1、卷首语卷首语Preface生命是一个创造的过程，充满不同的未知问题；提问是一个深思的过程，产生更多的灵感火花。“木受绳则直，金就砺则利。”企业在经营管理中尤其要注意合规性，遵循规则的边界，才能将风险隐患消灭于萌芽状态，为持续发展奠定基础。但到底什么是“合规”？这确实是一个很复杂的问题，外部需要符合国家法律规范的要求，内部需要遵循企业的规章制度，还需要结合业务情况，关注重点领域的专项合规建设。面对复杂的领域和浩如烟海的信息，如何快速入门合规成为一个重要话题，或许可以通过简短的问答模式来了解这个领域所需要的基础 信 息。基 于 此，ComplianceCompliance ClubClub 联 合

2、 星 川 律星 川 律 政政ASTROLEGALASTROLEGAL，编辑了合规名词解释白皮书（第一辑）阐述合规领域遇到的高频词汇，帮助大家从概念入手，了解合规,希望能成为你的合规词典。此部分的 20 个名词解释主要涵盖了合规风险、组织治理、数据合规领域的名词，后续还会增加建工合规、金融合规等领域的名词解释，不断扩充。敬请持续关注！主编：Gabrielle编委会编委会主编主编Gabrielle郑玮编委会成员编委会成员刘卓欢 Shelley孟博梅江 May编著单位编著单位北京象星律师事务所Compliance Club特别鸣谢特别鸣谢Compliance Club 联合创始人：吴冰沁 Cicel

3、y版权版权北京象星律师事务所、Compliance Club 保留对本白皮书的所有权利。未经权利人书面许可，任何人不得以任何形式或通过任何方式复制或转载本白皮书内容。如您欲进一步了解本白皮书所涉及的内容，您可以通过下列联系方式联系我们。May 微信二维码星川 ASTROLEGAL 官方公众号介绍介绍C Co ommp pl li ia an nc ce e C Cl lu ub b一个合规与社交相结合的组织，并致力打造陪伴 Compliance 小伙伴深度社交、智识成长、心灵陪伴的社群。目前搭建了 6 个对Compliance 有足够 passion 和 love 的垂直社群，辐射全国各地，少

4、量境外，社群共计 2000 余名。Compliance Club 强调以共创、赋能为目的。Club 旨在将不同行业、不同领域的优秀人才聚集起来，通过“学人之长、补己之短”、碰撞火花。坚信用集体的力量帮助每个人成长，从而得到集体的成长。北京象星律师事务所北京象星律师事务所北京象星律师事务所是一家科技创新型综合法律服务机构，专注于重大、疑难商事诉讼，结合科技前瞻优势，为企业提供全面的法律服务方案，通过把控法律服务核心环节，围绕企业在风险管理、合规稽查、争议解决、资产清收、刑事风险等一系列问题，并着力于提供一站式、全流程、精准化的法律服务方案和解决方案。编委会成员编委会成员GabrielleGabr

5、ielle某科技公司合规法务郑玮郑玮北京象星律师事务所 主任/创始人星川 ASTROLEGAL 创始人在法律与科技之间反复横跳的法律人中国政法大学法律硕士联合导师中国政法大学互联网治理研究中心 研究员商法2022 年度律师新星“RisingLawyer”专业领域：企业数字化转型中的网络安全与数据合规上市公司的行政与刑事风险识别与控制企业日常经营合规管理编委会成员编委会成员刘卓欢刘卓欢 ShelleyShelley广东君和政通律师事务所 律师专业领域：投融资并购重组；公司治理与商业模式合规；金融诉讼；金融不良资产投资与处置孟博孟博本科、研究生均学习金融学，毕业后进入事务所从事审计工作现就职于央企

