六大维度对比：十国/地区数据保护规则要点 |（附出境实务100问）

出海互联网法律观察

2024-08-25

Editor's Note

本文作者为王捷，执业律师，垦丁广州执行主任，垦丁W&W国际法律团队创始人，数据安全师，专注于数据合规、互联网综合合规与出海合规，拥有10+年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。

The following article is from iLaw合规 Author 王捷

作者：王捷

单位：垦丁广州律师事务所执行主任

W&W 国际法律团队创始人

联系方式：13650790754

jie.wang@kindinglaw.com

编者按

随着全球贸易产业服务化、服务数据化的发展，全球各国高度关注跨境数据领域建立国际规则的问题，在世界范围网络空间安全论坛中，企业出海过程中的数据保护已成为最重要的话题之一。

笔者结合近年来对国内外数据出境的观察研究以及实务经验，对全球十国/地区的数据保护概况从以下六个维度展开横纵对比，以期帮助出海企业在产业布局、产业链分配落地过程中，对数据出境合规有更为宏观的认知与把握。

✨温馨提示：

本文文末附王捷律师团队最新研究成果：《数据出境合规实务100问》电子版，如有需要，可自行领取。

目录索引

01 如何判断是否落入目标国数据保护法律的管辖范围

02 各国个人信息处理规则的异与同

03 如何理解不同国家的数据本地化存储要求

04 各国数据跨境传输规则剖析与拆解

05 目标多国之数据主体权利大比对

06 安全事件发生后的数据泄露通知

07 总结

如何判断是否落入目标国

数据保护法律的管辖范围

在数据出境过程中判断是否适用目标国家的数据保护法案，需要根据目标国家相关法律适用范围的具体规定进行判断，如以新加坡为目标国家为例，企业在此种情况下需要结合是否收集新加坡境内居民信息、信息收集方式、信息收集是否以新加坡为目标服务市场等综合判断是否会落入新加坡数据保护相关法律领域的适用范围。

（一）判断是否适用目标国家的数据保护法案

出海企业开展出海业务运营过程中，首先面临的就是管辖问题。这一过程中首先需要明确法律适用范围，也即某一法律所具有或所赋予的约束力以及其所适用范围的广度与深度，这种广度跟深度一般包括三个维度：

第一是时间效力，包括生效和失效的时间；

第二是空间效力，即生效的地域范围，以及是否具有域外效力；

第三是对人效力，即对哪些人产生生效作用。

所以对于个人信息保护法律来讲不管是中国的还是海外多国的，我们都会比较关注地域适用范围、个人适用范围以及个人信息资料本身的适用范围。

其次，在判断是否落入目标国数据保护法律的管辖范围方面，从全球范围角度看，域外效力的判断是较为清晰的，主要根据属人原则与属地原则，而且大部分国家都采取“属人+属地”原则。

（二）判断一国法律是否存在域外效力

域外效力主要分为三种情况：第一，明显有域外效力的法域，如欧盟GDPR以及中国《个人信息保护法》；第二，无域外效力的法域，如美国加州CCPA中国其仅适用于在加州境内开展业务的情况，同时还需要满足一定条件如总收入超过2500万美元时才能落入管辖的范围；第三，域外效力规定不明确的法域，如香港的PDPO在其33条尚未生效的情况下，对于域外效力是否发生效力将会产生影响。

判断一国法律是否存在域外效力的方法与前述所讲原则内容较为相近，关键在于需要理解其中表面相似，但实际上存在细微差异的点。

以中国《个人信息保护法》以及欧盟GDPR为例：尽管二者在形式上较为相近，但是仍存在细微的差别，欧盟GDPR由两个标准共同确立，一个是具有稳定的安排和组织；另一个是服务的目标。

而中国《个人信息保护法》地域适用范围两个目标则为处理行为发生地和服务目标，即只要是发生在中国境内的处理自然人个人信息的活动或者以向中国境内自然人提供产品或服务为目的的，都将纳入中国《个人信息保护法》的适用范围，而无论是否在境内有稳定安排或机构。

通过这个例子启示我们在研究其他国家关于域外效力的问题时，需要更加注意其条文的表述以及细微的差别之处，然后结合公司的实际业务情况，包括运营主体、运营模式，进一步分析收集信息的是否属于当地信息，综合不同因素进行判断是否会落入目标国的管辖范围。

各国个人信息处理规则的异与同

（一）明晰属于个人信息的数据类型

对于“个人信息”的定义，我国《个人信息保护法》与欧盟GDPR以及美国加州CCPA的规定各不相同，实务中普遍认为当某个数据可能落入个人信息范围时，将其按照个人信息的保护标准进行对待和处理。

