来源:中伦视界
发布日期:2026年05月29日
中企出海既要满足中国法下的数据出境要求,也要满足目的地国的合规义务。欧盟GDPR、加州CCPA、韩国PIPA、东南亚各国新法相继更新,中外两套体系并行、互不豁免。本文从"双向视角"出发,梳理核心法律框架、高频衔接场景与可操作的合规判断路径。
作者丨 刘新宇 张月勤
引 言
中国企业出海的跨境经营实践中,数据合规义务被单向理解的现象相当普遍,且集中在两种对立的误区。
第一种情形是企业已完成中国侧数据出境合规,但被询及境外子公司/实体是否按目的地数据合规法律法规要求(例如欧洲《通用数据保护条例》、以下简称“ GDPR ”)任命了数据保护官(DPO)/当地代表,并建立符合当地要求的数据保护制度框架时,往往发现出海目的地的数据合规事项要么处在企业合规视角的盲区,要么存在“此类事项应当由境外子公司/实体独立完成”或“仅在目的地国离岸经营未设立境外实体因此不需要履行目的地国的合规义务”等类似误解。
第二种情形是企业已在出海目的地国完成DPO/当地代表任命并制定了初步的制度框架,但中国侧的数据出境申报工作至今未启动,主要原因是公司误认为其数据处理均在境外,不涉及中国境内的数据出境问题,直至HR系统、CRM系统或其他核心业务系统从国内总部向境外子公司持续同步数据时,相关出境合规义务方才进入视野。
上述两类情形的共同根源,在于将“出海数据合规”理解为单一维度的问题,即仅满足中国侧出境合规,或仅满足目的地国本地合规,而忽视了二者并行运作且无法相互替代的本质。
事实上,出海企业须同时面对两套独立的合规体系:其一,向中国主管部门负责的数据出境合规义务;其二,向目的地国监管机构负责的本地数据保护合规义务。两套体系各有其触发条件、法律要求与违规后果,亦不会因一方已满足而自动豁免另一方。本文旨在从“双向视角”出发,系统梳理两套体系的核心要点,并重点分析实践中最易产生合规盲区的若干衔接场景。
一、中国侧:数据出境合规的法律框架
(一)现行规范体系
中国数据出境合规制度以“三法三文件”为核心框架:
- 《中华人民共和国网络安全法》(以下简称“ 《网安法》 ”)
- 《中华人民共和国数据安全法》(以下简称“ 《数安法》 ”)
- 《中华人民共和国个人信息保护法》(以下简称“ 《个保法》 ”)
- 《数据出境安全评估办法》(以下简称“ 《评估办法》 ”)
- 《个人信息出境标准合同办法》(以下简称“ 《标准合同办法》 ”)
- 《促进和规范数据跨境流动规定》(以下简称“ 《促跨新规》 ”)
《个保法》第38条确立的安全评估、个人信息出境标准合同、个人信息保护认证三条出境合规路径至今仍是基本框架。2024年3月22日施行的《促跨新规》对路径触发的数量阈值及豁免情形作出系统调整,并在第13条明确,《评估办法》《标准合同办法》相关规定与《促跨新规》不一致的,适用《促跨新规》。
(二)数量阈值与路径分级
依据《促跨新规》的现行规则,数据出境合规路径按如下标准分级适用:
须申报数据出境安全评估: 关键信息基础设施运营者(CIIO)向境外提供个人信息或重要数据;非CIIO向境外提供重要数据;或非CIIO自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息),或1万人以上敏感个人信息。
须订立标准合同或通过个人信息保护认证: 非CIIO自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息),或不满1万人敏感个人信息。
免予上述三类合规路径的情形: 为订立、履行个人作为一方当事人的合同所必需(跨境购物、跨境寄递、跨境支付、机票酒店预订、签证办理等);依法制定的劳动规章制度和集体合同实施跨境人力资源管理所必需的员工个人信息;紧急情况下为保护自然人生命健康和财产安全所必需;非CIIO自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)。
