您好,欢迎来到ACCP官方网站!

【活动回顾】2017ACCP合规高峰论坛大品牌及互联网分会场报道

原创2017-12-13 合规行业专业圈


大品牌分会场

Great Brand Branch


中国企业面对的美出口管制法合规问题


嘉宾:海华永泰律师事务所高级合伙人   徐珊珊


徐律师是波士顿大学法学硕士、复旦大学法学博士,1997至2004年在该校法律系任教,并对海关关员进行培训,讲授国际贸易法、国际税法、海关法等课程。本次就很多拥有核心技术的会员所在企业,所担心的出口管制问题,做个探讨。


徐律师就美国出口管制审批体系与法规体系进行了深入精细的讲解和分析。对军品和两用物项进行出口管制涉及管制机构有商务部、国务院、美国航空航天局、国防部、能源部、运输部等。无论是军品还是两用物项,所涉企业都需要进行自查,涉及到五类问题需要自己考虑清楚:交易的标的是什么?谁会卷入到交易之中?标的物将去向何方?该产品为什么要出口?交易及其中每一步何时发生?除此之外,企业还需要深入自省是不是有任何理由可能使其出口,再出口,再转让技术,货物,原料,有可能涉及到美国出口法的管制。


其中徐律师重点讲解了对于两用物项进行管制的美国出口法规EAR和相关管理方法ECCN号的细节。并对法律风险与制裁案例容易受到影响的企业类型做了解析。


之后,徐律师还分享了美国出口管制法案带来的问题和对中国出口管制法草案的思考。比如在美国出口管制法项下的管辖权问题,在美国出口管制法项下的在出口和视同出口问题,在数据化工作环境下的美国出口管制法的挑战,中国崛起和对华贸易的挑战,以及奥巴马政府改革措施:“四统一”改革建议,统一审批机关、统一管制目录、统一执法协调机构、统一信息技术系统;特朗普上台后,出现新的变数。


最后,徐律师还回答了与会嘉宾关于海关法方面的问题,以及关于军品出口方面的问题。



网络安全与数据合规


嘉宾:微软合规总监                        George Le

      西门子集团合规总监                  Aili Zhao

          中伦律师事务所合伙人                      Gary Gao

      美国凯易国际律师事务所合伙人      Tiana Zhang



工业4.0大数据以及网络安全法

在大工业背景下的情况


George:现在这个时代正是个飞速发展的时代。从工业1.0到工业4.0一共经历了四代,第一次工业革命是蒸汽、水力、机械生产设备时代,第二次工业革命是劳动分工、电力、大规模生产时代,第三次工业革命是电子、信息科技、自动化生产时代,第四次工业革命是网络空间和物理世界万物链接时代。在不断飞速发展中,我们发现了很多的合规风险也在慢慢产生变化,原来的传统的合规风险管控不一定跟得上对新工业时代的发展带来的新的合规风险的管理。现在很多企业运用人工智能、大数据来研发产品,这其中数据就涉及到包括搜集、储存、使用、转移,销毁等方面,也引起了隐私、安全的担忧,实际上新的技术和创新在为我们带来生活便利的同时也为我们带来了新的风险。


Tiana:我们今天主要来探讨一下在这样的背景下出台的《网络安全法》,《网络安全法》中谈到了很多对隐私的保护与数据的促进等等。网络安全法非常重要,可以说和我们的生活与工作都是息息相关的。企业未来的发展离不开数据、离不开云,我们怎样在网络安全法下去合规、怎样在新的工业环境下既能做好自己的业务又能避免新的风险?


