文/王捷 常孝雯 梁曦尹
本文收录于 W&W 国际法律团队《数据合规风向:2025年度报告暨2026趋势展望》。完整报告免费获取方式可在下方推文获取,还能通过推文参与抽奖获得精美礼品及实用清单。
跨境数据传输,通常是指个人数据被发送至或可被访问至数据收集地以外的国家或地区。在全球化经营背景下,企业广泛使用跨国云服务、全球人力资源管理系统以及集中化的客户、用户数据库,个人数据在不同国家和地区之间基于各种原因流转已成为常态。[1]2025年,全球范围内发生了多起因跨境数据传输违规而被监管机构处罚的案例,各国监管执法整体呈现持续从严态势;与此同时,2025年11月出现了欧盟计划通过立法方式简化 GDPR 等数据保护法规的讨论和信号。在此背景下,跨境数据传输依然是一个法律规则复杂、实操难度较高的领域,出海企业需要持续关注监管动态、及时调整合规策略。[2]
一、2025年典型跨境数据传输处罚案例
(一)Temu被韩国个人信息保护委员会(PIPC)罚款13.69亿韩元[3]
2025年5月15日,韩国个人信息保护委员会(PIPC)发布了决定对Temu处以总计13.86亿韩元(约合992,648美元)的罚款,原因是违反了韩国《个人信息保护法》(PIPA)。
Temu为跨境电商平台,其业务模式涉及大规模个人信息处理与跨境物流配送。相关个人信息由Temu及其关联公司Whaleco Technology、Elementary Innovation分别负责用户与卖家信息管理。为履行商品配送与平台运营合同,Temu 将韩国用户的个人信息委托给或存放于位于韩国、中国、新加坡、日本等多个国家和地区的企业进行处理,构成典型的个人信息跨境委托与存储行为。
PIPC调查认定,Temu未在个人信息处理方针(隐私政策)中公开向境外企业委托或存放个人信息处理的事实,也未通过电子邮件等方式向用户告知相关情况,违反了《个人信息保护法》中关于个人信息跨境委托透明度的强制性要求。此外,Temu还存在对受托处理方监督不足、未依法指定韩国境内代理人,以及涉及居民身份证号码处理不合规等问题。
除罚款外,Temu还被要求全面披露跨境数据处理情况、强化第三方管理机制,并在韩国指定国内代理人。PIPC表示将持续跟踪整改落实情况,并加强对进入韩国市场的中国企业的合规指引。
(二)爱尔兰数据保护委员会(DPC)对TikTok处以 5.3 亿欧元罚款
2025年5月2日,爱尔兰数据保护专员(DPC)宣布其决定,因 TikTok Technology Limited(TikTok)将欧洲经济区(EEA)用户的个人数据转移至中国,违反了《通用数据保护条例》(GDPR),在调查后对其处以 5.3 亿欧元罚款。
图1 图片来源:pexels.com
DPC 认定,TikTok 在相关期间内,将 EEA 用户的个人数据通过远程访问等方式转移至中国。相关数据主要存储于新加坡和美国服务器,但可被位于中国的集团人员访问。TikTok 于 2025 年确认曾有少量 EEA 用户数据实际存储于中国服务器。
DPC认为TikTok一是透明度违规,TikTok 2021 年隐私政策未披露个人数据可能被转移至中国,亦未说明构成“数据转移”的具体处理活动,违反 GDPR 第 13(1)(f)条。二是跨境传输合法性不足。DPC 认为,TikTok 虽依赖标准合同条款(SCCs),但未能充分评估和证明补充措施的有效性,亦未解决中国法律环境下国家安全、网络安全等法律可能对数据保护水平产生的实质性影响,违反 GDPR 第 46(1)条。
DPC对TikTok处以总计 5.3 亿欧元罚款,其中透明度违规罚款 4500 万欧元,非法跨境传输罚款 4.85 亿欧元。同时责令 TikTok 在 6 个月内完成合规整改,若未达标,将暂停其向中国的数据转移。处罚对象为 TikTok Technology Limited,未直接针对母公司字节跳动或个人高管。
调查期间,TikTok 更新隐私政策,明确披露数据转移目的地及远程访问安排,并推进 “Project Clover” 数据安全计划,包括 EEA 数据本地化、第三方独立监督及隐私增强技术应用。尽管如此,TikTok 已明确表示对该决定不予认可并将提起上诉,W&W国际法律团队将持续跟进本案件的进展。
二、跨境数据合规的三条监管底线
除了 Temu 被韩国个人信息保护委员会(PIPC)处罚及 TikTok 被爱尔兰数据保护委员会(DPC)重罚这两个知名度高、影响较大的案例,2025年度还有许多数据跨境传输违规案例,如韩国个人信息保护委员会(PIPC)于2025年1月22日因跨境传输个人数据违规决定分别处罚Kakaopay Corp.(KakaoPey)、Apple Distribution International Limited(Apple)和Alipay Singapore E-Commerce Private Limited (Alipay)。[4]可以看出,当前各国监管机构关注的重点不是“是否发生跨境传输”这一事实本身,而是企业在跨境场景下是否切实履行了透明、合法与可控的合规义务。研究多个案例的处罚理由,可以发现监管机构在跨境数据传输方面主要有以下三条“红线”:
图2 图片由AI生成,仅供参考
(一)传输数据的收集与信息提供不透明
透明度是跨境数据传输合规的基础性要求,也是近年来执法中最高频的处罚事由之一。这一问题涉及两个层面:数据传输是否符合目的限制与最小化原则,以及数据主体是否获得了充分告知。
在最小化层面,企业应逐项审视传输至境外的数据字段,评估每一项数据的传输是否具有明确的业务正当性,避免“一揽子传输”的做法。
