境外动态  

　　一、国际标准化组织发布ISO 37302：2025《合规管理体系 有效性评价指南》和ISO 37303：2025《合规管理体系 能力管理指南》

　　【预警资讯】

　　2025年7月18日，国际标准化组织（ISO）正式发布了由中国标准化研究院制定的两项合规管理国际标准ISO 37302：2025《合规管理体系 有效性评价指南》和ISO 37303：2025《合规管理体系 能力管理指南》。来自中国、奥地利、加拿大、澳大利亚、英国、特立尼达和多巴哥以及南非等20余个国家的专家共同参与了标准制定。（资讯来源：国际标准化组织）

　　【要点提示】

　　建议企业关注以下要点：一是ISO 37302文件旨在帮助全球各类组织识别合规管理的改进空间，为相关国家监管部门或合作伙伴采信合规管理评价结果提供解决方案。ISO 37302文件确立了合规管理体系有效性评价的原则和评价指标框架，主要内容包括：评价指标体系、取值规则、评价结果的形成规则；二是ISO 37303文件旨在帮助全球各类组织夯实合规管理基础、提高合规管理实际效果，进而助力组织满足经营管理涉及的法律法规要求。主要内容包括：能力要求识别、能力开发与实施、能力效果评价、能力披露与改进；三是两项标准面向全球各类组织，适用于满足不同国家监管要求及增强合作伙伴信任的合规管理体系建设。

　　二、美国加利福尼亚州隐私保护局（CPPA）通过《自动化决策技术、网络安全审计、风险评估、保险及消费者隐私法案（CCPA）更新规则》

　　【预警资讯】

　　2025年7月24日，美国加利福尼亚州隐私保护局（CPPA）通过《自动化决策技术、网络安全审计、风险评估、保险及消费者隐私法案（CCPA）更新规则》（以下简称《规则》）。内容包括新增：“自动化决策技术”（ADMT）定义并要求高风险系统进行影响评估；对处理个人信息的企业实施年度第三方网络安全审计并整改；规定年度风险评估框架与文档存档；要求企业购买网络安全保险并设定最低保额；对CCPA现有条款作出通知、链接展示、服务商合规及执法处罚等修订。（资讯来源：美国加利福尼亚州隐私保护局）

　　【要点提示】

　　建议企业关注以下要点：一是根据《规则》，高风险系统必须进行影响评估，涵盖透明度、可解释性及潜在偏见风险；二是《规则》对于网络安全与风险管理要求显著提高，企业需接受年度第三方网络安全审计并进行整改，同时开展年度风险评估并建立文档存档制度；三在保险与执法方面，《规则》要求企业需购买网络安全保险并满足最低保额，同时CCPA对通知、链接展示、服务商合规及执法处罚进行了修订，强化了责任追究力度。

　　三、欧盟委员会发布《关于通用人工智能模型提供商义务范围的指南》

　　【预警资讯】

　　2025年7月18日，欧盟委员会发布《关于通用人工智能模型提供商义务范围的指南》（以下简称《指南》），旨在通过量化标准和场景化规则，明确通用人工智能模型（GPAI）及系统性风险GPAI的判定标准，为GPAI提供者厘清义务边界及豁免条件。《指南》主要内容如下：关于GPAI的定义与分类；关于GPAI提供者的相关定义；关于GPAI提供者的责任与义务；实施要求；执法机构。（资讯来源：欧盟官网）

　　【要点提示】

　　建议企业关注以下要点：一是欧盟通过《指南》明确区分普通GPAI与具有系统性风险的GPAI，并设定不同合规要求，企业需关注自身模型是否可能被纳入高风险类别；二是GPAI提供者的责任与义务，包括透明度要求、技术文档提交、风险缓释措施及信息披露义务，特别是系统性风险GPAI需承担更严格的合规责任；三是《指南》明确了监督执行机构及跨境协调机制，意味着进入欧盟市场的企业将面临更强的合规审查和监管约束。

　　【声明】

　　1.本期信息内容由深圳市司法局编辑发布，由深圳市鹏城法律合规研究院提供技术支持，转载请注明以上信息；

　　2.本期信息仅做分享与交流之用，不构成任何法律意见或建议；

　　3.任何主体均不应当以本期信息及所载内容作为分析和判断的基础；

　　4.企业在做出任何可能影响经营管理的决定前，建议咨询合规专业人士。