浩天贵阳言若企业合规中心
企业合规资讯季刊
2023 年 第 2期 (总第 2期)
浩天贵阳言若企业合规中心
企业合规资讯季刊
2023 年 第 2期 (总第 2期)
01 新法速递 NEW LAWS ................................. 4
《中华人民共和国对外关系法》公布..................................................5
中共中央国务院关于促进民营经济发展壮大的意见.........................5
《私募投资基金监督管理条例》发布..................................................6
七部门发布《生成式人工智能服务管理暂行办法》.........................8
明确网信部门行政执法“一事不二罚”原则......................................9
《食用农产品市场销售质量安全监督管理办法》公布.....................10
最高人民法院出台关于司法赔偿案件案由的规定.............................11
“两高三部委”联合发布新规,规范暂予监外执行工作.................11
02 行业资讯 INFORMATION .............................. 13
国企国资动态
《中央企业法律纠纷案件管理办法》8 月 1 日起施行......................14
国资委召开国有企业创建世界一流示范企业推进会.........................15
68 家央企“改革三年行动”考核为 A 级 ............................................16
能源与自然资源行业
工业重点领域节能降碳改造升级范围进一步扩大.............................17
我国发布 13 种矿产资源全球储量评估数据........................................18
今年上半年,我国光伏产业快速发展..................................................19
大数据行业
生成式人工智能新政策发布...................................................................20
工信部组织开展 2023 年大数据产业发展示范申报工作 ...................21
本期概览
OVERVIEW
2023 年 8 月 第 2 期
医药行业
下半年深化医药卫生体制改革重点工作任务下发.............................22
国家药监局发布《药品标准管理办法》..............................................24
制造行业
上半年我国制造业转型升级态势明显..................................................25
五部门印发制造业可靠性提升实施意见..............................................26
旅游行业
两部门启动“5G+ 智慧旅游”应用试点项目 .....................................28
谌贻琴主持召开推动旅游业高质量发展座谈会 .................................29
03 合规视点 INSIGHT ................................... 30
全面梳理:企业应如何构建数据合规保护制度体系.........................31
股权投资中保底保收措施的风险及建议..............................................54
04 团队介绍 ABOUT US .................................. 66
主办
运营主体
本期责任编辑
编辑
地址:贵阳市观山湖区诚信北路富力中心 A3 栋 20 层
电话:0851-86901155/86901166
邮编:550081
北京浩天(贵阳)律师事务所
言若商业·合规律师团队
胡侣航
杨雄春 张钊源 郭帜
新法速递 New Laws
- 4 -
01
新法速递
New Laws
New Laws 新法速递
- 5 -
《中华人民共和国对外关系法》公布
2023 年 6 月 28 日, 第 四 届 全 国 人 民 代 表 大 会 常 务
委 员 会 第 三 次 会 议 表 决 通 过《 中 华 人 民 共 和 国 对 外 关 系
法》,国家主席习近平签署主席令予以公布,自 2023 年 7
月 1 日起施行。
《中华人民共和国对外关系法》是新中国成立以来首部
集中阐述我国对外工作大政方针、原则立场和制度体系对我
国发展对外关系作出总体规定的基础性涉外法律,它的颁布
是我国涉外法治体系建设的重要里程碑。该法共 6 章 45 条,
第一章“总则”、第二章“对外关系的职权”、第三章“发
展对外关系的目标任务”、第四章“对外关系的制度”、第
五章“发展对外关系的保障”、第六章“附则”。作为我国
涉外领域的基础性、综合性法律,对外关系法的内容涵盖了
我国对外关系、对外工作的方方面面,涉及政治、经济、文
化等各个领域。
中共中央 国务院关于促进民营经济发展壮大的意见
《中共中央 国务院关于促进民营经济发展壮大的意见
- 5 -
新法速递 New Laws
- 6 -
(2023 年 7 月 14 日)》(以下简称“意见”)发布。意见围
绕六个方面,部署了重点任务。
一是持续优化民营经济发展环境,二是加大对民营经济
政策支持力度,三是强化民营经济发展法治保障,四是着力
推动民营经济实现高质量发展,五是促进民营经济人士健康
成长,六是持续营造关心促进民营经济发展壮大社会氛围。
意见指出,民营经济是推进中国式现代化的生力军,是
