全球数据合规资讯周刊第100期特别刊（下）-- 最值得关注的全球数据执法十大资讯-W&W国际法律团队

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

编译 | 王捷夏律宋佳凯刘玫君

《全球数据合规周刊》第100期特别刊

王捷律师团队一直关注全球数据合规动态，目前已经持续输出多期数据合规资讯周刊，在《全球数据合规周刊》第100期的特别刊中，我们特别地为大家梳理和总结过去一年中，最值得关注的立法和执法十大资讯，在本篇中，我们为大家呈现过去两年中最值得关注的全球数据执法十大资讯。

王捷律师团队深耕海外多地区多条业务线，通过多年来积累的出海法律服务经验以及资源优势，结合本土化的合规经验与国际化的思维，致力于为出海互联网企业提供专业的一站式法律解决方案，为逐鹿海外的互联网企业提供优质及多元化的法律服务，为各类新型业务搭建运营合规体系及提供有效的风险评估及合规解决方案。

最值得关注全球数据执法十大资讯

美国 Facebook支付6.5亿美元和解面部识别集体诉讼

2021年2月26日，美国加州地方法官正式批准Facebook侵犯用户侵权案的和解协议，同意这家社交网络巨头向约160万名用户支付共6.5亿美元赔偿，以解决“有史以来最大规模的隐私诉讼纠纷”。

这一集体诉讼于2015年在美国伊利诺伊州发起，源于Facebook的照片标签服务的“标签建议”功能。“标签建议”功能允许用户在他们上传到Facebook的照片中标记好友，创建指向好友个人资料的链接。该功能使用面部识别技术扫描用户先前上传的图像，来识别新上传照片中的人脸，从而生产自动标记建议。

Facebook因此被指控在未征得用户同意的情况下收集和存储个人用户的面部数字扫描信息，违反了伊利诺伊州《生物识别信息隐私法案》（BIPA）。2020年Facebook曾提出5.5亿美元赔偿金的庭外和解方案，但随后被一名法官以赔偿金额不够高为由驳回。直至2020年8月，在Facebook同意将赔偿金额提高到6.5亿美元之后，法院才初步批准了双方达成的和解协议。

在美国，伊利诺伊州BIFA是美国同类法律中保护生物识别信息最严格的州法律之一。BIFA强调人脸识别技术等在内的生物识别技术不存在超越个人信息保护价值的上位意义，应当进行严格控制。BIFA要求收集、存储和使用生物标识符或生物识别信息的特定目的和期限必须征得用户书面知情同意。同时，BIFA针对侵权行为提供了个人主体起诉的依据，有别于一些州隐私法只允许总检察长对侵权行为提起诉讼，这更有利于个人信息主体积极主张自己的个人信息权益。

在上述案件中，Facebook通过“标签建议”等功能采集存储的用户人脸信息，属于BIFA项下的生物标识符或生物识别信息范畴，依法应充分保障用户知情同意的权利，符合最小必要、及时删除等个人信息保护原则。但是，Facebook此前并未向个人信息主体进行书面告知或征得其同意，也未公开发布信息保留时间，该等做法显然与BIFA相悖。

当前，业内对个人信息和隐私保护的关注正在进一步提升，人脸识别技术作为一种中立技术，在实践中的应用愈发广泛，但人脸信息作为生物标识符具有敏感性和唯一性，一旦泄露将对个人信息主体的隐私、财产等权益造成重大危害。此次轰动一时的案件终以和解落幕，是个人信息主体在激烈竞争的数字隐私领域的一次重大胜利，表明BIFA是保护用户生物识别数据隐私权的一个强有力的机制和执行工具，同时也强调了收集生物识别数据的实体遵守隐私法要求的重要性。

中国人脸识别第一案

2021年4月9日，杭州市中级人民法院就郭某与杭州野生动物世界有限公司服务合同纠纷二审一案，依法公开宣判。该案系因经营者使用人脸识别技术用于入园身份验证引发的服务合同纠纷，被誉为“数字经济背景下人脸识别纠纷第一案”。

