中国企业出海过程中的数据合规_20240425下载.doc

中国企业出海过程中的数据合规

PAGE/NUMPAGES

PAGE/NUMPAGES

中国企业出海过程中的数据合规

作者

：

星瀚微法苑编辑部（星瀚律师事务所）

发布日期

：

2023.11.01

随着企业出海以及内部管理越来越多地使用网络进行数据传输，数据风险已经成为了企业发展中需要格外注意的风控内容。

在开始分享前，首先我们需要明确什么是“出海”？通常的理解是，国内的企业将自身的业务伸向海外。与之对应的，还有一个概念是“中国企业的全球化的布局”。两者最主要的区别是企业的人员、技术是在国内还是海外，这不在我们今天要讨论的范围里。接下来我们就从数据合规这一主题出发，简单阐述中国企业在国际市场扩展过程中所需遵守的数据合规要求。

数据保护法规与适用范围

2018年，欧盟推出了史上最严格的数据法律《通用数据保护条例》（GDPR），由此掀起了数据合规热潮。GDPR不仅内容详实，处罚力度也非常严格，罚款金额最高可达近100万亿人民币。继GDPR之后，美国也先后制定了《加州消费者隐私法案》（CCPA）、《儿童在线隐私保护法》（COPPA），各国也相继在此框架下制定了自己的数据保护法律法规。企业出海时，首先要调整的一个认知误区就是“我在**国家没有设立公司主体，我就不用遵守当地的数据合规保护法，当地的监管也不会来处罚我，我只要遵守公司注册地所在国家的法律法规就可以了”。但以GDPR为例，GDPR所约定的适用范围为：

?设立在欧盟内主体

?设立在欧盟之外，只要其向身处于欧盟境内的数据主体提供商品、或可能处理数据主体发生在欧盟内的行为所产生的数据，即受到GDPR的管辖

因此，当企业本身并未在欧洲设立公司，但如果企业的服务已经覆盖到了欧盟范围、拥有欧盟地区的用户，甚至进一步会收集、处理欧盟地区用户所产生的各类数据内容，那就会收到相应的监管。

国内法规对企业出海业务也有明确的规定：

《个人信息保护法》第三十八条个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

《数据出境安全评估办法》第四条数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

但2023年9月28日，国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》（“《数据跨境规定征求意见稿》”）并向社会公开征求意见。《数据跨境规定征求意见稿》结合此前数据出境安全评估、个人信息出境标准合同备案工作中的实际问题，大幅调整了数据出境评估备案工作的适用标准，实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务，特别是豁免了部分具体场景下的前置审批义务（例如集团内劳动用工场景、为履行合同必须、紧急情况下为保护自然人的生命健康和财产安全的场景等），不再将企业所处理的个人信息总量作为判断是否需要进行安全评估的标准，大大降低了企业的合规成本。《数据跨境规定征求意见稿》正式通过后，势必也会对出海企业的数据合规布局产生重大影响。

在分析企业出海的合规要点前，还需要明确数据跨境传输的定义。因为数据并不像包裹那样实体存在，数据跨境传输通常是通过服务器存储数据的地点来判断。数据存储在中国国内的服务器上，将数据传输到国外的服务器显然是跨境传输。反之亦然。需要特别注意的是，即使中国企业将所有数据存储在国外服务器上，但在国内保留技术人员并时不时查看数据，也被视为数据出境的场景。

接下来，我们将通过三个经典案例对企业数据出境时需要注意的合规要点进行详细说明。

案例1：META因违规将欧盟用户数据传输到美国被处以12亿欧元

事件发生之初，荷兰作为META的公司注册所在地，荷兰数据保护局作为其监管机构仅作出了责令调整、更改的处罚，这一决定遭到了欧盟其他国家的强烈不满，并上告至欧洲总部，最后爱尔兰数据保护局（IEDPA）根据欧洲数据保护委员会（EuropeanDataProtectionBoard，EDPB）的决定对其处以包括：12亿欧元的罚款、6个月内停止非法处理个人数据，包括存储于美国的