◎文 《法人》杂志全媒体记者 白馗 见习记者 李辽

大数据时代，跨境电商作为“重数据资产”企业，掌握着境内外海量用户的购买消费记录和隐私信息。在数据安全和隐私保护愈发受到重视的当下，一些国家和地区出台了相关法律法规。跨境电商企业若未能严格遵守，不仅会损害商业信誉和品牌形象，还会削弱自身的市场竞争力和发展潜力，甚至面临高额罚款等严重风险。对于跨境电商企业来说，跨境数据合规不再是一个可选项，而是必须正视并解决的关键问题。

中国开展多项探索

近年来，跨境电商成为发展速度最快、带动作用最强的外贸新业态之一。根据海关总署最新发布的数据，2024年，中国跨境电商进出口2.63万亿元，增长10.8%。该行业的快速发展，使数据跨境流动的频率和规模不断增加，数据涉及的领域也愈发广泛。

▲2024年12月30日，跨境电商平台、服务商集中在海南省海口市亮相。CFP

近日，北京市康达律师事务所高级合伙人苟博程在接受《法人》记者采访时说：“大数据、人工智能、区块链等技术的应用是把双刃剑，一方面提高了数据处理和传输的效率，降低了数据跨境成本，另一方面也为跨境电商带来了数据安全和隐私保护的新挑战。”他认为，跨境电商企业需要更加注重数据出入境的合规管理，以确保业务的合规性和可持续发展。

苟博程表示，网络安全法、数据安全法、个人信息保护法三部法律构成了中国网络信息空间治理和数据保护的基本法律框架，也为跨境电商数据出入境提供了基本的法律遵循。对于数据出境活动，2022年施行的《数据出境安全评估办法》明确了数据出境安全评估的具体规定，提出了事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

该办法出台后，企业界积极参与。2023年5月，江苏省企业焦点科技股份有限公司“中国制造网外贸电商平台业务”通过国家网信办数据出境安全评估，成为跨境电商领域全国首个数据合规出境案例。

国家数据专家咨询委员会委员、北京交通大学信息管理理论与技术国际研究中心教授张向宏认为，为支持数据跨境流动，目前中国正在探索更大力度的数据跨境开放举措。2024年3月，国家网信办发布《促进和规范数据跨境流动规定》（以下简称“规定”），明确了国际贸易、跨境运输、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，在不包含个人信息或重要数据的情形下不需要履行数据出境制度。规定还将跨境购物、跨境汇款、机票酒店预订、办理签证等场景向境外提供个人信息免予纳入申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证范畴，同时还支持自贸试验区制定数据出境管理负面清单，探索便利化数据跨境流动管理机制，为国际数字服务贸易合作创造有利条件。

目前，北京、天津自贸试验区数据出境负面清单已备案实施，对汽车、医药、零售、民航等领域数据出境便利化流动发挥着积极作用，部分企业已通过负面清单实现高效便捷数据出境。其他省份也正在加快制定出台自贸试验区数据出境负面清单。出口环境的优化为跨境电商提供了更加便利的条件。

2024年12月31日，在国家数据局举办的新闻发布会上，中央网信办网络数据管理局副局长王琦称，规定出台后，数据出境安全评估项目数量同比下降约60%，个人信息出境标准合同备案数量同比下降约50%。

为指导和帮助企业高效合规开展数据出境活动，国家网信办出台的《数据出境安全评估申报指南》在2024年更新发布，对企业需要提交的申报材料进行优化简化，并上线数据出境申报系统。王琦称，企业从线上申报到收到评估结果平均时长不到30个工作日，相比《数据出境安全评估办法》规定的45个工作日大幅缩减。

同时，多地也在积极行动，北京、上海、广东广州、浙江杭州等地专门设立了数据出境服务中心和服务平台，为企业提供高质高效的合规指导。北京、上海、广东深圳等16个城市还举办了数据跨境流动政策宣讲会，系统解读现行政策标准和实践案例，全国共有2400多家企业参加培训。

王琦介绍，截至2024年12月，国家网信办共完成安全评估项目285个，个人信息出境标准合同备案1071个。其中，安全评估项目未通过评估的27个，占整体比例不到10%。

国际监管逐步收紧

国内在数据跨境开放方面进行了诸多探索，但国际上对数据跨境活动的监管在逐步收紧。为保障本地数据安全，一些国家和地区出台了相关法律法规，数据合规制度数量增长，监管执行力度增强，管辖范围逐步扩大。跨境电商由于涉及大量个人数据和交易信息，成为国际数据合规监管的重点领域。