郭某购买野生动物世界双人年卡，留存相关个人身份信息，并录入指纹和拍照。其后，野生动物世界将年卡入园方式由指纹识别调整为人脸识别，并向郭某发送短信通知相关事宜，要求其进行人脸激活，双方协商未果，遂引发本案纠纷。

2020年11月20日，杭州市富阳区人民法院作出一审判决，其中判令野生动物世界删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息。杭州中院经审理后认为，野生动物世界欲将其已收集的照片激活处理为人脸识别信息，超出事前收集目的，违反了正当性原则，故应当删除郭兵办卡时提交的包括照片在内的面部特征信息。鉴于野生动物世界停止使用指纹识别闸机，致使原约定的入园服务方式无法实现，亦应当删除郭兵的指纹识别信息。据此，二审在原判决基础上增判野生动物世界删除郭某办理指纹年卡时提交的指纹识别信息。

该案所激起的关于个人生物识别信息安全话题，引得社会各界关注。人脸识别技术确实为数字化生活带来诸多便利，但它可能存在的风险隐患也不能回避。正如二审法院在判决中强调，人脸识别信息相比其他生物识别信息而言，呈现出敏感度高，采集方式多样、隐蔽和灵活的特性，不当使用将给公民的人身、财产带来不可预测的风险，应当作出更加严格的规制和保护。经营者只有在消费者充分知情同意的前提下方能收集和使用，且须遵循合法、正当、必要原则。

尽管该案受限于法律的滞后性，判决本身未能摆脱“合同法”的阴影，不过是一起违约之诉，但人脸识别第一案的真实意义远超于此。以个案推动新时代的法治进步，不仅推动立法，更是提高公民个人信息保护的积极意识，提升企业规范收集和使用个人信息以发展业务的重视，这才是人脸识别第一案的示范意义所在。

毋容置疑，在享受科技带来便捷的同时，未来个人信息泄露而引发的问题必定越来越多。在数字经济的时代背景下，只有尊重个人自由，强化个人信息保护，方为人间正道。如何让技术成为法律调控范围内的利器，让法律成为技术可行基础上的善法，任重而道远。《民法典》“人脸识别第一案”终审判决虽然尘埃落定，但是个人信息保护的正剧才刚刚拉开序幕。

爱尔兰数据保护委员会（DPC）诉Facebook爱尔兰公司、Schrems（Schrems II案件）

2020年7月16日，欧盟法院就爱尔兰数据保护委员会（DPC）诉Facebook爱尔兰公司、Schrems一案作出了期待已久的判决（以下简称“Schrems II判决”）。

鉴于目的地国的国家安全以及执法当局可能责成数据接收者披露欧盟个人数据的情况，本案的争议焦点在于标准合同条款（SCC）是否是从欧盟合法出境个人数据的有效机制，以及欧盟-美国隐私盾的有效性问题。SCC是欧盟出境个人数据最广泛使用的机制。而欧盟-美国隐私盾则受到大西洋两岸数以千计的公司的依赖，以使得欧盟-美国数据出境合法化。

最后的结果喜忧参半。尽管欧盟法院维护了SCC的有效性，但它强调了各组织合法依赖SCC所需满足的要求，即在传输任何个人数据之前，寻求依赖SCC的数据控制者应当进行尽职调查，以评估目的地国家的当地法律是否提供与欧盟数据保护制度基本相同的保护水平。同时，欧盟法院认为欧盟-美国隐私盾无效，因为美国国家安全、公共利益和执法的要求具有优先地位，因此允许对其数据被传输到美国的人的基本权利的干涉，且美国国内法没有提供符合欧盟标准的保护措施。

Schrems II判决会对任何源自欧盟现有的或将来的跨境数据流动产生即时影响。该判决否定了欧盟与美国之间的隐私盾框架的合法性，意味着美国企业将无法再依赖隐私盾框架以合法地将数据传输至美国。对于其他数据跨境传输法律路径而言，该判决也使得企业在跨大西洋数据流中的法律义务普遍存在不确定性。

