南财合规周报（第63期）：央企将设首席合规官；广东推进数据要素市场化配置改革

21世纪经济报道见习记者 王巍 北京报道

本周（09.18-09.24）合规领域动态多发。

数字经济与平台监管方面，广东推进数据要素市场化配置改革，明确企业数据资产经营管理方向，推广首席数据官制度；国务院国资委印发《中央企业合规管理办法》，推动中央企业加强合规管理，切实防控风险，有力保障深化改革与高质量发展，中央企业将设立“首席合规官”，由总法律顾问兼任，作为关键人物全面参与企业重大决策。

网络安全与个人信息保护方面，浙江省通信管理局开展了车联网安全攻防演练、车联网网络安全检查以及车联网网络安全定级备案等系列工作；重庆消委会因学生家长个人信息被倒卖提起的公益诉讼案开庭审理。

知识产权保护与反不正当竞争方面，恶意注册“古北水镇”商标，并以此来谋取利益的相关公司，则在商标被宣告无效之后，被北京知识产权法院认定构成不正当竞争，需对被侵权方进行赔偿。

在海外领域，以纽约州为首的美国多州向联邦上诉法院提出，应该恢复对Meta平台公司提起的反垄断诉讼；印度尼西亚议会通过了《个人数据保护法案》，在该国不当处理数据的企业，将面临罚款和最高6年的监禁。

一、数字经济与平台监管

1. 广东推进数据要素市场化配置改革，明确企业数据资产经营管理方向，推广首席数据官制度

9月22日，“广东省推进数据要素市场化配置改革”专题新闻发布会介绍了广东在推动数据要素市场化配置改革一年以来取得的最新成果。广东省政务服务数据管理局局长杨鹏飞介绍，广东首创首席数据官制度，在多个省有关部门和广州、深圳、珠海、佛山等11个地市开展首席数据官试点，为数据资源“一网共享”管理体系落地提供坚实组织保障。通过首席数据官制度，各地各部门数据治理、运营能力和公共数据开发应用水平得到进一步提升。

近期，广东省还出台企业首席数据官建设指南，对企业数据资产经营管理进行政策指导，同时把企业首席数据官建设作为各地数字经济发展情况评估的重要内容，鼓励各地将企业首席数据官的设置作为制定数字经济领域相关扶持政策的重要参考。

2021年7月，广东在全国率先出台《广东省数据要素市场化配置改革行动方案》，并对经济社会发展起到赋能作用。“广东省推进数据要素市场化配置改革”专题新闻发布会上，杨鹏飞在回应南方财经• 21世纪经济报道记者提问时表示，广东省数据要素市场化配置改革的下一步规划，将从打造数据要素市场基础设施、畅通数据要素大循环、赋能经济社会高质量发展三方面来推进。

2.央企将设立“首席合规官”

9月18日央视财经报道，国务院国资委日前印发《中央企业合规管理办法》（以下称为《办法》），推动中央企业加强合规管理，切实防控风险，有力保障深化改革与高质量发展。《办法》自2022年10月1日起施行。《办法》明确提出中央企业应当结合实际设立首席合规官，不新增领导岗位和职数，由总法律顾问兼任，对企业主要负责人负责，领导合规管理部门组织开展相关工作，指导所属单位加强合规管理。《办法》提出，中央企业应当将合规审查作为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等，定期对审查情况开展后评估。

在监督问责方面，中央企业应当对在履职过程中因故意或者重大过失应当发现而未发现违规问题，或者发现违规问题存在失职渎职行为，给企业造成损失或者不良影响的单位和人员开展责任追究。 

3、甘肃40条措施推进“东数西算”，强调数据中心统筹布局和审查管理

近日，甘肃省政府印发了《关于支持全国一体化算力网络国家枢纽节点（甘肃）建设运营的若干措施》，从要素供给、人才支撑、资金支持、服务保障、监管机制5方面提出40条“真金白银”政策，明确“十四五”期间省内大型超大型数据中心集中部署在庆阳数据中心集群，持续增强庆阳数字产业吸引力和竞争力。

值得注意的是，在政策红利之下，甘肃强调了省内数据中心建设的统筹布局和审查管理，对于区域内数据中心整体上架率（建成投用1年以上)低于50%的市州，不支持规划新的数据中心集群。原则上，对于在庆阳集群之外新建的数据中心，市县政府不得给予土地、财税等方面的优惠政策。

4、国内首个自动驾驶数据分类分级白皮书

9月18日，《北京市高级别自动驾驶测试示范区数据分类分级白皮书》于2022世界智能网联汽车大会网络与数据安全峰会正式发布，填补了国内自动驾驶示范区数据分级分类领域的空白，为行业数据安全管理提供“北京经验”。

自动驾驶示范区作为支撑汽车产业智能化、网联化转型发展的重要基础环境，伴随着智能网联汽车测试和示范运营活动的开展，快速积累了大量数据。全面保障自动驾驶示范区数据安全，关乎国家安全、社会安定和公众利益。然而，由于数据量大、类型复杂多样，且涉及多方交互等问题，行业亟需制定一套行之有效的数据分类分级方法，从而全面梳理数据资产，明确数据安全等级保障要求，为全面、高效保障示范区数据安全建立基础。

示范区自成立以来，已逐步构建了包含数据安全管理制度和数据治理技术手段的前瞻性数据安全体系，为智能网联汽车测试示范、商业化运营、数据应用等提供重要保障。本次通过制定数据分类分级方法，支撑示范区在可控成本范围内，探索自动驾驶数据安全治理主体责任边界、保障安全红线、合理制定安全管控范围和方法。 

