企业合规风险预警信息（十）

　　执法动态

　　一、中央网信办发布《关于加强“自媒体”管理的通知》

　　【合规资讯】

　　7月10日，中央网信办发布《关于加强“自媒体”管理的通知》（以下简称《通知》）。《通知》对网站平台提出多项要求，包括：严防假冒仿冒行为、强化资质认证展示、规范信息来源标注、加强信息真实性管理、加注虚构内容或争议信息标签、完善谣言标签功能、规范账号运营行为、明确营利权限开通条件、限制违规行为获利、完善粉丝数量管理措施、加大对“自媒体”所属MCN机构管理力度、严格违规行为处置和强化典型案例处置曝光等。（资讯来源：中央网信办）

　　【合规提示】

　　建议网站平台对照《通知》要求主动开展全面自查，就发现的问题和不足积极整改，并着重从以下方面压实平台管理主体责任：一是加强对自媒体账号注册、运营及发布内容的审核管理，完善和规范信息来源标注和各类标签的使用和展示，提升信息真实性，营造和维护良好自媒体行业生态；二是加强实时监测和预警机制，对虚假信息、不实信息进行监测，及时清理发现的违规账号和信息。强化辟谣纠错机制，及时澄清和纠正错误信息，坚决打击和清理断章取义、歪曲事实、合成伪造等不实信息；三是强化违规处罚和责任追究机制，区分违规内容和情节，采取对相关信息限流、暂停提供相关领域服务、暂停营利权限、取消或不赋予其营利权限、依法追究相关责任人等处置措施，同时开设警示教育专栏，定期发布违规“自媒体”典型案例，警示“自媒体”做好自我管理。

　　二、全国医药领域腐败问题集中整治工作视频会议在京召开

　　【合规资讯】

　　近日，国家卫生健康委会同教育部、公安部、审计署、国务院国资委、市场监管总局、国家医保局、国家中医药局、国家疾控局、国家药监局，联合召开视频会议，部署开展为期1年的全国医药领域腐败问题集中整治工作。会议强调，要以“零容忍”态度坚决惩处腐败，针对医药领域生产、供应、销售、使用、报销等重点环节和“关键少数”，坚持标本兼治、纠建并举，坚持较真碰硬、宽严相济，深入开展医药行业全领域、全链条、全覆盖的系统治理，进一步形成高压态势，一体推进“不敢腐、不能腐、不想腐”。为畅通问题线索途径，“互联网+”行风评议平台同步在国家卫生健康委网站上线。（资讯来源：国家卫生健康委员会）

　　【合规提示】

　　建议医药企业将反腐败作为重点专项合规事项，建立健全反腐败合规体系，并着重从以下方面做好合规管理：一是制定反腐败合规声明，传达管理层对反腐败的重视，明确对员工的合规要求，提升员工在日常业务中的贿赂和腐败合规风险意识；二是制定和完善企业反贿赂合规制度，建立健全针对与政府官员、医疗卫生专业人士及专业机构的互动交流、款项支付及费用报销、礼品及招待、采购交易、商业赞助、公益捐赠等重点事项的管理规范与工作指引，建立恰当的内部控制体系，确保财务条目清晰且完整，没有隐瞒或掩饰任何交易的真实性质、时间安排；三是对于合作伙伴众多，供应链违规风险较高的企业，应当建立并完善合作伙伴准入尽职调查、廉洁合同条款的签订、“黑名单”等合规管理制度，以及要求员工在与第三方开展业务时对尽职调查范围内的目标和第三方开展尽职调查，了解并遵守适用与政府人员交往的规则；四是定期对公司反腐败流程、制度和控制措施的设计有效性、执行有效性、结果有效性进行审计，追究违反了反贿赂反腐败规定与相关法律法规的员工个人责任。

　　三、某科技公司因虚假撤销等级保护测评备案被罚

　　【合规资讯】

　　近日，广州市公安局通报全国首起对虚假撤销等级保护测评备案作出行政处罚的案件。在该案件中，某科技有限公司运营的“**智慧办公管理软件”（以下简称“信息系统”）于2020年7月被定级为三级等级保护系统并取得备案证明，却在依然正常投入使用的情况下撤销等级保护测评备案，在2021年度、2022年度均未依法开展三级系统的等级保护测评，未履行网络安全等级保护测评的法定职责。广州警方对该虚假撤销备案的违法行为给予警告的行政处罚，并责令限期改正。（资讯来源：广州市人民政府）

　　【合规提示】

　　信息系统运营、使用单位应当制定并完善内部网络安全等级保护管理制度和操作规程，依法确定信息系统网络安全保护等级，采取相应技术保护措施，充分履行网络安全保护义务。一是在相关信息系统建设完成后，运营、使用单位应当选择符合相关法律法规、标准规定条件的测评机构，定期对信息系统安全等级状况开展等级测评，并在规定的时间期限内到所在地设区的市级以上公安机关办理备案手续；二是在相关信息系统投入运营或开始运行后，相关运营、使用单位应定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查（第三级信息系统应当每年至少进行一次自查；第四级信息系统应当每半年至少进行一次自查；第五级信息系统应当依据特殊安全需求进行自查）；三是经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案并积极进行整改；依照相关规定需要重新确定信息系统等级的，应当重新办理备案手续。未按要求对信息系统进行网络安全等级保护测评和备案的，不得将相关信息系统投入运营或使用。

　　四、某信息科技公司未履行数据安全保护义务被处以行政处罚

　　【合规资讯】　　

　　近日，中山三乡警方查处了中山市首起违反《中华人民共和国数据安全法》的行政案件，对涉案公司依法处以行政警告，并处罚款5万元，对公司负责人处罚款。三乡公安分局鹤湾派出所在对辖区内的公司进行数据安全检查过程中，发现一家信息科技公司疑似存在网络数据泄露隐患。鹤湾派出所联合中山公安网安部门，约谈该公司负责人并开展现场检查，排查出该公司开发的系统存储大量公民敏感信息。在没有依法建立数据安全管理制度和操作规程等数据保护措施的前提下，对存储的公民敏感信息数据未采取去标识化和加密保护，且该公司用于存储公民敏感信息的服务器也存在未授权访问的漏洞，用户隐私数据存在泄露风险。（资讯来源：广东政法网）

　　【合规提示】

　　建议开展数据处理活动的企业，着重从以下方面做好合规管理：一是依照《数据安全法》等法律、法规的规定，建立健全全流程数据安全管理制度和操作规程，采取技术手段等必要措施保障数据安全。业务涉及个人信息处理的，还应当根据个人信息的处理目的、处理方式、个人信息的种类等，对个人信息实行分类管理，合理确定不同类别个人信息处理的操作权限，并针对敏感个人信息进行事前的个人信息保护影响评估，必要时采取加密、去标识化等安全技术措施，强化安全保护；二是加强风险监测，制定并组织实施安全事件应急预案。发现数据安全缺陷、漏洞等风险或发生数据安全事件时，应立即采取补救措施及相应处置措施，并按照规定及时通知用户和有关主管部门；三是定期对从业人员进行安全教育和培训，提高从业人员法律意识和合规能力，督促从业人员切实履行数据安全保护岗位职责。

　　【声明】

　　1. 本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2. 本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3. 任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4. 企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。