数据传输是全球数字经济中贸易和创新的必要条件，如果没有合适的替代解决方案，那么大西洋两岸的各行各业公司将遭受打击。Schrems II判决肯定SCC仍可作为数据跨境传输合法依据的同时，为基于SCC进行的数据跨境传输提出了更为严格的附加要求。评估目的地国家的法律制度能否为欧盟个人数据提供足够的保护的工作是一项复杂的挑战，而隐私盾机制的评估被欧盟法院推翻，使得企业不清楚如何才能做得更好。企业对于能否使用SCC进行数据跨境传输的自行逐案评估可能随时会受到质疑，即使企业可以采取额外的保障措施，但仍不能完全保证其依据标准合同条款跨境转移数据的合法性。而且，欧盟法院也未明确实践中可能采取的额外的保障措施具体是指什么，而只是反复强调需要根据具体情况具体判定。

对于大西洋两岸的企业而言，隐私盾是欧美数据保护机制之间的关键桥梁。隐私盾的失效会阻碍美国和欧盟企业的跨境运营，促使企业必须重新考虑寻求替代方案的合规成本和不确定性是否超过了继续从事跨大西洋贸易和创新的商业利益，最终破坏跨大西洋的贸易和创新。

因此，基于跨大西洋数据流和数据保护的影响及其重要性，欧美需要加强合作并通过新的数据传输机制来支持跨大西洋数据流。在，2022年3月25日，欧盟委员会和美国宣布，称双方已经原则上同意一个新的跨大西洋数据隐私框架。目前，双方达成的仅是原则性协议，有关该协议的细节还不清楚，欧美将继续合作，以期将这一安排转化为双方需要通过的法律文件。

法国 CNIL 对谷歌和Meta罚款1.5亿欧元和6000万欧元

2022年1月6日，法国数据保护局（CNIL）发现google.fr,youtube.com和facebook.com网站不允许用户像接受cookie一样方便地拒绝cookie，决定对谷歌和Meta分别处以1.5亿欧元和6000万欧元的罚款。

CNIL指出，google.fr，youtube.com和facebook.com网站提供了一个允许立即接受cookies的按钮。然而，前述网站没有提供一个同等的解决方案（按钮或其他），让互联网用户轻松地拒绝这些cookies的存放。用户需要多次点击才能拒绝所有的cookies，却可以一次点击就能接受它们。

CNIL认为，前述网站的拒绝机制并没有提供与表达同意机制同样的简单程度，无视了关于同意自由的规则，让拒绝cookies的机制比接受cookies的机制更复杂，实际上等于不鼓励用户拒绝cookies，而是鼓励他们选择“我接受”按钮，因而构成对《法国数据保护法》第82条规定的违反。

除罚款外，CNIL还命令谷歌和Meta在三个月内向法国的互联网用户提供一种拒绝cookies的方法，这种方法与现有的接受cookies的方法一样简单，以保证他们同意的自由。公司如果没有这样做，将不得不为每一天的延误支付10万欧元的罚款。

这两项决定是CNIL在过去两年中发起的全球合规战略的一部分，目标是法国和外国的访问量很大的网站且其做法违反了关于cookies的法律。自2021年3月31日，即网站和移动应用程序遵守关于cookies的新规则的最后期限到期后，CNIL已经采取了近100项与不遵守cookies立法有关的纠正措施（命令和制裁）。

CNIL在关于cookies的新规则中强调，数据控制者必须以同样的简单程度向用户提供接受和拒绝cookies和其他追踪器的可能性。GDPR第7条也要求数据主体撤回同意应与做出同意拥有同样的难易度。对于看似微小的“撤回同意”权利，CNIL就课以如此高额的罚款，在一定程度上也破坏了依托于cookie技术的互联网产业长期保持默契的商业管理，可见监管层面对用户个人信息权益的重视。

此外，这也并非是谷歌首次因cookie相关规则受到处罚。2020年6月，法国国务委员会就谷歌因个性化广告涉嫌违反GDPR一事作出最终决定，确认谷歌未向安卓用户提供足够清晰、透明的告知，应支付CNIL开出的5000万欧元罚单。同年12月，法国CNIL根据电子隐私规则对亚马逊和谷歌分别处以3500万欧元和1亿欧元的罚款。但罚款数额仍不及此次开出的1.5亿欧元罚单。