在个人信息判断完毕后，就需要对数据进行特殊类型的判断，如欧盟GDPR将工会会员资格作为特殊类型信息进行规范，韩国则是将意识形态、政党成员等信息作为特殊类别信息予以保护。由于特殊类别的信息合规要求较高，因此当企业开展海外业务时，需要注意识别特殊类别的信息。

（二）区分个人信息处理原则和个人信息处理规则

第一，个人信息处理原则，尽管各国的叫法不同，但本质大体相同。如中国《个人信息保护法》与欧盟GDPR处理原则都包括了最小必要原则、目的明确原则等，只是根据各国不同国情添加某些特别的规定而已，如中国规定的诚实信用原则，不能通过欺骗、误导、诱导的方式处理个人信息。

第二，个人信息处理具体规则，是指在处理个人信息时存在的特别规定和要求，主要分为三层：

1. 按照场景划分，各国在处理敏感个人信息、儿童信息、对外提供个人信息的情况下要求不同，如中国规定需要获得个人的单独同意，韩国则规定处理特定身份数据，如身份证、护照等信息时，需要分开获得数据主体同意。

此外还有一种涉及到业务模式的场景，如部分国家在电子邮件营销场景中会有特别规定，如美国采取opt-out原则，运营者可以向用户发送营销信息，但一旦用户反对则不能再继续向用户发送营销信息，且需要赋予其方便退出接收营销信息的权利。

2.按照领域划分，比如针对特殊的领域，如金融、银行、征信、医疗健康数据等，存在单行法或额外的特定法案，如美国的HIPPA（《健康保险隐私及责任法案》），中国汽车领域的《汽车数据安全管理若干规定（试行）》。因此在处理特别领域数据时，务必要注意是否存在单行的特别规则。

3.按照数据主体划分，比如多数国家存在儿童的个人信息保护法案，如美国有儿童在线隐私权保护法（COPPA）及中国的《儿童个人信息网络保护规定》，其他国家虽然没有推出相关法案，但是存在对应的指南，对于相关信息处理活动起到指导作用。

如何理解不同国家的

数据本地化存储要求

（一）数据本地化存储的不同要求

在本地化过程中针对个人信息不同类别要求也是不同，各国对于数据本地化存储的要求主要分为三个类别：

第一种是强制化数据本地化，即明确要求企业将收集的收据存储于该国境内，如俄罗斯规定，对俄罗斯联邦公民个人信息进行搜集、记录、整理、保存、核对(更新、变动)、提取的数据库存放于俄罗斯境内。

第二种是满足条件的强制数据本地化，如中国、印度等，印度规定对于个人敏感数据，必须存储在印度境内，但其副本可以按照跨境转移的要求进行传输到印度境外。

此外，存在一种特殊情况，相关国家对于本地化存储没有明确的强制化要求，但是对于特定领域，如金融、医疗健康等领域分别设定了本地化存储的强制要求，如巴西、韩国等。因此，当目标国家不存在本地化存储的强制化要求时，企业还需要关注是否存在特殊行业的要求，以免落入范围之内。

第三种情况则是无强制化要求，如美国加州、日本、欧盟等，这些国家鼓励数据流动，但许多国家也会在跨境传输过程中会增设条件以保护个人信息安全，如美国加州CCPA规定，因采购行为发生数据收集，相关数据要在境内存储用以保护公共机构数据安全。

针对前两种情况，企业得以应对的关键在于需要对数据进行分类并对数据主体进行划分。

当前各国主要存在两种主要做法：一种是对数据类型进行了明确的划分，并根据不同类型数据提出不同本地化存储要求，如印度划分为关键个人数据、敏感个人数据以及一般个人数据，关键个人数据必须存储于境内，但包括例外情况，而敏感个人信息必须存在境内，但是副本可以按照跨境转移的要求向境外传输。

另一种则是对于数据主体进行了划分，针对不同主体提出不同的本地化存储要求，如印度尼西亚的《数据保护法案》明确规定，只有电子系统运营商才需将其电子系统和数据存储在其境内。

（二）本地化存储解决方案

第一，实时数据本地化，在境内客户端之上增加对境外服务器和境内服务器的端口，将数据同时存储在国内与海外，此种方案并不能够对数据进行区分，当前我国针对数据出境相关规定越来越细化，若不加区分的一股脑流出境外，与我国当前数据出境安全风险要求相违背，引发数据泄露的风险。

第二，延时数据本地化，即先储存到境外阿里云服务器，再从国外服务器同步到境内服务器。此种方式对于属于监管范围的数据是无法适用的，存在先斩后奏的嫌疑，即表面尊重我国数据出境规定，实质却将数据不加处理向境外传输，最终引发数据安全问题、污染问题，若遇到战争冲突，如俄乌冲突，会发生数据断开问题。

