shield_lock
JinDaGe
Contact
Back to skills
extension
Category: OtherNo API key required

compliance-audit-pro

风险判定阈值(low/medium/high/strict)

personAuthor: user_e9af5021hubcommunity
downloadDownload package

⚖️ 合规与内控审计助手

🎯 核心定位

将非结构化业务文本转化为可追溯、可审计、可落地的合规风险矩阵与整改清单。

🔄 工作流指令

  1. 识别义务:识别文档类型与核心义务条款(资质/付款/违约/数据/交付)。
  2. 法规映射:逐条映射 compliance_scope 法规基线,标注法条编号与原文对照。
  3. 风险评估:评估风险等级:🔴禁止性条款/🟡限制性条款/🟢提示性条款。
  4. 底稿生成:生成标准化审计底稿,包含偏离说明模板、澄清话术、整改责任矩阵。
  5. 输出报告:按标准 Markdown 模板输出结构化审计报告。

📤 输出模板

# 🛡️ 合规审计报告

## 1. 风险条款映射表
| 原文条款摘要 | 对应法规 | 风险等级 | 合规状态 | 应对建议 |
|:---|:---|:---|:---|:---|
| ... | 《...》第X条 | 🔴/🟡/🟢 | 合规/偏离/待确认 | ... |

## 2. 审计底稿草案
- **事实描述**:...
- **法规依据**:...
- **偏离说明模板**:[直接复制至正式回函]
- **整改责任人/时限**:...

## 3. 澄清与谈判建议
- 高风险项:建议发起书面答疑/补充协议
- 中风险项:建议内部评审后附条件接受
- 低风险项:常规备案即可
> 📌 本结果基于公开法规库生成,重大合规决策需经法务/内控部门复核。

📚 内置法规知识库

以下为合规审计的法规基线索引。Agent 在执行"法规映射"步骤时,必须优先检索本知识库,精确引用法条编号与要点,再结合 LLM 推理进行风险判定。本知识库仅收录核心高频条款,未覆盖的法规仍由 Agent 依公开法律文本补充。

📌 一、《中华人民共和国数据安全法》(2021年9月1日施行)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第4条 | 维护数据安全应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力 | 数据安全治理体系审查 | 合同未约定数据安全治理框架或责任主体 | | 第5条 | 国家对数据实行分类分级保护;根据数据在经济社会发展中的重要程度以及一旦遭到篡改/破坏/泄露/非法获取/非法利用对国家安全/公共利益/个人组织合法权益造成的危害程度确定保护级别 | 分类分级制度审查 | 合同未约定数据分类分级标准或低级别保护措施覆盖高级别数据 | | 第8条 | 开展数据处理活动应当遵守法律法规,尊重社会公德伦理,不得危害国家安全、公共利益 | 数据处理活动合法性基础 | 合同中约定数据用途超出合法授权范围 | | 第11条 | 各行业主管部门承担本行业/本领域数据安全监管职责 | 行业监管责任审查 | 合同未约定行业主管部门的审批或备案义务 | | 第14条 | 国家建立数据安全协同治理体系,各级人民政府和有关部门应当按照各自职责做好数据安全促进工作 | 协同治理审查 | 合同涉及多部门数据共享但未约定协同治理机制 | | 第21条 | 国家建立数据分类分级保护制度;关系国家安全、国民经济命脉等重要数据实行目录管理 | 是否识别重要数据并采取对应保护措施 | 未对核心业务数据进行分类分级即迁移上云 | | 第22条 | 国家建立集中统一/高效权威的数据安全风险评估/报告/信息共享/监测预警机制 | 风险评估与监测审查 | 合同未约定数据安全风险评估周期或监测预警机制 | | 第24条 | 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制 | 数据出境是否触发管制审查 | 合同约定将境内用户数据存储于境外服务器且未经安全评估 | | 第27条 | 开展数据处理活动应建立健全全流程数据安全管理制度,采取相应技术措施 | 合同是否约定数据安全管理制度与技术保障责任 | 仅约定"保障数据安全"而无具体技术措施与管理制度条款 | | 第28条 | 开展数据处理活动应加强风险监测,发现数据安全缺陷/漏洞等风险时应立即采取补救措施;发生数据安全事件应立即处置并告知用户和向主管部门报告 | 风险监测与事件报告审查 | 合同未约定数据安全漏洞修复SLA或数据安全事件告知和报告时限 | | 第29条 | 核心数据实行更加严格的管理制度;核心数据是指关系国家安全/国民经济命脉/重要民生/重大公共利益等的数据 | 核心数据保护审查 | 合同涉及核心数据但未约定比一般数据更严格的保护措施 | | 第30条 | 重要数据处理者应定期对数据处理活动开展风险评估并向主管部门报送评估报告 | 重要数据风险评估审查 | 合同涉及重要数据处理但未约定定期风险评估和报送义务 | | 第31条 | 关键信息基础设施运营者在境内收集产生的个人信息和重要数据应当在境内存储;确需出境应通过安全评估 | 境内存储义务与出境安全评估 | 政务云项目约定数据跨境传输但未安排安全评估 | | 第32条 | 任何组织、个人收集数据应当采取合法、正当的方式,不得窃取或以其他非法方式获取 | 数据来源合法性 | 合同约定由乙方"爬取"或"采集"第三方数据但未验证合法性 | | 第33条 | 从事数据交易中介服务的机构应当要求数据提供方说明数据来源并审核交易双方身份 | 数据交易中介审查 | 合同涉及数据交易但中介机构未审核数据来源和交易方身份 | | 第34条 | 法律/行政法规规定提供数据处理相关服务应当取得行政许可的应当取得许可 | 数据处理资质审查 | 合同约定数据处理服务但未要求取得相应行政许可 | | 第36条 | 非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或执法机构提供存储于境内的数据 | 境内数据对外提供限制 | 合同含"配合境外监管检查"条款但未预设审批机制 | | 第40条 | 国家机关委托他人建设、维护电子政务系统或存储、加工政务数据,应经过严格的批准程序 | 政务数据委托处理审批 | 未经审批即将政务数据委托第三方处理 | | 第41条 | 国家机关应当建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全 | 政务数据安全制度审查 | 政务合同未约定数据安全管理制度和责任划分 | | 第45条 | 开展数据处理活动的组织/个人不履行本法规定义务的由主管部门责令改正/警告/罚款;情节严重的处100万元以下罚款/吊销许可证/暂停业务 | 违规处罚审查 | 合同未评估数据处理违规可能导致的行政处罚风险 | | 第46条 | 违反国家核心数据管理制度危害国家主权/安全/发展利益的由有关部门处200万元以上1000万元以下罚款/暂停业务/吊销许可证 | 核心数据违规审查 | 合同涉及核心数据但未评估违规面临的200万-1000万罚款风险 |

📌 二、《中华人民共和国网络安全法》(2017年6月1日施行)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第9条 | 网络运营者开展经营和服务活动应当遵守社会公德/商业道德,诚实信用/公平竞争,不得危害网络安全 | 经营合规基础审查 | 合同约定网络服务但未约定遵守商业道德和公平竞争 | | 第10条 | 建设和维护网络应当遵守国家强制性标准;网络安全与网络主体工程应同步规划/同步建设/同步使用 | 同步建设审查 | 信息化项目合同约定先上线后补安全措施(未同步建设) | | 第12条 | 国家保护公民/法人和其他组织依法使用网络的权利,促进网络接入普及/提升网络服务水平 | 网络使用权保障审查 | 合同约定不合理限制用户网络接入或服务降级条件模糊 | | 第14条 | 网络产品和服务应当符合相关国家标准的强制性要求 | 产品标准审查 | 采购合同未要求网络产品符合国家强制性标准 | | 第21条 | 国家实行网络安全等级保护制度;网络运营者应履行安全保护义务(制定制度、技术措施、留存日志、实名认证等) | 是否落实等保要求 | 合同未约定等保定级及安全防护措施 | | 第22条 | 网络产品和服务应符合国家标准的强制性要求;不得设置恶意程序;发现安全缺陷应立即补救并告知用户 | 供应链安全义务 | 采购合同未要求供应商提供安全检测报告或漏洞修复承诺 | | 第23条 | 网络关键设备和网络安全专用产品应按照相关国家标准的强制性要求由具备资格的机构安全认证或检测 | 安全产品认证审查 | 合同约定采购安全设备但未要求提供安全认证/检测合格证明 | | 第24条 | 网络运营者为用户办理网络接入/域名注册/电话/信息发布等手续时应要求用户提供真实身份信息 | 实名制审查 | 合同约定网络服务但未约定实名认证义务 | | 第25条 | 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞/计算机病毒/网络攻击/网络侵入等安全风险 | 应急预案审查 | 合同未约定网络安全应急预案或应急响应SLA | | 第26条 | 网络运营者应当留存相关的网络日志不少于六个月 | 日志留存审查 | 合同约定日志保存期少于6个月或未约定日志留存 | | 第28条 | 网络运营者应当为公安机关/国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助 | 执法协助审查 | 合同未约定配合执法机关的技术支持义务 | | 第31条 | 关键信息基础设施运营者应履行更高保护义务(容灾备份、应急演练、安全审查等) | 是否识别CIIO并履行专项义务 | 项目涉及关键基础设施但未约定专项安全义务 | | 第33条 | 建设关键信息基础设施应当确保其具有支持业务稳定/持续运行的性能并保证安全技术措施同步规划/同步建设/同步使用 | CIIO同步建设审查 | 关键基础设施项目先部署后补安全(未三同步) | | 第34条 | 关键信息基础设施运营者应当每年至少进行一次网络安全检测和风险评估 | CIIO年度安全评估审查 | 合同涉及CIIO但未约定年度安全检测和风险评估 | | 第35条 | 关键信息基础设施运营者采购网络产品和服务可能影响国家安全的应当通过国家网信部门会同国务院有关部门组织的网络安全审查 | 网络安全审查审查 | CIIO采购合同涉及可能影响国家安全的产品/服务但未安排网络安全审查 | | 第37条 | 关键信息基础设施运营者在境内收集产生的个人信息和重要数据应在境内存储;出境需安全评估 | CIIO数据本地化存储与出境评估 | CIIO合同约定数据出境但未通过安全评估 | | 第38条 | 关键信息基础设施运营者应自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少检测评估一次 | CIIO安全检测审查 | 合同涉及CIIO但未约定每年至少一次安全检测评估 | | 第39条 | 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:抽样检查/检测/应急演练/网络安全审查 | CIIO监管配合审查 | CIIO合同未约定配合监管检查和应急演练义务 | | 第47条 | 网络运营者应加强对用户发布信息的管理,发现违法信息应立即处置并报告 | 信息内容管理义务 | 平台服务合同未约定违法信息处置机制 | | 第48条 | 任何个人和组织发送的信息不得含有法律行政法规禁止的内容 | 信息内容合规审查 | 合同约定内容发布服务但未约定违法内容过滤和拦截机制 | | 第59条 | 网络运营者不履行安全保护义务的处1万元-10万元罚款;直接责任人处5000元-5万元罚款 | 违规处罚审查 | 合同未评估网络安全违规面临的行政处罚风险 | | 第59条第2款 | 关键信息基础设施运营者不履行安全保护义务的处10万元-100万元罚款;直接责任人处1万元-10万元罚款 | CIIO违规处罚审查 | CIIO合同未评估安全违规面临的10万-100万罚款风险 |

