中国出海热点行业数据合规实操分享

来源:iLaw合规

文章摘要
编者按: 近年来,中国企业在走出去的进程中,形成了包括汽车、物联网、跨境电商在内的多种优势产业。期间,中国企业遇到各种挑战,其中,数据合规成为企业合规管理中不可忽视的关键环节。
编者按:
近年来,中国企业在走出去的进程中,形成了包括汽车、物联网、跨境电商在内的多种优势产业。期间,中国企业遇到各种挑战,其中,数据合规成为企业合规管理中不可忽视的关键环节。为了在全球市场上取得成就,中国企业必须面对目的地国家严格的数据保护法规,如欧盟的《通用数据保护条例》(GDPR)等。这些法律规定提出了较高的合规门槛,并对特定行业的企业提出了更多要求。因此,本文将对中国企业出海现状以及未来趋势进行概述,并分析欧盟等国数据合规立法,进一步把握汽车、物联网与电商行业出海数据合规要点,为中国企业融入本地市场提供经验借鉴。
✨温馨提示:
文末,附《阿联酋个人信息保护立法》《美国各州已实施的综合性隐私法》《欧盟数据治理五大法案》,可扫描二维码自行获取!
一、中国企业出海现状及未来趋势概览
01出海现状
1、特点与目的地
我国企业对外直接投资流量位列全球前三,且对外投资领域更加广泛。目前,出海企业在北美、西欧、南美区域的布局范围最广,但这三个区域的领先优势十分微弱。从布局趋势上看,我国企业出海业务正从传统欧美等成熟地区,逐步扩散到中东、非洲等新兴区域。
2、优势行业
当前,我国汽车出口量大幅增长,为中国出口增添强劲动能。出口量增长的同时,中国车企在海外市场的关注度也持续提升。此外,以智能家居为代表的物联网设备出口以及跨境电商进出口总额同样呈现快速增长态势,为我国经济高质量发展增光添彩。
02中国企业“出海”浪潮背后的数据合规需求
1、数据保护成为合规关键
随着我国企业“出海”浪潮的逐步扩大,数据保护已经成为近年来出海企业关注的合规问题的重中之重。在此过程中,企业的主要考量包括:
(1)合规性。各国和地区对于数据保护法规和标准存在差异性,企业在出海过程中需要遵守目标市场的数据保护法规,否则将面临法律风险,甚至可能被禁止在某些市场运营。
(2)信任和声誉。做好数据保护,将有助于建立消费者信任,提升企业声誉,从而在竞争中占据优势。
(3)避免经济损失。若企业的数据保护工作存在瑕疵,一旦发生数据泄露,将可能面临巨大的经济损失,包括赔偿、罚款以及由于信任破裂导致的客户损失。
(4)促进创新。良好的数据保护机制可以促进企业进行数据驱动的创新。例如通过对用户行为数据的分析,企业可以更好地理解消费者需求,从而推出更符合市场需求的产品和服务。
2、域外数据保护相关执法逐渐加强
以欧洲为例,GDPR执法处罚案例逐年增多,且罚款数额不断提升。仅就2023年12月GDPR相关执法情况而言,其12月份共计处罚17次罚款,罚款数额达571,300欧元,涵盖:(1)技术和组织措施不足,无法确保信息安全;(2)不遵守一般数据处理原则;(3)与监管机构的合作不足;(4)数据主体权利的实现不足等多个罚款事由。
由此可见,域外数据保护相关执法力度逐渐加强,我国出海企业应重视数据合规工作。
二、欧盟、美国、中东数据合规立法概览
01欧盟GDPR
欧盟GDPR开创全球数据合规立法先例,其完备程度被视为各国数据立法模板。
1、GDPR 七大原则
其中GDPR七大原则被视为各国个人信息保护立法原则的参照,即个人数据必须被:
(1)合法、公正、透明地处理,即公平性、合法性与透明度原则;
(2)出于具体、明确、合法目的而收集,即目的限制原则;
(3)合理、相关且仅限于必要范围内使用,即数据最小化原则;
(4)准确且根据需要随时更新,即准确性原则;
(5)以能够识别数据主体身份的形式保存数据的期限,不超过处理该等数据之目的所需的必要时间,即存储限制;
(6)处理方法能够确保恰当保护个人数据安全,遵循安全性、完整性和保密性原则;
(7)数据控制者应对其数据处理活动负责,并能够证明合规,即问责制。