完全豁免的情形: 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的、不含个人信息或重要数据的数据;在境外收集和产生的个人信息传输至境内处理后向境外提供,且处理过程中未引入境内个人信息或重要数据的。
上述调整呈现明显的合规减负取向。根据国家互联网信息办公室2025年3月21日发布的实施一周年工作情况通报,《促跨新规》施行后,数据出境安全评估项目月均受理数量下降约60%,个人信息出境标准合同月均备案数量下降约50%。 [1] 但豁免范围的扩展并不意味着合规义务的整体弱化,对于豁免情形之外的场景,企业仍须严格履行数据出境的相关申报义务。
(三)个人信息保护影响评估:出境的前置义务
实践中常被忽视的一项合规要求是,无论企业最终适用何种数据出境路径,无论该路径是否属于落入豁免情形而无需开展数据出境申报的数据出境场景,企业均须依据《个保法》第55条事先开展个人信息保护影响评估(PIPIA)。《个保法》第56条规定,评估内容应涵盖:个人信息处理目的与方式的合法性、正当性、必要性;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。
就数据出境场景开展PIPIA的义务,系任何出境路径的前置要件,不因后续是否签订标准合同或办理保护认证,以及是否属于豁免合规申报的场景而免除。
(四)告知与单独同意
《个保法》第39条要求:向境外提供个人信息的,应当向个人告知境外接收方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类,以及个人向境外接收方行使《个保法》规定权利的方式和程序等,并取得个人单独同意。
涉及跨境传输中告知与单独同意的实施,有两点值得关注:其一,“单独同意”须就跨境传输事项单独取得,不得与其他事项合并取得“一揽子同意”;其二,告知义务的范围延及“个人向境外接收方行使权利的方式和程序”,意即企业不仅须在境内建立权利响应机制,还须确保境外接收方处建有对应通道。根据笔者的观察,此为企业在监管检查中最无法充分答复的事项之一。
二、目的地国侧:主体定位、本地义务与域外管辖
目的地国合规义务的复杂性在于,即便企业未在当地设立任何实体,只要业务触达当地用户,多数现行数据保护立法均通过“域外管辖”条款将其纳入规制范围。本文暂就几个主要出海目的地法域开展初步分析,关于各目的地国的详细法律框架与合规义务分析,请关注后续系列文章。
(一)欧盟(GDPR):域外管辖与代表制度
GDPR第3条第2款确立了广泛的域外管辖权,凡企业向欧盟数据主体提供商品或服务(无论是否收费),或监测欧盟数据主体在欧盟境内的行为,无论其本身是否在欧盟设立实体,均受GDPR约束。
GDPR第27条进一步要求,未在欧盟设立实体的控制者或处理者,须以书面形式在欧盟成员国境内指定一名代表(EU Representative),但满足“处理系偶发性、不涉及大规模处理第9条所列特殊类别个人数据且不具有对自然人权利与自由造成风险可能”条件的数据处理行为除外。欧洲数据保护委员会(EDPB)在相关指南中明确,上述豁免标准须同时满足。而绝大多数具有商业目的、向欧盟提供产品或服务的企业均无法满足豁免条件。
此外,需要注意的是欧盟代表并非DPO的替代,DPO的职能侧重内部合规管理,而欧盟代表的职能侧重对外接口,根据GDPR的相关要求,二者在特定情形下可能均须配备。
欧盟代表缺位的执法风险已有具体案例佐证。2021年5月,荷兰数据保护机构(AP)以某美国主体未按GDPR第27条任命欧盟代表为由,对其处以525,000欧元罚款。 [2]
跨境传输工具方面,欧盟委员会2021年6月4日发布的现行版标准合同条款(Commission Implementing Decision (EU) 2021/914,以下简称“ 欧盟SCC ”)是出海企业最常用的合规工具。现行欧盟SCC采用模块化结构,覆盖四类传输场景:控制者对控制者、控制者对处理者、处理者对处理者、处理者对控制者。此外,根据欧盟SCC Recital 9以及欧盟委员会关于SCC的Q&A,现行欧盟SCC已将GDPR第28条所要求的控制者与处理者协议条款内嵌其中,因此在跨境传输同时涉及控制者—处理者关系的情形下,签订现行欧盟SCC后通常无需另行签订独立的数据处理协议(DPA)。 [3]
