本文根据吴晴霞律师在「长三角企业合规法商分享会」上的分享内容整理而成

随着企业出海以及内部管理越来越多地使用网络进行数据传输，数据风险已经成为了企业发展中需要格外注意的风控内容。

在开始分享前，首先我们需要明确什么是“出海”？通常的理解是，国内的企业将自身的业务伸向海外。与之对应的，还有一个概念是“中国企业的全球化的布局”。两者最主要的区别是企业的人员、技术是在国内还是海外，这不在我们今天要讨论的范围里。接下来我们就从数据合规这一主题出发，简单阐述中国企业在国际市场扩展过程中所需遵守的数据合规要求。

数据保护法规与适用范围

2018年，欧盟推出了史上最严格的数据法律《通用数据保护条例》（GDPR），由此掀起了数据合规热潮。GDPR不仅内容详实，处罚力度也非常严格，罚款金额最高可达近100万亿人民币。继GDPR之后，美国也先后制定了《加州消费者隐私法案》（CCPA）、《儿童在线隐私保护法》（COPPA），各国也相继在此框架下制定了自己的数据保护法律法规。企业出海时，首先要调整的一个认知误区就是“我在**国家没有设立公司主体，我就不用遵守当地的数据合规保护法，当地的监管也不会来处罚我，我只要遵守公司注册地所在国家的法律法规就可以了”。但以GDPR为例，GDPR所约定的适用范围为：

• 设立在欧盟内主体

• 设立在欧盟之外，只要其向身处于欧盟境内的数据主体提供商品、或可能处理数据主体发生在欧盟内的行为所产生的数据，即受到GDPR的管辖

因此，当企业本身并未在欧洲设立公司，但如果企业的服务已经覆盖到了欧盟范围、拥有欧盟地区的用户，甚至进一步会收集、处理欧盟地区用户所产生的各类数据内容，那就会收到相应的监管。

国内法规对企业出海业务也有明确的规定：

《个人信息保护法》第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

《数据出境安全评估办法》第四条 数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

但2023年9月28日，国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》（“《数据跨境规定征求意见稿》”）并向社会公开征求意见。《数据跨境规定征求意见稿》结合此前数据出境安全评估、个人信息出境标准合同备案工作中的实际问题，大幅调整了数据出境评估备案工作的适用标准，实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务，特别是豁免了部分具体场景下的前置审批义务（例如集团内劳动用工场景、为履行合同必须、紧急情况下为保护自然人的生命健康和财产安全的场景等），不再将企业所处理的个人信息总量作为判断是否需要进行安全评估的标准，大大降低了企业的合规成本。《数据跨境规定征求意见稿》正式通过后，势必也会对出海企业的数据合规布局产生重大影响。

在分析企业出海的合规要点前，还需要明确数据跨境传输的定义。因为数据并不像包裹那样实体存在，数据跨境传输通常是通过服务器存储数据的地点来判断。数据存储在中国国内的服务器上，将数据传输到国外的服务器显然是跨境传输。反之亦然。需要特别注意的是，即使中国企业将所有数据存储在国外服务器上，但在国内保留技术人员并时不时查看数据，也被视为数据出境的场景。

接下来，我们将通过三个经典案例对企业数据出境时需要注意的合规要点进行详细说明。

案例1：META因违规将欧盟用户数据传输到美国被处以12亿欧元

事件发生之初，荷兰作为META的公司注册所在地，荷兰数据保护局作为其监管机构仅作出了责令调整、更改的处罚，这一决定遭到了欧盟其他国家的强烈不满，并上告至欧洲总部，最后爱尔兰数据保护局（IE DPA）根据欧洲数据保护委员会（European Data Protection Board，EDPB）的决定对其处以包括：12亿欧元的罚款、6个月内停止非法处理个人数据，包括存储于美国的欧盟用户个人数据、暂时停止数据跨境传输等措施。

在GDPR的监管下，出海企业进行跨境传输有以下三种途径：

1、充分性决定（白名单模式）：这是欧盟最重要的国际数据传输机制。即如果跨境的国家是GDPR认定的“安全国家”，那么就可以根据白名单机制直接传输。

2、采取适当保障措施：包括但不限于签订标准合同（SCC）、制定约束性企业规则（BCR）以及其他经核准的措施。即在签订一些标准合同或者建立完备的制度保护数据之后才能进行传输，一般企业都会选择这条路。

3、适用“减损”规则：即依据数据主体同意、为履行合同必要性、公共利益的实现等。

从META被罚这一案例来看，对于中国企业而言，需要遵守国内外相关法律法规的规定。我们建议企业在获得数据主体的同意并与接收数据的企业签订标准的数据保护合同后进行合法的数据传输，但要避免一揽子同意的情形。

案例2：CRITEO因违反数据处理原则与数据主体的行权被拟处罚6000万欧元

Cookies是网站上的小型文档，用于存储用户在网站上的浏览记录。一般在海外都会建议企业上架Cookies协议。法国数据保护监管机构认为CRITECO虽有Cookies协议弹出，但用户并不能明确知道企业收集信息的用途、原因等，拟对其作出6000万欧元的处罚。

我们来看GDPR对于数据处理原则的规定：

合法性、合理性和透明性：这是CRITEO最严重的违法行为，国内最常见的是“知情同意”原则；

目的限制；

数据最小化；

准确性；

数据的完整性和保密性；

存储期限；

可问责性：即当监管机构怀疑企业违反相关规定时，企业需承担举证责任，因此企业需特别注意数据留痕的问题。

值得注意的是，欧洲的监管机构作出的处罚决定是综合性的，无法将违法行为与处罚一一对应，因此，对于企业而言上述的每一条数据处理原则都十分重要，不能“避重就轻”。当然，由于从被调查到作出最后的裁决有一个较长的过程，企业可以及时做出相应的补救，以争取减少最终罚款金额。

案例3：H&M因超范围收集员工信息被德国汉堡数据保护局罚款3500多万欧元

数据合规不仅是互联网企业的事，传统企业也不可避免。H&M的案例中，除了超范围收集员工信息，还出现了在非正式的谈话里进行录音录像，事后记录与访谈无关的信息，甚至是敏感信息，例如LGBT等。因此，企业在员工信息的处理上也要做好内控措施。

合规控制与风险防范机制

鉴于风险控制和合规防范的重要性，在数据传输和处理中应适用特别的数据安全保护措施，特别是减少技术上的数据泄漏风险。解决这一问题的措施包括：

1、加强数据加密和隐私保护。包括对数据传输、存储和处理过程中采取加密技术和安全协议，确保数据在传输和存储过程中不被未授权方访问。

2、数据安全管理制度的建立。包括DPA、服务器配置、员工权限管理和应急方案。

3、加强员工数据安全培训意识。通过定期培训和教育，让员工了解数据安全风险和合规要求，并掌握正确的数据处理和传输方法。此外，企业可以建立内部数据安全政策和规范，规定员工在处理数据时应遵守的行为准则，以确保数据安全的实施和遵循。

结语

在企业数据安全保护的措施中，企业内部、外部和数据检测三方主体的参与是必不可少的。对内，企业应当建立权责分工明确的业务部门、技术部门、合规/数据保护部门，共同协作，以确保内部的合规运作；辅以外部专业机构的帮助以应对监管，如ISO认证、律所、审计机构等。同时，开展定期的数据检测，有助于企业尽早发现数据传输中的问题，找到漏洞与隐患，及时处理。

本文为星瀚原创，如需转载请先联系。