2、GDPR合法性依据
GDPR规定六种数据处理合法性情形,包括:数据主体的同意;为合同履行之必要;为履行法定义务之必要;为保护数据主体或他人的重要利益之必要(例如疾病);为维护公共利益执行公共任务之必要;为追求正当利益之必要。
3、GDPR数据跨境传输
欧盟规定了较为严格的数据跨境要求,并确立了数据跨境传输基本原则,即当个人数据被转移至欧洲经济区(包括所有欧盟国家和非欧盟国家冰岛、列支敦士登和挪威)之外时,需要采取特别的保障措施,以确保GDPR提供的个人数据保护水平在数据跨境传输过程中“不会减损”。

图 1
在数据跨境传输方面,中国并未获得充分性认定。基于路径二的要求,实践中企业最常采用的路径为标准合同条款(SCCs),其次是有约束力的公司规则(BCRs)。路径三仅适用于只涉及少量数据主体,偶尔进行的数据跨境传输行为。
4、GDPR执法热点
GDPR执法常见理由包括:不遵守一般数据处理原则、数据处理的合法性依据不足、确保信息安全的技术和组织措施不足、个人数据处理告知不足、未充分实现数据主体的权利、与监管机构的合作不足、未充分履行数据泄露通知义务、数据处理协议不足、数据保护官参与不足。从统计数据上分析,数据处理的合规性依据不足、不遵守一般数据处理原则、确保信息安全的技术和组织措施不足为GDPR执法热点缘由。
02美国
在数据保护法律层面,美国形成了“联邦+州法”的二元法律体系。
美国联邦数据保护形成“分行业立法+FTC执法活动”的数据保护体系,其中行业立法主要涉及医疗、金融、广告、教育以及儿童(图2)。

图 2
同时,联邦贸易委员会(FTC)作为活跃的执法机构,依据《联邦贸易委员会法案》第5条规定,对于从事“不公平或欺骗性行为或做法”的数据处理行为进行非常广泛的消费者隐私保护执法活动。
在州法层面,以加州CPRA为代表,目前共有十余个州通过了隐私保护法案。每个州都规定了类似的数据对象权利,但在具体使用门槛与义务上存在差异,出海企业需要对每个通过类似法案的州的法条进行仔细研读和对比,根据业务开展目的地恰当调整数据处理实践。
03中东——以阿联酋为例
《阿联酋个人数据保护法》(Federal Decree-Law no. (45) of 2021):是阿联酋在国家层面上实施的关于个人数据保护的全面法律。该法律旨在规范个人数据的处理方式,确保数据的安全和个人隐私权得到尊重和保护。它包括对数据处理的原则、数据主体的权利、数据控制者和处理者的责任以及跨境数据传输的规定。法律强调了合法性、公平性和透明性的原则,要求对个人数据的收集和使用进行严格的监管。同时,它赋予个人访问、更正或删除其数据的权利,以及在某些情况下限制或反对处理其数据的权利。此外,数据控制者和处理者被要求采取适当的安全措施以保护数据,并在发生数据泄露时及时通知相关当局和数据主体。
《阿联酋联邦数据保护法》具有域外效力,除适用于在阿联酋内的数据主体以及处理个人数据的控制者与处理者(无论数据主体所在地)以外,还适用于在阿联酋以外处理阿联酋数据主体数据的控制者与处理者,但其不适用于特定类型的数据处理活动,包括:
(1)政府数据;
(2)控制或处理个人数据的政府机构;
(3)安全和司法机关持有的个人数据;
(4)数据主体为个人目的进行处理的;
(5)受其他处理健康个人数据的立法规定所约束;
(6)受其他处理银行和信贷个人数据和信息的立法规定所约束;
(7)在自由贸易区内设立,并受到特殊个人数据保护立法约束的公司和机构。
此外,在数据跨境传输层面,《阿联酋联邦数据保护法》提出了两类数据传输跨境合规方式,包括:
(1)充分性认定:要求数据跨境传输应开展充分性认定,并经UAE数据办公室批准,但截至目前包含充分性认定国家名单的附属行政条例尚未发布;
(2)其他途径,包括:签署数据跨境合同,明示同意,为在司法机关履行义务和建立、行使或捍卫权利,合同必要性,国际司法合作,公共利益。