高质量发展的重要基础,是推动我国全面建成社会主义现代
化强国、实现第二个百年奋斗目标的重要力量。意见要求,
坚持社会主义市场经济改革方向,坚持“两个毫不动摇”。
意见提出,持续优化民营经济发展环境,加大对民营经济政
策支持力度,强化民营经济发展法治保障,着力推动民营经
济实现高质量发展,促进民营经济人士健康成长,持续营造
关心促进民营经济发展壮大社会氛围。
《私募投资基金监督管理条例》发布
2023 年 7 月 3 日,国务院总理李强签署第 762 号国务院令,
公布《私募投资基金监督管理条例》(以下简称《条例》),
自 2023 年 9 月 1 日起施行。党中央、国务院高度重视私募投
- 6 -
New Laws 新法速递
- 7 -
资基金(以下简称私募基金)行业规范健康发展和风险防控,
党的二十大报告提出,健全资本市场功能,提高直接融资比
重。为贯彻落实党中央、国务院决策部署,司法部、证监会
会同有关部门在深入调查研究,广泛听取部门、机构、专家
等方面意见,并向社会公开征求意见的基础上,形成了《条例》
草案。
《条例》的出台有利于进一步完善私募基金法规体系,
促进私募基金行业健康发展。一是《条例》开宗明义,在总
则中明确提出鼓励私募基金行业“发挥服务实体经济、促进
科技创新等功能作用”,凝聚各方共识,共同优化私募基金
行业发展环境。二是设立创业投资基金专章,明确创业投资
基金的内涵,实施差异化监管和自律管理,鼓励“投早投小
投科技”。三是明确政策支持,对母基金、创业投资基金、
政府性基金等具有合理展业需求的私募基金,《条例》在已
有规则基础上豁免一层嵌套限制,明确“符合国务院证券监
督管理机构规定条件,将主要基金财产投资于其他私募基金
的私募基金不计入投资层级”,支持行业发挥积极作用,培
育长期机构投资者。
- 7 -
新法速递 New Laws
- 8 -
七部门发布《生成式人工智能服务管理暂行办法》
国家网信办联合国家发展改革委、教育部、科技部、工
业和信息化部、公安部、广电总局七部门于 2023 年 7 月 10 日
联合公布《生成式人工智能服务管理暂行办法》(以下简称《办
法》),自 2023 年 8 月 15 日起施行。
《办法》旨在促进生成式人工智能健康发展和规范应用,
维护国家安全和社会公共利益,保护公民、法人和其他组织
的合法权益。《办法》根据《中华人民共和国网络安全法》、
《中华人民共和国数据安全法》、《中华人民共和国个人信
息保护法》、《中华人民共和国科学技术进步法》等法律、
行政法规制定。
《办法》提出国家坚持发展和安全并重、促进创新和依
法治理相结合的原则,采取有效措施鼓励生成式人工智能创
新发展,对生成式人工智能服务实行包容审慎和分类分级监
管,明确了提供和使用生成式人工智能服务总体要求。提出
了促进生成式人工智能技术发展的具体措施,明确了训练数
据处理活动和数据标注等要求。规定了生成式人工智能服务
规范,明确生成式人工智能服务提供者应当采取有效措施防
New Laws 新法速递
- 9 -
范未成年人用户过度依赖或者沉迷生成式人工智能服务,按
照《互联网信息服务深度合成管理规定》对图片、视频等生
成内容进行标识,发现违法内容应当及时采取处置措施等。
此外,还规定了安全评估、算法备案、投诉举报等制度,明
确了法律责任。
明确网信部门行政执法“一事不二罚”原则
《网信部门行政执法程序规定》(以下简称《规定》)
2023 年 6 月 1 日起施行。国家互联网信息办公室有关负责人
表示,出台《规定》,是为了进一步规范和保障网信部门依
法履行职责,保护公民、法人和其他组织的合法权益,维护
国家安全和公共利益。《规定》的出台对于规范网信部门行
政执法行为具有重要意义,规定了网信部门行政执法地域管
辖、级别管辖、指定管辖、移送管辖等制度,明确“一事不二罚”
原则。规范网信部门行政执法程序,明确立案、调查取证、审核、
决定、送达、执行等多环节的具体程序要求,并规定网信部
门应当依法以文字、音像等形式进行全过程记录,归档保存;
完善回避制度、听证制度和当事人的陈述、申辩制度,切实
保障当事人的权利。
新法速递 New Laws
- 10 -
《食用农产品市场销售质量安全监督管理办法》公布
市场监管总局 6 月 30 日公布《食用农产品市场销售质量
安全监督管理办法》(以下简称《办法》),自 2023 年 12 月
1 日起施行。
《办法》强化市场开办者和销售者食品安全责任,规定
市场开办者履行入场销售者登记建档、签订协议、入场查验
等管理义务和销售者履行进货查验、定期检查、标示信息等
主体责任;明确了地方市场监管部门与农业农村部门的案件
通报和移送制度,细化了具体通报情形。
《办法》根据农产品质量安全法有关规定,将承诺达标
合格证列为食用农产品进货查验的有效凭证之一,并鼓励优
先采购带证的食用农产品;同时明确提出在严格执行食品安
全标准的基础上,鼓励食用农产品销售企业通过应用推荐性
国家标准、行业标准以及团体标准等促进食用农产品高质量
发展。
《办法》针对群众反映“生鲜灯”误导消费者问题,增
加对销售场所照明等设施的设置和使用要求;明确鲜切果蔬
等即食食用农产品应做好食品安全防护,防止交叉污染。
New Laws 新法速递
- 11 -
最高人民法院出台关于司法赔偿案件案由的规定
4 月 25 日 , 最高人民法院印发《关于司法赔偿案件案由
的规定》(以下简称“《案由规定》”)并就准确适用司法
赔偿案件案由下发通知。《案由规定》自 2023 年 6 月 1 日起
施行,《关于国家赔偿案件案由的规定》(法〔2012〕32 号)
同时废止。
《案由规定》依据国家赔偿法规定设置了三级司法赔偿
案件案由,其中一级案由 2 个、二级案由 7 个、三级案由 20 个,
在尊重既往案由使用习惯的基础上,遵循必要性、实用性修
改原则,结合审判实践需要进行了修改,解决了原有案由规
定过于简单笼统、案由划分过于粗疏、部分案件无案由可用
以及以申请赔偿理由代替案由等问题。修改后的案由体系更
加完整、分类更加准确、适用更加方便,可以为人民法院司
法赔偿立案、审判工作精细化发展以及准确统计各类司法赔
偿案件提供有效制度保障。
