娱法游理Vol.15

娱法游理

Vol.15

恺英网络法务部

二〇二三年八月                 

Practical Research

实务研究

I

LEGISLATION

立法动向

1

INDUSTRY TRENDS

行业动向

6

网络游戏运营商的实名审查义务，和游戏账号的价值认定

12

计算机软件著作权侵权的判定方法

24

31

从最新个案角度解读商标“使用”的司法尺度

个人信息复制权：基于52个APP复制权行使实验的考察

35

Monthly Information

本月资讯

游戏运营公司封禁游戏玩家账号行为性质的认定

19

II

corporate Governance

上市公司治理

corporate Compliance

企业合规

从《刑法修正案（十二）》（草案）看民营企业的刑事风险应对

47

企业员工个人信息保护一般合规思路

54

全文详解《上市公司独立董事管理办法》

65

立法动向/LEGISLATION

为促进互联网行业规范健康发展，进一步做好移动互联网信息服务管理，工业和信息化部近日印发通知，组织开展移动互联网应用程序（以下简称APP）备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者，应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续，未履行备案手续的，不得从事APP互联网信息服务。2023年9月至2024年3月底，《通知》发布前开展业务的APP向其住所所在地省级通信管理局履行备案手续。2024年4月至2024年6月底，电信主管部门将组织对APP备案情况开展监督检查，对仍未履行备案手续的APP依法进行处置。

在工信部通知发布后，8月9日微信平台也快速跟进宣布，“9月1日起，微信小程序须完成备案后才可上架；若微信小程序已上架，需在2024年3月31日前完成备案，逾期未完成备案将于2024年4月1日起进行清退处理。”

立法动向/LEGISLATION

8月2日，国家网信办发布了《移动互联网未成年人模式建设指南（征求意见稿）》，将全面升级“青少年模式”为“未成年人模式”，推动模式覆盖范围由APP扩大到移动智能终端、应用商店，实现软硬件三方联动，方便用户一键进入模式，为未成年人营造安全健康的网络环境。征求意见稿明确，在面向16周岁以上不满18周岁用户的未成年人模式中，移动智能终端应支持默认使用总时长不超过2小时，同时提供家长豁免操作。

8月15日，市场监管总局印发《关于新时代加强知识产权执法的意见》（以下简称《意见》）。《意见》明确了今后一段时期知识产权执法的主要目标、重点任务和保障措施，针对当前侵权假冒行为的新特点，加强知识产权执法的法治保障，建立完善执法机制，依法平等保护各类经营主体的知识产权，为创新驱动发展战略实施提供有力支撑。到2025年，基本建成行政执法、行业自律、企业维权、社会监督协调运作的知识产权执法体系。

立法动向/LEGISLATION

《意见》突出知识产权执法的重点产品、重点领域、重点市场和重点环节。以关系人民群众生命健康、财产安全的产品为重点，严厉查处商标侵权、假冒专利等违法行为。加强互联网领域知识产权执法，加大外商投资领域和老字号品牌的知识产权保护力度。加强对举报投诉较多的商品交易市场以及农村和城乡接合部市场的执法。严厉查处恶意申请注册商标和违法开展商标专利代理等行为。

《意见》强化执法支撑保障措施。一是推进严格规范公正文明执法，深入开展行风建设，提升执法的统一性和规范化水平。二是健全完善执法机制，支持有条件的地方开展试点，完善线上线下结合、上下联动、区域协作的全链条执法。三是强化执法技术支撑，结合开展“数字＋执法”能力提升行动，加强和规范执法数据报送、情报实时归集、线索科学分析、数据有效利用。四是充分利用社会资源，加强与行业协会、社会组织、中介机构的沟通联系，健全知识产权权利人联系名录。五是加强执法能力建设，实施知识产权执法人才建设发展计划。

为贯彻落实《国务院办公厅关于上市公司独立董事制度改革的意见》（以下简称《意见》），优化上市公司独立董事制度，证监会近日发布《上市公司独立董事管理办法》（以下简称《独董办法》），自2023年9月4日起施行。

修改完善后的《独董办法》共六章四十八条，主要包括以下内容：一是明确独立董事的任职资格与任免程序。细化独立性判断标准，并对担任独立董事所应具备的专业知识、工作经验和良好品德作出具体规定。改善选任制度，从提名、资格审查、选举、持续管理、解聘等方面全链条优化独立董事选任机制，建立提名回避机制、独立董事资格认定制度等。明确独立董事原则上最多在三家境内上市公司担任独立董事的兼职要求。二是明确独立董事的职责及履职方式。独立董事履行参与董事会决策、对潜在重大利益冲突事项进行监督、对公司经营发展提供专业建议等三项职责，并可以行使独立聘请中介机构等特别职权。聚焦决策职责，从董事会会议会前、会中、会后全环节，提出独立董事参与董事会会议的相关要求。明确独立董事通过独立董事专门会议及董事会专门委员会等平台对潜在重大利益冲突事项进行监督。要求独立董事每年在上市公司的现场工作时间不少于十

立法动向/LEGISLATION

五日，并应当制作工作记录等。三是明确履职保障。健全履职保障机制，上市公司应当为独立董事履行职责提供必要的工作条件和人员支持。健全独立董事履职受限救济机制，独立董事履职遭遇阻碍的，可以向董事会说明情况，要求董事、高级管理人员等予以配合，仍不能消除阻碍的，可以向中国证监会和证券交易所报告。四是明确法律责任。按照责权利匹配原则，针对性细化独立董事责任认定考虑因素及不予处罚情形，体现过罚相当、精准追责。五是明确过渡期安排。对上市公司董事会及专门委员会的设置、独立董事专门会议机制、独立董事的独立性、任职条件、任职期限及兼职家数等事项设置一年的过渡期。过渡期内，上述事项与《独董办法》不一致的，应当逐步调整至符合规定。

为规范人脸识别技术应用，国家网信办8日就《人脸识别技术应用安全管理规定（试行）（征求意见稿）》公开征求意见。征求意见稿提出，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。

征求意见稿指出，使用人脸识别技术应当遵守法律法规，遵守公共秩序，尊重社会公德，承担社会责任，履行个人信息保护义务，不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动。

征求意见稿要求，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，设置显著提示标识。在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位，对获取的个人图像、身份识别信息负有保密义务，不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

同时，组织机构为实施内部管理安装图像采集、个人身份识别设备的，应当根据实际需求合理确定图像信息采集区域，采取严格保护措施，防止违规查阅、复制

立法动向/LEGISLATION

公开、对外提供、传播个人图像等行为，防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。

根据征求意见稿，人脸识别技术使用者处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录。

行业动态/INDUSTRY TRENDS

近日，浙江盛和网络科技有限公司与传奇株式会社关于确认《蓝月》电影不侵害《热血传奇》游戏著作权纠纷迎来二审判决，确认电影《蓝月》不构成侵权。关于《蓝月》电影是否侵害《热血传奇》游戏的改编权，法院认为，其基础前提是判断改编行为、改编来源关系是否存在，关键在于电影是否使用游戏相关独创性内容。

从传奇株式会社主张的核心内容来看，其主张的部分内容或不具有视听画面的比对基础，或不构成相同或实质性相似，或虽有个别内容存在相似但并非涉案游戏应受《著作权法》保护的属于视听作品的独创性表达。由于游戏和电影在画面构成、画面流畅度、镜头体验感、视听效果方面均截然不同，两者在选择、取舍和安排视听画面中的具体创作要素中存在实质性区别，表达效果有明显差异，不构成相同或实质性相似。

8月9日，世纪华通宣布，公司及控股子公司签署《传奇2和传奇3游戏合作协议》。世纪华通在韩国的控股子公司Actoz，与韩国Wemade的全资子公司ChuanQi IP（以下合并简称“娱美德”）达成合作。

根据协议，Actoz需要每年向娱美德支付合作费用1000亿韩元（以2023年8月9日汇率折算，约人民币5.48亿元），合作期限不超过5年。娱美德向Actoz在中国大陆地区（不包括港澳台）授予独占的、 不可转让的、可分授权的权利，包括原版游戏（传奇2和传奇3）、衍生游戏、服务工具、维权、衍生产品、虚拟产品和影视作品的权利。世纪华通计划为Actoz提供一般保证担保，金额为5年期的合作费5000亿韩元（约合人民币27.4亿元）。

世纪华通表示，本协议的顺利签署，标志着Actoz可独立对外完整行使《传奇》系列游戏的著作权，对公司统一中国大陆地区《传奇》市场具有极大的推进作用，《传奇》IP系列在中国大陆地区的发展也将迎来新的阶段。

行业动态/INDUSTRY TRENDS

日前，山东创典智能科技有限公司获颁2张数据知识产权登记证书。这是山东省自开展数据知识产权登记试点工作以来颁发的首批电子证书。

据悉，山东省是国家知识产权局确定的8个数据知识产权工作试点地方之一。试点工作开展以来，山东省认真贯彻落实相关工作要求，借鉴专利、商标等无形资产登记确权管理制度，积极探索推动数据知识产权登记、保护和流通利用等试点工作，取得阶段性成效。截至目前，山东省已建立数据知识产权制度体系，明确了数据知识产权登记对象、审查程序及管理服务要求；建设符合数据产品特点的登记平台，实现与已有数据产品登记流通平台的无缝对接；建立数据知识产权登记申请初审、复审制度，提高数据知识产权登记证书公信力；建立数据知识产权实质审查制度，重点对数据处理规则、样例数据等事项中智力成果属性、实用属性进行实质审查。

山东省市场监督管理局（知识产权局）有关负责人介绍，下一步，山东将紧紧围绕绿色低碳高质量发展先行区建设和数字强省建设，立足知识产权管理职能，联合相关主管部门加大工作力度，稳步推进数据知识产权登记保护试点各项工作。

8月8日，工信部表示，下一步将围绕三方面做好相关工作：

一是支持北京、上海等地数据交易机构高质量建设，鼓励各类市场主体参与数据要素市场建设，探索多种形式的数据交易模式，推动数据要素价值转化；

二是推动全国统一数据登记平台高水平建设，指导开展数据资产价值评估试点，打通数据要素流通堵点；

三是鼓励部属单位开展数据确权授权的标准制定、技术研发、平台应用、授权认证等方面工作，探索数据确权授权的落地方案和创新模式。

行业动态/INDUSTRY TRENDS

近日，广东消委会召集行业专家、公益律师和有关部门就未成年人利用成年人账号进行大额游戏充值消费的新情况进行深入研究，并组织召开了“未成年人游戏充值监督约谈会”，对多家头部网络游戏公司、软件平台企业进行约谈。

约谈提出，近年来，政府有关部门相继出台一系列政策规定，对未成年人游戏时间、充值金额、注册要求等方面作出严格的规定限制，在相关各方的共同努力下，未成年人沉迷游戏、过度充值等问题得到一定程度遏制。但从消费者投诉和媒体曝光的情况来看，目前未成年人利用成年人（主要是家长）账号进行大额游戏充值消费的问题仍较为突出，有关企业在落实防止未成年人网络游戏沉迷方面还有漏洞和不足。

针对以上情况，广东消委会向网游公司、平台企业提出四点具体要求：

各网游公司、平台企业要建立完善认证模式，真正有效识别游戏玩家身份，甄别是否未成年人进入游戏。在目前情况下，建议采用关闭手机授权登录游戏功能，或增加登录验证环节的方式，如在登录游戏时，要求玩家输入密码，或进行指纹、人脸等验证，以强化对未成年人的甄别，防止未成年人以成年人账号进入游戏。

行业动态/INDUSTRY TRENDS

为有效防范未成年人利用成年人账户进行过度游戏充值，网络游戏公司要加强前端管控和提醒，在充值支付环节，设置密码、指纹甚至人脸识别等多重验证机制，充值后为防止未成年人删除短信提醒，建议在第二天清晨向注册手机号码发送短信通知。同时，采取有效措施对用户画像予以甄别，对有可能发生未成年充值的用户采取更为严格的验证模式，以实现对家长账户资金的保护。

网游公司和平台企业要进一步降低退费门槛，提高退款比例，不以“关怀金”等名义模糊未成年人退费的实际属性。目前确有较多家庭存在现实困难，很多家长无法时刻监督孩子举动，发现孩子游戏充值后，往往拿不出直接有效的证据。企业要充分考虑现实情况，在处理家长退费申请时，要综合游戏时间、时长、游戏中对话等因素，多种途径核查玩家信息，切实做好未成年人游戏充值的退费工作。

遇到孩子游戏充值的问题，家长们都会比较痛心着急。网游公司和平台企业要不断提升客服团队服务水平，妥善处理好家长们的投诉和诉求。要建立未成年人充值退费快速处理机制与多渠道投诉反馈途径，对上门投诉的家长应有专门的场所、机制和团队进行对接和处理，更加积极稳妥解决好费投诉。

“浙里跃升”专项行动要求APP开发运营者一是需遵循最小必要原则，在对应业务功能启动时，动态申请终端相册、通讯录、位置等权限，不得要求用户一揽子同意多个非本业务功能的必要权限。二是在调用终端相册、通讯录、位置等权限时，需同步告知用户申请该权限的目的和用途，不得提前申请超出其业务功能等权限的行为。三是未经用户同意，不得更改用户未授权权限状态。

行业动态/INDUSTRY TRENDS

中央网信办网络安全协调局副局长罗锋盈在ISC2023第11届互联网安全大会上表示，于8月15日正式施行的《生成式人工智能服务管理暂行办法》，其规范的范围限制在生成式人工智能，也就是大家熟悉的大语言模型，自动驾驶等其他人工智能应用不受影响；并且，暂行办法只规范向公众提供服务的情形，企业、科研机构、高校等开展科研攻关不在监管之列。

美国白宫官方网站 8月10日公布，美国总统拜登（Joe Biden）签署了关于解决美国在相关国家对某些国家安全技术和产品的投资问题的行政命令（E.O.），授权美国财政部长监管美国对受关注国家的某些投资。某些国家安全领域涉及半导体与微电子、量子信息技术、人工智能三个领域。行政令附件中重点提到中国。

白宫称，该计划以“小院子、高围栏”方式补充美国现有的出口管制和入境筛查工具，以解决有关国家推进此类敏感技术所构成的国家安全威胁。具体来说，它将禁止对从事与这些构成最严重国家安全风险的技术领域相关的特定活动的实体进行某些投资，并要求对其他敏感投资进行通报。

行业动态/INDUSTRY TRENDS

行政命令公布后，中方表示反对和严重关切。中国商务部新闻发言人表示，美方限制本国企业对外投资，打着“去风险”的幌子在投资领域搞“脱钩断链”，严重背离美方一贯提倡的市场经济和公平竞争原则，影响企业正常经营决策，破坏国际经贸秩序，严重扰乱全球产业链供应链安全，中方对此表示严重关切，将保留采取措施的权利。希望美方尊重市场经济规律和公平竞争原则，不要人为阻碍全球经贸交流与合作，不要为世界经济恢复增长设置障碍。

实务研究

裁判要旨

为便于管理，游戏运营商往往设立“禁止游戏账号转让”格式条款，本案中人民法院肯定该条款的效力，并认定双方均违背了合同条款，同时游戏运营商未将实名认证措施贯彻落实，在管理上确存在纰漏，故游戏运营商及游戏玩家应各自承担相应责任。此外，本案明晰了“充值金额”“交易价值”“市场价值”等不同概念的含义，探索了游戏账号价值的认定规则。

