引言

近日,美国的14117行政令《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》正式生效,预示着全球范围内的数据主权博弈持续升级。可预见的是,围绕保护国家安全、公民个人信息安全而针对中国出海企业的监管执法活动也将日益凸显。

本文重点调研了近5年来我国出海企业在域外市场因个人信息保护合规或者数据安全问题遭遇监管挑战的执法案例。同时,通过剖析典型案例事由、执法依据和结果,折射欧盟、美国及亚洲近年来3大数据合规行政执法高压地带的执法特点,以供相关出海企业进行个人信息保护和数据合规建设参考。

一、概述

调研通过对公开行政处罚决定、司法判例及监管机构公示信息进行系统梳理,共识别出9起具有代表性的执法案例,涉及多个行业领域和主要经济体,主要调研结果汇总如下:

1. 涉案企业:包括抖音海外版(TikTok)、速卖通(AliExpress)、米哈游、拼多多海外版(Temu)等头部企业,其中Tiktok涉及5起案例;

2. 行业分布:涉及互联网平台、游戏开发、跨境电商及物流等企业;

3. 地域分布:覆盖欧盟、英国、美国、韩国等4个国家和地区。根据案例统计,欧盟针对我国出海企业的执法案例最多,共4起;美国和韩国各2起;英国1起。

4. 主要违规行为:涉及数据跨境传输违规、儿童隐私保护不当、敏感数据处理不当及未履行个人信息处理规则透明义务等行为

5. 被执法措施或结果:包括罚款、整改、限制产品销售等,其中罚款为主要执法措施。

我国出海企业被调查/执法案例分布图如下所示:

二、案例及域外三大执法高压带的特点分析

下文将聚焦欧盟、美国及亚洲三大主要市场的典型执法案例进行简要解析,包括TikTok欧盟天价罚单、米哈游美国儿童隐私罚款等代表性行政执法案例,揭示不同法域下的监管重点与合规红线,为出海企业提供参考。

(一)欧洲:严格性与全面性并重

欧洲以GDPR与英国为核心执法依据,其执法特点体现为高额罚款、域外管辖以及高度重视个人数据主体权利,以下通过具体典型案例加以说明。

1. TikTok因违反GDPR儿童数据保护规定被荷兰罚款75万欧元(2021年)

案件背景

荷兰数据保护局(DPA)对TikTok处以75万欧元罚款,原因是未妥善保护儿童隐私。尽管TikTok在荷兰有大量年轻儿童用户,但其隐私声明仅提供英文版本,未使用荷兰语,导致用户难以理解个人数据的收集、处理与使用方式。

执法依据

荷兰DPA依据《通用数据保护条例》(GDPR)第12条的透明度要求对TikTok处罚,特别是针对儿童的信息,必须使用清晰、易懂的语言。

处罚决定

TikTok因未向荷兰用户提供荷兰语隐私声明以及未能使用适合儿童理解的语言,最终被罚款75万欧元。

2. TikTok因违反儿童保护规定及其他条款被英国罚款1270万英镑(2023年)

案件背景

英国信息专员办公室(ICO)对TikTok进行了调查,发现其未能保护13岁以下儿童的隐私,未获得适当的家长同意,并未向儿童提供易懂的信息。

执法依据

ICO根据《英国通用数据保护条例》(UK GDPR)对TikTok处罚。具体违规行为包括:未获得13岁以下儿童家长同意(违反第8条和第6(1)条),未以儿童易懂的方式提供信息(违反第12条),以及未合法、公平和透明地处理数据(违反第5(1)(a)条)。

处罚决定

ICO最终决定对TikTok处以1270万英镑的罚款。

3. TikTok因违反GDPR被爱尔兰数据保护委员会罚款3.45亿欧元(2023年)

案件背景

2023年,爱尔兰数据保护委员会(DPC)对TikTok处以3.45亿欧元罚款,原因是其在2020年期间处理儿童数据时存在隐私保护问题。调查发现,TikTok平台存在“默认公开”设置和“家庭配对”功能设置不当,未能有效验证用户年龄。

执法依据

调查表明TikTok违反了GDPR的多个条款,包括数据处理原则(第5条)、控制者责任(第24条)以及透明度义务(第12条)。尤其是TikTok未能采取足够的技术措施保护儿童数据,且未能提供清晰、易懂的信息给儿童及其监护人。