6、合规管理部内控风险岗位擅长资料归纳整理、内控风险领域合规体系建设、公众号运营梅江梅江 MayMay自媒体法律人Compliance Club 创始人合规小白的锤炼计划创始人小红书合规领域垂直赛道头部博主Compliance Club 联合创始人行业头部外企从事 Legal&Compliance 工作社群“法务合规任意门”主理人擅长领域：外企合规、反垄断、反不正当竞争吴冰沁 Cicely目录目录Contentspage|01目录目录Contents101.合规风险合规风险合规风险般是指企业及其员工，在企业经营管理过程中未遵守相关合规规则和准则而可能导致遭受法律制裁、监管处罚、造成经济或者声誉损失

7、以及其他负面影响的风险。合规应当遵守的规则和准则的范畴，包括法律、行政法规、部门规章和规范性文件，还包括行业准则、国际条约和规则，以及公司内部制定的行为规范。针对合规风险，相关法律规范也进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义合规管理体系要求及使用指南国家市场监督管理总局国家标准化管理委员会2022.10.122022.10.123.24 合 规 风 险compliance risk 因 未遵守组织（3.1)合规义务（3.25）而发生不合规（3.27）的可能性及其后果。中小企业合规管理体系有效性评价中国企业评价协会2022.5.232022

8、.7.13.2 合 规 风 险 compliance risk 因 未遵 守组织合规义务（3.3）而发生不合规（3.5）的可能性及其后果。中央企业合规管理办法国务院国有资产监督管理委员会2022.8.232022.10.1第三条合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。企业境外经营合规管理指引国家发展改革委外交部商务部人民银行国资委外汇局全国工商联2018.12.262018.12.26第二十二条合规风险，是指企业或其员工因违规行为遭受法律制裁、监管处罚、重大财产损失或声誉损失以及其他负面影响的可能性。202.02.风险承受

9、度风险承受度风险承受度一般是指企业能接受的风险限度。例如企业在具体运营过程中会遇到财务风险、法律风险等，企业需要采取措施来进行处置，使得风险控制在企业的可承受度内。企业内部控制基本规范对风险承受度就进行了界定，具体如下：规范名称规范名称发布主体发布主体发布时间发布时间生效时间生效时间定义定义企业内部控制基本规范财政部证监会审计署银监会保监会2008.05.222009.07.01第 二十条风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。03.风险规避风险规避风险规避般是指当出现了超出企业风险承受度的风险时，企业会停止相关业务活动。例如企业内部审计发现企业出现

10、了违规宣传行为，企业就会立即停止此类行为，这就是个风险规避的过程。企业内部控制基本规范对风险规避就进行了界定，具体如下：规规范名称范名称发布时间发布时间生生效时间效时间定定义义企业内部控制基本规范2008.05.222009.07.01第 二十六条风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动。304.风险降低风险降低风险降低一般是指企业会采取适当措施来降低风险，将其控制在风险承受度之内。例如当企业经过审计后发现内部的信息安全系统存在较高风险，可以通过购买新的防火墙等安全产品来提升安全性，降低风险，这个过程就属于风险降低。企业内部控制基本规范对风险降低就进行了界定

11、，具体如下：05.风险分担风险分担风险分担一般是指通过借助外部力量分散风险，使得风险可控在承受度范围内。例如网络安全日益受到重视，为了避免高额的罚款，很多企业会采购网络安全保险来分散相关风险。企业内部控制基本规范对风险分担就进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义 企 业 内部 控 制 基本规范财政部证监会审计署银监会保监会2008.05.222009.07.01第 二十六条风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风 险承受度之内的策略。规规范名称范名称发布主体发布主体发布时间发布时间生生效

12、时间效时间定定义义企业内部控制基本规范财政部证监会审计署银监会保监会2008.05.222009.07.01第 二十六条风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。406.风险承担风险承担风险承受一般是指企业对其风险承受度之内的风险不会采取降低风险的措施，而是选择承受此类风险。毕竟没有企业可以实现无风险运营，如果风险在企业的承受度范围之内，而降低风险的措施成本过高，企业也可以选择风险承受。企业内部控制基本规范对风险承受就进行了界定，具体如下：07.日常监日常监督督日常监督般是指企业对其内控情况进行的常规性监督。例如企业制度规定

