从事Fintech及金融行业的公司，最先需要考虑的就是反洗钱与反资助恐怖主义。针对此风险，欧盟相继发布了MLD4，MLD5等法律法规；FATF也相继颁布了指引。不遵守规定可能导致主管当局采取执法行动和处以罚款。

洗钱风险可能发生的主要情景包括但不限：

（1）与有政治背景的人士和其他公职人员进行业务往来

（2）与高洗钱和恐怖分子风险的国家和地区的客户进行业务往来

（3）与实际控制权不明，股权架构及其复杂的客户进行交易

（4）与影子银行，或洗钱风险高的金融机构进行交易

（5）进行匿名属性的交易或与代理人进行交易

（6）进行与政府采购有关的交易

（7）大额现金交易

（8）不正常的少量多次形式的交易

（9）不符合商业逻辑的交易

（1）进行严格的自我风险评估，建立风险应对机制和内控政策

（2）挑选有专业知识背景的专人担任合规官

（3）及时对员工进行反洗钱培训

（4）对每个客户和商业伙伴开展客户尽职调查

（5）对高风险客户和商业伙伴进行加强尽职调查

（6）保存所有与反洗钱与反恐怖主义融资相关的记录和数据

（8）及时向监管机构披露洗钱风险，遵守各地监管机构的政策

（9）在法律要求的情况下申请相关牌照

贿赂风险指提供、支付或接受贿赂的风险，包括直接通过管理人员、员工或子公司，或间接通过中介或任何第三方(个人或公司)代表组织行事。目前针对贿赂，在各个国家都开始出台专门的立法对其进行规制。不遵守所在地的反贿赂法律、规则或条例可能导致民事和刑事责任、个人或公司罚款、名誉损害和取消与政府有关的合同。并且，由于涉外公司大多由美元结算，因此即便是在第三国进行商业贿赂，也有可能遭致美国司法部门的长臂管辖，导致对公司的严重损害。

（1）贿赂他人：任何人士如直接或间接向另一人提供、承诺或给予金钱利益，即属违法。

（2）受贿：任何人士如同意接受或接受经济或其他利益，以不当执行某项职能或活动，即属违法。

（3）贿赂外国政府官员：如果一个人意图影响外国官员，他就犯了这一罪行。与贿赂私人不同，不要求被贿赂着有任何不当履行相关职能的行为。

（4）商业机构未能防止贿赂：与有关商业机构有关系的人，如贿赂另一人，意图为该机构取得或保留业务或商业利益，即属违法。这一公司违法行为适用于所有在当地经营业务的公司，以及在当地注册的公司。

（1）识别和评估风险

（2）设计反贿赂策略和流程

（3）实施内部反垄断控制

（4）对第三方商业伙伴进行尽职调查

（5）在陷入贿赂风险时考虑做吹哨人（部分国家对吹哨人有不予处罚的法律政策）

（6）严格的监督和财务审计

（7）进行外部调查

与中国大陆过去几十年的法律实践不同，欧美国家对用户个人数据的隐私保护的立法非常严格。比如欧盟GDRP和美国CCPA都有要求，收集用户的任何数据必须注明收集的数据类型并经过用户的明示同意，客户有权要求不同意一项或多项数据的收集。对任何数据的使用，也必须经用户同意，不得在事先告知的用途范围外使用用户数据。客户有权随时要求获取，更正或清除数据，并且有权要求经营者停止使用数据或停止在某些用途上使用数据，即便是完全自动化的数据处理也收此约束。此外，经营者收集的数据也不能轻易向第三方披露。如果相关企业出现不合规，不仅会面临监管机构的罚款，还会面临高额的民事诉讼索赔。

（1）评估内部和外部风险，尤其是数据系统的风险

（2）制定内部控制程序

（3）制定细致的用户隐私政策，放置在所有数据服务的入口，并由用户明示同意

（4）妥善保存所有用户数据，建立数据沙盒

（5）对可能进行数据互通的第三方进行尽职调查

（6）指定有专业知识技能的人作为数据合规负责人

严格的竞争法是欧盟法律体系的重要特点。TFEU101，102条针对垄断协议和滥用市场竞争地位，EUMR则对经营者集中提出了要求。各个欧洲国家（包括一些非欧盟国家）都将TFEU和EUMR融入本国法律。只要公司在某一个地域内的某个行业的市场占有率超过一定比例，就会面临竞争法合规压力。

