2023有效合规管理体系构建及热点问题分析

2023有效合规管理体系构建及热点问题分析北京⼤成（深圳）律师事务所COMPLIANCECLUB作者：谢烨蔓律师作者简介谢烨蔓律师北京⼤成（深圳）律师事务所的⾼级合伙⼈、董事⼤成公司与商业事务部理事据合规委员会副主任CISP-PIP注册个⼈信息保护专员EXINDPO律师师谢烨蔓律师具有近⼗⼆年的律师执业经验，主要从事数据合规与隐私保护、企业合规管理、国资监管与政府公共事务、房地产诉讼、商事诉讼领域和公司综合类法律事务，具有多年服务国企、上市公司的经验。谢烨蔓律师为北京⼤成（深圳）律师事务所⾼级合伙⼈、董事，⼤成公司与商业事务部理事，深圳市律师协会数据合规委员会副主任，⼤成数字化中⼼副秘书⻓。谢烨蔓律师⻓期担任国企、⼤型知名企业常年法律顾问，在国企对外投资、国有股权转让、国有资产出售或者出租、国企董监⾼责任等领域的合规操作上形成专业指引，同时协助企业进⾏合规体系建设、专项合规等，具有丰富的合规实践经验。其⽬前服务的国企达22家，包括深业集团有限公司、深业鹏基（集团）有限公司、深业南⽅地产（集团）有限公司、深圳市深业基建控股有限公司、中⽯油深圳新能源研究院有限公司、深圳市投控发展有限公司、深圳市天威视讯股份有限公司及控股⼦公司、参股公司、深圳市特⼒（集团）股份有限公司、深圳能源燃⽓投资控股有限公司、深圳市⼈才安居集团有限公司、深圳⺠航凯亚有限公司等，且服务年限均较⻓；其服务的知名⺠企包括顺丰速运有限公司、OPPO⼴东移动通信有限公司、深圳美西西餐饮管理有限公司/喜茶（深圳）企业管理有限责任公司，其中OPPO公司⾃2014年服务⾄今，顺丰公司⾃2018年服务⾄今。编委会成员王若菡实习律师北京⼤成（深圳）律师事务所律师助理专业领域：国资监管与政府公共事务、公司综合类、数据保护与隐私合规主要从事国资监管与政府公共事务、⺠商事类和数据合规类法律事务，具体包括为国有企业产权变动、对投资，以及公司综合治理、数据治理、投融资项⽬提供专业的律服务，并代理与之相关的⺠商事诉讼。同时，其亦负责法律顾问单位提供⽇常法律咨询服务、起草、审查合同⼯作，⼒顾问单位合法合规经营。服务客⼾主要为国有企业和国内知名⺠企，包括：深圳市天隆⼴播电视⽹络有限公司、深圳市天宝播电视⽹络有限公司、深圳深汕特别合作区天之孚云计算科技限公司、⼤悦城控股集团物业服务有限公司深圳分公司、深圳华鑫汇珠宝有限公司、中⼴电传媒有限公司。王倩⽂实习律师北京⼤成（深圳）律师事务所律师助理专业领域：国资监管与政府公共事务、公司综合类、数据保护与隐私合规⽇常运营过程中的法律⻛险管理和控制、辅件起草审查。代表性客⼾包括：深圳市天隆⼴播电视⽹络有限公司、深圳市天威⼴告有限公司。编委会成员梅江May⾃媒体法律⼈Club创始⼈《合规小⽩的锤炼计划》创始⼈合规领域垂直赛道头部博主ComplianceClub是⼀个合规与社交相结合的组织，并致⼒打Compliance小伙伴深度社交、智识成⻓、⼼灵陪伴的社群。ComplianceClub强调以共创、赋能为⽬的。Club旨在将不同⾏业、不同领域的优⼈才聚集起来，通过“学⼈之⻓补⼰之短”、碰撞⽕花。坚信⽤集体的⼒量帮助每个⼈成⻓，而得到集体的成⻓ComplianceClub，我们寻找的不是单纯的知识，而是认知、启发、⽆穷的可能性。刘卓欢某投资公司法务经理ComplianceClub成员企业合规师并购重组；公司治理与商业模式合规；⾦融不良资产投资与处置⼗年，具有近⼋年的律师执业经验。执业期州分⾏、⼴发银⾏⼴州分⾏、⺠⽣银⾏⼴州州分红、⼴东省粤科资产管理股份有限公司、公司等⼤型⾦融国有企业提供过诉讼或⾮诉法律服务。20232023版权北京⼤成（深圳）律师事务所、ComplianceClub保留对本⽩⽪书的所有权利。未经权利⼈书⾯许可，任何⼈不得以任何形式或通过任何⽅式复制或转载本⽩⽪书内容。如您欲进⼀步了解本⽩⽪书所涉及的内容，您可以通过下列联系⽅式联系我们。联系⽅式北京⼤成（深圳）律师事务所⾼级合伙⼈：谢烨蔓律师深圳办公室电话：+8613760151608邮箱：yeman.xie@个⼈介绍：/zh/yeman-xie微信号:Xiemanzi小红书名称/账号：谢律talk/925799099扫码添加好友ComplianceClub创始扫码添加好友目录TOC\o"1-2"\h\z\u一、前言 1二、合规管理词源及其渊源 1（一）合规词源 1（二）合规渊源 5三、合规管理体系建设关键要素解析 7（一）合规要求之组织架构完善 7（二）合规要求之资源支持 11（三）合规要求之运行监督 11（四）合规要求之信息化建设 13（五）合规要求之建立合规体系并持续改进 14（六）合规要求之合规文化氛围形成 16四、不同领域专项指引 18（一）数据安全保护专项 18（二）反商业贿赂专项 26（三）反垄断专项 27（四）劳动用工专项 30（五）知识产权专项 33五、合规典型案例 37（一）事前合规 37（二）事后合规 38六、合规管理体系建设和有效运行的整体优势 42（一）刑事责任方面的激励 43（三）合规不起诉案例简析 44（三）行政责任方面的激励 47（四）行政和解案例简析 47结语 48一、前言（）ISO37301:2021是两个重要参考标准。ISO37301:2021或GB/T35770-2022等方面的要求，强化了企业在合规管理方面的责任意识和能力。ISO37301:2021GB/T35770-2022ISO国际标准：ISO37301:2021。1ISO37301:2021等参考标准，制定相二、合规管理词源及其渊源（一）合规词源“合规”词义辨析1/gb/search/gbDetailed?id=EB58F4DA9034B2A2E05397BE0A0A7D33601962JamesR.WithrowJr.MakingComplianceProgramsWork2001duediligence)management)、“内控体系”(internalcontrol)联系在一起。企业合规内涵可以从以下两方面着手。一方面是由COSO2在1992年发布了《内部控制——整体框架》(InternalControl-IntegratedFramework)，该框架为企业提供了一个评估其内部控制质量的标准，被广泛地应用于各个行业和国家。