网络游戏运营商的实名审查义务，和游戏账号的价值认定

来源：公众号“上海高院”

为加强对网络游戏的市场监管，建立良好的行业生态和市场，防止青少年沉迷网络游戏和过度消费等问题，国家有关部门要求注册网络游戏时必须实名认证，但游戏运营商在管理上往往存在疏漏而未尽游戏账号实名认证审查义务。当前网络游戏法律规范尚不健全，司法实践中也存在游戏运营商责任界定难、游戏玩家举证难、人民法院事实查明难、实际损失确定难等难点。

本期分享的案例即是一起网络游戏服务合同解除并赔偿账号价值损失的案件，涉及数字经济案件中常见的网络游戏运营商承担的责任、网络虚拟财产的价值认定等问题，为厘清游戏玩家及游戏运营商的权利义务，认定网络游戏账号的合理价值，推动网络游戏行业健康有序发展具有参考意义。该案获评2022年度上海法院精品案例。

关键词

游戏账号 / 实名认证 / 网络虚拟财产价值

实务研究

案例撰写人

徐晓敏、孙心元

法官解读

原告王某以其名下手机号在被告上海某网络科技有限公司运营的手机网络游戏中注册账号，并于游戏期间累计充值275,085元。原、被告之间的服务协议约定：“本平台从未授权用户从任何第三方通过购买、接受赠与或者其他方式获得本平台账号，亦未授权用户将本平台账号转让或出借、共享给其他第三方使用。因实施前述行为产生任何法律后果及责任均由用户自行承担。”

案外人玩家向原告转账6,000元，原告告知该玩家涉案游戏账号和密码，并将该账号交付其使用。一星期后，原告将6,000元退还案外人玩家，但该玩家并未将游戏账号返还原告。此后不久，被告将涉案游戏账号登记于第三人夏某名下，原告遂向被告申诉，但未获通过。

原告认为：被告未告知封禁游戏账户的理由，并以虚假事实抵赖，已构成违约，故诉至人民法院要求判令解除原、被告之间的服务合同，并要求被告退还相应的充值费用。

被告辩称：不认可原告为该游戏账号注册用户，且无法提供涉案账号自注册至今的实名认证信息及变更记录。原告充值的元宝已经消耗完毕，其享受相应服务，原告以6,000元的价格出售涉案游戏账号，即便被告存在过错，也应在6,000元范围内承担责任。

第三人夏某述称：涉案游戏账号系其以三、四千元左右的价格自其他游戏交流群玩家处购买，使用3个月后便不再使用。

01 基本案情

02 裁判结果

实务研究

03 裁判思路

实务研究

04 案例评析

由于时下各类群体对手机网络游戏的喜爱程度日趋提升，因手机网络游戏发生纠纷的案件数量也不断增多。本案即系典型的手机网络游戏玩家与游戏运营商间因游戏账号交易而发生的纠纷。

根据当事人提供的证据及陈述情况，本案的主要争议焦点为：一、“禁止转让”格式条款的效力；二、原、被告间网络服务合同解除的过错认定和责任承担；三、网络游戏账号的财产价值认定。

为加强对网络游戏的市场监管，营造良好的行业生态和市场环境，防止青少年沉迷网络游戏和过度消费等问题，相关部门要求注册网络游戏时必须实名认证。因而根据意思自治原则，对于涉及网络游戏账号、装备纠纷的处理应以游戏玩家与运营商之间签订的网络游戏服务协议来确定双方的权利义务范围。服务协议中“禁止游戏账号转让”的约定属于格式条款，在处理本案时首先应当分析其效力。

网络游戏运营商不仅是游戏的提供方同时也具备运营、管理和维护的职责，其必须拥有合理范围内的管理权力，才能够及时监管玩家的违规行为，以保障游戏环境的公平、公正，保障绝大多数遵规守法的游戏玩家的合法权益。网络游戏运营商应承担保障网络游戏环境安全、保证网络游戏内容健康、审查用户实名认证等义务。

该格式条款建立在网络游戏实名制的基础之上，实际上是运营商为了清晰界定账号归属的风险防范措施，旨在维护良好的游戏环境与秩序，进而维护游戏玩家和游戏运营商的权利，属于合理限度内的格式条款，并不违反格式条款的法律规则和消费者权益保护制度，应对约定的效力予以认可。

因涉案游戏账号现已登记于第三人名下，原告已失去该游戏账号的控制权，合同目的已无法实现，故原告可依法行使合同解除权。当事人双方均违反“禁止转让”条款，应当各自承担相应的责任。当事人一方违约造成对方损失，对方对损失的发生有过错的，可以减少相应的损失赔偿额。

而被告系网络数据的实际控制者，其基于自身诉讼利益考虑，对于案件涉及的相关数据以客观情况为由而未提供，使得游戏玩家诉请举证时失去了依据，也给人民法院查明事实设置了一定的障碍。网络游戏运营商具有“数据优势地位”，在承担平等主体之间的契约义务之外，也需要承担特殊的法定责任和社会责任。

实务研究

人民法院通过在审理时对举证责任进行公平合理分配，认定网络游戏运营商作为网络数据的实际控制者滥用自身技术优势而消极举证的行为，未尽实名认证监管义务。

最终，人民法院认定双方均违背了“禁止转让”的约定，再则网络游戏运营商未履行实名认证监管义务，其在管理上存在疏漏，综合本案合同履行情况、违约情形、过错情况，认定网络游戏运营商应承担主要责任，游戏玩家承担次要责任。据此进一步明确了游戏玩家及游戏运营商的义务和责任。

网络游戏虚拟财产系网络虚拟财产的表现形式之一。《中华人民共和国民法典》第一百二十七条规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，将网络虚拟财产纳入了法律保护范围，使虚拟网络财产是否受法律保护的问题盖棺定论。但检索立法现状，在2019年7月23日文旅部宣布废止《网络游戏管理暂行办法》后，现未有其他法律法规对于网络游戏财产的保护问题作出详细规定。

网络游戏虚拟财产系指在网络游戏中存在的数字化、非物质化的财产形式。网络游戏虚拟财产具有对网络空间的依赖性、价值性、获取的有限性和非永续性等特征。

自域外法角度考察，对于网络游戏虚拟财产价值的确定方式，作为游戏产业发达的韩国有专门的网络游戏财产价值评估系统，即“虚拟环境管理系统”，由运营商和组建的部门人员对该游戏中抽取一定数量的玩家和道具作为样本，计算玩家获得这些虚拟财产平均花费的时间，并计算相应的价值。

自我国学界及司法实践情况进行考察，其中学界观点并非相同：以游戏玩家与游戏开发商签订服务合同时约定的价格进行确定、以玩家投入的时间和金钱成本进行确定及以玩家之间的交易习惯进行确定等不同观点。

司法实践中网络游戏财产的价值认定标准有所不同：

1. 官方价格法：如案件系第三方窃取、破坏、骗取玩家的游戏币，应以玩家从运营商处购买时的官方价格进行计算。

2. 重置成本法：对于游戏运营公司的损失应按照游戏运营公司创造或购置同等的虚拟资产所耗成本进行计算。

3. 市场现价法：玩家通过自愿的法律转移所获得的虚拟财产，应以购买时的价格进行计算。

4. 中立机构鉴定法：由中立机构对涉案网络游戏财产进行评估。

实务研究

笔者认为对于网络游戏财产价值的判断方式，由于案件存在属于民事或刑事案件、案件中涉及的当事人系游戏玩家与游戏玩家或游戏玩家与运营商等、涉案网络游戏是否存在公众认可的交易平台及案件是否存在玩家间的自愿交易行为等不同情况，任何判断标准均无法做到适用所有案件，而应根据案件的具体情况结合公平原则和公众的一般认知情况选择合理的判断方式进行确认。

本案明晰了“充值金额”“交易价值”“市场价值”不同概念的含义，探索了游戏账号价值的认定规则：

首先，因涉案游戏账号发生纠纷的时间为原告与案外人玩家交易之后的时间，故应以该交易时间作为评估涉案游戏账号财产价值的时间点。

其次，本案中原告用诉请的充值钱款购买了游戏币，且相应的游戏币已基本使用完毕，原告已享受相应游戏娱乐体验，即被告已提供网络服务，故不能以充值金额评定涉案网络游戏账号的财产价值。

最后，原告和案外人玩家自愿达成6,000元价格出售涉案游戏账号的协议，说明作为涉案游戏资深玩家的原告和案外人玩家均认为涉案游戏账号在交易时的价值为6,000元，且该金额与涉案网络游戏的知名度、玩家数量亦为相符，故应以“交易习惯”即“市场现价法”判断标准确认涉案游戏账号的财产价值为6,000元。

综上，游戏玩家违反合同约定擅自出售游戏账号导致账号丢失，网络游戏运营商在管理上存在疏漏而未尽游戏账号实名登记审查义务，且滥用自身技术优势而消极举证的，人民法院认定双方均构成违约，玩家应承担30%的责任，游戏运营商应承担70%的责任；同时，在涉案网络游戏账号存在玩家间自愿交易的情况下，应以该交易价格确定涉案网络游戏账号的财产价值。

05 法条链接

《中华人民共和国民法典》

第一百二十七条 法律对数据、网络虚拟财产的保护有规定的，依照其规定。

第四百九十六条 格式条款是当事人为了重复使用而预先拟定，并在订立合同时未与对方协商的条款。

采用格式条款订立合同的，提供格式条款的一方应当遵循公平原则确定当事人之间的权利和义务，并采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款，按照对方的要求，对该条款予以说明。提供格式条款的一方未履行提示或者说明义务，致使对方没有注意或者理解与其有重大利害关系的条款的，对方可以主张该条款不成为合同的内容。

第四百九十七条 有下列情形之一的，该格式条款无效：

（一）具有本法第一编第六章第三节和本法第五百零六条规定的无效情形；

（二）提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利；

（三）提供格式条款一方排除对方主要权利。

第五百六十六条 合同解除后，尚未履行的，终止履行；已经履行的，根据履行情况和合同性质，当事人可以请求恢复原状或者采取其他补救措施，并有权请求赔偿损失。

……

第五百九十二条 当事人都违反合同的，应当各自承担相应的责任。

当事人一方违约造成对方损失，对方对损失的发生有过错的，可以减少相应的损失赔偿额。

  （全文完）

实务研究

实务研究

游戏运营公司封禁游戏玩家账号行为性质的认定

PART 1

网络游戏玩家按照网络服务提供商设定的程序，在浏览完毕各项服务条款后点击注册，双方之间即缔结形成网络服务合同法律关系。《服务条款》、《用户协议》、《用户守则》等内容虽作为单方拟制的格式内容，但如不存在法律法规规定的无效情形，游戏玩家应当予以遵守。如果游戏玩家严重违反服务协议约定，破坏其他玩家游戏体验和整体游戏生态，网络服务提供商作为网络游戏环境的管理者和维护者，采取封停等合理措施的，其行为不存在过错，不构成对游戏玩家的侵权。

 

裁判要旨

来源：公众号”诺诚游戏法“

PART 2

原告王某向淄博市博山区人民法院起诉称：被告是某网络游戏的运营公司，原告为该游戏的注册玩家，注册多个游戏账号，参与游戏，接受被告公司网络服务。2021年11月被告以“使用第三方程序被封停”（最早提示为“数据异常”）为由将原告19个游戏账户封停，原告自被封停起，多次通过线上、线下客服进行申诉未果。被告的持续封禁行为损害了原告的合法权益，请求：1.判令被告赔偿原告游戏账户充值46296元，赔偿原告被封游戏账号内虚拟财产价值38652.3元；2.判令被告赔偿封号期间原告收入减少损失110000元；3.判令被告在游戏官网及官方论坛发布误封原告账号的声明并道歉。

基本案情

实务研究

被告某科技公司辩称：原告在被告游戏中注册大量的游戏账户，并出售账号和虚拟财产进行获利，该行为严重违反了双方签订的用户协议。根据《用户协议》的规定，原告不能注册超过6个账号，即同一IP地址登录同一游戏的角色或账号多于6个，原告的行为违反了用户协议多条规定，严重破坏了被告游戏产品的生态，被告对其作出封停账号的惩罚是符合用户协议约定的，不存在侵权行为。

淄博市博山区人民法院经审理查明：原告系某网络游戏的注册玩家，被告系该网络游戏的运营公司。原告在注册登录游戏账号前会先阅读并同意《服务条款》、《用户协议》、《玩家守则》等协议。《用户注册协议书》中载明“用户在接受网络服务时实施不正当行为的，网络公司有权终止对用户提供服务。该不当行为的具体情形应当在本协议中明确约定或属于网络事先明确告知的应被终止服务的禁止性行为，否则网络不得终止对用户提供服务”。《用户协议》中载明：“为维护游戏公平，任何用户不得以同时登录多个游戏账号等非正常方式获取游戏中的虚拟物品（包括但不限于虚拟货币），以下方式视为以非正常方式获取游戏中的虚拟物品：……任何用户用同一物理地址登录同一游戏的角色/账号多于6个（含6个）……”

原告在被告注册的游戏账户有19个，存在以非正常方式获取游戏虚拟道具，也存在将所得的虚拟货币和道具向其他玩家销售的行为。2021年11月，被告将原告在网络游戏中注册的19个游戏账号（通行证账号）封停。

PART 3

淄博市博山区人民法院一审判决：驳回原告王某的诉讼请求。宣判后，王某不服一审判决，向山东省淄博市中级人民法院提出上诉。后王某申请撤回上诉，山东省淄博市中级人民法院二审裁定准许王某撤回上诉，一审判决自二审裁定书送达之日起发生法律效力。

裁判结果

实务研究

PART 4

近年来，随着网络游戏的迅猛发展，游戏玩家的数量也在迅速增长，由此带来的游戏玩家与网络服务提供商即游戏运营公司之间的矛盾冲突频发，冲突种类也呈多样化。本案所涉纠纷即由游戏运营公司封禁玩家账号所引发。对此情形，实践中游戏玩家多以侵权之诉或违约之诉提起诉讼。

网络服务协议作为电子合同种类之一，其成立、生效要符合《中华人民共和国民法典》（以下简称《民法典》）合同编通则部分相关规定，其中《民法典》第四百六十九条、第四百九十一条更是对电子合同的订立规则进行了完善。本案中，游戏玩家与游戏运营公司即网络服务提供商之间即是以电子数据交换方式建立合同关系，网络游戏玩家按照网络服务提供商设定的程序，在浏览完毕各项服务条款后点击注册，双方之间即缔结形成网络服务合同法律关系，任何一方均应受该网络服务合同的约束。现实中，网络服务协议通常由游戏运营公司即网络服务提供商预先拟定，未与游戏玩家进行协商。游戏玩家只有对格式化的服务协议全盘接受，方可获得注册资格，因此，游戏玩家在账号被封时往往以协议条款无效为由，要求游戏运营公司即网络服务提供商承担责任。对此则应当从格式条款的合法性及合理性两方面进行审查。

