企业合规风险预警信息（十一）

　　域外动态

　　一、美联储委员会宣布对德国某银行采取两项执法行动

　　【预警资讯】

　　美国联邦储备委员会宣布对德国某银行、其纽约分行及其他美国附属机构采取两项执法行动。因认为该银行违反了与美联储委员会分别于2015年和2017年签署的有关制裁合规及反洗钱控制的同意令，并且存在不安全、不健全的做法。美国联邦储备委员会发布了一项新的同意令，并处以 1.86 亿美元的罚款。该银行在2015年和2017年的同意令下没有取得足够的补救进展，并且在相关反洗钱内部控制和治理流程中存在缺陷。该项新的同意令要求该银行优先完成委员会先前同意令中的几项关键要求。（资讯来源：美国联邦储备委员会）

　　【预警提示】

　　建议在美国经营的金融机构对客户进行全面尽职调查，根据反洗钱监管要求对客户身份进行识别；对合作方进行风险评估，对大额及可疑交易及时进行报告，并采取相应的风险管控措施；更新技术手段以强化数据处理和分析能力，推进反洗钱领域的高效管理。

　　二、美国某公司同意就侵犯儿童隐私赔2500万美元

　　【预警资讯】

　　近日，美国司法部与美国联邦贸易委员会宣布美国某公司同意接受一项永久禁令和2500万美元的民事罚款，以解决其语音助手产品涉嫌侵犯儿童隐私的问题。该公司被指控存在主要三方面的违法行为：一是该公司在默认情况下无限期保留儿童的语音记录，违反了美国儿童在线隐私保护规则（COPPA规则）的要求；二是该公司对用户采用欺骗性陈述。其语音助手产品用户请求删除儿童的语音记录，而事实上该公司在某些情况下未能响应用户的要求，删除所有此类信息；三是该公司对其语音助手产品用户的地理位置信息和语音记录采取了不公平的隐私保护措施，在某些情况下未满足用户的删除请求，也未告知消费者没有删除数据的事实。（资讯来源：美国司法部）

　　【预警提示】

　　COPPA规则要求针对13岁以下儿童的在线服务和网站需告知儿童父母收集的个人信息范围，并在收集和使用儿童个人信息之前获得可验证的父母同意。建议涉及相关业务的网站或在线服务商，在收集儿童个人信息时，发布符合COPPA的隐私政策，明确完整地描述如何处理在线收集的13岁以下儿童的个人信息；在收集儿童个人信息之前，将信息操作惯例直接告知家长；并采取合理措施保护儿童个人信息的安全。尽量减少收集信息的范围，及时响应用户要求删除此类信息的需求。

　　三、西班牙数据保护局（AEPD）更新Cookie使用指南

　　【预警资讯】

　　7月11日，西班牙数据保护局 (AEPD)更新了Cookie使用指南。该指南的更新是为了适应欧洲数据保护委员会 (EDPB)发布的关于社交网络误导模式的第03/2022号指南。AEPD将前述第03/2022号指南中所涉及使用Cookie的标准纳入到本次更新内容中，包括：接受或拒绝Cookie的操作必须以醒目的位置和格式显示，并列举了一些使用Cookie的新示例；应如何显示Cookie相关选项，并提供了有关这些选项的颜色、大小和显示位置等方面的说明。（资讯来源：西班牙数据保护局）

　　【预警提示】

　　建议在欧盟范围内开展个人数据处理活动的企业，应持续跟进业务当地国及欧盟的数据保护法律法规的变化，及时对产品或业务内容作出调整，以满足最新的规定要求。一是梳理Cookie指南中修订部分的内容，重点关注展示的颜色、大小和显示位置等方面的说明，结合自身产品业务实际，识别合规差距项，采取对应的整改措施，例如避免使用缺乏可读性的颜色（如淡灰色）而对用户阅读造成困扰；二是完善产品或功能上线前的过程管控，在现有的业务流程中嵌入相关合规审核点，要求新产品或新功能上线前，例如Cookie功能，需经合规部门人员审核；三是对产品功能设计、研发等关键部门人员开展针对性的合规培训，传递注意事项、合规要求与重要性，提升相关人员的合规风险识别能力与合规意识。

　　四、欧盟委员会通过欧盟-美国数据隐私框架的充分性决定

　　【预警资讯】

　　7月10日，欧盟委员会通过了欧盟-美国数据隐私框架（DPA）的充分性决定。该决定显示，对于在新框架下从欧盟传输到美国公司的个人数据，美国提供与欧盟相当的充分保护水平。该决定使得个人数据可以自由、安全地从欧盟流向参与该框架的美国公司，无需采取额外的数据保护措施。（资讯来源：欧盟委员会）

　　【预警提示】

　　在欧美地区开展业务经营活动的企业，应结合欧盟-美国数据隐私框架的充分性决定内容，尽快调整合规措施，并落实对数据主体保护的新要求。一是落实申请数据隐私框架认证工作，预留充分的时间与资源，并在内部建立台账管理，及时完成每年度重新认证工作，确保不影响业务正常运营；二是梳理企业当前开展欧美跨境传输数据的合规前置性要求，及时调整合规措施，例如在取得数据隐私框架认证后，可免去数据主体同意、数据传输评估等前置性动作；三是及时更新隐私政策，告知数据主体有关跨境传输的修改内容，例如证明取得数据隐私框架认证的链接、美国数据保护审查法院的救济途径等，以有效履行数据处理的“透明性”原则与告知义务。

　　【声明】

　　1. 本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2. 本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3. 任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4. 企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。