（1）垄断协议：只要公司在某一地域的某一行业的市场占有率超过10%，就有可能面临构成垄断协议的风险。在欧盟的立法框架下，垄断协议的解释范围相当大，只要两家企业交换了价格，经营策略，成本等商业敏感信息，即便是以暗示的方式甚至是以AI系统自动追踪分析的方式达成了这种信息交换，影响了公司作出商业判断的独立性，就被视为达成了垄断协议。垄断协议即包含在一个产品市场内的两家或多家企业，也包含处在不同供应链层级的两家或多家企业。一旦被监管机构发现不合规的行为，不仅会面临最多达到全年营收10%数额的罚款和门类多样的临时性罚款，还会面临消费者或客户的民事索赔。

（2）滥用市场地位：只要公司在某一地域的某一行业的市场占有率超过40%，就有可能面临构成滥用市场地位的风险。对于在市场上有绝对优势的企业，欧盟立法对其赋予了额外的义务，即不能主动使所在市场竞争的激烈程度降低，哪怕其行为全部是合法的。在这一立法框架下，某些行业的优势企业，即便是排他性的使用自己合法拥有所有权的基础设施或知识产权，只要这些财产的使用对其他市场参与者是必要的，那么该排他性使用自己财产的行为就是违法的。此外，像诸如捆绑销售，独家交易，恶意降价抢占市场，以独家销售为条件进行降价促销，拒绝交易等行为也是市场监管机构重点关注的对象。此外，针对互联网服务，欧盟专门出台了数字市场法规范大型互联网门户企业的行为。一旦被监管机构发现不合规的行为，不仅会面临极大数额的罚款和门类多样的临时性罚款，还会面临消费者或客户的民事索赔，有时甚至消费者会在不同国家对同一行为进行集体诉讼，导致巨额的民事赔偿。

（3）经营者集中：如果两家或多家企业在欧盟范围内的营收超过一定数额（以EUMR为例达到2.5亿欧元），则必须向监管机构提出集中申报。在得到批准前不能做任何的实际集中行为，包括施行不涉及股权仅用合同进行约定的一致性商业安排。若违反规定不仅会遭到罚款，还会被强行拆分已经合并经营的企业。

（1）制定政策严格控制员工对外透露商业信息，包括底层员工

（2）定期对企业的市场地位和市场占有率进行评估

（3）制定专门的竞争法合规人员对企业经营行为进行监控

（4）对员工使用公司邮件对外联系进行监管

（5）严格控制商业敏感信息

（6）在陷入垄断协议合规风险时考虑做吹哨人，欧盟范围内对吹哨人一般都采取不处罚的措施，但需注意若在多国有业务，需同时向多国监管机构报告。

（7）若处罚不可避免，考虑与监管机构合作争取减轻处罚。

当公司规模达到一定程度后，就有义务向各国的市场监管机构定期提交关于财务，市场策略，环境保护等方面的报告。如果是上市公司，还需要按照各国上市公司治理规则的要求向市场监管部门提交专门报告，并发布在其网站主页上。

（1）核查所在地对有报告义务的公司的规模要求

（2）建立完善的内部控制机制

（3）健全公司权力机构决策机制，妥善保存董事会，股东会决议，及独立董事或监事会意见

（4）定期按要求履行报告义务

雇主在监察雇员时，必须确保符合法例及规例的规定。如果不这样做，可能会导致受影响的员工提出索赔，或被相关信息专员办公室处以强制行动和罚款，对企业造成不利的声誉和其他后果。

（1）根据欧洲人权公约(ECHR)第8条，个人享有尊重私人和家庭生活和通信的权利。

（2）根据欧盟的《一般数据保护条例》GDPR对员工个人数据处理时需要符合相关规定。

（3）对于LGBT群体的对待

（4）对于反对歧视女性员工方面的监督管理

（5）在解雇员工时需要注意关于公平和恶意解雇方面的规定

（6）关于对相关就业歧视法律的遵守

（7）对员工劳动合同的保密义务

（1）建立健全的劳动关系管理机制

（2）建立内部管理政策，包括信息系统使用政策，视频监控政策，隐私政策

（3）积极与员工沟通交流，注重工作与生活的平衡

（4）如有可能，尽量保持员工背景，性别，种族的多样性

郑啸哲

嘉维律师事务所律师

业务领域

争议解决与诉讼

扫码直通官网简历