从合法性方面分析。以本案为例，《用户注册协议书》中明确约定：“用户在接受网络服务时实施不正当行为的，网络公司有权终止对用户提供服务。该不当行为的具体情形应当在本协议中明确约定或属于巨人网络事先明确告知的应被终止服务的禁止性行为，否则巨人网络不得终止对用户提供服务”，《用户协议》中载明：“为维护游戏公平，任何用户不得以同时登录多个游戏账号等非正常方式获取游戏中的虚拟物品（包括但不限于虚拟货币），以下方式视为以非正常方式获取游戏中的虚拟物品：……任何用户用同一物理地址登录同一游戏的角色/账号多于6个（含6个）……”从内容上看，该约定在授权游戏运营公司即网络服务提供商终止提供服务的同时，也对游戏运营公司即网络服务提供商随意修改游戏规则、封禁游戏玩家账号的行为进行了限制，即不当行为的认定应当“在本协议中明确约定或属于网络事先明确告知的应被终止服务的禁止性行为，否则网络不得终止对用户提供服务”，因此，该约定条款并无明显免除己方责任、加重玩家责任或排除玩家主要权利等无效情形，该协议合法有效，可以作为案件审理的依据。

案例解读

实务研究

从合理性方面分析。网络游戏平台是一个由全体游戏用户共同参与的虚拟世界，被告作为网络服务提供商是这个网络环境的管理者和维护者，其为了提供公平、绿色、稳定的游戏运营环境和全体游戏玩家的公共利益，有权事先制定规则并实施惩戒措施。本案中原告作为游戏玩家，超额注册游戏账户，以非正常方式获取游戏虚拟道具，并将所得的虚拟货币和道具向其他玩家销售，该行为已严重违反服务协议约定，破坏其他玩家游戏体验和整体游戏生态，在此情形下被告按照合同约定采取封停等合理措施的行为不存在过错，不构成对游戏玩家合法权益的侵害。

综上所述，在游戏玩家接受网络服务提供商提供的网络服务协议而该协议合法有效的情况下，网络服务提供商根据协议约定内容对超额注册游戏账户的游戏玩家采取封停其游戏账号的行为，系网络服务提供商根据协议采取的合理措施，其本身不仅符合合同约定，亦符合公共利益需要，依法应当予以维护。此时游戏玩家起诉网络服务提供商要求认定其封停行为侵害其合法权益并要求赔偿损失的，依法不应予以支持。

PART 5

《中华人民共和国民法典》第四百六十九条 当事人订立合同，可以采用书面形式、口头形式或者其他形式。

书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。

以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文，视为书面形式。

《中华人民共和国民法典》第四百九十一条 当事人采用信件、数据电文等形式订立合同要求签订确认书的，签订确认书时合同成立。

当事人一方通过互联网等信息网络发布的商品或者服务信息符合要约条件的，对方选择该商品或者服务并提交订单成功时合同成立，但是当事人另有约定的除外。

相关法条

实务研究

《中华人民共和国民法典》第四百九十七条 有下列情形之一的，该格式条款无效：

（一）具有本法第一编第六章第三节和本法第五百零六条规定的无效情形；

（二）提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利；

（三）提供格式条款一方排除对方主要权利。

《中华人民共和国民法典》第一千一百六十五条 行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。

依照法律规定推定行为人有过错，其不能证明自己没有过错的，应当承担侵权责任。

（全文完）

前言

来源：公众号“上海高院”

侵权判断的基本原则和法律适用

首先，在一般的著作权侵权案件中，由于作品本身已经公开发表，被控侵权人通常被视为已经“接触”了作品，从而使“接触”成为隐性要件，法官更注重“实质相似”“合法来源”的审查。

反观涉软件侵权案件，基于软件本身的特殊属性，软件供他人使用的是目标程序，在软件著作权人不公布其源程序的情况下，他人即使通过反编译等措施也难以获得和权利软件源程序完全相同的表达。因此，是否接触过权利软件源程序，成为侵权判断的要件之一。

一、侵权判断基本原则

实务研究

其次，在接触过权利软件源程序、目标程序的前提下，权利软件源程序、目标程序与被控侵权软件源程序、目标程序中是否存在相同或者实质相同的内容，显然是判断被控侵权软件是否侵权及其法律适用的重要依据。

最后，计算机软件作为著作权法所定义的作品，其受著作权法保护的亦应当是独创性的表达。独创性表达，既包括作者在作品中完全自主创作部分的独创性表达，也包括作者体现在整体作品中选择和组合的独创性表达。但著作权法保护的独创性表达，既不包括公有领域的表达，也不包括某种唯一或极为有限的表达。

实务研究

著作权法第五十二条第五项“剽窃他人作品的”，以及第五十三条第一项“未经著作权人许可，复制、发行、表演、放映、广播、汇编、通过信息网络向公众传播其作品的”，都属于调整计算机软件侵权的法律条款。

但在审判实践中，涉及部分复制、抄袭他人软件作品的情况，特别是针对同一案件事实涉及刑民交叉的法律适用问题。因此，在民事案件中如何更为准确地适用上述两款法律规定，显得尤为重要。

笔者认为，应当从主客观两方面综合考量上述法律条款的适用：

被控侵权人主观上是以复制他人软件作品为前提，仅为使被控侵权软件可正常使用和获利，而在被控侵权软件中少量修改他人软件内容或自行创作少量内容的，其侵权行为更符合著作权法第五十三条第一项的规定。

二、法律适用

若被控侵权人主观上以自行创作为前提，而在被控侵权软件中少量复制、抄袭权利软件部分内容的，则其侵权行为更符合著作权法第五十二条第五项的规定。

如前所述，计算机软件作为著作权法所定义的作品，其受著作权法保护的亦应当是独创性的表达，而就独创性的表达而言，既包括了作者在作品中自主创作部分的独创性表达，也包括了作品中作者对其内容选择和组合的独创性表达。

就适用著作权法第五十三条第一项规定的著作权侵权行为而言，既包括了对权利作品中全部自主创作部分的独创性表达的侵害，也包括了对作者在权利作品中全部内容的选择和组合的独创性表达的侵害。

而就适用著作权法第五十二条第五项的著作权侵权行为而言，更多侵害的是作者在权利作品中部分自主创作的独创性表达，或者是对作者在权利作品中部分内容的选择和组合的独创性表达的侵害。

实务研究

《计算机软件保护条例》第二条、第三条规定，计算机软件，是指计算机程序及其有关文档。计算机程序，是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列，或者可以被自动转换成代码化指令序列的符号化指令序列或者符号化语句序列。同一计算机程序的源程序和目标程序为同一作品。

上述规定中的源程序是指经过编排且未经编译的，按照一定的程序设计语言规范书写的、人类可读的计算机语言指令。目标程序是指编译器或汇编器处理源程序后所生成的，可直接被计算机运行的机器码的集合。

源程序和目标程序的上述定义表明，源程序作为由人类编写的计算机语言指令其实质上反映了作者对其计算机软件作品的表达。

一、源程序遍历比对法

实务研究

二、仅掌握被控侵权软件目标程序情况下的复合校验法

在一起计算机软件著作权侵权纠纷案件的审理中，鉴定机构采用遍历比对的方法进行鉴定，在侵权软件的2792个文件中，发现有63个软件“实质相同”，成为该案判决侵权的重要依据。

实务研究

计算机软件侵权比对极其复杂，在实际检验过程中，检材和样本的各自不同情况，以及被控侵权软件目标程序的特殊存储位置导致的仅能观察其运行情况，而难以获取目标程序本身等因素，会增加比对困难。即便使用前述复杂的复合校验法，亦存在比对结果似是而非，难以得出肯定判断的情况。

在上述案件中，若通过复合校验法可以发现侵权软件中存在权利软件的固有的表征，权利软件和被控侵权软件相同或者实质相同存在较大可能性的，可以根据《最高人民法院关于知识产权民事诉讼证据的若干规定》第二十五条的规定，要求被控侵权人当事人提交被控侵权软件源程序供法院比对，当被控侵权人拒绝提供被控侵权软件的源程序，又不能对被控侵权软件中出现权利软件固有特征文件作出合理、充分解释的，人民法院应当根据上述法律规定推定权利人就权利软件和被控侵权软件相同或者实质相同的诉讼主张成立。

在审判实践中，被控侵权软件存在以下几种表征的，对举证责任转移、侵权判断具有更为重要的意义：

1. 被控侵权文件中存在与权利软件对应文件信息相同，且包含权利人署名、商标、字号等属性信息的文件；

2. 权利软件和被控侵权软件中的GUID码相同（意味着两软件属于同源软件）；

3. 权利软件与被控侵权软件的运行结果完全一致，特别是存在同样的错误、相同的废弃文件等。

三、“侵权表征+举证责任”的侵权推定规则

4. 就使用过程中两者的屏幕显示、功能、功能键和使用方法等进行比对检验；

5. 就核心程序进行反编译的比对检验等。

如前所述，合法来源中涉及有限表达的排除。

实务研究

基于著作权法保护的是独创性表达的原则，当某种表达是唯一或极为有限时，不受著作权法的保护。尽管通常情况下即便是同一软件开发者，在其采用相同编程语言独立编制相同功能软件时，其前后所使用的表达也可能不尽相同，但基于上述原则，仍应根据计算机软件编程的特征，针对使用同一编程语言或同一编程人员所编作品，若部分内容的选择和组合属于有限表达，则应当予以排除，从而为软件作品的独立创作保留必要的空间。

根据计算机软件的编程特征，属于应当排除的有限表达包括：

1. 因同一编程语言的固定语法而形成的有限表达。同一技术人员在针对同类功能进行编程时，基于同一编程语言的固定语法，所形成的表达基本一致或差别极小，应当在被控侵权软件的侵权内容中予以排除。

2. 同一编程人员针对函数的命名、函数的定义、变量的赋值、变量的定义等。对于同一技术人员而言，基于其编程习惯，即使在不同的软件编程中，其针对上述事项定义会采用基本一致或差别极小的表达，应当在被控侵权软件的侵权内容中予以排除。

3. 不具有独创性的第三方开源程序、第三方在先软件源程序及其组合。权利软件对于第三方开源程序、第三方在先软件源程序及其组合的选择和组合，不具有独创性时，应当在被控侵权软件的侵权内容中予以排除。

4. 对于同一编程语言的固定语法，和/或同一编程人员针对函数的命名、函数的定义、变量的赋值、变量的定义，和/或第三方开源程序、第三方在先软件源程序之间的简单组合。在上述组合不具有独创性时，应当将上述组合在被控侵权软件的侵权内容中予以排除。

计算机软件侵权判断的常见误区有两个：

实务研究

其一是将计算机软件著作权与商业秘密混淆。应注意的是，侵害计算机软件著作权不等于侵害商业秘密，著作权保护的是独创性的表达，商业秘密保护的是不为公众所知悉，具有商业价值，并经权利人采取相应保密措施的技术信息、经营信息等商业信息。权利人的源程序不易获得，不代表源程序中一定包含不为公众所知悉的信息，作品的独创性亦不代表源程序中所包含的信息内容不为公众所知悉。

知识产权的本质是传播而不是垄断，保护权利的目的是鼓励创新，让更多的智慧成果涌现。对计算机软件著作权的保护同样如此，在处理计算机软件著作权侵权纠纷案件时，既要充分保护权利软件的独创性表达，又要妥善界定有限表达，为新的软件作品的创作保留必要的空间，探寻权利人权利和社会公共利益的衡平。

（全文完）

其二是认为独创性表达受到作品中自主创作部分比例多寡的约束。作品保护的是独创性的表达，不受比例多寡的约束。独创性的表达，既包括了作者在权利作品中自主创作的部分，也包括了权利作品中作者对其内容的选择、组合和编排。

撤三案件中，有关商标“使用”的尺度问题，实务界几经变动。2013年商标法实施初期，司法界对使用的证据较为严格，撤三案件申请人通过对证据的有效质证往往可以实现成功撤销的结果；时至疫情三年，为了保经济促就业等大的方针和政策，司法似有倾向于维持商标的注册，对使用证据的审查尺度略有宽松，从司法服务经济服务政策的角度看，确有正当性；但在近期商标法第五次修订征求意见稿的影响下，司法尺度出现了一定的风向变动，对使用证据的要求回归严格。本文即从本所最新办理的一案略见其貌。

来源：公众号“IPRdaily”

实务研究

一

背景

2011年11月3日，第三人江阴市舒乐家用纺织品有限公司申请将                商标（以下简称“诉争商标”）注册于第20类“软垫；垫枕；枕头；垫褥(亚麻制品除外)”商品上，商标号为10146028。原告张卓云以其连续三年不使用为由向北京知识产权法院对维持诉争商标注册申请的国知局裁定提起了行政诉讼。

国知局裁定认为：证据3产品实物照片与证据6中2017年-2019年交易结算发票及清单及证据7（2017-2018年第三人与康城投资合同及该公司企业信息）结合，可以证明被许可人将带有诉争商标的舒乐枕商品在（大润发）超市销售。上述证据可以证明诉争商标在指定期间在舒乐枕商品上中国市场进行了公开、真实、合法地使用。同时，鉴于诉争商标核定使用的“软垫；垫枕；枕头；垫褥(亚麻制品除外)”商品与第三人实际经营的舒乐枕、

二

案情介绍

软床垫商品属于相同或类似商品。故，诉争商标在“软垫；垫枕；枕头；垫褥(亚麻制品除外)”商品上的注册予以维持。

原告在诉讼阶段提交了第三人在大润发塘桥店和江阴店微信公众号的宣传图片、以及对第三人和大润发超市的实地调查和公证购买报告等证据用以证明第三人并未在指定期间在指定商品上使用诉争商标。

实务研究

法院首先明确了撤三制度的宗旨并非惩戒，而是为了激活注册商标的实际使用，从而更大限度地发挥商标区分商品和服务来源的功能与作用。

而后，风向转化，法官认为在本案中，证据3显示的产品图片无明确的形成时间。证据4中检验报告中显示商品的商标描述为棉质巢。证据6中开票日期为2017年12月19日交易结算发票及清单中显示销售清单中包含产品名称为：棉质巢舒乐枕、棉质巢舒眠日式软床垫等。结合原告在诉讼阶段提交的证据1，显示在大润发塘桥店微信公众号2018年1月17日以及大润发江阴店微信公众号2018年4月19日发布的宣传信息中，棉质巢舒乐枕商品图片中未显示诉争商标。综合上述证据，可以形成完整的证据链条仅以证明第三人在指定期间内对“棉质巢”商标进行了商标法意义上的使用，却不能形成完整的证据链条用以证明第三人在指定期间内对诉争商标进行了商标法意义上的使用，原告相关的诉讼理由成立，本院予以支持。

三

法院说理

本案中，第三人提交了大量看起来非常“扎实”的证据，赢得了国知局的认可，但笔者通过采取多项行动做实了第三人提交的证据中的漏洞，最终说服法官支持了原告的观点，撤销了诉争商标的注册。

四

评析

本案中，笔者在以下方面做出了新的突破和尝试：

在第三人提交了看似“扎实”的大量证据的情况下，笔者首先着眼于这些证据本身的漏洞。例如在本案中，第三人提交的证据3中的产品图片没有明确的形成时间，证据6的发票和销售清单未显示诉争商标。同时，第三人提交的证据还显示其与大润发超市合作，以及其产品曾在大润发塘桥店和江阴店销售。根据这些信息，笔者重点调查了大润发塘桥店和江阴店的微信公众号，发现这两家店在指定期间内实际销售的商品并非带有诉争商标的商品。这些证据也成为法官认定事实的主要依据。详见下图对比：

实务研究

此外，笔者还对第三人和大润发塘桥店和江阴店进行了实地调查和公证购买。调查报告和公证购买结果显示，第三人实际使用和销售的品牌是“恒源祥”和“棉质巢”，为大润发微信公众号上显示的商品，并未销售任何带有本案诉争商标的商品。虽然这部分证据不在三年的指定期间内，但仍然佐证了第三人实际销售的并非是带有本案诉争商标的商品的事实。