📌 三、《中华人民共和国个人信息保护法》(2021年11月1日施行)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第4条 | 个人信息受法律保护;个人信息的处理包括收集/存储/使用/加工/传输/提供/公开/删除等 | 处理活动范围审查 | 合同仅约定"使用"但实际涉及存储/传输/提供等未约定的处理活动 | | 第5条 | 处理个人信息应当遵循合法、正当、必要原则,不得过度收集 | 最小必要原则审查 | 合同约定收集与服务无关的个人信息(如要求提供家属信息) | | 第6条 | 处理个人信息应具有明确合理的目的,与处理目的直接相关 | 目的限制原则审查 | 合同约定数据用途模糊泛化,如"及其关联用途" | | 第7条 | 处理个人信息应当遵循公开/透明原则,公开个人信息处理规则,明示处理的目的/方式/范围 | 透明度原则审查 | 合同未约定向用户告知处理规则或处理规则不公开 | | 第8条 | 处理个人信息应保证个人信息质量,避免因个人信息不准确/不完整对个人权益造成不利影响 | 数据质量审查 | 合同未约定个人信息准确性维护机制或更新责任 | | 第10条 | 任何组织/个人不得非法收集/使用/加工/传输他人个人信息,不得非法买卖/提供或公开他人个人信息 | 禁止非法处理审查 | 合同约定买卖/交易个人信息或未取得合法授权即公开 | | 第13条 | 处理个人信息需取得个人同意或有其他合法基础(履行合同必需、法定义务、公共利益等) | 合法性基础审查 | 合同约定处理个人信息但未约定取得同意或确认其他合法基础 | | 第14条 | 同意应当由个人在充分知情的前提下自愿/明确作出;处理敏感信息/跨境传输等应取得单独同意 | 同意质量审查 | 合同约定"默认同意""一揽子同意"或未区分一般同意与单独同意 | | 第15条 | 基于个人同意处理个人信息的,个人有权撤回同意;撤回同意不影响撤回前基于同意的处理活动效力 | 撤回权审查 | 合同未约定撤回同意机制或约定撤回后仍继续处理 | | 第17条 | 个人有权向个人信息处理者查阅/复制其个人信息;处理者应当及时提供 | 查阅复制权审查 | 合同未约定用户查阅复制权或设置不合理障碍 | | 第18条 | 个人有权请求个人信息处理者更正/补充其个人信息 | 更正补充权审查 | 合同未约定更正补充机制或约定更正需额外收费 | | 第19条 | 符合下列情形个人有权请求删除个人信息:处理目的已实现/撤回同意/处理活动违反法律/约定 | 删除权审查 | 合同未约定删除权或约定删除需保留"必要信息"但未明确范围 | | 第21条 | 委托处理个人信息应与受托方约定处理目的、期限、方式、种类等,受托方不得超范围处理 | 委托处理合同审查 | 委托合同未限定数据处理范围与目的,受托方可自行决定用途 | | 第22条 | 共同处理个人信息的,应约定各自的权利和义务;侵害个人信息权益的应当依法承担连带责任 | 共同处理审查 | 合同约定双方共同处理但未划分责任或约定一方免责 | | 第23条 | 个人信息处理者向其他处理者提供其处理的个人信息的,应当向个人告知接收方的名称/联系方式/处理目的/方式/种类并取得单独同意 | 对外提供审查 | 合同约定向第三方提供个人信息但未约定单独同意和告知义务 | | 第24条 | 利用个人信息进行自动化决策应保证透明度和结果公平公正;不得在交易条件上对不同人实施不合理的差别待遇 | 算法自动化决策合规 | 合同约定"智能风控/智能定价"但未约定算法公平性保障 | | 第26条 | 处理个人信息应当事先进行个人信息保护影响评估的情形:处理敏感信息/自动化决策/委托处理/向境外提供/其他对个人权益有重大影响的处理活动 | 影响评估触发审查 | 合同涉及上述场景但未约定进行影响评估 | | 第27条 | 个人信息处理者不得公开其处理的个人信息;取得单独同意的除外 | 公开限制审查 | 合同约定可公开个人信息但未取得单独同意 | | 第28条 | 敏感个人信息处理需取得个人单独同意,并告知必要性及影响 | 敏感信息处理审查 | 合同约定处理生物识别、金融账户等敏感信息但未约定单独同意机制 | | 第29条 | 处理敏感个人信息应当向个人告知处理的必要性以及对个人权益的影响 | 敏感信息必要性告知审查 | 合同约定处理敏感信息但未约定告知必要性和影响评估 | | 第30条 | 个人信息处理者处理不满十四周岁未成年人个人信息的应当取得未成年人父母或其他监护人的同意 | 未成年人保护审查 | 合同涉及未成年人信息但未约定监护人同意机制 | | 第38条 | 向境外提供个人信息需满足:通过安全评估/经专业认证/订立标准合同/其他法定条件 | 个人信息出境合规 | 合同约定向境外传输个人信息但未安排安全评估或标准合同 | | 第39条 | 向境外提供个人信息的应当向个人告知境外接收方的名称/联系方式/处理目的/方式/种类/境外保存期限/向境外提供个人信息的必要性及影响并取得单独同意 | 出境告知与单独同意审查 | 合同约定个人信息出境但未向个人告知境外接收方信息或未取得单独同意 | | 第40条 | 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者应当将在境内收集产生的个人信息存储在境内;确需出境的应通过安全评估 | 大规模处理者本地存储审查 | 大规模处理者合同约定数据出境但未通过安全评估 | | 第44条 | 个人对其个人信息的处理享有知情权/决定权,有权限制或拒绝他人对其个人信息进行处理 | 个人决定权审查 | 合同约定处理者可不受限制地处理个人信息或约定用户放弃决定权 | | 第47条 | 个人信息处理者应当根据个人信息的处理目的/处理方式/种类/数量/对个人权益的影响/可能存在的安全风险等采取相应加密/去标识化等安全技术措施 | 安全措施审查 | 合同仅约定"保障安全"但未约定具体加密/去标识化等安全技术措施 | | 第51条 | 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,并公开联系方式 | DPO指定审查 | 大规模处理者合同未约定指定个人信息保护负责人 | | 第52条 | 境外个人信息处理者应当在境内设立专门机构或指定代表负责个人信息保护相关事务 | 境外处理者代表审查 | 境外服务合同未约定在境内设立机构或指定代表 | | 第55条 | 处理个人信息有下列情形应事前进行影响评估:处理敏感信息/自动化决策/委托处理/向境外提供 | 影响评估义务审查 | 合同涉及上述场景但未约定进行个人信息保护影响评估 | | 第57条 | 发生或可能发生个人信息泄露/篡改/丢失的,应立即采取补救措施并通知履行个人信息保护职责的部门和个人 | 泄露通知审查 | 合同未约定个人信息泄露通知义务和时限 | | 第58条 | 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者应履行特别义务 | 大型平台特别义务 | 平台合同未约定制定内部规则、定期审计等特别义务 | | 第60条 | 个人有权向履行个人信息保护职责的部门投诉/举报;收到投诉的部门应依法及时处理 | 投诉举报审查 | 合同约定禁止用户投诉或约定投诉必须通过特定渠道 | | 第66条 | 违反本法规定处理个人信息的,没收违法所得;情节严重的处5000万元以下或上一年度营业额5%以下罚款并可责令暂停相关业务/停业整顿/吊销许可证 | 违规处罚审查 | 合同未评估个人信息违规面临的最高5000万或营业额5%罚款风险 | | 第69条 | 处理个人信息侵害个人信息权益造成损害的,无论有无过错均应承担损害赔偿等侵权责任 | 严格责任审查 | 合同约定处理者无过错免责但法律实行严格责任归责 |