COSOPCAOB32COSO是指控制框架委员会（CommitteeofSponsoringOrganizationsoftheTreadwayCommission），会（IIA）、美国证券业协会（SIA）和美国管理会计师协会（IMA）所组成的联合体。3PCAOB（PublicCompanyAccountingOversight的缩写。PCAOB2002年，是一个非营利的、由政府设立的机构，其主要职责是监管和规范对公开公司的审PCAOB还能够对违反法规或规范的PCAOB的监管适用于上市公司及其PCAOB的审计程序并遵守其规定。4MiriamHechlerBaer，GoverningCorporateCompliance，50B.C.L.Rev.949，958(2009).泛的预防措施。这些通常被更具象地形容为“和官员以及一个面向员工的热线电话”5。美国合规沿革代经济规制的特性，被视为美国回应型法律发展的典型制度。而回应型监管(responsiveregulation)，也成了监管领域的趋势共识和代表性标签。织量刑指南（联邦量刑指南的一个章节）就是针对企业行为的量刑规定。19841988年发布了草稿，其中并没有明确规定若企业已采取合规管理体系就可以减少罚金的机制，只是建议减少19914月，联邦委员从而降低罚金。2004年的修订要求合规应推动组织文化，鼓励伦理行为。指南5PhilipA.Wellner，EffectiveComplianceProgramsandCorporateCriminalProsecutions，27CardozoL.Rev.497，501(2005).93个涉及有效的公—客户(attorney-client)保密和工作底稿(workproductprotection)中国合规沿革207020062008国的合规管理才得到广泛关注。2022了一般公司去严肃审视这一机制。第一个标志性事件发生于20072011年受到人们普遍关注——“中国概念股”公司在美国上市之后遭遇到各种信息第二个标志性事件是由于“域外长臂管辖原则”6的确立，使得跨国公司的经营6管理风险上升到可能遭受刑事处罚的层面，如中兴通讯、华为等案件7，这些事和注意义务，到最后，形成这一制度的共同目标：引导公司成为“良善公民”(goodcitizen)象和市场竞争力，从而实现可持续发展。（二）合规渊源“合规规范”“合规规范”作为专用术语。根据《央企办法》第三条：“本办法所称合规，是指企业经营管理行为”用以阻止非法行为，尤其是防止诸如洗钱、内幕交易、贿赂、会计和银行欺诈，在没有实际存在的联系或活动的情况下，向其领土之外的个人或企业施加管辖权。长臂管辖原则通常适用于以下情况：跨国公司在该国家内的子公司或分支机构有实际活动；跨国公司的行为在该国家内产生了后果或影响；跨国公司与该国家的民众或企业有着商业上的关系或者合同关系。长臂管辖原则有助于解决跨国公司在国际商务活动中可能引起的纠纷，保护被侵权方的权益，并促进国际贸易的健康发展。但同时也要注意，这种管辖权应该在国际法和相关国际协定的框架下行使，避免滥用和对其他国家主权的侵犯。72018暂停了其在美国的业务。后来，中兴通讯同意缴纳罚款并达成和解，以解决此次贸易争端。2019国际上对于华为在国际市场上的地位和发展的广泛讨论和关注。这些事件涉及到国际贸易、知识产权保护、国家安全等多个领域，对于跨国公司和国际经济发展都有着重要的影响。同时也反映了在全球化和自由贸易背景下，国家间的经济和政治关系的复杂性和敏感性。合规强调的是减少雇员的非法行为风险，公司由此可以降低所承担的上级(respondentsuperior)两种区分，也被学者形象地称之为：合规与正直(integrity)8。具体而言包括：外部合规规范内部合规规范国际条约、国际规则以及国际组织决定企业与第三方之间订立的合同或协议商业惯例等企业对外自愿性承诺，如环境承诺、促销承诺等国内法渊源企业章程、股东会决议、董事会决议、管理层决议等行业强制性准则行业自律性准则强制性标准企业依选择适用的非强制性国家标准、行业标准以及企业标准法院判决和行政决定企业内部规章管理制度商业惯例/道德准则/ISO37301:2021以及《央企办法》的8LynnSharpPaine，ManagingforOrganizationalIntegrity，72Harv.Bus.Rev.106(1994).第三，定期开展企业内部员工的合规培训，及时的普法释法。三、合规管理体系建设关键要素解析草了《央企办法》，经由国资委党委会、委务会审议通过后印发并实施。（ISO37301:2021）PDCA管理循环9加强员工教育和培训，增强员工法律意识和合规意识；第三，完善供应商管理，（一）合规要求之组织架构完善解读：9PDCA是全面质量管理的思想基础和方法依据。PDCA循环的含义是将质量管理分为四个阶段，即Plan（计划执行Check（检查Act（处理版社，2013。ISO37301:20215.3andauthorities”，5.3.1明确了“Governingbodyandtopmanagement”的职责权Compliancefunction明确了执行人员“Management”的职责（具体详见下表）。相关条款：ISO37301:2021《央企办法》Roles，responsibilitiesandauthoritiesGoverningbodyandtopmanagementThegoverningbodyandtopmanagementshallensurethattheresponsibilitiesandauthoritiesforrelevantrolesareassignedandcommunicatedwithintheorganization.Thegoverningbodyandtopmanagementshallassigntheresponsibilityandauthorityfor：ensuringthatthecompliancemanagementsystemconformstotherequirementsofthisdocument；reportingontheperformanceofthecompliancemanagementsystemtothegoverningbodyandtopmanagement.Thegoverningbodyshall：——ensurethattopmanagementismeasuredagainsttheachievementofcomplianceobjectives；确保最高管理者的管理绩效可以根据合规目标的实现程度进行测量；——exerciseoversightovertopmanagementregardingtheoperationofthecompliancemanagementsystem.