合规对象 合规环境 合规风险框架 合规管理要素 合规体系落地载体

合规体系构建指引

内部治理合规义务：

内部管理制度和操作规程；个人信息实行分类管理；加密、去标识化等安全措施；操作权限及安全教育、安全事件应急预案、个人信息保护负责人、定期合规审计、个人信息保护的影响评估（处理敏感个人信息、自动化决策、委托处理个人信息、提供个人信息、公开个人信息、向境外提供个人信息、其他）、守门人特殊义务（平台用的数量大）。

企业怎么做：

数据安全负责人；全流程数据安全管理制度、风险监测及应急措施、风险评估及报告。数据出境管理。

合规建议：数据情况尽调；完善数据安全、网络安全保护机制；密切关注监管动态。

合规四工作：评审、评估、重点整改、全面持续合规整改

合规工作：隐私设计！

确定好人员、网络安全等级保护、网络产品或服务、应急处置、专项审查、用户授权机制（隐私设计）、个人信息安全管理制度、数据合作、数据出境、数据分类分级管理制度、网络安全与数据保护合规体系执行和持续更新。

《网络安全审查办法》

审查范围扩大到网络平台运营者（为用户提供信息发布、社交、交易、支付、试听等互联网平台）开展处理活动；掌握超100万用户个人信息的网络平台运营者赴国外上市的强制网络安全审查申报义务；审查要求和标准从网络安全扩展至数据安全。“核心数据”；主管部门有权依职权对影响或者可能影响国家安全的网络产品和服务以及数据处理活动开展网络安全审查。

《数据安全法》

宣誓我国数据主权的意义远超对企业日常合规运营的监管意义。

数据分类分级保护制度

全流程数据安全管理制度

CIIO数据出境（境内存储+出境评估）

核心数据：关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，更严格的管理制度。

《个人信息保护法》

总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的去哪里、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任、附则。

核心制度：构建多元法律基础；明确各信息处理环节的特定合规义务、明确个人信息主体权利，处理者需建立响应机制、明确个人信息处理者的各项内控合规义务、设定丰富执法手段及上限极高的罚款金额。

谁会被监管？

民事自然人不适用。

国家机关适用、境内商事主体适用、境外主体有限适用（以向境内自然人提供产品或服务为目的 分析、评估境内自然人的行为）（适用中文或以人民币结算货币、向中国境内配送物流、对侯兴国境内自然人进行画像分析或向中国境内用户开展定向营销或推广）

合法性基础：同意、为订立或履行合同所必须，或按照依法制定的劳动规章制度和依法签的集体合同，实施人力资源管理、履行法定职责或法定义务所必须、为应对公共卫生事件、新闻报道与舆论监督、在合理范围内处理个人自然公开或者其他已公开的个人信息、法律行政法规规定的其他情形。

单独同意：向其他个人信息处理者提供 公开个人信息 处理个人敏感信息 个人信息出境

单独同意落地方案：独立于隐私政策之外，通过弹窗等即时方式，对需要单独同意的事项对个人信息主体进行专门、充分告知；同意事项需要独立，该同意需要专门针对具体且独立的业务功能所作出，不得与其他事项进行捆绑；同意动作需要已明示方式作出，不得默认同意要确保毫无歧义。