13、内部审计机构需要每个月对公司内控制度的落实情况进行检查。企业内部控制基本规范对日常监督就进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义企业内部控制基本规范财政部证监会审计署银监会保监会2008.05.222009.07.01第 二十六条风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义企业内部控制基本规范财政部证监会审计署银监会保监会2008.05.222009.07.01第 四十四条日常监督是指企业对建立与实施内部控制的

14、情况进行常规、持续的监督检查。50 08.8.专项监督专项监督专项监督一般是指企业对内部某些领域的重大变化进行针对性监督。例如企业的 CFO 离职后，会进行离职审计监督，这就是一种专项监督。企业内部控制基本规范对专项监督就进行了界定，具体如下：09.组织架构组织架构组织架构一般是指公司内部的人员机构设置及相关制度安排。例如公司内部的董事会、监事会、经理层等相关机构的设置及人员职责编制等都属于公司的组织架构的内容。企业内部控制应用指引第 1 号组织架构对组织架构就进行了界定，具体如下：规范名称发布主体发布时间生效时间定义 企 业 内部 控 制 基本规范财政部证监会审计署银监会保监会2008.05

15、.222009.07.01第 四十四条专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义 企 业 内部 控 制 应用 指 引 第1 号 组织架构财政部中 国 证 券 监督 管 理 委 员会 审 计 署 中国 银 行 业 监督 管 理 委 员会（已 撤销)中 国 保险 监 督 管 理委 员 会(已撤销)2020.4.152010.4.15第二条组织架构，是指企业按照国家有关法律法规、股东(大)会决议和企业章程，结合本企业实际

16、，明确董事会、监事会、经理层和企业内部各层级机构设置、人员编制、职责权限、工作程序和相关要求的制度安排。610.10.深度合成技术深度合成技术深度合成技术一般是指利用各种生成合成类算法制作各类网络信息的技术。例如，目前深度合成技术有广泛的应用，例如人工技术合成演员形象(歌手洛天依)、各种捏脸软件创造出新的人物形象、利用 AI 音乐软件创作音乐等都使用了深度合成技术。互联网信息服务深度合成管理规定对深度合成技术进行了明确的界定，具体如下：规范名称规范名称发布主体发布主体发布时间发布时间生效时间生效时间定义定义 互 联 网信 息 服 务深 度 合 成管理规定国家互联网信息办公室工业和信息化部公安部

17、2022.11.252023.1.10第二十三条本规定中下列用语的含义：深度合成技术，是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术，包括但不限于：（一）篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术；（二）文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技 术；（三）音乐生成、场景声编辑等生成或者编辑非语音内容的技术；（四）人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术；（五）图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术；（六）三维重建、数字

18、仿真等生成或者 编辑数字人物、虚拟场景的技术。711.生成生成式人工智能式人工智能生成式人工智能一般是指基于算法、模型、规则生成图文、视频等内容的技术，属于生成合成类技术，典型的例子就是 ChatGPT(问答)、Midjournry(绘画)等新兴的大型语言模型。生成式人工智能服务管理办法(征求意见稿)对生成式人工智能进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义生成式人工智能服务管理办法（征求意见稿）国家互联网信息办公室2023.04.11/第二条本办法所称生成式人工智能，是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。81

19、2.12.个人信息个人信息个人信息一般是指能够识别或者关联到个的相关信息。信息安全技术个信息安 全规范提出了两个个信息判定维度，第一个是识别，即从信息到个人。例如每个人的身份证号都是不同的，那么这个信息本身的特殊性就可以直接识别出特定个体，所以身份证号就是个信息。第二个是关联，即从个到信息。例如个人的通话记录，这是个体活动中产生的信息，如果结合了其他信息，例如手机的唯一设备标识码、手机号等信息，就有识别个体的可能性，所以也属于个人信息。相关法律规范对个人信息进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义 中 华 民 共和 国 个人 信 息保护法全

20、国人民代表大会常务委员会2021.8.202021.11.1第四条个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。中 华人民共和国 民 法典全国人民代表大会2020.5.282021.1.1第 一 千零三十四条个人信息是以电子或 者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息、包括自然人的姓名、出生日期、身份证 件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。信息安全技术个人信息安全规范国家市场监督管理总局国家标准化管理委员会2020.3.62020.10.13.1 个信息以电子或者其他方式记录的能