对最高管理者运行合规管理体系的情况进行监督。Topmanagementshall：——allocateadequateandappropriateresourcestoestablish，develop，implement，evaluate，maintainandimprovethecompliancemanagementsystem；为建立、开发、实施、评估、保持和改进合规管理体系，配置足够且适宜的资源；——ensurethateffectivesystemsoftimelyreportingoncomplianceperformanceareinplace；确保建立及时有效的合规绩效报告制度；第五条中央企业合规管理工作应当遵循以下原则：（一）坚持党的领导。充分发挥企业党委（党组）领导作用，落实全面依法治国战略部署有关要求，把党的领导贯穿合规管理全过程。第二章组织和职责（党组挥把方向、管大局、促落实的领导作用，推动合规要求在本企业得到严格遵循和落实，不断提升依法合规经营管理水平。央企业应当严格遵守党内法规制（组）领导下，按照有关规定履行相应职责，推动相关党内法规制度有效贯彻落实。第八条中央企业董事会发挥定战略、作决策、防风险作用，主要履行以下职责：（一）审议批准合规管理基本制——ensurealignmentbetweenstrategicandoperationaltargetsandcomplianceobligations；确保战略和运营目标与合规义务相协同；——establishandmaintainaccountabilitymechanismsincludingdisciplinaryactionsandconsequences；建立和维护问责机制包括纪律处分和结果；——ensuretheintegrationofcomplianceperformanceintoperformanceappraisalsofpersonnel.确保合规绩效与人员绩效考核挂钩。CompliancefunctionThecompliancefunctionshallberesponsiblefortheoperationofthecompliancemanagementsystemincludingthefollowing：——facilitatingtheidentificationofcomplianceobligations；促进识别合规义务；——documentingthecomplianceriskassessment(see4.6)；记录对合规风险的评估(参见4.6)；——aligningthecompliancemanagementsystemwiththecomplianceobjectives；使合规管理体系与合规目标保持一致；——monitoringandmeasuringcomplianceperformance；监视和测量合规绩效；——analysingandevaluatingtheperformanceofthecompliancemanagementsystemtoidentifyanyneedforcorrectiveaction；分析和评估合规管理体系的绩效，以决定是否需要采取纠正措施；——establishingacompliancereportinganddocumentingsystem；建立合规报告和记录制度；——ensuringthecompliancemanagementsystemisreviewedatplannedintervals(see9.2and9.3)；确保按计划的时间间隔对合规管理体系进行评审(参见9.2和9.3)；——establishingasystemforraisingconcernsandensuringthatconcernsareaddressed.建立质疑以及确保质疑得到解决的制度。Thecompliancefunctionshallexerciseover-sightthat：——responsibilitiestoachieveidentifiedcomplianceobligationsareappropriatelyallocatedthroughouttheorganization；履行已识别的合规义务的职责在整个组织内得到有效分配；——complianceobligationsareintegratedintopolicies，processesandprocedures；合规义务纳入方针、过程和程序；——allrelevantpersonnelaretrainedasrequired；所有相关人员按要求接受培训；——complianceperformanceindicatorsareestablished.建立合规绩效指标。Thecompliancefunctionshallprovide：

