中国企业出海：⽹数合规案例分析报告

￿.本报告梳理了近年在海外被处罚、禁⽤、投诉的中国出海产品，涵盖TikTok、Temu、小⽶、微信、速卖通、DeepSeek等，海外国家或地区集中为英国、欧盟、美国、澳⼤利亚、加拿⼤、韩国等地。￿.出海数据合规⻛险的关注点集中于以下⽅⾯：￿)告知和同意义务的履⾏不合规；￿)数据处理和共享超出业务所必需的必要范围；￿)未在欧盟境内实际设⽴代表或者设⽴数据控制者；￿)超出必要范围或未经⽤⼾同意处理cookie数据和其他营销数据；￿)数据跨境传输⾄中国存在被中国政府当局⽆限制访问的⻛险，境外⽤⼾的数据难以在中国获得与GDPR同等⽔平的保护；￿)境外⽤⼾的个⼈数据权利响应机制缺位；￿)未经⽗⺟或监护⼈同意处理未成年⼈数据，未履⾏相应的告知义务，未设置年龄验证机制阻⽌未成年⼈不当使⽤产品，未向⽗⺟或监护⼈提供便捷的删除机制；￿)未采取恰当的数据安全和⽹络安全措施，未及时监督和检查内部的数据管理流程；￿)未对使⽤⼈⼯智能处理个⼈数据的情况进⾏说明以履⾏透明度义务。 第⼀部分中国出海产品在海外被投诉/禁⽤/处罚案例概览...........................................￿ ￿.英国.............................................................................................................￿￿.欧盟.............................................................................................................￿￿.美国...........................................................................................................￿￿￿.澳⼤利亚.....................................................................................................￿￿￿.加拿⼤........................................................................................................￿￿￿.韩国...........................................................................................................￿￿第⼆部分出海⽹数与⼈⼯智能场景⻛险................................................................￿￿￿.告知和同意义务的履⾏...................................................................................￿￿￿.数据处理问题...............................................................................................￿￿￿.COOKIE和其他数据跟踪问题...........................................................................￿￿￿.数据控制者的真实性或欧盟境内代表的缺位.......................................................￿￿￿.数据跨境传输⻛险.........................................................................................￿￿￿.数据主体救济...............................................................................................￿￿￿.未成年⼈个⼈数据的保护................................................................................￿￿￿.数据安全措施的采取......................................................................................￿￿￿.⼈⼯智能的透明度.........................................................................................￿￿ 第⼀部分中国出海产品在海外被投诉/禁⽤/处罚案例概览 1.英国 2.欧盟 3.美国 4.