洞察跨境法律监管：趋势、挑战与应对

⽥展｜腾讯⾼级法律顾问 1.出海业务海外合规及监管综述2.出海业务海外市场重点合规项简述3.国际AI监管合规最新态势 ⽬录 出海业务海外合规及监管综述01 您的产品与服务满⾜全球合规要求了吗？ 业务出海合规是⼀项复杂的系统⼯程，涵盖多个关键领域： •⾏业特定要求：需满⾜⽬标市场的⾏业准⼊与运营规范。•产品设计合规：产品功能与服务模式需适配当地法律框架。•当地法律法规遵从：严格遵守⽬标国家/地区的各项法律法规。•数据安全与⽹络安全：实施有效的数据保护与⽹络安全措施。•持续合规管理：建⽴定期内部审查机制，确保持续合规。•法规解读与团队协作：与合规团队紧密协作，动态解读并应⽤海外适⽤法律法规。 腾讯云城市峰会·无锡峰会 全球市场合规遵从：跨境业务的关键挑战 履⾏本地税号注册与申报、适应平台代扣代缴规则，并统筹所得税、关税合规。 敏感和关键⾏业 ⼀些敏感⾏业严重依赖云服务，并且对数据安全性和合规性有特定的要求 反洗钱与反恐融资 构建强⼤AML/CFT合规体系：严格KYC、实时交易监控、及时可疑报告、全⾯制裁筛查、完整记录保存，并明确合规官职责与独⽴审计。 当地许可资质 某些国家/地区可能需要云服务提供商提供当地许可证，以确保出海业务合规、⾼效且值得信赖。 消费者权益保护 出海业务提供商应创建⼀个安全可靠的环境，同时满⾜监管要求和客户要求。 保障⽆理由退货权利、承担产品缺陷责任、确保⼴告真实透明、遵循公平合同条款。 数据驻留 AI监管 许多地区都有特定的法规，要求在其地理边界内存储和处理数据。 AI法规为AI系统的安全部署建⽴了标准，降低了可能被恶意⾏为者利⽤的意外后果和漏洞的风险。 实施有效的安全措施有助于保护敏感信息免受泄露、恶意软件和其他⽹络威胁。 知识产权 开源软件合规 出海业务提供商应创建⼀个安全可靠的环境，同时满⾜监管要求和客户要求。 不遵守开源许可证可能会导致法律问题，包括诉讼和对软件使⽤的限制。 出海业务海外市场重点合规项简述02 出海业务海外市场重点合规项–当地牌照/许可资质 1.是否需设⽴当地主体？在⽬标国家/地区开展业务或提供产品服务前，需确认当地法律是否强制要求设⽴境内实体。2.通信服务牌照/许可：出海业务涉及提供当地通信服务（如产品包含通信功能）,须申请该国通信业务经营许可证。3.强监管⾏业服务牌照/准⼊许可：出海业务涉及强监管⾏业（如⾦融、电信和医疗），部分法域需取得专项牌照或者准⼊许可。4.电⼦系统操作牌照/许可：出海业务涉及运营当地电⼦系统（如云平台运维），部分法域需申请电⼦系统操作资质。5.应⽤服务提供商（ASP）牌照/许可：出海业务涉及通过当地主体提供应⽤服务，是需要申请当地应⽤服务提供商类别许可。 牌照案例： 印尼通信与信息技术部（Kominfo）规定，所有为印尼⽤户提供服务的电⼦系统运营商（PSE）必须取得PSE证书。 适⽤范围⼴泛，常见类型包括：电⼦商务（如Shopee、Tokopedia）社交媒体（如Facebook、Instagram）流媒体平台（如Netflix、YouTube）⾦融科技服务（⽀付、借贷等）在线游戏与SaaS。 PSE分为两类：公共类PSE：⾯向公众提供服务，须在印尼设⽴有限责任公司（PT）。特定类PSE：服务于特定对象，注册要求较宽松，⼀般⽆需本地实体。 主要合规义务：数据本地化（公共服务类需在印尼设数据中⼼）遵守个⼈数据保护法接受Kominfo监管与审计响应政府合法请求。 违规后果：⾏政处罚：警告、服务屏蔽经济罚款。 实操案例： 腾讯医疗产品出海：(1）产品资质：明确产品是否属于医疗器械，并取得相应认证。；（2）商业实体：根据业务模式判断是否需设⽴当地法律实体。