你的跨境数据传输行为可能已违法,罚款可达全球年收入4%或5000万元,企业控制人请立即自查。

2025年初,一家国际酒店集团在中国遭遇了前所未有的法律挑战。当中国用户通过其APP预订缅甸酒店时,个人信息被传输至全球六个国家的接收方。用户愤而起诉,广州互联网法院一纸判决,宣告该集团违法——只因它未明确告知数据去向,未获得“单独同意”。

同月,欧洲隐私组织NOYB向五国监管机构投诉TikTok、小米等六家中国企业,指控其非法将欧洲用户数据传输至中国,可能面临全球营业额4%的天价罚款。

胡鹏律师提醒各位企业主:数据跨境传输已成监管“雷区”,一旦踩线,轻则百万罚单,重则业务停摆。

01 全球监管高压态势

01 全球监管高压态势

2025年的数据跨境监管呈现双轨强化特征。一方面,欧盟GDPR继续高举处罚大旗,最高罚款可达企业全球年营业额的4%;另一方面,中国《个人信息保护法》配套规则日益完善,形成“安全评估、标准合同、认证”三位一体的监管体系。

NOYB组织在2025年1月发起的六项GDPR投诉直指中国出海企业核心痛点:中国未被欧盟认定为“充分保护水平”国家,且企业依赖的标准合同条款(SCCs)在中国法律环境下可能失效。

胡鹏律师指出,企业主必须清醒认识到:任何涉及个人信息和重要数据的跨境流动,都已置于监管聚光灯下。不同法域要求各异,但处罚严厉程度却高度一致。

02 血泪教训,企业数据出境“踩雷”典型案例

02 血泪教训,企业数据出境“踩雷”典型案例

案例一:中国“个人信息跨境传输第一案”

案例一:中国“个人信息跨境传输第一案”

案号:广州互联网法院(2022)粤0192民初6486号;广州中院(2023)粤01民终33217号

法国某高酒店集团APP用户左某发现,其预订酒店时提交的个人信息将被共享至“全球多个地区接收方”,但隐私政策未明确具体主体和地域范围。法院认定:

  1. “一揽子”勾选不构成单独同意:APP仅通过勾选《客户个人数据保护章程》获取同意,未就跨境传输事项单独提示

  2. 告知内容不完整:仅表述为“多个国家的集团内部人员和部门”,未明确接收方具体名称及所在国家

  3. 营销目的跨境传输非法:向美、爱尔兰传输数据用于营销传播,不属于“履行合同所必需”

胡鹏律师特别提示:该案已收录至人民法院案例库(入库编号2025-07-2-008-001),具有司法示范效应,明确跨国公司必须进行隐私政策本地化,不能简单套用全球统一政策。

案例二:上海互联网医疗企业集体受罚

案例二:上海互联网医疗企业集体受罚

2025年4月,上海市网信办在“亮剑浦江·2025”专项行动中,处罚一批医疗服务类互联网企业,三大类问题突出:

  1. 管理制度缺位:未制定网络数据安全管理制度,未明确安全负责人,网络日志留存不足6个月

  2. 安全防护形同虚设:未开展网络安全等级保护测评,数据访问端口直接开放至互联网

  3. 数据“裸奔”存储:某企业650余万条患者敏感信息未加密,包括姓名、身份证号、病情等

服务器存在多条境外可疑IP访问记录,导致数据被窃取。胡鹏律师指出,这反映出部分企业对数据安全的漠视已达危险程度。

案例三:金融业数据合规漏洞遭重罚

案例三:金融业数据合规漏洞遭重罚

2025年6月,抚顺银行因八项违规行为被罚184万元,其中关键一项是“未按照规定落实数据安全相关管理规定”。时任风险合规部经理同时被追责罚款7.75万元。

胡鹏律师警示:金融业数据跨境流动风险极高,一旦发生客户信息泄露,不仅面临监管处罚,更将严重损害市场信任

03 紧急补救,企业数据跨境传输合规方案

03 紧急补救,企业数据跨境传输合规方案

路径一:准确适用出境机制

路径一:准确适用出境机制

根据最新发布的《汽车数据出境安全指引(2025版)(征求意见稿)》,企业应:

  1. 申报安全评估:出境重要数据、累计100万人以上个人信息等情形

  2. 选择标准合同或认证:累计10万-100万个人信息或不满1万敏感个人信息

  3. 利用“负面清单”便利:如北京自贸试验区企业赛诺菲通过负面清单备案,将出境方式由安全评估降级为标准合同备案

路径二:重构告知同意机制

路径二:重构告知同意机制

胡鹏律师建议借鉴“第一案”判决要旨:

  1. 单独同意必须“单独”:通过弹窗、单独勾选框等形式实现,不得混入隐私政策

  2. 告知必须具体明确:列明境外接收方名称、所在国家、联系方式及处理目的

  3. 提供便捷撤回渠道:允许用户随时撤回跨境传输授权

路径三:搭建安全防护体系

路径三:搭建安全防护体系

  1. 数据分类分级管理:区分敏感个人信息与一般信息,采取不同保护措施

  2. 技术防护双管齐下:对存储信息加密、去标识化,关闭非必要数据端口

  3. 建立应急预案:参照《网络产品安全漏洞管理规定》制定漏洞修补机制

胡鹏律师特别强调:数据安全不是成本而是竞争力。上海网信办已开放合规指导报名,企业应主动寻求专业支持。

04 人工智能企业的特别警示

04 人工智能企业的特别警示

随着DeepSeek等AI企业出海,数据合规面临新挑战。2025年初,意大利、爱尔兰监管机构迅速对DeepSeek数据使用发起问询。

胡鹏律师指出AI企业三大风险点:

  1. 算法透明度不足:未向用户说明AI处理个人数据情况

  2. 数据来源合法性存疑:训练数据跨境获取可能违反当地法规

  3. 政府访问风险突出:境外监管机构对中国法律框架下的政府数据访问权存在固有担忧

人工智能企业出海前必须完成数据合规评估,否则可能面临产品被禁用的毁灭性打击。

某国际酒店集团因跨境传输数据被判书面道歉并赔偿;上海医疗企业因数据“裸奔”被集体处罚;抚顺银行因数据安全漏洞被罚184万元。这些发生在2025年的真实案例,距离你的企业并不遥远

胡鹏律师再次强调:数据出境不是简单的技术操作,而是关乎企业生存的法律行为。全球监管机构已形成共识——数据主权不容侵犯,公民隐私必须捍卫

企业控制人当务之急:

  1. 立即开展数据跨境传输合规自查

  2. 重构告知同意机制,确保“单独明确”

  3. 建立数据分类分级保护制度

  4. 寻求专业法律意见,制定本地化合规方案

本文作者:胡鹏 律师
北京盈科(上海)律师事务所 | 专业领域:公司、股权、证券、金融产品及高净值人群个人法律服务。
胡鹏律师长期专注于公司法及相关商事法律实务,擅长处理公司治理结构设计、股权纠纷、投融资法律风险防控、合同争议解决等复杂法律事务,为众多企业提供专业、高效的法律服务。

胡鹏律师简介:
北京盈科(上海)律师事务所合伙人
执业证号:13101201010909303
上海市律师协会证券纠纷与争议解决委员会委员

免责声明:
本文由北京盈科(上海)律师事务所胡鹏律师撰写,仅供一般性参考,不构成针对特定事务的法律意见或建议。读者在面临具体法律问题时,应根据自身情况咨询胡鹏律师或其他专业律师获取正式法律意见。