摘要：随着数字经济的蓬勃发展和互联网全球化进程的加快，远程工作日益普遍。在实践中，一些企业通过所谓“离岸模式”开展业务，即虽未在某一国家设立法律实体、雇员或服务器，但通过网站、平台等方式向该国用户提供服务、收集数据。“离岸模式”必然伴随着数据的跨境传输和远程处理，针

随着数字经济的蓬勃发展和互联网全球化进程的加快，远程工作日益普遍。在实践中，一些企业通过所谓“离岸模式”开展业务，即虽未在某一国家设立法律实体、雇员或服务器，但通过网站、平台等方式向该国用户提供服务、收集数据。“离岸模式”必然伴随着数据的跨境传输和远程处理，针对这类跨境远程数据处理行为，世界主要法域有不同的法律监管处理方式。

中国《个人信息保护法》第3条明确列举三类适用情形，对境外主体的数据处理活动设定域外适用条款；欧盟《通用数据保护条例》（GDPR）通过第3条确立类似适用基础，并辅以设立代表义务及豁免机制；美国在联邦层面尚无统一立法，主要依赖特定行业法规和州法组成的碎片化监管体系，域外适用标准相对分散。近年来，美国还针对“受关注国家及相关人员”访问美国敏感个人数据和政府相关数据出台专项限制措施，但同时设置了通信、国际差旅、金融服务、医疗审批等特定豁免情形，体现出在国家安全管控与正常跨境活动之间的平衡考量。

一、中国

中国对于无境内实体而访问或处理境内数据的行为采取较为严格的监管模式。根据《个人信息保护法》第3条和第27条的规定，在中华人民共和国境外处理境内自然人个人信息的活动，有下列情形之一的，应当在境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门：（1）以向境内自然人提供产品或者服务为目的；（2）分析、评估境内自然人的行为；（3）法律、行政法规规定的其他情形。

其中，“以向境内自然人提供产品或者服务为目的”，可理解为企业以中国境内个人为目标用户开展商业活动。判断是否构成此类行为时，通常会综合考量企业的商业意图和市场导向，如其网站或App是否使用中文界面、是否接入中国境内支付系统等，这些都可被视为其将中国市场纳入服务范围的外在表现。此外，“分析、评估境内自然人的行为”与欧盟GDPR中的“行为监控”概念相似，指的是收集个人数据并加以分析，用于生成个体画像（profiling）并实现个性化推送。这类活动通常包括基于行为的广告投放、可穿戴设备收集的健康数据分析、位置追踪、信用评分等。

2025年起施行的《网络数据安全管理条例》对境外处理者设立代表的要求作出补充，明确应将相关信息报送至所在地市级网信部门。从合规操作角度看，境外主体可在中国设立子公司并指定其为“专门机构”履行数据合规相关事务，但现行制度尚未明确是否需通过行政审批或备案程序正式确认代表身份。此外，关于“负责处理个人信息保护相关事务”的职责表述仍较为笼统，缺乏明确的操作指引，其实际参与程度与义务范围尚不清晰，例如是否必须通过该机构收集境内数据、是否需实质参与处理流程，或是否仅承担应急响应与监管对接等形式性职责，均有待监管部门在实践中予以明确。

二、欧盟

GDPR第3条第2款规定，若欧盟境内无实体，欧盟境外的数据控制者或处理者向欧盟境内居民提供产品或服务，或者监控欧盟境内数据主体的行为，亦应适用GDPR。为此，第27条设立了代表制度，境外数据控制者或处理者在符合GDPR第3条第2款规定的情形时，应当在欧盟成员国内以书面形式委派一名代表，代为开展与数据处理活动相关的各项事务，并作为沟通数据保护机构、数据主体与境外数据控制者或处理者的联系点。

同时，GDPR也规定了两类豁免情形，分别载于第27条第2款（a）项和（b）项。根据该条文，非欧盟主体在第3条第2款项下的数据处理行为在满足特定条件的情况下，可以免于指定代表：

第一类为数据跨境处理风险较低的情形，该豁免须具备三项条件：

第二类为处理主体属于境外公共机构或公共机关（public authority or body）的情形。该豁免设立的理论依据主要源于国际法上的主权豁免原则，即一国无权对他国公共机构单方面施加法律义务。根据欧洲数据保护委员会（EDPB）的解释，是否属于“公共机关或机构”，应由各国数据保护主管机关结合其性质、职能和数据处理目的进行具体认定。通常而言，此类主体为履行其公共职责（如政府统计、国际合作、外交活动）而处理个人数据，其向欧盟境内个人提供产品、服务或实施行为监测的可能性较低，因此不强制适用代表制度在实践中也具备合理性。