📌 四、《中华人民共和国政府采购法》(2014年修正)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第9条 | 政府采购应当有助于实现国家的经济和社会发展政策目标,包括保护环境、扶持不发达地区和少数民族地区、促进中小企业发展等 | 采购政策功能审查 | 招标文件设置不合理条件排斥中小企业参与 | | 第10条 | 政府采购应当采购本国货物/工程/服务;另有规定的除外 | 国货优先审查 | 采购合同未优先采购本国货物/工程/服务且无正当理由 | | 第11条 | 政府采购实行集中采购和分散采购相结合;纳入集中采购目录的应委托集中采购机构代理采购 | 集中采购审查 | 应集中采购的项目未委托集中采购机构而自行采购 | | 第18条 | 采购人采购纳入集中采购目录的政府采购项目必须委托集中采购机构代理采购;采购未纳入目录的可以自行采购 | 采购方式审查 | 强制集中采购项目未经集中采购机构代理 | | 第22条 | 供应商参加政府采购活动应具备的条件(独立承担民事责任、良好商业信誉、依法纳税、社保缴纳等) | 供应商资格条件审查 | 招标文件设定与采购需求无关的资格条件限制公平竞争 | | 第23条 | 采购人可以要求供应商提供有关资质证明文件和业绩情况 | 资质证明合理性审查 | 要求提供超出项目需求的资质或与项目无关的业绩证明 | | 第25条 | 供应商不得以任何形式进行商业贿赂 | 反商业贿赂条款审查 | 合同反贿赂条款缺失或过于笼统 | | 第26条 | 政府采购采用以下方式:公开招标/邀请招标/竞争性谈判/单一来源采购/询价/国务院政府采购监督管理部门认定的其他采购方式;公开招标应作为主要采购方式 | 采购方式合法性审查 | 应公开招标的项目采用邀请招标或单一来源采购且无法定理由 | | 第27条 | 采购人采购货物/工程/服务应当采用公开招标方式;因特殊情况需要采用公开招标以外的方式的应当在采购活动开始前获得设区的市以上政府采购监督管理部门批准 | 招标方式审批审查 | 未经批准将应公开招标项目改为其他采购方式 | | 第29条 | 符合下列情形可采用邀请招标:具有特殊性只能从有限范围供应商采购/采用公开招标方式费用占政府采购项目总价值比例过大 | 邀请招标条件审查 | 不符合法定条件而采用邀请招标方式 | | 第31条 | 符合下列情形可采用单一来源采购:只能从唯一供应商采购/发生了不可预见的紧急情况/必须保证原有采购项目一致性或服务配套需要从原供应商添购且添购资金总额不超过原合同采购金额10% | 单一来源审查 | 不符合法定条件采用单一来源或添购金额超过10% | | 第36条 | 在招标采购中出现下列情形应予废标:符合条件的供应商不足三家/出现违规行为/报价均超过采购预算/重大变故 | 废标条件审查 | 招标文件未明确废标条件或设置不合理废标触发条件 | | 第43条 | 采购代理机构应当自评审结束之日起2个工作日内将评审报告送交采购人;采购人应当自收到评审报告之日起5个工作日内确定中标供应商 | 评审时限审查 | 合同约定评审和中标确定时限超出法定期限 | | 第46条 | 采购人与中标供应商应在中标通知书发出之日起30日内签订合同 | 签约时限审查 | 合同约定签约时间超出法定期限 | | 第47条 | 政府采购合同履行中,采购人需追加与合同标的相同的货物/工程/服务的,可以补充采购,但金额不得超过原合同采购金额的10% | 补充采购上限审查 | 合同约定补充采购金额超过10%上限 | | 第48条 | 采购人应当自政府采购合同签订之日起7个工作日内将合同副本报同级政府采购监督管理部门和有关部门备案 | 合同备案审查 | 合同未约定7个工作日内备案义务 | | 第50条 | 政府采购合同双方不得擅自变更/中止/终止合同;继续履行将损害国家利益和社会公共利益的,双方应变更/中止/终止 | 合同变更限制审查 | 合同约定单方变更权但未设置国家利益保护前提 | | 第52条 | 供应商认为采购文件/采购过程/中标/成交结果使自己的权益受到损害的可以在知道或应知权益受到损害之日起7个工作日内以书面形式向采购人提出质疑 | 质疑程序审查 | 合同未约定供应商质疑程序或约定质疑期限短于7个工作日 | | 第53条 | 采购人应当在收到供应商书面质疑后7个工作日内作出答复 | 质疑答复审查 | 合同约定质疑答复期限超过7个工作日 | | 第55条 | 质疑供应商对采购人/采购代理机构的答复不满意或采购人/采购代理机构未在规定时间内作出答复的可以在答复期满后15个工作日内向同级政府采购监督管理部门投诉 | 投诉程序审查 | 合同未约定投诉渠道或约定排除投诉权利 | | 第62条 | 采购代理机构在代理政府采购业务中违法的,处以罚款/列入不良行为记录/取消代理资格 | 代理机构违规审查 | 采购代理合同未约定代理机构合规义务和违规后果 | | 第72条 | 供应商有下列情形处以罚款/列入不良行为记录/禁止1-3年内参加政府采购活动:提供虚假材料/采取不正当手段诋毁排挤其他供应商/与采购人等串通/向采购人行贿或提供回扣 | 供应商违规审查 | 采购合同未约定供应商虚假材料/串通/贿赂等违规的违约责任 |

📌 五、《中华人民共和国民法典·合同编》(2021年1月1日施行)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第465条 | 依法成立的合同受法律保护;仅对当事人具有法律约束力 | 合同效力与相对性 | 合同条款对第三方设定义务但未经第三方同意 | | 第470条 | 合同主要条款包括当事人、标的、数量、质量、价款、履行期限、地点和方式、违约责任、争议解决 | 合同必备条款审查 | 合同缺少主要条款导致效力不确定 | | 第471条 | 当事人订立合同可以采取要约/承诺方式或者其他方式 | 合同订立方式审查 | 合同未明确订立方式或要约承诺程序混乱 | | 第483条 | 承诺生效时合同成立;承诺通知到达要约人时生效 | 合同成立时点审查 | 合同未明确成立时点导致双方权利义务起始时间不清 | | 第491条 | 当事人一方通过互联网等信息网络发布的商品/服务信息符合要约条件的,对方选择该商品/服务并提交订单成功时合同成立 | 电子合同成立规则 | 线上采购合同未明确"提交订单"的法律后果 | | 第493条 | 当事人采用合同书形式订立合同的,自当事人均签名/盖章/按指印时合同成立 | 签章生效审查 | 合同未约定签章方式或约定传真件/扫描件效力 | | 第494条 | 国家根据需要下达指令性任务或国家订货任务的,有关当事人之间应当依照有关法律行政法规规定的权利义务订立合同 | 强制缔约义务 | 政府指令性采购合同中当事人拒绝签订 | | 第496条 | 提供格式条款的一方应采取合理方式提示对方注意免除或减轻其责任等与对方有重大利害关系的条款 | 格式条款提示义务 | 合同中免责/限责条款未采取加粗/弹窗等合理方式提示 | | 第497条 | 格式条款有下列情形的无效:不合理免除或减轻己方责任/加重对方责任/限制对方主要权利 | 格式条款无效审查 | 合同含"最终解释权归甲方所有""概不退换"等无效格式条款 | | 第498条 | 对格式条款的理解发生争议的应当按照通常理解予以解释;对格式条款有两种以上解释的应当作出不利于提供格式条款一方的解释 | 格式条款解释规则审查 | 合同约定格式条款解释权归提供方单方所有 | | 第500条 | 当事人在订立合同过程中有假借订立合同恶意磋商/故意隐瞒重要事实/提供虚假情况等违背诚信行为的,应承担缔约过失责任 | 缔约过失风险 | 招标文件中隐瞒项目重大风险或提供虚假技术参数 | | 第502条 | 依法需办理批准等手续的合同,未办理影响合同生效 | 审批生效合同审查 | 涉及国有资产转让等需审批的合同未约定审批程序 | | 第504条 | 法定代表人超越权限订立的合同,除相对人知道或应当知道其超越权限外,该代表行为有效 | 越权代表审查 | 合同对方签约人非法定代表人且无授权委托书 | | 第509条 | 当事人应按约定全面履行义务;应遵循诚信原则,根据合同性质/目的/交易习惯履行通知/协助/保密等附随义务 | 全面履行与附随义务 | 合同仅约定主给付义务但未约定保密等附随义务 | | 第511条 | 合同生效后当事人就质量/价款/报酬/履行地点等内容没有约定或约定不明确的,可以协议补充;不能达成补充协议的按照合同相关条款或交易习惯确定 | 漏补规则审查 | 合同关键条款缺失且未约定补充协商机制 | | 第515条 | 标的有多项而债务人只需履行其中一项的,债务人享有选择权;享有选择权的当事人在约定期限内或履行期限届满未作选择的,选择权转移至对方 | 选择之债审查 | 合同约定选择权但未约定选择期限和逾期后果 | | 第519条 | 连带债务人之间的份额难以确定的视为份额相同;实际承担债务超过自己份额的连带债务人有权就超出部分在其他连带债务人未履行的份额范围内向其追偿 | 连带债务内部分担 | 合同约定连带责任但未约定内部追偿和分担比例 | | 第525条 | 应当先履行债务的当事人,有确切证据证明对方有经营状况严重恶化/转移财产以逃避债务/丧失商业信誉等情形的,可以中止履行 | 不安抗辩权审查 | 合同未约定对方出现经营恶化时的中止履行权利 | | 第533条 | 合同成立后基础条件发生重大变化,继续履行对一方显失公平的,受不利影响方可与对方重新协商 | 情势变更审查 | 合同未约定情势变更处理机制或约定排除情势变更适用 | | 第535条 | 因债务人怠于行使其对相对人的债权影响债权人到期债权实现的,债权人可向法院请求代位行使 | 代位权风险 | 合同未约定对方怠于追索第三方债务时的救济机制 | | 第538条 | 债务人以明显不合理的低价转让财产等行为影响债权人实现的,债权人可请求法院撤销 | 撤销权风险 | 合同未约定关联交易或异常低价转让的限制 | | 第563条 | 有下列情形当事人可以解除合同:不可抗力致使不能实现合同目的/预期违约/迟延履行经催告后在合理期限内仍未履行/迟延履行或其他违约致使不能实现合同目的 | 法定解除权审查 | 合同排除法定解除权或约定解除条件严于法定条件 | | 第565条 | 当事人一方依法主张解除合同的应当通知对方;合同自通知到达对方时解除 | 解除通知审查 | 合同未约定解除通知方式或约定解除须对方"确认" | | 第566条 | 合同解除后尚未履行的终止履行;已经履行的可以请求恢复原状或采取其他补救措施并有权请求赔偿 | 解除后果审查 | 合同约定解除后仍须继续履行部分义务或未约定损害赔偿 | | 第577条 | 一方不履行合同义务或履行不符合约定的,应承担继续履行/采取补救措施/赔偿损失等违约责任 | 违约责任体系审查 | 合同仅约定违约金但未约定继续履行等救济方式 | | 第585条 | 约定违约金应相当于因违约造成的损失;过分高于损失(超30%)的可请求减少 | 违约金合理性审查 | 违约金设定为合同总额30%以上且无损失对应说明 | | 第586条 | 定金数额由当事人约定,但不得超过主合同标的额的20% | 定金上限审查 | 定金超过合同金额20%的约定无效 | | 第587条 | 给付定金一方不履行债务的无权请求返还定金;收受定金一方不履行债务的应当双倍返还定金 | 定金罚则审查 | 合同约定定金但未约定定金罚则或约定与法律规定不符 | | 第590条 | 不可抗力免责规则;应及通知对方并减少损失 | 不可抗力条款审查 | 合同未约定不可抗力通知时限及减损义务 | | 第591条 | 当事人一方违约后对方应当采取适当措施防止损失扩大;没有采取适当措施致使损失扩大的不得就扩大的损失请求赔偿 | 减损义务审查 | 合同未约定守约方减损义务或约定违约方承担全部扩大的损失 | | 第690条 | 保证合同是从合同;保证方式没有约定或约定不明确的,按照一般保证承担保证责任 | 保证方式审查 | 担保条款未明确约定连带保证导致默认为一般保证 | | 第694条 | 一般保证的保证人与债权人未约定保证期间的,保证期间为主债务履行期限届满之日起六个月 | 保证期间审查 | 合同未约定保证期间导致适用法定6个月短期保证期间 | | 第707条 | 租赁期限六个月以上的应采用书面形式;未采用的视为不定期租赁 | 形式要件审查 | 长期租赁合同仅口头约定 | | 第726条 | 出租人出卖租赁房屋的承租人享有以同等条件优先购买的权利 | 优先购买权审查 | 租赁合同未约定出租人出卖时的通知和优先购买权 | | 第787条 | 定作人可以随时解除承揽合同造成承揽人损失的应当赔偿 | 承揽合同解除审查 | 承揽合同约定定作人不得解除或约定过高的解除赔偿 | | 第793条 | 建设工程施工合同无效但建设工程经验收合格的可以参照合同关于工程价款的约定折价补偿 | 无效施工合同处理审查 | 施工合同无效但未约定验收合格后的价款结算方式 | | 第810条 | 公共交通运输不得拒绝旅客通常合理的运输要求 | 强制缔约义务审查 | 涉及公共交通的服务合同含排他性拒绝条款 | | 第940条 | 前期物业服务合同约定的物业服务期限届满前业主委员会或业主与新物业服务人订立的物业服务合同生效的,前期物业服务合同终止 | 物业服务衔接审查 | 前期物业合同未约定业主大会选聘新物业后的终止机制 |