自动化决策与大数据杀熟：

1. 规制范围扩大。将利用个人信息进行自动化决策行为的规制范围扩大到没有市场支配为的企业及个人。

2.提供拒绝选项。

3.要求个人信息处理者说明算法规则。对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

知情权、决定权、限制权和拒绝权、查询权、福之泉和可携带权、更正权、删除权、反对自动化决策权、要求对处理规则进行解释的权利。

个人信息出境：

风险自评估 告知 单独同意 同等保护 

网信安全评估-专业机构认证-签订标准合同和其他法定条件 

非外国司法或者执法机构 不落入网信黑名单 不存在对等反制措施=合规个人信息出境 

（四必备 四选一 三排查）

对负责人员的新增处罚措施

除罚款外，记入信用档案，并予以公示；禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

网络安全法 网络领域部门安全法

数据安全法（数据监管）和个人信息保护法

直接用于生产经营活动的必需支出 税费 依法退赔的 剩下是违法所得

《市场监督管理行政处罚案件违法所得认定办法（征求意见稿）》

公式：

目的：谋取（交易机会、 竞争优势）

行为：贿赂（财务、其他有价物）

对象：收受人（交易相对方的工作人员、受交易相对方委托办理相关事务的单位或者个人、利用职权或者对交易有影响力的单位或者个人）

贿赂的白名单：折扣、佣金、按商业惯例赠送小额广告礼品、明示和入账。

商业贿赂有哪些特点：

经营者 在产品、服务生产销售过程中，牟取交易机会、竞争优势，损害公平竞争的秩序。

US FCPA

适用对象：美国发行人、美国公民/居民、设立或主营地在美国的公司、美国地域范围内实施的海外贿赂行为。

反贿赂条款；针对美国以外的其他国家和地区的公职人员（“外国官员”）

会计条款：维持合理、详细、准确的会计记录，有效的内控体系。

申报并不是交易反垄断合规的全部-“抢跑”风险。

提前“控制”提前交易

提前“协调”

经营者集中判断标准：

第一步：是否构成集中

合并，一方取得一方控制权 设立有控制权的合营企业

“控制权”要看“是否对生产经营活动或重大经营决策造成决定性影响”（三道否决权红线）

是否有豁免情形：母子、兄弟公司间。

第二步：是否达到营业额标准

最终控制人所控制的全部实体

2个以上境内4亿，合计境内20亿，全球100亿

营业额 达到后再申报

买方少数股权，可假设有控制权，卖方和买方都申报，看营业额。谈判

买方多数股权：

交易后买方仍享有控制权，考察买方和卖方的营业额是否达标；

交易后卖方失去控制权，则考察买方和目标公司的营业额是否达标。

反直觉案例：参与集中的经营者受同一最终控制人的控制，即使不到豁免所需50%

公同控制变单独控制 二变一 应当申报

共同控股方变少 三变二 应当申报

大规模股东与小规模JV

设立基金-有限合伙人和普通合伙人共同控制

如何判断企业是否需要经营者集中申报：合并

收购 投资 合同取得控制权 设立共同控制的合营企业

是否达到申报标准：2个以上经营者境内营业额达到4亿；且合计达到境内20亿或全球100亿。

《反垄断法》“控制”的概念：经营者对其他经营者的生产经营活动或者重大经营决策具有或者可能具有决定性影响的权利或者状态，包括直接和间接、单独和共同、积极和消极的控制权，也包括控制的权利和事实状态。

三道否决权红线：高级管理人员任免、商业计划、预算。很容易被认为是“控制”了。

负面清单主体或限制交易对象、过渡期条款、业务合作条款、议事规则。

控制性事项：（常规）生产经营活动；重大经营决策。保护性事项：保护利益输送、防范管理层失职、保障小股东的基本权利不被变更。是否是保护投资所必要，是否有对公司生产经营和商业决策干预更小的替代方案。

