引言
随着国内市场内卷的加剧,越来越多的中国企业开始关注海外市场,以期寻求新的业务增长。
欧美作为国内企业出海的主要目标市场之一,其针对企业在欧美的个人信息保护及数据合规要求也受到越来越多的关注。2018年,美国的《加州消费者隐私法案》(CCPA)获得通过。作为美国州层面第一部全面的数据隐私法,该隐私法案被打上了“美国史上最严”的标签。同年,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR),全面施行,一度被称为全球最严数据保护法规。这一系列的数据隐私立法,无疑会给国内出海欧美的企业带来数据隐私方面的风险和挑战。
除了欧美市场外,东南亚地区已经成为中国企业出海的热门和重要拓展方向,有时甚至成为企业“出海第一站”,但由于东南亚地区不同国家之间经济发展水平、数字营商环境存在较大差异,企业在东南亚地区开展投资活动或出海产品时,经常面临数据合规立法状况复杂、执法强度不一的情况,此时了解目标国家或地区的特殊合规要点,拉平合规基线显得尤为重要。
为了更好地帮助出海企业了解欧美和东南亚的数据隐私保护的情况,提前做好数据隐私方面的合规工作。3月19日下午,垦丁律师事务所广州创始合伙人、W&W国际法律团队创始人王捷律师受LEB法务平台特别邀请进行分享:以电子消费品以及跨境电商为例,分别梳理企业需要关注的欧美及东南亚现行数据保护法律法规,提炼企业需要关注的数据合规重点,为企业做好出海欧美和东南亚的数据合规工作提出务实建议。
为了有助于大家的理解与回顾,W&W国际法律团队提炼了本次沙龙分享的要点内容。
上篇:企业出海欧美数据合规指南——以电子消费品企业为例
01、欧美监管关注点及合规风险频发缺口
王捷律师首先介绍了欧美的数据保护立法和执法现状,并对比了欧美的数据保护差异。她总结道:目前欧盟有关数据合规的执法活动频繁,罚款金额不断攀升,多重执法依据,已经出现自形式合规监管层面纵深至实质合规监管层面。
GDPR的执法活动并未暂缓,仅2024年的第一季度(1-3月)已发生29起罚款执法行动,并出现依据DPO参与数据合规工作不足进行罚款的情况。
美国方面,2024 年 2 月 28 日发布了关于防止受关注国家(Countries of Concern)获取美国人大量敏感个人数据和美国政府相关数据的第13873 号行政命令,有关中美之间的敏感个人信息跨境传输可能面临严峻的监管挑战。
02、电子消费品出海欧美存在哪些“出血点”?
在介绍电子消费品出海欧美数据合规“出血点”前,王捷律师表示首先需要判断企业是否落入欧美数据保护法的管辖,并详细介绍了欧美数据保护法的管辖范围。
此后,王捷律师基于多年数据合规实践经验以及对于欧美数据合规执法情况的追踪,总结了电子消费品出海欧美的五大出血点,包括:
1、如何选择合法性基础
2、过度收集信息
3、数据存储与数据跨境传输
4、第三方管控
5、儿童数据
王捷律师不仅详细分析了上述出血点产生的原因和实践方式,而且就每一个出血点都列举了丰富的实务案例进行讲解,深入解答了前述出血点在实务中的常见风险场景,包括错误选择合法性基础的风险、服务器部署方案、疑难跨境传输场景判断、涉及第三方管控场景的角色判断方式、儿童产品如何做好监护人验证等。
通过结合实际案例代替只讲法条的方式,王捷律师揭示了企业出海欧美的关键问题和挑战,以及解决这些问题的有效方法。
03、企业如何判断合规工作已满足监管规定?