📌 六、《中华人民共和国反不正当竞争法》(2019年修正)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第2条 | 经营者在生产经营活动中应当遵循自愿/平等/公平/诚信原则,遵守法律和商业道德 | 基本原则审查 | 合同约定强制交易/差别待遇等违反公平诚信原则的条款 | | 第6条 | 经营者不得实施混淆行为引人误认为是他人商品或与他人存在特定联系(擅自使用知名商品名称/包装/装潢/企业名称/姓名/域名等) | 混淆行为审查 | 合同约定使用近似知名品牌标识/包装设计 | | 第7条 | 经营者不得采用财物或其他手段贿赂相关单位或个人以谋取交易机会或竞争优势;交易相对方工作人员/受委托代办事务者/利用影响力影响交易者均属于受贿主体 | 商业贿赂审查 | 合同含"居间费""咨询费""回扣"等变相贿赂安排或未区分折扣与贿赂 | | 第8条 | 经营者不得对其商品/服务的性能/功能/质量/销售状况/用户评价等作虚假或引人误解的商业宣传;不得通过组织虚假交易帮助其他经营者进行虚假宣传 | 虚假宣传风险 | 合同约定夸大性承诺或无法验证的技术指标;合同含刷单/刷评安排 | | 第9条 | 经营者不得实施侵犯商业秘密的行为:以不正当手段获取/披露/使用/允许他人使用他人商业秘密;违反保密义务或权利人有关保守秘密的要求披露/使用/允许他人使用商业秘密 | 商业秘密保护审查 | 合同未约定商业秘密保护条款或保密范围过窄;离职人员竞业限制缺失 | | 第10条 | 经营者不得进行有奖销售所设奖的种类/兑奖条件/奖金金额/奖品品名等不明确影响兑奖;抽奖式有奖销售最高奖金额超过5万元 | 有奖销售合规审查 | 合同约定促销抽奖最高奖超过5万元或奖品种类/兑奖条件不明确 | | 第11条 | 经营者不得编造/传播虚假信息或误导性信息损害竞争对手商业信誉/商品声誉 | 商誉诋毁审查 | 合同约定对竞品进行负面评价/发布对比广告贬低竞争对手 | | 第12条 | 经营者不得利用技术手段实施妨碍/破坏其他经营者合法提供的网络产品/服务正常运行的行为:未经同意插入链接/强制进行目标跳转/误导/欺骗/强迫用户修改/关闭/卸载/恶意不兼容 | 互联网不正当竞争 | 合同约定植入恶意代码/干扰竞品服务运行/强制跳转/恶意不兼容 |

📌 七、《中华人民共和国招标投标法》(2017年修正)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第5条 | 招标投标活动应遵循公开/公平/公正和诚实信用原则 | 基本原则审查 | 招标文件含有倾向性或排斥潜在投标人的条款 | | 第6条 | 依法必须进行招标的项目,其招标投标活动不受地区或者部门的限制,任何单位和个人不得违法限制或者排斥本地区/本系统以外的法人或者其他组织参加投标 | 地域/部门壁垒审查 | 招标文件限定本地区或本系统企业参与 | | 第8条 | 依法必须进行招标的项目包括:大型基础设施/公用事业等关系社会公共利益/公众安全的项目;全部或部分使用国有资金投资或国家融资的项目;使用国际组织或外国政府贷款/援助资金的项目 | 必须招标范围审查 | 属于法定必须招标的项目但采用直接采购等非招标方式 | | 第9条 | 招标分为公开招标和邀请招标;国务院发展计划部门确定的国家重点项目和省/自治区/直辖市人民政府确定的地方重点项目不适宜公开招标的经批准可进行邀请招标 | 招标方式审查 | 国家/地方重点项目未经批准采用邀请招标 | | 第10条 | 依法必须进行招标的项目满足下列情形可邀请招标:技术复杂/有特殊要求或受自然地域环境限制只有少数潜在投标人可供选择;采用公开招标方式费用占项目合同金额比例过大 | 邀请招标条件审查 | 不符合法定条件而采用邀请招标方式 | | 第12条 | 招标人有权自行选择招标代理机构委托其办理招标事宜;任何单位和个人不得以任何方式为招标人指定招标代理机构 | 代理机构选择审查 | 行政机关或上级单位指定招标代理机构 | | 第16条 | 招标人采用公开招标方式的应当发布招标公告;依法必须进行招标的项目的招标公告应当通过国家指定的报刊/信息网络或者其他媒介发布 | 公告发布审查 | 必须招标项目未在指定媒介发布公告或公告内容不全 | | 第18条 | 招标人不得以不合理的条件限制或排斥潜在投标人,不得对潜在投标人实行歧视待遇 | 平等准入审查 | 设定与项目无关的资质/业绩/地域等限制条件 | | 第19条 | 招标人应当根据招标项目的特点和需要编制招标文件;招标文件应当包括招标项目的技术要求/对投标人资格审查的标准/投标报价要求和评标标准等所有实质性要求和条件以及拟签订合同的主要条款 | 招标文件完备性审查 | 招标文件缺少评标标准/合同主要条款等实质性内容 | | 第20条 | 招标人不得向他人透露已获取招标文件的潜在投标人的名称/数量及可能影响公平竞争的招投标情况 | 保密义务审查 | 招标流程中泄露投标信息 | | 第22条 | 招标人设有标底的,标底必须保密 | 标底保密审查 | 合同或招标文件泄露标底信息 | | 第24条 | 招标人应当确定投标人编制投标文件所需要的合理时间;依法必须进行招标的项目自招标文件开始发出之日起至投标人提交投标文件截止之日止最短不少于二十日 | 投标期限审查 | 投标文件编制时间少于法定最短20日 | | 第27条 | 投标人应当按照招标文件的要求编制投标文件;投标文件应当对招标文件提出的实质性要求和条件作出响应 | 投标文件响应审查 | 中标人的投标文件未实质性响应招标要求 | | 第31条 | 两个以上法人/组织可组成联合体以一个投标人的身份共同投标;联合体各方均应具备承担招标项目的相应能力 | 联合体投标审查 | 招标文件不合理限制联合体投标 | | 第32条 | 投标人不得相互串通投标报价,不得排挤其他投标人的公平竞争;不得与招标人串通投标 | 串通投标审查 | 合同条款暗示或默许围标/串标安排 | | 第33条 | 投标人不得以低于成本的报价竞标,也不得以他人名义投标或以其他方式弄虚作假 | 低价投标审查 | 合同约定明显低于成本价的报价 | | 第37条 | 评标由招标人依法组建的评标委员会负责;评标委员会由招标人的代表和有关技术/经济等方面的专家组成,成员人数为五人以上单数,其中技术/经济等方面的专家不得少于成员总数的三分之二 | 评标委员会审查 | 评标委员会组成不合法或专家比例不足三分之二 | | 第40条 | 评标委员会应当按照招标文件确定的评标标准和方法对投标文件进行评审和比较;设有标底的应当参考标底 | 评标方法审查 | 评标未按招标文件载明的标准和方法进行 | | 第42条 | 评标委员会经评审认为所有投标都不符合招标文件要求的可以否决所有投标;依法必须进行招标的项目所有投标被否决的招标人应当依照本法重新招标 | 废标处理审查 | 应重新招标而直接变更采购方式 | | 第46条 | 招标人和中标人应自中标通知书发出之日起30日内订立书面合同;不得再行订立背离合同实质性内容的其他协议 | 签约时限与实质一致性审查 | 阴阳合同或背离招标文件实质性条款的补充协议 | | 第47条 | 依法必须进行招标的项目招标人应当自确定中标人之日起十五日内向有关行政监督部门提交招标投标情况的书面报告 | 中标备案审查 | 必须招标项目确定中标人后15日内未向监管部门备案 | | 第48条 | 中标人应按照合同约定履行义务,不得将中标项目转让给他人;部分非主体/非关键性工作可分包 | 转包/分包审查 | 合同约定或将主体/关键性工作分包 | | 第49条 | 中标人应当按照合同约定履行义务完成中标项目,不得将中标项目肢解后分别向他人转让 | 整体转让审查 | 中标人将项目肢解后分别转包 | | 第55条 | 招标人与投标人就投标价格/方案等实质性内容进行谈判的,给予警告或招标无效 | 实质性谈判禁止 | 开标后与特定投标人就价格等实质性内容单独谈判 | | 第57条 | 招标人在评标委员会依法推荐的中标候选人以外确定中标人的,中标无效 | 中标人确定审查 | 招标人未在推荐的中标候选人中确定中标人 | | 第58条 | 中标通知书对招标人和中标人具有法律效力;中标通知书发出后招标人改变中标结果或中标人放弃中标项目的应当依法承担法律责任 | 中标通知效力审查 | 中标通知书发出后招标人无正当理由更换中标人 |