(二)英国(UK GDPR):脱欧后的传输工具分轨
英国脱欧后保留了GDPR的大部分实体规则(UK GDPR),但在跨境传输合规工具上形成独立体系:英国信息专员办公室(ICO)于2022年3月21日颁布并施行“国际数据传输协议”(IDTA),同时发布适用于与欧盟SCC配套使用的附录(UK Addendum to EU SCCs)。
针对同时开展欧盟与英国业务的企业,实践中有两种常见处理方式:一是在签订欧盟SCC的基础上附加UK Addendum,文本较为简洁,适用于集团内部统一安排;二是就欧盟与英国分别签订对应文件(欧盟SCC +UK IDTA),条款独立,适用于不同业务线分开处理的情形。
(三)美国加州(CCPA/CPRA):2026年后的合规新要求
2025年9月22日,加州行政法办公室(OAL)正式批准了加州隐私保护局(CPPA)Board于2025年7月24日通过的CCPA修订规则,并于2026年1月1日起生效。 [4] 该规则新增三类义务,对在加州开展经营的中国出海企业具有直接适用效力:
风险评估(Risk Assessment) :对涉及销售或共享个人信息、处理敏感个人信息、使用自动化决策技术(ADMT)作出重大决定、使用个人信息训练ADMT等特定“高风险处理”活动,须事先开展风险评估并由企业高管签署证明。合规义务自2026年1月1日起执行,2026年及2027年完成的评估,须于2028年4月1日前向CPPA提交评估概要及高管证明文件;对2026年1月1日前已开展的持续性处理活动,企业须于 2027年12月31日前完成首次风险评估,再于 2028年4月1日前提交摘要。
自动化决策技术(ADMT)合规: CCPA修订规则将ADMT定义为“任何处理个人信息并使用计算来取代或实质性取代人类决策的技术”。对使用ADMT就涉及金融服务、住房、就业、教育、医疗等事项作出“重大决定”的企业,须提供使用前告知、退出机制,并应消费者请求披露ADMT的决策逻辑及使用方式。上述义务自2027年1月1日起生效。
网络安全审计: 满足“年收入门槛叠加处理25万消费者或5万敏感信息消费者”条件,或“50%以上年收入来源于销售或共享个人信息”的企业,须开展年度独立网络安全审计。首次审计完成截止日期按企业年收入依据以下分档确定:2028年4月1日(其2026年收入超过1亿美元)、2029年4月1日(其2027年收入在5000万至1亿美元之间)、2030年4月1日(其2028年收入低于5000万美元)。各档审计覆盖期间亦不同,第一档覆盖2027年全年,第二档覆盖2028年全年,第三档覆盖2029年全年。
尤须注意,“使用个人信息训练ADMT”已被纳入风险评估的触发条件。正在构建私域AI系统、计划使用用户数据训练推荐或客服模型的出海企业,其ADMT合规义务并不仅限于前端决策功能,后端模型训练活动同样须纳入合规框架。
(四)韩国(PIPA):境内代理人制度实质化
韩国《个人信息保护法》(以下简称“ PIPA ”)第31-2条经2025年3月修订并于2025年10月2日生效,将境外企业“境内代理人”制度由程序性义务提升为实质性义务。修订前,境外企业仅需在韩国指定一个具有注册地址的实体作为代理人,实践中往往流于形式。修订后的核心变化包括:
- 数据控制者须主动监督和管理其所指定的境内代理人;
- 控制者在韩国设有子公司,或对韩国某实体具有“主导影响力”(含任命过半数高管、持股30%以上等情形)的,该实体须被指定为境内代理人;
- 代理人职责涵盖:承担个人信息保护负责人(CPO)工作、对数据主体及韩国个人信息保护委员会(PIPC)履行数据泄露通报义务、向PIPC提交所需文件。
依据PIPA第32-3条,境内代理人义务的触发条件为:全球年收入超过1万亿韩元(约折合7亿美元),或上一年度最后三个月内日均处理100万以上韩国用户个人信息,或经PIPC依第63条第1款要求提交文件后PIPC认定须指定代理人。三项条件择一满足即触发境内代理人义务,其中前两项对中国头部跨境电商、游戏企业及社交平台具有较高触发概率。