处罚决定

爱尔兰DPC对TikTok处以3.45亿欧元的罚款,并要求其采取整改措施,如修改平台设置以防儿童数据默认公开、加强年龄验证机制,并改进信息透明度。

4. SAF LOGISTICS因违反GDPR被法国国家信息与自由委员会罚款20万欧元(2023年)

案件背景

SAF LOGISTICS是一家航空货运公司,其母公司位于我国。其因过度收集员工个人数据、处理敏感数据和犯罪记录不当,以及未能配合法国数据保护机构的调查,遭到罚款。

执法依据

法国国家信息与自由委员会(CNIL)发现SAF LOGISTICS违反了GDPR的多个条款,包括数据最小化原则(第5(1)(c)条)、敏感数据处理禁令(第9条)、犯罪记录数据处理禁令(第10条)及合作义务(第31条)。该公司收集了员工大量与招聘无关的信息,并未依法处理敏感数据和犯罪记录,且未能按要求提供翻译资料,妨碍调查。

处罚决定

CNIL对SAF LOGISTICS处以20万欧元罚款。

5. noyb针对TikTok、AliExpress、希音、Temu、微信和小米的数据传输行为提起GDPR投诉(2025年)

投诉原因

奥地利隐私组织noyb对TikTok、AliExpress、希音等6家企业提起GDPR投诉,指控其非法向中国传输欧盟用户数据。投诉指出,部分企业虽在隐私政策中承认数据传输至中国,但均未充分回应用户的数据访问请求,违反GDPR第15条规定。noyb认为这些传输行为不符合GDPR第44条关于跨境数据传输的要求,因欧盟认定中国数据保护水平不足。

诉求

该组织要求监管机构立即叫停数据传输、责令整改并处以罚款。

律师观察

欧盟的执法重点主要集中在儿童隐私保护、数据收集处理的最小必要原则的遵守以及数据跨境传输等方面。英国脱欧后沿用GDPR框架(即《英国通用数据保护条例》),其关键定义、数据保护原则、数据控制者和处理者的义务、行政处罚机制等与欧盟GDPR相似。可预测的是,GDPR为执法核心的欧盟区域下,针对非本土企业涉及个人数据的保护的执法案例将会更加频繁,企业应当尤其注重数据跨境以及未成年人个人数据的合规。

(二)美国:分散立法与国家安全导向

美国的数据隐私立法近年来呈现快速发展的态势,尤其是在州一级层面。目前,已有14个州实施了全面的数据隐私法,另有6个州的法律将在2025年至2026年初生效。这种分散化的立法模式使得企业在美国运营时面临复杂的合规环境,需同时应对联邦与各州的不同要求。以下选取两个典型案例加以说明:

1. Zoetop因数据泄露不当处理被罚款190万美元(2022年)

案件背景

2022年,纽约州总检察长办公室对希音母公司Zoetop处以190万美元罚款,原因是其在2018年遭遇黑客攻击后未妥善处理数据泄露事件。该事件导致3900万个希音账户的登录信息被盗,其中包括约80万纽约州居民的个人数据。然而,Zoetop未及时通知受影响的用户,且在泄露发生后谎称未发现敏感数据泄露。

执法依据

纽约州依据《制止黑客攻击和改善电子数据安全法》(SHIELD Act)对Zoetop进行处罚。该法律要求为纽约州居民提供服务的企业采取合理的安全措施,防止数据泄露。Zoetop的违规行为包括未及时通知所有受影响用户,并且未采取有效的安全防护措施。

处罚决定

Zoetop被罚款190万美元,并要求采取措施提升数据安全,包括实施严格的密码管理系统、加强网络安全监控和制定应急响应计划。

2. 米哈游因违反儿童隐私法和欺骗性营销被罚款2000万美元(2025年)

案件背景

2025年,米哈游因其在美国运营的游戏《原神》违反了《儿童在线隐私保护法》(COPPA),被美国联邦贸易委员会罚款2000万美元。米哈游未履行面向13岁以下儿童的在线服务在收集个人信息前通知父母并获得同意的义务,直接收集儿童的个人信息并与第三方共享,严重违反了COPPA。

执法依据

COPPA要求企业在收集儿童个人信息前必须向父母提供通知并获得可验证同意。此外,企业还需采取措施保护儿童数据安全,并禁止未经授权共享儿童信息。

处罚决定

米哈游被罚款2000万美元,并被禁止向未经父母同意的16岁以下未成年人销售虚拟物品(如抽卡),同时要求删除从13岁以下儿童收集的个人信息。公司还需遵守COPPA的通知和同意要求,并停止进行虚假宣传和不当销售。