Aili:西门子在过去的170年里经历了并在多个领域引领了以电气化大批量生产为标志的第二次工业革命及以自动化为标志的第三次工业革命。在现今的第四次工业革命-智能化时代-西门子依然是领先者。西门子正在推向市场的MindSphere是一个基于云的开放式物联操作系统。MindSphere通过收集设备数据,再通过应用程序对数据进行分析,挖掘数据价值。以数字工厂为例,工厂管理者这在云平台上随时可视化监控企业的运营,分析设备及生产线的运行健康状况,资源能源利用情况,从而依此随时准确作出优化生产决策。此类智能服务是如何实现的?设备本身带有传感器,设备通过连接器连接到物联网上,设备运行过程中产生的数据随时收集并传到云端,物联网上操作系统(MindSphere)把大数据变成智能数据,为客户挖掘和实现价值。


George:事实上,大数据,物联网和云的运用实例,在我们的衣、食、住、行、用等日常生活的各个方面随处可见。北京的交通非常堵,微软的大数据和云技术帮助政府分析有关交通信息,可以实时看到每天24小时内何时何地的交通拥堵情况,以便政府在做城市规划如拓宽拥堵段路面时提供决策依据。大家都知道摩拜单车,可能不知道的是摩拜单车的整个数据平台建立在微软Azure云平台上,实现了高效统一的数字化管理。另外,大家知道走失儿童对家庭带来的悲痛,微软与公安部门在几年前就合作开发了“宝贝回家”项目,通过微软的人脸识别技术,找到许多走失儿童,甚至有些儿童已经走失了多年,脸部特征已经有了很多变化。


高俊律师
概述《网络完全法》


严格意义上说,网络安全法是一个对互联网安全、保护技术措施规定、电信和互联网用户个人信息保护规定的一个整合。网络安全法整合后对业界的人提出了一个更高的要求,比方说对关键信息基础设施运营者提出了更高的责任要求,对于软硬件、对于数据的跨境传输也提出了新的要求,同时也加给他们很多的义务。

 

网络安全法有几个亮点:

1、明确了网络空间主权的原则。

这一点容易受到诟病,从好的地方来说,网络空间的安全以及对数据的掌握是未来国力竞争的一个很重要的东西。但是如果处理不当的话,对一些数据的处理和我们管理制度落后结合在一起,那就成了一个很大的毛病,因为互联网本身是信息自由,它打破了原来既有的疆界,一方面我们要保护它,一方面不能够回到在网络上再筑立一个新的长城。未来会带来什么我们暂不清楚,但是从法律的角度上来说网络安全法明确了网络空间主权的原则。


2、明确了网络运营者的安全义务。


3、明确了网络产品和服务提供者的安全义务。

例如在我们看腾迅新闻、网易之类时,不难发现它会根据我们的习惯爱好来不断地推送我们喜欢的信息。这时我们的信息已经被处理过了,那么此时我们在运营商那里理论上是暴露出来的。举个例子,假如我们为了讨债需要去采集一些信息,我们有一些可共享的数据,那么这个共享我们能不能透明?实际上,透明以后我们根本无法对照,因为我们就是想把个人资产和个人信息能够连接起来,那么这时候有没有侵犯个人权益?有没有回到民法最基本的内容去讨论?信息保护和公平正义的边界在哪里?这些也是值得我们去探讨的。


4、进一步完善了个人信息保护规则。


5、建立了关键信息基础设施安全保护制度。


6、确立了关键信息基础设施重要数据跨境传输的规则

根据《网安法》重要的配套规定之一——《个人信息和重要数据出境安全评估办法(征求意见稿)》,数据达到一定的量必须要报请行业主管或监管部门组织安全评估。


核心概念定义模糊且宽泛:

1、网络运营者的定义模糊且宽泛。《网络安全法》的第二条说在中华人民共和国境内建设、运营、维护和使用网络的都属于运营者。相比以前,现在进一步全部罗列到网络上面来,这时也不再区分内资外资,不区分服务是否收费,这个范围基本把所有人都囊括进去了。网络运营者这一核心概念包含了三个子概念,即网络的所有者、管理者和网络服务提供者,但《网络安全法》并未就三个子概念给出具体的定义。对于网络,我们的理解是对于终端设备等硬件而建立起来的信息系统。基于这个理解,我们认为网络的所有者、管理者是指这个信息系统的拥有者和管理者,比如说是移动、联通、电信等。此外,网络服务提供者必须要依据网络提供服务,但是对于该等服务没有做进一步的明确,那么应用商店、电商平台、网约车平台是否落入这个领域我们暂不清楚。对于服务提供商,我们认为基本上有四种类型:提供网络揭露服务的服务提供商、提供缓存服务的服务提供商、提供信息储存服务的服务提供商、提供搜索和链接服务的服务提供商。