韩国监管执法力度亦呈上升态势。2024年5月,韩国数据监管机构PIPC就G集团数据泄露事件处以75亿韩元行政罚款。2026年2月12日,PIPC对因使用SaaS客户管理服务发生个人信息泄露的三家企业合计处以360.33亿韩元(约合人民币1.8017亿元)罚款及1080万韩元(约合人民币5.4万元)过失罚款并责令公示处分结果,其中:(1)L企业因员工设备遭恶意代码攻击致360万人信息泄露被罚213.85亿韩元(约合人民币1.0693亿元);(2)D企业因员工遭语音钓鱼致195万人信息泄露且未及时通报被罚122.36亿韩元(约合人民币6118万元)及360万韩元(约合人民币1.8万元)过失罚款;(3)T企业因同类钓鱼事件致4600人信息泄露且未及时通报被罚24.12亿韩元(约合人民币1206万元)及720万韩元(约合人民币3.6万元)过失罚款;三家均存在未做IP访问限制等安全措施不到位的问题。核心罚款是因三家都“未做好信息安全防护导致泄露”,过失罚款则是因D企业和T企业“泄露后未按规定及时处理、通报”的附加处罚。
(五)东南亚:数据保护立法的持续升级
东南亚是中国出海的优先市场,但该区域数据保护法律合规义务常被低估,且各法域间差异显著。以下重点梳理三个法域的最新动态:
1. 马来西亚
马来西亚《2024年个人数据保护(修正)法令》(PDPA Amendment 2024)分阶段施行,第129条(跨境传输)修订于2025年4月1日生效;第12A条(强制DPO任命制度)及第12B条(强制数据泄露通报义务)于2025年6月1日生效。
核心修订内容包括:将“数据使用者(data user)”统一修改为“数据控制者(data controller)”,向GDPR术语体系靠拢;第12A条确立强制DPO任命制度,且DPO须在马来西亚境内常驻或可便捷联系;第12B条引入强制数据泄露通报义务,知悉泄露后须尽快(根据指引建议,通常为72小时内)通报数据保护专员,构成“重大损害”的须尽快(根据指引建议,通常为7日内)通知数据主体;第129条修订废除原有的跨境传输白名单制度,改以“接收国法律实质相似或保护水平至少等同”为判断标准。违规罚款上限由30万令吉提高至100万令吉,且相关违法行为属准刑事罪性质。
此外,2025年8月25日,马来西亚个人数据保护部(PDP)就《2013年个人数据保护条例》(2013条例)的拟议修正案征求公众意见,以使2013条例与PDPA Amendment 2024保持一致。本次引入的主要修正案包括:将“数据用户”一词替换为“数据控制者”;要求数据控制者和数据处理者任命数据保护官(DPO);要求数据控制者将任何数据泄露通知PDP;允许数据主体请求其个人数据等。 [5]
2. 越南
越南《个人数据保护法》(Law No. 91/2025/QH15,以下简称“ 越南PDPL ”)于2025年6月26日通过,2026年1月1日起施行,取代2023年第13号法令(PDPD)。对中国出海企业而言,需重点关注以下几点:第一,明确的域外管辖条款,在越南境外处理涉及越南数据主体个人信息的境外主体均受规制;第二,强制性数据处理影响评估(DPIA)义务,须于首次处理后60日内提交主管机关;第三,强制性跨境传输影响评估(CTIA)义务,须于首次跨境传输之日起60日内向个人数据保护主管机关提交,内容涵盖接收方信息、接收国法律保障、传输数据类型及加密措施等;第四,违反跨境传输规定的罚款上限为上一财年收入的5%,与 GDPR 的全球年营业额4%上限相近,在东南亚地区属较为严格的处罚标准。
3. 印度尼西亚
印尼《个人数据保护法》(PDP Law,Law No. 27 of 2022)规定跨境传输须满足下列条件之一(第56条):接收国具备等同或更高的数据保护水平;或存在充分的约束性数据保护机制;或取得数据主体同意。
(六)跨法域合规工具的结构性对比
综观上述目的地国的合规要求,合规工具体系可归纳为以下几类,各类工具在不同法域的具体要求存在差异,但底层逻辑相近:
- 本地代表/代理人制度: GDPR第27条、韩国PIPA第31-2条修订、马来西亚PDPA修正案的DPO要求,均要求企业在当地保有能够接受监管问询和处理数据主体权利主张的联络实体。
- 跨境传输合规文件: 欧盟SCC、英国IDTA/UK Addendum、越南CTIA、东盟示范条款(ASEAN MCC)、APEC跨境隐私规则(CBPR),其共同目的均在于通过合同安排确保数据接收方的保护水平符合数据出口方所在地法律的要求。
- 影响评估机制: GDPR DPIA、CCPA风险评估、越南DPIA、中国PIPIA,均系要求企业在处理或传输活动启动前完成系统性风险评估并形成文档记录。
- 数据泄露通报机制: GDPR 72小时通报、马来西亚PDPA修正案相关指南建议72小时通报、CCPA修订规则下的特定通报要求,均规定了在发现泄露后向监管机构及数据主体履行告知义务的时限。
合规工具体系的局限性,意味着出海企业具备构建可复用通用合规框架的客观条件,再就各目的地国法律要求进行差异化校准。但前提是须首先厘清哪些合规义务来自中国侧,哪些来自目的地国侧,以及哪些属于两套体系叠加范畴。
三、双向衔接:四类常见合规疏漏场景
场景一:中国总部向境外子公司同步员工个人信息
企业以统一HR系统管理全球员工,数据自境内总部流向境外子公司(无论目的地为欧盟、美国或东南亚),是出海企业最普遍的跨境数据流动情形。该场景同时触发中国侧与目的地国侧两套合规体系。
中国侧分析: HR数据出境通常落入《促跨新规》第5条第(二)项的豁免情形——“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的”,即免予申报安全评估、订立标准合同、通过保护认证。 但须注意 的是,该豁免仅针对上述三类合规路径,并不同时豁免《个保法》第39条规定的告知义务。员工应当被充分告知数据出境情况。
目的地国侧分析: 以欧盟为例,若境外子公司本身受GDPR管辖,且独立决定员工数据的处理目的(如绩效管理、薪酬发放),则该子公司为数据控制者,须履行GDPR第30条的处理活动记录义务及第13条的告知义务等。若中国母公司决定处理目的与核心方式而子公司仅负责执行,则母公司可能被认定为控制者并通过GDPR第3条第2款被纳入管辖范围,此时母公司须在欧盟设立第27条代表。
衔接要点: 此处最易产生认知偏差之处在于境外子公司或中国母公司设立欧盟代表的义务,不因中国侧适用豁免情形而随之豁免。两套合规体系并行存在,中国侧的豁免效力仅及于中国侧的相应义务。
场景二:境外子公司向中国总部“回传”数据
以欧盟子公司为例,当地子公司拟将欧盟客户数据传输至中国总部,用于集团层面的数据分析、AI模型训练或合并编制报告。
目的地国侧(欧盟侧)分析: 上述传输构成GDPR第五章意义上的“向第三国传输”。中国目前尚未被欧盟委员会列入“充分性决定”名单,因此须适用欧盟SCC或GDPR第46条规定的其他充分保障措施。同时,依据Schrems II判决后EDPB《关于国际传输工具的建议 01/2020》的要求,还须完成传输影响评估(TIA),以评估传输目的地(中国)的法律制度是否可能削弱SCC所提供的保护水平。
中国侧分析: 数据“入境”目前尚未被中国法律作系统规制,但入境后的数据处理(存储、使用等)仍受《个保法》《网安法》《数安法》等法律约束。如该数据在中国境内处理后再次传输至其他境外主体,则须再次就该二次出境进行合规判断。
衔接要点: 此类“出—入—出”的环形数据流是合规方案中最易遗漏的结构。建议企业建立覆盖全流程的数据流图(data flow map),对每一个跨境节点逐一分析合规义务,而非仅聚焦于“从中国流出”这一段。
场景三:跨境电商C端消费者数据
典型情形:中国企业通过主流电商平台或自建独立站向东南亚消费者销售,IT后台及会员系统统一架设于中国境内。
目的地国侧分析: 以越南为例,根据越南PDPL的适用范围规定,即便数据处理活动发生于越南境外,只要涉及越南数据主体的个人信息,境外企业即受规制,须完成DPIA及CTIA,违反跨境传输规定的罚款上限为上一财年收入的5%。而在马来西亚,自2025年6月1日起,符合条件的企业须强制任命DPO并履行72小时数据泄露通报义务。