“两高三部委”联合发布新规,规范暂予监外执行工作
近日,最高人民法院、最高人民检察院、公安部、国家
新法速递 New Laws
- 12 -
安全部、司法部、国家卫生健康委联合印发《关于进一步规
范暂予监外执行工作的意见》(以下简称《意见》),旨在
进一步规范暂予监外执行工作。
《意见》共 6 部分 32 条,从准确把握相关诊断检查鉴别
标准、规范病情诊断、严格决定批准审查和收监执行审查、
强化全过程监督制约、加强社区矫正衔接配合和监督管理、
严格工作责任等方面进行了全面规定。
Information 行业资讯
- 13 -
02
行业资讯
Information
行业资讯 Information
- 14 -
▎▏ 国企国资动态
《中央企业法律纠纷案件管理办法》8 月 1 日起施行
6 月 12 日,国务院国资委发布《中央企业法律纠纷案件
管理办法》(以下简称《办法》),自 2023 年 8 月 1 日起施行,
《中央企业重大法律纠纷案件管理暂行办法》(国资委令第
11 号)同时废止。《办法》共 7 章 39 条,从责任主体、管理
机制等方面进行系统重构,特别是在管理机制上,从风险防范、
案件应对,到类案预警、管理提升,形成了“事前风险防控、
事中纠纷化解、事后以案促管”的完整链条,为企业提质增效、
高质量发展提供更加有力的支撑保障。
重大案件由于金额大、影响广,处理效果很大程度上决
定了案件管理的成效,有的甚至影响企业的经营发展,因此《办
法》专章对重大案件管理提出要求,一是明确中央企业可以
结合实际确定本企业重大案件标准,同时,优化了需报国务
院国资委备案的重大案件标准,在此前 5000 万元固定值的基
础上,增加了动态指标,即“涉案金额达到中央企业上一年
度经审计净利润绝对值 10% 以上,且金额超过 2000 万元人民
Information 行业资讯
- 15 -
币或者等值外币”,进一步增强标准的科学性;二是强调重
大案件要及时报备,同时建立督办机制,督促企业落实主体
责任,切实加大力度,依法维护权益;三是要求中央企业通
过诉讼、仲裁、调解、和解等多元化纠纷解决机制妥善处理
案件,对中央企业间的重大案件鼓励通过协商方式解决,协
商不成的,可以报国务院国资委指导协调,以尽快定纷止争、
节约诉讼成本、维护良好形象。
国资委召开国有企业创建世界一流示范企业推进会
4 月 21 日,国资委召开国有企业创建世界一流示范企业
推进会。国资委党委委员、副主任翁杰明出席会议并讲话。
翁杰明指出,示范企业近年来勇于担当、积极作为,在经营
发展、科技创新、深化改革等各方面取得积极进展和成效。
下一步要深入学习贯彻习近平总书记关于加快建设世界一流
企业的重要指示精神,带头加快提升核心竞争力、增强核心
功能,紧紧围绕增强科技创新力、产业控制力和安全支撑力
的目标,重点在提升科技创新能力、价值创造能力、公司治
理能力、资源整合能力、品牌引领能力等五种能力上狠下功夫,
实现以点带面,全面提升。要健全工作机制、制定实施方案、
行业资讯 Information
- 16 -
加强跟踪指导、积极宣传推广,深入推进示范创建工作,确
保取得扎扎实实的进展和成效。此次,国资委在现有 11 家示
范企业基础上,再将 10 家中央企业和 7 家地方国有企业纳入
创建世界一流示范企业范围。
中国石油、华润集团、中国中车集团、万华化学和安徽
海螺等 5 家企业负责同志作了交流发言。国资委有关厅局、
有关中央企业、部分地方国资委、有关地方国有企业相关负
责同志参会。
68 家央企“改革三年行动”考核为 A 级
6 月 26 日,国务院国资委发布了 2022 年度中央企业改革
三年行动重点任务考核 A 级企业名单。中国南方电网有限责
任公司、中国核工业集团有限公司、国家电力投资集团有限
公司、中国海洋石油集团有限公司、中国航空工业集团有限
公司、国家开发投资集团有限公司等 68 家企业获评 A 级。
中央企业改革三年行动对做强做优做大国有经济,增强
国有企业活力、提高效率具有重要意义,将推动实现国有资
产保值增值。此次考核共包括经理层成员任期制和契约化管
理、落实董事会职权、改革专项行动、责任追究体系等 11 项
Information 行业资讯
- 17 -
重点改革任务,涵盖 98 家中央企业。其中,考核 A 级企业比
例进一步扩大至 70%,共 68 家;B 级企业共 30 家。
▎▏ 能源与自然资源行业
工业重点领域节能降碳改造升级范围进一步扩大
7 月 4 日,国家发展改革委、工业和信息化部等部门发布
了《工业重点领域能效标杆水平和基准水平(2023 年版)》,
进一步扩大工业重点领域节能降碳改造升级范围。
通知明确,结合工业重点领域产品能耗、规模体量、技
术现状和改造潜力等,进一步拓展能效约束领域。在此前明
确炼油、煤制焦炭、平板玻璃、建筑陶瓷、炼铁、炼钢、电
解铝等 25 个重点领域能效标杆水平和基准水平的基础上,增
加乙二醇、尿素、钛白粉、子午线轮胎、工业硅、棉、针织
物等 11 个领域。
通知要求,依据能效标杆水平和基准水平,分类实施改
造升级。对此前明确的 25 个领域,原则上应在 2025 年底前完
成技术改造或淘汰退出;对本次增加的 11 个领域,原则上应
行业资讯 Information
- 18 -
在 2026 年底前完成技术改造或淘汰退出。
我国发布 13 种矿产资源全球储量评估数据
7 月 8 日,自然资源部中国地质调查局全球矿产资源战略
研究中心发布《全球矿产资源储量评估报告 2023》。该报告
是在 2021 年首次发布的《全球锂、钴、镍、锡、钾盐矿产资
源储量评估报告》基础上新增铁、锰、铬、铜、铝、铅、锌、
磷 8 种矿产,并更新了锂、钴、镍、锡、钾盐 5 种矿产数据,
全面客观地评估了截至 2021 年底 13 种矿产资源全球储量信息。
报告采集覆盖全球 150 个国家的 2 万余个矿业项目数据,
并对全球不同储量体系数据和一些国家公布的储量数据按统
一标准进行对标和合理修正,最终获得可靠、可信的全球矿
产资源储量评估数据。报告显示,全球铁、锰、铬、铝、磷、
钾盐和锂资源储量丰富,而锡、铅、锌、镍、钴、铜等资源