卢森堡CNPD 对亚马逊罚款7.46亿欧元

亚马逊公司于2021年7月29日发布了季度报告，在报告中关于法律诉讼的部分，亚马逊概述了卢森堡国家数据保护委员会（CNPD）于2021年7月16日发布了针对亚马逊欧洲核心公司的决定，CNPD声称亚马逊对个人数据的处理不符合GDPR，决定处以7.46亿欧元的罚款。

据悉，该决定是在法国隐私权保护组织La Quadrature du Net于2018年3月对亚马逊发起的集体法律行动之后作出的。据彭博社透露，该决定发现，亚马逊使用的定向广告系统并非基于自由给予的同意。

CNPD于2021年8月6日发表声明，称它受到职业保密规则的约束，因此不能传达有关具体案件的细节，并进一步指出，决定的公布已是一种额外的制裁。

对此，亚马逊公司表示将会一路上诉。亚马逊发言人表示：“保护用户的信息安全，以维系他们的信任，是我们的首要准则。我们没有将任何用户的数据泄露给第三方。我们坚决反对CNDP的指控，并将进一步上诉。” 同时，亚马逊认为，即使其应该被罚，也不该被罚这么多。亚马逊发言人指出：“关于我们是如何向用户投放相关广告这一点，CNPD仅仅是依赖对于欧洲隐私法的主观臆断，对我们作出的判决，况且，就算这项解释成立，罚款金额也远远高出对应标准。”

虽然亚马逊提出上诉的直接目的是降低处罚的可能性及处罚水平，但实际上相较于罚款金额，处罚直接导致的用户信任以及市场上品牌声誉、商誉的降低，才是对企业真正具有杀伤力的。

此次罚款刷新了迄今为止根据GDPR处罚的最高记录，这一处罚力度也反映出欧盟监管环境日趋严格的态势。而今，欧盟数据治理法律体系日益严密，强度越来越高，其所关注的数据范围从个人数据延伸到了非个人数据，视野更宽，法定的处罚强度也在不断提升。此外，欧盟内部和外部的跨国监管合作愈发密切，使得它的全球执法网络不断延伸拓展。

亚马逊的罚单也向受GDPR管辖的中国企业敲响警钟。面对被称为世界上最严格的数据安全法规GDPR，中国企业应注跨国双重合规、数据跨境的义务规则设计等合规体系建设。

爱尔兰DPC WhatsApp 2.25亿欧元

爱尔兰数据保护委员会（DPC）于2021年9月2日宣布了对WhatsApp爱尔兰有限公司进行的GDPR调查的结论。DPC审查了WhatsApp是否履行了GDPR的透明度义务，即向WhatsApp服务的用户和非用户提供信息以及信息的透明度。这包括向数据主体提供有关WhatsApp和其他Facebook公司之间的信息处理的信息。

DPC于2020年12月根据GDPR第60条向所有相关监管机构（CSA）提交了一份决定草案，但收到了八个CSA的反对意见。DPC无法与CSA就反对意见达成共识，故于2021年6月3日依据GDPR第65条启动了争端解决程序。

2021年7月28日，在欧洲数据保护委员会（EDPB）通过了一项具有约束力的决定，该决要求DPC根据EDPB的决定中包含的一些因素重新评估并增加其拟议的罚款，DPC重新评估后对WhatsApp未能履行GDPR透明度义务处以2.25亿欧元的罚款。除了罚款外，DPC还对WhatsApp进行了谴责，并命令其采取一系列特定的补救措施，使其处理方式符合规定。

EDPB要求DPC修改其之前提交的决定草案、罚款的计算以及命令遵守的期限。EDPB指出，除了DPC的调查结果，WhatsApp在向用户提供信息方面严重违反了GDPR第12、13和14条，以及它进一步发现了所提供信息的其他缺陷，影响了用户了解所追求的合法利益的能力，因此要求DPC的决定包括对违反GDPR第13(1)(d)条的处罚。此外，EDPB提到还存在违反GDPR第5(1)(a)条规定的透明度原则的情况，要求在最终的罚款金额中反映出这一点。

