合規評估的實踐價值，對于企業如何搭建和完善企業合規機制具有重要借鑒意義。（三）小結以上只是第二版FCPA 指南更新的部分關鍵內容。第二版FCPA 指南修訂的內容和細節遠不止于此，9.A Resource Guide to the U.S.Foreign Corrupt Practices Act,Second Edition,Updated Jul

292、y 3,2020,by Department of Justice and Securities and Exchange Commission,page 51 54.其修訂的內容還涉及時效、沒收違法所得、會計條款下犯罪行為的主觀意圖等，值得企業仔細研讀，了解監管和執法變化，以更好地應對 FCPA 相關問題。第二版FCPA 指南仍然是不具有法律強制力的一個資源指南，并且仍有許多 FCPA 問題有待解釋和驗證（例如上述共謀、幫助和教唆理論）。但是，在目前 FCPA判例法匱乏的大背景下，FCPA 指南依然是集立法、執法和司法為一體的信息量龐大的資源指南，其不僅是 SEC 和 DOJ 對 FCPA

293、的重要宣傳和指導，也是企業在實踐中可參考的“白皮書”。-50-三、其他國家反腐敗動態（一）英國1.英國 SFO 發布企業合規體系指南2020 年 1 月，英國重大欺詐案件調查局（Serious Fraud Office,SFO）在 其 官 網 的 操 作 指 南（Operational Handbook）中公布合規機制評估。根據該文件，SFO 在英國反賄賂法案（2010）的六項原則基礎上，提出將從如下三大方面評估企業合規機制：（1）企業在違法時合規機制的狀態；（2）企業當前的合規機制狀態；（3）企業今后合規機制將如何改善。10 這意味著，執法機關需要在企業犯罪的各階段都對企業的合規機制進行評估

294、，具體包括：(1)違法時的合規機制狀態 決定起訴階段：企業起訴指南（Guidance on Corporate Prosecutions）規定，如果犯罪時，企業的合規機制是無效（ineffective）的，那么便符合公共利益因素，應當提起訴訟。同時，該指引需與皇家檢察官規則（the Code for Crown Prosecutors）協調適用，公訴機關在做出起訴決定時，應當充分考慮這兩份文件?？紤]抗辯：如果在賄賂發生時，企業已經充分落實反腐敗流程，則有權就英國反賄賂法案（2010）第七節的犯罪提出抗辯。判決：如果該企業曾經為預防賄賂采取過一些措施，但不足以構成英國反賄賂法案（2010）第七節

295、的抗辯，這些措施仍然應當在量刑時作為減輕情節而被考慮。(2)當前的企業合規機制 決定起訴階段：在起訴決定做出之前，企業可以改進其合規機制，檢察官仍應考慮企業是否采取了“補救措施”，以及企業合規機制的真實性與有效性。遲延起訴協議：檢察官在評估遲延起訴協議的可適用性（Suitability）時，也需要考慮企業目前合規機制的狀態。判決：法院應當在量刑時考慮企業合規機制的現狀，包括應當考慮罰金的等級是否會影響該企業對實施有效合規體系的能力。(3)企業今后合規機制將如何改善10.SFO Operational Handbook,Evaluating a Compliance Programme,last

296、 Updated:17 January,2020,available at:https:/www.sfo.gov.uk/publications/guidance-policy-and-protocols/sfo-operational-handbook/.11.Corruption:UK efforts to tackle financial crime back in firing line,17 January 2020，available at:https:/www.ibanet.org/Article/NewDetail.aspx?ArticleUid=B0F3CA17-72F6-4

297、449-92D3-092E98E61514.12.SFO confirms investigation into suspected bribery at Glencore group of companies,https:/www.sfo.gov.uk/2019/12/05/sfo-confirms-investigation-into-suspected-bribery-at-glencore-group-of-companies/.13.SFO enters into 991m Deferred Prosecution Agreement with Airbus as part of a