的保障程度较低,需进一步加大勘查力度和资金投入。我国
这 13 种矿产的储量在全球占比差异较大,其中锡、铅、锌和
锰等 4 个矿种的资源储量全球占比超过 10%,属于优势矿产;
而其他 9 种矿产资源的储量全球占比较低,属于紧缺矿产。
Information 行业资讯
- 19 -
今年上半年,我国光伏产业快速发展
今年上半年,我国光伏产业发展势头强劲,各项指标均
呈快速增长态势。
最新数据显示,今年上半年,我国光伏发电累计达 2663
亿千瓦时,同比增长约 30%,新增发电装机规模 7842 万千瓦,
同比增长 154%,基本与去年全年数据相当。截至 6 月底,光
伏发电累计装机规模约 4.7 亿千瓦,已超过水电成为我国装机
规模第二大电源。
投资方面,今年上半年,我国光伏发电完成投资超过
1300 亿元,约占全部可再生能源完成投资的 50%。出口方面,
上半年,我国光伏产品出口总额达到 289.2 亿美元,同比增长
11.6%,有效助力外贸提质升级。
今年上半年,我国光伏产业链各环节均在快速增长,全
国多晶硅、硅片、电池、组件产量同比增长均超过 65%。同时,
光伏设备的智能化、绿色化水平也在不断提升,进一步降本
增效,推动产业迭代升级。
(消息来源:央视新闻)
行业资讯 Information
- 20 -
▎▏ 大数据行业
生成式人工智能新政策发布
近日,国家网信办联合国家发展改革委、教育部、科技部、
工业和信息化部、公安部、广电总局公布《生成式人工智能
服务管理暂行办法》(以下称《办法》),自 2023 年 8 月 15
日起施行。国家互联网信息办公室有关负责人表示,出台《办
法》,旨在促进生成式人工智能健康发展和规范应用,维护
国家安全和社会公共利益,保护公民、法人和其他组织的合
法权益。
近年来,生成式人工智能技术快速发展,为经济社会发
展带来新机遇的同时,也产生了传播虚假信息、侵害个人信
息权益、数据安全和偏见歧视等问题,如何统筹生成式人工
智能发展和安全引起各方关注。出台《办法》,既是促进生
成式人工智能健康发展的重要要求,也是防范生成式人工智
能服务风险的现实需要。
国家互联网信息办公室有关负责人指出,生成式人工智
Information 行业资讯
- 21 -
能服务的发展与治理需要政府、企业、社会、网民等多方参与,
共同促进生成式人工智能健康发展,让生成式人工智能技术
更好地造福人民。
工信部组织开展 2023 年大数据产业发展示范申报工作
工业和信息化部近日印发通知,组织开展 2023 年大数据
产业发展试点示范项目申报工作。将围绕重点行业大数据应
用、数字化治理应用、数据管理和流通、数据安全管控等四
大领域 13 个方向,遴选一批大数据产业发展示范项目,通过
树立一批创新能力突出、应用效果良好、示范作用明显的大
数据领域标杆,推进大数据产业高质量发展。
通知指出,申报主体为从事或服务于大数据采集、存储、
加工、分析、应用、安全、要素流通等相关业务的企业及企
业联合体、科研院所。每个申报主体限申报 1 个项目,每个
项目限申报 1 个方向。申报主体应遵守国家法律法规和规章
制度规定,具有较强的规模实力、经济效益、技术研发能力
和融合创新能力。申报项目须为在建或已建项目,拥有自主
知识产权,技术先进、模式创新、应用示范带动作用明显。
通知指出,示范项目示范期为 2 年,已列入前期示范项
行业资讯 Information
- 22 -
目且仍在示范期内的项目不可重复申报。示范期内,工业和
信息化部组织对示范项目开展动态监测,并对示范项目名单
进行动态调整。示范期满后,工业和信息化部将组织开展示
范项目评估摸底工作。鼓励各推荐单位积极支持并监督指导
示范项目实施,推进示范项目高水平建设。
▎▏ 医药行业
下半年深化医药卫生体制改革重点工作任务下发
7 月 24 日,经国务院同意,国家卫生健康委、国家发展
改革委、财政部、人力资源社会保障部、国家医保局、国家
药监局联合印发《深化医药卫生体制改革 2023 年下半年重点
工作任务》(以下简称《任务》),明确了 2023 年下半年深
化医改的重点任务和工作安排。
2023 年下半年医改工作主要包括六个方面 20 条具体任务。
一是促进优质医疗资源扩容和区域均衡布局。推进国家医学
中心和国家区域医疗中心设置建设,持续提升地市和县级医
疗水平,加强社区和农村医疗卫生服务能力建设,完善促进
Information 行业资讯
- 23 -
分级诊疗的体制机制,促进中医药传承创新发展,推动“大
病重病在本省就能解决,一般的病在市县解决,头疼脑热在
乡镇、村里解决”。二是深化以公益性为导向的公立医院改革。
推进医疗服务价格改革和规范化管理,深化公立医院薪酬制
度改革,加快推进公立医院高质量发展,规范民营医院发展,
全面加强医药领域综合监管,形成风清气正的行业环境。三
是促进多层次医疗保障有序衔接。巩固健全全民基本医保,
完善多层次医疗保障制度,深化多元复合式医保支付方式改
革,最大化发挥各项制度效应,有效减轻群众看病就医负担。
四是推进医药领域改革和创新发展。支持药品研发创新,常
态化开展药品和医用耗材集中带量采购,加强药品供应保障
和质量监管,确保“供好药”“用好药”。五是健全公共卫
生体系。促进医防协同、医防融合,推进疾病预防控制体系
改革,提升公共卫生服务能力,从制度完善、人才队伍建设、
评价考核等多方面共同努力推动公共卫生体系建设和能力提
升。深入开展健康中国行动和爱国卫生运动,持续提高群众
健康素养。六是发展壮大医疗卫生队伍。加强紧缺专业和高
层次人才培养,加强以全科医生为重点的基层队伍建设,实
施大学生乡村医生专项计划,深化基层薪酬、岗位设置等方
面的改革,提高基层医务人员积极性,提高基层医疗卫生服
行业资讯 Information
- 24 -
务能力,切实把工作重点放在社区和农村。
国家药监局发布《药品标准管理办法》
7 月 5 日,国家药监局发布《药品标准管理办法》(以下
简称《办法》)。这是我国第一部关于药品标准管理的法规文件,
自 2024 年 1 月 1 日起施行。
《办法》适用于国家药品标准、药品注册标准和省级中
药标准的管理。《办法》明确三类标准的范围;指出国家药
