ICSXX.XXX.XX CCSXXX 团 体 标 准 T/CFISXXXX—XXXX 互联网企业合规建设评价体系 （征求意见稿） （本草案完成时间：2022-10-08） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX-XX-XX发布 XXXX-XX-XX实施 中国网络社会组织联合会发布T/CFISXXXX—XXXX I 版权保护文件 版权所有归属于该标准的发布机构。除非有其他规定，否则未经许可，此发行物及其章节不得以其他形式 或任何手段进行复制、再版或使用，包括电子版，影印件，或发布在互联网及内部网络等。使用许可可于 发布机构获取。 T/CFISXXXX—XXXX II目次 1适用范围.............................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3术语和定义.........................................................................................................................................................1 4评价机制.............................................................................................................................................................2 5评价指标.............................................................................................................................................................6 附录A名词解释..........................................................................................................................................27 附录B相关法律法规依据..........................................................................................................................29 参考文献...............................................................................................................................................................34 T/CFISXXXX—XXXX 1互联网企业合规建设评价体系 1适用范围 本标准规定了互联网企业合规建设的术语和定义，互联网企业合规建设评价体系框架、实施步骤、评 价方式及持续改进的建议。 本标准适用于互联网企业，包括互联网平台、数字内容与媒体、互联网信息等企业(以下简称“企业”)。 法律法规对企业合规管理另有专门规定的，从其规定。行业监管部门对企业境外经营合规管理另有专门规 定的，有关行业企业应当遵守其规定。 2规范性引用文件 GB/T35770-2017《合规管理体系指南》 ISO37301:2021《合规管理体系要求及使用指南》（Compliancemanagementsystems—Requirementswith guidanceforuse）国际标准 国际标准化组织ISO19600《合规性管理体系标准-指南》框架体系 3术语和定义 3.1互联网企业Internetenterprise 设立并提供互联网相关产品与服务的企业，包括但不限于各类互联网平台、网络服务提供商、互联网 服务提供商、互联网内容提供商、应用服务提供商、互联网数据中心、应用基础设施提供商等。 [注：为表述简便，本文件所指的“企业”如无特殊说明，均指互联网企业。] 3.2合规Compliance 企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德 规范和企业依法制定的章程及规章制度等要求。 3.3合规风险Compliancerisk 企业或其员工因违规行为遭受法律制裁、监管处罚、重大财产损失或声誉损失以及其他负面影响的可 能性。 3.4竞争合规CompetitionCompliance 互联网企业及其员工的经营管理行为符合《反垄断法》《反不正当竞争法》等法律、法规、规章和指 南及其他规范性文件（以下统称竞争法）规定的要求。 3.5环境影响评价Environmentalimpactassessment 是指对规划和建设项目实施后可能造成的环境影响进行分析、预测和评估，提出预防或者减轻不良环 境影响的对策和措施，进行跟踪监测的方法与制度。 3.6平台platform 通过网络信息技术，使相互依赖的双边或者多边主体在特定载体提供的规则下交互，以此共同创造价 值的商业组织形态。 3.7平台经营者undertakingsoftheplatform 向自然人、法人及其他市场主体提供经营场所、交易撮合、信息交流等互联网平台服务的经营者。 3.8平台内经营者in-platformundertakings 在平台内提供商品或者服务的经营者。平台经营者在运营平台的同时，也可能直接通过平台提供商品。 T/CFISXXXX—XXXX 23.9合格conformity 满足第三方评估机构提出的要求。 3.10不合格nonconformity 未满足第三方评估机构提出的要求。 3.11纠正措施correctiveaction 为了消除造成不合格的原因并防止其再发生所采取的措施。 3.12持续改进continuousimprovement 提高合规的循环活动。 4评价机制 4.1评价目标 以倡导合规经营价值观为导向，以推动互联网行业健康发展为目标，以促进互联网企业自我规范管理 为着力点，围绕合规战略规划、合规主体责任、合规风险识别和合规整改措施，建立契合互联网企业核心 业务流程的合规建设评估体系，形成企业自评估与第三方评估相结合的合规评估机制，培育合规文化，强 化网站平台信息内容管理、平台内经营者监督审核、网络安全保障、数字市场秩序维护等互联网企业主体 责任，健全管理制度，完善运行规则，切实防范化解各种风险隐患，积极营造清朗网络空间。 4.1.1合规目标的设定与策划 互联网企业应在相关职能和层级上建立合规目标。 合规目标应： ——与战略方向一致； ——适宜时，可测评； ——结合适用的要求； ——予以传达； ——予以监督； ——适宜时，予以更新； ——作为文件化信息随时可调取使用。 互联网企业策划如何实现合规目标时，应确定： ——做什么； ——需要什么资源； ——谁负责； ——如何完成； ——结果如何评价。 4.1.2目标实现过程中的风险应对 策划实现合规建设目标时，应结合互联网企业所处环境以及利益相关方的需求，识别和应对可能发生 的合规风险，从而： ——确保合规管理能够实现预计目标； ——预防或者减少非预期的影响； ——实现持续改进。 应策划以下活动： ——应对风险的措施； ——如何将措施纳入合规管理过程并实施； ——评价这些措施的有效性。 T/CFISXXXX—XXXX 34.2评价原则 4.2.1标准性原则 互联网企业合规建设评价体系应参照本标准规定的评估框架进行实施。 4.2.2可控性原则 评估方在评估实施过程中，应严格按照标准的评估方法对服务过程、人员和工具等进行控制，保证合 规建设评估实施过程的安全可控。 4.2.2.1服务可控性 企业委托第三方评估机构开展合规建设评估的，应要求评估方在评估工作开始前介绍评估服务流程， 明确需要协调配合的工作内容，确保评估工作顺利开展。 4.2.2.2人员与信息可控性 所有参与评估的人员应签署保密协议，应对评估过程数据和结果数据严格管理，未经被评估方授权， 第三方评估机构不得泄露给任何单位和个人。 4.2.2.3过程可控性 评估方应成立评估实施团队，采取项目组长负责制，应对评估工作进行记录并形成相关记录文档，达 到项目过程的可控。 4.2.2.4工具可控性 评估方应确保评估工具如工具软件、测试策略等的可操作性，并在评估实施前通告用户，获得被评估 方许可后方可实施评估。 4.2.3最小影响原则 评估方在评估过程中应采用最小影响原则，对于评估所需要的数据与参考资料，需与被评估方沟通并 进行应急备份。 4.3评价方式 4.3.1企业自评估 在开展效果评价时，企业