适用场景
计划或已经开展海外业务、涉及用户数据处理、使用人工智能技术或进行数据跨境传输的中国企业,尤其在业务扩张和产品上线阶段需要重点关注。
核心要点
1. 安全是发展底线,立法持续强化
2023年网络安全与数据安全立法占比合计约三分之二,表明‘安全’仍是监管核心。企业出海必须将网络安全、数据安全作为业务基石,不可触碰监管红线。
2. 数据要素价值开发进入快车道
国家数据局成立,数据资产‘入表’等机制推动数据要素市场化。北京、上海、浙江等地立法活跃,出海企业可关注数据知识产权登记与交易机会,挖掘数据资产价值。
3. 数据出境监管优化,AIGC监管元年开启
数据出境安全评估、标准合同备案机制已落地,监管部门正探索更便利的跨境流动方案。同时,生成式人工智能服务迎来专门监管,大模型需通过备案方可上线。
4. 行业与地方监管深化,执法常态化
电信/互联网、金融、汽车、医疗是监管重点行业。地方立法占比大幅提升至约35%,北京、上海、广东、浙江最为活跃。执法程序日益规范,企业面临常态化合规压力。
实务建议
- 立即梳理业务涉及的数据跨境场景,评估并选择合适的数据出境合规路径(安全评估、标准合同或认证)。
- 若业务涉及生成式人工智能(AIGC),务必关注大模型备案要求,确保服务上线前完成合规流程。
- 重点审视在电信、金融、汽车、医疗及餐饮外卖、零售等监管活跃行业的业务合规性。
- 关注业务主要所在地的地方性数据法规,特别是北京、上海、广东、浙江的立法动态。
- 建立内部数据资产台账,探索数据知识产权登记与合规交易的可能性,为‘数据资产入表’做准备。
- 建立健全个人信息保护合规审计制度,并特别关注未成年人个人信息保护的特殊要求。
- 定期跟踪网信、工信等部门发布的行政执法案例与程序规定,将合规要求融入日常运营。
风险提示
- 误区:认为国内数据合规与出海无关。注意:中国数据出境监管同样约束出海企业的国内数据处理活动。
- 误区:只关注目的国法律,忽视中国监管。注意:企业作为中国实体,必须同时遵守中国在网络安全、数据出境等方面的强制性规定。
- 注意事项:数据合规立法已进入‘深水期’,行业细则和地方条例层出不穷,静态的合规策略无法应对动态监管。
- 注意事项:AIGC等新技术合规存在滞后性,在相关细则明确前,应采取审慎原则,避免野蛮生长带来的监管风险。