2、《网络安全法》对关键信息基础设施运营者定义宽泛且模糊,几乎囊括了社会生活的各个方面。这也导致了我们面临一个很大的问题,就是一旦你被归到到这个运营者,其实你要加重很多义务。


《网络安全法》31条是非常清楚的,比如国家对公共通讯、信息服务、人员交通、水利金融等等,这些一旦遭到破坏、丧失功能或者数据泄漏,可能会影响到国家安全、国际名声的关键基础设施在网络安全等级基础上进行重点保护,但是关键是它的配套文件《关键信息基础设施安全保护条例征求意见》等现在还处于意见征询稿阶段,我们只看到第18条上有规定,基本上还是对一些些可能严重危害国家安全、国计民生、公共利益的重要的设施和政府设施,如电网、水力等做的很宽泛的、囊括式的定义。


3、《网络安全法》的实施将对以跨境为基础的贸易服务产生严重负面影响,日常商务运行中的跨境信息传输也将会受到阻碍。



《网络安全法》对企业方方面面的影响都很大,值得我们关注。在一些规则还没有十分清楚的情况下,公司想要合规应该做些什么?


高俊律师表示目前遇到比较多的是跨境传输的问题,未来网络安全更重要的不应该落在传输上、不应该落在审批上,而应该落实到网络运营者或者使用者的安全保护上。


George表示在法律下保护客户隐私数据相当重要。由于云计算是诸多数字化业务的基础,所以从四个方面与大家分享了微软构建可信云计算框架的做法和经验:

1)安全。当你提供数据后,时时刻刻数据都有可能会被入侵,在数据外建立一个强大的围墙来抵御入侵者,保护数据的机密性、完整性和可用性。

2)隐私与控制。数据是客户的,客户对其有控制权,我们允许客户去决定数据存在哪里、哪一个层级、哪一个保护层的位置,甚至给予一定的授权,允许客户可以删除一些他个人的数据,并且在客户要离开的时候也可以随时将数据带走。同时建立有效管控制度,没有人能未经批准使用客户数据。

3)合规。如果企业允许客户去储存数据,那么企业也要建立一个良好的储存环境,并且这个储存的环境要满足各方面要求,包括法律法规要求、行业要求、国家标准要求等。贸易的全球化和一带一路还要求提供云服务的企业要在其提供云服务的所有国家和地区满足相关的要求。这与数据的安全、隐私的保护是有关系的。

4)透明。所谓的透明就是当我们提供一个产品给用户,需要讲清楚客户提供的信息会怎么去运用、在哪里去运用。客户对自己的数据是如何被处理和使用的了如指掌。


Aili表示《网络安全法》将对此类数字化智能化服务提供者产生深远影响,具体体现在四个方面。

第一,作为网络运营者,企业负有保护网络安全的义务,制定管理制度和操作流程,实施安全技术措施,监控并及时应对安全事件。

第二,作为网络运营者,企业负有保护信息安全的义务,特别是在个人信息和重要信息的收集、传输和使用过程中遵守严格的规定。

第三,作为网络运营者,在选择产品或服务的供应商及合作伙伴过程中要确保选择有相应资质的企业和产品。

第四,作为网络产品、服务提供者,特别是网络关键设备和网络安全专用产品的提供者,要遵守国家强制的安全认证的要求。



新广告法执行两年有感


嘉宾:环球律师事务所合伙人       顾巍巍

        保乐力加法务副总裁           徐义佑

              达能合规高级经理               William Wu

           某快消公司法务顾问           Peter Gao


这一讲非常有趣,我们邀请到了酒类、消费品类、营养品类的企业合规官以及律师一起探讨新广告法法律基础条文,企业内部管控制度(审核流程),不同行业的特殊要求,以及职业打假人的应对。新广告法解决了之前判定时与虚假宣传的冲突,除了绝对化用语外,还有哪些难以判断的边界需要注意。


