摘要:各国的个人数据保护制度对违法行为通常都设置了高额的罚款等行政处罚乃至刑事处罚。中国企业在海外绿地投资时,若未充分理解并遵循当地的数据保护法规,则可能因未经授权的数据处理、数据泄露等问题被处以高额罚款或其他形式的处罚。这不仅会直接影响企业的财务状况,还可能损害其
近年来,中国企业通过绿地投资方式出海呈现显著增长趋势。绿地投资意味着需要更加重视在当地的合规经营,其中数据安全与合规值得特别关注。
各国的个人数据保护制度对违法行为通常都设置了高额的罚款等行政处罚乃至刑事处罚。中国企业在海外绿地投资时,若未充分理解并遵循当地的数据保护法规,则可能因未经授权的数据处理、数据泄露等问题被处以高额罚款或其他形式的处罚。这不仅会直接影响企业的财务状况,还可能损害其品牌形象,导致市场信任度下降。
另外,跨境数据流动限制对中国企业国际化运营也带来了较大影响。有些国家出于数据主权和国家安全的考虑,实施了不同程度的数据本地化政策,这使得企业需要建设本地数据中心或与当地合作伙伴合作。数据本地化政策增加了企业的基础设施建设成本,同时对企业的全球化数据整合能力也提出了更高要求。
全球日益严格的数据安全与合规监管,对中国企业的海外投资提出了严峻挑战。如何在复杂的全球数据监管环境中保障数据安全与合规,成为中国企业必须重视的问题。本文将重点介绍中国企业海外绿地投资的主要国家或地区的个人数据保护立法概况、重点合规内容以及个别东道国个人数据保护制度,以期有助于中国企业了解和遵守东道国个人数据保护要求,防范和应对在海外绿地投资过程中的数据合规风险。
01
重点国家和地区个人数据保护立法概述
根据联合国贸易和发展会议(UNCTAD)统计,目前全球190多个国家中,约150多个国家出台了数据隐私保护法律。[1]
1. 欧洲
2018年5月,欧盟《通用数据保护条例》(General Data Protection Regulation,“GDPR”)的正式生效实施,标志着全球个人数据保护监管进入新的时期。GDPR确立的数据保护基本原则、数据主体权利、处理者的主要义务以及跨境传输规则等,对世界各国和地区的个人数据保护立法产生了深远的影响。GDPR发布至今,欧洲地区在个人数据保护立法和执法方面仍扮演着“先行者”的角色。此外,GDPR的域外效力及其跨境数据传输充分性保护认定等规则进一步扩张其在全球的影响力。
2. 美国
美国至今尚未形成联邦层面针对个人数据保护的综合性立法,但以加利福尼亚州为代表的美国诸多州已经制定本州的数据保护立法并逐步进入实施阶段。
美国的法律体系包括联邦法律和州法律。联邦法律和州法律相互独立,各自有其适用范围和管辖领域。目前在联邦层面,美国尚未制定综合性的数据安全法律和个人数据保护法,但其在联邦层面制定了针对特定领域的隐私和数据安全法律,主要包括:适用于联邦政府及其雇员和分包商的《隐私权法》(Privacy Act);适用于电信公司的《电讯法》(Telecommunication Act)、《电子通信隐私法》(Electronic Communications Privacy Act);适用于医疗保健提供商的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act)等法律。美国的部分州已颁布州一级的个人数据保护法规。例如,加利福尼亚州颁布并已实施的《加州消费者隐私法》(California Consumer Privacy Act)和《加州隐私权法》(California Privacy Rights Act)。
虽然美国尚未颁布联邦层面统一的个人数据保护法相关法律,但近年来美国政府对个人数据(尤其敏感个人数据)传输至包括中国(包括中国香港、中国澳门)在内的一些受关注国家做了较为严格的限制。
2024年2月28日,美国前总统拜登签署第14117号行政命令,即《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)(“《14117行政令》”)。
2024年12月27日,美国司法部发布了《防止受关注国家或受规制主体获取美国敏感个人数据和与政府有关的数据》(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)的最终规则(“《14117最终规则》”)。
《14117最终规则》通过禁止或限制“美国人”与“受关注国家”或“受规制人士”之间涉及大量“敏感个人数据”或任何“美国政府相关数据”,以防止“受关注国家”或“受规制主体”获取大量“美国人的敏感个人数据”或与“美国政府相关的数据”。
《14117最终规则》已于2025年4月8日生效,其中部分尽职调查、审计和报告义务于2025年10月6日起实施。
《14117最终规则》将对已在美国运营或将要出海美国的中国企业产生广泛的影响,并带来较大的合规挑战。中国企业需密切关注《14117行政令》及《14117最终规则》的实施情况,并积极梳理和排查现有业务,识别被禁止或限制的交易类型,准备相应合规方案,确保海外业务的稳定和持续发展。
