文｜胡嘉琦

ID | BMR2004

随着亚马逊、京东、Temu、阿里巴巴旗下全球速卖通等跨境电子商务平台在国际舞台上大放异彩，平台之上的跨境数据如何流通成为全球各国家和地区关注的焦点问题，企业作为跨境数据流通的主要经济实体，对跨境数据合规问题的关注更是首当其冲。

当下，跨境电商平台迅猛发展，跨境电商数据成为平台上的关键要素，企业在处理跨境数据时面临着多重合规挑战。各国对数据隐私和保护的法律法规存在差异，企业需要了解并遵守目的地国的数据保护要求。

此外，企业在跨境数据流通过程中还必须考虑数据跨境转移的限制和要求。例如，欧盟对个人数据的跨境转移有严格规定，要求确保数据在转移过程中得到适当保护。中国对数据出境也有严格的审查和审批机制，企业必须进行数据出境安全评估和申请。

为应对这些挑战，企业应建立综合的数据合规管理体系，包括制定详细的数据保护策略、进行定期的合规审查以及必要的员工培训。此外，企业还需密切关注国际数据保护动态和政策变化，及时调整自身的合规措施，以保持对全球数据保护要求的适应性和合规性。

01

如何看待数据出境

“出境”和“跨境”不仅是指物理上跨越国境的行为，更是指从一个司法管辖区域到另一个司法管辖区域的行为。

国家网信办发布的《数据出境安全评估申报指南（第一版）》对“数据出境”进行了界定：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；三是国家网信办规定的其他数据出境行为。

“出境”和“跨境”不仅是指物理上跨越国境的行为，更是指从一个司法管辖区域到另一个司法管辖区域的行为，司法管辖区域既包括具有独立主权的国家，也包括具有司法独立权的地区。因此，将中国内地收集和产生的重要数据和个人信息向香港、澳门地区传输，也属于数据“出境”行为。

“境内运营”是指网络运营者在中华人民共和国境内开展业务，提供产品或服务的活动。即便是没有在我国境内注册的网络运营者，但在我国境内开展业务，或向我国境内提供产品或服务的，仍然属于“境内运营”。

中国信息通信研究院互联网法律研究中心主任 、中国互联网协会法治工作委员会副秘书长何波向《商学院》记者表示，跨国集团涉及的统一采购、人事管理、OA系统、财务管理、文档管理、供应商管理、远程运维等情况，可能经常发生企业内部数据流动、向境外关联主体提供数据的情形，只要是实现了“出境”和“跨境”，符合上述行为界定，即属于“数据出境”行为。

02

美国与欧盟的跨境数据管理

美国采取了分行业式分散立法模式，欧盟则以个人数据和非个人数据的分类为基础，设立了全方位的管理规则。

2021年9月29日，联合国贸易和发展会议发布《2021年数字经济报告（数据跨境流动和发展：数据为谁而流动？）》。报告指出，现有信息表明，疫情发生以来，数据跨境流动在地理上主要集中在“北美-欧洲”和“北美-亚洲”两条路线上。

据跨境贸易数字化服务商PingPong发布的《2023跨境市场洞察报告》显示，从2023年PingPong平台服务企业主要出口国家和地区交易规模占比来看，美国、德国、英国占据前三，其中美国仍为主要出口国家，将美国作为出口目标市场的企业数量占比也在持续增长，接近1/4。

以世界主要经济体美国和欧盟为例，何波认为，美国主要以受控非密信息管理、出口管制、外资安全审查为主，限制相关数据出境；欧盟主要以严格权利保护为特征，对个人数据进行管理。

何波以美国的数据跨境管理为例。美国在联邦层面上，没有一部综合且全面的数据隐私保护法，而是采取了分行业分散立法模式，在金融数据、健康数据、通讯数据以及家庭、儿童数据等领域都有专门的数据保护立法。对于跨境数据传输，美国也没有通过立法作出全面规定，但通过行政命令、《2018年外国投资风险审查现代化法》《出口管制条例》（以下简称“EAR”），在受控非密信息、外资安全审查、出口管制等领域限制美国数据跨境流出，尤其美国通过多种审查措施限制数据向特定国家流动。