中国侧分析: 该场景的数据流动方向为“境外采集→境内处理”。依据《促跨新规》第4条,“在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”,即若后续须再次传出,可主张适用上述豁免。但同样,如该数据在中国境内处理后再次传输至其他境外主体,则须再次就该二次出境进行合规判断。
衔接要点: 该场景下,主要合规风险集中于目的地国侧,尤其是越南、马来西亚等具有强制评估义务和较高罚款上限的法域。建议企业以目的地国合规义务为起点进行倒推设计,再评估中国侧是否存在叠加义务。
场景四:集团内SaaS平台跨境共享
典型情形:中国母公司部署统一SaaS系统(ERP、CRM、协同办公等),境外子公司接入使用,数据在境内服务器与境外用户端之间持续双向流动。此类“处理者—控制者—处理者”链条在不同法域下的传输认定存在显著差异。
英国UK GDPR的特殊立场: 根据2025年英国数据保护法改革后(Data (Use and Access) Act 2025)的相关规定,“处理者向控制者”方向(P→C)的数据传输不构成UK GDPR意义上须适用传输机制的“跨境数据传输”。这与欧盟GDPR下EDPB的解释立场存在差异:EDPB倾向于将所有涉及数据跨境流动的情形均纳入“传输”概念。在实操中,这一差异意味着即便是同一数据流动,在英国法下无需IDTA,在欧盟法下则须适用SCC。
中国侧分析: 《个保法》目前未就“处理者”与“控制者”的概念作出特别定义,对“处理者—控制者”与“控制者—处理者”不同方向的传输也未作出与欧盟框架类似的差异化规则。实践中,中国法下的出境合规义务仅以个人信息是否从中国境内流出为判断标准,不取决于传输双方的控制/处理角色。衔接要点:集团内SaaS共享场景极易形成 “出—入—出” 的数据流,是合规遗漏高发点。建议企业建立覆盖全链路的数据流向图,就每一段数据流动的方向、法律性质(C→C、C→P、P→C、P→P)、目的地国法律下的传输认定结论以及中国法下的出境认定逐一标注,以避免遗漏或错判。
四、双向合规判断路径
建议企业将以下判断路径确立为常态化合规决策框架,在每一项新业务启动前完整走一遍,而非仅作为单次合规清单。
第一步,数据流识别: 明确处理主体、数据流向(地理)、数据类型、敏感程度、处理目的以及传输频率(一次性还是持续性)等关键信息,建立并维护数据流向图。
第二步,中国侧合规判断: 结合数据流向图判断该场景的数据传输是否构成《个保法》意义上的“向境外提供个人信息”?是否触发《促跨新规》第7、8条要求的须申报安全评估或签订标准合同/通过保护认证?是否满足《促跨新规》第3、4、5、6 条的豁免情形?是否已完成《个保法》第55条要求的PIA?是否已依《个保法》第39条履行告知义务并取得单独同意?同时,建立并维护中国侧合规义务清单及文件清单。
第三步,目的地国侧合规判断: 确认企业在目的地国的法律主体定位(控制者/处理者/联合控制者)?目的地国法律是否通过域外管辖条款将企业纳入规制(例如GDPR第3条第2款、越南PDPL、加州CCPA等)?是否须在当地设立代表、代理人或任命DPO?法定合规文件(例如本地合规制度、处理活动记录、DPIA、CTIA)是否齐备?数据泄露通报机制是否已建立?同时,建立并维护目的地国合规义务清单及文件清单。
第四步,衔接性核查: 核查中国侧合规文件与目的地国合规文件是否存在冲突(隐私政策表述、中国SCC与欧盟SCC的衔接、双方告知内容的协调)?数据流向图是否覆盖全部跨境节点(尤其是回传、环形流动、集团内多向传输)?监管问询应对接口是否已明确(中国侧、目的地国侧分别由谁负责)?同时,建立并维护双向衔接的合规备忘录。
第五步,建立并维护合规文件包。 中国侧包括但不限于:出境申报材料、标准合同备案材料、保护认证材料、单独同意文本、PIPIA报告等;目的地国侧包括但不限于:本地合规制度、处理活动记录、DPIA、数据主体权利响应程序、数据泄露应急预案、代表任命书等;衔接层面包括但不限于数据流图、内部合规手册等。
结 语