在执法实践中，欧盟监管机构已就违反GDPR第27条未指定代表的行为作出过实际处罚。例如2021年5月12日，荷兰数据保护机构（AP）对总部位于美国的网站Locatefamily.com处以52.5万欧元罚款，理由是该网站作为欧盟境外的数据控制者，在未设立代表的情况下向欧盟境内自然人提供服务，违反了GDPR第27条的规定。该案也是第27条代表制度设立后开出的首张罚单。[1]

三、美国

与欧盟GDPR设有明确的代表制度不同，对于外国公司在美国无实体、员工或服务器，仅通过网站收集美国数据的情况，美国在联邦层面并无明文规定要求该公司设立“境内代表”或“本地代表”。随着近年来部分州法对域外数据处理行为提出了较高要求，如《加州隐私权法案》（CPRA）在某些情况下可能适用于无实体设立但向加州居民提供产品或服务的企业。此外，针对“受关注国家及相关人员”，美国出台新规禁止其访问美国敏感个人数据和政府相关数据，但在通信、国际差旅等领域存在豁免情形。

（一）加州、纽约州隐私法案域外使用效力

从地域范围来看，CPRA适用于“在加州开展业务的企业”。虽然CPRA并未明确界定“在加州开展业务”的具体标准，但依据加州税法及执法机关的解释，只要企业在加州有一定销售、资产、薪酬分布，或为谋求经济利益而积极参与交易，即可能被视为“在加州开展业务”。因此，即便企业在加州不设立办公场所，仅通过线上方式向加州居民提供产品或服务，或雇佣少量远程员工，也可能被认定为受CPRA规制的“业务主体”，从而被纳入其合规义务范围。[2]

另一项具有广泛属地适用范围的重要美国隐私法是纽约州《阻止黑客入侵并改进电子数据安全法案》（《SHIELD法案》）。该法案适用于“任何拥有或许可”计算机化私人信息（computerized private information）的个人或企业，而这些私人信息是指纽约州居民的特定类型个人信息。是否“在纽约州开展业务”并不是适用该法案的判断标准。这意味着该法案更侧重于是否处理纽约州居民的个人信息，大大拓展了监管的属地效力基础。[3]

（二）向受关注国家传输敏感个人数据及政府数据的豁免情形

2025年1月8日，美国司法部公布《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》的最终规则（《最终规则》），以落实拜登于2024年2月28日签发的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》（14117行政命令），其核心在于禁止或限制敏感个人数据和美国政府相关数据传往特定国家或者被特定国家主体访问。

《最终规则》为美国实体及个人施加主要合规义务，禁止或限制其在明知或有理由知道的情况下，与受限制主体开展使其能够访问达到特定数量阈值的敏感个人数据，或涉及美国政府机构信息的数据处理交易。具体而言：

同时，《最终规则》亦设定了若干豁免情形。豁免的交易包括：

此外，规则还将以下数据明确排除在监管范围之外：依法可公开获取的政府记录或媒体传播数据（如开源数据库）；与表达性材料相关的元数据（如用于定位照片的地理标签），或用于实现信息传递的必要元数据。

从逻辑上看，上述豁免主要基于三方面考量。第一，部分数据使用场景本身风险较低，不涉及敏感数据的大规模处理，或与国家安全关联度较低，例如非商业性个人通信、表达性信息材料的跨境传输、企业集团内部的日常管理事务等。第二，部分行业具有较为成熟的合规体系和监管机制，在现行制度下数据处理风险已相对可控，如金融服务、电信运营、药品审批和临床研究等领域，其数据流动多嵌入特定法律框架中并受专门监管，规则通过豁免避免重复管制或不必要干预。第三，部分豁免涉及美国政府自身的核心职能或基于国际承诺履行的义务，如官方活动或依国际条约开展的合作事项，具有主权属性或外交特殊性，不宜纳入一般性数据交易监管。整体来看，这些豁免在控制安全风险的前提下，为关键行业的正常运转、政府履职以及合理的国际合作保留了必要空间。