第三，区分监管数据本地化，即开放数据出境闸口之前先行对数据进行分类，分为受监管约束的数据和不受监管约束的数据。受监管约束数据，如国家机关所拥有的数据，CIIO收集的重要数据等，必须存储在国内，通过监管审核之后再行出境，而非受监管约束的数据，比如既不是CIIO的数据，也不是达到一定数量的个人数据，在企业确有出境必要的情况下通过企业的风险自评估或者其他合规工作后可以出境。通过此种方式设计本地化方案的是相对较好的选择。

第四，绝对数据本地化，即数据不出镜，只在境内存储，境外也无法访问，这种方式一般在特殊行业出现，如金融、征信行业等，同时这种方案成本花费最高。

上述四种方案，采用区分监管数据本地化方式更好，即企业在数据出境前需要开展自评估工作，了解受监管数据类型，明确出境主体，最终设计具备自身特殊性的本地化存储方案。

各国数据跨境传输规则剖析与拆解

（一）对于数据的判定

所谓的数据跨境传输，就是境内数据传输方将数据传输给境外接收方，接收方获得数据。根据我国《数据出境安全评估申报指南》的规定，访问/查询、调取、下载、导出行为都属于数据出境行为。

而跨境不仅限于物理层面的跨境，更多体现为从一个法域到另一个法域，其中包括独立主权国家及独立地区，因此若某国内企业向香港地区传输员工信息，本质是属于跨境的。

与此同时，根据我国立法现状，数据更多与个人信息和主要数据两大类相关，在我国个人信息是指可以单独或通过结合其他信息识别到特定个人的信息而重要数据则是指《数据出境安全评估申报指南》所规定的27大类，但不涉及国家秘密，但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据，如自然资源、基因、生物特征、经济数据、网络信息系统漏洞数据、人群导航位置等。

如此前印度相关法案规定了关键数据和敏感特殊数据，便要求企业对于关键数据及敏感特殊数据具体内容进行把握，因此企业在数据跨境传输中需要根据各国不同的立法规定进行针对性的把握分析。

（二）对于跨境传输的判定

接下来在具体判定是否属于数据跨境传输方面，企业需要识别被传输的数据类别，明确其为个人信息还是非个人信息，或者其他维度的数据，以便更准确判断其是否会落入数据跨境传输的规制范围内。

以某化妆品牌美资企业，通过中国子公司将其在中国境内收集的日志数据传输给位于美国的全球安全与运维系统，以便对中国境内系统允许和安全状态进行分析为例，此种场景属于跨境传输，同时需要注意其中的日志数据是否属于个人信息，若不属于我们将采取何种措施应对等相关问题。

此外，对于部分企业仅在我国境内运营，不涉及我国境内用户个人信息的情况下，判断是否属于数据跨境传输的关键在于判断其是否构成境内运营。若属于境内运营，则构成数据跨境传输行为。

（三）关注企业业务范围

在判断境内运营方面，需要综合判断其是否在境内开展业务以及是否向境内的人或机构提供产品或服务等因素，若上述因素都满足，则构成境内运营。

没有企业在中国境内注册，但是在境内开展业务，或向境内提供产品或服务的，同样属于境内运营。

在境内开展业务，向境内提供服务的判断因素包括：使用中文、以人民币作为结算货币、向中国境内配送物流等。同时要注意如果境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，则不视为境内运营。

（四）关注目标国相关规定

在确认属于数据跨境传输后，则需要企业关注目标国家对于数据跨境传输的具体规定，不同国家对于此内容的规定不同，但是存在一定的共性：如获取数据主体同意、获得机构认证、白名单制度等方面存在相类似的规定。

但同时一些国家也存在特别的规定，如新加坡规定当企业采取了适当措施保证和满足数据接收方有义务不低于新加坡PDPA要求是可以出境；而韩国规定在进行跨境传输时，需要告知数据接收方是谁、传输目的以及被传输数据种类、使用和保存期限，在此基础上还要告知数据主体并取得数据主体的同意，包括数据传输目的地、传输日期、时间以及方式等具体的合同信息。

目标多国之数据主体权利大比对

（一）数据主体权利的主要类型

经过对于主流国家法律文件的对比总结发现，数据主体主要包括八大方面的权利：信息权、访问权、删除权、更正权、反对权、数据可携权、限制处理权以及拒绝受自动化决策&画像的权利。

（二） 数据主体权利的特殊规定

不同国家在权利设置方面仍存在一些特殊之处，如我国《个人信息保护法》中规定的是较为先进的权利，如逝者个人信息近亲属的继承权针对逝者个人信息保护可以从两个角度分析：

首先从全球的角度分析，很多国家的法律对于逝者个人信息保护和隐私权的保护尚处于探索阶段。

一部分国家有明确立法规定，如美国《健康与隐私责任保护法案》以及我国《个人信息保护法》的规定；但仍有部分国家没有进行相应的规定，如欧盟GDPR第17条规定其不适用于逝者个人信息处理，但成员国可以灵活处理，比如荷兰对此没有明确规定而法国却明确规定了。