首先，针对受控非密信息（CUI）进行管控，2010年11月，美国通过第13556号行政命令《关于受控非密信息的行政令》，建立了管理受控非密信息的计划，规定了受控非密信息的登记、分类、安全保护、获取和传播等问题。

受控非密信息共分为20个类别、125个子类，其中20个类别是：关键基础设施、国防、出口管制、金融、移民、情报、国际协议、执法、法律、自然和文化资源、北约、核、专利、隐私、采购和收购、专有商业信息、临时信息、统计、税收和交通。美国国家档案和文件管理局对受控非密信息中每类信息的传播限制进行标记，其中有一种类型为“禁止外国传播（No foreign dissemination）”，规定不得以任何形式将此类信息传播给外国政府、外国国民、国际组织或非美国公民。

其次，通过外商投资审查限制敏感个人数据、关键技术数据流出，美国在《2018年外国投资风险审查现代化法》及2020年公布的实施细则中，明确美国外国投资委员会（CFIUS）应当对于有可能获得美国关键技术、敏感个人数据的外国投资进行审查，防止相关数据传出境外被其他国家利用从事侵害美国国家利益的活动。

2020年3月，时任美国总统特朗普基于CFIUS审查发出行政命令，要求北京石基公司（以下简称“石基公司”）剥离其收购的美国酒店管理软件公司StayNTouch的100%股权。从该行政命令中“可能损害美国国家安全”以及要求石基公司完成撤资前“不得访问酒店客人数据”等理由来看，禁止该交易的主要原因是防止美国数据传到境外。

再次，通过出口管制限制技术数据出境，美国通过制定《出口管制条例》管控美国原产物项的出口与再出口来维护美国的利益。这里的物项包括产品、货物、软件或技术等。按照EAR的规定，“技术”是物品的开发、生产、使用、操作、安装、维护、维修、大修或翻新所必需的信息，对于EAR受控技术，如果要出口，则需要向美国商务部申请许可证，而在实践中一般不会被批准。

此外，为防止特定类型数据流向“受关注国家”，2024年2月，美国发布《防止“受关注国家”获取美国人大量敏感个人数据》行政令，限制向中国、俄罗斯、伊朗、古巴等六国以及与这些国家相关的实体出售基因组数据、生物识别数据、个人健康数据、地理位置数据、金融数据等特定类型数据。

北京市君益诚律师事务所合规部主任王轩向《商学院》记者指出，美国通过多层次的监管框架对数据跨境流动进行规制，美国长期推进有利于自身的数据跨境流动规则，在倡导数据自由流动的同时，为国家安全和关键领域设置例外条款，对关键基础设施、金融、税收、人工智能关键技术等关键领域数据出境施加限制措施，通过出口管制、外资审查等制度对数据出境设置了诸多限制。企业在进行跨境数据传输时需谨慎遵守相关法规，以规避法律风险。

在欧盟，个人数据跨境流动等处理活动被严格规范以保护个人权利和数据安全。何波指出，欧盟的数据跨境流动管理以个人数据和非个人数据的分类为基础，设立了全方位的管理规则，确保数据在跨境流动后仍得到充分保护。核心法规《通用数据保护条例》（GDPR）中强调“同等保护”的原则，规定了个人数据跨境传输的路径，包括充分性认定、适当性保障措施及例外情形。

GDPR规定，充分性认定是指当欧盟委员会认定相关的第三国、第三国中的某区域、一个或多个特定部门或国际组织对个人数据确保提供充足的保护时，有关实体可以从欧盟将个人数据传输到该第三国或国际组织。这些数据跨境传输不再需要特定的授权。

适当性保障措施包括公共机构之间的双边或多边行政性安排、有约束力的公司规则、数据保护标准合同、经批准的行为守则、经批准的认证机制五类。

当数据传输方无法适用前述两类机制时，可以依条件适用例外情形，如数据主体同意或履行合同义务。此举为数据跨境流动提供了多元化渠道，同时也保障了欧盟个人数据在全球范围内的安全，体现了欧盟对保护个人数据的重视态度。