21、够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注 1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注 2：关于个人信息的判定方法和类型参见附录 A。注 3：个信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身 份 或 者 反 映 特 定 自 然 人 活 动 情 况 的，属于个信息。913.去标识化去标识化去标识化一般是指已经对个人信息进行了技术处理，使得单看此

22、个人信息无法联系到个人的过程。例如，很多快递单上的手机号后四位会用星号代替就是最常见的一种去标识化方式，如果不借助其他信息，难以从这串加星号的数字直接识别到个人。相关法律规范也去标识化进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义 信 息 安全 技 术 个人 信 息 去标 识 化 效果 评 估 指南国 家 市 场监 督 管 理总 局 中 国国 家 标 准化 管 理 委员会2023.3.172023.10.13.3去标识化通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。中 华 人民 共 和 国个 人 信

23、息保护法全国人民代表大会常务委员会2021.8.202021.11.1第七十三条本法下列用语的含义：（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无 法识别特定自然人的过程。信 息 安全 技 术 个人 信 息 安全规范国家市场监督管理总局国家标准化管理委员会2020.3.62020.10.13.15 去标识化通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。注：去标识化建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信 息的标识。信 息 安全 技 术 个人 信 息 去标 识 化 指南国家市场监督管理

24、总局中国国家标准化管理委员会2019.8.302020.3.13.3去标识化通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。注：去除标识符与个人信息主体之间关联性。1014.14.匿名化匿名化匿名化一般是指个人信息经过技术处理，彻底不能识别出个体的过程。匿名化之后的个人信息因为完全消除了个体识别可能性，所以不再属于个人信息。目前学界普遍认为没有一种技术能实现绝对的匿名化，毕竟只要掌握了足够多和细颗粒的信息，都可能存在从技术上复原个人信息的可能性。相关法律规范对匿名化进行了界定，具体如下；规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义

25、中华人民共和国个人信息保护法全国人民代表大会常务委员会2021.8.202021.11.1第七十三条本法下列用语的含义：（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。深圳经济特区数据条例深圳市人民代表大会常务委员会2021.7.62022.1.1第二条本条例中下列用语的含义：（七）匿名化，是指个人数据经过处理无法识别特定自然人且不能复原的过程。信息安全技术个人信息安全规范国家市场监督管理总局中国国家标准化管理委员会2020.3.62020.10.13.14 匿名化通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。注：个人信息经

26、匿名化处理后所得的信息不属于个人信息。中华人民共和国个人信息保护法全国人民代表大会常务委员会2021.8.202021.11.1第七十三条本法下列用语的含义：（四）匿名化，是指个人信息经过处理 无法识别特定自然人且不能复原的过程。1115.隐私隐私隐私一般是指每个都不愿意被他知晓的事宜，具有私密性。例如，个的性取向、病史信息等可能对于大多数来讲会属于隐私信息，这种私密性的判定往往会结合社会公众的一般认知和个案价值权衡的综合考虑。隐私可能会存在与个信息的重合部分，例如病例信息既是一种个信息，也可能是个人隐私，而个的面部特征可 能就属于个信息，但并非隐私。民法典特别规定了隐私的含义，具体如下：规范

27、名称规范名称发布主体发布主体发布时间发布时间生效时间生效时间定义定义中华民共和国民法典全国人民代表大会2020.5.282021.1.1第一千零三十二条隐私是自然的私生活安宁和不愿为他知晓的私密空间、私密活动、私密信息。16.个人信息处理者个人信息处理者个信息处理者一般是指能够自主决定处理目的、处理方式的主体。自主决定处理目的和方式是核心的判定标准，例如 APP 开发者为了要求用户实名认证而需要收集用户的手机号进行身份核验，此时 APP 开发者就是个人信息处理者。个人信息保护法也对个人信息处理者进行了界定，具体如下：规范名称规范名称发布主体发布主体发布时间发布时间生效时间生效时间定义定义中华人