📌 八、信息安全等级保护基本要求(等保2.0 / GB/T 22239-2019)

| 要求域 | 核心控制点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 安全物理环境 | 机房/办公场地物理访问控制/防盗窃防破坏/防火/防水防潮/温湿度控制/电力供应 | 物理安全措施审查 | 合同未约定机房物理安全标准或托管方安全责任 | | 安全通信网络 | 网络架构/通信传输/可信接入 | 网络安全架构审查 | 合同约定系统部署但未要求网络分区/传输加密 | | 安全区域边界 | 边界防护/访问控制/入侵防范/恶意代码防范/安全审计 | 边界安全审查 | 合同未要求部署防火墙/入侵检测等边界防护措施 | | 安全计算环境 | 身份鉴别/访问控制/安全审计/入侵防范/恶意代码防范/数据完整性/数据保密性/数据备份恢复/剩余信息保护/个人信息公开 | 计算环境安全审查 | 合同未约定身份认证/权限控制/审计日志等基础安全措施 | | 安全管理中心 | 系统管理/审计管理/安全管理/集中管控 | 集中管控审查 | 合同未约定安全运营中心或集中日志审计 | | 安全管理制度 | 安全策略/管理制度/制定与发布/评审与修订 | 制度体系审查 | 合同仅约定技术措施但未要求配套管理制度 | | 安全管理人员 | 人员录用/人员离岗/安全意识教育培训/外部人员访问管理 | 人员安全审查 | 合同未要求供应商人员安全审查/培训/保密协议 | | 安全建设管理 | 定级和备案/安全方案设计/产品采购和使用/自行软件开发/外包软件开发/工程实施/测试验收/系统交付/等级测评/服务供应商选择 | 建设全流程审查 | 合同未约定等保定级/测评/验收安全测试环节 | | 安全运维管理 | 环境管理/资产管理/介质管理/设备维护管理/漏洞和风险管理/网络和系统安全管理/恶意代码防范管理/安全事件处置/应急预案 | 运维安全审查 | 合同未约定漏洞修复SLA/安全事件响应/应急演练周期 |

📌 九、通用数据保护条例(GDPR / EU 2016/679)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第5条 | 合法/公平/透明、目的限制、数据最小化、准确性、存储限制、完整性保密性 | 基本原则审查 | 合同约定数据处理范围超出必要限度 | | 第6条 | 处理合法性基础:同意/合同履行/法定义务/保护重大利益/公共利益/正当利益 | 合法性基础审查 | 合同未明确数据处理合法性基础或依赖"同意"但未约定撤回机制 | | 第7条 | 同意应自由作出/具体/知情/明确;应能随时撤回且不影响基于撤回前同意的处理合法性 | 同意机制审查 | 合同约定同意为前置条件但未提供便捷撤回途径 | | 第9条 | 处理特殊类别个人数据(种族/政治/宗教/健康/性取向等)原则上禁止,仅在明确同意/重大公共利益等例外情形下允许 | 特殊类别数据审查 | 合同约定处理健康/生物识别等特殊类别数据但未取得明确同意或无法定例外 | | 第12条 | 控制者应以简明/透明/易懂/易获取的形式向数据主体提供处理相关信息 | 信息可理解性审查 | 合同约定的隐私声明使用模糊法律术语或语言不易懂 | | 第13-14条 | 数据主体知情权:控制者应提供身份/处理目的/合法性基础/接收方/跨境传输/保存期限/主体权利等信息 | 透明度义务审查 | 合同未约定隐私声明或信息披露义务 | | 第15条 | 数据主体有权获取其个人数据的副本(访问权);控制者应提供处理目的/类别/接收方/保存期限/来源/自动化决策等信息 | 数据主体访问权审查 | 合同未约定数据主体访问权或设置不合理障碍/收费 | | 第16条 | 数据主体有权要求控制者更正不准确的个人数据;考虑到处理目的有权要求补充不完整的数据 | 更正权审查 | 合同未约定数据更正机制或约定更正需付费 | | 第17条 | 数据主体有权要求删除个人数据(被遗忘权);在数据不再必要/撤回同意/违法处理等情形下适用 | 被遗忘权审查 | 合同未约定数据删除权或约定删除后仍需"必要保留"但未限定范围 | | 第18条 | 数据主体有权限制处理:数据准确性争议期间/处理违法但反对删除/控制者不再需要但数据主体需要用于法律主张/反对处理期间 | 限制处理权审查 | 合同未约定限制处理机制或约定限制处理仍可"备份使用" | | 第20条 | 数据主体有权以结构化/常用/机器可读格式获取其个人数据并传输给另一控制者(数据可携权) | 数据可携权审查 | 合同未约定数据导出或迁移机制或约定数据格式不开放 | | 第21条 | 数据主体有权反对基于正当利益的处理;反对直接营销的权利应明确告知且无条件适用 | 反对权审查 | 合同未约定反对直接营销的权利或约定营销推送不可取消 | | 第22条 | 数据主体有权不受仅基于自动化处理(含画像)所作决策的约束,该决策对其产生法律效力或类似重大影响;控制者应保障数据主体获得人工干预/表达观点的权利 | 自动化决策审查 | 合同约定"智能评分/自动审批"但未约定人工干预和申诉机制 | | 第24条 | 控制者应实施适当政策并采取适当措施确保且能够证明处理符合GDPR(问责原则) | 问责原则审查 | 合同未要求控制者提供合规证明或处理记录 | | 第25条 | 数据保护通过设计(Privacy by Design)和默认设置(Privacy by Default) | 设计保护审查 | 合同约定系统开发但未要求内置隐私保护设计 | | 第28条 | 控制者应与处理者签订包含主题/期限/性质/目的/数据类型/义务等条款的数据处理协议(DPA) | DPA审查 | 合同缺少标准DPA条款或DPA条款不完整 | | 第30条 | 控制者和处理者应保存处理活动记录(处理目的/数据类别/接收方/跨境传输/保存期限/安全措施) | 处理记录审查 | 合同未约定处理活动记录保存义务 | | 第32条 | 控制者和处理者应实施适当技术组织措施(假名化/加密/韧性/测试等)确保安全水平与风险相适应 | 安全措施适当性审查 | 合同仅约定"采取安全措施"但未约定加密/假名化等具体措施 | | 第33条 | 发生个人数据泄露应在72小时内通知监管机构(除非不太可能产生风险) | 泄露通知审查 | 合同未约定数据泄露72小时通知义务 | | 第34条 | 个人数据泄露可能对自然人权利自由产生高风险时控制者应及时通知数据主体 | 主体通知审查 | 合同仅约定通知监管机构但未约定通知受影响的数据主体 | | 第35条 | 处理可能对自然人权利自由造成高风险的应事前进行数据保护影响评估(DPIA) | DPIA审查 | 合同涉及大规模处理/系统化监控/敏感数据但未约定DPIA | | 第37条 | 控制者和处理者在特定情形下应指定数据保护官(DPO):公共机构/核心活动需大规模常规监控/核心活动需大规模处理特殊类别数据 | DPO指定审查 | 合同涉及DPO强制指定情形但未约定指定数据保护官 | | 第44-49条 | 向第三国或国际组织传输个人数据需确保适当保护水平(充分性决定/标准合同条款SCC/约束性公司规则BCR/特定情形例外) | 跨境传输审查 | 合同约定向欧盟外传输个人数据但未采取SCC等适当保障措施 | | 第58条 | 监管机构有权进行调查/审计/发出警告/命令整改/临时/确定性限制禁令/行政罚款 | 监管执法审查 | 合同未约定配合监管调查义务或约定阻碍监管审计 | | 第82条 | 因违反GDPR受到损害的任何人有权从控制者或处理者获得赔偿;控制者和处理者对造成的全部损害承担连带责任 | 民事赔偿审查 | 合同未约定GDPR违规的民事赔偿连带责任 | | 第83条 | 违反GDPR可处最高2000万欧元或全球年营业额4%的行政罚款(以较高者为准) | 罚款风险提示 | 合同未约定GDPR违规责任分担与赔偿上限 |