澳大利亚 5.加拿大 6.韩国 1.告知和同意义务的履行 a.告知不合规 i.隐私政策的语言版本不符合要求。ii.隐私政策未明确说明个人数据处理的合法性基础。iii.隐私政策未说明数据收集、使用和共享等情况，包括数据类别、处理目的、方式、存储期限、是否用于自动化决策等。iv.隐私政策内容存在虚假描述。 b.同意机制不合规 i.未向用户提供便捷的拒绝同意机制，易被认定为用户未能自由给予同意。ii.未在实际获取权限或者个人数据的节点前取得合法、有效的用户同意。 2.数据处理问题 a.数据共享的范围过广，涉及过多关联公司、母公司，可能被认定为数据安全风险较高。b.超出必要范围处理用户的个人信息，包括敏感个人信息。c.境外用户请求删除数据或停用账户后，其个人数据可能被不合规地继续保留。 3.Cookie和其他数据跟踪问题 a.超出必要范围使用cookie处理数据，强制要求用户接受相应的数据处理行为。b.使用URL等跟踪方式但未取得用户的同意，并超出服务所必需的范围跟踪用户数据。 4.数据控制者的真实性或欧盟境内代表的缺位 a.在欧盟境内设立营业场所并在隐私政策中表明身份的数据控制者，仅是信箱地址，并非实际运营的实体。b.未在欧盟境内设立营业场所的数据控制者，未以书面形式在欧盟境内设立代表。 5.数据跨境传输风险 a.数据跨境传输至中国被认定为存在中国政府当局访问境外用户数据的风险 i.数据跨境传输、存储至中国违反GDPR，一方面因中国未被认定为具有充分性保护水平的国家，另一方面因中国没有实现基本等同的数据保护水 平，SCC被认定为仅可保护商业数据传输场景而不保护数据控制者和中国政府当局的数据传输场景。ii.未明确数据跨境传输是否将导致国家参与数据的管理，目前数据跨境传输至中国的场景存在极大的概率被默认为将基于中国法律要求被访问，且中国政府当局的访问不受限制、不对外公开披露。iii.企业的中国关联公司被认为需要遵从本地化义务存储数据，而相关数据传输至中国境外需取得中国网信办的许可，但中国网信办被认定对数据传输授权享有自由裁量权，存在数据安全风险。 b.公司股权架构和员工身份可能被推测存在中国政府当局访问境外用户数据的风险 i.公司在境外总部的业务运营若仍由中国大陆境内关联公司所实质性掌握，该境外公司仍可能被认定为是中国公司，而个人数据将因此被认定为可能受到中国官方的未经授权访问。ii.对境外用户个人数据享有访问权限的境内母公司及其高管的政治身份，将导致境外监管机构怀疑中国政府是否可访问境外用户数据。 6.数据主体救济 a.海外对中国数据保护法律体系的不认可： i.国家网信办的职责不明确，NOYB的投诉认为中国缺少专门、独立、有能力的数据保护机构。ii.中国关于数据处理活动相关的司法实践案例较少，被认为缺少司法监督。iii.中国监管机构、执法机构或其他国家安全机关访问数据的限制、流程等未公开透明，被推定为该访问不受限制。iv.NOYB投诉认为中国数据保护法律的适用范围、内容不明确，数据主体权利行使情况不明确。 b.个人信息权利响应机制的缺位： i.权利响应机制响应不够及时，响应方式未明确告知。ii.隐私政策中未明确DPO，使得用户无法行权。 7.未成年人个人数据的保护 a.未提供关于未成年人的个人数据保护方案。b.未对产品设置年龄验证机制，未能实现从实质上禁止相应年龄段未成年人使用产品。c.未经父母或监护人同意的情况下，处理未成年人的数据。d.未告知对未成年人数据的处理情况。e.提供服务时，所使用的算法不区分儿童或成年人推送广告，同时未能及时控制可能威胁到未成年人或其他弱势群体的内容的传播。 f.父母请求删除子女账户和信息时，未能及时响应或设置较为烦琐复杂的步骤，未能提供便捷的删除机制。 8.数据安全措施的采取 a.未定期检查内部的数据管理流程，了解所处理的数据安全情况。b.数据存储于中国，但未说明数据保障措施，将被认定为存在数据安全风险。c.未对固件升级机制设置加密、验证机制，存在恶意代码注入或其他攻击风险。d.使用公共IP地址导致暴露敏感数据或被迫接受恶意更新、数据泄露的风险。 9.人工智能的透明度 未向用户说明所使用的人工智能处理个人数据的情况，包括利用个人数据进行模型训练、提供自动化决策等情况，未履行透明度义务。 Email: yuhang.shi@huiyelaw.com Email:siting.yu@huiyelaw.com 2022年⾄今，连续3年当选The Legal ￿￿￿“数据合规”领域亚太地区领先律所；2023年⾄今，连续3年荣登国际权威法律评级机构钱伯斯（Chambers andPartners）“数据保护与隐私”领域⼤中华区领先律所；2023年，荣获ALB（China）区域市场法律⼤奖：年度华东地区科技、媒体与电信律师事务所⼤奖（本地）；《商法》2023年度“隐私及数据保护领域”卓越律所⼤奖；2024年度“汽⻋、⼯业及制造业”⾏业卓越律所；2024年度“互联⽹及电商”⾏业卓越律所；2018年⾄今，连续六年登榜LEGALBAND年度中国顶级律所“⽹络安全与数据合规”领域第⼀梯队；2024年被律新社评为数据合规领域“品牌影响⼒律所”；2024年被GRCD评为“⽹络安全与数据保护”中国卓越合规律师事务所。