298、 3.6bn global resolution,https:/www.sfo.gov.uk/2020/01/31/sfo-enters-into-e991m-deferred-prosecution-agreement-with-airbus-as-part-of-a-e3-6bn-global-resolution/.14.SFO receives approval for DPA with G4S Care&Justice Services(UK)Ltd,https:/www.sfo.gov.uk/2020/07/17/sfo-receives-final-approval-for-dp

299、a-with-g4s-care-justice-services-uk-ltd/.遲延起訴協議條款及對其履行情況的監督：如果一項遲延起訴協議包含有關企業合規機制的條款，檢察官則需要對可能發生的改革進行評估，以決定該企業是否符合 DPA 的具體條款。同時 DPA 還應當規定檢察官的審查方式及標準。此外，協議還可能指定一位監督員，并由企業負擔費用。2.英國打擊金融犯罪的力度再次受到批評近年來，英國一直呼吁全球加大反腐力度，但是英國對金融犯罪的定罪率不足和調查的拖延，引發了人們對其處理腐敗問題的嚴重質疑。SFO 一系列失敗的起訴引起了公眾對審查案件所需時間的擔憂，特別是在SFO主任、前美國聯邦檢察官

300、麗莎-奧索夫斯基（Lisa Osofsky）的領導下，有消息稱她將改進該機構的執法情況。2018-2019 年，SFO 獲得的定罪率降至53%，為2015-2016年以來的最低水平。據透露，自 2013 年 4 月以來，該機構只完成了對 5家公司的7項定罪。在此期間展開的43項刑事調查中，有 32 項調查沒有結論。歐洲律師事務所 Fieldfisher 企業犯罪團隊總監 Kyle Phillips 表示，定罪率 低得驚人，并提醒，如果沒有重大進展，積壓案件將繼續增加，有可能進一步延誤 SFO 的調查。11 3.執法動態2019 年 12 月，在嘉能可股份有限公司發表公告后，SFO 確認其正在對

301、嘉能可集團涉嫌商業賄賂一案進行調查，被調查對象包括該公司、高管、職員、代理方及相關人員。12 2020 年 1 月，在取得英國相關批準后，SFO 與國際航空公司空中客車達成一項破紀錄的 DPA 協議。根據協議內容，空中客車同意向英國支付 9.91 億歐元的罰金和費用。除此之外，該公司還需再向法國和美國的職權部門繳納和解金，共計 36 億歐元。13 G4S Care&Justice Services(UK)Ltd（“G4S C&J”）公司曾經向司法部隱瞞其 2011 年至 2012 年真實的合同利潤情況，以避免公司收入減少。2020 年7 月，SFO 與英國 G4S C&J 公司的 DPA 協議

302、獲得最后的批準。在簽訂 DPA 協議時，G4S C&J 公司表示其愿意承擔 3 項欺詐罪的法律責任。英國 SFO 主任 Lisa Osofsky 表示，DPA 協議能夠確保 G4S C&J 公司因對英國司法部進行系統性欺詐而被認定為有罪，也能確保 G4S C&J 公司及其它的母公司 G4S plc（一家重要的政府供應商）將會接受史無前例的審查。14（二）法國反腐敗動態-51-1.法國反腐敗局發布在 COVID-19 疫情期間的執法指導意見受 COVID-19 疫情影響，法國反腐敗局于 2020 年 3月 16 日關閉了辦公室，并將暫停檢查，指示檢查人員遠程工作，并宣布在禁閉期間不再進行新的檢查

303、。AFA的決定是在法國總統馬克龍（Emmanuel Macron）采取廣泛措施（例如關閉學校和企業）和法國部長會議（French Council of Ministers）3 月 25 日發布的關于法國執法活動和衛生危機期間其他適用法律措施和程序的命令（Ordonnance No.2020-306）之后作出的。官員們還公布了指導意見，表示該機構繼續分析和評估其在爆發前從各實體獲得的證據和信息，以期在緊急狀態解除后立即出擊。目前正在接受 AFA 檢查的實體應做好準備，一旦法國的禁閉期結束，就對AFA 的調查結果或報告作出回應。15 2.法國反腐敗局制裁委員會做出第一項薩賓第二法案決定，企業在被處