王捷律师指出,企业可以通过以下几个途径来判断合规工作是否已满足监管规定:
获取官方认证,如ISO/IEC 27001、CBPR认证、SOC 2、Europrivacy等。但需要注意,不同业务场景下,所需要的认证可能不同,取得认证之后可能还需要结合持续的合规工作以维持证书的有效性;
聘请独立的外部审计机构评估企业的合规工作,包括对企业的政策、流程、控制措施和数据安全性等方面进行评估;
对企业已有数据进行全生命周期审查和梳理,也即对自身已有数据进行“体检”,评估企业内部整体数据的“健康水平”及各个环节的流转程度等等。
此外,王捷律师表示,数据保护影响评估(DPIA)能成为公司产品或服务风险自查的有利工具。
04、企业出海欧美数据合规建议方案
最后,王捷律师给出了一些实用的建议,为企业合规的落地指明具体方向。化繁为简,其核心有三点:
创建合规性清单:通过“梳理企业涉及收集、处理数据及个人信息的场景,明晰各场景下的数据处理角色,盘点数据及个人信息收集和处理场景”等方式,创建合规性清单,找到属于企业自身的“合规 to do list”;
预估并分析风险:预判企业与应然的合规水平之间的差距,以缩小该差距为目的,并在该过程中识别可能存在的合规风险;
全面测试、体系搭建:在前述分析的基础上,企业可以通过确立合规目标、设计执行、实施改进和定期检查四个方面来建立适配且长久的合规体系。
下篇:企业出海东南亚及印度数据合规指南 — 以跨境电商为例
01、东南亚及印度数据保护立法和执法概览
王捷律师从印尼、越南、新加坡和印度四个国家有关数据保护的立法现状切入,总结东南亚地区各国家间数据保护立法差异以及差异产生原因进行分析。此外,在执法方面东南亚各国也存在差异,一些国家执法活动频繁,而另一些国家存在执法活动不活跃或者不公开执法案例的情况。
综合东南亚地区的立法及执法情况,乃至全球的监管态势,王捷律师总结到目前总体呈现越来越严的趋势,且覆盖企业类型、企业体量等范围会越来越大,开展执法活动的国家也将越来越多。考虑到东南亚地区的数据保护立法和执法情况在不同国家之间存在参差,企业在跨境经营时需要根据各国法律法规的要求进行合规操作。
02、跨境电商:不同角色下有哪些数据合规要求
跨境电商是出海合规的一大业务领域,因此,王捷律师以跨境电商为切入角度,解答了出海合规落地的疑点和难点。
王捷律师指出,数据合规工作离不开数据流转的交互场景,所以企业首先需要清楚业务类型、定位自身角色,由此明晰企业确切的合规责任与义务。就跨境电商而言,三种较为典型的跨境电商业务类型包括:电商入驻第三方平台、自建独立站和自建跨境电商平台。
在数据流转的过程中,常常涉及的合规风险场景包括:用户注册、用户支付、物流报关以及营销推广。王捷律师根据其丰富的数据合规实务经验,归纳了跨境电商经营者三大数据合规痛点:第三方数据交互、数据跨境传输、定向营销。

对此,王捷律师精心设置了多个案例,深入浅出地解答了诸多企业出海的实务难题:
复杂的跨境交互场景下,如何抓准核心、化繁为简,以确定不同场景下对应的合规义务;
出海多个国家时,企业面对立法及执法的参差,如何巧妙设置其数据跨境传输路径以降本增效;
定向营销中,数据来源、算法合规的风险点如何应对等等。

03、企业出海东南亚及印度数据合规建议方案
针对前述风险,王捷律师提供了东南亚及印度数据合规的具体建议方案:
1、确保隐私政策的合规性。隐私政策是企业对外的承诺,因此需要审慎考虑写入的内容,既要保证内容在形式上合规,更要确保在实际运营中的执行。
2、关注数据主体的权利保障,包括在产品设计中嵌入数据主体权利的实现路径,如隐私产品设计、客服响应机制、数据合规官等方式,确保用户能够行使访问权、撤销权等权利。
3、健全企业内部的数据管理与网络安全机制。通过对当地法律的追踪,企业应及时更新安全措施与技术、重视内部IT管理与组织架构、建立泄漏事件应急处理机制、对供应商进行监督和开展第三方评估等。
4、监督与约束外包服务供应商,具体方式包括但不限于在合同中加入数据保障条款、定期对第三方开展数据安全保障措施的评估等。
