海外绿地投资全析 数据安全与合规

海外绿地投资全析丨数据安全与合规近年来,中国企业通过绿地投资方式出海呈现显著增长趋势。绿地投资意味着需要更加重视在当地的合规经营,其中数据安全与合规值得特别关注。各国的个人数据保护制度对违法行为通常都设置了高额的罚款等行政处罚乃至刑事处罚中国企业在海外绿地投资时,若未充分理解并遵循当地的数据保护法规,则可能因未经授权的数据处理数据泄露等问题被处以高额罚款或其他形式的处罚。这不仅会直接影响企业的财务状况,还可能损害其品牌形象,导致市场信任度下降。另外,跨境数据流动限制对中国企业国际化运营也带来了较大影响。有些国家出于数据主权和国家安全的考虑,实施了不同程度的数据本地化政策,这使得企业需要建设本地数据中心或与当地合作伙伴合作。数据本地化政策增加了企业的基础设施建设成本,同时对企业的全球化数据整合能力也提出了全球日益严格的数据安全与合规监管,对中国企业的海外投资提出了严峻挑战。如何在复杂的全球数据监管环境中保障数据安全与合规,成为中国企业必须重视的问题。本文将重点介绍中国企业海外绿地投资的主要国家或地区以期有助于中国企业了解和遵守东道国个人数据保护要求防范和应对在海外绿地投资过程中的数据合规风险。赵新华赵新华合伙人公司业务部徐虹宇公司业务部12—、重点国家和地区个人数据保护立法概述根据联合国贸易和发展会议(UNCTAD)统计,目前全球190多个国家中,约150多个国家出台了数据隐私保护法律1。1.欧洲2018年5月,欧盟《通用数据保护条例》(GeneralDataprotectionRegulation,"GDPR")的正式生效实施,标志着全球个人数据保护监管进入新的时期。GDPR确立的数据保护基本原则、数据主体权利、处理者的主要义务以及跨境传输规则等,对世界各国和地区的个人数据保护立法产生了深远的影响。GDPR发布至今,欧洲地区在个人数据保护立法和执法方面仍扮演着先行者"的角色。此外GDPR的域外效力及其跨境数据传输充分性保护认定等规则进一步扩张其在全球的影响力。美国至今尚未形成联邦层面针对个人数据保护的综合性立法,但以加利福尼亚州为代表的美国诸多州已经制定本州的数据保护立法并逐步进入实施阶段。美国的法律体系包括联邦法律和州法律。联邦法律和州法律相互独立,各自有其适用范围和管辖领域。目前在联邦层面,美国尚未制定综合性的数据安全法律和个人数据保护法,但其在联邦层面制定了针对特定领域的隐私和数据安全法律,主要包括:适用于联邦政府及其雇员和分包商的《隐私权法》(privacyAct);适用于电信公司的《电讯法》(TelecommunicationAct)、《电子通信隐私法》(ElectroniccommunicationsprivacyAct);适用于医疗保健提供商的《健康保险携带和责任法案》(HealthlnsuranceportabilityandAccountabilityAct)等法律美国的部分州已颁布州一级的个人数据保护法规例如,加利福尼亚州颁布并已实施的《加州消费者隐私法》(californiaconsumerprivacyAct)和《加州隐私权法》(californiaprivacyRightsAct)。虽然美国尚未颁布联邦层面统一的个人数据保护法相关法律,但近年来美国政府对个人数据(尤其敏感个人数据)传输至包括中国(包括中国香港中国澳门)在内的一些受关注国家做了较为严格的限制。2024年2月28日,美国前总统拜登签署第14117号行政命令,即《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(ExecutiveorderonpreventingAccesstoAmericans'BulksensitivepersonalDataandunitedstatesGovernment-RelatedDatabycountriesofconcern)("《14ll7行政令》")。2024年12月27日,美国司法部发布了《防止受关注国家或受规制主体获取美国敏感个人数据和与政府有关的数据》(preventingAccesstoU.s.sensitivepersonalDataandGovernment-RelatedDatabycountriesofconcernorcoveredpersons)的最终规则("《14117最终规则》")。《14117最终规则》通过禁止或限制美国人"与"受关注国家"或"受规制人士"之间涉及大量敏感个人数据"或任何美国政府相关数据",以防止受关注国家"或"受规制主体"获取大量c美国人的敏感个人数据"或与美国政府相关的数据"。