3. 东南亚
目前,在东南亚地区,除柬埔寨、文莱、缅甸等国家外,东南亚大部分国家都已发布专门的个人数据保护法律,并逐步建立个人数据保护制度。下表是东南亚相关国家个人数据保护立法基本情况:
4. 中东
近年来,中东地区的数据保护相关立法不断加强,例如阿拉伯联合酋长国(United Arab Emirates, UAE)、沙特阿拉伯(Saudi Arabia)、阿曼(Oman)等国家都建立了比较全面的法律框架,以保护个人数据并加强网络安全。此外,在中东地区,消费者的数据隐私意识也在不断提升。下表是中东地区相关国家个人数据保护立法基本情况:
5. 拉丁美洲
拉丁美洲各国在个人数据保护领域的立法呈现多样性。目前大多数拉丁美洲国家都已经或正在制定数据保护法,但在制定和统一标准方面仍然存在差异。下表是拉丁美洲相关国家个人数据保护立法基本情况:
6. 非洲
在非洲,个人数据保护的重要性日益增强。2014年,非洲大陆通过了《非洲联盟网络安全和个人数据保护公约》(《马拉博公约》)(African Union Convention on Cyber Security and Personal Data Protection )(“Malabo Convention”),旨在促进非洲数据自由流动,并敦促成员国建立个人数据保护的法律框架。《马拉博公约》于2023年6月8日生效,相当多的非洲国家已经建立并继续完善其国内数据保护立法和监管框架。下表是非洲相关国家个人数据保护立法基本情况:
02
重点合规内容
目前,虽然各东道国数据保护立法和执法存在不同程度的差异,但一些基本的制度和原则存在共通之处,比如各东道国数据保护基本制度通常会界定个人数据、敏感个人数据或与之类似的概念,明确处理个人数据的合法性基础、个人数据的跨境传输规则等。本部分将重点梳理和分析境外主要国家和地区数据保护基本制度中的一些共性原则和要求。
1. 个人数据及敏感个人数据
对个人数据的界定是个人数据保护法律制度的基础。GDPR将个人数据定义为“与已识别或者可识别的自然人(数据主体)相关的任何数据;可识别的自然人尤其是指通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份的自然人”。
其他国家和地区对个人数据的定义总体上与GDPR类似,例如墨西哥《保护私有主体持有的个人数据联邦法》将个人数据定义为有关已识别或可识别的自然人的任何信息;但部分国家对个人数据的定义也存在自己的特色,例如南非《个人信息保护法》将个人数据定义为与可识别的在世自然人有关的信息,以及与可识别的现存法人(如适用)有关的信息。
除一般个人数据外,敏感个人数据也受到各国数据保护法律重点关注和保护。GDPR将敏感个人数据称之为特殊类型个人数据(special categories of personal data)并原则上禁止处理(除符合法定例外情形),其范围具体包括种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等相关个人数据(禁止在个人数据处理中泄露前述个人敏感数据),个人基因数据、生物特征数据等相关个人数据(禁止以识别自然人身份为目的进行处理),以及健康数据、性生活、性取向等相关个人数据(禁止处理)。
墨西哥《保护私有主体持有的个人数据联邦法》将敏感个人数据定义为涉及数据主体最私密领域,或其不当使用可能引起歧视或给数据主体带来严重风险的数据,并明确敏感个人数据具体包括但不限于可能揭示种族或民族血统、目前或未来的健康状况、遗传信息、宗教、哲学和道德信仰、政治观点和性取向等方面的个人数据。
南非《个人信息保护法》对敏感个人数据的列举总体上与GDPR类似,但其进一步将与数据主体被指控的犯罪行为或与被指控的犯罪行为有关的任何诉讼或与此类诉讼的处理有关的信息涵盖在敏感个人数据的范畴内。
敏感个人数据由于承载了个人的隐私、尊严以及基本权益,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。敏感个人信息的特殊保护,不仅是维护个人尊严与自由的必然要求,也对促进社会信任、维护社会公平和推动数字经济健康发展具有重要意义。
由于敏感个人信息对个人数据主体权益影响较大,各国对敏感个人信息的处理都提出了更高的要求。除以上提及的GDPR外,许多国家都要求明确取得个人同意或符合其他法定条件,才可处理敏感个人信息。例如中国的《个人信息保护法》要求取得个人信息主体的单独同意。此外,在处理敏感个人信息时,许多国家通常还要求采取更严格的安全保护措施(如数据加密、访问控制)和/或事先进行个人权益影响评估等。因此,企业在东道国进行绿地投资时,应特别注意东道国数据保护法对个人数据,尤其是对敏感个人数据的界定以及特别的处理要求和限制。
2. 处理个人数据的合法性基础
处理个人数据需要具备合法性基础。各国数据保护法律制度所规定的处理个人数据的合法性基础存在一定差异,但几乎都包括基于数据主体的同意处理其个人数据。