因此，企业在进行数据出境过程中需要明确目标国在不同数据主体权利方面是否存在特殊的规定。

安全事件发生后的数据泄露通知

在数据出境及数据合规过程中，企业各部门要秉持“数据泄露无小事”的理念，时刻保持警惕，提防数据泄露的发生。实际操作中数据泄露是不可避免的，只是需要把握数据泄露的程度及严重性高低。

各国也对个人信息主体造成不同程度危害跟影响的情况进行了分类，针对数据泄露原因进行分析并提出了不同的通知要求。

笔者从以下几个方面进行探讨：当数据发生泄露时是否需要通知，若通知，是否要通知数据主体或者监管机构，以及具体的通知要求，具体表现为：

（一）是否必须通知

很多国家都有此要求，尽管香港在其PDPO法案中并未明确规定，但是在其相关指南中明确规定了通知的义务。

（二）通知对象

从全球主流立法角度分析，通知对象主要分为监管部门以及数据主体两部分。

以我国《个人信息保护法》为例触发数据通知泄露的情形主要有两种：

一种是当个人信息遭受了泄露情况，无论其是敏感信息还是一般信息，主要发生泄露，就要启动通知机制；

另一种是基于触发场景，包括被泄露、被篡改、丢失，只要属于规定场景都要启动通知机制。通过对比我国与其他国家的数据立法发现，我国并不以数据泄露数量作为通知机制启动与否的衡量标准，相比之下如GDPR，其对于数据泄露的数量级别及规模有一定的要求，只有达到某一些数量或者级别时才需要通知。

像巴西、印度、韩国、新加坡等国，都明确规定了触发机制的要求即只有触发了一定条件后，才需要通知监管机构，而且同样规定只有触发了一些更为严重的情况时才需要通知数据主体。

（三）通知具体要求

对于通知具体要求，主要包括两方面：一方面是通知必须包含的必要信息，对于此部分欧盟、新加坡、日本都是视内容有不同的要求；另一方面则是通知发出的时间限制，中国、美国、巴西、日本等大多数国家对此没有严格要求，但都希望不要拖延而是要求立即发出；而欧盟则是规定必须在认识到违规的72小时内发出通知。

总结

首先，需要认识到数据合规工作并非是一个锦上添花的内容，也不是可有可无的内容，而是影响到业务是否能够继续快速前进的关键内容。

其次，数据合规工作是企业各部门协同配合的系统性工程，需要各部门的通力合作；

最后，唯有合规，方能致远。企业开展数据合规工作，只有按照大趋势和必要条件开展，才可能走得更好。

写在最后

本文作者王捷律师及团队专注于网络法领域的研究和实务，在出海合规方面拥有丰富经验。

王捷律师团队出品的《数据出境合规实务100问》，作为出境实务方面的操作指引，发布以来广受好评。特附在文末作为补充资料，欢迎领取使用。

👓 你一定还想看
1.【从零读懂】数据出境合规实务100问（文末领取完整版）｜iLaw

2. 个人信息保护十大典型案例｜iLaw

3. 全球最高罚单！四张表看懂滴滴处罚依据（附法规标准原文定位）｜iLaw

4. 今日《数据出境安全评估办法》正式施行（附最新版申报指南）｜iLaw

5. 人脸识别的法律要求及合规实务分享｜iLaw

6. 重磅发布 | 2019-2022网络不正当竞争典型案例出炉（附PDF版汇编全文）｜iLaw

iLaw合规为法律人带来专业、温度、有价值的阅读

如需投稿，欢迎添加主编微信：iLaw_sz02

有需要的小伙伴，只需要关注我们公众号“出海互联网法律观察”并在后台回复关键词“数据出境100问”即可获取。

详情请见：《石以砥焉，化钝为利——数据出境合规锦囊与您终遇》

主编介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，中国国际贸易促进委员会深圳调解中心专家调解员，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文，在全球最高分的六篇论文中，荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖，该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时，她还是出海互联网法律观察公众号主理人，输出了多篇专业互联网与数据合规文章，部分刊登于国际知名专业数据库。

联系方式：

全球数据合规实务群

为您提供独家出海资讯、最新信息动态

与同行们一起交流时事热点、分享经典案例

尽享互联网出海法律干货

快添加主理人微信（jie-72）加入我们吧！

（入群请详细备注姓名、单位、研究领域）

【入群条件：请提出一个关于数据出境的实务问题】

近期更新：

从零读懂系列：

【从零读懂】数据出境合规100问 | Part 4：数据出海实践关键问题与海外SCCs要点对比

【从零读懂】数据出境合规100问 | Part 3下篇：《数据出境安全评估办法》高频问题与适用解读