中国企业出海正处于一个快速发展和变革的阶段,呈现出了多元化、深度化、快速化的趋势,例如中兴通讯[1]、联想[2]等公司在全球多个国家和地区建立了研发和生产基地,积极布局海外市场;比亚迪[3]、蔚来汽车[4]等企业在全球电动汽车市场取得了显著进展,并通过技术输出积极开拓国际市场;天猫国际[5]、京东国际[6]、拼多多[7]等大型电商平台在加速拓展海外市场,越来越多的中小型企业也借助跨境电商平台走向国际市场;TikTok等数字产品在在全球社交媒体领域获得的巨大成功,成为中国企业数字化转型的重要标志。这些成就展示了中国企业在全球化进程中面临着前所未有的机遇。
另一方面,数据合规问题已成为企业出海进程中不可避免的重要课题。不同国家和地区的法律法规差异,使得企业在出海过程中,面临数据跨境流动以及不同法域下业务经营过程中数据处理的合规挑战。由于数据与其他资源要素的不同特点,以及技术迭代、模式创新等的快速发展,使得企业出海过程中的数据合规问题充满复杂性和不确定性。基于我们在数据合规领域中的研究成果以及在相关案例中的经验积累,我们希望借助企业出海数据合规系列文章(上篇)为出海企业或有计划出海的企业介绍出海过程中需要重点关注的目标国数据合规问题,并在(下篇)介绍数据跨境问题,帮助企业有效减少数据合规风险,为企业出海乘风破浪提供参考和助力。
一、欧盟、美国、日本、东南亚等主要出海目标国家/地区的数据保护立法情况
基于构建“单一数据市场”的目标,自2015年以来,欧盟通过一系列数据立法改革,在数据安全方面形成了较为完善的法律体系。欧盟的数据安全保护立法将数据分为个人数据和非个人数据,明确了数据保护和数据流动相关规定。2018年5月,欧盟开始正式实施《通用数据保护条例》(General Data Protection Regulation, GDPR)《数据保护执法指令》(Data Protection Law Enforcement Directive),并将其作为个人数据保护立法核心,旨在加强对个人数据的保护;2020年欧盟通过并在2023年年底实施《数据治理法案》(Data Governance Act)《数字服务法案》(Digital Service Act)和《数字市场法案》(Digital Market Act),并在2023年通过、2025年实施《数据法案》(Data Act)等一系列与数据流通、平台治理相关的法律,配合网络安全、人工智能等相关法案或指令,形成了全面的数据保护框架。
GDPR是欧盟个人数据保护和隐私的核心法律文件,旨在加强和统一所有成员国的个人数据保护标准。GDPR构建了个人数据保护规则的总体框架,涵盖了总则,原则,数据主体权利,控制和处理者,个人数据向第三国或国际组织的传输,独立监督机构,合作与协调,救济、责任和处罚,特定处理情形,授权与实施行为,最终条款等11章内容,其重点内容包括个人数据处理的合法性基础,特殊数据的处理原则,数据主体的权利,数据控制者和处理者的义务,数据跨境传输等重要合规方面。随着GDPR实施和不断发展,欧盟委员会同时发布了多项指南和工具,帮助相关方在实际操作下更好地遵守GDPR的要求,确保个人数据处理的合规性。
此外,欧盟另有《数据保护指令》规定处理与刑事犯罪或执行刑事处罚有关的个人数据的保护措施,及2018/1725 号条例[8]规定欧盟机构、团体、办事处和代理机构处理个人数据的规则,上述文件与GDPR共同构成了欧盟处理个人数据的主要法律规范。
《数据治理法》和《数据法案》在数据保护的基础上,进一步强调了欧盟境内的数据流通和数据可利用性。
《数据治理法》通过公共部门数据汇集、数据中介服务等规定搭建了促进公司、个人和公共部门共享数据的流程和框架,强化要求通过创造安全且便利的数据共享可信工具,以加强个人和企业对自愿共享数据的信任。