304、罰前仍有機會補救2019 年 7 月 4 日，法國反腐敗局制裁委員會（the French Anticorruption Agencys Sanctions Committee）做出了歷史上第一項 薩賓第二法案（Loi Sapin II）決定，駁回了法國反腐敗局對法國索能達集團（Sonepar）的所有指控，裁定索能達集團在聽證（hearing）日已經實施了一項符合薩賓第二法案第 17 條規定義務的監測和預防腐敗行為的制度。2017 年 10 月 17 日，法國反腐敗局對法國索能達集團提起指控，并提交給制裁委員會，理由是索能達集團違反了薩賓 II 法案第 17 條規定的八項義務中的五項，包括：a

305、)風險評估的執行管理不當；b)企業行為準則存在缺陷；c)未能執行適當的第三方盡職調查程序；d)未采取適當的會計管控措施；e)企業反腐敗體系缺乏相應內控與審計程序。索能達集團稱，盡管其未嚴格遵守法國反腐敗局于2017 年 12 月發布的建議，但已經采取了以下改進措施：a)在合規專家的幫助下進行風險評估；b)編撰治理章程、行為準則和合規指南，以舉例說明違法行為；c)建立第三方評估流程；d)分別于 2018 年和 2019 年更新了會計管控手冊；e)建立內控與審計程序。綜合評估索能達集團的改進措施及案件具體情況后，法國反腐敗局制裁委員會駁回了法國反腐敗局的所有指控。其裁定：判斷索能達集團是否存在處罰

306、事由，是法國反腐敗局制裁委員會在審查案件時進行的。即如果企業在遭受法國反腐敗局檢查時沒有適當執行 薩賓 II 法案規定的義務，其在被法國反腐敗局制裁委員會處罰之前，還有機會對潛在反腐敗缺陷進行補救。16 15.Adaptation des oprations de contrle de lAFA dans le contexte dpidmie de Covid-19,March 19,2020,available at:https:/www.agence-francaise-anticorruption.gouv.fr/fr/covid-19-adaptation-des-operation

307、s-controle.16.How Sonepar escaped punishment in the first Sapin II case,the FCPA Blog,October 10,2019,available at:https:/ 1999 年由歐洲委員會成立，旨在監督各國遵守該組織的反腐敗標準。GRECO 的目標是通過動態的相互評估和同行壓力來監測其成員遵守歐洲委員會反腐敗標準的情況，從而提高其反腐敗能力。https:/www.coe.int/en/web/greco/about-greco。18.Fight against corruption:France must do

308、better,Council of Europe,January 9,2020,available at:https:/www.coe.int/en/web/portal/home/-/asset_publisher/CWAECqDHgT3y/content/fight-against-corruption-france-must-do-better-in-terms-of-the-executive-and-law-enforcement-agencies?inheritRedirect=false.19.Coopration renforce entre lAFA et ses parte

309、naires brsiliens,March 24,2020,available at:https:/www.agence-francaise-anticorruption.gouv.fr/fr/cooperation-renforcee-entre-lafa-et-partenaires-bresiliens.20.Italy bribery probe nets Sicily coronavirus response chief,May 21,2020,available at:https:/ 2014 年啟動的大規模反腐調查，起因是警方發現巴西議會幾公里以外的一家加油站老板參與洗錢等非法

310、活動，隨后發現其與洗錢案犯阿爾貝托 優素福勾結，而優素福曾為巴西石油公司一位前高管保羅 羅伯托 科斯塔購買過一輛路虎。并由此牽扯出針對商界及政界的一系列反腐敗調查?！跋窜囆袆印睓M掃巴西 梳理貪腐大案來龍去脈，人民網，2017 年 07 月 14 日，http:/ court convicts man in Petrobras corruption case,Reuters,February 26,2020,available at:https:/ 呼吁法國加強反腐敗工作在 2020 年 1 月份發表的一份報告中，歐洲委員會的反腐敗機構國家反腐敗組織（The Group of States ag