基于原告提交的证据，在法庭辩论环节，笔者重点指出了第三人律师的论述与笔者发现的证据严重不符的情况。针对大润发微信公众号上的证据，第三人律师辩称是由于大润发的排版错误。而针对原告后续的公证购买结果，第三人律师则辩称第三人已经与大润发结束了合作关系。这些说法在常理和生活经验上都存在明显的漏洞和不合理之处，可见这是第三人在无法反驳原告提交证据的情况下所作出的粗暴狡辩，进一步证明了原告证据的真实性以及大润发实际销售的商品并非带有本案诉争商标的商品。针对以上，原告再次向法院明确撤三案件的举证责任在于第三人，第三人应当证明其对诉争商标进行了积极有效的使用，而不应当要求原告举证证明该事实的“不存在”，如第三人无法证明事实真实性，即应当承当不利后果，一针见血攻其弱项。

庭后，笔者详细准备了庭后代理意见并提交给法官参考。在庭后代理意见中，笔者全面阐述了第三人提交的证据中的漏洞以及第三人律师意见的瑕疵，同时详细论述了笔者提交的证据。在庭审中，法官曾质疑，原告提交的证据只能证明第三人销售未带有诉争商标商品的可能性，而无法证明第三人未销售带有诉争商标商品的事实。在庭后代理意见中，笔者将第三人提交的证据和原告的证据一一对比，详细解答了法官的疑虑。此外，因为本案的证据较多，以及涉及提交的证据中显示的商品与实际销售的商品存在不一致的情形，笔者在庭后代理意见中将第三人和原告提交的证据进行了详细的比对，包括图片、时间等细节都一一进行了罗列，并将其所在的证据页码详细列出，避免了法官花费大量时间查找证据，从而让笔者的论述更为直观和有说服力。

本案中诉争商标的成功撤销，一方面既有个案的特殊性，另一方面也反映了疫情后、新法修正案征求意见期间，司法认定尺度的细微变化，从个案亦可窥见趋势。至于以后如何发展，亦值得跟踪观察。

（全文完）

实务研究

当前，不管是在学术研究中还是在实践应用中，个人信息复制权都陷入了困顿和颦蹙的局面。为此，必须对其进行语义分析以了解其基本内涵，并从其与相近权利诸如查阅权、可携带权的比较当中进一步明确其外延。个人信息复制权的确立对于维护个人信息权益具有重大价值和关键作用，而对个人信息复制权的权利主体、权利客体、行使程序、行使限制和侵权责任的明晰，则有助于指引信息主体的行为、促进信息处理者的合规、保障司法适用的展开。以52款APP的隐私政策为考察对象，文本中的个人信息复制权存在缺位、迷失、简约、差异和限制五个现象。以特定APP的复制权实验结果为样本，实践中的个人信息复制权则呈现出异化、限制、萎缩、杂乱和迅速五个特点。基于此，个人信息复制权在理论层面、文本层面和实践层面之间的张力、背离和矛盾进一步揭示：明确客体范围、厘定权利边界、完善救济程序已经成为个人信息复制权发展完善的应有之义和必要之举。

来源：公众号“网络法实务圈”

实务研究

0 引言

2022年，国内某大型电商APP用户向法院起诉，要求该电商公司披露其所收集的个人信息并获得二审法院的支持，拉开了《个人信息保护法》实施之后个人信息查阅复制权司法保护的帷幕。作为国内个人信息查阅复制权保护的首案，该案不仅在司法实践具有标志性的意义，更在理论上推动了复制权制度和理论的具化。

实务研究

为全面梳理《个人信息保护法》实施以来个人信息复制权的实践样态，本文搜集并整理了52款国内APP的隐私政策文本中有关复制权的规定，并以此规定为基础在其各自APP中进行了复制权行使实验和实证调研，以期揭示个人信息复制权在实践当中的困境和龃龉，从而为个人信息复制权的理论完善和实践保护提供若干切实可行的建议。

1 个人信息复制权的含义、意义与构造

在社会科学领域中，各方因对同一概念基本内涵的认识不尽相同，往往引发不必要的争论，把时间和精力浪费在没有价值的“你来我往”中。为避免在讨论个人信息复制权时产生不必要的理论争议，本文有必要对其基本含义理论价值和理论构造作出初步说明。

作为个人信息权的基本权能之一，实证法上最早有关个人信息复制权的规定来自《中华人民共和国民法典》(以下简称“《民法典》”)第1037条。此后为切实保护个人信息和促进信息自由流通，我国又特别制定了《个人信息保护法》,其第45条第1款承继了《民法典》第1037条第1款前句的基本内容和主要精神，对个人信息的查阅权和复制权做出了具体的规定。但是，上述两条法律规范仅仅提及了“信息主体有权向个人信息处理者复制其个人信息”,却没有明确个人信息复制权的基本含义，有必要运用语义分析方法这一个人信息复制权的“元问题”进行阐明。

复制有证据意义上和知识产权意义上的含义，前者指“原创文件的再现版本”(如副本、复印本、复本),后者指“原创版本再造的同样物品”(如复制品、仿制品)。据此，《个人信息保护法》语境下的复制即指个人信息处理者制作并向信息主体提供的个人信息的副本。而个人信息复制权则指信息主体请求个人信息处理者将其控制的个人信息以副本的形式提供给自己的权利，其在本质上属于霍菲尔德意义上的请求权能。

在对个人信息复制权的内涵有了确切的了解后，还有必要通过与其他相近权利的区分进一步明确个人信息复制权的外延。

首先，个人信息复制权与个人信息查阅权有所不同。《民法典》第1037条和《个人信息保护法》第45条将查阅权和复制权规定到了同一法律规范之

实务研究

内，国内学者在进行个人信息权研究时也常常将二者放在一起进行梳理和论证，但二者仍有本质上的区别。第一，在权利内容上，复制权侧重副本的“获得”,而查阅权侧重“知悉”;第二，在权利的先后上，查阅权产生的时间和需求早于复制权，即“先有查阅权才有复制权”,行使复制权的前提条件是查阅权的充分实现；第三，在权利行使的成本上，复制权因为需要个人信息处理者将其进行信息处理活动中的信息制作成副本，并以特定方式提供给信息主体，因而比单纯的查阅权的实现成本更高。

其次，个人信息复制权与个人信息可携带权有所不同。我国《个人信息保护法》并没有严格意义上的个人信息可携带权。欧盟《通用数据保护条例》第20条规定的个人信息可携带权(或曰“数据可携权”)主要包含两个层次：一是指信息主体有权接收其先前提供给信息控制者的个人信息；二是指信息主体有权将其个人信息迁移至其他信息控制者[5]。易言之，个人信息可携带权包含个人信息接收权和个人信息转移权，后者则为我国《个人信息保护法》第45条第3款所规定。因个人信息复制权与个人信息转移权在权利设立目的、法律关系主体、权利行使要件、权利行使方式方面有着天然的不同，本文将着重分析个人信息复制权与个人信息接收权的区别。个人信息复制权旨在要求个人信息处理者向信息主体提供书面的(纸质版和电子版均可)、固定的(不会变更的)、自然人可阅读的副本。而在个人信息可携带权的整体理论框架中，个人信息接收权并不要求信息主体提供的副本自然人可阅读，只要求个人信息处理者提供结构化的、通用的、机器可读的、能共同操作的副本以方便后续向第三方进行个人信息的转移。

在《个人信息保护法》所规定的个人信息权利体系当中，个人信息复制权与个人信息查阅权位列第44条规定的“知情权”“决定权”“拒绝权”之后，体现了立法者以及实证法本身对该权利的制度预设和特殊期许。抛开个人信息复制权所负载的深层次的价值不谈，仅就个人信息权益这一维度来讲，个人信息复制权的确立对于维护信息主体的信息权益具有承前启后的重大价值和关键作用。

首先，从权利的内容来看，个人信息复制权在个人信息权利体系中不可或缺。相较于“知情权”“决定权”“拒绝权”“查阅权”“转移权”等其他信息权利，个人信息复制权旨在达成证据意义上个人信息副本的获取，从而凭借书面形式加深对个人信息处理者处理自己个人信息的内容、方式及情况的了解，确认该信息处理活动的目的是否已经实现、行使方式是否符合自己的原意、是否侵犯自己的信息权利等等。

实务研究

其次，从权利的设立目的来看，个人信息复制权是实现个人信息知情权的必要之举。作为《个人信息保护法》基石原则，“知情同意”原则是个人信息处理的首要合法性基础，也是个人信息权利充分行使的首要前提。知情权需要通过查阅权、复制权等其他权利来实现。《个人信息保护法》的制定过程中关于查阅、复制权的初始定位就是为了实现个人知情权。

再次，从权利的行为逻辑来看，个人信息复制权也是实现“决定权”“更正权”“删除权”“规则解释说明权”等其他信息权利的在先权利。因为只有个人信息复制权的充分实现，信息主体才能在充分了解个人信息被处理的内容、方式及情况后，以此为依据决定是否需要行使以及怎样行使“决定权”“更正权”“删除权”“规则解释说明权”等信息权利。反之，以复制权为在先权利的其他信息权利将被束之高阁而沦为纸面规范，不再具有任何的法律实践意义。

最后，从权利的承继关系来看，个人信息复制权是在信息主体死亡后，其近亲属维护自身合法、必要且正当利益的应有之义。《个人信息保护法》第49条规定了逝者权益，明确了自然人死亡后其近亲属也可以行使“查阅权”“复制权”“更正权”“删除权”等信息权利。基于此，个人信息复制权得以在数字时代实现权利的承继，这在数字遗产形式逐渐趋于丰富的信息时代具有深远意义。

作为个人信息权利束的重要组成部分，个人信息复制权有其特有的理论构造和权利内容。对其权利主体、权利客体、行使程序、行使限制和侵权责任的明晰不仅是司法适用的前提，还在日常生活中起着指引信息主体的行为和促进个人信息处理者的合规的重要作用。

首先，个人信息复制权的权利主体。主体是法律关系的根本要素，没有主体，权利便无从谈起。《民法典》第1037条第1款规定的复制权的权利主体为“自然人”,《个人信息保护法》第45条第1款规定的复制权权利主体为“个人”,第49条又规定了自然人死亡后近亲属对逝世用户复制权的行使。因此，个人信息复制权的主体即为自然人，同时该自然人仅对自己的个人信息享有复制权。在该自然人死亡后，其近亲属在满足为了自身合法和正当利益且死者生前无另外安排两个条件下即可行使其承继的复制权。值得注意的问题是，个人信息复制权可否委托给他人代为行使?《个人信息保护法》中有关委托的规定仅涉及个人信息处理者委托他人进行个人信息处理行为，并未对信息主体复制权的委托做出明确规定。在依据《民法典》“委托代理”的有关规定，并结合个人信息复制权的非人身专属性进行分析后，信息主体在理论上也可委托其他自然人代为行使复制权。

实务研究

其次，个人信息复制权的权利客体。个人信息复制权的权利客体是指权利主体的意志和行为所影响、作用、指向的客观对象，也就是个人信息复制权主体在行使复制权时能够复制的事项的范围。《个人信息保护法》第45条第1款规定的复制权权利客体为“其个人信息”,也就是信息权利主体的个人信息，不包括其他自然人的个人信息。我国国家标准《网络信息技术 个人信息安全规范》(GB/T 35273-2020)第8.6条将信息主体获取个人信息副本的内容规定为：本人的基本资料、身份信息；本人的健康生理信息、教育工作信息。尽管该国家标准仅为推荐性标准，却在一定程度上造成了个人信息复制权的萎缩。因此，如果从个人信息复制权在整个个人信息权利体系当中的作用来看，其客体范围应当在查阅权的基础上行使，并且也应当能够满足后续其他信息权利行使的需要。

再次，个人信息复制权的行使程序。《个人信息保护法》第45条并未对个人信息复制权的行使程序做出明确规定，相关具体行使程序的确立有赖个人信息处理者和信息主体的友好协商。但是，《个人信息保护法》第45条第2款的“及时提供”值得特别说明，意味着个人信息处理者在回馈和响应信息主体复制权请求时，应当在可行的条件下及时按照信息主体请求的方式或途径予以提供或传输。当信息主体请求复制的内容的复杂性、数量的庞大性、频次的繁复性以及个人信息处理者回应的成本显著增加抑或其他重要且合理的制约因素出现时，个人信息处理者响应信息主体的复制权请求的“及时”可适当合法合理延长。

从次，个人信息复制权的行使限制。在权利时代，对个人信息复制权予以限制往往是出于实现公共利益的目的。而在个人信息的场域当中，对其进行限制则更可能出于促进信息流通的立法目的。《个人信息保护法》明确规定了两条具体的行使限制：一是第18条第1款规定的“有法律、行政法规规定应当保密或者不需要告知的情形的”;二是第35条规定的“告知将妨碍国家机关履行法定职责的”。此外，《个人信息保护法》第72条第1款规定自然人因个人或者家庭事务处理个人信息时也不能行使复制权。

最后，个人信息复制权的法律责任。具体到个人信息领域，法律责任指个人信息处理者违法处理个人信息所必须承担的责任[12]。个人信息复制权本质上属于霍菲尔德意义上的请求权的范畴，因此，侵犯个人信息复制权本身并不会产生民事法意义上的侵权责任。只有当个人信息处理者在个人信息处理过程中对信息主体的个人信息权产生损害的，才可以依据《个人信息保护法》第69条在不能证明自己没有过错后承担损害赔偿等侵权责任。当然，在必要且符合各自法律规范构成要件的情况下，该违法处理个人信息的行为也会引发行政法上的治安管理处罚和刑事法意义上的刑事责任。

实务研究

2021年11月1日，工信部印发《关于开展信息通信服务感知提升行动的通知》(以下简称《通知》),决定建立个人信息保护“双清单”并通过其他举措力求改善信息通信行业综合服务现状。本次调研以《通知》中作为个人信息保护“双清单”试点单位的39家企业或公司的52款APP为考察对象(如表1所示),以全面考察个人信息复制权在APP隐私政策中的具体落实形式和实践情况。各APP隐私政策文本获取时间截至2022年12月31日，各APP复制权行使实验截至2023年4月10日。

在52款APP当中有3个极速版，其余49款APP当中有7款APP的隐私政策文本当中未规定复制权，12款APP系在查询页面自行复制，14款APP需通过邮箱、客服或热线取得联系并在身份核验后才可行使个人信息复制权，16款APP通过内嵌特定路径进行复制权行使实验，并已成功收集实例(如表2所示)。隐私政策文本中未规定复制权的APP占比14%,自行在查询页面行使复

实务研究

制权的APP占比24%,特定方式身份验证后行使复制权的APP占比29%,内嵌操作行使复制权的APP占比33%。

通过对上述52个APP隐私政策文本中关于复制权规定的考察，可发现如下现象：

首先，个人信息复制权的缺位。对于个人信息复制权的认定，本次调研采取了较为宽松的要求。由于复制权在实践表现中的多样态，此次文本考察将“复制”“复制权”“个人信息副本获取”“获取个人信息副本”“申请个人信息副本”“个人信息副本的获取”“下载”“导出并下载”等表述或字眼均认定为该APP隐私政策中实现了对复制权的规定。即便如此，依然有7款APP的隐私政策文本中没有出现复制权。