《数据法案》旨在增强欧盟数据经济并促进竞争性数据市场,通过提高数据(特别是工业数据)的可访问性和可用性,鼓励数据驱动型创新,增加数据的可及性。
其他数据条例,例如《非个人数据自由流动条例》也旨在规范和促进非个人数据在欧盟境内的自由流动。
《数字服务法案》和《数字市场法案》更多关注于线上平台在数据生态中承担的责任和义务。
《数字服务法案》着眼于普通消费者与强势平台方之间的关系,更加关注在线平台的责任承担与责任分配,系统化地规定了在线平台在处理非法内容以及向消费者出售假冒伪劣商品等方面的责任。
《数字市场法案》则聚焦如何解决欧盟内部市场所存在的不公平竞争的问题,将规模较大、覆盖范围较广、对内部市场具有重大影响的在线平台定义为“守门人”,并通过为其创设一系列监管规则和事前义务,旨在阻止“守门人”从事不合理的商业行为,进而确保数字服务的开放性与有序性。
欧盟还陆续颁布了《网络安全法案》(Cybersecurity Act)《网络弹性法案》(Cyber Solidarity Act)和《网络团结法案》(Cyber Resilience Act)及相关指令或条例,明确规定了相关主体的网络安全义务,加强了欧盟在应对网络威胁方面的能力,同时构建了欧盟内部的网络安全合作机制。
2024年4月,欧盟还批准通过了全球首部针对人工智能的专门性法律——《人工智能法案》(Artificial Intelligence Act),为整个人工智能产业链上的相关方提供了合规义务框架。
上述法律法规既代表着欧盟在网络、数据安全立法方面的快速发展,也意味着对企业履行合规义务的强化要求。综上,企业赴欧开展业务将面临欧盟日益复杂和严格的数据保护和监管要求:首先,在数据处理方面,企业必须履行作为数据控制者或数据处理者的相关义务,确保满足数据全生命周期的处理要求,并有效维护和响应数据主体的权利。其次,企业需特别关注跨境数据流动和特殊数据处理所涉及的额外合规要求。另外,若企业涉及在线平台运营,还需遵守在处理非法内容、保护消费者权益等方面的要求。同时,企业还应在网络技术架构和运营流程上符合欧盟的安全标准和技术法规。
与欧盟数据保护体系有所不同,美国并未在联邦层面形成统一的数据保护法,其数据保护规定散见于美国各行业和特定领域的法律法规中,同时结合联邦各州数据和隐私保护立法对个人数据保护进行规范。以美国最为关注的隐私和数据保护为例,相关立法如下:
美国在众多行业或特定领域均对隐私和数据提出了保护要求。
在美国联邦数据法律迟迟未能出台的同时,在州级法律层面,美国各州正在积极提出并通过综合性个人数据保护法案。迄今为止,包括加利福尼亚州、俄勒冈州、科罗拉多州、康涅狄格州、弗吉尼亚州、德克萨斯州在内的总共19个州已颁布了全面的数据和隐私法,并围绕14个关键事项做出相应规定,包括9项数据主体权利,即访问权、更正权、删除权、限制处理的权利、可携带权、拒绝出售权、敏感数据处理同意权、反对自动化决策权、私力救济权,以及5项企业义务,即基于默认同意(要求年龄)、通知/透明度要求、风险评估、歧视禁止、目的/处理限制等[9]。
企业在赴美开展业务时,面临的数据合规挑战主要来源于美国复杂且多层次的数据保护法规体系,既包括联邦层面不同行业的数据保护要求,还需要应对州级法律的挑战。不同州可能存在数据主体权利和企业义务的不同要求。企业需要深入了解联邦与州级法律的差异,并根据业务所在州的具体要求调整数据保护措施,确保全面合规。如企业还涉及跨州经营,则须遵守各州的不同规定,确保符合多样化的合规标准。此外,鉴于全球政治波动和贸易摩擦可能导致数据跨境流动的监管收紧,企业还需关注跨境监管要求的变化,及时调整合规策略。