311、ainst Corruption,GRECO17）呼吁法國提高行政部門（共和國總統、部長、私人辦公室成員和高級公務員）以及國家警察和國家憲兵中預防腐敗措施的有效性和實際應用。18 4.法國和巴西反腐敗機構合作促進腐敗案件的國際協調2020 年 3 月 13 日，巴西的反腐敗機構部長瓦格納 羅薩里奧部長（Wagner Rosrio）在聯邦總審計長辦公室（CGU）接待了法國反腐敗機構 AFA。這是 AFA與 CGU 于 2019 年 12 月簽署合作協議之后進行的工作會議，主要涉及兩家機構用于監控企業合規體系的方法，并強調了在外國賄賂案件中促進國際協調合作的共同愿望。19（三）意大利反腐敗動態意大

312、利抓獲西西里島冠狀病毒應對負責人。意大利警方表示，西西里島的冠狀病毒協調員（co-ordinator）和其他 9 名醫療官員因涉嫌從設備和服務合同中受賄而被捕。這些合同最早可追溯到 2016 年，總金額近 6億歐元。巴勒莫市長奧蘭多稱其為“極其嚴重的腐敗系統”，涉及在公共合同上抽取 5%的傭金。據意大利媒體報道，承諾的賄賂總額至少為 180 萬歐元。西西里島的冠狀病毒應對負責人 Antonio Candela 現在被居家監禁（house arrest），而特拉帕尼衛生當局（ASP）的負責人 Fabio Damiani 也在被警方拘留之列。20（四）瑞士反腐敗動態1.瑞士作出首個與洗車行動21相

313、關定罪2020 年 2 月 26 日，瑞 士 一 家 法 院 判 定 擁 有 瑞士-巴西雙重國籍的貝爾納多 席勒 弗萊博格亞斯(Bernardo Schiller Freiburghas)在 2007 年至 2014 年間串謀賄賂和洗錢，向巴西國家石油公司(Petrobras)的員工支付了 3500 萬美元。據報道，這是瑞士首個與洗車行動（Lava Jato）有關的定罪。22 2.瑞士檢察官搜查世界最大石油交易商根 據 金 融 時 報 2019 年 11 月 22 日 消 息，瑞 士 檢察官搜查了世界最大的兩家獨立石油交易商托克（Trafigura）和維托爾（Vitol）的辦公室。托克的-52

314、-一份聲明顯示，瑞士當局已應巴西檢察官的司法協助請求，于 11 月 20 日訪問了其日內瓦辦事處。巴西檢察官指控兩家大宗商品交易商巴西國家石油公司的雇員行賄約 150 萬美元以獲取合同。另一名商品交易商Gunvor Group 最近支付了 9,500 萬美元，以結束瑞士司法部的長期調查，此前一名前雇員承認賄賂剛果共和國官員以贏得合同。23（五）捷克反腐敗動態1.捷克總理騙取歐盟補貼，可能因此失掉總理職位24 據媒體報道，2019 年 11 月，25 萬捷克民眾走上街頭，要求巴比什下臺，創造了捷克近 30 年來最大規模的民眾示威。歐洲媒體指出，如果歐盟執委會正式認定巴比什涉及“利益沖突”，那么他

315、必須歸還巨額補助金，甚至有可能因此失掉總理職位。據媒體 2019 年 12 月 03 日報道，捷克總理、該國第二大富豪巴比什被指控在就任總理前涉嫌隱匿資產，并透過名下公司騙取歐盟對中歐國家農業和投資計劃的補助款，金額達數百萬歐元。捷克司法部門今年 4 月就此問題建議起訴巴比什。巴比什隨即撤換了司法部長，因此被輿論質疑妨礙司法公正。此外，歐盟調查報告草案顯示，巴比什目前仍在從愛格富集團(Agrofert)的營業中牟利。2.GRECO 敦促捷克加大反腐力度歐洲委員會反腐敗國家組織（GRECO）敦促捷克加快正在進行的旨在預防和打擊議員、法官和檢察官腐敗的改革步伐。在 2020 年 3 月 5 日發布