（3）合规扩展：识别其他义务，如消费者保护法、数据本地化等要求；（4）当地是否有AI相关的要求；（5）当地最佳实践 腾讯云城市峰会·无锡峰会 出海业务海外市场重点合规项–数据隐私合规 数据合规中的⾓⾊演化：出海业务场景与责任划分： 个⼈数据定义-任何与可识别的⾃然⼈相关的信息 数据控制者 •包括姓名、⾝份证号、出⽣⽇期、⽣物识别信息、定位数据、住址、电话号码、⽹络标识符、⼀个或多个特定于⾝体的因素包括独特的⾝体、⼼理、基因、精神状态、经济、⽂化、社会⾝份等能够直接或间接识别到⾃然⼈⾝份的信息 •收集、使⽤、处理数据的那⼀⽅；有权决定个⼈数据处理的⽬的与⽅式。•需满⾜前置条件，⽐如，需通知数据主体数据的使⽤⽅式和⽤途、征得数据主体的明⽰同意。•需遵守隐私法项下的其他义务：例如，需确保信息透明、确保数据跨境传输的合规性、如发⽣数据泄露事件，必须在指定时间（例如72⼩时）内通知监管机构、采取合理措施保护数据安全、保存处理活动的记录、就个⼈数据保护所设想的处理操作⽅式的影响进⾏评估等等。 •包括任何可⾃⾏使⽤的信息或者与其他信息结合起来⽤于识别个⼈⾝份的信息 数据隐私法规核⼼监管范围 数据处理者 监管对象：个⼈数据处理全⽣命周期 •扮演为数据控制者处理数据的⾓⾊。 •合法处理数据、不可超过控制者指⽰的范围。•同样需承担数据法规下的责任，但是义务⼀般⽐控制者较少。 数据安全数据保密性⽤户控制和透明度 数据披露跨境传输数据驻留 截⾄2025年1⽉，全球已有144个国家实施数据保护与隐私法。各国对违规⾏为的处罚频率与⼒度亦呈持续增强趋势。 腾讯云城市峰会·无锡峰会 违法罚则 有效的数据隐私合规普遍包括落实执⾏以下措施： 印度尼西亚：最⾼罚款额度为违规者年收⼊的2%. •实施有效的安全措施，防范未经授权的访问、数据泄露及⽹络攻击•实施加密技术、部署防⽕墙与⼊侵检测系统，并执⾏定期安全更新•遵守当地数据隐私保护法律法规•进⾏定期审计与评估，确保持续符合⽹络安全标准与法规要求•建⽴有效的事件响应计划与流程，及时报告⽹络安全事件•开展员⼯⽹络安全最佳实践培训，提升数据安全防护意识•确保数据的存储与处理符合当地数据驻留及主权法律规定 新加坡：违规者处以最⾼相当于其在新加坡年营业额的10%或100万新元（≈550万⼈民币），以较⾼者为准。 韩国：在特定情况下，违规者可能⾯临刑事处罚，最⾼可判处5年监禁或5000万韩元（约合⼈民币27万元）的刑事罚⾦。 欧盟：违规者处以最⾼相当于其全球年营业额4%或2000万欧元（≈1亿6500万⼈民币）的⾏政罚款，以较⾼者为准。 美国：联邦贸易委员会曾经对违反者对处以50亿美元罚款并实施全⾯隐私限制措施。 国际AI监管合规最新态势03 腾讯云城市峰会·无锡峰会 AI已渗透⾄各⾏各业，然⽽多国监管法规仍处于初步探索阶段。⽬前，多国正采取谨慎的“观望”策略。 透明度 偏见与公平控制 •⼈⼯智能交互、情绪识别和⽣物特征分类的披露•透明度声明•标记⼈⼯智能⽣成的内容 •数据采样、算法和历史偏见 •从数据采集到结果输出，必须消除"⿊箱"隐患，使⽤户能看清每个决策背后的"为什么 侵权风险 内容审核 •内容审核机制•违规内容“⼀键下架” •内容审核机制•违规内容“⼀键下架” 保护⼉童 数据隐私合规 •明确承认⼉童权利•制定了⼉童安全和风险评估框架 •训练数据合规•⽤户个⼈数据流转及跨境传输合规 腾讯云城市峰会·无锡峰会 腾讯云城市峰会·无锡峰会 规避AI监管风险的常规措施： •采⽤多样化、代表性数据集：使⽤⼴泛且具有代表性的数据集训练AI系统，以降低偏见风险。 •确保透明度与问责制:(1)建⽴清晰的⽂档记录和信息披露机制;(2)详细记录系统运⾏、决策过程及数据使⽤情况;和(3)引⼊解释性⼯具，使决策可理解、可质疑。 •实施⼈⼯监督：对⾼风险AI系统进⾏必要的⼈⼯监督与⼲预。 •定期风险评估：持续评估系统在偏见、安全漏洞及合规性等⽅⾯的潜在风险。 •保障数据合规性:(1)确保训练数据获得适当授权或属于公共领域;和(2)禁⽌使⽤未经明确授权的受版权保护材料。 •遵守内容标识规定：依据适⽤法律要求，明确标识AI⽣成内容。 谢谢！