EDPB对罚款本身的计算也进行了澄清。根据GDPR第83(4)-(6)条，企业的营业额并不完全与确定最高罚款金额有关，但在计算罚款本身时，也可以酌情考虑，以确保根据GDPR第83(1)条，罚款是有效、相称和劝阻的。因此，EDPB认为，WhatsApp的母公司Facebook的综合营业额应包括在营业额计算中。此外，EDPB首次对GDPR第83(3)条的解释进行了澄清，强调当面临相同或相关处理业务的多种侵权行为时，在计算罚款金额时应考虑所有的侵权行为。

最后，DPC的最终决定包括一项命令，即在三个月内使处理业务符合规定，这比DPC决定草案最初规定的六个月的时间框架有所减少，这是EDPB的要求，它强调了确保在尽可能短的时间内遵守透明度义务的极端重要性。

该决定是DPC有史以来开出的最高罚单，也是继亚马逊后因违反GDPR规则开出的第二高罚款。这笔罚款表明，透明度仍然是整个欧洲DPA的重点。企业需要清楚其如何处理数据，需要诚实地对待自身的数据处理实践。当消费者注册平台时，消费者需要准确了解他们的数据将如何使用以及是否会与第三方共享。有时，GDPR下的透明度义务可能难以履行，如WhatsApp处理与它没有直接关系的非用户的数据（指那些在其他社交App上发送的消息被WhatsApp用户转发到平台），但这并不意味着可以简单地忽略这些义务。这笔罚款将强化这一点的重要性，并警告其他公司更加透明。

意大利AGCM对谷歌和苹果各罚款1000万欧元

2021年11月26日，意大利反垄断局（AGCM）结束了对谷歌爱尔兰有限公司和苹果分销国际有限公司的两项调查，对谷歌和苹果将用户数据用于商业目的各处以1000万欧元罚款，这是现行法律允许的最高金额。

反垄断局发现两家公司都有两项违反《消费者法》的行为，一项是缺乏信息，另一项是在获取和使用消费者数据方面的激进做法。

该局认为，谷歌和苹果都没有提供明确和即时的信息，说明为商业目的获取和使用用户数据的情况。尤其是谷歌，无论是在创建账户阶段（这是使用所有提供的服务所必不可少的），还是在使用服务本身的过程中，都省略了需要告知消费者的相关信息，以便消费者做出知情决定，接受该公司为商业目的收集和使用他们的个人信息。苹果在创建Apple ID和进入苹果商店时，也没有立即明确向用户提供任何关于为商业目的收集和使用其数据的信息，只强调收集数据是为了改善消费者体验和使用服务所必需的。

此外，该局发现这两家公司从事了一种侵略性的做法。谷歌在账户创建阶段，预先激活了用户对其数据被转移和/或用于商业目的的接受。这种预激活允许谷歌转移和使用数据，无需用户进一步的确认或修改。苹果在促销活动中没有为消费者提供事先明确选择分享其数据的可能，未能让消费者对其数据用于商业目的的行使自己的意愿。

此次罚款决定强调了对消费者在生活消费领域的个人信息保护同样应遵守消费者权益保护等有关规定的合规要求，应明确告知消费者处理目的和处理场景并征得其同意，保障消费者对个人信息处理目的和场景作出同意时的自主选择权。

韩国PIPC对Facebook罚款64.4亿韩元

个人信息保护委员会（PIPC）于2021年8月25日宣布，对Facebook处以64.4亿韩元的罚款，原因是Facebook在2018年4月至2019年9月期间未经用户同意通过用户的照片和视频创建和收集面部识别模板，违反了《2011年个人信息保护法》（2020年修订）（PIPA）。同时，PIPC还对另外五项违反PIPA的行为处以2600万韩元的罚款，包括非法收集居民登记号码、未通知数据主体处理个人信息、未披露委托其他方处理的情况、未披露数据迁往海外的情况，以及未提交PIPC在调查期间要求的信息。