其次，个人信息复制权的迷失。在各大APP隐私政策的文本中，部分APP(如微信、小红书、天猫、微博、滴滴等)将复制权与查阅权规定在一起；部分APP(如虎牙直播、转转、粉笔、高德地图)将复制权与转移权规定在一起；部分APP(如今日头条、西瓜视频)将复制与导出规定在一起；部分APP(百度、百度地图)将复制权与可携带权规定在一起。凡此种种，除了成本这一原因以外，究其根本还是没有认识到复制权的独特意义和基本内涵，没有将复制权与其相近的查阅权、可携带权、转移权区分清楚(如表所示)。

实务研究

再次，个人信息复制权的简约。仅就规定复制权的42款APP来看，其隐私政策文本对复制权的规定普遍都非常简约，往往用一句或几句抽象的表述予以带过。尤其是在复制权与其他权利共同规定的场合，复制权的表述空间更是急速压缩。例如，百度APP隐私政策文本中对复制权的规定仅一句话即“您有权复制我们收集的您的个人信息”。其他部分APP也仅仅给出了复制权行使的路径而已。

从次，个人信息复制权的差异。在规定复制权的42款APP的隐私政策文本当中，复制权的规定是否详细、内容是否充分、路径是否明确、范围是否精准往往与该APP的市场地位有很大关系。竞争越发激烈、市场化程度越高、用户使用频次越高的APP对于复制权的规定越完善，反之则越简约。例如，阿里巴巴和腾迅公司旗下的有关APP对复制权的规定较为完善，此前曾受过网络安全审查相关行政处罚的滴滴全球股份有限公司有关个人信息复制权的规定和实践保障也处于前列。

最后，个人信息复制权的限制。《个人信息保护法》中对个人信息复制权的限制仅限于前文论述的情形，但在隐私政策文本实践中对个人信息复制权的限制出现了其他的限制情形，大体包括“法律法规另有规定”“隐私政策另有约定”“技术可行”“成本可行”四种情况(如表4所示)。、

通过对上述APP复制权行使实验的考察，可以发现如下现象：

首先，个人信息复制权的行使方式异化。多数APP都规定了复制权的行使方式，其中12款APP系在查询页面自行复制(QQ、58同城、拼多多、小红书、天猫、闲鱼、钉钉、UC浏览器、支付宝、微博、百度、百度地图)。个人信息复制权的机理是“信息主体提出请求-个人信息处理者完成复制-个人信息处理者提供副本”。而信息主体在查询页面自行复制虽然实现了复制权与查阅权内容的一致，但却变为“信息主体想要复制-信息主体自行查询-信息主体自行复制”的尴尬局面，在一定程度上异化了个人信息复制权。并且，部分APP的查询页面并不支持个人信息的文本选择和复制，只能通过另行记录，偏离复制权的原意。

实务研究

其次，个人信息复制权的行使过程限制。在14款需要信息主体通过邮箱、邮寄、客服或热线等方式取得联系的APP当中，需要通过确认或收集“订单信息”“注册/呼入手机号”“实名认证信息”“身份证信息”“银行卡信息”等信息进行身份核验后，才会按照请求发送个人信息副本。在16款可以通过内嵌操作进行申请复制权行使的APP当中，则设置了图形验证码和手机验证码两种方式进行验证，并且部分APP(如微信、快手、虎牙直播、滴滴、酷狗音乐等)还对发送的个人信息副本设置了文件密码，而密码则通过短信、APP内客服聊天界面或者邮箱进行发送，再一次保障了信息主体个人信息副本的安全。

再次，个人信息复制权的行使范围萎缩。在反馈结果中，大部分APP的复制权范围极为狭小，尤其是通过APP内嵌操作自行申请下载或导出副本的，反馈的个人信息仅涉及一些最为基本的个人信息、账户信息和设备信息，能够复制的信息范围远不及查阅权的客体信息范围(如下表所示)。

实务研究

从次，个人信息复制权的反馈格式杂乱。在反馈结果中，拼多多、小红书以及那些需要在查询页面自行复制的APP没有明确格式；美团、大众点评、去哪儿网的个人信息副本则采用TXT格式；微信、快手、酷狗音乐、虎牙直播、淘宝、滴滴、爱奇艺、抖音、今日头条、西瓜视频、唯品会则为压缩包(内含XLS、DOCX、TXT、HTML等格式文档);得物的个人信息副本为DOCX格式。个人信息副本的反馈结果以不同格式的文件形式呈现，纷繁杂乱，没有统一的范例可循(如上表所示)。

最后，个人信息复制权的反馈效率。在各大APP隐私政策文本中，对复制权的反馈期限规定不一而足，但最长期限一般为15个工作日。部分APP如酷狗音乐则承诺在72小时之内反馈。在进行具体实验的过程中，16项通过系统内嵌操作进行复制权行使的APP均在一小时内通过邮箱反馈和提供了个人信息副本，因此整体来看符合《个人信息保护法》第45条第2款规定的“及时提供”。

个人信息复制权的权利客体是指受权利主体的意志和行为所影响、作用、指向的客观对象，即个人信息复制权主体在行使复制权时能够复制的事项的范围。我国个人信息复制权的客体范围并不明晰，加之国家标准《网络信息技术 个人信息安全规范》所规定的个人信息副本内容较少，导致了实践中个人信息复制权的萎缩——通过复制权行使实验所获得的个人信息副本一般只包含一些基础信息。因此必须完善个人信息复制权的客体范围，才能充分保障个人信息复制权的行使。而要划定个人信息复制权的客体范围，必须从理论上寻求个人信息复制权的设立目的、制度价值和规范预期。个人信息复制权在个人信息权益内部处于中间的地位，起到的是承上启下的作用。因此，个人信息复制权的客体范围既要能够满足充分“知情”的需要，又要能够成为支撑后续其他信息权利行使的先决基础。同时，个人信息复制权还应当兼顾对第三方个人信息权益、商业秘密和公共利益的保护，还要能促进信息自由流通的实现。

实务研究

因此，个人信息复制权的客体范围应当包含但不限于以下内容：(1)个人信息处理的状态，即个人信息是否正在被处理；(2)处理个人信息的主体，即个人信息处理者的名称、电子邮箱和电话等联系方式、住所地；(3)处理个人信息的目的、方式、种类和途径；(4)被处理的全部个人信息(公开获得的个人信息需要说明来源);(5)个人信息的储存期限和存储方式；(6)保障个人信息安全的必要措施和手段的说明；(7)以及其他必要内容。

为避免个人信息复制权的乱用和滥觞，对个人信息复制权进行限制是必要的，这也是《个人信息保护法》在第45条第1款规定个人信息复制权的两项例外情形的原因所在。除此之外，在个人信息复制权的行使实验当中，还发现对个人信息复制权进行限制的一些合理因素。

在个人信息复制权的前提限制层面，个人信息复制权的行使需以合法和合意为前提。只有在不违反法律法规的有关规定和隐私政策当中协议条款的前提下，个人信息复制权才有行使的可能。在实践当中，还会存在APP对信息主体的复制权请求的频次限制，涉及到复制权行使的成本问题，例如每个用户在一个自然日之内仅能提交一次申请等。考虑到大部分APP都以免费的形式为信息主体提供相应的服务，基于成本的考虑对个人信息复制权的行使频次设置限制具备一定的合理性。

需要特别强调的是，对个人信息复制权存在过度限制的可能，隐私政策文本中对个人信息复制权的限制条款必须是在信息主体和个人信息处理者双方合意的基础上才有效。绝大多数用户在现实中基本上不会阅读篇幅冗长的隐私政策文本，所以应当警惕隐私政策对个人信息复制权的限制条款沦为格式条款的可能。并且，这种对个人信息复制权的过度限制往往都依托在形式合意的一些不附通知义务的隐性条款当中。

“无救济则无权利”的著名法谚陈说着救济途径对于权利保障的决定性意义。如果没有个人信息复制权的救济，那么谈个人信息复制权就没有任何意义。

在前述的个人信息复制权理论构造的法律责任当中，提及了违法处理个人信息行为所应负的民事责任、行政责任和刑事责任。在民事救济的框架当中，由于个人信息侵权的侵犯性不强，绝大多数信息主体都无法感知，再加上信息技术的壁垒，使得信息主体无力进行相应的证明。因此在设置证明责任时为违法处理个人信息的行为设置了举证责任的倒置，即个人信息处理者如果没有证据证明自己在个人信息处理行为过程中没有过错的，就要承担包括损害赔偿在内的民事责任。

实务研究

比较棘手的问题是如果在信息主体向个人信息处理者提出复制其个人信息的请求时，个人信息处理者无正当理由就拒绝该请求，那么个人信息复制权应当何以获得救济?首先，个人信息处理者的自查救济。各大APP的隐私政策中大都规定了“响应您的请求”和联系方式，信息主体可据此向该APP的负责部门和负责人提交投诉、建议或者举报，来进一步申明自己行使复制权的需求。其次，履行个人信息保护职责的有关机关、部门、机构或组织的他力救济。如果在向该APP负责部门或负责人提交相应的复制权请求，该APP仍拒绝提供个人信息副本且不能说明正当理由或者信息主体对该理由不认可的，可以向消费者权益保护协会、工信部、网信办、APP专项治理工作组以及其他履行个人信息保护职责的机构、机关或部门提交投诉或者举报。最后，在前述两种情形仍无法保障正当的个人信息复制权行使的，信息主体可以向APP经营主体所在地的人民法院提起个人信息复制权行使的诉讼以寻求司法救济。《个人信息保护法》第50条第2款赋予了个人信息复制权理论上的可诉性，但为了避免权利的滥用和“诉讼爆炸”等情形的出现，应当为个人信息复制权诉权的行使设置程序上的要求，即信息主体对消费者权益保护协会、工信部、网信办、APP专项治理工作组以及其他履行个人信息保护职责的机构、机关或部门投诉或举报之后，对其投诉或举报处理结果不满意或者确有行使个人信息复制权的正当需求和理由，此时才可以向人民法院提起诉讼以寻求司法救济。

不管是在学术研究中还是在实践应用中，个人信息复制权都陷入了困顿和颦蹙的局面，但这并不表明个人信息复制权不重要。相反，其在个人信息权利体系当中承上启下的关键地位和重要作用都表明要充分重视和认真对待个人信息复制权。本文通过理论、文本和实践三个维度极力擎画个人信息复制权的全貌，以期能对个人信息复制权有充分但又不失浅显的认识，三个维度个人信息复制权之间的张力、背离和矛盾进一步揭示：必须进一步明确个人信息复制权的客体范围、厘定权利边界、完善救济程序，个人信息复制权才能不至于在信息时代被边缘化和附庸化，在理论研究和实践应用当中展现其应有的作用。

（全文完）

从《刑法修正案（十二）》（草案）看民营企业的刑事风险应对

来源：公众号“环球律师事务所"

《刑法修正案（十二）》（草案）（以下简称“新修正案”或“草案”）已经于2023年7月25日首次提请十四届全国人大常委会第四次会议审议。本次修正案（草案）提高了对行贿犯罪惩治力度，对多次行贿、向多人行贿、国家工作人员行贿等六类情形从重处罚。同时，调整行贿罪的起刑点和刑罚档次，与受贿罪相衔接。同时增加惩治民营企业内部人员腐败相关犯罪的条款，将现行对“国有公司、企业”等相关人员适用的犯罪扩展到民营企业。

草案对于行贿罪、单位行贿罪、涉民营企业腐败类型犯罪的扩张从实质上来看是与国家近年来一直倡导的“以司法护航民营经济发展”的政策导向一脉相承的，是与《关于促进民营经济发展壮大的意见》《关于充分发挥检察职能服务保障“六稳”“六保”的意见》等政策契合的刑事法律修正。事实上，民营企业内部的腐败问题已经成为了遏制其发展的重要因素。

由注册舞弊审查师协会制作并公布的《2022年ACFE全球舞弊调查报告》[1]显示，基于133个国家的舞弊调查师（CFEs）提供的2110起案件调查，其中舞弊案例涉及的直接经济损失超过36亿美元，舞弊为包括政府和企业在内的各类组织带来的经济损失约为全年总收入的5%，每起案件的损失中值为117,000美元，每起案件的平均损失为1,783,000美元。舞弊案件不仅侵蚀性强，隐蔽性高，企业内部查处的成本也非常昂贵。大多数的舞弊案例，从案发到展开调查，历时12个月；每个案例平均每个月带来的直接经济损失为8,300美元。

对于规模大、分部多的公司来说，反舞弊是一个不得不重视的问题。据某头部互联网集团反舞弊通报显示，2022年全年，该集团共发现并查处触犯“集团高压线”案件70余起，100余人因触犯“高压线”被辞退，10余人因涉嫌犯罪被移送公安机关处理。全年查处的案件和人员数量较2021年尚有所增加。在相关移送司法程序的案件中，多以外部公司谋取利益，并收取外部公司好处费，向供应商索要财物，挪用其负责保管的公司资金，弄虚作假侵占公司费用等形式出现，也正是本次修正案所重点处理的腐败类型。

企业合规

引言

一、刑事辩护：单位行贿罪的调整加重了民营企业的主体责任

企业合规

万元以上不满三万元，但具有加重情节。若涉案金额在二十万元以下，论证应当构成单位犯罪的辩护策略仍具有罪与非罪的差异。另一方面，如上所述，由于单位行贿罪的法定最高刑在调整后依旧低于行贿罪，因此对于涉案金额相对畸高的案件，以单位行贿罪作为辩护方向也可以换取更轻缓的处罚。

此外，单位行贿行为由于主体的复杂性，在辩护空间上实多于个人行贿行为。在湖南省某单位行贿一案二审刑事案件【（2019）湘31刑终66号】中，原审判决认定甲公司、乙资产评估事务所及丙会计师事务所联合为谋取不正当利益而给国家工作人员财物，共计76.1万元，其行为构成单位行贿罪。本案的特殊之处在于三家单位虽经营类型不一，但背后均由同一自然人丁某实际控制，原审法院由此认定三家单位共同构成单位行贿罪，应予判处。但在二审过程中，湖南省湘西土家族苗族自治州中级人民法院则提出，客观事实可以认定实际控制人丁某的确为单位牟利而施行贿赂行为，应予认定构成单位行贿罪。就涉案单位是否共同承担责任方面，丁某等人向国家工作人员送钱均系在涉案单位获利后才实施，故丁某等人送钱时虽未明确所代表的单位，但根据主客观相一致的原则，只能认定为代表与受贿人所在单位实际发生业务关系的涉案单位实施，由此二审判决只确定了甲公司的刑事责任。本案正体现了单位集体意志决策上的判断问题，与个人行贿行为形成了显著差异，体现了以论证构成单位行贿行为进行辩护的价值。

企业合规

二、刑事控告：可选罪名增加提升了民营企业追索财产损失的可能

考虑到单位性质的不同，刑法对于国有企业、上市企业等单位进行了更为严密的保护，在新修正案推出以前，国有公司、企业相关人员非法经营同类营业罪、为亲友非法牟利罪和徇私舞弊低价折股、出售国有资产罪等罪名均不适用于民营企业。罪名的限制导致部分民营企业此前即便面临员工存在的明显舞弊行为，亦无法将其绳之以法，财产追索比例低下。