张向宏介绍：“特别是2024年年底，个别国家出台了一些法律法规，逐步加强对数据跨境活动的限制，大大提高了中国企业在当地开展数据相关业务的合规门槛。”

由于不同国家和地区对数据隐私和保护的法律法规存在差异，对数据合规的监管力度及处罚标准可能不同，在实际执行中存在不确定性，导致跨境电商企业需要面对复杂的法律环境，在面临合规问题时难以预测和应对。

北京瀛和律师事务所高级合伙人、国际法律事务中心主任陈栋告诉记者，以欧盟的《通用数据保护条例》（GDPR）为例，其对个人数据的保护设定了极为严格的标准，但其他一些国家的相关规定相对宽松。同时，各个国家和地区的监管机构对于数据跨境流动的要求以及审批流程也大相径庭。企业需要深入且细致地了解这些复杂多样的规定，在面对不同的监管要求时灵活应对，无疑给企业的运营带来了诸多挑战。

值得注意的是，数据的主权和管辖权在跨境电商数据出入境中是一个复杂的问题。张向宏介绍：“不同国家可能对数据的主权和管辖权有不同的解释和要求，导致企业在数据出入境时面临不同法域的法律冲突。企业需要投入大量人力、物力和财力来了解和遵守不同国家的合规要求，无疑增加了企业运营成本。”

“的确，各个国家和地区的政策都在变化，可能今年对企业没有跨境数据合规的要求，明年就会有相关要求。目前，如果我们有新种类商品销售到欧盟国家，会提前向欧洲清关公司进行相关咨询。”跨境电商企业和光商事（厦门）贸易有限公司总经理干宙对记者说。

由于各国数据保护法规的差异和传输限制，跨境电商数据在出入境时可能面临数据流通不畅的问题。苟博程说：“部分跨境电商企业在开展境外业务时，缺乏对境外市场和业务场景的深入了解，难以准确把握数据出入境的需求和风险，导致数据跨境流动的效率不高。”他还提到，由于数据种类繁多、分类困难，而跨境数据又包括个人信息、商业数据、技术数据等，且不同数据的法律属性和保护要求不同，企业在实际操作中，难以准确识别数据和对数据进行明确分类，从而影响数据出入境的合规性。

数据在跨境传输的过程中，时刻面临着被窃取、篡改以及泄露等严重的安全风险。干宙称：“目前大部分跨境电商企业都还没有跨境数据合规的意识，很多甚至没有听说过。特别是有些B2C销售模式的跨境电商企业，直接将商品从国内邮寄给国外用户，如果没有跨境数据合规意识，很难做到信息不泄露。”

对此，陈栋认为，“为了切实保护数据的安全性与完整性，企业必须采取行之有效的安全措施，尤其要高度警惕网络攻击、黑客入侵等潜在威胁。然而，实施这些安全措施往往需要较高的技术水平，会进一步加重企业的运营负担”。

企业如何应对

面对目前的局势，跨境电商企业该如何应对？张向宏建议，首先要提高员工意识。“加强员工培训，提高员工对数据合规的认识和重视程度，通过培训和教育增强员工的数据保护意识和技能，确保员工能够正确理解和执行企业的数据合规政策。”

建立数据合规管理体系迫在眉睫。陈栋表示，跨境电商企业需要制定完善的数据管理制度和流程，明确数据的收集、存储、使用、传输、共享等环节的操作规范和责任分工，确保数据处理活动符合法律法规的要求。同时要进行数据分类分级管理：对企业内部的数据进行全面、细致的梳理，并按照科学合理的标准进行分类分级，确定哪些数据属于个人信息，哪些属于重要数据等，并依据不同类别的数据特点，采取针对性的保护措施。

他建议，企业在实际操作中可以签订标准合同或进行认证，如果涉及个人信息出境，可以选择与境外接收方签订《个人信息出境标准合同》，或者按照规定进行个人信息保护认证，明确双方在数据保护方面的权利和义务；定期进行审计和监控，建立健全有效的审计和监控机制，对数据跨境流动的全过程进行实时跟踪和详细记录，以便及时发现并妥善解决潜在的安全和合规问题，确保数据跨境流动安全、有序进行；在与境外支付服务提供商、物流供应商等第三方共享数据时，跨境电商企业需确保第三方具备足够的数据保护能力。

张向宏还提到技术手段的运用。“跨境电商企业应积极创新，利用大数据和人工智能等先进技术手段，采用自动化的数据处理和分析工具，降低人为错误和合规风险，提高数据合规的效率和准确性。”

编审｜渠 洋

责编｜惠宁宁

校对｜张波 张雪慧