《14117最终规则》已于2025年4月8日生效,其中部分尽职调查审计和报告义务于2025年10月6日起实施。《14117最终规则》将对已在美国运营或将要出海美国的中国企业产生广泛的影响,并带来较大的合规挑战。中国企业需密切关注《14117行政令》及《14117最终规则》的实施情况,并积极梳理和排查现有业务,识别被禁止或限制的交易类型,准备相应合规方案,确保海外业务的稳定和持续发展。3目前在东南亚地区除柬埔寨、文莱、缅甸等国家外东南亚大部分国家都已发布专门的个人数据保护法律并逐步建立个人数据保护制度。下表是东南亚相关国家个人数据保护立法基本情况:《个人数据保护法》《个人数据保护法》(personalDataprotection(Amendment)Act)2012年泰国《个人数据保护法》(personalDataprotectionAct)2022年马来西亚《个人数据保护法》(personalDataprotection(Amendment)Act)2025年印度尼西亚《个人数据保护法》(personalDataprotectionLaw)2022年菲律宾2012年老挝《电子数据保护法》(ElectronicDataprotectionLaw)2017年越南《个人数据保护法令》(personalDataprotectionDecree)2023年44.中东近年来中东地区的数据保护相关立法不断加强例如阿拉伯联合酋长国(unitedArabEmirates,UAE)、沙特阿拉伯(saudiArabia)、阿曼(oman)等国家都建立了比较全面的法律框架以保护个人数据并加强网络安全。此外在中东地区消费者的数据隐私意识也在不断提升。下表是中东地区相关国家个人数据保护立法基本情况:沙特阿拉伯沙特阿拉伯《个人数据保护法》（PersonalDataProtectionLa《个人数据保护联邦法令》（PersonalDataProtectionFeder《隐私保护法》（ProtectionofPrivacyLaw）（Amendment13）埃及《个人数据保护法》（PersonalDataProtectionLa《个人数据保护法》（PersonalDataProtectionLa黎巴嫩《电子交易和个人数据法》（ElectronicTransactionandPersonalDataLaw）《个人数据保护法》（PersonalDataProtectionLa《个人数据隐私保护法》（PersonalDataPrivacyPr55.拉丁美洲拉丁美洲各国在个人数据保护领域的立法呈现多样性。目前大多数拉丁美洲国家都已经或正在制定数据保护法,但在制定和统一标准方面仍然存在差异。下表是拉丁美洲相关国家个人数据保护立法基本情况:《通用数据保护法》(GeneralpersonalDataprotectionLaw)(asamended墨西哥《保护私有主体持有的个人数据联邦法》(FederalLawontheprotectionof2010年哥伦比亚《个人数据保护法》(DataprotectionLaw)2012年阿根廷《个人数据保护法案》(personalDataprotectionAct)2000年智利2026年秘鲁《个人数据保护法》(personalDataprotectionLaw)201l年厄瓜多尔2021年多米尼加共和国《个人数据保护法》(personalDataprotectionLaw)2013年巴拉圭《个人信用数据保护法》(personalcreditDataprotectionLaw)2020年2巴西《通用数据保护法》自2018年至202l年分阶段生效·66.非洲在非洲个人数据保护的重要性日益增强。2014年,非洲大陆通过了《非洲联盟网络安全和个人数据保护公约》(《马拉博公约》)(AfricanunionconventiononcybersecurityandpersonalDataprotection)("Malaboconvention"),旨在促进非洲数据自由流动并敦促成员国建立个人数据保护的法律框架。《马拉博公约》于2023年6月8日生效相当多的非洲国家已经建立并继续完善其国内数据保护立法和监管框架。