需注意的是,根据上述豁免,阿联酋自由贸易区的个人数据保护立法优先于《阿联酋联邦数据保护法》适用。作为中国企业出海的热门目的地,迪拜国际金融中心(DIFC)与阿布扎比全球市场(ADGM)等自由贸易区发布了适用于自由贸易区的数据保护法律与条例。相较于《阿联酋联邦数据保护法》,DIFC和ADGM跨境传输规则虽在框架上与《阿联酋联邦数据保护法》保持了一致,即充分性决定或适当的保障措施,但在企业具体执行的层面更为便利。例如,DIFC与ADGM均已公布了充分性决定所涉及的国家地区清单,同时发布了标准合同模板供企业使用。
综上,中国出海企业若选择阿联酋自由贸易区为经营地点,则应积极开展相关合规筹划,符合自贸区数据合规要求。
三、汽车、物联网与电商行业出海数据合规要点
01企业出海数据合规基本方法论
中国企业出海应遵循数据合规基本方法:
(1)拟定业务方案中数据处理活动的初步梳理;
(2)基于当地数据保护法规以及本地监管实践形成差距分析以及隐私合规建议;
(3)完成整改并达成合规状态;
(4)持续监测与长期合规。
02汽车行业出海实操问题
1、车企出海数据工作难点
车企出海数据合规工作需关注的难点主要包括:
首先,数据合规的覆盖范围较广,涉及车身域、动力域、座舱域、智驾域等几乎所有板块以及车机端的各项功能,涉及海量的数据梳理以及处理情况总结。有效的差距分析及整改需依赖于高效、完整以及准确的数据梳理结果;
其次,需实现法律风险与商业需求之间的平衡,欧盟GDPR及相关法规的要求较为严格,需综合考量法律要求、监管要求以及市场实践来确定具体的合规方案以及最终的功能形态;
再次,所有的制度设计、文件准备以及协议安排需紧密贴合企业在本地市场的长期运营规划,包括实体的设立、组织架构的设计、决策职能的划分等,后者的确定也需考虑数据合规层面的影响;
最后,在实践层面,企业需推动各项跨境传输场景的场景梳理、工具选择以及合规措施的落实。
2、出海车企数据合规的主要维度
出海车企应综合开展数据合规工作,以出海至欧盟地区为例,企业需要综合考虑如下内容。

图 3
第一,路测阶段,出海车企若需将路侧数据传输至欧盟外部,如中国车企在国内的研发中心,则必须遵守GDPR下的跨境传输规定。中国车企通常采用签订标准合同条款(SCC)并进行跨境传输风险评估(TIA)以及实施安全补充措施来应对这一要求。此外,GDPR要求在可能高风险处理个人数据前进行数据保护影响评估(DPIA),并推荐在智能网联汽车设计及路测阶段进行DPIA。车企还需遵循必要性原则,限制对敏感个人数据的处理和访问,并在不再需要数据时将其删除或匿名化。最后,为降低风险,车企应在路测车辆中设计隐私保护措施,如对数据进行假名化处理,并采取适当方式对公共场所的路人或司机进行告知。
第二,车机端功能。车机端合规是出海车企最关注的合规重点。针对车辆车机系统的数据处理活动,车企应遵循欧盟当地法律及监管指导原则,在将车型引入欧洲市场之前,应在产品设计或改进的早期阶段完成对车机功能的差距分析,并迅速基于隐私设计原则(Privacy by Design, PbD)的整改措施与方案。这包括根据差距分析的结果,综合评估是否在欧洲市场维持特定的车机功能,或对这些功能的隐私保护措施进行改进。特别需要注意那些被认为高风险的功能,如实时摄像头录像和语音控制功能,确保这些功能的设计充分考虑了隐私保护的要求。
第三,海外APP端。车企应关注车辆产品配套使用的APP数据处理活动的合规情况,例如车辆绑定、账户注册等环节或功能的隐私合规重点问题。基于合规问题的分析,完成隐私政策及各类文档、功能开发等方面的整改。如同车机功能一样,需在产品功能设计阶段落实各类合规措施。
第四,欧洲本地组织结构与内部政策合规。中国车企进入欧洲市场的关键步骤包括建立本地组织架构并确保其运营符合当地法规。这一合规过程与集团在欧洲的架构设置、内部数据处理决策机制的功能分配紧密相关。为了区分欧洲和中国的业务,部分车企选择将欧洲的本地实体作为数据的实际控制者。该过程的重点是确保内部数据管理、跨境数据传输和员工数据处理等方面的合规性。在识别存在的合规差距后,车企需要准备必要的制度、文件和协议,并执行必要的合规措施。