律师观察

儿童隐私和健康数据等高敏感数据的保护成为美国政府的重要关注点。国会中的支持者将保护社交媒体上的儿童隐私列为优先事项,联邦贸易委员会的新领导层也对此表示支持。健康数据隐私同样备受关注。多个州正在效仿华盛顿州的做法,加强或制定专门的健康数据隐私法律。

总体而言,美国的数据隐私立法与执法呈现出多层次、多领域的复杂态势。企业需密切关注联邦与州法的动态变化,以应对不断升级的合规挑战。可预见的是在14117行政令及配套实施规则生效后,“数据脱钩效应”将持续强化,美国的执法领域可能将聚焦与芯片、AI大模型等高科技等中美竞争主战场开展一些列的举措,相关的企业在数据跨境传输、敏感数据保护等方面都将落入被执法的高压范围。这将进一步挑战我国出海企业的合规能力和应变策略。

(三)亚洲:立法快速完善与执法灵活性并存

亚洲地区的数据隐私法呈现出显著的立法活跃度与趋同化趋势。多个国家正在实施或修订其隐私法,普遍借鉴了欧盟GDPR的核心原则。目前,该地区的执法实践仍处于发展阶段,其中韩国的执法案例较为典型,具体如下:

1. TikTok因违反韩国儿童数据保护法和跨境数据传输规定被罚款1.86亿韩元(2020年)

案件背景

2020年,韩国通信委员会对TikTok展开调查,发现其在2017年5月31日至2019年12月6日期间,未经法定监护人同意,收集了至少6007条14岁以下儿童的数据。同时,TikTok未向用户告知其个人数据被传输至境外的事实。

执法依据

根据韩国《个人信息保护法》,企业在收集儿童数据时必须获得法定监护人的同意,并且需要告知用户数据的跨境传输情况。然而,TikTok未经同意收集儿童数据且未告知用户数据跨境传输情况。

处罚决定

韩国通信委员会对TikTok处以1.86亿韩元的罚款,并要求其改进数据处理方式。

2. AliExpress因违反韩国隐私法被罚款约20亿韩元(2024年)

案件背景

2024年,韩国个人信息保护委员会对阿里巴巴旗下的AliExpress平台处以总计约20亿韩元罚款。AliExpress未采取必要保护措施,将韩国消费者的个人信息传输给约18万名海外卖家,且未充分告知消费者数据传输细节。

执法依据

根据韩国《个人信息保护法》,电商平台在将消费者数据传输至海外时,必须获得消费者同意,并披露数据传输的目的、接收方信息及保护措施。此外,平台还需在合同中纳入隐私保护条款。

处罚决定

AliExpress被合计罚款约20亿韩元。韩国个人信息保护委员会要求AliExpress改进数据保护措施,包括在合同中加入隐私保护条款、遵守自律规范、加强信息披露透明度等。

律师观察

尽管法律细节上存在差异,亚洲隐私保护相关立法的共同趋势是其规定的罚款金额显著上升,且多以企业营业额的一定比例计算。此外,日韩与新加坡近年来个人数据保护的执法紧跟欧美步伐,着手对非本土的外国企业开展执法行为。总体而言,亚洲不同国家的隐私法在趋同中保留独特性,企业需在区域化合规策略中兼顾本地化要求。

结语

在近年来全球数据隐私保护执法趋严的态势下,出海企业应当将数据合规提升至战略高度,深入理解目标市场的监管要求,将合规要求深度融入产品设计、数据流转和业务运营的全流程。只有将目标市场的监管要求内化为企业运营的基本准则,方能实现业务合规和可持续发展。

本团队将持续跟踪并研究欧盟、美国等主要国家和地区的数据合规领域的执法案例,尤其是针对中国出海企业的相关案件,动态揭示各国监管的执法重点和监管水位。

作者:许瑞凤 王子非

审稿:梁艳芬

(文中观点不代表北源律师事务所的观点或法律意见)