数据合规义务的跨法域叠加,使其与税务合规在结构上具有相近的复杂性——每个法域均有其独立规则,且规则之间不存在自动协调机制。对于出海企业而言,数据合规的必要性已无需论证,核心挑战已转化为如何在多法域框架下构建系统、可执行、可复用的合规体系。
“双向视角”的本质,是在分析各场景的跨境数据流动时,既审视数据离开中国的合规义务,也审视其进入目的地国的法律后果。任何一端的合规缺位,均可能引发相应法域的监管风险。
本文是出海数据合规系列的首篇。后续文章将陆续展开关于跨境数据传输机制的横向比较、东南亚数据保护法律专题、欧盟与英国的差异管理、垂直行业专题(例如快消、跨境电商、AI产品、制造业等)及监管执法趋势观察。
[注释及法律依据]
[1]国家互联网信息办公室,《〈促进和规范数据跨境流动规定〉实施一周年数据出境安全管理工作取得积极成效》,2025年3月21日,网信中国公众号。
[2]Dutch Data Protection Authority (Autoriteit Persoonsgegevens, AP), Dutch DPA imposes fine of €525,000 on Locatefamily.com, 2021/5/12 https://autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-fine-of-eu525000-on-locatefamilycom .
[4]California Privacy Protection Agency, California Finalizes Regulations to Strengthen Consumers' Privacy, 2025/9/23, https://cppa.ca.gov/announcements/2025/20250923.html .
[5]One Trust, Malaysia: PDP opens public consultation on proposed amendments to 2013 Regulations, 2025/8/25. https://www.dataguidance.com/news/malaysia-pdp-opens-public-consultation-proposed .
[1]中国:《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》。
[2]欧盟:Regulation (EU) 2016/679 (GDPR); Commission Implementing Decision (EU) 2021/914 of 4 June 2021; EDPB Guidelines 05/2021 on the Interplay between the Application of Article 3 and the Provisions on International Transfers as per Chapter V of the GDPR.
[3]英国:UK GDPR; Data (Use and Access) Act 2025; ICO International Data Transfer Agreement (IDTA)
[4]美国加州:California Consumer Privacy Act Regulations
[5]韩国:《개인정보 보호법(个人信息保护法)》,PIPC《个人信息保护法适用于外国经营者指南》
[6]马来西亚:Personal Data Protection (Amendment) Act 2024
[7]越南:Law on Personal Data Protection No. 91/2025/QH15
刘新宇 律师
上海办公室 合伙人
业务领域: 网络安全和数据保护,投资并购和公司治理,诉讼仲裁
行业领域: 金融创新和金融科技,智能技术和应用,医药和生命科学
张月勤 律师
上海办公室 知识产权部
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。