报告 | 企业出海数据合规实践

这两年，随着中国自己陆续出台了数据出境安全评估、标准合同、个人信息保护认证这一整套制度，再加上欧盟、美国、东南亚各个市场都在升级自己的数据监管武器，企业出海面临的不再是单一维度的合规问题，而是一张四面八方的网。中国这边有《数据安全法》第三十六条、《个人信息保护法》第四十一条这些特定情形下的规则，司法主权那边还有国际司法协助的程序要求。2026年6月新公布的《国务院关于对外投资的规定》更是直接把跨境数据流动、网络安全监管都纳入了对外投资的统一考量框架。所以，今天的出海数据合规，已经不是法务部门关起门来写几份隐私政策就能解决的问题了。

欧盟市场是所有出海目的地里监管最成熟、执法最坚决的，没有之一。2025年4月，爱尔兰数据保护委员会对TikTok开出了5.3亿欧元的罚单，这是欧盟第一次因为个人数据传输到中国而作出的处罚决定，也是第一次把“远程访问”认定为数据跨境传输行为。这个案子对出海企业的警示意义太大了。TikTok当时主张说，EEA用户的数据存储在新加坡和美国这些中国境外的地方，中国员工只是远程访问一下，数据并没有实际进入中国境内。但DPC的认定逻辑是，只要中国境内的主体能够访问这些数据，哪怕数据物理上不在中国，也构成跨境传输，就需要满足GDPR关于数据传输的所有合规要求。这个案子从2021年9月启动调查到2025年5月作出决定，整整花了将近四年时间，期间TikTok多次提交材料、意见书、专家报告，最终还是被认定违规。而且DPC在裁决书里还特意说明，这次处罚只针对远程访问的情形，因为TikTok直到2025年4月才承认中国服务器确实存储过EEA用户数据，所以后续还会继续调查存储的问题。这就意味着，欧洲监管机构盯上的不只是数据存在哪里，而是谁能碰、怎么碰、碰完之后有没有留下合规的痕迹。

除了GDPR这套老框架，欧盟2025年9月12日开始实施《数据法》，给中国企业又加了一副担子。这套新规对数据共享、数据可携带、云服务提供商的责任都提出了更细的要求。再加上前面提到的中国834号令和835号令——供应链安全规定和反外国不当域外管辖条例——中企在欧洲面临的不再是单纯的数据保护问题，而是当欧盟调查要求你提供数据、中国法律又禁止你配合的时候，企业到底该怎么办。这不是理论上的冲突，是实实在在会发生的事情。司法部已经在某中资企业涉欧盟跨境调查案中首次适用了《反域外管辖条例》，认定欧盟的跨境调查属于“不当域外管辖”。企业在这种夹缝里做合规，需要的不是一张清单，而是一套能够应对冲突的决策机制。

美国市场的情况跟欧盟又不一样。美国没有联邦层面统一的数据保护法，但各州有自己的立法，CCPA是最典型的一个。CCPA的适用范围很宽，只要在加州开展业务、年收入超过2500万美元，或者处理10万以上加州居民的个人信息，就得遵守。而且加州的执法机构CPPA和总检察长都有执法权，不是说说而已。但真正让中企紧张的还不是州层面的隐私法，而是联邦层面基于国家安全的这套新规。2025年1月8日，美国司法部发布了数据安全计划的最终规则，落实拜登总统的14117号行政令，核心是禁止或限制美国人参与那些可能导致中国等受关注国家访问美国大量敏感个人数据的交易。这个规则2025年4月8日开始生效部分条款，4月到7月是执法宽限期，到了10月6日就全面生效了。这套规则把数据合规提升到了出口管制的级别，影响的行业包括投资、科技、跨境电商、健康、金融等等。对中企来说，这意味着你在美国市场上收集的每一条用户数据，都可能被当作国家安全问题来审视。以前做隐私合规是跟律师打交道，现在可能要跟司法部打交道了。