316、的一份后續報告中，歐洲委員會反腐敗機構評估了其在 2016 年第四輪評估報告中向該國提出的建議的執行情況，其結論是捷克共和國的低遵守水平 在全球范圍內不令人滿意。在 14項建議中，捷克共和國只全面落實了 1 項，部分落實了 7 項，6 項仍未落實。歐洲委員會反腐敗機構要求捷克當局在 2020 年 12 月31 日前報告待執行建議方面的進展情況。25 （六）俄羅斯反腐敗動態1.GRECO 呼吁俄羅斯進一步推進反腐敗工作2020 年 8 月，國家反腐敗組織（GRECO）呼吁俄羅斯在未來 18 個月里進一步推進反腐敗工作，以遵循歐洲委員會關于防止議會議員、法官和檢察官腐敗的建議。26 23.Swis

317、s prosecutors search Vitol and Trafigura offices,Financial Times,November 22,2019,available at:https:/ 媒體：可能因此失掉總理職位，環球時報，2019 年 12 月 03 日，http:/ Republic urged to step up anti-corruption efforts,GRECO,March 5,2020,available at:https:/www.coe.int/en/web/portal/-/czech-republic-urged-to-step-up-anti-

318、corruption-efforts。26.Russia makes progress on corruption but more is needed,GRECO concludes,COUNCIL of Europe,August 18,2020,https:/www.coe.int/en/web/portal/-/russia-makes-progress-on-corruption-but-more-is-needed-greco-concludes.27.編制“黑名單”，俄羅斯反腐持續發力，人民網，2018 年 01 月 04 日，http:/ 2018-2020 年國家反腐敗計劃，

319、俄羅斯衛星通訊社，2018 年 06 月 30 日，http:/ 年俄羅斯反腐合規領域的八大進展，萬合企業合規研究院，2019 年 12 月 27 日，https:/ Ngo Launches Anti-Corruption Program,European Research Centre for Anti-Corruption and State-Building(ERCAS),available at:https:/www.againstcorruption.eu/articles/russian-ngo-launches-anti-corruption-program/.（1）俄羅斯反腐

320、敗立法進程俄羅斯是世界上腐敗比較嚴重的國家。近年來，俄羅斯也一直在加大反腐敗的立法和執法力度。2008 年，俄羅斯頒布國家反腐敗綱要和反腐敗法；2009 年，高官財產申報制度開始推行；2010 年，俄羅斯制定了反腐敗國家戰略，將反腐敗工作上升到國家戰略層面；2013 年，普京再次入主克里姆林宮后，把反腐作為自己的主要施政綱領之一，加大對腐敗官員查處力度，政府高官不斷因為腐敗而落馬，其中最為顯赫的是前國防部長謝爾久科夫；同年底，俄羅斯在反腐敗委員會之外又成立了總統反腐局，以確?？偨y反腐政策的落實、監督反腐法律法規的執行、保障國家各反腐機關之間協調運作。2018 年，被俄羅斯人稱為“貪官恥辱榜”的

321、新法案正式啟動，根據該法案，俄羅斯自 2018 年 1 月 1 日起，編制腐敗官員名冊。凡因腐敗問題被解職的聯邦國家公務員和執法人員，都將“榜上有名”，且信息保留 5 年。今后，俄羅斯在國家公務員的人事招考與任用中，可通過查閱這份名單，了解官員信息，“上榜”官員將不得進入國家公務員系統。27 2018 年 6 月 29 日，俄羅斯總統普京批準了“2018年至 2020 年國家反腐敗計劃”，該法令從簽署之日起即 6 月 29 日起生效。文件附有聯邦委員會、國際杜馬、最高法院、審計署、中央銀行和中央選舉委員會關于確保落實該計劃的建議。28（2）俄羅斯舉報者保護立法仍未獲通過2019 年 6 月，旨

322、在保護腐敗案件舉報人的立法倡議最終宣告失敗。俄羅斯的舉報人保護立法草案于 2017 年12 月通過初審，其中規定了舉報人的一系列權利，以及雇主和執法部門的相關責任。雖然2018年8月開始，俄羅斯當局被賦予了向舉報者提供可能超過 300 萬盧布（約合 5 萬美元）的獎勵，但缺乏保護措施的獎勵本身顯然并不足以激勵檢舉行為。29（3）俄羅斯非政府組織啟動反腐敗計劃俄羅斯組織“反腐敗委員會”制定了一項名為“世界無腐敗”的新計劃，重點關注公民社會和私營部門之間的合作，以在 2020 年前加強聯合國反腐敗公約的實施。該方案得到了國際專家和活動人士的合作和支持，正在俄羅斯的聯合國全球契約網絡范圍內實施。30