（二）研究决定合规管理重大事项。（三）推动完善合规管理体系并对其有效性进行评价。（四）决定合规管理部门设置及职责。第九条中央企业经理层发挥谋经营、抓落实、强管理作用，主要履行以下职责：（一）拟订合规管理体系建设方案，经董事会批准后组织实施。（二）拟订合规管理基本制度，批准年度计划等，组织制定合规管理具体制度。（三）组织应对重大合规风险事件。（四）指导监督各部门和所属单位合规管理工作。第十二条中央企业应当结合实际设立首席合规官，不新增领导岗位和职数，由总法律顾问兼任，对企业主要负责人负责，领导合规管理部门组织开展相关工作，指导所属单位加强合规管理。第十三条中央企业业务及职能部门承担合规管理主体责任，主要履行以下职责：（一）建立健全本部门业务合规管理制度和流程，开展合规风险识别评估，编制风险清单和应对预案。（二）定期梳理重点岗位合规风险，将合规要求纳入岗位职责。（三）负责本部门经营管理行为的合规审查。（四）及时报告合规风险，组织或者配合开展应对处置。（五）组织或者配合开展违规问题调查和整改。中央企业应当在业务及职能部门设置合规管理员，由业务骨干担任，接受合规管理部门业务指导和培训。第十四条中央企业合规管理部——personnelwithaccesstoresourcesoncompliancepolicies，processesandprocedures；向相关人员提供与合规方针、过程和程序有关的资源；——advicetotheorganizationoncompliance-relatedmatters.就合规相关事宜向组织提供建议。Theorganizationshallensurethatthecompliancefunctionisgivenaccessto：——senior decision-makers and the opportunity contributeearlyinthedecision-makingprocesses；接触高级决策者，并在决策过程中有早期提出建议的机会；——alllevelsoftheorganization；接触组织的所有层级；——allpersonnel，documentedinformationanddataneeded；接触所有需要的人员、文件化信息和数据；——expertadviceonrelevantandorganizationalstandards.就相关法律、法规、规范和组织标准收集专家意见。ManagementManagementshallberesponsibleforcompliancewithinitsareaofresponsibilityby：——cooperating withandsupportingthecompliancefunctionandencouragingpersonneltodothesame；配合和支持合规职能并鼓励员工共同参与；——ensuringthatallpersonnelwithintheircontrolarecomplyingwiththeorganization'scomplianceobligations，policies，processesandprocedures；确保其管理范围内的所有人员都遵守组织的合规义务、方针、过程和程序；——identifyingandcommunicatingcompliancerisksintheiroperations；识别其运营中的合规风险并进行沟通；——integratingcomplianceobligationsintoexistingbusinesspracticesandproceduresintheirareasofresponsibility；在其职责范围内将合规义务融入现有的商业惯例和程序；——attendingandsupportingcompliancetrainingactivities；参加并协助合规培训活动；——developingpersonnelawarenessofcomplianceobligationsanddirectingthemtomeettrainingandcompetencerequirements；培养员工的合规意识，指导他们满足培训和能力要求；——encouragingtheirpersonneltoraisecomplianceconcernsandsupportingthemandprecludinganyformofretaliation；鼓励并支持员工提出合规质疑，并防止任何形式的报复；——activelyparticipatinginthemanagementandresolutionofcompliance-relatedincidentsandissuesas

门牵头负责本企业合规管理工作，主要履行以下职责：（一）组织起草合规管理基本制度、具体制度、年度计划和工作报告等。（二）负责规章制度、经济合同、重大决策合规审查。（三）组织开展合规风险识别、预警和应对处置，根据董事会授权开展合规管理体系有效性评价。（四）受理职责范围内的违规举报，提出分类处置意见，组织或者参与对违规行为的调查。（五）组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进合规管理信息化建设。中央企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员，加强业务培训，提升专业化水平。requiredrequired；根据要求积极参与合规相关事件和问题的管理、解决；——ensuringthat，oncetheneedforcorrectiveactionisidentified，appropriatecorrectiveactionisrecommendedandimplemented.确保一经确定需要采取纠正措施时，适当的纠正措施能够得到推荐并实施。（二）合规要求之资源支持解读：ISO37301:20217.1条明确规定“资源：组织应确定并提供建立、实施、ISO37301:2021将这些支持定义为“Resources”，而《办法》将其定义为“必要条件”，但本所律师认为，即便表述不同，其内涵均要求企业为合规构建全方位多维度的资源与条件供给。相关条款：ISO37301:2021《央企办法》7.1ResourcesTheorganizationshalldetermineandprovidetheresources第六条中央企业应当在机构、人neededfortheestablishment，implementation，maintenanceandcontinualimprovementofthecompliancemanagementsystem.工作提供必要条件，保障相关工作有序开展。（三）合规要求之运行监督解读：ISO37301:2021A8.3条规定了组织人员可提出“合理怀疑：必要时，应A8.4条对举报（行为，以减轻不合规行为的后果”。ISO37301:2021中“报告疑虑制度”效果类似，均确定了“对举报内容、举报者保密”“保护举报者免于遭受报复”等原则。