二、 网络安全与个人信息保护

1 浙江省通信管理局纵深推进车联网网络安全管理工作

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。浙江作为新能源汽车产业发展大省，在产业快速发展的同时，车联网的安全风险日益凸显，车联网安全保障体系亟须健全完善。为进一步做好浙江省车联网网络安全管理工作，浙江省通信管理局日前先后开展了车联网安全攻防演练、车联网网络安全检查以及车联网网络安全定级备案等系列工作。其中包括，通过协议破解、漏洞扫描、越权访问、数据篡改等手段，对企业相关平台系统进行全面“安全体检”，探测发现安全薄弱点和风险隐患，充分检验企业的网络安全防护和应急处置水平，提升了参与单位的安全知识技能和实战能力；对浙江吉利等公司开展车联网网络安全检查。通过资料查阅、现场访谈、技术测试等方式，对企业的网络安全法律法规落实情况、行业标准符合性情况以及存在的网络安全风险隐患等内容进行了重点检查。针对问题，检查组现场进行了反馈并提出相应整改意见，要求企业进一步提高政治站位，落实好网络安全、数据安全保护责任等。

2、学生家长个人信息被倒卖 重庆消费者委员会提起的公益诉讼案开庭审理

2021年8月，费某扬在网上通过QQ及微信，加入到“K12教育资源交流群”“教育培训失业互助群”等群，寻找有个人资源需求的信息。随后，费某扬便做起“中间人”倒卖学生及家长信息，以每条0.25元的价格，从“上家”购买学生及家长信息11034条，这些信息中有学生的姓名、性别、年龄、学校名称、家长电话等内容。再以每条0.45元的价格，转手倒卖给“下家”，从中获利2000元。2021年10月26日，费某扬被重庆市渝北区公安局抓获。2022年6月2日，渝北区人民检察院作出微罪不起诉决定。

重庆市消委会对费某扬提起公益诉讼认为，费某扬虽然在刑事方面免于被起诉，但在民事方面，其非法买卖学生及家长个人信息的行为，严重损害众多不特定消费者的合法权益，危害社会公共利益，应该承担民事侵权责任。9月19日，重庆市一中院开庭审理此案，渝北区人民检察院作为支持起诉人，全程参与案件审理，并发表支持重庆市消委会提起公益诉讼的意见。

当庭，费某扬表示，认可原告重庆市消委会发表的辩论意见以及诉讼请求，并称今后会积极、主动参加消费领域的公益活动，以弥补自己的过失。法院审理认为，费某扬非法买卖消费者人个信息行为，侵害了众多不特定消费者权益及社会公共利益，应当承担相应的民事侵权责任。在主审法官的主持下，原被告双方当庭签署了调解协议书，费某扬当庭提交了公开道歉信。

三、 知识产权保护与反不正当竞争 

1.  恶意注册“古北水镇” 商标 被法院认定构成不正当竞争

古北水镇作为京郊的一处游览胜地，近几年被人们熟知，但其运营方却一度陷于被要求停用同名商标的尴尬境地。北京小壕科技有限公司（下称小壕公司）在2014年注册“古北水镇”商标后，利用该商标专用权向古北水镇的运营方北京古北水镇旅游有限公司（下称古北水镇公司）发送侵权警告函、提起侵权投诉等。此后，古北水镇公司向有关部门申请宣告小壕公司的注册商标无效，并向小壕公司提起了不正当竞争之诉。日前，北京知识产权法院终审认定，小壕公司构成不正当竞争，判决其向古北水镇公司赔偿各项损失30余万元。

南财观点：该案诉讼中的一个突破性思路，是真正的权利人在正常经营活动被抢注人干扰和影响时，通过商标行政程序“否定”抢注人的权利基础，此后可“乘胜追击”，在抢注人不存在商标使用行为，难以通过侵犯商标权诉讼获得赔偿时，通过不正当竞争之诉，向干扰其正常经营活动、实施不正当竞争行为的抢注人进行索赔，以覆盖因在纠纷和商标行政程序中支出的合理维权成本。

四、海外合规风云

1. 美国多州再出手 要求法院恢复对Meta的反垄断诉讼

9月20日早间消息，以纽约州为首的美国多州周一向联邦上诉法院提出，应该恢复对Meta平台公司提起的反垄断诉讼，因为该公司的行为造成了持续的损害，称下级法院认定他们等了太久才提起诉讼是错误的。该组织由46个州、关岛和哥伦比亚特区组成，阿拉巴马州、乔治亚州、南卡罗来纳州和南达科他州等没有参与其中。

据悉，Meta还面临着美国联邦贸易委员会提起的类似诉讼。早些时候，为了抵御该诉讼，Meta要求上百个竞争对手分享商业机密，被指“借反垄断诉讼窃密”。

2. 印度尼西亚议会通过《个人数据保护法案》

印度尼西亚议会于9月20日通过了《个人数据保护法案》（下称“法案”），那些被发现在这个世界第四大人口大国不当处理数据的企业，将面临罚款和最高6年的监禁。

该法案的通过是发生在一系列数据泄露事件和对印度尼西亚政府公司和机构涉嫌违规行为进行调查之后。立法者以压倒性多数批准了该法案，法案授权总统组建一个监督机构，对违法分发或收集个人数据规则的数据处理者进行罚款。

该法案设置的罚款最高额度是公司年收入的2%，并且他们的资产可能会因罚款被没收或拍卖。法案还设置了一个为期2年的“调整”期，但没有说明在这一阶段违规行为将会如何被处理。根据法案规定，个人为个人利益而伪造个人数据，最高可被监禁6年；非法收集个人数据，最高可被监禁5年。用户有权因数据泄露获得赔偿，并可以撤回对使用其数据的同意。