企业合规风险预警信息（一百二十六）

　　境外动态  

　　一、法国国家信息与自由委员会要求多家网站就误导性Cookie进行整改

　　【预警资讯】

　　当地时间12月12日，法国国家信息与自由委员会（Commission Nationale de l'Informatique et des Libertés, CNIL）对多家网站出版商发出警告，要求其在限期内整改具有误导性的Cookie横幅通知，必须获得有效用户同意后才可设置Cookie。（资讯来源：法国国家信息与自由委员会）

　　【要点提示】

　　建议相关企业关注如下要点：一是建立合规审查机制，密切关注《通用数据保护条例》等法律法规与各地个人数据收集与处理监管的要求，根据要求定期自查企业网站是否具有合规的信息收集通知流程，对不满足规定的通知流程进行整改；二是在设置Cookie等个人数据收集通知横幅时，对个人数据收集的用途进行清楚、详细的说明，避免使用模糊或容易引起误解的表述，建议信息收集条款的选项清晰可辨，通过文字表述、颜色搭配或位置布局的方法，防止用户产生混淆；三是在符合隐私保护原则的前提下，妥善保存用户对信息收集条款的同意记录，包括同意的时间、同意的具体内容与用户的身份信息，在监管机构进行检查或用户提出疑问时，作为证明企业合规操作的依据。

　　二、韩国发布《生成式人工智能与竞争》政策报告

　　【预警资讯】

　　当地时间12月17日，韩国公平贸易委员会（Korea Fair Trade Commission，KFCT）发布《生成式人工智能与竞争》（Generative AI and Competition）政策报告，分析了生成式人工智能的产业现状、企业发展困境与垄断挑战，并提出考虑实施监管措施以确保公平竞争（资讯来源：韩国公平贸易委员会）

　　【要点提示】

　　建议相关企业关注如下要点：一是构建反不正当竞争合规风险预警机制，定期对企业人工智能相关产品供应、价格制定、交易条件设置等环节进行风险评估，避免操纵价格、设置不公平交易条件等滥用市场支配地位的行为；二是在数据收集与使用阶段，清晰告知消费者数据收集目的、使用范围、方式等，确保获取消费者的明确同意，并采取加密技术等保障数据安全，防止数据泄露或滥用；三是审查销售人工智能产品或服务的违规行为并对违规人员予以处罚，关注审查是否存在强制购买不必要的捆绑产品或服务等，如在云计算服务中将特定基础模型与云服务强制捆绑，防止侵害消费者自主选择权。

　　三、爱尔兰数据保护委员会因某公司违反《通用数据保护条例》对其罚款2.51亿欧元

　　【预警资讯】

　　当地时间12月17日，爱尔兰数据保护委员会（Irish Data Protection Commission，DPC）因某公司在2018年数据处理不符合数据保护要求、大规模泄露数据且未对违规情况进行充分通知与记录，宣布对其罚款2.51亿欧元的最终决定（资讯来源：爱尔兰数据保护委员会）

　　【要点提示】

　　建议相关企业关注如下要点：一是完善数据保护机制，评估数据收集、存储、传输、处理、销毁等各环节的风险并加强安全措施，如采用加密技术保护数据传输和存储安全、设置严格访问权限、定期进行数据备份等措施；二是建立风险监测与修复机制，实时监控数据系统的安全水平，识别大规模数据访问、异常登录尝试等异常行为，并迅速采取措施修复漏洞，降低数据泄漏风险；三是安排专人或聘请外部专家研究所在地区的数据保护法规，对员工进行定期合规培训，明确合规责任，确保企业运营与员工操作过程全面合规，并在发生数据泄露等风险时按照法规要求及时向监管机构通报相关信息。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。