下表是非洲相关国家个人数据保护立法基本情况:《个人信息保护法》《个人信息保护法》(protectionofpersonalInformationAct)阿尔及利亚《在处理个人数据时保护个人的法律》(protectionofIndividualsinthe2023年埃及《个人数据保护法》(personalDataprotectionLaw)2020年埃塞俄比亚《个人数据保护公告》(personalDataprotectionproclamation)2024年肯尼亚《数据保护法案》(DataprotectionAct)2019年尼日利亚2023年坦桑尼亚《个人数据保护法》(personalDataprotectionAct)2023年赞比亚《数据保护法案》(DataprotectionAct)2021年7二、重点合规内容目前,虽然各东道国数据保护立法和执法存在不同程度的差异,但一些基本的制度和原则存在共通之处,比如各东道国数据保护基本制度通常会界定个人数据敏感个人数据或与之类似的概念,明确处理个人数据的合法性基础个人数据的跨境传输规则等。本部分将重点梳理和分析境外主要国家和地区数据保护基本制度中的一些共性原则和要求。对个人数据的界定是个人数据保护法律制度的基础。GDPR将个人数据定义为与已识别或者可识别的自然人(数据主体)相关的任何数据;可识别的自然人尤其是指通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份的自然人"。其他国家和地区对个人数据的定义总体上与GDPR类似,例如墨西哥《保护私有主体持有的个人数据联邦法》将个人数据定义为有关已识别或可识别的自然人的任何信息;但部分国家对个人数据的定义也存在自己的特色,例如南非《个人信息保护法》将个人数据除一般个人数据外,敏感个人数据也受到各国数据保护法律重点关注和保护。GDPR将敏感个人数据称之为特殊类型个人数据(specialcategoriesofpersonaldata)并原则上禁止处理(除符合法定例外情形),其范围具体包括种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格等相关个人数据(禁止在个人数据处理中泄露前述个人敏感数据),个人基因数据、生物特征墨西哥《保护私有主体持有的个人数据联邦法》将敏感个人数据定义为涉及数据主体最私密领域,或其不当使用可能引起歧视或给数据主体带来严重风险的数据,并明确敏感个人数据具体包括但不限于可能揭示种族或民族血统目前或未来的健康状况遗传信息、宗教、哲学和道德信仰政治观点和性取向等方面的个人数据南非《个人信息保护法》对敏感个人数据的列举总体上与GDPR类似,但其进一步将与数据主体被指控的犯罪行为或与被指控的犯罪行为有关的任何诉讼或与此类诉讼的处理有关的信息涵盖在敏感个人数据的范畴内。敏感个人数据由于承载了个人的隐私尊严以及基本权益,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身数字经济健康发展具有重要意义。由于敏感个人信息对个人数据主体权益影响较大,各国对敏感个人信息的处理都提出了更高的要求。除以上提及的GDPR外,许多国家都要求明确取得个人同意或符合其他法定条件才可处理敏感个人信息。例如中国的《个人信息保护法》要求取得个人信息主体进行个人权益影响评估等因此,企业在东道国进行绿地投资时,应特别注意东道国数据保护法对个人数据,尤其是对敏感个人数据的界定以及特别的处理要求和限制。82.处理个人数据的合法性基础处理个人数据需要具备合法性基础。各国数据保护法律制度所规定的处理个人数据的合法性基础存在一定差异但几乎都包括基于数据主体的同意处理其个人数据。例如,南非《个人信息保护法》规定处理个人数据的合法性基础包括:(1)经数据主体或数据主体为儿童时监护人的同意;(2)为签订或履行数据主体作为一方当事人的合同所需;(3)符合法律对责任方规定的义务;(4)为保护数据主体的合法权益;(5)为公共机构适当履行公法义务所需;(6)为追求责任方或获得信息的第三方的合法利益所需。部分国家数据保护法律制度对取得个人同意的法律基础存在特殊的规定例如,墨西哥《保护私有主体持有的个人数据联邦法》明确,除非另有规定,数据控制者在处理个人数据时必须取得数据主体的同意。数据主体可以随时撤回同意但撤回行为不产生回溯效力,数据控制者须在隐私声明中明确撤回同意的机制和程序。墨西哥《保护私有主体持有的个人数据联邦法》同时明确了必须适用取得个人明确同意这一合法性基础的具体情形:(1)法律明确规定;(2)收集财务或财产数据;(3)取得敏感个人数据;(4)数据控制者要求数据主体证明其同意时;(5)数据主体和数据控制者有此约定时。