品标准和省级中药标准管理工作实行政府主导、企业主体、
社会参与的工作机制,药品注册标准的制定和修订工作应当
强化药品上市许可持有人的主体责任;鼓励社会团体、企业
事业组织以及公民积极参与药品标准研究和提高工作,加大
信息、技术、人才和经费等投入,并对药品标准提出合理的
制定和修订意见和建议。
对于三类标准,《办法》分别设置专章,明确标准的制
修订程序及要求,规定废止情形。国家药品标准一章指出,
新版国家药品标准颁布后,持有人经评估其执行的药品标准
不适用新颁布的国家药品标准有关要求的,应当开展相关研
究工作,按照药品上市后变更管理相关规定,向国务院药品
Information 行业资讯
- 25 -
监督管理部门药品审评中心提出补充申请并提供充分的支持
性证据;符合规定的,核准其药品注册标准。药品注册标准
一章强调,药品注册标准的制定应当科学、合理,能够有效
地控制产品质量,并充分考虑产品的特点、科技进步带来的
新技术和新方法以及国际通用技术要求;药品注册标准的变
更,不得降低药品质量控制水平或者对药品质量产生不良影
响。对于省级中药标准,《办法》明确,禁止收载“无本地
区临床习用历史的药材、中药饮片”“已有国家药品标准的
药材、中药饮片、中药配方颗粒”“经基因修饰等生物技术
处理的动植物产品”等 7 种情形的品种。
▎▏ 制造行业
上半年我国制造业转型升级态势明显
今年以来,随着做优做强实体经济、促进产业转型升级
的各项措施显效,我国制造业结构优化,发展质量稳步提升。
上半年,全国制造业增加值同比增长 4.2%,比一季度加
快 1.3 个百分点,其中尤为突出的是高端制造业增长较快。随
行业资讯 Information
- 26 -
着航空航天发展向好,国产大飞机实现商业航行,对制造业
带动作用在逐步增强。在苏州太仓,超 100 家航空航天产业
链企业已经形成一个新的产业集群,上半年增长势头良好。
上半年,全国航空航天器及设备制造业增加值同比增长
22.9%,重点领域关键环节技术攻关不断取得突破,带动相关
生产高速增长,半导体器件专用设备制造、电子元器件及机
电组件设备制造同比增长都达到 30% 以上。上半年,装备制
造业增加值同比增长 6.5%,高于规模以上工业增速 2.7 个百
分点,对全部规模以上工业增长的贡献率达到 53.9%,工业生
产的技术密集程度持续提高。
上半年,智能型、新材料等新产品生产向好。智能消费
设备制造增长 12%,其中智能车载设备、智能无人飞行器制
造分别增长 36.3% 和 12.5%。新材料供给增加。中国制造业新
动能逐步壮大,发展质量稳步提升。
(消息来源:央视新闻)
五部门印发制造业可靠性提升实施意见
工业和信息化部等 5 部门日前印发《制造业可靠性提升
Information 行业资讯
- 27 -
实施意见》(以下简称《实施意见》)。
《实施意见》提出“两步走”目标:第一阶段到 2025 年,
聚焦补短板、强弱项,按照夯基础、优服务、促提升的思路,
通过开展技术攻关、建立标准体系、完善公共服务等举措,
力争形成 100 个以上可靠性提升典型示范,推动 1000 家以上
企业实施可靠性提升,为实现第二阶段目标奠定坚实基础;
第二阶段到 2030 年,聚焦锻长板、促成效,按照树标杆、强
带动、促转化的思路,充分发挥可靠性标准引领作用,推动
10 类关键核心产品可靠性水平达到国际先进水平,培育一批
具有竞争力和影响力的可靠性公共服务机构和可靠性专业人
才,促进我国制造业可靠性整体水平迈上新台阶,成为支撑
制造业高质量发展的重要引擎。
《实施意见》聚焦机械、电子、汽车三个重点行业,一方面,
通过提高核心基础零部件、核心基础元器件可靠性,促进相
关行业产品可靠性提升,增强产业链供应链韧性。另一方面,
发挥行业基础优势,形成可复制可推广的先进经验,为其他
行业树立典型示范,带动制造业可靠性整体水平提升。
行业资讯 Information
- 28 -
▎▏ 旅游行业
两部门启动“5G+ 智慧旅游”应用试点项目
近日,工业和信息化部、文化和旅游部共同印发《关于
加强 5G+ 智慧旅游协同创新发展的通知》(下称《通知》),
全力推动 5G 在旅游业的创新应用《通知》提出了到 2025 年,
我国旅游场所 5G 网络建设基本完善,5G 融合应用发展水平
显著提升,产业创新能力不断增强,5G+ 智慧旅游繁荣、规
模发展的总体目标,》提出了九项重点任务,包括加强重点
旅游区域 5G 网络覆盖、鼓励重点单位网络建设资源开放、创
新 5G+ 智慧旅游服务新体验、探索 5G+ 智慧旅游营销新模式、
提升 5G+ 智慧旅游管理能力、加强 5G+ 智慧旅游产品供给、
增强 5G+ 智慧旅游主体创新活力、打造 5G+ 智慧旅游示范标
杆以及建设 5G+ 智慧旅游样板村镇等。
《通知》的发布,将为 5G ﹢智慧旅游带来广阔的发展
前景,为进一步拓展 5G 行业应用蓝海,加快重点领域特色应
用落地,推动 5G 赋能智慧旅游,营造良好的发展环境。
Information 行业资讯
- 29 -
谌贻琴主持召开推动旅游业高质量发展座谈会
国务委员谌贻琴 7 月 25 日主持召开专家和企业负责人座
谈会,贯彻落实中央政治局会议部署要求,听取对进一步释
放旅游消费潜力、推动旅游业高质量发展的意见建议。
在认真听取大家发言后,谌贻琴指出,今年以来,在以
习近平同志为核心的党中央坚强领导下,我国国民经济持续
恢复、总体回升向好,群众旅游需求旺盛。要深入贯彻落实
习近平总书记关于文化旅游工作的重要论述和指示批示精神,
坚持稳中求进工作总基调,乘势而上促进旅游消费,推动旅
游业实现质的有效提升和量的合理增长,提升人民群众生活
品质。谌贻琴强调,要适应人民群众日益品质化、多样化、
个性化的旅游需求,着力推动文化和旅游深度融合,提升旅
游产品和服务质量。继续为旅游企业纾困解难,推动企业加
大创新力度,不断激发发展活力。进一步规范旅游市场秩序,
强化旅游安全保障,让群众旅游顺心安心放心。要完善政策
体系,提振旅游投资信心和消费信心,加快形成推动旅游业
高质量发展的强大合力。
合规视点 Insight
- 30 -
03
合规视点
Insight
Insight 合规视点