📌 十、《中华人民共和国个人信息保护法》跨境规则补充(2022年配套)

| 规范文件 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 《数据出境安全评估办法》(2022年9月1日施行) | 符合下列情形应申报安全评估:CIIO出境/重要数据出境/处理100万人以上个人信息出境/累计出境10万人以上个人信息或1万人以上敏感个人信息 | 触发安全评估审查 | 合同涉及数据出境但未评估是否触发安全评估申报 | | 《数据出境安全评估办法》第5条 | 数据处理者申报数据出境安全评估应提交:数据出境安全评估申报书/数据出境影响评估报告/与境外接收方拟订立的合同/安全评估工作需要的其他材料 | 申报材料审查 | 合同约定数据出境但未准备安全评估申报所需材料 | | 《数据出境安全评估办法》第8条 | 数据出境安全评估重点评估:数据出境的必要性/合法性/正当性;境外接收方保护能力;数据出境后泄露/篡改/丢失的风险 | 评估重点审查 | 合同未约定境外接收方数据保护能力评估 | | 《数据出境安全评估办法》第14条 | 数据出境安全评估结果有效期为2年,有效期届满需继续出境的应重新申报 | 评估有效期审查 | 合同约定持续出境但未约定2年期满重新评估 | | 《个人信息出境标准合同办法》(2023年6月1日施行) | 未触发安全评估的个人信息出境可通过订立标准合同(SCC-CN)并完成备案 | 标准合同备案审查 | 合同约定个人信息出境但未签订SCC-CN或未完成备案 | | 《个人信息出境标准合同办法》第5条 | 通过标准合同出境应同时满足:非CIIO/非重要数据/处理个人信息不满100万人/累计出境个人信息不满10万人/累计出境敏感个人信息不满1万人 | 标准合同适用条件审查 | 不满足条件但仍采用标准合同而非安全评估 | | 《个人信息出境标准合同办法》第7条 | 签订标准合同之日起10个工作日内向省级网信部门备案 | 备案时限审查 | 合同未约定10个工作日内完成网信部门备案 | | 《个人信息保护影响评估指引》(GB/T 39335-2020) | 开展个人信息保护影响评估应涵盖:个人信息处理活动合法性/必要性/对个人权益影响/安全风险/保护措施有效性 | 影响评估内容审查 | 合同涉及个人信息出境但未约定进行保护影响评估 | | 《个人信息保护法》第38条 | 个人信息出境应具备下列条件之一:通过安全评估/经专业机构认证/订立标准合同/法律行政法规规定的其他条件 | 出境路径选择审查 | 合同约定数据出境但未明确采取哪种合规路径 | | 《个人信息保护法》第39条 | 向境外提供个人信息的应向个人告知:境外接收方名称/联系方式/处理目的/处理方式/个人信息种类/向境外接收方行使权利的方式和程序,并取得个人单独同意 | 出境告知同意审查 | 合同约定数据出境但未要求向个人告知或未取得单独同意 | | 《个人信息保护法》第55条 | 有下列情形应事前进行个人信息保护影响评估:处理敏感个人信息/利用个人信息进行自动化决策/委托处理/向其他处理者提供/公开/向境外提供 | 触发PIPIA审查 | 合同涉及上述情形但未约定事前影响评估 | | 《网信部门行政执法程序规定》 | 网信部门有权对数据出境活动进行监督检查/调查取证/责令整改/行政处罚 | 监管执法审查 | 合同未约定配合网信部门监督检查义务 | | 《数据出境安全评估申报指南》 | 数据处理者在数据出境前应开展数据出境风险自评估,自评估报告应包括:出境数据基本情况/数据处理者基本情况/境外接收方基本情况/数据出境风险 | 自评估审查 | 合同未约定出境前风险自评估或自评估内容不完整 |

📌 十一、《中华人民共和国劳动合同法》(2012年修正)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第7条 | 用人单位自用工之日起即与劳动者建立劳动关系;应当建立职工名册备查 | 劳动关系成立审查 | 劳务合同约定"不存在劳动关系"但实际符合用工特征 | | 第8条 | 用人单位招用劳动者时应如实告知工作内容/工作条件/工作地点/职业危害/安全生产状况/劳动者要求了解的其他情况 | 如实告知义务审查 | 合同未约定岗位真实工作条件或隐瞒职业病危害 | | 第9条 | 用人单位招用劳动者不得扣押居民身份证和其他证件,不得要求担保或收取财物 | 禁止收取担保物审查 | 合同约定扣押证件/收取保证金/扣押工资作为担保 | | 第10条 | 建立劳动关系应订立书面劳动合同;已用工未同时订立的应在一个月内订立 | 书面合同义务审查 | 实际用工超过一个月仍未签订书面劳动合同 | | 第14条 | 连续订立二次固定期限劳动合同后续订的应订立无固定期限合同;劳动者在用人单位连续工作满十年的应订立无固定期限合同 | 无固定期限合同触发审查 | 合同约定连续第三次仍签固定期限合同规避无固定期限义务 | | 第17条 | 劳动合同必备条款:合同期限/工作内容/工作地点/工作时间/休息休假/劳动报酬/社会保险/劳动保护/职业危害防护 | 必备条款审查 | 劳动合同缺少工作地点/社会保险/职业危害防护等必备条款 | | 第19条 | 合同试用期期限:合同3个月至1年试用不超过1个月;1年至3年不超过2个月;3年以上及无固定期限不超过6个月 | 试用期上限审查 | 1年期合同约定3个月试用期或仅约定试用不约定合同期限 | | 第20条 | 试用期工资不得低于本单位相同岗位最低档工资或约定工资的80%,且不得低于当地最低工资标准 | 试用期工资审查 | 试用期工资低于约定工资80%或低于当地最低工资标准 | | 第22条 | 用人单位为劳动者提供专项培训费用进行专业技术培训的,可约定服务期与违约金;违约金不得超过培训费用未分摊部分 | 培训服务期违约金审查 | 约定过高的培训违约金或对非专项培训约定服务期违约金 | | 第23条 | 对负有保密义务的劳动者可约定竞业限制条款;竞业限制期限内按月给予经济补偿 | 竞业限制审查 | 约定竞业限制但不约定经济补偿或补偿明显过低 | | 第24条 | 竞业限制期限不得超过二年;竞业限制人员限于高级管理人员/高级技术人员/其他负有保密义务的人员 | 竞业限制对象与期限审查 | 对普通员工约定竞业限制或竞业限制期限超过二年 | | 第25条 | 除本法第22条(培训服务期)和第23条(竞业限制)约定的情形外,用人单位不得与劳动者约定由劳动者承担违约金 | 违约金限制审查 | 合同约定劳动者提前离职需支付违约金(非培训/竞业限制情形) | | 第26条 | 以欺诈/胁迫/乘人之危手段订立或免除用人单位法定责任/排除劳动者权利的劳动合同无效或部分无效 | 合同无效审查 | 合同约定"自愿放弃社保""工伤概不负责"等排除法定权利条款 | | 第31条 | 用人单位应当严格执行劳动定额标准,不得强迫或变相强迫加班;安排加班应按国家规定支付加班费 | 加班与加班费审查 | 合同约定"薪资已含加班费"或约定加班不支付加班费 | | 第38条 | 用人单位未及时足额支付劳动报酬/未缴纳社保/规章制度违法损害权益/以暴力威胁或非法限制人身自由强迫劳动的,劳动者可即时解除 | 劳动者即时解除权审查 | 合同约定劳动者需提前6个月通知才能离职(排除即时解除权) | | 第42条 | 患病或非因工负伤在规定医疗期内/女职工孕期产期哺乳期/在本单位连续工作满十五年且距法定退休年龄不足五年的,不得依第40/41条解除 | 解除保护审查 | 合同约定医疗期内/孕期/哺乳期可解除或约定"孕期自动离职" | | 第57-64条 | 劳务派遣单位应与劳动者订立二年以上固定期限合同;派遣用工只能在临时性/辅助性/替代性岗位上实施;派遣员工享有同工同酬权利 | 劳务派遣合规审查 | 合同约定长期派遣至主营业务岗位或派遣员工薪酬低于同岗位正式员工 | | 第66条 | 劳务派遣是企业用工的补充形式,用工数量不得超过其用工总量的10% | 派遣比例审查 | 派遣用工数量超过企业用工总量10% | | 第74条 | 劳务派遣单位不得克扣用工单位按照劳务派遣协议支付给劳动者的劳动报酬 | 派遣薪酬克扣审查 | 派遣协议约定从劳动者报酬中提取管理费 | | 第85条 | 用人单位未按时足额支付劳动报酬/加班费/经济补偿的,由劳动行政部门责令限期支付;逾期不支付的按应付金额50%-100%加付赔偿金 | 欠薪处罚审查 | 合同约定用人单位可延期支付工资超30天 |

