公众号文章 2026-06-21

个人信息出境的几种典型情形及合规要求

根据GBT46068-2025个人信息跨境处理活动安全认证要求,个人信息出境划分五种典型情形。一是跨国企业内部传输,按总部境内外适配集中管理或分支调用。二是境外云服务或委托服务,区分服务商是否实际处理数据。三是境内跨境电商或跨境服务,向境外提供用户购物浏览数据。四是涉外项目合作,与境外接收方共同处理科研或联名营销信息。五是境外电商平台在境外收集分析境内自然人身份、购买记录的情形。

公众号文章 2026-06-21

面向欧盟网站的Cookie合规

Cookie合规与隐私政策、跨境传输并列为最易被罚领域。法国CNIL于2025年9月对Shein开出1.5亿欧元罚单,依据为欧盟电子隐私指令2002/58/EC及CNIL 2020年Cookies指南。各成员国均将指令转化国内立法,CNIL规定最明确执法最积极。面向欧盟的网站与应用须做到三点:横幅弹窗明示告知并提供接受全部与仅功能性按钮、不得默认勾选;Cookie政策从隐私政策中独立;对不同类别按名称、服务、用途、留存时间分类说明。

公众号文章 2026-06-21

欧盟《数据法案》(DA)核心内容及企业合规要求

欧盟数据法案核心条款于2025年9月开始生效,与GDPR形成保护加利用双轨框架,旨在打破物联网数据集中于少数科技巨头的格局。背景预计2025年全球数据量达175ZB,2030年欧盟数据经济价值将达11万亿欧元。法案强制数据共享、规范不公平合同条款、扶持本土中小企业以对抗中美科技优势。凭借长臂管辖特性,所有向欧盟市场提供产品、服务或数据的中国企业均须承担合规义务,从产品设计、合同条款、共享机制等维度开展检查。

公众号文章 2026-06-21

跨境电商平台合规和入驻商家合规

跨境电商合规分平台与入驻商家两层。平台须同时遵循GDPR、CCPA等基础合规及各国跨境传输规则。典型处罚案例:2024年7月韩国对全球速卖通罚19.79亿韩元,2025年5月对Temu罚13.69亿韩元,9月法国CNIL因Cookie违规对Shein罚1.5亿欧元,美国FTC对Temu罚200万美元。入驻商家责任主要由平台承担,但须严格遵循入驻协议关于采集方式、跨境传输与数据再处理的规则,违规将被平台直接处罚。

公众号文章 2026-06-21

跨境电商数据合规100问(PDF文件)

2024年中国跨境电商出口2.15万亿元,占货物贸易出口8.5%,2025年前三季度进出口2.06万亿元同比增长6.4%,Temu、TikTok、Shein成为领头羊,中小企业借此从国内内卷转向海外拓展。竞争力源自中国制造的成本性价比优势及创富热情外溢。除关税冲击外,企业还须警惕数据合规风险。汇编的跨境电商数据合规100问涵盖基础概念、数据收集存储传输处理、用户权利保护、监管框架、技术合规、风险应急、行业场景及国际执法等。

公众号文章 2026-06-21

一个数据跨境实例:深圳公司泰国工厂

深圳公司搬迁部分业务至泰国,ERP留境内、HR与MES部署泰国,需同时应对三重合规。一是中国数据出境合规,关键看HR系统是否含国内员工银行账号、生物识别等敏感信息,若有则须办理标准合同备案。二是泰国本地合规,依据泰国个人数据保护法判断中小企业豁免范围并视情况任命DPO。三是泰国数据跨境回传中国合规,因我国未获泰国充分性认定,须签订集团内传输协议或报PDPC审批,建议出海前出具风险评估报告。

公众号文章 2026-06-21

跨国企业通过VPN构建的内网是否属于数据出境?

跨国企业通过VPN连接境内服务器虽形式上为内网,但本质仅是公共网络加密虚拟通道,与公网传输无实质差异。依据数据出境安全评估申报指南,出境指境内运营产生的数据处于境外机构、组织或个人可获取的状态,包括境内公司在境外的分支机构,向港澳台传输亦属监管范围。此类VPN架构属于数据出境,是否须申报评估、申请认证或备案标准合同,取决于系统所含数据类型与规模,仅含少量一般信息则可适用豁免。

公众号文章 2026-06-21

关于数据出境的几个特殊问题的说明

网信办2025年10月31日发布数据出境政策问答十项要点:豁免不再扩展行业,仍须告知、单独同意并完成PIA;境内个人预定境内酒店若涉境外集团或第三方处理不属豁免;跨境人力资源须遵循必要最小化;重要数据告知后两个月内须申报;境外人员在境内访问数据不属出境;系统升级若未改变出境要素无须重新评估;同一接收方可一次性备案;实质变更须重新评估;再转第三方须在附录一说明;认证依据GBT46068-2025。

公众号文章 2026-06-21

数据出境风险自评估与个人信息保护影响评估(PIA)的差异

数据出境风险自评估适用于安全评估申报,个人信息保护影响评估适用于标准合同备案与个人信息出境认证,二者内容存在交叉但前者范围更广要求更高。前者依据《数据出境安全评估办法》第四、五条,重点评估目的合法性、规模敏感程度、对国家安全公共利益的风险、境外接收方责任及合同充分性。后者依据《个人信息保护法》第五十五、五十六条,聚焦处理目的合法正当必要性、对个人权益影响及保护措施有效性。

公众号文章 2026-06-21

数据出境前的数据梳理和识别

依据《促进和规范数据跨境流动规定》第七、八条,企业出境数据规模决定路径:累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息须申报安全评估;10万至100万人或不满1万人敏感信息则须订立标准合同或通过个人信息保护认证。重要数据识别依据GBT分类分级规则及工业、电信、地理信息等行业指南,未被告知或公布者无须自认;个人信息与敏感信息界限易混淆,建议由专业人员协助识别。