5、建立公司内部合规清单,打造数据合规体系。可考虑的内容包括:组织架构,风险识别,合规保护措施的设计,内部的培训、测试、审计,监管国的监督-报告要求,应急与危机管理制度的搭建。
最后,王捷律师结合上下两篇的内容,梳理了数据合规系统思路。通过实践的经验,她明确指出,数据合规看似复杂,但万变不离其宗,抓准数据合规基本面,企业即可以不变应万变。

结语
事实上,数据合规并非一蹴而就的工作,而是需要根据企业的具体情况进行量身定制。每个企业在数据合规方面的需求各有不同,因此在制定合规策略时,必须考虑到企业的规模、行业、业务模式等因素。
随着国内市场内卷的加剧,越来越多的中国企业开始关注海外市场,以期寻求新的业务增长。
欧美作为国内企业出海的主要目标市场之一,其针对企业在欧美的个人信息保护及数据合规要求也受到越来越多的关注。2018年,美国的《加州消费者隐私法案》(CCPA)获得通过。作为美国州层面第一部全面的数据隐私法,该隐私法案被打上了“美国史上最严”的标签。同年,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR),全面施行,一度被称为全球最严数据保护法规。这一系列的数据隐私立法,无疑会给国内出海欧美的企业带来数据隐私方面的风险和挑战。
除了欧美市场外,东南亚地区已经成为中国企业出海的热门和重要拓展方向,有时甚至成为企业“出海第一站”,但由于东南亚地区不同国家之间经济发展水平、数字营商环境存在较大差异,企业在东南亚地区开展投资活动或出海产品时,经常面临数据合规立法状况复杂、执法强度不一的情况,此时了解目标国家或地区的特殊合规要点,拉平合规基线显得尤为重要。
为了更好地帮助出海企业了解欧美和东南亚的数据隐私保护的情况,提前做好数据隐私方面的合规工作。3月19日下午,垦丁律师事务所广州创始合伙人、W&W国际法律团队创始人王捷律师受LEB法务平台特别邀请进行分享:以电子消费品以及跨境电商为例,分别梳理企业需要关注的欧美及东南亚现行数据保护法律法规,提炼企业需要关注的数据合规重点,为企业做好出海欧美和东南亚的数据合规工作提出务实建议。
为了有助于大家的理解与回顾,W&W国际法律团队提炼了本次沙龙分享的要点内容。
上篇:企业出海欧美数据合规指南——以电子消费品企业为例
01、欧美监管关注点及合规风险频发缺口
王捷律师首先介绍了欧美的数据保护立法和执法现状,并对比了欧美的数据保护差异。她总结道:目前欧盟有关数据合规的执法活动频繁,罚款金额不断攀升,多重执法依据,已经出现自形式合规监管层面纵深至实质合规监管层面。
GDPR的执法活动并未暂缓,仅2024年的第一季度(1-3月)已发生29起罚款执法行动,并出现依据DPO参与数据合规工作不足进行罚款的情况。
美国方面,2024 年 2 月 28 日发布了关于防止受关注国家(Countries of Concern)获取美国人大量敏感个人数据和美国政府相关数据的第13873 号行政命令,有关中美之间的敏感个人信息跨境传输可能面临严峻的监管挑战。
02、电子消费品出海欧美存在哪些“出血点”?
在介绍电子消费品出海欧美数据合规“出血点”前,王捷律师表示首先需要判断企业是否落入欧美数据保护法的管辖,并详细介绍了欧美数据保护法的管辖范围。
此后,王捷律师基于多年数据合规实践经验以及对于欧美数据合规执法情况的追踪,总结了电子消费品出海欧美的五大出血点,包括:
1、如何选择合法性基础
2、过度收集信息
3、数据存储与数据跨境传输
4、第三方管控
5、儿童数据
王捷律师不仅详细分析了上述出血点产生的原因和实践方式,而且就每一个出血点都列举了丰富的实务案例进行讲解,深入解答了前述出血点在实务中的常见风险场景,包括错误选择合法性基础的风险、服务器部署方案、疑难跨境传输场景判断、涉及第三方管控场景的角色判断方式、儿童产品如何做好监护人验证等。
通过结合实际案例代替只讲法条的方式,王捷律师揭示了企业出海欧美的关键问题和挑战,以及解决这些问题的有效方法。
03、企业如何判断合规工作已满足监管规定?