37301:2021参考适用国际标准。相关条款：ISO37301:2021《央企办法》A.8.3Raisingconcerns第十三条中央企业业务Whereappropriate，escalationshouldbetotopmanagementandthe及职能部门承担合规管理governingbody，includingrelevantcommittees.主体责任，主要履行以下Evenwhennotrequiredbylocalregulation，organizationsshould职责：considerdevelopingawhistleblowermechanismtoallowfor……anonymityorconfidentiality，wherebytheorganization'semployees（五）组织或者配合开展andagentscanreportorseekguidanceofnoncompliancewithoutfearofretaliation.FormoreguidanceonwhistleblowingmanagementsystemsseeISO/DIS37002.违规问题调查和整改。第二十四条中央企业应InvestigationprocessAcharacteristicofaneffectivecompliancemanagementsystemisawell-functioningmechanismforthetimelyandthoroughinvestigationofanyallegationsorsuspicionsofmisconductbytheorganization，itspersonnelorrelevantthirdparties.Thisincludesthedocumentationoftheorganization'sresponse，includinganydisciplinaryorremediationmeasurestaken，andrevisionsofthecompliancemanagementsystemconsideringlessonslearned.Aneffectiveinvestigationmechanismidentifiestherootcausesofmisconduct，vulnerabilitiesofthecompliancemanagementsystemandaccountabilitylapses，includingamongmanagers，topmanagementandthegoverningbody.Athoughtfulroot-causeanalysisaddressestheextentandpervasivenessofthenoncpianchenuberandeelofhepersonnlnovedandtheseriousness，durationandfrequencyofthenoncompliance.Organizationsshouldmakesurethattheinvestigationsarefairandindependent.Theyshouldconsider，whenappropriate，creatingindependentcommitteestooverseetheinvestigationandguaranteetheircompletenessandindependence.Theorganizationshouldestablishareportingmechanismoninvestigations，includingtheleveluptowhichthefindingsofinvestigationsaretobereported.NOTEOrganizationsaresometimesrequiredbylawtoreportnoncpiance.Insuchcasesreuaoryauhoresarenformednaccordancewiththeapplicableregulations，orasotherwiseagreed.Eveniforganizationsarenotrequiredbylawtoreportnoncompliance，theycanconsidervoluntaryself-disclosureofnoncompliancetoregulatoryauthoritiestomitigatetheconsequencesofnoncompliance.（四）合规要求之信息化建设解读：

布举报电话、邮箱或者信箱，相关部门按照职责权限受理违规举报，并就举报问题进行调查和处理，对造成资产损失或者严重不良后果的，移交责任追究部门；对涉嫌违纪违法的，按照规定移交纪检监察等相关部门或者机构。中央企业应当对举报人的身份和举报事项严格保密，对举报属实的举报人可以给予适当奖励。任何单位和个人不得以任何形式对举报人进行打击报复。ISO37301:20217.5版本控制规培训、违规行为记录等纳入信息系统，与ISO37301:2021对文件化信息的管理理念不谋而合。相关条款：ISO37301:2021《央企办法》7.5.3ControlofdocumentedinformationDocumentedinformationrequiredbythecompliancemanagementsystemandbythisdocumentshallbecontrolledtoensure：itisavailable，andsuitableforuse，whereandwhenitisneeded；itisadequatelyprotected(e.g.fromlossofconfidentiality，improperuse，orlossofintegrity).Forthecontrolofdocumentedinformation，theorganizationshalladdressthefollowingactivities，asapplicable：——distribution，access，retrievalanduse；——storageandpreservation，includingpreservationoflegibility；——controlofchanges(e.g.versioncontrol)；——retentionanddisposition.Documentedinformationofexternalorigindeterminedbytheorganizationtobenecessaryfortheplanningandoperationofthecompliancemanagementsystemshallbeidentified，asappropriate，andcontrolled.