酒类产品广告特点:关于年份、排名和历史的描述,要谨慎并有足够的证据支撑;在广告中过分夸张的姿势有被判定为诱导消费者的风险(例如碰杯、饮酒的动作);提倡理性喝酒,开车不饮酒。


营养品、保健品广告特点:婴配奶粉不能以“皇家”、“精装”冠名;在做成分与功效介绍时,要对互联网信息与互联网广告做区分,不得交叉使用。


广告的定义范畴包括了传统的电视、纸媒广告、互联网广告、渠道广告、促销宣传品(赠品),不同企业都有不同的管控制度,合规或法务部门根据法律政策提供指引原则,按照风险高低对不同业务线或不同广告类别做审核。互联网广告由Digital Marketing根据指引做审查,PR部门针对对外沟通政策、企业社会责任这方面进行审查。大V或KOL的软文,不付费的话(例如试用)管控较松。


如何确保审核与发布是同一版本?除了对互联网广告进行抽查外,召集广告商做一次培训,明确企业与广告商各自的责任,会有助于均摊风险。另外,基于标准一致及友好的商业对手,可以发动友商的举报机制。


关于蹭热点需要审批的速度较快,如何能够避免法律风险又能尽快审批支持市场部的工作。负面的热点尽量避开。


职业打假人将企业的失误或错误无限放大变成牟利的手段。企业要在广告及标识上要做好审核工作。不要与职业打假人私下解决,这样会纵容他,破坏市场的秩序。




互联网分会场

Internet Branch

《合规管理体系指南》在网络交易活动规制中的应用探讨


嘉宾:中国标准化研究院副研究员     杜晓燕



近年来,网络交易在我国发展迅速,成为消费者购买商品和服务的重要渠道之一。然而,在网络交易快速发展的同时,网络交易活动中的消费者权益保护问题仍十分严重,假冒伪劣、以次充好、虚假延迟发货、虚假广告、服务违约、虚假交易、刷单炒信、恶意差评以及滥用、泄露和倒卖个人信息等违法违规失信行为泛滥。这些行为严重侵害了消费者合法权益,也对网络交易平台经营者的品牌形象、声誉、市值等产生了很大影响。同时,也对政府的监管工作带来了极大挑战。


当前,针对网络交易这一新兴业态,国家层面相关的法律法规规章不断完善,相关的国家标准正在制定或已经发布实施,政府部门、网络交易平台经营者也在采取多种措施规制违法违规行为,例如,政府部门通过约谈等方式促使网络交易平台经营者采取符合监管要求的内部控制策略,加强对商家管理;通过宣传教育引导平台经营者签署框架协议,合作共治;制定经营者首问制度、赔偿先付制度等。网络交易平台经营者从审核、主动监控等方面,运用信息技术手段进行自动审查、过滤,引导交易秩序的形成。但是,网络交易活动中的消费者权益保护问题依然十分突出。




针对政府部门和网络交易平台经营者已有措施的局限,杜女士认为,在工商行政管理部门、网络交易平台经营者和第三方商家之间引入合规管理方法,由网络交易平台经营者对入驻商家实施合规管理,由入驻商家结合自身情况建立并实施合规管理体系,既解决了商户数量大、问题杂、属地监管难的问题,又能切实保护消费者权益,使得平台得以良性发展。


互联网合规焦点和趋势


嘉宾:行业法律专家   Vincent Wang


王律师从业二十多年,主要为高新科技及产品、电信业、软件、电子商务、共享经济、传统和互联网分销、电子支付、区块链及物联网、隐私及数据安全、传统媒体、新媒体、娱乐传媒、影视制作、互联网教育、网络出版、网络游戏等各类网络在线企业提供法律服务。此外,王律师还服务于中外合作办学、食品饮料、农业、制造业等传统领域的客户。对于这些行业在公司并购、日常经营、劳动人事、交易投资、知识产权等方面的业务和合规有深刻的认识。