323、（七）烏克蘭反腐敗動態2020 年 6 月 15 日消息，烏克蘭稱截獲用于賄賂一名烏克蘭反腐敗調查局官員的 600 萬美元，該賄金是為了讓其撤銷對天然氣公司 Burisma 創始人、前生態和自然資源部長茲洛希夫斯基(Mykola Zlochevsky)關-53-于職務侵占的調查。烏克蘭特別反腐敗檢察官排除了美國民主黨總統候選人喬 拜登（Joe Biden）或其兒子亨特（Hunter）參與該行賄。反腐敗局局長認為茲洛希夫斯基本人、Burisma 的另一名雇員和兩名前稅務官員可能實施了該賄賂。31（八）韓國反腐敗動態韓國通過法案設立反腐敗機構。2019 年 12 月 30 日報道顯示，盡管遭到主要

324、在野黨和保守派團體的強烈反對，韓國議會仍然通過了一項有爭議的法案，即成立一個專門調查高官腐敗的機構。成立反腐機構是文在寅總統最大的競選承諾，目的是在公眾普遍不信任國家檢察官的情況下，改革國家的司法體系。文在寅總統和自由派政治家長期以來一直呼吁建立該機構，以調查高級公務員的腐敗，包括總統、立法者、高級法院法官和國家檢察官。32（九）泰國反腐敗動態1.泰國反腐敗機構將使用反貪機制節省 1420 億泰銖，并計劃擴大至其他大型政府項目2019 年 9 月 10 日，泰國商會和泰國反腐敗組織（Anti-Corruption Organization of Thailand）的副主席 Vichai Ass

325、arasakorn 表示，誠信契約（Integrity Pact,IP）和建筑部門透明度倡議（Construction Sector Transparency Initiative,CoST）這兩項反腐敗機制，將為政府節省 1427.6 億泰銖的費用。這 兩 個 機 制 是 通 過 主 計 長 部 門（Comptroller Generals Department）和 私 營 部 門 之 間 的 合作 發 起 的，并 自 2015 年 以 來 使 用 至 今。Vichai Assarasakorn 補充表示，這兩項機制使用約 230 名志愿觀察員來監督項目以防止腐敗，兩項機制的成功促使泰國反腐

326、敗組織計劃將其擴大使用到其他大型政府項目。332.泰國國家反腐敗委員會秘書長發布 2020 年反腐工作目標2019年11月19日，泰國國家反腐敗委員會（National Anti-Counter Corruption Commission,NACC）承諾在 2020 年年底前至少結束 15 起腐敗案件。NACC 秘書長 Warawit Sukboon 表示，其中有幾起案件極具爭議性，如 2013 年的洪水管理事件、政府與政府之間的大米抵押交易、寺廟基金貪污案、勞斯萊斯賄賂丑聞以及 Uea Arthorn 住房項目。還包括PTT 投資印尼棕櫚油種植園、采購假炸彈探測器、建31.Ukraine s

327、ays it intercepted$6 million bribe to stop probe of Burisma founder,June 14,2020,available at:https:/ Korea passes bill to set up anti-corruption agency,Financial Times,December 30,2019,available at:https:/ body to save Bt142 billion through anti-graft tools,September 10,2019,available at:https:/ ch

328、ief sets 2020 target,November 19,2019,Bangkok Post,available at:https:/ 年 2 月 18 日，https:/cn.qdnd.vn/cid-6123/7183/nid-568040.html。36.KPK demands 12 years for ex-Garuda boss Emirsyah Satar in bribery trial,April 24,2020,available at:https:/ years imprisonment sought for former Golkar lawmaker in bri