第五条中央企业合规管理工作应当遵循以下原则：（四第六章信息化建设第三十三条中央企业应当加强合规管理信息第三十四条中央企业应当定期梳理业务流第三十五条中央企业应当加强合规管理信息第三十六条中央企业应当利用大数据等技术，加强对重点领域、关键节点的实时动态监测，实现合规风险即时预警、快速处置。（五）合规要求之建立合规体系并持续改进解读：ISO37301:20214.4（10.1系设计和运行的有效性；充足资源的可用性；职责和权限的分配或再分配”。相应调整内部规章制度的建立。相关条款：ISO37301:2021《央企办法》4.1UnderstandingtheorganizationanditscontextTheorganizationshalldetermineexternalandinternalissuesthatarerelevanttoitspurposeandthataffectitsabilitytoachievetheintendedresult(s)ofitscompliancemanagementsystem.Forthispurpose，theorganizationshallconsiderabroadrangeofissues，includingbutnotlimitedto：——thebusinessmodel，includingstrategy，nature，sizeandscalecomplexityandsustainabilityoftheorganization'sactivitiesandoperations；商业模式，包括组织活动和运营的战略、性质、规模、复杂性和可持续性；——thenatureandscopeofbusinessrelationswiththirdparties；与第三方业务合作的性质和范围；——thelegalandregulatorycontext；法律和法规要求；——theeconomicsituation；经济环境；——social，culturalandenvironmentalcontexts；社会、文化、环境因素；——internalandresources，includingtechnology；内部组织架构、方针、过程、程序和资源包括技术；——itscomplianceculture.自身的合规文化。4.4CompliancemanagementsystemTheorganizationshallestablish，implement，maintainandcontinuallyimproveacompliancemanagementsystem，includingtheprocessesneededandtheirinteractions，inaccordancewiththerequirementsofthisdocument.Thecompliancemanagementsystemshallreflecttheorganization'svalues，objectives，strategyandcompliancerisks，takingintoaccountthecontextofthe第三章制度建设第十六条中央企业应当建立健效力层级等，构建分级分类的合规管理制度体系。第十七条中央企业应当制定合第十八条中央企业应当针对反垄断、反商业贿赂、生态环保、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。第十九条中央企业应当根据法律法规、监管政策等变化情况，及时对规章制度进行修订完善，对执行落实情况进行检查。organization.(see4.1)organization.(see4.1)10.1ContinualimprovementTheorganizationshallcontinuallyimprovethesuitability，adequacyandeffectivenessofthecompliancemanagementsystem.Whentheorganizationdeterminestheneedforchangestothecompliancemanagementsystem，thechangesshallbecarriedoutinaplannedmanner.Theorganizationshallconsider：——thepurposeofthechangesandtheirpotentialconsequences；——thedesignandoperationaleffectivenessofthecompliancemanagementsystem；——theavailabilityofadequateresources；——theallocationorreallocationofresponsibilitiesandauthorities.（六）合规要求之合规文化氛围形成解读：37301:20213.28条还指出“合规文化贯穿整个组织（3.1）的价值观、道德准则、信5.1.2条要求“组织应建立、维护并在其各个层级上（党组法治好的合规文化。可以说，《央企办法》为央企构建完备的合规体系提供了具体的操作指南，是我国结合自身国情而对国际标准的进一步量化。例如：建立常态化合规员工培训机制、适时发布合规指引，定期组织签订合规承诺文件等。