王律师从牌照合规、网络安全、数据安全一直讲到了对外交流,以及展望了互联网合规趋势


牌照合规

软件即服务(SaaS)消费者使用应用程序,但并不掌控应用程序、操作系统、硬件或运作的网络基础架构;是面向广大个人和企业的功能简单的在线服务。典型应用有Google Docs,MSFT Skydrive等。此类型的企业使用的牌照应为第二类增值电信业务 - 信息服务业务许可,俗称ICP证。


平台即服务(PaaS)消费者掌控运作应用程序的环境,但并不掌控操作系统、硬件或运作的网络基础架构;面向企业,特别是软件开发、IT服务和SaaS服务的企业。典型应用有MSFT Azure等。


基础设施即服务(IaaS)消费者能掌控操作系统、存储空间、已部署的应用程序及网络组件(如防火墙、负载平衡器等),但并不掌控云基础架构;面向企业用户的服务,可用于部署SaaS以及PaaS。典型应用有Amazon AWS等。


PaaS与IaaS这两类企业应申请第一类增值电信业务 - 互联网数据中心业务许可,俗称IDC证。


对外交流


2016年3月:美国商务部工业与安全局(“BIS”)宣布其发现中兴通讯及其三家关联公司以规避美国出口法律的方式,将原产自美国的部件再出口到伊朗,违反了美国对伊朗的贸易禁运政策。BIS及美国联邦调查局对此进行了四年的调查,认定中兴通讯通过设立“壳公司”的方式将受管制的部件非法再出口到伊朗。BIS将中兴通讯及其三家关联公司列入其“实体名单”,被列入名单的公司将遭受实质上的禁运 。 列入名单后,BIS立即禁止所有美国公司直接或通过关联公司或中间商向中兴公司出售源于美国的技术、软件、设备和部件(比如用于智能手机的微处理器和芯片)。


由于美国不仅对源于本国的商品/技术拥有管辖权,对包含本国内容或采用本国技术的外国产品也拥有管辖权,因此此案对中兴通讯影响极大。因此,第三国供应商提供的商品如包含美国部件或采用美国技术,也在BIS禁令的适用范围内。该限制将对中兴通讯高达155亿美元的销售额产生威胁;在全球范围内构成冲击,导致中兴通讯的股票暂停交易;致使中兴通讯高管担心遭到逮捕而不敢入境美国。


美国出口法律:

将技术“发布”给在美国境内的外国公民,通常“视同”该技术已被出口。比如:若某项技术需要出口许可证,美国公司不得将该技术披露给在美国为该公司工作的外国公民,否则该行为将被视为在未获许可的情况下,将该技术出口至该外国公民的母国。


“视同出口”规则适用于所有外国公民,但是拥有(i)美国公民身份;或(ii)永久居留签证(“绿卡”)的外国公民除外。举例:某大学教授因将与美国空军研究合同项下的电子部件有关的技术资料泄露给其中国和伊朗研究生而被判处四年监禁。


我们对于美国的出口管制总体上掌握两方面。一方面是美国的出口管制在域外是具有法律效应的;第二个方面是美国的立场是所有源于美国的商品服务和技术均适用于美国的出口管制法律,不论是在世界任何地方也不论是从美国公司取得、还是间接从第三国取得。对于我们国内的互联网企业来说,如果是和美国公司做一些业务上的交流,做一些并购等这些方面,从重合归类的角度来说也是需要进行关注的。 

互联网合规趋势


互联网行业的发展从无到有经历了一个飞速发展的过程,从最初阶段的监管比较松散到现在基本上逐步朝着全热化监管方向发展。因此,呈现出的特点,从监管的角度来说,合规越来越细;从企业角度来说,为了合规制定标准的流程需要综合考虑法律、法务、税务等这方面的需求,制定出企业内部的标准规范内容越来越技术化,并且企业的关注点往往随着全球互联网行业的融合和地域的融合,需要关注的法律法规不能仅仅局限于中国,要放眼全球。



COPYRIGHT 2017 中国合规专业人士协会 版权所有 沪ICP 备案 2043668567号