《外向型中小企业合规指引手册》

《手册》将分期对企业商事活动一般合规问题进行概括梳理，以及对该期商事活动相关热点问题进行梳理，并提出合规建议，以供企业在对相关问题作出决策时进行参考。

《手册》所包含的一般合规问题所涉范围将最大可能地辐射企业商事活动的各个环节和各个方面，包括但不限于∶数据合规、反腐败/反贿赂、反不正当竞争/反垄断、外汇管理等。

内容导读

上期回顾：GDPR下企业发生数据泄露怎么办丨外向型中小企业合规指引手册（5）

本期精彩：

企业的哪些行为可能会违反美国《儿童在线隐私保护法》（COPPA）？企业的哪些行为可能会被美国认定为存在国家安全风险？美国数据合规常见的处罚情形包括哪些？

三、美国数据合规指引

1.企业的哪些行为可能会违反美国《儿童在线隐私保护法》（COPPA）？

2019年2月27日，抖音海外版TikTok被美国联邦贸易委员会（以下简称“FTC”）指控违反美国《儿童在线隐私保护法案》（以下简称“COPPA”），双方达成和解协议，内含570万美元的民事罚款，成为该法案1998年通过以来的最大额罚单。

风险提示

企业在从事涉及美国的商事活动过程中，应关注COPPA合规。FTC有权对违反COPPA的行为进行民事处罚，FTC处罚的违法行为类型包括但不限于以下几种，应引起企业的重视：

在收集或使用儿童的个人信息之前未取得儿童监护人的同意在收集与处理儿童信息时未在相关的网站或者线上服务中履行充分的通知义务；在网站或线上服务中的隐私政策具有虚假和误导性表述；未提供合理方式让监护人具有审阅儿童信息或拒绝授权使用儿童信息的权利；对收集到的儿童个人信息未能提供安全、保密的合理储存程序。

2.企业的哪些行为可能会被美国认定为存在国家安全风险？

对于赴美投资的中国企业，将有可能受到美国外资投资委员会（以下简称“CFIUS”）以对美国国家安全造成影响为由进行的审查。CFIUS是美国管理外国投资的专门管理部门，其目的在于保障美国国家安全，从而审核是否通过该外国投资项目。CFIUS对于国家安全的相关事务拥有极大的自由裁量权，各个领域产生的影响都有可能被其视作威胁美国国家安全。

2018年，美国颁布《外国投资风险评估现代化法案》（FIRRMA），根据FIRRMA,CFIUS的管辖权包含四类交易，包括敏感不动产交易、回避审查交易、涉及关键基础设施、关键技术生产或敏感个人数据的任何其他投资、以及引发权益增加的外国投资。如果经CFUS的审查不通过的，受辖的交易行为有可能被撤销或者中止。

针对CFIUS认为可能存在国家安全风险的项目，CFIUS有权要求采取下列缓解措施：

3.美国数据合规常见的处罚情形包括哪些？

（1）虚假陈述

情景

某餐饮企业，因对外作出已采取合理措施确保其无线路由器和联网摄像头的安全以避免消费者敏感个人信息对外暴露的虚假陈述，受到了FTC的指控。

（2）未采取合理的安全措施导致信息泄露

情景

某电商平台未采取合理措施确保网络安全，导致黑客攻击造成大规模的数据泄露，上亿位消费者的社保密码、信用卡被泄露。该征信机构为此支付了巨额金额作为与FTC和解的一部分。

（3）非法收集13岁以下儿童的个人信息

情景

某公司开发推广移动终端应用软件，允许购买者监视安装这些软件的移动终端（用于监视儿童或雇员），收到FTC的指控，认为其未通过设备使用者的知情同意，且收集13岁以下儿童未遵守COPPA。

除以上常见的处罚情形外，美国数据合规的其他处罚要点还包括违反消费者隐私保护政策，就收集、使用个人信息的程度和目的作出虚假或欺骗性陈述等。

我们建议，赴美投资的中国企业应密切关注美国数据合规的相关政策与典型案例，建立合规风险防控机制。

未完待续……

更多精彩，敬请关注下一期！

声明：以上信息不构成任何投资建议，不代表熊猫出海正式意见。如需咨询相关业务，请关注熊猫出海，并与专业团队取得联系。

内容来源：《外向型中小企业合规指引手册》（第二期）——中国国际贸易促进委员会深圳市委员会