王捷律师指出,企业可以通过以下几个途径来判断合规工作是否已满足监管规定:
获取官方认证,如ISO/IEC 27001、CBPR认证、SOC 2、Europrivacy等。但需要注意,不同业务场景下,所需要的认证可能不同,取得认证之后可能还需要结合持续的合规工作以维持证书的有效性;
聘请独立的外部审计机构评估企业的合规工作,包括对企业的政策、流程、控制措施和数据安全性等方面进行评估;
对企业已有数据进行全生命周期审查和梳理,也即对自身已有数据进行“体检”,评估企业内部整体数据的“健康水平”及各个环节的流转程度等等。
此外,王捷律师表示,数据保护影响评估(DPIA)能成为公司产品或服务风险自查的有利工具。
04、企业出海欧美数据合规建议方案
最后,王捷律师给出了一些实用的建议,为企业合规的落地指明具体方向。化繁为简,其核心有三点:
创建合规性清单:通过“梳理企业涉及收集、处理数据及个人信息的场景,明晰各场景下的数据处理角色,盘点数据及个人信息收集和处理场景”等方式,创建合规性清单,找到属于企业自身的“合规 to do list”;
预估并分析风险:预判企业与应然的合规水平之间的差距,以缩小该差距为目的,并在该过程中识别可能存在的合规风险;
全面测试、体系搭建:在前述分析的基础上,企业可以通过确立合规目标、设计执行、实施改进和定期检查四个方面来建立适配且长久的合规体系。
下篇:企业出海东南亚及印度数据合规指南 — 以跨境电商为例
01、东南亚及印度数据保护立法和执法概览
王捷律师从印尼、越南、新加坡和印度四个国家有关数据保护的立法现状切入,总结东南亚地区各国家间数据保护立法差异以及差异产生原因进行分析。此外,在执法方面东南亚各国也存在差异,一些国家执法活动频繁,而另一些国家存在执法活动不活跃或者不公开执法案例的情况。
综合东南亚地区的立法及执法情况,乃至全球的监管态势,王捷律师总结到目前总体呈现越来越严的趋势,且覆盖企业类型、企业体量等范围会越来越大,开展执法活动的国家也将越来越多。考虑到东南亚地区的数据保护立法和执法情况在不同国家之间存在参差,企业在跨境经营时需要根据各国法律法规的要求进行合规操作。
02、跨境电商:不同角色下有哪些数据合规要求
跨境电商是出海合规的一大业务领域,因此,王捷律师以跨境电商为切入角度,解答了出海合规落地的疑点和难点。
王捷律师指出,数据合规工作离不开数据流转的交互场景,所以企业首先需要清楚业务类型、定位自身角色,由此明晰企业确切的合规责任与义务。就跨境电商而言,三种较为典型的跨境电商业务类型包括:电商入驻第三方平台、自建独立站和自建跨境电商平台。
在数据流转的过程中,常常涉及的合规风险场景包括:用户注册、用户支付、物流报关以及营销推广。王捷律师根据其丰富的数据合规实务经验,归纳了跨境电商经营者三大数据合规痛点:第三方数据交互、数据跨境传输、定向营销。

对此,王捷律师精心设置了多个案例,深入浅出地解答了诸多企业出海的实务难题:
复杂的跨境交互场景下,如何抓准核心、化繁为简,以确定不同场景下对应的合规义务;
出海多个国家时,企业面对立法及执法的参差,如何巧妙设置其数据跨境传输路径以降本增效;
定向营销中,数据来源、算法合规的风险点如何应对等等。

03、企业出海东南亚及印度数据合规建议方案
针对前述风险,王捷律师提供了东南亚及印度数据合规的具体建议方案:
1、确保隐私政策的合规性。隐私政策是企业对外的承诺,因此需要审慎考虑写入的内容,既要保证内容在形式上合规,更要确保在实际运营中的执行。
2、关注数据主体的权利保障,包括在产品设计中嵌入数据主体权利的实现路径,如隐私产品设计、客服响应机制、数据合规官等方式,确保用户能够行使访问权、撤销权等权利。
3、健全企业内部的数据管理与网络安全机制。通过对当地法律的追踪,企业应及时更新安全措施与技术、重视内部IT管理与组织架构、建立泄漏事件应急处理机制、对供应商进行监督和开展第三方评估等。
4、监督与约束外包服务供应商,具体方式包括但不限于在合同中加入数据保障条款、定期对第三方开展数据安全保障措施的评估等。
5、建立公司内部合规清单,打造数据合规体系。可考虑的内容包括:组织架构,风险识别,合规保护措施的设计,内部的培训、测试、审计,监管国的监督-报告要求,应急与危机管理制度的搭建。
最后,王捷律师结合上下两篇的内容,梳理了数据合规系统思路。通过实践的经验,她明确指出,数据合规看似复杂,但万变不离其宗,抓准数据合规基本面,企业即可以不变应万变。

结语
事实上,数据合规并非一蹴而就的工作,而是需要根据企业的具体情况进行量身定制。每个企业在数据合规方面的需求各有不同,因此在制定合规策略时,必须考虑到企业的规模、行业、业务模式等因素。