律师介绍

/黄亚英律师 /

北源律所主任

二级法学教授、博士生导师

深圳市人大常委会首席立法专家

深圳市七届人大监察司法委员会委员

深圳国际仲裁院理事兼仲裁员

广东省人民政府立法咨询专家

中国国际经济法学研究会副会长

曾任深圳大学法学院院长,中共深圳市委首届法律顾问

/梁艳芬律师 /

北源律所创始合伙人、执行主任、数据合规团队负责人

具有数据交易合规师以及国际认证EXIN DPO(数据保护官)资质,曾获2022年度深圳市优秀青年律师、2023年度深圳律协优秀委员、2024年度广东律协优秀委员、律新社2024年度数据合规领域品牌之星实力律师、律新社2024年度特别推荐杰出合伙人100佳,是中国科学技术法学会理事、中国信通院云大所“可信人脸应用守护计划”专家委员、广东律协互联网金融法律专业委员会委员、深圳律协数据合规法律专业委员会委员、前海律工委数据合规中心主任。参与过《个人信息处理法律合规性评估指引》《人脸信息处理合规性操作指南》《儿童智能手表个人信息权益和保护指南》等多项标准的起草,是国家某监管部门个人信息保护试点中承办最多家评估企业的主办律师,具有丰富的数据合规理论及实践经验。

/许瑞凤律师 /

北源数据合规团队主办律师

伦敦国王学院法律硕士,具有注册信息隐私专业人员(CIPP/E)认证欧洲隐私保护专家和注册信息系统审计师CISA资质,是广东省网络与数据安全纠纷人民调解委员会法律专家、深圳市前海合作区律师工作委员会数据合规中心委员。曾任职于国内某头部智能硬件设备上市公司综合法务岗、英国某上市集团中国区域合规负责人岗,律师执业期间主办多项数据安全、个人信息保护、人脸数据保护、算法及大模型合规治理、网络信息内容安全和未成年人网络保护等产品合规项目,行业领域覆盖金融、零售、互联网、智能硬件、物流、医疗、交通运输等,具备丰富的企业合规实务经验。

/李林兴律师 /

北源数据合规团队主办律师

具有专利代理师资格,曾任职多个头部互联网企业,深刻理解企业数据和信息技术的治理,具备企业合规项目经验,能从技术与法律角度帮助企业解决疑难复杂问题以及落地执行。有扎实的网络安全合规知识,熟悉国内外有关信息安全管理标准、行业规范以及风险管理最佳实践。律师执业期间参与多项个人信息、人脸数据等标准或白皮书的起草,主导或实施了多个数据安全、个人信息保护、人脸数据专项、算法治理、IT合规审计等多个项目。

/王曼婷律师 /

北源数据合规团队专职律师

圣路易斯华盛顿大学法学硕士,执业期间专注于数据合规、资本市场等新兴法律服务领域,主导或参与了多个企业的个人信息保护影响评估和合规审计、数据安全、算法治理项目,行业领域覆盖金融、互联网、物流、医疗、能源等,深刻理解企业隐私保护和合规治理,具备丰富的法律尽职调查经验。曾就职于某资本市场知名律所,期间负责新能源、石油、军工等行业的投资并购项目,参与制造业、医药、电力等领域企业的IPO和再融资项目,为境内主板、创业板多家上市公司提供常年法律顾问服务。

/徐以秦律师 /

北源律所涉外团队专职律师

华东理工大学法学学士,悉尼大学法律硕士。徐律师于执业之初就从事知识产权与数据合规业务,曾就职于知名律所,并处理过多个数据合规项目,服务的客户包括国企、科技企业、互联网企业等。

/王琛 /

实习律师

范德堡大学法律硕士,具有注册信息隐私专业人员(CIPP/E)认证欧洲隐私保护专家、注册隐私信息管理经理(CIPM)及高级企业合规师资质。参与多个个人信息安全合规评估、数据安全合规评估、数据出境安全风险评估、算法推荐技术合规评估项目,在数据法领域具备扎实的理论与实践结合能力。

/王子非 /

实习律师

根特大学法律硕士,专注于互联网与信息技术法、网络安全与数据保护领域,参与多个企业的个人信息保护影响评估、算法备案及数据合规体系建设等项目,涵盖数据处理全生命周期合规管理,具有深厚的理论基础和实践能力。

/石双双 /

实习律师

香港大学法律硕士,参与了多家企业的个人信息保护合规评估及算法合规评估专项工作,对企业在数据安全防护、隐私保护及算法合规等方面的需求具有深刻理解。其曾就职于某知名律所,为多家上市公司提供改制重组、证券发行、兼并收购、投融资、股权激励、日常合规等全方位资本市场法律服务以及民商事争议解决服务,服务客户类型覆盖国有企业与民营企业、融资主体与投资主体、初创公司与上市公司、制造业与服务业等。

声明:本文来自北源有数,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。