相关条款：ISO37301:2021《央企办法》IntroductionOneoftheobjectivesofthisdocumentistoassistorganizationstodevelopandspreadapositivecultureofcompliance，consideringthataneffectiveandsoundmanagementofcompliancerelatedrisksshouldberegardedasanopportunitytopursueandtake，duetotheseveralbenefitsthatitprovidestotheorganizationsuchas：——improvingbusinessopportunitiesandsustainability；——protectingandenhancinganorganization'sreputationandcredibility；——takingintoaccountexpectationsofinterestedparties；——demonstratinganorganization'scommitmenttomanagingitscomplianceriskseffectivelyandefficiently；——increasing the confidence of third parties in organization'scapacitytoachievesustainedsuccess；——minimizingtheriskofacontraventionoccurringwiththeattendantcostsandreputationaldamage.3.28Compliancecultureandconduct(3.29)thatexistthroughoutanorganization(3.1)andinteractwiththeorganization'sstructuresandcontrolsystemstoproducebehaviouralnormsthatareconducivetocompliance(3.26).5.1.2CompliancecultureTheorganizationshalldevelop，maintainandpromoteacompliancecultureatalllevelswithintheorganization.Thegoverningbody，topmanagementandmanagementshalldemonstrateanactive，visible，consistentandsustainedcommitmenttowardsacommonstandardofbehaviourandconductthatisrequiredthroughouttheorganization.Topmanagementshallencouragebehaviourthatcreatesandsupportscompliance.Itshallpreventandnottoleratebehaviourthatcompromisescompliance.第五章合规文化第二十九条中央企业应当（党组）法治专题学习，推动企业领导人员强化合规意识，带头依法依规开展经营管理活动。第三十条中央企业应当建立常态化合规培训机制，制定年度培训计划，将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容。第三十一条中央企业应当加强合规宣传教育，及时发布合规手册，组织签订合规承诺，强化全员守法诚信、合规经营意识。第三十二条中央企业应当引导全体员工自觉践行合规理念，遵守合规要求，接受合规培训，对自身行为合规性负责，培育具有企业特色的合规文化。ISO外合规管理的认证。四、不同领域专项指引根据《央企办法》第十八条规定，中央企业应当针对反垄断、反商业贿赂、（一）数据安全保护专项企业在数据合规方面需要根据相关数据法律法规的要求来落实数据安全相2021规及部门规章。其中，《中华人民共和国民法典》（以下简称《民法典》）于202111“隐私权和个人信息保护”202191（2021111规定了个人信息处理者对于个人信息处理活动各个阶段的保护要求及个人信息2021年发布了很多重要的数2021730护条例》、20211228日发布的《网络安全审查办法》等。同时，许多地2021管理办法》等。（以下面将针对数据合规最重要的《数安法》《个保法》的合规要求进行具体分析。此外，还有一些指导文件和地方性的数据合规指引也需要企业引起注意。《数安法》合规分析角色法律条款合规分析其他相关法律法规相关标准数据处理者第二条在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。数据存储、处理是否都在境内GB/T《信息安全技术网络安全等级保护基本要求》；GB/T37988-2019《信息安全技术数据安全能力成熟度模型》；GB/T41479-2022《信息安全技术网安全技术个人信息安全规范》；GB/T37964-2019信息去标识化指南》第二条在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。数据出境需重点关注是否涉及国家重要数据、公共数据、个人信息、组织数据等未经批准的情况GB/T35273-2020《信息安全技术个人信息安全规范》重社会公德和伦利益，不得损害个数据处理如涉及国家重要数据、公共数据、个人信息、组织数据等，是否有合法审批或授权人、组织的合法权益。开展数据处理活保护义务。是否制定了各类数据安全管理制度，涵盖数据收集、存储、使用、加工、传输、提供、公开等各个处理活动；是否制定了组织保障制度，以及定期开展数据安全培训；是否采取了数据分类分级、数据加密、脱敏、访问控制、水印、审计、备份等各类技术措施。《网安法》《个保法》《密码法》第二十七第二款负责人和管理机保护责任。是否制定了组织保障制度，并明确了相关负责人及机构的责任合社会公德和伦理。数据处理是否对经济或社会公德等造成伤害《互联网信息服务算法推荐管理规定》第二十九条开展取了相关风险监关技术措施数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。第三十二条任何括数据收集的范组织、个人收集数正当的方式，不得窃取或者以其他非法方式获取数据。