日本《个人信息保护法》(Act on the Protection of Personal Information, APPI)是日本关于个人信息保护的核心法律,通过明确个人信息保护措施、国家和地方政府的责任和义务、个人信息处理者的义务,确保数据的有效保护并促进数据的适当利用。
2、东南亚地区
东南亚国家在数据立法上深受欧盟GDPR的影响,并根据各自的经济发展水平、政治环境和社会需求,制定了不同的数据保护法规。新加坡作为亚洲发达国家,被认为是东南亚地区数据保护法规发展最为成熟的国家之一,其《个人数据保护法》在亚洲范围内都具有较高的影响力。马来西亚作为中国重要的东盟贸易伙伴国,其《个人数据保护法》也是东南亚地区较为完善的数据保护法律之一,近年来也在进行更新和修订,以适应新的数据保护挑战。越南作为近年来全球企业最关注的投资目的地之一,其个人数据保护法框架也在逐渐发展完善。越南在2023年发布了《个人数据保护法令》作为个人数据保护的主要法律工具。在2024年9月,越南又对《个人数据保护法》公开征求意见,预计将在2024年底前提交国会并将在2025年提交通过。与此同时,其他国家如老挝和柬埔寨在数据立法方面则刚刚起步,其数据保护法规仍在发展和完善中。
新加坡、马来西亚和越南的数据保护合规重点比较如下:
结合各国地区数据合规要点的比较,可见亚洲各国的个人数据保护法规存在较大差异,涉及数据处理的合法性基础、数据主体权利、数据处理者义务以及跨境数据传输等方面的要求各不相同。同时,尽管监管重点可能类似,各国监管机构在执法力度、合规检查和罚款执行上的差异,意味着企业面临的合规风险可能存在显著差异。
结合对欧洲、美国、日本和东南亚等地区数据立法的梳理可见,企业在出海过程中面临着复杂且动态的法律合规挑战。
首先,不同目标国的数据保护框架体系差异显著,数据保护法律法规既繁杂又多样,难以仅凭单一国家的数据合规经验直接照搬或简单套用他国法律要求。
其次,全球数据法律法规发展迅速,目标国数据保护法律和行业标准不断更新,要求企业具备快速识别、响应、调整的能力。此外,除了一般性数据保护规定外,目标国对行业数据或特殊数据(如金融、医疗、通信领域数据,或儿童数据等)的保护要求更加严格,为企业提出了更高的合规门槛。同时,数据合规不仅关系到企业自身,还涉及供应链及合作伙伴的合规性,这种跨主体的合规需求进一步加剧了企业在数据合规方面的挑战。
在合规要求不断强化的背景下,企业面临的违法代价也相当高昂,例如:2023年,欧洲数据保护委员会对违反欧盟《通用数据保护条例》(GDPR)的公司开出了超过19亿欧元的罚单。同年,抖音集团旗下的TikTok因在处理儿童个人数据时存在违规行为,被爱尔兰数据保护委员会处以3.45亿欧元的罚款。2024年,拼多多因旗下跨境电商平台Temu涉嫌违反阿肯色州的《欺骗性贸易行为法》和《个人信息保护法》,被阿肯色州总检察院提起诉讼并面临每次违法处罚10,000美元的民事赔偿及其他金钱公平救济。2024年,阿里巴巴旗下的全球电商平台阿里速卖通也因违反韩国《个人信息保护法》关于个人信息跨境传输的相关规定,被韩国个人信息保护委员会处以19. 8亿韩元的处罚。这些案例也凸显了企业在全球范围内合规经营的巨大挑战和潜在风险。
对于上述合规挑战,我们建议企业可从以下角度予以应对:
在开展国际化业务之前,企业需全面梳理业务场景,按照行业-业务-数据的视角,明确业务落入的监管领域和涉及的数据类别。同时,应对数据流向进行系统性分析,涵盖数据全生命周期管理,识别参与数据处理的主体及其角色与责任。这种梳理不仅为合规工作提供了基本依据,也为后续合规策略的制定和执行奠定基础。
(二)了解目标国的数据保护要求,并进行对标评估,完善措施
企业应系统梳理出海国家和对应的数据保护法律法规及行业或领域的特殊监管要求。在此基础上,根据出海业务数据实际情况,制定一国一策的数据合规方案。同时,建议通过建立数据合规要点清单,逐条对标评估业务活动与目标国合规标准的匹配度,识别差距并采取针对性措施进行改进,确保合规义务的全面覆盖。