在透明度层面,监管机构对跨境传输的披露要求显著高于一般性数据处理。其背后逻辑在于:数据离开原法域后,数据主体的控制能力下降、风险敞口扩大,因此跨境传输被视为必须专门披露的重要事项。Temu与TikTok的处罚均表明,概括性表述(如“可能与关联公司共享”)无法满足合规要求——企业需明确披露传输目的、接收方身份及所在地、数据类型、合法性基础及补充保障措施。
此外,透明度缺失将直接妨碍数据主体权利的行使。若用户不知晓其数据已被传输至境外,访问、更正、删除等权利便难以有效落实。
(二)传输依据的“纸面合规”与“实质有效”
TikTok案的核心争议在于:企业虽采用了标准合同条款(SCCs)作为传输依据,却未能证明该工具在数据目的地的法律环境下仍能提供实质保护。DPC认定其未充分评估中国法律(尤其是国家安全与网络安全相关规定)对数据保护水平的潜在影响,构成对GDPR第46条的违反。
这一执法立场直接延续了Schrems II案确立的原则:SCC本身只是框架性工具,其效力取决于目的地的法律环境是否允许其发挥保护功能。企业不能止步于签署文件,而须完成实质性的合规动作——评估目的地法律是否可能架空SCC的保护效果,并在存在落差时采取补充措施,如传输前加密、假名化处理或访问权限的技术限制等。
也即,监管机构审查的不是纸面上的合规文件是否齐备,而是企业是否真正理解目的地法律带来的风险,并据此配置了实质性的合规措施。
(三)数据跨境后的持续治理
Temu案与TikTok案共同揭示了另一监管重心:跨境传输并非一次性的合规动作,而是需要持续管理的长期状态。
图3 图片由AI生成,仅供参考
PIPC指出Temu对境外受托方监督不足,且未依法指定韩国境内代理人;DPC则重点审查了TikTok集团内部的跨境访问权限与数据治理架构。两案的共同逻辑在于:数据离境后,控制者的责任并不随之转移或减轻。企业需对境外接收方的处理行为承担持续监督义务,包括访问权限管控、定期合规审计、违规事件响应机制,以及与本地监管机构的沟通渠道等。
对于在多法域运营的企业而言,这意味着需要建立贯穿集团的数据治理框架,明确总部与各地实体之间的责任边界,确保跨境数据流动始终处于可控、可追溯的状态。
三、未来执法趋势
结合近年跨境数据处罚实践及 Temu、TikTok 等典型案件,W&W国际法律团队认为各主要法域在跨境数据执法上呈现出以下三项趋势。
第一,跨境监管重点将持续前移,透明度与前端合规成为执法切入点。监管机构正越来越多地从隐私政策、告知文本、用户界面设计等前端环节切入执法。审查企业是否清晰披露跨境目的地、接收方类型、访问方式及潜在风险;同时,NOYB等公益组织也持续发力,监测着各企业是否做到数据合规,这些监管行为都将直接影响监管对企业整体合规态度的判断。企业应更加注意,隐私政策中的模糊表述、概括性跨境说明会被直接认定为实质性违规,而非技术瑕疵。
第二,跨境合法性审查更关注实质效果。无论是在欧盟、韩国,还是其他正在强化数据跨境监管的法域,监管机构已明确不再接受仅依赖合同工具或形式审查的合规模式。企业是否真实评估了目的地法律环境,是否能够解释补充措施为何足以对冲当地法律风险,将成为判断跨境传输合法性的核心标准。
第三,集团化、平台化企业将面临更严格的跨境治理要求。对于跨国集团和大型平台,监管关注点正从单次数据出境行为,转向整体治理结构是否健全,包括集团内部访问控制、权限管理、审计机制及本地责任主体设置。跨境数据合规被视为一种持续状态,而非项目式合规,缺乏长期治理能力的企业,将更容易成为高额处罚的对象。
在数据被越来越多的国家视为国家安全和大国博弈重要组成部分的大趋势中,对于中国出海企业而言,跨境数据合规已不再只是法律风险问题,而是进入海外市场、维持业务连续性的基础性能力之一。
参考资料:
[1]https://www.dpo-consulting.com/blog/cross-border-data-transfers
[2]https://www.coblentzlaw.com/news/eu-u-s-data-transfers-in-2025/
[3]https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11200#LINK
[4]https://mp.weixin.qq.com/s/GMoLvbNISJZBjwUafmlmTg
主理人信息
@王捷律师
垦丁(广州)律所创始合伙人
荣登钱伯斯2026大中华区TMT:数据保护和隐私律师榜单
jie.wang@kindinglaw.com
+86 13650790754
律师介绍
●曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了15年+科技型公司实务经验,具备中外律所从业背景。同时也是广东数据资产登记合规委员会评审专家、持有CIPP/E、CIPM、区块链应用操作员资格证书、数据安全师、数据合规官等证书。
●专业领域:企业出海合规、个人信息保护与全球数据合规、互联网企业、联网产品综合合规、包括资质认证辅导、广告合规、知识产权攻防布局等。
●业务领域:移动互联网、智能软硬件与物联网、智能网联汽车与车机系统、跨境电商、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等。
识别二维码,添加律师微信
END
出海互联网法律交流群正式开放!
在这里,我们为社群成员精选每日全球互联网法律动态,涵盖数据合规、隐私保护、广告合规法规、知识产权等热点话题,帮助大家掌握最新政策趋势。我们还会定期组织线上线下交流活动,链接出海法务生态圈,助力企业合规落地,寻找潜在合作伙伴。欢迎扫描下方二维码申请入群,一同探索全球市场法律规则!
团队业绩
团队精选报告
智能软硬件出海
AIGC出海
数据合规出海
