境外动态

　　一、美国司法部发布《反海外腐败法》（FCPA）调查和执法指南

　　【合规资讯】

　　2025年6月9日，美国司法部发布备忘录，明确《反海外腐败法》（FCPA）调查与执法新指南。备忘录要求减轻在美国海外经营的美国公司所承受的不当负担，聚焦打击卡特尔（Cartels）和跨国犯罪组织（TCOs）相关腐败，并将国家安全与经济利益纳入执法逻辑。（资讯来源：美国司法部）

　　【合规提示】

　　建议企业关注以下要点：一是备忘录要求FCPA执法聚焦三大核心：1.重点打击与卡特尔、跨国犯罪组织关联的贿赂行为；2.保护美国企业公平竞争机会，优先调查剥夺美国实体公平竞争权或造成美国企业经济损失的行为；3.打击涉及关键基础设施、国防等领域且威胁国家安全的腐败行为。二是美国执法活动的“战略目标化”趋势意味着，传统的合规体系可能难以全面覆盖新兴的风险评估要素。以往合规重点在于财务流程、第三方审核与内部控制，如今则需扩展至地缘政治、国家战略利益识别与区域安全稳定因素分析。三是企业在海外经营中需关注“例行商业行为”的合规性。例如，是否存在以高额差旅费、顾问费、捐赠名义变相行贿；是否在特定地区适用便利支付例外条款；是否所有支付都具备可追溯性与合理审批链。

　　二、欧洲数据保护委员会发布《关于GDPR第48条的指南》

　　【预警资讯】

　　2025年6月5日，欧盟数据保护委员会（EDPB）《关于向第三国当局传输数据的GDPR第48条指南》（以下简称《指南》）。《指南》聚焦GDPR第48条，明确了个人数据传输至第三国的规范，阐述在何种条件下可以合法响应来自第三国当局的个人数据传输请求的最佳评估方法，为欧洲数据控制者和处理者提供实操建议，帮助其应对跨境数据请求，确保数据传输的合规性和安全性。（资讯来源：欧盟数据保护委员会）

　　【要点提示】

　　建议企业关注《指南》以下要点：一是向欧盟外第三国当局传输个人数据时，需以GDPR第48条为核心，首先核查是否存在适用的国际协议（如司法协助条约）作为法律依据。若缺乏有效协议，仅可在例外情形下逐案评估传输合法性，且需证明存在“必要安全保障措施”。二是针对母公司在第三国收到当局数据请求后转由欧洲子公司提供数据的场景，子公司需独立评估请求是否符合GDPR第48条要件，拒绝无法律依据的跨境数据提供。若接收方为数据处理器，需在合同中额外明确其仅能依指令处理数据，禁止擅自响应第三国当局请求。

　　三、法国国家信息与自由委员会发布《关于区别数据控制者、处理者和共同控制者的指南》

　　【预警资讯】

　　2025年6月6日，法国国家信息与自由委员会（CNIL）发布《关于区别数据控制者、处理者和共同控制者的指南》（以下简称《指南》），旨在明确GDPR框架下三类角色的界定标准与责任分配。《指南》主要包括以下内容：数据控制者决定数据处理的目的与方式；数据处理者遵循数据控制者指示处理数据，但不能决定处理的目的，特定情形下可进行数据再利用；数据共同控制者则共同决定处理目的与方式；数据控制者与数据处理者需签订数据处理协议，与共同控制者之间建立透明的责任机制。（资讯来源：法国国家信息与自由委员会）

　　【要点提示】

　　建议企业关注以下要点：一是核心定义方面，数据控制者指单独或共同决定处理目的和方式的实体，处理者指代表控制者执行处理的实体，共同控制者指多方主体共同决定个人数据处理的目的和方式，且处理活动不可分割，并因此共同承担合规责任。二是责任划分方面，控制者需基于合法事由处理数据、确保数据最小化，高风险处理需进行数据保护影响评估（DPIA）并咨询CNIL，未履行可能面临处罚；处理者需采取技术措施保护数据、未经授权不得转包，超出指示范围处理可能被认定为控制者并担责；共同控制者需书面协议明确义务、向数据主体披露安排，未明确可能面临连带责任。三是在跨境场景下，控制者主要机构所在地决定监管机构，境外实体若对法国数据主体权益造成重大影响仍受管辖；需关注合同风险、业务变化导致的角色重新认定风险、培训审计不足风险及跨境管辖审查风险。

　　四、英国议会审议通过《数据（使用和访问）法案》

　　【预警资讯】

　　2025年6月11日，英国议会审议通过《数据（使用和访问）法案》（Data Use and Access Bill，简称《DUA法案》）。《DUA法案》旨在平衡数据创新与隐私保护，建立综合性数据治理框架，并通过推动数据共享促进经济增长。《DUA法案》主要包括以下内容：引入了“公认合法利益”概念，并就满足特定条件的数据控制者的某些特定的数据处理活动免于进行平衡测试；放宽了针对自动化决策的限制，禁止使用特殊类别数据进行此类自动化决策，除非有适当的保障措施；进一步加强儿童数据保护，要求遵循儿童最大利益原则；提高违反《隐私与电子通信条例》（PECR）的罚款上限，即最高1750万英镑或相当于企业全球营业额4%的罚款等。（资讯来源：英国议会）

　　【要点提示】

　　建议企业关注以下要点：一是在数据保护层面，《DUA法案》强调合法性、透明性等原则，加强数据主体知情权、删除权等核心权利，规定自动化决策需满足合同必需、明确同意等条件并采取人工复核等保障措施。二是《DUA法案》明确“公认合法利益”清单，主要包括国家安全、公共安全或国防、应对紧急情况、侦查、调查或预防犯罪，以及保护弱势群体等。三是《DUA法案》设立了国际数据传输评估标准，要求接收方保护水平不低于英国并考察其法律环境与执法机制。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。