- 31 -
全面梳理:企业应如何构建数据合规保护制
度体系
作者 广东华商律师事务所 陈升杰
来源 公众号“新则”
一、数据基础问题概述
(一)数据相关概念辨析
在数据安全领域,数据保护、数据安全与数据合规经常
被不加区分地混用,尽管三者均可用于数据安全领域,但是
“
”
数据安全保护的核心是数据安全管理。数据安全管理既是
法律问题,亦是管理问题。数据安全保护制度的建设,首先要
以法律法规以及国家行业规范的规定作为基础指引,确保数据
安全保护制度建设的合规性。在确保数据安全保护制度合规的
基础上,企业可结合自身的实际情况,建设符合自身需要的数
据安全保护制度。
合规视点 Insight
- 32 -
三者的内涵不尽相同,在不同的场合应当区分使用。
1. 数据安全,是指通过采取必要措施,确保数据处于有
效保护和合法利用的状态,以及具备保障持续安全状态的能
力。由此可见,数据安全强调的是一种安全状态和安全能力。
(《数据安全法》第 3 条第 3 款)
2. 数据保护更加强调的是数据保护措施,即企业为了实
现数据安全所需采取的安全保护措施。
3. 数据合规则是从监管的角度进行的界定,即企业按照
现行法律法规规定,依法履行法律法规规定的义务,采取相
应的数据保护措施,确保数据处于安全的状态。
因此,数据安全和数据合规都属于数据保护的目标,各
自所侧重的角度不同。数据保护则是实现数据安全与数据合
规的路径。
(二)数据的种类
根据国家对数据是否存在监管要求,可将数据分为受监
管的企业数据与不受监管的企业数据。受监管的企业数据做
Insight 合规视点
- 33 -
好数据安全管理是法律的要求,企业必须履行相应的法律义
务,企业按法律规定的要求做好数据安全管理的过程,即为
数据合规,数据合规是数据保护在监管角度的表达。法律虽
未规定,但企业为保持自身的市场竞争力,对自身数据进行
安全管理的过程,即为数据保护。
在受监管的企业数据中,根据数据是否涉及自然人信息,
企业数据可以分为个人信息与非个人信息。属于个人信息范
畴的,要按照《个人信息保护法》及相关行业规范的规定和
指引,除按规定做好数据安全管理措施外,还需要做好相应
的个人信息保护工作。
此外,《数据安全法》从数据安全的角度,以根据数据
在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、
泄露或者非法获取、非法利用,对国家安全、公共利益或者
个人、组织合法权益造成的危害程度为标准,将数据分为一
般数据、重要数据与核心数据。不同的数据级别,所需要采
取的安全管理措施不同。
合规视点 Insight
- 34 -
二、数据安全管理制度体系及其法律依据
(一)设置数据安全管理机构和负责人
1. 网络安全领域
《网络安全法》第二十一条第一项规定,网络运营者应
当按照网络安全等级保护制度的要求,制定内部安全管理制
度和操作规程,确定网络安全负责人,落实网络安全保护责
任。根据该规定,无论何种情况,都需要确定网络安全负责人。
对于关键信息基础设施的运营者,《网络安全法》第三十四
条还明确要求关键信息基础设施运营者要设置专门安全管理
机构和安全管理负责人,并对该负责人和关键岗位的人员进
行安全背景审查。
2. 数据安全领域
《数据安全法》第二十七条第二款规定:重要数据的处
理者应当明确数据安全负责人和管理机构,落实数据安全保
护责任。
Insight 合规视点
- 35 -
根据《数据安全法》的规定,数据分为一般数据、重要
数据与核心数据(根据《数据安全法》第二十一条第二款规定,
关系国家安全、国民经济命脉、重要民生、重大公共利益等
数据属于国家核心数据)。对于一般数据的处理者,法律并
未要求必须设置数据安全负责人和管理机构,仅对重要数据
的处理者作出该要求。第二十七条第二款虽然仅对重要数据
的处理者提出该要求,根据当然解释,核心数据处理者更应
设置数据安全负责人和管理机构。由此可见,并非所有的企
业都需要设置数据安全负责人和管理机构,只有处理的数据
中涉及到重要数据和核心数据的企业,才需要设置数据安全
负责人和管理机构。
关于何为一般数据与重要数据,《数据安全法》并未直
接进行界定,而是将界定一般数据与重要数据的权利赋予各
地区、各部门,由各地区、各部门根据该领域、行业的实际
情况进行分类分级保护。
3. 个人信息保护领域
合规视点 Insight
- 36 -
《个人信息保护法》第五十二条规定,处理个人信息达
到国家网信部门规定数量的个人信息处理者应当指定个人信
息保护负责人,负责对个人信息处理活动以及采取的保护措
施等进行监督。从该规定的内容可以看出,个人信息保护领
域只要求设置个人信息保护负责人,并未要求成立个人信息
保护管理机构。同时,就是否需要设置个人信息保护负责人
的标准而言,《个人信息保护法》是以数量作为区分标准的,
与《数据安全法》中区分数据种类的规定不同。
(二)数据安全教育培训制度
《数据安全法》第二十七条第一款规定:开展数据处理
活动应当依照法律、法规的规定,建立健全全流程数据安全
管理制度,组织开展数据安全教育培训,采取相应的技术措
施和其他必要措施,保障数据安全。利用互联网等信息网络
开展数据处理活动,应当在网络安全等级保护制度的基础上,
履行上述数据安全保护义务。《个人信息保护法》第五十一
条第四项同样规定了个人信息处理者要定期对从业人员进行
Insight 合规视点
- 37 -
安全教育和培训。
与设置安全管理机构和负责人这一非常态化制度内容不
同的,任何数据或者个人信息处理者都必须开展安全教育培
训,即:安全教育培训应当成为所有处理数据或个人信息的
企业数据安全管理制度中的常态化制度的内容之一。
(三)数据分类分级保护制度
《数据安全法》第二十一条第三款规定,各地区、各部
门应当按照数据分类分级保护制度,确定本地区、本部门以
及相关行业、领域的重要数据具体目录,对列入目录的数据
进行重点保护。
数据分类分级管理制度是数据安全制度中的基础制度与
核心制度,不同类别、不同级别的数据安全制度必须用不同
的安全管理方式,这既是数据保护的要求,也是企业节省成
本的重要方式。分门别类是管理的基础,没有分类也就没有