329、bery,graft cases,November 6,2019,available at:https:/ Ratchasima)的森林保護區非法發放土地產權證的案件。他還表示其中幾個案件取得了重大進展，有些案件已經完成了 80-90%。34（十）越南反腐敗動態2020 年 2 月 17 日，越南政府監察總署署長在河內同正對越南進行工作訪問的俄羅斯反腐局局長安德烈 謝爾蓋維奇（Andrey Sergeevich）進行會談。此次，越南政府監察總署與俄羅斯反腐局簽署了雙方反腐合作備忘錄升級版，進一步加強反腐敗領域的合作。根據合作備忘錄，雙方將繼續開展專業集訓和業務培訓，旨在提高干部職員的專業能力，

330、舉行經驗交流學術研討會等。雙方交換有關反腐敗主題的資料以及宣傳教育信息，旨在提高兩國公民的反腐意識，加強有關反腐斗爭的協調聯動等。35（十一）印度尼西亞1.根除腐敗委員會（KPK）指控印尼鷹航前總裁Emirsyah Satar 賄賂 36據 2020 年 4 月 媒 體 報 道，KPK 指 控 埃 印 尼 鷹 航（Garuda Indonesia）前總裁董事米爾薩 薩塔爾（Emirsyah Satar）在 2005 年至 2014 年任職期間多次收受賄賂，總額達 493 億印尼盾（310 萬美元）。KPK 指控 Emirsyah 在五次單獨的賄賂中接受了 88 億印尼盾，882,200 美元，

331、100 萬歐元和 118 萬新加坡元的賄賂，并從英國工程公司勞斯萊斯那里獲得了與飛機零件采購和歐洲航空有關的非法資金。KPK 還指控 Emirsyah 犯洗錢罪，其中一些錢被兌換成幾種不同的外幣，轉移到多個海外銀行賬戶，違反了洗錢法第 3 條的規定。其他款項是通過償還債務和各種房地產計劃進行洗錢的。這些計劃包括在雅加達南部的房屋翻新項目，在澳大利亞墨爾本的公寓單元的抵押貸款，在雅加達南部的房產的房屋信用擔保以及在新加坡的公寓單元的所有權轉讓。2.印尼某前議員被指控賄賂和貪污37 據媒體 2019 年 11 月報道，KPK 的檢察官要求對前高爾卡黨議員鮑沃 西迪克 潘加索（Bowo Sidik

332、Pangarso）判處七年徒刑，理由是其涉嫌賄賂和貪污。鮑沃已接受私人運輸公司 PT Humpuss Transportasi Kimia（HTK）的經理 Asty Winasti 分階段的行賄，金額分別為 163.733 美元（23 億印尼盾）和 3.11 億印尼盾，以促使鮑沃幫助私人公司與 PILOG 達成運輸或租船協議。-54-這位前國會議員還接受了私人海上運輸供應商 PT Ardila Insan Sejahtera（AIS）總裁 Lamidi Jimat 的3 億印尼盾，以幫助后者從航運公司和物流服務提供商 PT Djakarta Lloyd 收取債務，并確保為 Djakarta L

333、loy 的船只提供燃料的交易。（十二）哥倫比亞反腐敗動態2020 年 4 月 28 日，經合組織（OECD）宣布哥倫比亞正式成為其第 37 個成員國。哥倫比亞是繼墨西哥和智利之后的第三個拉美經合組織成員國。哥倫比亞于2012 年 1 月加入經合組織反賄賂公約，并成為賄賂問題工作組的成員。加入經合組織需要經過經合組織各政策領域委員會的技術審查，以評估一個國家執行包括反賄賂公約在內的經合組織相關法律文書的意愿和能力，并提出建議以使候選國進一步符合經合組織的標準和最佳做法。哥倫比亞于 2013 年開始了這一進程，其中包括對哥倫比亞的立法、政治和做法進行深入審查，隨后與經合組織的標準保持一致。在國外賄賂領域，哥倫比亞于 2019 年 12 月完成了第三階段評估。38（十三）秘魯反腐敗動態2019 年 4 月 17 日，秘魯前總統阿蘭 加西亞（Alan Garca）在警察將其逮捕前，以“給律師打電話