PIPC对未经同意收集人脸信息等违法行为，下达了整改命令，内容包括：销毁未经同意收集的人脸信息或者征得本人同意；禁止没有法律依据地处理居民身份证号码，并废弃收集的资料；公开向国外转移个人信息等相关内容和个人信息处理委托内容等。该委员会还建议改进追加收集个人信息时因法定告知事项不明确导致个人信息处理不完善的情况，以便用户可以轻松确认法定告知事项。

此外，早在2020年11月，PIPC就曾对Facebook违反PIPC的行为实施制裁。Facebook在2012年5月至2018年6月期间未经用户同意，将其1800万韩国用户中至少330万的个人数据传递给了第三方，泄露的数据包括用户的 Facebook好友列表，这家社交网络巨头因此被罚款67亿韩元。另外，当时一群本地的Facebook用户于同年4月集体向PIPC提出损害救济程序，要求Facebook运营商提供经济补偿和披露哪些个人数据被泄露以及泄露给谁的信息。据悉，PIPC的争端调解小组建议Facebook的母公司Meta就违反同意的问题对用户进行赔偿。根据该建议，Facebook将向181名要求赔偿的用户每人支付30万韩元。

个人信息保护在韩国并非新生事物，针对违反个人信息保护相关法律的企业罚款也屡有发生。前述涉及Facebook的案例是韩国个人信息保护领域比较典型的执法动态，强调经营者在用户明确同意的情况下收集和使用个人信息是个人信息保护最重要的基本原则，较全面反映出韩国对个人信息保护的重视以及监管理念。希望通过这些典型案例引导海外经营者能够按照韩国法律规定在用户同意的情况下收集、利用个人信息，忠实履行法定义务。

中国滴滴事件

2022年7月21日，经国家网信办查实，滴滴违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。国家网信办对滴滴处人民币80.26亿元罚款，对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

从国家网信办披露的材料来看，滴滴公司构成16项违法事实，归纳起来主要有8个方面。一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

这还不包括滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全，依法没有公开。

所以，此次对滴滴公司的重罚，公开披露出来的原因虽然更多的是个人信息保护方面内容，但也提到还涉及网络安全，尤其是关键信息基础设施的网络安全和数据安全。

意大利对TikTok的个性化广告提出警告

2022年7月11日，意大利数据保护机构（Garante）宣布，它已于2022年7月7日对TikTok Italy S.r.l.和TikTok Technology Limited发出警告，因为TikTok宣布从2022年7月13日起，18岁以上的用户将收到基于其访问TikTok期间的行为，进行分析而产生的个性化广告。此前，TikTok修改了其隐私政策，指出个人数据的处理将不再基于知情同意，而是基于TikTok的合法利益。

Garante认定从将于2022年7月13日生效的隐私政策版本中可以看出，TikTok打算使用自动收集的信息，即关于用户设备的信息，包括操作系统、打字模式、IP地址和用户的位置信息。另外，Garante还强调，根据同一隐私政策，TikTok将使用cookies和类似的跟踪技术用于营销目的。

因此，Garante得出结论，Tik Tok打算从2022年7月13日开始对用户的个人数据进行处理，将可能违反欧盟电子隐私指令，以及意大利个人数据保护法第122条。这两个法律条款都明确规定，数据主体的同意是在用户或使用者的终端设备中存储或获取已存储信息的唯一法律依据。

除法律依据不充分外，Garante还关注在该平台注册的儿童用户的保护问题。它指出，考虑到TikTok目前在确定是否符合访问平台的年龄要求方面遇到的困难，不排除非常年轻的用户会因为TikTok的利益而成为个性化广告的目标。Garante指出，它保留对TikTok采取额外措施的权利。

2022年7月13日，Garante宣布，在其发出警告后，TikTok已暂停将公司合法利益作为其获得个性化广告的法律依据。该个性化广告是通过分析18岁以上人群的平台浏览记录而得到的。

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

互联网出海法律实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

近期更新：

从零读懂系列：

【从零读懂】数据出境合规100问 | Part 4：数据出海实践关键问题与海外SCCs要点对比

【从零读懂】数据出境合规100问 | Part 3下篇：《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 3中篇：《数据出境安全评估办法》高频问题与适用解读

【从零读懂】数据出境合规100问 | Part 3上篇：《数据出境安全评估办法》高频问题与适用解读