东南亚市场虽然单个国家的体量不如欧美，但合在一起是出海的重要目的地，而且每个国家都在加速立法。马来西亚2024年修订了个人数据保护法，把最高罚款从30万令吉提到了100万令吉，监禁从两年提到了三年，还新增了强制任命数据保护官和数据泄露强制通报的义务。泰国建立了跟欧盟GDPR比较相似的框架，对个人数据处理的合规义务、数据主体权利、跨境传输都有明确要求。越南2025年颁布了新的个人数据保护法和配套政令，形成了比较完整的框架。这些国家虽然具体规则有差异，但共同点是监管都在收紧、处罚都在加重。而且东南亚还有一个复杂的地方，就是很多中企在那里设了子公司，同时处理当地用户的数据和中国员工的数据，这就意味着要同时遵守当地的数据保护法和中国的个人信息保护法关于跨境传输的要求。一套系统、两个法域、三种合规路径，操作起来非常考验企业的制度设计能力。

回到中国自身的合规要求。数据出境目前有三条法定路径：安全评估、个人信息保护认证、标准合同。安全评估的门槛比较高——处理100万人以上个人信息的数据处理者，或者上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的，都得走这条路。截至2025年3月，国家网信办共完成了298个安全评估项目，其中涉及重要数据的有44个，不通过的7个，不通过率大概16%。这个通过率说明安全评估不是走流程，是真的会卡住一些项目的。申报之前要做数据出境风险自评估，还要做个人信息保护影响评估，两份报告的要求还不一样。2025年6月，国家网信办发布了第三版申报指南，优化了材料要求，也明确了可以线上申报。2025年10月又发布了《个人信息出境认证办法》，2026年1月1日开始实施。整个制度框架在不断细化，但方向始终没有变——重要数据和个人信息出境，必须走合规通道。

把所有这些放在一起看，企业出海做数据合规，最核心的能力其实就两样。第一样是数据分类分级的能力。你得知道自己手里哪些是一般业务数据可以自由流动，哪些是个人信息要走标准合同或认证，哪些是重要数据必须走安全评估。很多企业连自己的数据资产清单都理不清楚，上来就想做全球合规，这是不现实的。第二样是跨境传输的合规路径选择能力。安全评估、标准合同、认证这三条路，适用条件不同、成本不同、周期不同，选错了要么白花钱要么违规。而且这三条路不是静态的，企业的数据量在增长、业务场景在变化，合规路径也要跟着调整。

从实操层面看，比较务实的做法是先做数据映射，把数据从哪里来、存哪里、谁能用、往哪里传这些基本情况摸清楚。然后根据出境的数据类型和数量，对照安全评估的门槛判断该走哪条路。如果暂时够不上安全评估的门槛，标准合同是比较常用的方式，但签合同只是开始，备案、定期评估这些后续工作一样不能少。在目的国那边，要提前了解当地对数据本地化存储有没有要求、对数据保护官有没有强制任命的规定、数据泄露通报的时限是多久。不同市场的规则差异很大，用一套模板打天下肯定会出问题。另外还要特别留意远程访问这个问题，TikTok的案子已经说得很清楚了，数据不跨境不等于访问不跨境，只要中国境内的人能访问到境外用户的数据，就可能被认定为跨境传输。很多企业习惯让国内的技术团队远程支持海外业务，这在合规上其实是个很大的隐患。

最后想说一点可能不那么好听但很实际的话。数据合规这件事，在今天已经不是“成本”而是“准入门槛”了。你做不好合规，不是罚款多少的问题，是根本进不去那个市场。欧盟的GDPR罚金可以到全球营收的4%，美国的DSP可以把你挡在供应链之外，东南亚各国也在不断提高处罚力度。而且现在中国自己的834号令和835号令增加了阻断机制，当境外执法机构要求你提供数据的时候，你不仅要考虑对方的法律，还要考虑中国法律的约束。这种多重合规的压力，靠临时抱佛脚是扛不住的。真正有效的做法，是把合规能力嵌入到产品设计、技术架构和业务流程里去，让合规成为业务的一部分而不是业务的障碍。那些已经在出海路上跑得比较靠前的企业，像广汽和火山引擎合作搭建的合规治理平台、四维图新做的采集-脱敏-托管全链路合规体系，都是在用技术手段解决合规问题，而不是靠堆人力写文档。这条路虽然难走，但也是唯一能走通的路。