03

警惕数据跨境风险

数据出境的违规行为主要包括未按规定完成审批、未获得适当授权、未采取足够安全措施以及未遵守适用法律法规。

美国和欧盟在跨境数据管理方面的规定对企业的业务运作提出了严格要求。欧盟的GDPR对企业的跨境数据传输设立了高标准，要求在数据离开欧盟时需确保数据接收方具有相等的保护水平。美国的规定则侧重于促进数据流动，同时在某些领域要求数据保护。企业需要在这些法规之间取得平衡，以管理数据跨境流动的风险。

中国政法大学互联网金融法律研究院院长李爱君和深圳大学合规研究院数据与个人信息合规研究与评估中心联席主任王艺在最新合著的《数据出境法学原理与实务》一书中，多角度地分析了数据跨境活动对企业利益带来的风险。

首先，数据跨境活动会产生一定的法律风险。企业在数据跨境的过程中可能侵犯客户隐私权和泄露商业机密，如企业未能有效保护客户和员工的个人信息或商业敏感信息，不仅会带来法律风险，还可能对企业形象和业务产生长期影响。

法律规定的数据保护标准不同，会导致企业面临法律风险。不同国家、地区的法律和法规规定存在差异，企业可能需要遵守各种不同的法律标准和管理规定。如果企业没有妥善处理这些标准，则可能会面临来自政府、监管机构或消费者的法律风险，如遭受罚款和刑事责任风险。

因本地数据存储的要求，一些国家和地区要求企业将数据保存在本地服务器，这可能导致企业无法通过云服务等方式进行跨境数据传输，从而对企业发展产生重大影响。

其次，企业在进行数据处理时也会面临合规风险。企业在处理跨境数据时，可能会涉及未经授权的数据处理风险，如企业可能会跨越国界向未经授权的用户发送电子邮件，未经授权分享用户数据，或盗取或窃取他人的数据。企业在跨境数据流动时可能会遇到未经监管部门批准的数据交换风险，如企业可能会收集一些特定类型的数据，但这些数据在某些国家是受保护的，企业需要获得监管部门的批准才能进行数据交换。法律风险可能导致法律纠纷的产生，企业为此还需要支付大量法律咨询费用，由此也导致企业经营成本增加。

面对风险，采取防患于未然的措施是必要的。王轩强调，数据出境的违规行为主要包括未按规定完成审批、未获得适当授权、未采取足够安全措施以及未遵守适用法律法规。不同地区的处罚措施差异明显，美国的罚款依据具体情况而定，欧盟依据GDPR规定的罚款标准高达全球年度营业额的4%。

因涉嫌将大量欧盟国家用户的个人数据传输至美国，脸书母公司Meta遭到创纪录的巨额罚款。2023年5月22日，爱尔兰数据保护委员会宣布，Meta将被罚款约13亿美元。这成为迄今为止欧盟对违反欧盟GDPR的企业开出的最重罚单。

根据中国最新发布的《促进和规范数据跨境流动规定》，数据跨境流动的监管方式包括申报数据出境安全评估、订立个人信息出境标准合同和个人信息保护认证。对于不涉及个人信息或重要数据的跨境活动，如国际贸易、跨境运输等，相关规定也提供了免申报的选项。该规定旨在平衡数据安全与国际业务发展，鼓励数据流动的同时保护个人隐私。

王轩进一步指出，跨国集团内部的数据传输若涉及不同国家之间的数据流动，也需遵循数据出境的相关法律法规。企业必须建立符合出境地和入境地的法律数据保护机制，确保合规，减少法律风险。

中国企业在全球业务扩展中面临的跨境数据合规挑战不可小觑。理解不同市场的合规要求，建立健全的数据保护机制，是企业成功拓展国际市场的关键。王轩建议，企业应根据具体市场的法规要求进行详细研究和严格遵守，以避免法律风险和经济损失。

来源 | 《商学院》杂志9月刊