28、民共和国个人信息保护法全国人民代表大会常务委员会2021.8.202021.11.1第七十三条本法下列用语的含义：（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。1217.17.SDKSDKSDK 就是软件开发包，一般就是指能帮助软件实现特定功能的一段代码。目前SDK 按照功能可分为许多类型，以推送类 SDK 为例，如果某款 APP 想加入消息推送功能，其无需自行研发实现此功能的代码，只需要嵌入一款推送类 SDK，调用其接口来提供推送服务，可以降低研发成本。相关法律规范对 SDK 进行了界定，具体如下：规范名称规范名称发布主体发布主体发布时间发布时间生效时

29、间生效时间定义定义软件开发包（SDK）个人信息处理规范电信终端产业协会2022.11.252022.11.253.3 软件开发包协助软件开发的软件库，包括相关的代码、文档、范例和工具的集合。移动互联网应用程序SDK安全技术要求及测试方法中国互联网协会2022.8.52022.11.53.2 软件开发包协助软件开发的软件库，通常包括相关二进制文件、文档、范例和工具的集合，简称SDK。网络安全标准实践指南移动互联网应用程序（App）使用软件开发工具包（SDK）安全指引（v1.0-202011）全国信息安全技术标准化委员会2020.11/2.3 软件开发工具包协助软件开发的相关二进制文件、文档、范例

30、和工具的集合，简称SDK。本指南中的 SDK，是指对实现 APP特定功能的代码进行封装，向外提供简捷的调用接口的二进制文件。移动智能终端应用软SDK 安全技术要求电信终端产业协会2020.4.92020.4.93.1.7 软件开发工具包SDK 软件开发工具包为特定的软件包、软件框架、硬件平台、操作系统等创建应用软件的开发工具的集合。1318.18.用户画像用户画像用户画像一般是指基于用户的相关信息，对其形成种预测标签的过程。目前在广告精准场景中，用户画像就得到了广泛的应用，例如美妆广告主往往会根据用户画像特征，圈选特定的喜欢美妆的人群，从而实现更精准地广告营销，降本增效。个人信息安全规范对用户

31、画像进行了界定，具体如下：19.19.自动化决策自动化决策自动化决策一般是指通过计算机程序自动分析评估个人偏好状，况并进行决策。例如，精准广告营销就是一种典型的自动化决策行为，当某用户登录某购物 APP后，APP 会根据用户的日常浏览行为等数据给用户进行画像，分析用户的兴趣喜好，并据此推送相关产品的广告。个人信息保护法对自动化决策进行了界定，具体如下：规范名称规范名称发布主体发布主体发布时间发布时间生效时间生效时间定义定义中华人民共和国个人信息保护法全国人民代表大会常务委员会2021.8.202021.11.1第七十三条本法下列用语的含义：（二）自动化决策，是指通过计算机程序自动分析、评估个人

32、的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义信息安全技术个人信息安全规范国家市场监督管理总局国家标准化管理委员会2020.3.62020.10.13.8 用户画像 通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程。注：直接使用特定自然人的个人信息，形成该自然人的特征模型，称为直接用户画像。使用来源于特定自然人以外的个人信息，如其所在群体的数据，形成该自然人的特征模型，称为间接用户画像。1420.20.关键

33、信息基础设施关键信息基础设施关键信息基础设施一般是指涉及重要行业领域，并会在遭到破坏后对国家安全、国计民生、公共利益产生重大不利影响的重要网络设施、信息系统等。关键信息基础设 施安全保护条例进一步指出，重要行业和领域的主管部门、监督管理部门负责组织认定本行业、本领域的关键信息基础设施，认定后会及时将认定结果通知运营者。相关法律规范也对关键信息基础设施进行了界定，具体如下：规规范名称范名称发布主体发布主体发布时间发布时间生生效时间效时间定定义义关键信息基础设施安全保护条例国务院2021.7.302021.9.1第二条本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。信息安全技术关键信息基础设施安全保护要求国家市场监督管理总局国家标准化管理委员会2022.10.122023.5.13.1 关键信息基础设施 critical informationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。