此外,值得注意的是,多数国家处理一般个人数据的合法性基础与处理敏感个人数据的合法性基础并不尽然一致,其数据保护法律再如,巴西《通用数据保护法》第七条及第十一条分别明确了处理个人数据及敏感个人数据的合法性基础,包括取得数据所有人同人数据的合法性基础,前提是该等正当利益不会侵犯需保护的数据主体的基本权利和自由,但基于履行控制者正当利益所必需处理目前,相当一部分国家的数据保护法律制度对将个人数据从本国跨境传输至其他国家和地区进行不同程度的监管,要求只有在符合要包括如下几类:充分性保护认定。即第三国已提供达到东道国要求的足够的数据保护水平。例如,欧洲GDPR明确充分性认定标准欧盟的数据控制者可以直接向已经获得欧盟委员会c充分性认定"的国家传输个人数据。泰国《个人数据保护法》明确了充分的数据保护标准,数跨境传输。9约束性公司规则。约束性公司规则主要适用于跨国集团公司内部数据跨境传输的情形。值得注意的是,约束性公司规则往往需要取得东道国相关数据保护执法机构的批准例如,泰国《关于根据<个人数据保护法>第29条跨境传输个人数据的通知》明确,若泰国的数据控制者或处理者与境外接收方在同一关联企业或集团中制定了个人数据保护规则(约束性公司规则),且该等约束性公司规则已通过泰国个人数据保护委员会的审查和认证则个人数据控制者或处理者可以向位于泰国境外且从事相同附属业务或在同一集团内的境外接收方传输个人数据。个人数据跨境传输标准合同。数据控制者与境外接收方签订个人数据跨境传输标准合同是数据控制者向境外传输个人数据的主要路径之一。例如,新加坡《个人数据保护条例》(personalDataprotectionRegulations2021)明确,数据控制者可以通过与境外接收方签订数据处理协议的方式向境外接收方传输个人数据,该数据处理协议应约定接收方履行与新加坡《个人数据保护法》同等的保护义务。4.数据主体权利的范围个人数据主体权利是各国数据保护法律制度的主要内容之一,数据保护法律制度明确个人数据主体享有的权利的同时,也明确了个人数据的控制者负有积极响应该等个人数据主体权利的义务目前,各国数据保护法律制度明确的数据主体权利主要包括:•更正权:数据主体有权要求数据控制者更正与其有关的错误的个人数据;•删除权:特定情况下,数据主体有权请求数据控制者删除与其相关的个人数据;•限制处理权:数据主体有权要求数据控制者限制对其个人数据进行处理;•可携带权:特定情况下,数据主体有权请求数据控制者将其个人数据转移给其他的数据控制者;部分个人数据主体权利的适用存在一定前提,例如数据主体行使删除权的前提往往需要:(l)数据控制者的处理目的已经实现;(2)数据主体撤回同意;(3)数据控制者处理个人数据不合法;(4)数据主体反对数据控制者的处理且数据控制者无其他法律基础继续处理个人数据。再如,可携带权通常适用于数据主体直接向控制者提供的数据,往往不包括数据控制者基于推导分析或响应数据主体权利是数据控制者的重要义务之一。例如新加坡《个人数据保护条例》明确规定,对于数据主体访问或更正其个人数据的请求数据控制者应在30天内回应。如果数据控制者拒绝数据主体的请求,需说明理由。数据控制者不合理拒绝数据主体行权请求或延迟处理的可能面临警告、责令整改、罚款等行政处罚。5.员工个人数据处理中国企业在海外进行绿地投资时,不可避免地会涉及处理当地员工的个人数据。基于员工个人数据的特殊性,不少国家对企业处理员工个人数据与外部消费者等数据设定不同的规定。GDPR赋予欧洲经济区国家结合本国劳动法律制定具体规则的权利。GDPR前言第155条阐明,成员国法律或集体协议(包括劳动协议)可以就在雇佣环境中处理员工个人数据制定具体规则,特别是以下情形下的处理规则:(l)基于员工同意处理其个人数据的适用情形;(2)招聘目的;(3)履行雇佣合同(包括履行法律或集体协议规定的义务);(4)工作的管理、规划和组织;(5)工作场所的平等与多样性;(6)工作中的健康与安全;(7)以个人或集体方式行使和享有与就业相关的权利和福利;(8)为终止雇佣关系之目的。GDPR第88条明确,成员国可以就员工个人数据的处理制定更加具体的规则。这些规则必须包括适当而具体的措施,以保障数据主体的人格尊严合法权益和基本权利,尤其是处理过程的透明度方面的措施。由于欧洲经济区各国的当地劳动法差异较大,个人数据保护规定和劳动法的叠加使合规处理员工个人数据变得相对复杂。例如,芬兰在2019年发布《工作生活隐私保护法》(ActontheprotectionofprivacyinworkingLife),要求企业仅可处理与员工雇主向员工提供的福利相关;以及(3)源于工作本身的特殊性质特别是在数据跨境流动的场景下,开展绿地投资的中国企业将东道国数据传回至中国时往