例如,南非《个人信息保护法》规定,处理个人数据的合法性基础包括:(1)经数据主体或数据主体为儿童时监护人的同意;(2)为签订或履行数据主体作为一方当事人的合同所需;(3)符合法律对责任方规定的义务;(4)为保护数据主体的合法权益;(5)为公共机构适当履行公法义务所需;(6)为追求责任方或获得信息的第三方的合法利益所需。
部分国家数据保护法律制度对取得个人同意的法律基础存在特殊的规定。例如,墨西哥《保护私有主体持有的个人数据联邦法》明确,除非另有规定,数据控制者在处理个人数据时必须取得数据主体的同意。数据主体可以随时撤回同意但撤回行为不产生回溯效力,数据控制者须在隐私声明中明确撤回同意的机制和程序。墨西哥《保护私有主体持有的个人数据联邦法》同时明确了必须适用取得个人明确同意这一合法性基础的具体情形:(1)法律明确规定;(2)收集财务或财产数据;(3)取得敏感个人数据;(4)数据控制者要求数据主体证明其同意时;(5)数据主体和数据控制者有此约定时。
此外,值得注意的是,多数国家处理一般个人数据的合法性基础与处理敏感个人数据的合法性基础并不尽然一致,其数据保护法律往往对处理敏感个人数据的合法性基础提出更高要求。
再如,巴西《通用数据保护法》第七条及第十一条分别明确了处理个人数据及敏感个人数据的合法性基础,包括取得数据所有人同意等。与欧盟GDPR类似,巴西《通用数据保护法》同样明确了可将为履行控制者正当利益(legitimate interests)所必需作为处理个人数据的合法性基础,前提是该等正当利益不会侵犯需保护的数据主体的基本权利和自由,但基于履行控制者正当利益所必需处理个人数据这一合法性基础并不适用于处理敏感个人数据。
3. 跨境传输个人数据
目前,相当一部分国家的数据保护法律制度对将个人数据从本国跨境传输至其他国家和地区进行不同程度的监管,要求只有在符合特定情况下,才可以将本国的个人数据向其他国家或地区跨境传输。目前,各国数据保护法律制度明确的个人数据跨境传输路径主要包括如下几类:
充分性保护认定。即第三国已提供达到东道国要求的足够的数据保护水平。例如,欧洲GDPR明确充分性认定标准,欧盟的数据控制者可以直接向已经获得欧盟委员会“充分性认定”的国家传输个人数据。泰国《个人数据保护法》明确了充分的数据保护标准,数据控制者将个人数据传输至泰国境外时,应确保接收方所在的国家或地区具有充分的数据保护标准,并按照个人数据保护标准进行跨境传输。
约束性公司规则。约束性公司规则主要适用于跨国集团公司内部数据跨境传输的情形。值得注意的是,约束性公司规则往往需要取得东道国相关数据保护执法机构的批准。例如,泰国《关于根据第29条跨境传输个人数据的通知》明确,若泰国的数据控制者或处理者与境外接收方在同一关联企业或集团中制定了个人数据保护规则(约束性公司规则),且该等约束性公司规则已通过泰国个人数据保护委员会的审查和认证,则个人数据控制者或处理者可以向位于泰国境外且从事相同附属业务或在同一集团内的境外接收方传输个人数据。
个人数据跨境传输标准合同。数据控制者与境外接收方签订个人数据跨境传输标准合同是数据控制者向境外传输个人数据的主要路径之一。例如,新加坡《个人数据保护条例》(Personal Data Protection Regulations 2021)明确,数据控制者可以通过与境外接收方签订数据处理协议的方式向境外接收方传输个人数据,该数据处理协议应约定接收方履行与新加坡《个人数据保护法》同等的保护义务。
4. 数据主体权利的范围
个人数据主体权利是各国数据保护法律制度的主要内容之一,数据保护法律制度明确个人数据主体享有的权利的同时,也明确了个人数据的控制者负有积极响应该等个人数据主体权利的义务。目前,各国数据保护法律制度明确的数据主体权利主要包括:
访问权:数据主体有权从数据控制者处访问其个人数据以及数据处理的相关信息;
更正权:数据主体有权要求数据控制者更正与其有关的错误的个人数据;
删除权:特定情况下,数据主体有权请求数据控制者删除与其相关的个人数据;
限制处理权:数据主体有权要求数据控制者限制对其个人数据进行处理;
可携带权:特定情况下,数据主体有权请求数据控制者将其个人数据转移给其他的数据控制者;
拒绝权:特定情况下,数据主体有权拒绝数据控制者处理其个人数据。
部分个人数据主体权利的适用存在一定前提,例如数据主体行使删除权的前提往往需要:(1)数据控制者的处理目的已经实现;(2)数据主体撤回同意;(3)数据控制者处理个人数据不合法;(4)数据主体反对数据控制者的处理,且数据控制者无其他法律基础继续处理个人数据。再如,可携带权通常适用于数据主体直接向控制者提供的数据,往往不包括数据控制者基于推导、分析或推算生成的数据。可携带权涉及的数据如果包括其他人的个人数据,可携带权的行权范围往往会受到限制,以保护他人数据权利。
