出海之道 | 中国企业出海隐私保护合规对策

前言 

经过改革开放40多年以及国家“一带一路”倡议的推进，国内众多如智能终端、游戏、娱乐、电商、云计算等科技企业纷纷出海，更多中国企业进入全球领先行列。新冠疫情带来的居家隔离政策使得用户的很多消费和生活习惯由线下转移至线上，推动了线上社交、娱乐、游戏、教育、电商等互联网产业的发展，同时，也引发了数据隐私的新担忧。在疫情常态化的大环境下，隐私数据保护成为世界各地的关注焦点与立法重点，也成为中国企业出海需要密切考虑的重要问题之一。 

全球隐私保护情况 

01全球隐私保护立法情况及立法趋势 

自瑞典于1973年推出全球首部个人信息保护法律《瑞典数据法》（Data Act of 1973），全球大部分国家和地区已经或正结合其历史与文化背景、经济与社会特征，因地制宜地制定个人信息保护框架原则。欧盟于2018年5月25日出台《通用数据保护条例》（General Data Protection Regulation，简称GDPR）被称为史上最严格的个人数据保护法案，更是将对个人数据与隐私保护的关注推向新的高潮。据统计，全球目前已经有超过130个立法体建立或修订了个人信息保护法律、法规且呈加速趋势。1 主要国家及地区的隐私立法动态参照文末表格。 

同时，众多国家在2020年对其隐私数据法规进行了更新： 

 俄罗斯在2020年12月23日修正案中对个人数据处理和保护、同意、去标识化、基因数据等方面进行了修订；新加坡通信信息部（MCI）和个人数据保护委员会（PDPC）在2020年5月联合发布了对个人信息保护法的修订内容，涉及数据可携带和数据创新条款等，同时还规定对数据泄露处以更严厉的罚款，最高罚款可以高于先前的100万新加坡元。韩国在2021年修正案草案中对数据可携权、拒绝和解释自动化决策的权利、删除、完善个人信息纠纷解决机制、隐私政策审查机制等条款进行了修订。 

02全球隐私保护执法情况 

企业开拓海外市场面临的隐私合规监管日渐趋严，无论是大中小企业，一旦触线均面临承担高额罚款的风险，更严重者或退出当地市场。 

以欧美为例，据统计，截至2021年1月，针对GDPR的执法累计超530件，罚金累计高达2亿7千万欧元。其中总罚金排名前三的国家为意大利（约6.93千万欧元）、德国（约6.90千万欧元）和法国（约5.4千万欧元）2。数据显示，GDPR执法频率与力度在2019年7月后开始逐步上升和加强3。 

2020年2月2日，加拿大隐私专员办公室（OPC）发布公告称，调查显示美国人脸识别初创公司Clearview AI通过互联网收集超过三十亿张包括儿童在内的人像照片的行为涉嫌侵犯公民隐私权且违反了加拿大联邦和省级的隐私法4。目前，Clearview AI已停止在加拿大市场提供服务。 

中国企业出海可能会遇到的隐私合规挑战 

面对全球隐私保护立法加快和执法趋严，以及新冠疫情对经济发展的负面影响 ，中国企业出海正受到空前严苛的新挑战。 

01外部挑战 

 海外各国家地区隐私法规变化莫测 

随着个人隐私保护成为全球热门话题，海外各国都在制定或改革其数据保护法律。纵览全球隐私法规，欧洲正在激烈探讨国际数据传输和跨境合规；美国多个州计划重新引入隐私法规并且加利福尼亚州已经通过了《加州隐私权法案》（CPRA）作为该州的综合隐私法；拉丁美洲多个国家有望出台改革联邦隐私立法的法案，并且巴西的通用数据保护法（LGPD）将于2021年8月1日生效；而中国对《个人信息保护法》和《数据安全法》草案的持续审核也有望今年取得进展。 

除法规外的数字服务的监管也得到更多关注。针对特定行业的监管正在持续增加，包括对商业银行和支付服务相关的监管，以及对数字身份系统和服务相关的立法范围的扩大，这使数据隐私和信任成为企业的首要任务。 

一个司法管辖区的变化将影响世界另一端的企业和组织，持续关注全球各国隐私法规和监管的动态将是出海企业需要持续面对的挑战。 

 国外对隐私的不同侧重点以及文化差异 

欧洲对隐私法不同于国内的惯性思维，有较突出的差异点。参考GDPR在欧盟范围的判罚案例，其中占比最高的就是企业缺乏保障信息安全的技术和组织措施，尤其当出现数据泄露时，若收到用户投诉并且未能及时采取应有的基本措施，企业将很容易受到处罚。 

其次是数据处理的法律依据不足，如果企业选错了数据处理依据或者没有合法处理依据，意味着该企业在处理个人信息的时候缺乏处理的正当性，也会受到相应的处罚。 

最后是违反数据处理原则以及保障数据主体的权利等，这些同样也是出海公司容易出现问题且需要重视的地方。欧盟的数据处理原则强调最小化、透明度等，这些原则在我国的《个人信息保护法（草案）》中大多都有体现，但由于国内的个人信息保护法尚未生效，还无法为企业提供相关执法实践经验（如图1）。 

图1 GDPR前十国家罚款原因分布 

世界各国的文化差异使出海企业需要适应不同国家对待隐私保护的态度，例如中西方对于未成年人保护的差异，中东国家由于宗教文化的影响，内容管理的机制与多数国家都不一样等等。因此出海企业需要聘请当地律师为合规建设提供支持，当地律师可以帮助企业更全面快速的了解当地隐私合规的法规要求并且与监管机构保持沟通以使产品更加符合当地的各项合规需求。 

 国际形式复杂，中国企业面临更严格的标准 

对于出海投资建设的中国企业而言，政治动荡和不稳定的社会环境都会给企业前景带来极大的不确定性。企业在当地的监管合规往往成为各国政治斗争的手段之一，这无疑为企业带来了隐形的合规压力。 

2020年6月中印边界冲突后印度发起数字化打击，印度政府在不同批次中对中国的上百款应用程序采取了前所未有的制裁行动。2021年1月，印度电子和信息技术部发布新通知，将2020年6月宣布的针对中国59款手机应用程序的禁令永久化。印度新规政策和执法的动向使得在当地开展经营活动的中国企业承担了巨大的损失和压力。 

02内部挑战 

 出海企业与各国分子公司之间的合规架构搭建 

对于出海的大型跨国企业，需要在不同的国家设置分支机构，而在复杂交错的的汇报线中必须梳理出适合企业发展的合规治理架构。这对于有出海需求的跨国企业来说将是一项持续的挑战，这意味着企业需要重新统筹规划组织的内部架构，规划清晰的合规框架并将此框架下所有部门的职能与责任传递到位，确保企业全员都具有清晰的合规汇报线和汇报意识。 

 安全投入成本大 

隐私合规是长期建设过程，从隐私解决方案设计、隐私评估、持续运维以及隐私事件响应等都需要人力的支出，为出海企业打造一支专业的隐私合规团队的成本是巨大的。根据《2020年安永全球信息安全调查报告》中对于网络安全净新增经费使用情况的调研，企业用于监管合规的经费使用占比最高约为18%（如图2）。对于出海企业而言，监管合规的支出预计将会占到更高的比例，这对于大多数企业来说是难以负担的，所以企业需要在隐私合规风险和企业效益之间寻求平衡。