第三十四条法律、是否取得了法律、法规规定的行政许可行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。第三十五条公安机关、国家安全机关因依法维护国家规定，经过严格的是否配合公安要调取数据、国安等因公需批准手续，依法进行，有关组织、个人应当予以配合。第三十六条中华外国司法或执法机构要求企业提供数据，是否向主管机关进行报批人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。重要数据的处理者第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告是否定期开展风险评估，并向主管部门报送评估报告《网络安全审查办法》据的出境安全管务院有关部门制定。数据出境是否经网估批准信办进行评估批准《数据出境安全评估办法》第三十八条国家否有法律法规依施机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。是否制定了各类数据安全管理制度，涵盖数据收集、存安全。储、使用、加工、传输、提供、公开等各个处理活动；是否制定了组织保障制度，以及定期开展数据安全培据分类分级、数据加密、脱敏、访问《网安法》《个保法》《密码法》全保护条法》GB/T39477-2020《信息安全技术政务信息共享数据安全技术要求》控制、水印、审计、备份等各类技术措施。《个保法》合规分析其他相关法其他相关法相关标准律法规合规分析法律条款角色个人信息处理者息的种类以及对个人权益权的访问以及个人信息泄露、篡改、丢失。是否有制定相关管理制预案《数安法》《密码法》GB/T35273-2020《信息安全技术个人信息安64-2019《信息安全技术个人信息去标识化指南》负责对个人信息处理活动以及采取的保护措施等进行监督。是否指定了个人信息保护负责人情况进行合规审计。是否定期组织合规审计事前进行个人信息保护影记录。是否制定了个人信息安全评估制度《网络安全审查办法》GB/T39335-2020估指南》是否有个人信息安全事件应急处置制度重要务：（一全个人信息保护合规制度组成的独立机构对个人信息保护情况进行监督；（二明确平台内产品或者服务提供者处理个人信息的规（三）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（四）定期发布个人信息保护社会责任报告，接受社会监督。台对个人信息处理的规责任报告《互联网信息服务算法推荐管理规定》互联网平台服务/用户数量巨大/业务类型复杂的个人信息处理者数据合规评估思路进行的数据安全评估在评估目标、评估模型和评估方法上存在明显差异。采用自动化评估工具进行评估。人工调研为辅的方式进行展开。总之，数据安全合规评估的目的是确保企业符合法规要求，提高数据安全合规水平。数据安全合规评估要点基础级标准级优化级组织保障建立了数据安全组织架构，并任命了数据安全责任人。数据安全组织架构分为决策、管理、执行及监督几个层面，并分别任命了具体负责人及职责要求。任命的人员技能是否与职责匹配。规范制度制定了数据安全相关的规范制度，包括数据分类分级规范、数据安全管理规范、数据安全运营管理规范、数据安全培训数据安全规范制度均有执行结果，如数据分类分级规范可以校验数据分类分级标签、数据培训制度可以校验是否有培训会议纪要等。数据安全规范制度落实效果评估，如数据安全培训进一步评估培训会议效果是否达到；数据安全运营管理规范是否有按规范要求组织相关运营措施，如数据安全应急演练、数据安全漏洞排查。技术工具数据处理活动关键点采用了数据鉴权控制、数据访问控制、数据加密、数据脱敏、数据分类分级、数据水印、数据审计等技术措施进行数据安全控制。数据安全技术工具有实际使敏策略等。数据安全技术工具应用效果评估，如各类安全策略是否有效。、（二）反商业贿赂专项、1977年，美国国会通过了《反海外腐败法》，要求上市企业必须建立包括20022008——弗兰克合规计划逐渐融入各国法律实践，并广泛应用于企业犯罪的预防和规制领域。机构不正当竞争有关问题的批复》。“商业组织预防贿赂失职罪并将合规计划规定为法定抗辩事由；20012316裁就可以被免除。（三）反垄断专项20189182020911日，国家反垄断委员会印发了《经营者反垄断指南》；2022年，《中华人民共和国反垄断法》进行了修订；20233月，市场监管总局发布了2023415国反垄断合规的规范基础已经初步确立。“识别－评估－提示与控制”的管理。垄断风险的识别中发生的垄断风险。治理人员应该根据企业业务特性并结合数字市场竞争状况等外部因素有针对性垄断风险的评估标准与类型判定高风险行为垄断协议１涉嫌利用数据、算法、平台规则、技术手段固定价格、分割市场、限制产（销）量、限制新技术（产品）、联合抵制交易；２涉嫌利用数据、算法、平台规则、技术手段固定转售价格、限定最低转售价格；３涉嫌组织或者协调平台内经营者达成垄断协议；高风险行为垄断协议１涉嫌利用数据、算法、平台规则、技术手段固定价格、分割市场、限制产（销）量、限制新技术（产品）、联合抵制交易；２涉嫌利用数据、算法、平台规则、技术手段固定转售价格、限定最低转售价格；３涉嫌组织或者协调平台内经营者达成垄断协议；…………滥用市场支配地位１涉嫌利用数据、资本、流量等优势以低于成本价格销售商品（服务）；２涉嫌在算法、技术、平台规则、流量分配等方面设置不合理的限制和障碍；３涉嫌控制平台经济领域必需设施，拒绝与交易相对人交易；４涉嫌通过屏蔽店铺、搜索降权、流量限制、技术障碍等限定交易；５涉嫌利用格式条款、弹窗、操作必经步骤等交易相对人无法选择、更改、拒绝的方式实施搭售行为；６涉嫌通过搜索降权、流量限制、技术障碍等强制交易相对人接受其他商品或者服务；７涉嫌过度收集用户信息或者附加与交易标的无关的交易条件、服务项目；８涉嫌基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等实行差异性定价；９涉嫌要求平台内经营者在商品价格、数量等方面向其提供优于竞争性平台的交易条件；10涉嫌利用服务协议、交易规则手段，对平台内经营者在平台内交易、交易价格以及与其他经营者的交易进行不合理限制或附加不合理条件…………经营者集中１涉嫌达到《国