不导致“控制”的条款：

危险的边缘试探-超过一定幅度 商业计划、预算、借款、抵押、质押、投资、资产出售；决定调整高管薪酬；禁止与特定主体的商业合作、变更主营业务；重大商业合作。

豁免情形：母子公司间、兄弟公司之间

什么样的需要申报：全球（营业额合计超100亿且2个以上在国内超4亿）；国内（营业额超20亿且2个以上在国内超4亿）

垄断协议、滥用市场支配地位、未依法申报违法实施经营者集中、滥用行政权力排除、限制竞争。

《反垄断法》修订后

经营者集中处罚：具有或者可能具有排除、限制竞争效果的，处上一年度销售额百分之十以下的罚款；不具有.....的，处五百万以下的罚款。

历史应报未报交易的隐患：罚款；恢复到集中前竞争状态的措施；影响上市。

处理历史应报未报交易的建议：

梳理历史交易，优先处理核心风险；在新一轮融资中放弃控制权，减少风险暴露。

商业贿赂的处罚：

  目前有三种处罚

罚款：10万元——300万元

没收违法所得：无上限

吊销营业执照

黑名单：医药购销领域商业贿赂不良记录的规定。

  违法所得的计算依据：

  工商行政管理机关行政处罚案件违法所得认定办法

——市场监督管理鸻处罚案件违法所得认定办法（征求意见稿）

违法企业

重复领取养老金的；职工养老保险与居民养老保险只能交一份，也只能领取一份。

 职工死亡的应当及时办理停止手续；

触犯法律、被判处刑罚的：在执行期间不得领取；

没有实名认证的；

更改个人信息的。严查停发养老金的几种 情况法定范围，违法成本可以预见的，没收违法所得，吊销营业执照。商业贿赂的情况。医药领域中商业贿赂不良记录的规定。

商业贿赂执法趋势：

医药购销：回扣、捆绑推销药品、耗材行为。借助科研合作、学术推广

大宗物资采购等：

 房地产：

行刑衔接、多部门联动；

  行贿人：行政处罚；

 受贿人：刑事处罚（检察意见书、不起诉决定书、公安询问笔录、监察委讯问笔录、刑事判决书）

  新型案件：微信转帐、游戏账号、元宇宙虚拟物品；外卖骑手；竞争对手的员工 ，gh

  合规对象：企业合规，公司领导与关键岗位合规，合作伙伴合规。

  合规环境：企业战略，企业文化，治理结构，组织结构。

合规风险框架：

国有企业合规体系构建：

一、健全合规组织机构：建立“三位一体”的合规管理组织架构（构建党委会、董事会、监事会、总经理办公会、合规管理负责人以及合规管理综合部门、专项部门、参与部门“三位一体“合规管理组织架构，形成各司其职、名负其责、紧密配合、协同联动的工作机制，共同推进合规管理有效进行。）

  其中：

董事会是合规管理的最高决策机构；

合规管理委员会一般是董事会的专门委员会；

总法律顾问是合规管理负责人，领导合规管理综合部门，协调处理企业经营管理相关合规工作；

 法律合规部门承担合规管理综合部门职责，发挥统筹协调、组织推动、督促落实作用，为其他部门提供合规指导；

 业务部门是风险管理具体责任部门；

 审计部门负责公司风险管理工作的评价审计监督，纪检监察部门负责执纪问责。

三道防线：1、业务部门；2、合规管理综合部门（法务、合规、内控、风险管理）；3、审计、纪检监察。

二、完善合规管理制度

一体化企业合规环境扫描，明确重点领域

1、合规义务扫描：企业各业务条线和职能部门所适用的法律法规和业务风险梳理；

2、内控环境扫描：企业组织架构、人员组成与业务流程、IT化现状、企业文化。

3、风险管理扫描：企业所在外部宏观环境。

八大重点领域：市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴、其他领域。

四大重点环节：制度制定环节、生产运营环节、经营决策环节、其他环节。

四大重点人员：管理人员、重要风险岗位人员、海外人员、其他人员。

合规管理办法：

1、通用合规细则 ：合同管理办法、海外合规管理办法、招标投标管理办法；

2、重点领域合规细则：知识产权、海外业务、数据安全；

3、其他合规制度：员工合规手册、合规准则、内控合规评价细则。

三、完善合规工作流程

风险识别、风险控制、风险报告、风险培训、风险管理监督、考核评价。

四、培养依法合规文化：

1、入职员工签署行为规范承诺书，合规宣贯活动

2、开发基于情景模式和合规案例的合规教材；

3、区分不同层级、不同岗位员工进行讲授、情景模拟等针对性训练

4、建立员工合规考核体系和奖惩制度。

国有企业合规体系的构建：

 发展回顾；定位与价值；体系构建；境外合规管理。

监事会、监察部、巡视办、内控要求、合规体系、内部审计

合规部门和纪检部门的区别

项目签约即可进行申报

项目交割前，必须huo d

三合二。四合三 ，达到申报条件依然要申报