管理。因此,从管理学意义上来说,数据分类分级管理是实
现管理的基础和前提,没有数据分类分级也就无法做好数据
合规视点 Insight
- 38 -
安全管理的工作。《个人信息保护法》第五十一条第二项同
样也规定了个人信息处理者要对个人信息实行分类管理。
(四)全流程数据安全管理制度
全流程数据安全管理制度又叫数据全生命周期安全管理
制度。数据全流程指的是数据处理的全流程,根据《数据安
全法》第三条第二款规定,数据处理,包括数据的收集、存储、
使用、加工、传输、提供、公开等。数据从收集、存储到删除(销
毁)的过程即为数据的全生命周期,在一定意义上,数据全
流程与数据全生命周期是等同的,可以相互替换。
《数据安全法》第二十七条第一款规定:开展数据处理
活动应当依照法律、法规的规定,建立健全全流程数据安全
管理制度,组织开展数据安全教育培训,采取相应的技术措
施和其他必要措施,保障数据安全。《个人信息保护法》第
五十一条第一项规定,个人信息处理者应当制定内部管理制
度和操作规程。
个人信息属于数据的一部分,两者的安全管理在整体逻
Insight 合规视点
- 39 -
辑上相似,但个人信息保护制度有自身的特殊要求,对个人
信息安全管理上,既要以数据安全管理为基础,又要符合个
人信息处理的有关要求。
(五)数据安全事件应急预案制度
应急预案是面对突发事件的应急管理、指挥和救援计划。
任何安全管理制度的构建都离不开应急预案制度,构建数据
安全事件应急预案制度有利于预防和减少数据安全事件的发
生,控制、减轻和消除数据安全事件引起的严重社会危害。
《数据安全法》第二十九条规定:开展数据处理活动应
当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当
立即采取补救措施;发生数据安全事件时,应当立即采取处
置措施,按照规定及时告知用户并向有关主管部门报告。《个
人信息保护法》第五十一条第五项规定了个人信息处理者要
制定并组织实施个人信息安全事件应急预案。第五十七条规
定发生或者可能发生个人信息泄露、篡改、丢失的,个人信
息处理者应当立即采取补救措施,并通知履行个人信息保护
合规视点 Insight
- 40 -
职责的部门和个人。
(六)数据安全检测与风险评估制度
安全检测与风险评估制度与应急预案制度同属安全生产
制度的内容,安全检测与风险评估制度更侧重于事前的预防,
而应急预案制度虽包括事前的预防,但更强调事中的处置与
及时的报告。
《数据安全法》第三十条规定,重要数据的处理者应当
按照规定对其数据处理活动定期开展风险评估,并向有关主
管部门报送风险评估报告。《个人信息保护法》第五十五条
也规定了在符合该条规定的五种情形下,个人信息处理者应
当事前进行个人信息保护影响评估。
数据安全检测与风险评估,与其他数据安全管理制度共
同构成数据安全的防火墙,有利于防止因数据泄露而造成危
害后果。
三、数据安全管理制度的主要内容
Insight 合规视点
- 41 -
(一)设置数据安全管理机构与负责人
1. 需要设置数据安全管理机构与负责人的情形
如前所述,无论是网络安全领域,还是数据保护领域,
亦或是个人信息保护领域,对是否需要设置专门安全管理机
构和安全管理负责人有不同的前提条件。具体如下:
领域 条件 安全管理机构 安全管理负责人
网络安全
关键信息基础设施 √ √
非关键信息基础设施 × ×
数据保护
一般数据 × ×
重要数据 √ √
核心数据 √ √
个人信息保护
达到规定数量 × √
未达到规定数量 × ×
对于网络设施运营者而言,首先要判断其运营内容是否
包括关键信息基础设施,不涉及的则无需设置安全管理机构
和安全管理负责人,涉及的则需要设置安全管理机构和安全
合规视点 Insight
- 42 -
管理负责人。
对于数据处理者而言,首先要对其处理的数据进行分类
分级管理,如不涉及重要数据或核心数据的处理,则无需设
置安全管理机构和安全管理负责人,涉及的则需要设置安全
管理机构和安全管理负责人。
对于个人信息处理者而言,既要从遵循数据处理的规则,
又要根据个人信息保护法的规定进行判断。即,如个人信息
均为一般数据的,则只按照是否达到规定数量决定是否设置
个人信息保护负责人。
2. 数据安全管理机构与负责人的具体设置
企业可以根据自身的实际需要,设置数据安全管理常设
机构或数据安全管理临时机构。常设机构可命名为“xx 有限
公司数据安全管理部”,即将数据安全管理机构作为公司的
组成部门,有专门的工作人员和负责人。临时机构则可命名
为“xx 有限公司数据安全管理委员会或领导小组”,委员会
或领导小组成员可由企业法定代表人或主要负责人、分管数
Insight 合规视点
- 43 -
据安全的副职领导、相关部门负责人等构成。
在人员分工方面,本单位法定代表人或者主要负责人是
数据安全第一责任人,领导团队中分管数据安全的成员是直
接责任人。除此之外,还要明确数据处理关键岗位和岗位职责,
并要求关键岗位人员签署数据安全责任书,责任书内容包括
但不限于数据安全岗位职责、义务、处罚措施、注意事项等
内容。
在特定行业中,相关领域主管部门还要求企业要配置数
据安全管理人员。例如,根据《工业和信息化领域数据安全
管理办法(试行)》第十三条规定,根据需要配备数据安全
管理人员,统筹负责数据处理活动的安全监督管理,协助行
业监管部门开展工作。
3. 公开并报送个人信息保护负责人有关信息
根据《个人信息保护法》的要求,个人信息处理者应当
公开个人信息保护负责人的联系方式,并将个人信息保护负
责人的姓名、联系方式等报送履行个人信息保护职责的部门。
合规视点 Insight
- 44 -
(二)数据安全教育培训制度
数据安全教育培训制度的内容主要包括数据安全思想教
育、数据安全知识教育和数据安全技能教育三个方面的内容。
1. 数据安全思想教育是数据安全教育培训制度的核心内
容,数据安全管理的中心是“人”,“人”是保证企业数据
安全的决定性因素,只有不断提高员工的数据安全意识,才
能拧紧数据安全保护弦。
2. 数据安全知识教育是数据安全教育培训制度的基础内
容,企业应当定期向全体员工或特定员工举行数据安全知识