以较为典型的为亲友非法牟利的行为来论述，刑法第一百六十六条为亲友非法牟利罪规定，国有公司、企业、事业单位的工作人员，利用职务便利，有下列情形之一，使国家利益遭受重大损失或者特别重大损失的，才可能构成犯罪，对主体要求非常严格。与之对应的，在民营企业担任重要职位的行为人，如果利用职务便利，为亲友非法牟利，但自己未与亲友约定或者参与利益分成的，可能不构成犯罪。作为损害单位利益的行为，单位只能根据规章制度或者员工手册对其进行相应处罚，或者提起民事诉讼。对于此类情况，新修正案推出前只有在极为特定的情况下才构成犯罪。例如，行为人与亲友商议谋划后，在单位并未收到商品或者合同约定的服务内容的前提下就支付了全部对价，而是转而由行为人占有该服务或者对价的，才可能构成职务侵占罪。

从构成要件来分析，职务侵占罪要求行为人以非法占有为主观目的，且要求行为人将属于公司的财物非法据为己有。对于为亲友牟利的行为，由于行为人并

企业合规

未在事先与亲友确定所占据的公司财物的分配比例，最终行为人也没有自行占有的，则难以构成职务侵占罪。行为人完全可以以此种斡旋的方式损害公司利益，致使民营企业的资产流失。

无独有偶，非法经营同类营业的行为，同样是相当高频的侵害公司利益的行为，尤其是处于增长期又希望将业务版图扩张到全国的中大型公司。但对于此类行为，以刑事控告作为维权手段时却往往因难以找到契合的罪名而阻力重重。

以定向提供某服务内容为主营业务的甲公司为例，其公司总部位于我国某超大型城市，鉴于业务增长的需要和公司发展的战略布局，甲公司意图将子公司分别设立在远离公司总部的多座二三线城市，并以此争取更多当地的业务，并形成区域合力。在开设新公司的过程中，为了使得子公司快速进入稳定运行的状态，甲公司选择在子公司当地选择成熟的技术人员进行合作，由该技术人员作为公司负责人，组建团队作为子公司的技术骨干，再由总部提供部分行政支持人员。在子公司正常运行一段时候后，该子公司负责人成立另一家与甲公司经营业务完全一致的当地公司乙，将甲公司在当地的合作项目转移到乙公司，由乙公司承接相关项目，致使甲公司原有客户大量流失，造成重大经济损失。由于甲公司并非国有公司，甲公司总部无法以非法经营同类营业罪追究该负责人的刑事责任，只得转而选择以职务侵占罪提起刑事控告。

然而上述行为并不严格符合职务侵占的构成要件。一方面，长期稳定的商业合作关系是否属于公司资产在司法实践中并无定论，甚至在民事判决中，谋取属于公司的商业机会并不必然直接需要承担赔偿责任。在刑事控告中，由于商业机会的不稳定性，即便长期合作的商业伙伴也可以自由转变自己的想法， 选择解除合作关系而与其他公司合作，由于该案行为人还兼具子公司负责人的身份，更是让转变合作对象的行为难以归因。在实际案例中，甲某、乙某职务侵占一审刑事案件【（2016）浙0191刑初248号】的判决书中，法官便认定因为丙公司与被告人甲某控制的丁公司之间的交易并非确定系被害公司必得收益，故被告人甲某的丁公司与丙公司交易而获得利益的行为不属职务侵占行为，仅属非法经营同类营业行为，因被告人甲某尚不符合该罪主体要件，系法无明文规定不为罪。一审法院认定商业交易的机会具有很强的随机性，并不确定，不符合财物的一般法律定义，无法认定为公司确定所有财产。在此观点之下，由于商业机会并不属于公司资产，自然侵占转移的行为也不会构成职务侵占罪。同时因为涉案公司并非国有公司、上市公司，相关行为人得以免于刑事追究。

因而，此类案件在新修正案出台前难以确定合适的形式控告罪名，使得相关民营企业的财产追索困难。在新修正案实施后，对于非法经营同类营业、为亲友

企业合规

企业合规

三、合规：形成规范的反舞弊合规治理体系刻不容缓

《2022年度全球舞弊调查报告》明确表示，各类舞弊防控手段，对于降低舞弊带来的经济损失，以及更快的发现舞弊的发生，都有非常明显的效果。从案件成因的角度来分析，29%的内部舞弊案件是由于缺乏内部管理控制体系带来的，同时还有20%的案件则是因为企业内部的合规制度只流于纸面而并未真正发挥效果。统计数据显示，81%的受害单位在舞弊发生后便修改了反舞弊控制，其中75%的组织增加了管理层复核流程；64%的组织增加了主动数据监控与分析的使用。当下，已经有越来越多的企业正在开始为刑事风险设立合规防线。

首先，对于未涉及刑事风险的企业来说，反舞弊合规体系最大的价值在于避免公司因此遭受经济损失。无论是形式主义的规范文件还是依靠员工个人的品行操守，都不能确保公司不会发生舞弊事件，而相关案件一旦发生就会给公司带来极大的经济损失。《2022年度全球舞弊调查报告》，舞弊带给企业直接损失的中位数是14万美元（对于亚洲国家，中位数近20万美元），超过两成的案例导致100万美元以上的直接损失。在相关案件发生之后再进行保护、弥补、赔偿本质上都是不经济的选择。而对于正处于刑事合规整改的企业来说，无论案件发生的原因是否涉及内部腐败，反舞弊合规都是其中不可缺少的一项专项合规整改制度，是合规整改全面性的重要体现。对于需要与政府部门进行合作的公司则案发风险更高，应该予以设置更严格的内部管理控制体系。

其次，反舞弊体系可以避免公司陷于刑事风险。一方面，反舞弊合规治理体系可以隔绝员工个人的舞弊行为上升到单位意志层面。成熟且完善的反舞弊专项合规体系应当包括制度文件、实施细节、培训宣讲、情景分析、定期考核、临时抽查等多个环节，这不仅体现了公司分多层次多维度地向员工宣告公司内部廉洁的重要性，更代表了公司已经“尽其所能”地避免舞弊事件的发生。如果在这样的环境之下还有员工以身试法，公司也可以凭有效运行的合规体系作为抗辩，避免因员工个人行为而承担公司责任。另一方面，新修正案大大提高为了单位行贿罪的惩处力度，对于公司而言，也应当避免为了追求经济发展而忽略

最后，反舞弊合规体系的搭建不仅是《刑法修正案（十二）》的要求，更是对国家贯彻落实从严惩治行贿犯罪的呼应，是企业走向国际合作的前提。近年来，美国正逐步扩大其《反海外腐败法》的适用范围，并针对美国海内外的商业腐败行为加强执法力度。我国企业面临的合规整改要求和合规处罚风险也正在不断加剧。为应对此种风险，我国企业如果希望与FCPA影响下的涉美公司进行跨国合作，势必需要完善内部合规治理、强化合规意识。

企业合规

四、小结

新修正案将现行对“国有公司、企业”等相关人员适用的犯罪扩展到民营企业，民营企业内部人员具有上述相应行为，故意损害民营企业利益，造成重大损失的，也要追究刑事责任，进一步加大了对民营企业自有资产和企业家的保护。同时新修正案对于单位行贿罪的惩治力度调整也代表了国家对行受贿案件的一视同仁、绝不姑息，民营企业势必需要加强内部治理能力，杜绝舞弊事件的发生。对于民营企业而言，新修正案出台的当下，是正视内部治理问题，填补合规漏洞的绝佳时机。

（全文完）

企业员工个人信息保护一般合规思路

来源：公众号“环球律师事务所"

明者因时而变，知者随事而制—随着《中华人民共和国个人信息保护法》（以下简称“《个保法》”）已经实施一周年，企业在注重保护用户/客户个人信息的同时，对关切并保障员工个人信息权益的力度也稳中有升。然而，新冠疫情的常态化为企业管理员工带来了新的挑战。例如，当部分城市疫情防控加严的情况下，如何平衡企业对居家办公人员的监督管理与对员工个人信息与权益的保障，成为了企业不可避免需要思考的问题。

举例而言，有报道称国内某教育机构要求居家办公的员工安装具有监控功能的电脑软件，该软件每五分钟将自动截屏并抓拍员工的人脸信息，而抓拍不足89次的员工将被视为旷工，进而影响员工绩效。又比如国内某食品企业为了保障疫情期间食品安全，要求公司全体员工（包括非产线员工）在疫情期间只能从家到单位“两点一线”活动；为了监督，该企业拟在所有员工的手机上安装具有监控功能的App，通过实时定位以监测员工24小时的行踪轨迹—一旦企业发现员工的行踪轨迹不符合“两点一线”要求，将对其发出系统预警并采取违纪通报处理。除此之外，还有企业要求员工每日将其所在位置信息发到全体员工群中以确保所在位置非疫情风险点位。

上述这些企业采取的管理措施也许可以在疫情下对员工实现有效的监督和管控，但是，企业处理员工的人脸信息、行踪轨迹信息来对员工实施管理是否符合《个保法》下个人信息处理活动的合法、正当、必要原则？是否与企业的处理员工个人信息目的直接相关？退一步讲，即使针对员工个人信息的处理活动与企业处理员工个人信息的目的直接相关，企业采取的手段又是否尊重和保障了员工个人信息权益、贯彻落实了二十大精神呢？企业如何深入了解并能做到合规处理员工个人信息，以确保各类管理手段符合法律及合规要求，在长期抗疫的大背景下，都是亟待企业权衡和解决的问题。

在《个保法》发布前，有关员工个人信息保护或处理的要求多散落于《中华人民共和国劳动合同法》《中华人民共和国劳动合同法实施条例》等法律、行政法规中，鲜见有直截了当的明文要求，难以引起企业对内部员工个人信息权益保障的重视。因此，实践中大多企业进行数据治理及隐私保护工作的重心主要还是放在产品和业务发展上，提高产品的合规性，减少争讼的发生。《个保法》的出台则

引言

企业合规

对个人信息全生命周期的处理活动进行了规制，明确了包括员工在内的个人信息主体权利及个人信息处理者义务，将《民法典》中自然人的权益保护落到了实处。

首先，《个保法》在《民法典》的基础上提出“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，将生物识别、特定身份、医疗健康和金融账户等特殊性质的个人信息明确纳入敏感个人信息的范畴，要求实施更加严格的监管要求。在员工个人信息保护的场景下，除如姓名、年龄、性别等显而易见的个人信息以外，公司普遍还会收集员工的政治面貌、工作履历、籍贯等，这些也都属于员工的个人信息。而身份证号、犯罪记录、银行卡号、体检报告等更属于员工的敏感个人信息。

其次，在处理个人信息的合法性事由中，《个保法》在“订立、履行个人作为一方当事人的合同所必需”这一款新增了符合人力资源管理所必须的情形，进一步将保护员工个人信息的要求明确推到了“台前”，以使企业得以重视。这为企业处理员工个人信息提供了一条除个人“同意”以外，个人信息处理者可以优先考虑适用的合法性基础，但也为企业解释并落地“实施人力资源管理所必需”的适用范围提出了难题。

企业应当如何合规地处理员工个人信息逐渐成为企业内部合规体系搭建的必修课。下文我们将从员工个人信息全生命周期入手，以求在介绍员工个人信息处理活动的合法边界的同时，对企业在不同场景下的重点合规义务进行相关提示：

企业合规

一、常见员工个人信息处理场景及合规提示

（一）企业如何收集员工个人信息

企业收集员工个人信息的常见场景通常可以分为以下八种类型：

企业合规

不论在以上哪种场景中收集员工个人信息，企业均需要具备适当的合法性基础—取得员工的授权同意，抑或是满足法律规定的同意豁免情形。而根据《个保法》第十三条，个人信息处理者应先判断相关处理场景是否能够适用除同意以外的合法性基础，如果没有，则再判断是否获取了个人信息主体的同意。

员工个人信息处理的同意豁免情形主要依据《个保法》第13条第二款，除了为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息这项以外，其他几项均有可能在不同的场景下被实用。但最常见的还是为订立、履行与员工订立的劳动合同所必需；为按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；以及为履行法定义务所必需三项。

（1）为订立、履行与员工订立的劳动合同所必需

《劳动合同法》第8条提出，用人单位有权了解员工与劳动合同直接相关的基本情况。《劳动合同法》第17条进一步提到，劳动合同应当具备以下条款：……（二）劳动者的姓名、住址和居民身份证或者其他有效身份证件号码；……。由此可见，一般而言，如员工的姓名、住址、身份证号码（或其他有效身份证件号码）、健康状况、知识技能、工作经历等与劳动合同直接相关的基本个人信息，是可以适用于为订立、履行与员工订立的劳动合同所必需这一合法性事由的，进而不需要在订立劳动合同时另行征得员工授权同意。

反之，根据实践经验，我们一般认为，婚姻状况、生育状况、是否为乙肝表面抗原携带者（除因涉及法律、行政法规和卫生部规定此类人群禁止从事的工作，法律行政法规另有规定的以外）等信息与劳动合同的签订和履行并无必然关联，进而不能适用此项同意豁免情形。（2）为实施人力资源管理所必需

为实施人力资源管理所必需这一同意豁免情形涉及两个方面：依法制定的劳动规章制度以及依法签订的集体合同。劳动规章制度方面，根据《劳动法》第4条及《劳动合

企业合规

同法》第4、7条，用人单位应当依法履行民主程序与公示程序以建立和完善规章制度，保障劳动者享有劳动权利和履行劳动义务；同时，用人单位应当建立职工名册备查。《劳动合同法实施条例》第8条进一步提出，该职工名册应当包括劳动者姓名、性别、公民身份号码、户籍地址及现住址、联系方式、用工形式、用工起始时间、劳动合同期限等内容。由此可见，在满足依法制定的劳动规章制度的前提下，为建立职工名册而收集的前述员工个人信息字段可以适用本项同意豁免情形。而在集体合同方面，如果企业想要适用这一场景，则应当注意确认拟依据的集体合同是否是根据《劳动合同法》第51条的规定履行职工讨论程序的、由工会代表职工与企业订立，以及是否报送了劳动行政部门。

不论企业拟依据的是劳动规章制度还是集体合同，除了劳动合同场景下收集的部分个人信息可以适用“为订立、履行与员工订立的劳动合同所必需”这一合法性事由以外，其他的个人信息（如薪酬信息、病假证明、紧急联系人信息）均应当同时确保员工的个人信息处理活动也是“为实施人力资源管理所必需”的。但是，由于何为“人力资源管理所必需”以及如何界定其内涵与外延尚未有明确、统一的标准，考虑到每个组织对于其个人信息处理活动的场景及组织性质的不同，故在落地上存在根据实际情况的裁量空间。从实践角度来看，企业可以首先考虑，在依法制定的劳动规章或在依法与员工签订的集体合同中对于员工个人信息处理活动的场景、所涉个人信息范围及目的进行明确规定或约定，明确列明处理哪些个人信息属于“人力资源管理所必需”，以在一定程度上减少争议、降低风险。

（3）为履行法定义务所必需

“法定义务”是指个人信息处理者依据法律法规的要求而负有的义务，例如，根据《劳动法》的要求，企业必须为员工依法缴纳社会保险、缴存公积金、提供符合国家规定的劳动安全卫生条件和必要的劳动防护用品，应当对从事有职业危害作业的员工定期进行健康检查、为发生工伤的员工申请认定劳动能力鉴定等。相应地，企业为履行该等法定义务所必需，需要收集员工相应的个人信息，如身份证号码、社保卡、健康生理信息等。

除此之外，在个人信息的存储期限方面，如果涉及到法定存储时长要求，那么在企业因履行这些“法定义务”而存储员工相关个人信息时，则无需取得个人的同意—例如《中华人民共和国劳动合同法》要求用人单位对已经解除或者终止劳动关系的员工的劳动合同文本，至少保存二年备查；又如《工资支付暂行条例》要求用人单位必须书面记录支付劳动者工资的数额、时间、领取者的姓名以及签字，并保存两年以上备查。