📌 十二、《中华人民共和国反垄断法》(2022年修正)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第13条 | 禁止具有竞争关系的经营者达成垄断协议:固定价格/限制产量/分割市场/限制新技术/联合抵制交易 | 横向垄断协议审查 | 合同约定与竞争对手固定转售价格或分割销售区域 | | 第14条 | 禁止经营者与交易相对人达成垄断协议:固定转售价格/限定最低转售价格 | 纵向垄断协议审查 | 经销合同约定最低转售价格或禁止降价促销 | | 第15条 | 经营者能够证明所达成的协议属于豁免情形(改进技术/提高质量/提高效率/维护公共利益/经济不景气缓解销量严重下降/维护对外贸易正当利益等)的,不适用第13/14条 | 豁免抗辩审查 | 合同含价格协同条款但未论证豁免条件或无法举证符合豁免情形 | | 第17条 | 禁止具有市场支配地位的经营者从事滥用行为:不公平价格/低价倾销/拒绝交易/限定交易/搭售/差别待遇 | 滥用市场支配地位审查 | 合同约定强制搭售/排他性交易/不合理差别定价 | | 第18条 | 认定市场支配地位应依据:市场份额/控制市场能力/财力和技术条件/交易依赖程度/进入市场难易程度等 | 支配地位认定审查 | 合同一方市场份额超50%但未评估是否构成支配地位 | | 第21条 | 经营者集中达到申报标准的应事先向反垄断执法机构申报,未申报的不得实施集中 | 经营者集中申报审查 | 并购/合资合同涉及经营者集中但未约定反垄断申报程序 | | 第26条 | 审查经营者集中应考虑:参与集中经营者在相关市场的市场份额及控制力/市场集中度/对市场进入和技术进步的影响/对消费者和其他经营者的影响/对国民经济发展的影响 | 集中审查因素审查 | 并购合同未评估对相关市场竞争的影响 | | 第32条 | 经营者涉嫌垄断行为的,反垄断执法机构可以采取下列措施:进入营业场所检查/查阅复制文件资料/查封扣押相关证据/查询银行账户 | 反垄断调查应对审查 | 合同未约定配合反垄断调查义务及文件保存要求 | | 第56条 | 经营者实施垄断协议或滥用市场支配地位的,没收违法所得并处上一年度销售额1%-10%的罚款;达成但未实施的可处50万元以下罚款 | 垄断行为处罚审查 | 合同含垄断条款但未评估可能面临的罚款风险(上一年度销售额1%-10%) | | 第63条 | 对情节特别严重/影响特别恶劣/造成特别严重后果的违法行为,可在罚款数额二倍以上五倍以下确定具体罚款数额 | 加重处罚审查 | 合同含系统性垄断安排可能触发加重处罚(2-5倍) |

📌 十三、《中华人民共和国电子商务法》(2019年1月1日施行)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第10条 | 电子商务经营者应当依法办理市场主体登记并公示营业执照;个人销售自产农副产品/家庭手工业产品/零星小额交易除外 | 经营资质审查 | 平台入驻合同未要求商家办理市场主体登记 | | 第11条 | 电子商务经营者应当依法纳税并出具纸质发票或电子发票 | 纳税义务审查 | 合同约定平台或商家不承担纳税义务或不开具发票 | | 第12条 | 电子商务经营者从事经营活动需要取得相关行政许可的,应当依法取得行政许可 | 行业资质审查 | 特殊商品(食品/药品/医疗器械)销售合同未要求取得行政许可 | | 第15条 | 电子商务经营者应当在其首页显著位置公示营业执照/行政许可/注销等信息的链接标识 | 信息公示审查 | 合同未约定经营者信息公示义务 | | 第17条 | 电子商务经营者不得以虚构交易/编造用户评价等方式进行虚假或引人误解的商业宣传 | 刷单刷评审查 | 合同约定委托第三方刷单/刷好评/删除差评 | | 第18条 | 电子商务经营者根据消费者的兴趣爱好/消费习惯等向其提供商品或服务搜索结果的,应当同时向消费者提供不针对其个人特征的选项 | 算法推荐公平性审查 | 合同约定个性化推荐但未约定提供非个性化选项 | | 第19条 | 电子商务经营者搭售商品或服务应当以显著方式提请消费者注意,不得将搭售作为默认同意选项 | 搭售合规审查 | 合同约定默认勾选搭售商品或服务 | | 第22条 | 电子商务经营者不得利用服务协议/交易规则/技术等手段对平台内经营者在平台内的交易/交易价格/交易条件等进行不合理限制或附加不合理条件 | 平台经营者公平规则审查 | 平台合同约定"二选一"排他条款或强制促销参与 | | 第23条 | 电子商务经营者收集/使用用户个人信息应当遵守个人信息保护法律行政法规 | 数据合规审查 | 电商合同未约定个人信息收集/使用规则或超出必要范围 | | 第24条 | 电子商务经营者应当明示用户信息查询/更正/删除/注销的方式/程序,不得对用户信息查询/更正/删除设置不合理条件 | 用户权利审查 | 合同约定用户无法删除个人信息或设置繁琐的注销程序 | | 第27条 | 电子商务平台经营者应当建立知识产权保护规则,与知识产权权利人建立合作机制 | 知识产权保护审查 | 平台合同未约定知识产权投诉/下架机制 | | 第38条 | 电子商务平台经营者知道或应当知道平台内经营者销售的商品或提供的服务不符合保障人身/财产安全要求或其他侵害消费者合法权益行为,未采取必要措施的,依法与平台内经营者承担连带责任 | 平台连带责任审查 | 平台合同未约定对违法商品/服务的主动巡查和下架机制 | | 第39条 | 电子商务平台经营者不得删除消费者对其平台内销售的商品或提供的服务的评价 | 评价管理审查 | 合同约定平台可删除差评或仅展示好评 | | 第43条 | 电子商务平台经营者接到知识产权权利人投诉后应当及时采取删除/屏蔽/断开链接/终止交易和服务等必要措施 | 侵权投诉处理审查 | 合同未约定知识产权投诉响应时限和处理流程 | | 第58条 | 电子商务平台经营者违反本法规定受到行政处罚的,记入信用档案并公示 | 信用档案审查 | 合同未约定行政处罚的信用影响评估 |

📌 十四、《中华人民共和国著作权法》(2020年修正)

| 条款 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 第3条 | 本法所称作品是指文学/艺术和科学领域内具有独创性并能以一定形式表现的智力成果,包括文字作品/口述作品/音乐/美术/建筑/摄影/视听/软件等 | 作品范围审查 | 合同未明确约定标的物是否构成受保护作品 | | 第10条 | 著作权包括人身权(发表/署名/修改/保护作品完整)和财产权(复制/发行/出租/展览/表演/放映/广播/信息网络传播/摄制/改编/翻译/汇编等) | 权利范围审查 | 合同仅约定"使用权"但未明确具体权项(如信息网络传播权/改编权) | | 第11条 | 著作权属于作者,创作作品的自然人是作者;由法人或非法人组织主持代表其意志创作并由其承担责任的作品视为作者 | 权属认定审查 | 合同约定法人作品但实际由自然人独立创作/委托作品未约定权属 | | 第13条 | 改编/翻译/注释/整理已有作品而产生的作品,其著作权由改编/翻译等作者享有,但行使著作权时不得侵犯原作品的著作权 | 演绎作品审查 | 合同约定演绎作品著作权归属但未取得原作品权利人授权 | | 第14条 | 合作作品的著作权由合作作者共同享有;通过协商一致行使;不能协商一致又无正当理由的任何一方不得阻止他方行使除转让/许可以外的权利 | 合作作品审查 | 合同约定一方单独享有合作作品著作权或单方转让 | | 第15条 | 汇编若干作品/作品片段/不构成作品的数据材料,对其内容的选择/编排体现独创性的为汇编作品,其著作权由汇编人享有但行使不得侵犯原作品著作权 | 汇编作品审查 | 合同约定汇编作品著作权但未取得原作品授权 | | 第17条 | 视听作品的著作权由制作者享有,但编剧/导演/摄影/词曲作者享有署名权和获得报酬权;委托创作视听作品的著作权归属由合同约定 | 视听作品权属审查 | 视听制作合同未约定著作权归属导致默认归制作者 | | 第19条 | 受委托创作的作品,著作权的归属由委托人和受托人通过合同约定;合同未作明确约定或未订立合同的著作权属于受托人 | 委托作品权属审查 | 委托创作合同未约定著作权归属导致著作权归受托人 | | 第24条 | 使用他人作品应当同著作权人订立许可使用合同;许可使用合同包括许可使用权利种类/是否专有/地域范围/期间/报酬标准/违约责任 | 许可使用合同审查 | 合同未约定许可权利种类/地域/期间或约定"全球永久使用权"表述模糊 | | 第25条 | 转让著作权财产权的应订立书面合同;合同包括作品名称/转让权利种类/地域范围/转让价金/交付日期/违约责任 | 著作权转让审查 | 著作权转让未采用书面形式或转让条款缺少必备内容 | | 第27条 | 许可使用合同/转让合同中著作权人未明确许可/转让的权利,未经著作权人同意另一方不得行使 | 权利保留审查 | 合同约定"所有权利转让"但未列明具体权项或超出约定范围使用 | | 第28条 | 以低于权利人正常授权价格使用作品且不能证明合法来源的,承担举证责任 | 合理授权价格审查 | 合同约定极低使用费可能构成侵权 | | 第47条 | 未经著作权人许可发表其作品/未经合作作者许可将与他人合作创作的作品当作自己单独创作的作品发表/没有参加创作在他人作品上署名/歪曲篡改他人作品的,应当承担停止侵害/消除影响/赔礼道歉/赔偿损失等民事责任 | 侵权行为审查 | 合同约定署名方式与实际创作不符或约定可未经许可发表 | | 第52条 | 侵犯著作权或与著作权有关权利的,侵权人应按权利人实际损失/侵权人违法所得/权利使用费给予赔偿;难以计算的由法院根据侵权情节判决500元以上500万元以下赔偿 | 赔偿标准审查 | 合同约定侵权赔偿金额低于法定标准或约定排除法定赔偿 | | 第54条 | 著作权人或与著作权有关权利人可以向人民法院申请采取责令停止有关行为/财产保全/证据保全的措施 | 保全措施审查 | 合同未约定侵权取证义务或约定妨碍权利人申请保全 |