四、中美欧监管规则的比较评论

围绕“离岸模式”下的数据处理行为，欧盟和中国都选择了较为直接的监管路径——通过明确的域外适用条款和代表制度，强化对境外数据控制者或处理者的监管可达性。GDPR在这方面的体系已经非常成熟，不仅设有明确的适用范围和代表设立义务，还配套了适用条件具体的豁免机制，并已在执法实践中对未按照要求设立代表的企业开出多张罚单，进一步强化了规则的现实约束力和合规预期。中国以《个人信息保护法》和《网络数据安全管理条例》为核心，也初步建立起较为严格的境外数据处理代表机制，其路径在设计理念上与欧盟相似。但在代表身份的确认程序、代表的职责范围等方面仍处于探索阶段，目前尚无公开的执法案例可供参考，企业在实际执行中面临一定的不确定性，有待后续监管进一步澄清和细化。

美国在没有统一个人数据保护立法或代表制度的背景下，对“离岸模式”数据处理行为主要通过国家安全视角进行规制。2025年出台的《最终规则》虽对涉敏感个人数据与政府数据的跨境交易设定了较为严格的限制，但同时通过广泛的豁免条款，为金融、电信、制药、医疗、科研与政府事务等多个关键行业的数据活动保留了操作空间。这种以国家安全为核心、结合行业弹性的制度设计，体现出该项政策在风险防控与经济发展之间所做的平衡尝试。

●注释：

[1]https://mp.weixin.qq.com/s/QUW7NFVQmUK3ke7--XDSsQ

[2]See https://www.krcl.com/insights/doing-business-in-california-the-california-privacy-rights-act-is-coming

[3]See https://www.termsfeed.com/blog/eu-us-privacy-laws-foreign-businesses/

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

1. 邓志松：《律师与公司常见问答》引言及全文

2. 邓志松等：收到反垄断局对并购交易的未依法申报调查函，企业如何正确应对？

3. 邓志松等：募投管退 - 私募基金的反垄断风险管理

4. 邓志松等：“Bloomberg Law: China Privacy Profile”中文引言及全文

5. 邓志松等：《反垄断法》修订律师实务评述：9大方面 + 23处调整

6. 邓志松等：中国个人信息出境合规路径 - 安全评估、标准合同及认证

7. 邓志松等：《反不正当竞争法》第三次修订：健全数字经济公平竞争规则

8. 邓志松等：欧盟《外国补贴条例》生效：中国企业涉欧并购的监管影响及法律实务建议

9. 邓志松等：标准合同办法补全第三条路径，完成个人信息出境法律监管拼图

10. 邓志松：中国能源企业海外投资的反垄断监管挑战与实务应对

11. 邓志松：格式条款被规制，“最终解释权”受重罚 ——《合同行政监督管理办法》解析

12. 邓志松等：票务平台退票政策趋势观察——“不可退”成为法律禁止的格式条款？

13. 邓志松等：港口整合大潮下的经营者集中反垄断申报——中外比较与实务策略

14. 邓志松等：《外国补贴条例》实施周年的执法趋势观察——中资企业欧洲并购交易合规策略

15. 邓志松等：渡口看潮生——港口行业自我优待问题的反垄断规制

16. 邓志松等：退票行不行？文娱消费领域退票法律实践研究

17. 邓志松等：私募基金行业的经营者集中反垄断审查：趋势变化与合规要求

18. 邓志松等：中国能源企业海外并购：反垄断、反补贴与国家安全的多重监管挑战和实务应对

19. 邓志松等：美国禁止竞业限制引发全球瞩目——人力资源领域反垄断法适用的中外实践

20. 邓志松等：国际视角下的公平竞争营商环境优化新路径：聚焦国有经济、地方保护与补贴制度

21. 邓志松等：国内第一起个人信息跨境传输法院判例评析：欧盟GDPR隐私政策的本地化解构

22. 邓志松等：反垄断民事纠纷抗诉第一案：推动垄断案件可仲裁性司法裁判标准统一

23. 邓志松等：《横向经营者集中审查指引》实务评析：以反垄断审查为引擎驱动并购合规常态化

24. 邓志松等：金融行业经营者集中的特点及反垄断审查实务观察

25. 邓志松等：海外并购“反向分手费”风险管控及实务应对策略：反垄断、FSR与FDI审查

26. 邓志松等：房地产行业并购交易与反垄断监管：经营者集中案件特点和趋势观察

27. 邓志松等：最高法预付消费司法解释解读：中外比较与实务指引

28. 邓志松等：中国“个人信息跨境传输第一案”终审定论：跨国公司应落实本地化数据合规要求

29. 邓志松等：我国“订阅容易取消难”问题的法律规制与实践观察——从美国FTC诉Uber案谈起

本文作者

来源：大成律动