企业合规

2. 员工授权同意

当员工个人信息的处理活动既不属于订立、履行劳动合同所必需（如与劳动合同的签订和履行并无必然关联），也不属于实施人力资源管理所必需（如未规定于劳动规则制度或集体合同中）时，在该情况下，企业收集员工信息应当征得员工的授权同意。甚至在特定情形下，应视个人信息的类型或处理活动的性质，企业在收集员工个人信息时需要获得员工的单独同意或重新同意。当然，实践中，在可操作的前提下，如果既能取得员工的授权同意，也能够取得员工对于“履行人力资源管理所必需”的确认，则属于处理个人信息合法性的“双保险”措施。

企业需要征得员工单独同意的场景主要有：企业向其他个人信息处理者提供员工个人信息、企业公开其处理的员工个人信息、企业处理员工敏感个人信息以及企业向境外提供员工个人信息的情形。例如，为了保护办公环境的安全和提升考勤等系统的便利性，有不少企业会通过人脸识别和指纹等开启门禁的方式完成工作环境下的身份管理。由于处理了人脸信息、指纹信息等个人生物识别信息（属于敏感个人信息），因此一般情况下是需要获取该员工的单独同意的，除非企业实施该行为是履行法定职责或法定义务所必需。再比如，疫情期间，企业要求居家办公人员以上传人脸信息的方式进行上班打卡，在符合个人信息处理原则，且基于企业性质或岗位特殊需求，该种打卡方式的确属于对个人信息权益影响最小且没有其他更合理的方式可以替代的前提下，一般来说企业处理该等生物识别类信息的活动也是需要获取员工单独同意的。

企业需要征得员工重新同意的场景主要与“变更”有关：如针对员工个人信息的处理目的、处理方式和处理个人信息的种类发生变更；企业提供员工个人信息的其他个人信息处理者发生了变化，或者接收方主体没变，但变更了原先处理个人信息的目的、处理方式等。举例而言，如果企业因业务结构、管理战略等种种因素导致员工个人信息的处理目的发生变化，那么则需取得员工的重新同意。

（二）企业如何使用、存储员工的个人信息

企业在使用员工个人信息时，应当首先确保与劳动合同、劳动规章制度、集团隐私政策、员工个人信息保护声明等文件所披露或规定的个人信息类型、处理目的、处理方式以及处理范围保持一致；同时应当确保在未取得员工重新同意时，企业不将其个人信息用作其他用途。此外，企业还需要注意某些使用应聘者个人信息的特定场景，以及疫情期间识别访客健康码的特殊情况。例如，在传统的招聘流程结束后，企业可能会将未被聘用的求职者简历或面试信息存储在自己的人才库中，在此场景中，企业是否有向应聘者告知这一情况、告知的内容是否符合法定要求、应聘者是否做出了有效的同意等等都是企业应当注意审查、确保合规的地方。再比如，在疫情防控工作常态化的背景下，企业可能会基于自身业务性质考虑增设其他的员工管理手段，那么企业在确保该种管理手段符合正当必要的个人信息处理原则、属于对个人信息权益影响最

企业合规

小的方式等基本前提下，还应当通过向员工提供个人信息保护声明、个人信息处理同意书等方式向员工进行充分披露并依法征得员工的授权同意或单独同意。

而在存储员工个人信息方面，企业可以从以下四个方面入手：（一）对员工个人信息进行分类，将不同性质的个人信息根据法律适用要求进行存储，并采取程度不同的安全保障措施：例如对指纹、声纹、面部识别特征等生物识别信息，做到与个人身份信息分开存储，且遵守原则上不存储原始个人生物识别信息（如样本、图像等）的要求；（二）确保员工个人信息的存储时长符合法定存储期限要求：一般来说，除法律法规另有规定[1]，企业存储员工个人信息的期限应当为员工在企业受雇期间以及在劳动关系结束后所必需的最短时间，同时兼顾企业履行法定义务及解决劳动仲裁争议的特殊情况。对于超出期限的个人信息，企业应当及时做删除或匿名化处理—如在招聘环节结束后，如未征得应聘人员同意，应及时对未录用者的个人信息进行删除处理；（三）设置内部对于员工个人信息的访问权限，基于企业内部不同岗位的职责角色，从严把控对员工个人信息的访问权限，确保仅有为处理目的而必须获得员工个人信息的授权人员才可以访问使用员工的个人信息。同时，对于可能接触大规模员工个人信息的关键岗位人员，应通过签署单独的数据保护承诺书或专项保密协议等，对这些人员的访问处理行为进行管控与规范；（四）采取有效的安全管理措施并确保充分的应急处置能力。具体而言，企业应当采取技术手段和管理措施，防止员工个人信息被不当使用或在未经授权的情况下被访问、公开披露、使用、修改、损坏、丢失或泄露，同时应确保当发生员工个人信息泄露等安全事件时，不仅应向主管部门及时、主动上报真实情况，也需要成立专项调查小组，以便立即采取补救措施，迅速调查事件的起因、经过与结果，并调查确定相关责任人员以追究责任。

（三）企业如何委托处理、向其他个人信息处理者提供员工个人信息

当出现劳务派遣、劳务外包、薪酬外包、背景调查外包等情形时，企业可能涉及将员工个人信息传输给第三方机构委托其处理的情形。例如，在使用指纹/人脸门禁等内部考勤系统或疫情期间的打卡系统时，企业可能会采购第三方软件服务提供商的产品和/或服务，包括在公司所采购的产品和服务的范围内由该供应商负责日常处理包括敏感个人信息在内的员工个人信息以确保系统和服务的正常运行。

在此类委托处理的情形下，企业应当确保与受托方的合作协议中明确该供应商作为受托方的角色和义务，以及委托其处理的目的、期限、处理方式、所涉员工个人信息的种类、保护措施等内容，并确保企业有权对该受托方就合同的履行情况进行审计，有效监督管理受托方对员工个人信息处理活动的合规情况。此外，如果涉及如行踪轨

企业合规

迹、人脸识别信息等敏感个人信息，企业还应当注意通过如合同约定的方式要求受托方落实充分有效的加密存储、分类分级管理、对大量接触个人敏感信息的人员进行背景审查等安全保障措施，以保护员工个人信息的安全。

2. 向其他个人信息处理者提供员工个人信息

除因法定义务要求企业必须向政府机关等部门提供员工个人信息的情况以外，如向商业保险服务提供商提供为员工购买高端医疗保险的个人信息、出于集团管理需要而发生的下级公司向总部提供员工个人信息、关联公司之间发生的员工个人信息共享活动等场景中，企业应当注意两个方面：规划设计与接收方的合同内容，以及征得员工的单独同意。前者与委托处理的场景相似，企业应当确保在与接收方的合同中明确规定员工个人信息的处理目的、处理方式、所涉员工个人信息种类等内容。后者则可以由企业通过起草员工隐私政策、要求员工签署相关个人信息保护告知同意函等文件方式予以实现，以确保能够向员工依法披露接收方的名称或者姓名、联系方式、处理目的、处理方式和员工个人信息的种类，并征得员工的单独同意。当然，告知同意函既可以采用纸质文件的形式，也可以采用电子签章或者OA系统跳出勾选框等方式进行。

3. 个人信息保护影响评估

值得注意的是，无论是企业委托处理员工个人信息，还是向其他个人信息处理者提供员工个人信息，企业均应当事前进行个人信息保护影响评估。

个人信息保护影响评估能够评价相关个人信息的处理是否符合“必要原则”，也是个人信息处理者在特定场景下处理个人信息时必须履行的法定义务。《个保法》明确规定，在（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息；（四）向他人提供个人信息；（五）公开个人信息；（六）向境外提供个人信息；以及（七）开展其他对个人权益有重大影响的个人信息处理活动之前，企业应开展个人信息保护影响评估。评估内容应当包括：（1）处理目的、处理方式是否合法、正当、必要；（2）对个人权益的影响及风险程度；以及（3）所采取的安全保护措施是否合法、有效并与风险程度相适应这三方面。同时，个人信息保护影响评估报告和处理记录应当至少保存三年。

在个人信息保护评估的落地方面，企业可以参考该机制相配套的国家标准《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020），该国家标准已于2021年6月1日施行，对个人信息处理者开展评估活动提供了更多细则，并列出了合规示例和高风险场景下评估个人信息处理活动的示例。在开展员工个人信息保护影响评估工作时，可以参考该标准落实个人信息保护评估评估实施流程和方法，例如制定员工个人信息保护影响评估计划、盘点涉及员工个人信息处理活动的所有场景、梳理相关系统与数据流转链路情况、以及分类梳理不同场景下的处理的员工个人信息字段等。

企业合规

（四）企业如何跨境传输员工个人信息

跨国企业由于集团有统一管理员工的需求和特点，无法避免地存在跨境传输员工个人信息的情况，在此，企业应该重点关注三个方面：是否开展了自评估、是否具备了《个保法》下的跨境传输前提条件，以及是否征得了员工的单独同意。

1. 开展相关自评估工作

企业在跨境传输员工个人信息前应当开展的自评估包括两类：一是个人信息保护影响评估，由于前文已经进行了讨论，此处将不再赘述；二是数据出境风险自评估。

个人信息保护影响评估则主要聚焦于对个人信息处理活动的评估—该处理活动对个人信息主体的合法权益带来何种影响及相应的安全风险；而数据出境风险自评估则侧重于考虑数据（不限于个人信息一类）是否符合安全可控出境的标准，以及是否可能对国家安全、公共利益、个人或者组织合法权益带来已有或者潜在的风险。具体而言，根据2022年9月1日起实施的《数据出境安全评估办法》第5条，如企业属于须申报数据出境安全评估（如符合本节第（2）项中所列的情况）范围，则应事先开展数据出境风险自评估，应重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；以及（六）其他可能影响数据出境安全的事项。

同时，数据出境风险自评估报告作为申报数据出境安全评估时必须提交的材料之一，故从合规的角度来看，建议企业早做准备以避免不必要的风险。

2. 确保具备跨境传输个人信息的法定前提条件

根据《个保法》第38条，企业跨境提供员工个人信息应当确保具备以下条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；或（四）满足法律、行政法规或者国家网信部门规定的其他条件。

虽然单就《个保法》来看，企业可以在三类保护性措施中“任意”选择[2]，但其实在选择顺序上需要先评估是否符合申报出境安全评估，不适用时才能考虑适用出境标准合同的机制—结合近期主管机构发布的文件来看，企业需要提出申请“（一）通过国家网信部门组织的安全评估”的条件已经明确，即符合《数据出境安全评估办法》第4条

企业合规

提出的情形：（1）向境外提供重要数据；（2）关键信息基础设施运营者；（3）处理100万人以上个人信息；（4）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息；或（5）国家网信部门规定的其他需要申报数据出境安全评估的情形的。换言之，符合前述四种情形时，企业向境外传输员工个人信息的，只能通过所在地省级网信部门向国家网信部门申报数据出境安全评估，无法采用订立标准合同的方式作为个人信息跨境传输的保护措施。总体来看，如果符合出境安全评估条件的，应当申请安全评估，但同时也可再申请个人信息保护认证（通常为对自身合规要求基准高且内部预算比较充足的企业），认证为可选项、加分项，安全评估为必须项；如果不符合出境安全评估条件的，则可以（1）签署出境标准合同并申请出境安全认证（通常亦属于对自身合规要求基准高的企业）；或者（2）只选择申请出境安全认证（ 标准合同与安全认证二选一）。

此外，对于有规定明确要求承担数据本地化义务的数据处理者，在同时触发安全评估申报义务的场景下，还应当注意协调数据本地化与数据出境安全评估申报工作。以关键信息基础设施运营者为例，原则上其应当将在境内收集和产生的个人信息存储在境内，当其确实存在涉及跨境传输员工个人信息时，考虑到数据出境安全评估申报后也可能存在不予通过的风险，所以从风险规避的角度可以考虑在申报安全评估的同时进行本地化整改，避免发生申报未能通过后仍进行跨境传输员工个人信息而受到行政处罚的风险。

在“（三）按照国家网信部门制定的标准合同与境外接收方订立合同”方面，现阶段企业可以参考国家互联网信息办公室于2022年6月30日公布的《个人信息出境标准合同规定（征求意见稿）》规划与境外接收方签署的合同内容，同时保持关注此类文件或监管政策的动态。

值得注意的是，若境内个人信息处理者如前述需要“通过国家网信部门组织的安全评估”后方可跨境传输员工个人信息的，那么根据《数据出境安全评估办法》的规定，则应当事先在与境外接收方订立的法律文件中对接收方将出境数据再转移给其他组织、个人的约束性要求作出明确约定。而企业在起草该等与境外接收方拟订立的相关法律文件（如“数据跨境传输协议”）时，一方面可参考《个人信息出境标准合同规定（征求意见稿）》中“个人信息出境标准合同”模板，另一方面也应当参考《数据出境安全评估办法》补充相关重点内容。

就“（二）按照国家网信部门的规定经专业机构进行个人信息保护认证”而言，该认证原则上为自愿委托进行，2022年11月4日，国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证并发布了《个人信息保护认证实施规则》，规定了对个人信息处理者开展包括个人信息跨境在内等处理活动进行认证的基本原则和要求，明确提出开展跨境处理活动的个人信息处理者还应当符合此前发布的且被列为认证依据之一的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》

企业合规

（TC260-PG-20222A）的要求。结合目前发布的认证规则与指南等文件，针对个人信息跨境处理活动进行的个人信息保护认证的基本要求和程序流程已经基本明确，故建议企业在涉及员工个人信息跨境处理活动时参考落地。

3. 征得员工的单独同意

除具备前述前提条件以外，企业还应向员工告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得员工就其个人信息跨境传输行为的单独同意。实践上企业可以考虑通过结合公司实际情况及需求，不仅限于完善已有的劳动合同和员工手册，同时也应设计如个人信息跨境声明与授权同意书等单独文件，以类似方式征得员工单独同意，做到内部有章可循。

二、结语

企业员工个人信息保护是实现企业数据隐私合规治理中的一个不可或缺的环节。处理员工个人信息的场景丰富多元，部分细节在实践中（尤其在当前疫情背景下）可能被企业忽视。企业可以参考以下几个方面通过制作合规义务清单的方式，按照员工进入企业流程的相关步骤，或对照员工个人信息全生命周期各环节的操作指引，针对合规流程中的各个节点进行梳理与分析：

收集方面，确保个人信息收集前具备明确的合法性事由（如是为人力资源管理所必需、或是为订立合同所必需等），通过隐私政策或员工个人信息保护声明等详细披露员工个人信息的处理情况，并在员工手册中增加员工个人信息保护的章节。此外，在某些需要征得员工授权同意的场景中，企业也应做到在依法、合规征得员工同意，不得强迫员工提供其个人信息，或以解雇为由威吓员工提供。

使用方面，严控个人信息处理范围为劳动合同所必需的范围、实施人力资源所必需的范围或员工的授权同意范围内，与可接触、处理员工个人信息岗位的人员（比如财务人员、档案管理人员、人事部员工等）签署保密协议，做到严格限定控制访问和使用员工个人信息权限。同时，企业应明确员工个人信息保护负责人，并充分落实对员工、高层管理人员合规意识提升的教育与培训工作，加深相关岗位员工的个人信息保护理念，使其充分理解自身处理员工个人信息的义务和未按要求处理时对公司和对个人分别可能产生的后果。