第五,其他维度方面。出海车企还应关注其他业务运营中数据处理活动全生命周期合规,与相关方签署的数据处理、共享、转移、跨境传输协议,并关注特定领域法律的限制(例如,基于国家安全而对投资、交易等进行的约束)。
03物联网行业出海实操问题
随着物联网设备在智能家居、智能穿戴和智能医疗等领域的广泛应用,数据收集和隐私保护成为了显著的挑战。这些设备能够收集个人数据,从而揭示用户家庭活动的详细信息,引发了对隐私泄露的担忧。同时,消费者往往不清楚他们的数据如何被收集、处理和使用,增加了隐私影响的复杂性和不可预测性。此外,物联网设备收集的实时数据具有商业价值,可能被用于分析个人的家庭活动,这些数据有可能被第三方访问并用于超出原本的目的。智能家居设备作为物联网的一环,还面临网络安全风险,可能被黑客攻破,影响到智能家居网络中的其他设备安全,数据亦可能遭到未授权的访问、提取或操纵。这一系列问题凸显了在设计和部署物联网设备时考虑隐私保护和数据安全的重要性。
1、智能家居设备
为化解智能家居相关的个人数据保护担忧,可以采取以下措施:
(1)透明度原则,通过各种方式如说明书上的二维码、包装盒内的隐私政策,以及首次打开APP时的强制提示,向用户明确告知数据处理方式;
(2)必要性原则和数据最小化,确保只收集完成服务所必需的个人数据,并以最低频率向云平台传输;
(3)在收集敏感个人数据时获取明确同意,确保用户的知情权;
(4)遵守数据跨境限制,通过签订标准合同条款和进行跨境传输风险评估来确保合规,同时考虑数据的假名化或匿名化处理,以及在数据处理活动可能对个人权利和自由造成高风险时进行数据保护影响评估(DPIA)。
2、智能穿戴设备
智能穿戴设备应注意特殊主体的个人数据收集合规,在儿童作为个人数据主体的场景下,企业应注意:
(1)确定公司是否收集儿童的个人数据;
(2)发布符合当地法律规定的隐私政策;
(3)在向儿童收集个人数据前直接通知家长;
(4)在收集儿童信息前征得监护人同意,并应做出合理努力,在考虑到现有技术的情况下,核实同意是由对儿童负有父母责任的人给予或授权的;
(5)尊重监护人对儿童个人数据的持续性权利;
(6)实施合理程序保护儿童个人数据的安全。
3、智能医疗设备
相关企业应关注当地特殊的数据本地化规定,以阿联酋为例,其《健康数据法》默认,不得在境外存储、处理、生成“健康信息”以及与在阿联酋提供的健康服务有关的数据,或将其传输到阿联酋境外,除非:(a)得到阿联酋卫生部门的明确批准;和/或(b)适用某项豁免。
04电商行业出海实操问题
为了确保电商活动遵循数据保护法规和维护用户隐私,企业可以考虑采取一系列综合措施,具体包括:
(1)在数据收集与告知方面,电商平台必须采用透明的方式处理用户数据,包括但不限于明确说明数据收集目的、范围以及使用方式。这要求企业不仅在技术层面遵循数据最小化原则,仅收集实现服务所必需的数据,而且在用户交互方面提高透明度,如通过用户界面清晰展示这些信息;
(2)在营销与广告方面,电子邮件营销需遵守当地法律法规要求,例如标识营销通信的性质、实现简易的退订机制、获取用户明确同意以及清楚地识别发送者身份。此外,广告内容须真实不误导,尤其在社交媒体中涉及KOL或其他第三方时,要明确标示广告性质,确保用户能够辨识内容来源;
(3)对于第三方数据处理和共享,企业应识别与第三方的数据处理关系,并签订符合GDPR以及美国各州隐私法要求的数据处理合同,确保第三方处理个人数据时的安全性和合规性。这一步骤对于管理供应链中的数据流至关重要,保障了数据在传输过程中的安全与合规;
(4)企业还应建立有效的数据主体权利响应机制,确保用户能够便捷地行使他们的隐私权利,如访问、更正、删除个人数据或反对特定数据处理活动。这要求企业不仅要在技术上做好准备,还要在组织管理层面确保有明确的流程和负责人来及时响应这些请求。

技术驱动法律,专业成就未来