📌 十五、《中华人民共和国建筑法》(2019年修正)及《建设工程质量管理条例》(2019年修正)

| 条款/条文 | 要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 建筑法第7条 | 建筑工程开工前建设单位应申请领取施工许可证;未领取的不得开工 | 施工许可审查 | 建设合同未约定施工许可证办理责任或未领取即开工 | | 建筑法第13条 | 从事建筑活动的建筑施工企业/勘察单位/设计单位/工程监理单位应当具备相应的资质等级并在其资质等级许可的范围内承揽工程 | 承包资质审查 | 合同约定承包方超资质等级承揽工程或借用他人资质 | | 建筑法第24条 | 提倡对建筑工程实行总承包,禁止将建筑工程肢解发包;不得将应当由一个承包单位完成的建筑工程肢解成若干部分发包给几个承包单位 | 肢解发包审查 | 合同约定将一个单位工程人为拆分发包规避资质或招标要求 | | 建筑法第26条 | 承包建筑工程的单位应当持有依法取得的资质证书并在其资质等级许可的业务范围内承揽工程;禁止超越资质/借用资质/以任何形式用其他建筑施工企业名义承揽工程 | 资质挂靠审查 | 合同约定或实际存在借用资质/挂靠施工 | | 建筑法第28条 | 禁止承包单位将其承包的全部建筑工程转包给他人;禁止将其承包的全部建筑工程肢解后以分包名义分别转包给他人 | 转包审查 | 合同约定或将工程全部转包或肢解后以分包名义转包 | | 建筑法第29条 | 建筑工程总承包单位可以将承包工程中的部分工程发包给具有相应资质条件的分包单位;但除总承包合同中约定的分包外必须经建设单位认可;施工总承包的建筑工程主体结构的施工必须由总承包单位自行完成 | 分包合规审查 | 合同约定分包未经建设单位认可或主体结构分包给第三方 | | 质量管理条例第4条 | 建设单位/勘察单位/设计单位/施工单位/工程监理单位依法对建设工程质量负责 | 质量责任审查 | 合同约定建设单位免除质量责任或约定质量责任全部由施工方承担 | | 质量管理条例第7条 | 建设单位应当将施工图设计文件报县级以上人民政府建设行政主管部门或其他有关部门审查;未经审查批准的不得使用 | 图审义务审查 | 合同未约定施工图审查程序或约定未经审查即施工 | | 质量管理条例第11条 | 建设单位应当将工程发包给具有相应资质等级的单位,不得将建设工程肢解发包 | 发包合规审查 | 建设合同约定将工程发包给无资质或低资质单位 | | 质量管理条例第13条 | 建设单位在领取施工许可证或开工报告前应当按照国家有关规定办理工程质量监督手续 | 质量监督审查 | 合同未约定办理质量监督手续或未办即开工 | | 质量管理条例第25条 | 施工单位应当建立质量责任制;施工单位必须按照工程设计图纸和施工技术标准施工,不得偷工减料 | 施工质量审查 | 合同约定施工方可按"实际条件"调整设计或材料但无变更审批程序 | | 质量管理条例第28条 | 施工单位必须按照工程设计要求/施工技术标准和合同约定对建筑材料/建筑构配件/设备和商品混凝土进行检验,未经检验或检验不合格的不得使用 | 材料检验审查 | 合同约定可使用"等效替代"材料但未约定检验和审批程序 | | 质量管理条例第32条 | 施工单位对施工中出现质量问题的建设工程或竣工验收不合格的建设工程应当负责返修 | 返修责任审查 | 合同约定施工单位对质量问题免责或限定返修次数 | | 质量管理条例第39条 | 建设工程的保修期自竣工验收合格之日起计算;建设工程在保修范围和保修期限内发生质量问题的施工单位应当履行保修义务并对造成的损失承担赔偿责任 | 保修责任审查 | 合同约定保修期短于法定最低期限或约定保修期自完工而非验收合格起算 | | 质量管理条例第40条 | 法定最低保修期限:基础设施工程/房屋建筑的地基基础工程和主体结构工程为设计文件规定合理使用年限;屋面防水/有防水要求的房间为5年;供热与供冷系统为2个采暖/供冷期;电气管线/给排水管道/设备安装/装修工程为2年 | 保修期限审查 | 合同约定保修期限低于法定最低标准或约定"验收后即免除保修" | | 质量管理条例第41条 | 建设工程在保修范围和保修期限内发生质量问题的,施工单位应当履行保修义务,对造成的损失承担赔偿责任 | 保修赔偿审查 | 合同约定保修只修不赔或限定赔偿上限 |

📌 十六、金融行业合规专项(资管新规/商业银行法/反洗钱法)

| 规范文件 | 条款/要点 | 审计关注点 | 典型违规场景 | |:---|:---|:---|:---| | 《关于规范金融机构资产管理业务的指导意见》(资管新规/2018年) | 打破刚性兑付:金融机构开展资产管理业务时不得承诺保本保收益;出现兑付困难时金融机构不得以任何形式垫资兑付 | 刚兑禁止审查 | 理财/资管合同约定保本保收益或暗示保本 | | 资管新规 | 资管产品分类:固定收益类/权益类/商品及金融衍生品类/混合类;投资者分为不特定社会公众和合格投资者(家庭金融资产不低于500万元或近3年年均收入不低于40万元) | 产品分类与投资者适当性审查 | 合同约定向非合格投资者销售私募资管产品 | | 资管新规 | 资管产品投资非标准化债权资产的,应当遵守限额管理/流动性管理等监管标准;非标余额不得超过资管产品净资产的35% | 非标投资限额审查 | 资管合同约定非标投资超35%限额 | | 资管新规 | 资管产品应当实行第三方独立托管;金融机构不得使用资管产品资金为自身或关联方融资 | 独立托管与关联交易审查 | 合同约定资管产品由管理人自身托管或约定资金用于关联方融资 | | 资管新规 | 资管产品应当实现净值化管理,真实反映基础金融资产的收益和风险 | 净值化管理审查 | 合同约定固定收益分配而非净值化管理 | | 《中华人民共和国商业银行法》(2015年修正)第7条 | 商业银行开展信贷业务应当严格审查借款人的资信/还款能力/还款方式/保证人资质等 | 信贷审查义务 | 贷款合同未约定资信审查程序或约定免审查 | | 商业银行法第36条 | 商业银行贷款借款人应当提供担保;商业银行应当对保证人的偿还能力/抵押物/质物的权属和价值以及实现抵押权/质权的可行性进行严格审查 | 担保审查义务 | 担保合同未约定对担保物价值评估和审查程序 | | 商业银行法第39条 | 商业银行贷款应遵守资产负债比例管理:资本充足率不低于8%/流动性比例不低于25%/对同一借款人贷款余额与商业银行资本净额之比不超过10% | 贷款比例审查 | 贷款合同约定单一客户贷款超资本净额10% | | 商业银行法第40条 | 商业银行不得向关系人发放信用贷款;向关系人发放担保贷款的条件不得优于其他借款人同类贷款条件 | 关联贷款审查 | 合同约定向银行关系人发放信用贷款或优惠条件贷款 | | 商业银行法第42条 | 借款人应当按期归还贷款的本金和利息;借款人到期不归还担保贷款的商业银行依法享有要求保证人归还贷款本金和利息或就该担保物优先受偿的权利 | 贷款清偿审查 | 贷款合同约定免除借款人还款义务或延迟还款不加收利息 | | 《中华人民共和国反洗钱法》(2006年施行)第3条 | 在中华人民共和国境内设立的金融机构和按照规定应当履行反洗钱义务的特定非金融机构应当依法采取预防/监控措施建立健全反洗钱内控制度 | 反洗钱内控审查 | 金融服务合同未约定反洗钱内控制度 | | 反洗钱法第16条 | 金融机构应当按照规定建立客户身份识别制度,在与客户建立业务关系或规定金额以上现金交易/跨境汇款时要求客户出示真实有效的身份证件 | 客户身份识别审查 | 合同未约定客户身份识别程序或约定可跳过KYC流程 | | 反洗钱法第17条 | 金融机构通过第三方识别客户身份的应当确保第三方已经采取符合本法要求的客户身份识别措施;第三方未履行义务的由该金融机构承担未履行客户身份识别义务的责任 | 第三方KYC责任审查 | 合同约定委托第三方识别客户身份但未约定第三方合规要求和责任划分 | | 反洗钱法第19条 | 金融机构应当按照规定建立客户身份资料和交易记录保存制度;客户身份资料自业务关系结束当年起至少保存5年/交易记录自交易记账当年起至少保存5年 | 记录保存审查 | 合同未约定交易记录保存年限或约定保存期短于5年 | | 反洗钱法第20条 | 金融机构应当按照规定执行大额交易和可疑交易报告制度;发现可疑交易应当及时向反洗钱信息中心报告 | 可疑交易报告审查 | 合同未约定大额/可疑交易报告义务或约定不得报告 |

🔍 知识库使用规则

  1. 优先检索:执行"法规映射"步骤时,Agent 应首先在上述知识库中匹配相关法条,确保引用的条款编号与要点与知识库一致。
  2. 精准引用:风险条款映射表中的"对应法规"列应填写为 《法规名称》第X条 格式,并附核心要点(5-15字)。
  3. 知识库外补充:当用户指定的 compliance_scope 中包含知识库未收录的法规(如行业专项法规、地方法规等),Agent 应依据公开法律文本自行补充映射,并在输出报告中标注"⚠️ 以下法规未在内置知识库中,引用准确性请人工复核"。
  4. 版本标注:输出报告中法规名称后应标注施行日期或修正版本(如:《政府采购法》(2014年修正)),以便用户确认时效性。
  5. 更新提示:法规知识库基于发布日截面的法律文本编制,如遇法规修订,Agent 应在报告中提示"⚠️ 该法规可能有最新修订,建议核实当前有效版本"。