存储方面，明确员工个人信息存储时限，确保除法律规定情形外，存储时间应最小必要，对于超出存储期限的员工个人信息应及时进行删除或匿名化处理；对于敏感个人信息甚至生物识别信息，则依法采取加密存储、分开存储等安全保障措施。

委托处理及向其他个人信息处理者共享员工个人信息方面，应充分调动内外部资源，建立有效的安全评估机制：确保在书面明确划分的安全责任的同时，落实对受托方或

企业合规

上市公司治理

来源：公众号“中伦视界”

我国上市公司独立董事制度建设起始于2001年8月中国证券监督管理委员会（下称“证监会”）发布的《关于在上市公司建立独立董事制度的指导意见》，后续通过2005年《公司法》的修订、2022年《上市公司独立董事规则》（下称“《独董规则》”）的公布以及上市公司协会、沪深交易所发布的相关行业规范文件，对上市公司独立董事制度内容进行了不断的丰富和完善。在二十余年的发展过程中，上市公司独立董事制度实践所反映出的独立董事定位不清晰、责权利不对等、监督手段不够、履职保障不足等制度性问题，都在呼唤更完备的制度出台。

2021年，康美药业证券虚假陈述案件的集体诉讼中，康美药业的独立董事被判定在投资者损失5%的范围内承担连带赔偿责任，由此引发从学术界到实务界的广泛探讨，独立董事的权责利的失衡也催生了一批上市公司独立董事辞职热潮。随着资本市场改革的不断纵深推进，进一步优化上市公司独立董事制度、切实回应市场需求迫在眉睫。

在此背景下，国务院办公厅于2023年4月14日印发了《关于上市公司独立董事制度改革的意见》（国办发〔2023〕9号，下称“《改革意见》”），证监会于同日发布《上市公司独立董事管理办法（征求意见稿）》（下称“《管理办法征求意见稿》”）。经过意见征询及进一步调整，证监会于2023年8月4日正式公布《上市公司独立董事管理办法》（下称“《管理办法》”），对原有的独立董事规则进行了全面修订和细化，并将于2023年9月4日起施行。

以下为《管理办法》全文逐条分析与解读。

序 言

上市公司独立董事管理办法

（2023年7月28日中国证券监督管理委员会第5次委务会议审议通过）

上市公司治理

解读：与现行《独董规则》相比，制度调整的对象由“为规范上市公司行为”调整为“为规范独立董事行为”，规范目的由“促进上市公司独立董事尽责履职”调整为“充分发挥独立董事在上市公司治理中的作用，促进提高上市公司质量”，进一步明确《管理办法》的制度目的着眼于上市公司独立董事的行为和作用，并将《改革意见》纳入规范依据。

解读：《管理办法》中独立董事的身份定义，在《独董规则》的基础上进一步明确“独立性”的判断原则，明确独立董事与上市公司及其主要股东之间应不存在“直接或者间接利害关系”或“其他可能影响其进行独立客观判断关系”，同时明确独立董事与上市公司的实际控制人之间亦不得存在该等关系。此外，第二款内容进一步强调上市公司独立董事的履职行为的独立性，应独立于上市公司及其主要股东和实际控制人的影响。

上市公司治理

解读：本条对独立董事的职责定位进行了高度概括，强调了独立董事对于上市公司及其全体股东的忠实与勤勉义务，明确了独立董事在董事会中“参与决策、监督制衡、专业咨询”的职责定位，以期通过发挥独立董事的“关键少数”作用有效提升上市公司治理水平。

“参与决策”，是基于独立董事作为董事会成员，应与其他董事共同参与公司董事会的决策事项；“监督制衡”，是基于独立董事的独立性，要求其在履职过程中尤其注重上市公司与其控股股东、实际控制人、董事、高级管理人员及其他关联方之间的利益制衡，维护上市公司及其中小股东利益；“专业咨询”，是基于独立董事的专业性，充分发挥独立董事所具备的专业优势，在上市公司的董事会及其下属专业委员会中积极发挥主导作用，使其专业技能切实助益于相关事项的决策判断。

与《独董规则》第五条“关注中小股东的合法权益不受损害”相比，《管理办法》要求独立董事要更为主动地“保护中小股东合法权利”；此外，与《独董规则》第五条以及《管理办法征求意见稿》相比，正式版《管理办法》删除了句末保护中小股东合法权益“不受损害”，以免对上市公司独立董事的制度作用进行过分延伸或不当解读。

解读：明确上市公司全面开展独立董事制度建设的合规要求，将适用法律、行政法规、证监会以及所属交易所的业务规则作为制度依据；强化独立董事依法履职基础，明确上市公司应提供独立董事履职的必要保障，保障的具体内容见第四章相关规定。

上市公司治理

解读：延续此前规定，明确了上市公司董事会下设审计委员会、提名委员会、薪酬与考核委员会中独立董事应过半数并担任召集人，其中审计委员会的召集人应为会计专业人士的独立董事。

值得关注的是，《管理办法》新增审计委员会成员中应不包括上市公司高级管理人员董事的原则要求。从文字表述来看，《改革意见》中要求审计委员会“成员全部由非执行董事组成”，而《管理办法》要求“审计委员会成员应当为不在上市公司担任高级管理人员的董事”，在人员认定的口径上并不完全一致，有待监管部门后续厘清界限，以利上市公司实际操作。

（第六条见下页）

解读：本条系对独立性要求的详细表述，以负面列举的形式明确了独立董事任职的“否定性”情形。具体而言，相较《独董规则》增加了两种不得担任独立董事的情形，即“（四）在上市公司控股股东、实际控制人的附属企业任职的人员及其配偶、父母、子女”和“（五）与上市公司及其控股股东、实际控制人或者其各自的附属企业有重大业务往来的人员，或者在有重大业务往来的单位及其控股股东单位、实际控制人任职的人员”，但《管理办法》并未对“重大业务往来”进行定义，因此其判定尺度还有待后续实践验证。

本条还丰富了对中介机构服务人员担任独立董事的限制情形，将《独董规则》下的“为上市公司或者其附属企业提供财务、法律、咨询等服务的人员”范围具体明确为“提供财务、法律、咨询、保荐等服务的人员”，且该等人员的具体范围进一步明确为“中介机构的项目组全体人员、各级复核人员、在报告上签字的人员、合伙人、董事、高级管理人员及主要负责人”。在独立董事的独立性判断的依据方面，《管理办

上市公司治理

法》也增加了适用交易所的相关业务规则要求。

最后一款，《管理办法》确立了独立董事的独立性自查制度以及上市公司董事会对独立董事独立性的定期评估和披露制度。

上市公司治理

解读：本条系对独立董事任职条件的正面列举，其中在第（四）项新增了“会计”工作经验，第（五）项新增了对独立董事的道德规范要求，第（六）项新增了“中国证监会规定、证券交易所业务规则”所规定的其他条件。

解读：本条将独立董事在境内上市公司兼任独立董事的数量从最多五家下调至三家，以期独立董事能够有更充沛的时间和精力在其原有职务之外投身各上市公司的独立董事工作之中。从表述来看，本条限定的范围是“境内上市公司”，如独立董事同时在境外上市公司担任独立董事职务，应不属于本条限定的情形，但独立董事“应当确保有足够的时间和精力有效地履行独立董事的职责”。

上市公司治理

解读：新增“依法设立的投资者保护机构可以公开请求股东委托其代为行使提名独立董事的权利”以丰富独立董事提名人范围，并新增提名回避机制，即“提名人不得提名与其存在利害关系的人员或者有其他可能影响独立履职情形的关系密切人员作为独立董事候选人”，以从提名阶段即嵌入对独立董事的独立性要求。

解读：要求提名人对被提名独立董事任职条件的满足情况发表意见，并根据前文第七条的规定增加了提名人充分了解被提名独立董事“有无重大失信等不良记录”的要求；同时，要求被提名人对符合独立性和独董任职条件进行公开声明，也使得交易所业务规则层面的独立董事候选人声明与承诺实践在更高的制度层面落实了依据。

解读：细化独立董事候选人选聘程序，董事会下设提名委员会需发表明确的审查意见。同时在《独董规则》的基础上，进一步明确交易所对独立董事候选人有权进行独立审查和异议，被交易所提出异议的独立董事候选人不可进入选举程序。

上市公司治理

解读：上市公司在选举两名以上独立董事时“应当”适用累计投票制；上市公司根据自身章程的规定，“可以”选择适用差额选举制。同时明确独立董事选举事项作为中小股东单独计票并披露的事项范围。

解读：延续《独董规则》的规定，六年任期限制也是保障“独立性”的要素之一。

解读：新增独立董事对于上市公司解聘有异议的，上市公司应及时进行信息披露。同时，明确因独立董事不再符合独立性或任职条件而导致的辞任或解聘，导致上市公司的内部治理机构人员组成不再满足相关规定的，须在期限内完成补选。

上市公司治理

解读：强化了上市公司对独立董事主动辞职情形下的信息披露义务，信息披露范围包括辞职原因及关注事项。此外，明确独立董事的主动辞职可能导致上市公司的内部治理机构人员组成不再满足相关规定的，该独立董事的继续履职义务以及上市公司限期补选要求。

解读：此系独立董事制度建设内容之一，也是《改革意见》首提的“探索建立独立董事信息库”的具体实践。具体的制度要求及选聘程序还有待上市公司协会进一步明确。

上市公司治理

解读：相较于《独董规则》，《管理办法》不再以列举的方式规定独立董事发表独立意见的事项范围，而是通过匡定独立董事的职权责范围、优化特别职权事项的方式重构独立董事职责重点。前三项职责内容分别与《管理办法》第三条规定的独立董事“参与决策、监督制衡、专业咨询”的职责定位相呼应。

解读：独立董事职责的核心是在董事会决策过程中发挥其决策与监督作用，因此，《管理办法》项下独立董事“权”的行使主要通过本条规定的特别职权、第二十三条规定的“事前认可”、第二十四条规定的“独立董事专门会议”以及第二十五条规定的“专门委员会”制度完成。

结合实践需要，《管理办法》将《独董规则》的“独立聘请外部审计机构和咨询机构，对公司的具体事项进行审计和咨询”进一步丰富，独立董事可以“独立聘请中介机构，对公司具体事项进行审计、咨询或者核查”，并降低了行使该职权的同意比例，不再要求全体独立董事同意，改为二分之一以上独立董事同意即可。同时，对于该项特别职权的行使或行使受限情形，还要求上市公司及时进行信息披露。

从特别职权的行使条件来看，《独董规则》规定除前款聘请外部审计和咨询机构外的其他独立董事特别职权的行使应至少取得全体独立董事二分之一以上同意；《管

上市公司治理

理办法》在本条第二款仅对行使特别职权前三项内容的行使规定须经全体独立董事过半数同意，但对于第（四）至第（六）项特别职权所需取得的独立董事同意数量未作明确，存在可由任一独立董事行使的解读空间，但还有待未来实践进一步判断。

解读：本条是独立董事履职的具体方式表述，也是上市公司应提供的履职保障的具体要求。

解读：在《独董规则》基础上进一步细化独立董事亲自出席董事会会议的要求，并将未能亲自出席董事会导致独立董事撤职的会议次数从三次调减到两次，并明确董事会应对未亲自履职的独立董事进行解聘的时限要求。

解读：对于独立董事的非同意票，明确了独立董事应向公司进行说明的内容范围，至少应包括“具体理由及依据、议案所涉事项的合法合规性、可能存在的风险以及对上市公司和中小股东权益的影响”；同时明确上市公司对该等异议意见的信息披露和保存要求。

上市公司治理

解读：对上市公司的关联交易、董事及高管的任免与薪酬等重大事项，独立董事应当予以持续跟踪和关注，这也是强化独立董事履职要求的组成部分。同时，赋予独立董事就上市公司触发相关事项后未及时说明或未及时信批情形向证监会和交易所进行报告的权利。

解读：在《独董规则》“重大关联交易应由独立董事事前认可”的基础上，进一步丰富了应取得独立董事事前认可的事项范围，但删除了对“聘用、解聘会计师事务所”的独立董事事前认可要求。

二十四条解读：在《独董规则》“重大关联交易应由独立董事事前认可”的基础上，进一步丰富了应取得独立董事事前认可的事项范围，但删除了对“聘用、解聘会计师事务所”的独立董事事前认可要求。

上市公司治理

解读：《管理办法》对独立董事在上市公司董事会下设的各专门委员会的履职要求作出了细化规定，并明确上市公司的章程及专门委员会的工作规程文件应涵盖的事项范围和基本内容。

二十六条解读：细化董事会下设审计委员会的职责内容，明确审计委员会事前认可事项的范围，并将上市公司财务负责人的聘任或解聘的事前认可权交由审计委员会行使；此外，本条第二款明确了审计委员会的会议召开要求及法定人数，进一步规范审计委员会的会议规程。

上市公司治理

解读：《管理办法》并未规定董事会下设提名委员会就任何事项享有“事前认可权”，本条细化了提名委员会的职责内容，明确提名委员会向董事会进行建议的事项范围，同时增加提名委员会意见未被采纳或未被完全采纳情形下董事会决议应予记载的事项及披露要求。

上市公司治理

解读：《管理办法》并未规定董事会下设薪酬与考核委员会就任何事项享有“事前认可权”，本条细化了薪酬与考核委员会的职责内容，明确薪酬与考核委员会向董事会进行建议的事项范围，明确上市公司的股权激励计划、员工持股计划的制定或变更，激励对象获授权益、行使权益条件成就等事项均应经薪酬与考核委员会审议并向董事会提出建议；同时增加薪酬与考核委员会意见未被采纳或未被完全采纳情形下董事会决议应予记载的事项及披露要求。

解读：本条为正式版《管理办法》新设，此前《管理办法征求意见稿》中并无本条规定。针对未设提名委员会、薪酬与考核委员会的上市公司，增加由独立董事专门会议进行代替履行的制度规定。

上市公司治理

解读：《管理办法》吸收了《上市公司独立董事履职指引》中关于独立董事最低工作时限的要求，并进一步丰富独立董事履行职责的具体方式，细化了独立董事的工作要求。

解读：《管理办法》吸收整合了《上市公司独立董事履职指引》中关于独立董事工作笔录以及董事会会议记录的相关规定，并增加了对各专门委员会及独立董事专门会议的会议记录制作要求，并将独立董事工作记录及上市公司向独立董事提供资料的保存时间由五年调整至十年。

上市公司治理

解读：《管理办法》借鉴并进一步提升了《上市公司独立董事履职指引》中关于独立董事就上市公司主动退市、利润分配及现金分红方案事项征询中小股东意见的相关规定，要求进一步健全独立董事与中小股东的沟通机制，以切实保障独立董事“保护中小股东利益”的渠道畅通。

解读：结合《管理办法》对独立董事职权范围的调整，对《独董规则》及《上市公司独立董事履职指引》中规定的年度述职报告内容做了系统化更新。年度述职报告的披露时间，也从《管理办法征求意见稿》中的“与年度股东大会通知同时披露”调整为“最迟应当在上市公司发出年度股东大会通知时披露”。

上市公司治理

解读：《管理办法》将《独董规则》和《上市公司独立董事履职指引》中参加培训的要求进一步提高，要求独立董事持续加强证券知识学习，以不断提供履职能力；同时将独立董事培训服务的提供者，由“中国证监会及其授权机构”“证券监管部门认可的相关机构组织”明确为“中国证监会、证券交易所、中国上市公司协会”。