企业合规风险预警信息（一百一十一）

　　境外动态

　　一、美国消费者金融保护局发布个人金融数据权利最终规则

　　【预警资讯】

　　当地时间10月22日，美国消费者金融保护局（Consumer Fiancial Protection Bureau, CFPB）发布“个人金融数据权利的必要规则制定（Required Rulemaking on Personal Financial Data Rights）”，即“开放银行”规则。该规则要求银行、信用合作社和其他金融服务提供商以安全可靠的方式向消费者和授权第三方提供消费者数据；定义第三方访问消费者数据的义务（Obligations），包括重要的隐私保护；并促进公平、开放和包容的行业标准。（资讯来源：美国消费者金融保护局）

　　【要点提示】

　　建议企业关注如下要点：一是建立高效安全的数据传输通道，例如可以通过采用专线连接等方式保证数据传输的安全，同时通过数据接口完成系统间数据传输的共享；二是更新数据访问的控制与权限管理，在可能涉及对用户提供金融个人数据共享服务时，注意保障共享程序的合规性，并履行对于用户的必要告知义务；三是制定严格的数据获取与存储规范，遵守确保消费者数据安全的义务，只收集和使用必要数据，不得将数据用于非正当目的。

　　二、爱尔兰数据保护委员会对某企业罚款3.1亿欧元
    【预警资讯】

　　当地时间10月24日，爱尔兰数据保护委员会（Data Protection Commisson, DPC）宣布对一家职场信息服务公司处以总计3.1亿欧元的行政罚款，并要求其数据处理行为合规。爱尔兰数据保护委员会认为，该公司在以开展用户行为分析、推送定向广告为目的的情况下对平台用户个人数据进行处理，缺乏合法性、公平性、透明度，违反了《通用数据保护条例》（GDPR）的多项条款，严重侵犯了用户隐私和个人数据基本权利。（资讯来源：爱尔兰数据保护委员会）

　　【要点提示】

　　建议信息服务企业关注如下几要点：一是在欧洲开展业务时，加强对数据人员的合规培训，建立健全数据处理合规体系，确保企业数据处理行为经过用户同意；二是谨慎对待针对用户的行为分析和定向广告的个人数据处理情况，并针对此类数据处理行为进行数据合规性评估，确保处理行为不对数据主体造成歧视、误导等明显不利影响，损害其个人数据自主权；三是完善处理个人数据时的用户告知程序，例如可以通过弹窗等方式进行告知，设计清晰的告知界面，充分提示用户注意具体条款，在订立合同时尽量采取明确具体，而非抽象、模糊的条款保障用户的知情权。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。