企业可根据自身需求,按照国家/地区分别制定数据保护政策,或按照较高标准建立覆盖全球的数据统一规则,并针对有特殊保护要求的国家/地区单设特别保护条款。此外,企业应搭建覆盖规章制度、组织架构、管理体系、技术措施等的数据保护体系,形成以管理制度和技术保障为核心的全面合规机制,确保数据保护实践具备前瞻性和适应性。
(四)持续关注目标国数据法律动态,及时调整并对照自查
数据保护立法及执法标准具有动态性,企业需持续关注目标国家的数据保护立法趋势、法规更新以及执法案例,定期更新合规评估要点清单,并对业务场景、管理措施、技术架构等进行重新评估。此外,企业还应通过内部自查或外部审计及时发现潜在合规风险,确保合规要求的动态适配,减少因合规滞后带来的运营风险。
企业在出海过程中面临的数据合规挑战不仅来自于复杂且不断变化的各国数据保护法律体系,还源于不同国家和地区在法规执行和监管重点上的差异。随着数据合规要求的日益严格,我们建议出海企业加强合规意识,提前进行充分的合规规划和风险评估。同时,保持灵活性,确保能够根据法律的变化及时调整合规策略。通过建立健全的数据保护体系、加强合规文化建设,以便更好地应对数据合规挑战,确保顺利开展国际化业务,降低合规性风险,实现出海业务的可持续发展。在下篇中我们将以各出海目标主要国家和地区的数据跨境规则为主要内容,为企业进一步阐释数据跨境合规的具体要求,敬请继续关注。
[1] 中兴海外业务取得重大突破,算力市场增长潜力不止中国https://xueqiu.com/5254268900/312987887
[2] 联想集团董事长兼CEO杨元庆:“本地化”,决胜海外战略的策略核心https://news.qq.com/rain/a/20241218A02CWW00
[3] 公司海外拓展加速,新车周期开启 ——比亚迪(002594)公司动态研究 https://file.iyanbao.com/pdf/3021e-d4117e87-552a-400a-a0b6-a9d31ef0c620.pdf
[4] 挺进欧洲,蔚来高端战略走向全球 https://news.qq.com/rain/a/20221011A08IGW00
[5] 互联网巨头不断加码跨境 中国电商平台海外崛起https://www.chinanews.com.cn/cj/2022/12-03/9907647.shtml
[6] 京东国际化新动作,全球售上线四个国家https://finance.sina.com.cn/roll/2024-09-01/doc-incmskci8634428.shtml
[8] 《关于在欧盟机构、机关、办公室和办事处处理个人数据方面对自然人的保护以及这些数据的自由流动,并废除(EC)第 45/2001 号条例和(EC)第 1247/2002 号决定的条例》
[9]https://iapp.org/media/pdf/resource_center/State_Comp_Privacy_Law_Chart.pdf
[10] 日本跨境传输白名单国家包括:欧洲经济区国家、瑞士和英国。
[11] 此处数据处理者指具有独立决定个人数据处理目的和方法的主体,其主体地位与欧盟GDPR下的数据控制者相似。
叶鹏,天达共和律师事务所北京办公室合伙人
康雅斯,天达共和律师事务所北京办公室律师;业务领域:公司运营管理、网络安全与数据保护、合规审查业务
以上所刊登的文章仅代表作者本人观点,不代表天达共和律师事务所或其律师出具的任何形式之法律意见或建议。
原标题:E&C 观点 | 乘风破浪-企业出海的数据合规挑战及应对策略(上篇)
本文转自贸法通公众号,转载请注明出处,版权归原作者所有,侵删