响应数据主体权利是数据控制者的重要义务之一。例如新加坡《个人数据保护条例》明确规定,对于数据主体访问或更正其个人数据的请求,数据控制者应在30天内回应。如果数据控制者拒绝数据主体的请求,需说明理由。数据控制者不合理拒绝数据主体行权请求或延迟处理的,可能面临警告、责令整改、罚款等行政处罚。
5. 员工个人数据处理
中国企业在海外进行绿地投资时,不可避免地会涉及处理当地员工的个人数据。基于员工个人数据的特殊性,不少国家对企业处理员工个人数据与外部消费者等数据设定不同的规定。
GDPR赋予欧洲经济区国家结合本国劳动法律制定具体规则的权利。GDPR前言第155条阐明,成员国法律或集体协议(包括劳动协议)可以就在雇佣环境中处理员工个人数据制定具体规则,特别是以下情形下的处理规则:(1)基于员工同意处理其个人数据的适用情形;(2)招聘目的;(3)履行雇佣合同(包括履行法律或集体协议规定的义务);(4)工作的管理、规划和组织;(5)工作场所的平等与多样性;(6)工作中的健康与安全;(7)以个人或集体方式行使和享有与就业相关的权利和福利;(8)为终止雇佣关系之目的。
GDPR第88条明确,成员国可以就员工个人数据的处理制定更加具体的规则。这些规则必须包括适当而具体的措施,以保障数据主体的人格尊严、合法权益和基本权利,尤其是处理过程的透明度方面的措施。由于欧洲经济区各国的当地劳动法差异较大,个人数据保护规定和劳动法的叠加使合规处理员工个人数据变得相对复杂。
例如,芬兰在2019年发布《工作生活隐私保护法》(Act on the Protection of Privacy in Working Life),要求企业仅可处理与员工的雇佣关系直接且必要的个人数据,这些数据处理需满足以下条件之一:(1)与雇佣关系中双方权利和义务的管理相关;(2)与雇主向员工提供的福利相关;以及(3)源于工作本身的特殊性质。
6. 中国数据出境相关要求
企业在东道国进行绿地投资时,不仅应关注东道国的数据保护法律制度,同时应关注中国数据保护法律制度对其绿地投资的影响。特别是在数据跨境流动的场景下,开展绿地投资的中国企业将东道国数据传回至中国时,往往也会双向地将从中国收集的部分员工个人信息甚至消费者个人信息传输至东道国,该等数据跨境传输需满足中国数据保护法律制度的要求。
目前,中国跨境传输个人信息的途径包括:(1)符合豁免情形,可以直接出境;(2)通过个人信息出境标准合同备案;(3)完成个人信息保护认证;(4)通过数据出境安全评估。
中国关于跨境传输个人信息的豁免情形包括:(1)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;(2)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(3)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;(4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
需要进行标准合同备案或个人信息保护认证的情形包括:(1)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息);(2)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满1万人敏感个人信息的。
需要进行数据出境安全评估的情形包括:(1)关键信息基础设施运营者向境外提供个人信息;(2)关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息);(3)关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供1万人以上敏感个人信息。
03
合规建议
对于开展海外绿地投资的中国企业而言,从海外员工招聘到业务运营、产品销售、跨境数据管理等各方面均可能涉及当地个人数据的收集、传输、处理等,相应地需要履行东道国的数据保护义务。建议中国企业:
1.
加强对海外目标市场数据保护法律法规要求的调研,对于在多个东道国开展绿地投资的企业,应同时关注各相关东道国数据保护法律制度要求的差异。
2.
搭建符合跨境运营的数据合规制度体系,根据当地数据保护要求,更新合同模板、内部政策,当地管理组织体系等。
3.
大多数赴海外绿地投资的中国企业都可能涉及将东道国个人数据传输至中国或集团云服务器所在国。企业在将东道国个人数据进行跨境传输前,应充分评估可适用的个人数据跨境传输路径,并考虑总体性构建各东道国与中国总部之间的数据传输合规路径。
脚注:
[1]
[2] 巴西《通用数据保护法》自2018年至2021年分阶段生效。
[3] 南非《个人信息保护法》自2014年至2021年分阶段生效。
本文作者
业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
徐虹宇
律师
公司业务部
来源:新浪财经
