企业合规风险预警信息（二十九）

　　一、英国FCA公布金融机构制裁体系与控制措施的审查结果

　　【预警资讯】

　　当地时间9月6日，英国金融行为监管局（Financial Conduct Authority，FCA）公布了对90多家金融服务公司现行的内部制裁合规体系和控制措施的审查结果。调查结果显示，部分公司在提前进行风险评估、样本测试和调整等方面表现良好，但部分公司当前的内部制裁合规体系和控制措施存在以下问题：过度依赖第三方筛查工具；制裁合规体系与国际政策不一致；制裁筛查警报评估方面积压严重；内部人员缺乏专业知识，制裁筛查能力不足；客户尽职调查和客户评估的质量较低；报告的违规行为与实际情况不一致等。（资讯来源：英国金融行为监管局）

　　【预警提示】

　　英国政府机构公布的审查结果提出的合规风险点对我国金融服务公司以及其他跨国企业具有警示和参考意义，建议企业结合该合规审查结果，加强内部制裁筛查和风险评估能力。一是企业应制定清晰的、可执行的制裁筛查流程，明确制裁筛查的标准、步骤和工具，并制定详细的制裁筛查指南，确保筛查程序有效性和可执行性；建议企业通过专业制裁筛查数据库、嵌入自动化筛查工具等方式进行制裁筛查，减少人工筛查可能造成的失误，同时依靠企业内部合规岗位人员及外部合规顾问的专业知识和判断力进行复核，以弥补第三方工具的局限性；二是建议企业建立完善的尽职调查程序，提高尽职调查的质量，根据业务性质和风险程度确定尽职调查的范围和深度，建立清晰的尽职调查流程和步骤，包括信息收集、验证、分析和报告环节，并形成专业化的风险评估和尽职调查报告，定期更新尽职调查信息；三是建议为员工提供持续的培训，使员工充分了解企业内部的制裁筛查、风险控制政策和流程，规定在制裁筛查过程中出现警报信息后的处理流程，明确参与评估客户、交易项目受制裁风险的责任部门、责任人员，提升合规岗位员工识别合规风险的意识和能力，畅通所有员工举报潜在违规行为的渠道。

　　二、IBM等八家公司自愿承诺管理人工智能风险

　　【预警资讯】

　　当地时间9月12日，美国八家人工智能公司签署了白宫关于人工智能的协议，承诺采取自愿监管措施管理AI技术开发风险，包括在推出产品前进行内外部安全测试、将数据安全作为搭建系统的首要考虑、添加水印系统以确保用户知情权等。此前，另外七家人工智能公司也签署了类似协议，承诺采取自愿监管措施管理AI技术风险。（资讯来源：美国白宫）

　　【预警提示】

　　美国政府基于安全（safe）、保障（security）和信任（trust）三大原则构建的自愿性框架包括八项具体承诺，这些承诺对我国企业在人工智能开发中的风险管理具有重要的参考价值和借鉴意义。一是建议企业持续关注人工智能模型本身的安全性问题，通过开展内外部安全测试、加强模型权重保护、构建第三方报告系统漏洞机制等措施，有效防范基础性、系统性的人工智能风险；二是建议企业采用数字水印等技术手段对人工智能生成内容进行标记。在人工智能生成的内容中添加数字水印，有助于用户对生成内容保持谨慎判断，减少生成内容错误和人工智能滥用对用户带来的消极影响；三是建议企业强化与各方的信息交流与沟通，一方面企业可以主动与监管部门、专家学者分享最前沿的实践信息和经验成果，以推动人工智能相关立法的完善；另一方面通过主动向用户报告人工智能系统的功能、局限性、不适用领域等内容，帮助用户全面认识和正确使用人工智能系统，建立负责可靠的社会形象。

　　三、荷兰消费者协会和数据隐私基金会就侵犯隐私对某互联网公司提起诉讼

　　【预警资讯】

　　当地时间9月12日，荷兰消费者协会（Consumentenbond）和隐私保护基金会在一份声明中表示将正式对某大型互联网公司提起诉讼，指控其数据收集行为涉嫌大规模侵犯消费者隐私，要求该公司停止“通过在线广告拍卖持续监控和分享个人数据”，并支付每位消费者750欧元的赔偿金，目前已经有8.2万名消费者参与了这起索赔。（资讯来源：路透社）

　　【预警提示】

　　建议企业关注个人信息全生命周期的合规义务。个人信息全生命周期主要涵盖收集、存储、使用、共享、转让、公开、删除六个阶段。一是作为收集和使用个人信息的首要前提，企业必须具备合法性基础，以“个人同意”作为个人信息处理合法性基础的企业应当严格遵循“知情同意”原则，以显著方式、清晰易懂的语言真实、准确、完整向个人信息主体明示采集的范围、方式、目的和相关数据主体权利义务等重要事项，并且获得个人信息主体自愿、明确的同意，针对行踪位置、健康状况等个人敏感信息，企业则须履行更为严格的合规义务，如满足特定目的、充分必要性以及严格保护措施的要求，获得个人信息主体的单独同意等；二是企业应当始终遵循“最小必要”原则，即处理个人信息应当限于实现处理目的最小范围，不得过度处理个人信息。在数据收集阶段，公司收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，并以最低频率收集最少数量的信息；三是企业应严格限制向第三方共享个人信息，如确有必要，企业应当事先开展个人信息安全影响评估，并依据评估结果采取有效的保护措施。同时，应当向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意，在涉及向境外传输个人信息的情况下，企业应综合考虑个人信息的数量和类型、企业自身情况、具体出境场景，选择适合的个人信息跨境传输路径。

　　【声明】

　　1. 本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2. 本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3. 任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4. 企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。