培训,让相关员工了解数据安全保护的知识,提高数据安全
管理的理论水平。
3. 数据安全技能教育是数据安全教育培训制度的的重要
内容,数据安全保护具有很强的实践性,除了提高企业员工
数据安全意识和数据安全管理理论水平之外,还应当定期对
有关员工的数据安全技能进行培训,以提高企业员工的实操
能力。需要特别注意的是,应急演练同样属于数据安全技能
Insight 合规视点
- 45 -
教育的内容之一,要把应急演练纳入数据安全教育培训中。
(三)数据分类分级管理制度
数据分类分级管理制度是数据安全保护制度的基础,一
方面,数据分类分级管理制度决定了企业是否需要设置数据
安全管理机构与负责人,另一方面,数据分类分级管理制度
还决定了企业对不同的数据应当采用不同的安全保护措施。
《数据安全法》二十一条提出了重要数据与核心数据两
个概念,与之对应的则为一般数据。因此,《数据安全法》
以数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,
对国家安全、公共利益或者个人、组织合法权益造成的危害
程度标准,将数据分为一般数据、重要数据与核心数据三种
类型。同时还规定各地区、各部门应当按照数据分类分级保
护制度,确定本地区、本部门以及相关行业、领域的重要数
据具体目录,对列入目录的数据进行重点保护。由此可见,
数据分类分级可以以本地区、本部门的法规、规章,或者国家、
行业标准作为重要的参考标准。
合规视点 Insight
- 46 -
1. 数据分类分级有规定的,以规定为主要参考依据
当前,我国数据合规发展得相对比较快的有三个领域,
分别是金融、电信以及政府三个领域,这三个领域关于数据
安全的法律法规及行业规范对数据如何安全管理有相对详细
的规定,包括数据分类分级的方法和原则。
例如,在数据分类方面,《工业和信息化领域数据安全
管理办法(试行)》第八条就根据行业要求、特点、业务需求、
数据来源和用途等因素,将工业和信息化领域数据分为研发
数据、生产运行数据、管理数据、运维数据、业务服务数据等。
在数据分级方面,根据数据遭到篡改、破坏、泄露或者非法
获取、非法利用,对国家安全、公共利益或者个人、组织合
法权益等造成的危害程度,工业和信息化领域数据分为一般
数据、重要数据和核心数据三级。这一分级与数据安全法中
的分级标准保持一致。
此外,该办法还规定了工业和信息化领域数据处理者可
在此基础上细分数据的类别和级别,即赋予相关数据处理者
Insight 合规视点
- 47 -
根据自身生产经营情况,在该基础上再进行细化。
2. 数据分类分级无规定的,可参考相关规定并按有关原
则自行界定
数据的具体分类与企业所在行业以及实际生产经营情况
息息相关,有关分类标准和分类方法可以参考借鉴,但需要
企业结合自身情况进行确定。在缺少部门规章、地方性法规
以及国家、行业规范指导的情况下,企业可以参照其他领域
的规定,自行分类,具体步骤如下:
第一步:梳理数据资产。对数据进行盘点、梳理与分类,
形成统一的数据资产清单,并进行数据安全定级合规性相关
准备工作。
第二步:准备数据安全分级。明确数据分级的颗粒度 ( 如
库文件、表、字段等 ),并识别数据安全定级关键要素(影响
对象、影响范围、影响程度)。
第三步:判定数据安全级别。按照数据定级规则,结合
国家及行业有关法律法规、部门规章,对数据安全等级进行
合规视点 Insight
- 48 -
初步判定。同时,要综合考虑数据规模、数据聚合、数据时
效性、数据形态 ( 如是否经汇总、加工、统计、脱敏或匿名
化处理等 ) 等因素,对数据安全级别进行复核,调整形成数
据安全级别评定结果及定级清单。
第四步:审核数据安全级别。审核数据安全级别评定过
程和结果,必要时重复第三步及其后工作,直至安全级别的
划定与本单位数据安全保护目标相一致。
第五步:批准数据安全定级。最终由数据定级工作领导
组织对数据安全分级结果进行审议批准。
(四)全流程数据安全管理制度
数据从收集、存储、使用、加工、传输、提供、公开到
删除(销毁)即为数据全流程(全生命周期)。《数据安全法》《个
人信息保护法》以及《工业和信息化领域数据安全管理办法(试
行)》等法律、法规对数据全生命周期要如何进行安全管理
或者采取何种合规措施进行了详细的规定,可以参照前述法
律规定的具体规定进行数据全生命周期的安全管理。
Insight 合规视点
- 49 -
1. 数据处理管理规范
数据处理管理规范的内容相对丰富,主要注意以下几个
方面的内容:一是建立内部登记、审批等工作机制,对重要
数据和核心数据的处理活动进行严格管理并留存记录。二是
数据处理方式方法应当符合相关法律的基本要求。三是严格
做好人员权限管理工作,根据不同岗位的工作需要,确定具
体岗位的数据处理权限,对于超越本岗位数据权限,且确有
必要的情况,要按照公司内部规定走审批流程,并做好内部
登记工作。
2. 数据处理技术规范
在技术方面,要根据规定采取校验技术、密码技术、安
全传输通道或者安全传输协议等措施,实施数据容灾备份和
存储介质安全管理,定期开展数据恢复测试。对于法律法规
或国家、行业规范未规定的技术措施,要按照安全可靠、成
本最低的原则,采取合适的技术措施。
3. 数据处理操作规范
合规视点 Insight
- 50 -
在操作层面,一方面要合理确定数据处理活动的操作权
限,严格实施人员权限管理,另一方面,要加强对员工的培
训与指导,可以制定相应的数据处理操作手册,为企业员工
在工作过程中处理数据提供操作指引。
(五)数据安全事件应急预案制度
数据安全事件应急预案制度应当具有针对性、实用性和
可操作性。根据《数据安全法》第二十九条、《个人信息保护法》
第五十一条第五项、第五十七条规定的内容可知,数据安全
事件应急预案制度包括数据安全事件的事前预防、数据安全
事件的事中处置与数据安全事件的报告三部分组成。当发生
数据安全事件时,可以采取以下步骤进行处置:
第一步:在发生数据安全事件时,首先要判断数据安全
事件中涉及的数据,以及所涉数据的类型与级别(一般数据、
重要数据、核心数据);
第二步:要通过技术手段,确定数据流向,在此基础上,
判断数据可能对各方主体造成何种影响及影响程度;