《匯業律師事務所：2025中國企業出海：?數合規案例分析報告（42頁）.pdf》由會員分享，可在線閱讀，更多相關《匯業律師事務所：2025中國企業出海：?數合規案例分析報告（42頁）.pdf（42頁珍藏版）》請在三個皮匠報告上搜索。

1、 中國企業出海：數合規案例分析報告中國企業出海：數合規案例分析報告 匯業律師事務所匯業律師事務所 2025 年年 2 報告摘要報告摘要 .本報告梳理了近年在海外被處罰、禁、投訴的中國出海產品，涵蓋 TikTok、Temu、小、微信、速賣通、DeepSeek 等，海外國家或地區集中為英國、歐盟、美國、澳利亞、加拿、韓國等地。.出海數據合規險的關注點集中于以下：)告知和同意義務的履不合規；)數據處理和共享超出業務所必需的必要范圍；)未在歐盟境內實際設代表或者設數據控制者；)超出必要范圍或未經同意處理 cookie 數據和其他營銷數據；)數據跨境傳輸中國存在被中國政府當局限制訪問的險，境外的數據難以

2、在中國獲得與 GDPR 同等平的保護；)境外的個數據權利響應機制缺位；)未經或監護同意處理未成年數據，未履相應的告知義務，未設置年齡驗證機制阻未成年不當使產品，未向或監護提供便捷的刪除機制；)未采取恰當的數據安全和絡安全措施，未及時監督和檢查內部的數據管理流程；)未對使智能處理個數據的情況進說明以履透明度義務。錄錄 第部分第部分 中國出海產品在海外被投訴中國出海產品在海外被投訴/禁禁/處罰案例概覽處罰案例概覽 .英國.歐盟.美國.澳利亞.加拿.韓國.第部分第部分 出海數與智能場景險出海數與智能場景險 .告知和同意義務的履.數據處理問題.COOKIE和其他數據跟蹤問題.數據控制者的真實性或歐盟境

3、內代表的缺位.數據跨境傳輸險.數據主體救濟.未成年個數據的保護.數據安全措施的采取.智能的透明度.1 第部分第部分 中國出海產品在海外被投訴中國出海產品在海外被投訴/禁禁/處罰案例概覽處罰案例概覽 2 1.英國英國 投訴投訴/禁用禁用/處罰對象處罰對象 區域區域 監管機監管機構及其構及其行動行動 基本情況基本情況 時間時間 TikTok 英國 英國信息專員辦公室（ICO）罰款1 1.事件背景：2018 年 5 月至 2020 年 7月期間，英國信息專員辦公室（ICO）發現 TikTok 違反 UK GDPR，大量 13 歲以下兒童使用其平臺。2.違規情況 a.兒童注冊問題：盡管 TikTok

4、服務條款禁止 13 歲以下兒童創建賬號，但 ICO 估計在 2020 年英國仍有多達 140 萬 13 歲以下兒童使用了該平臺，平臺未能有效阻止這部分兒童注冊。b.數據處理問題：TikTok 在未經父母或監護人同意的情況下處理兒童數據，并且未能充分檢查識別未成年用戶持有的賬戶并刪除。c.信息提供問題：未能以易于理解的方式向用戶提供有關數據收集、使用和共享的適當信息，也未能確保英國用戶的個人數據以合法、公平和透明的方式得到處理。3.處罰結果：2023 年 4 月 4 日，ICO 對 TikTok 信息技術英國有限公司和 TikTok 公司處以 1270 萬英鎊罰款。2023.4.4 英國 Ofc

5、om 罰款2 1.事件背景：2023 年，Ofcom 為撰寫一份關于兒童在線安全的報告，要求 TikTok 提供其家長控制功能“家庭配對”的使用數據，以了解其平臺為防止兒童接觸到有害內容而采取的安全措施。2024.7.24 1 https:/ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/。2 https:/www.ofcom.org.uk/online-safety/protecting-children

6、/tiktok-fined-1.875m-for-providing-inaccurate-data-on-safety-controls。3 投訴投訴/禁用禁用/處罰對象處罰對象 區域區域 監管機監管機構及其構及其行動行動 基本情況基本情況 時間時間 2.違規情況：TikTok 首次提交的數據不準確，Ofcom 針對 TikTok 是否未履行回應法定信息要求的職責展開調查，發現 TikTok 存在數據管理流程失誤，一方面內部檢查不到位，導致提交的數據不準確；另一方面，TikTok 從發現數據問題到提請 Ofcom 注意之間的時間間隔長達三個多星期。最終 TikTok 提交準確數據的時間距離原

7、定截止日期超過七個月。3.處罰結果：TikTok 的行為違反了2003 年通信法第 s368Z10 條和第 s368Y 條規定的職責，即未能全面配合法定信息請求。Ofcom 決定對 TikTok 處以 187.5 萬英鎊的罰款，該款項將上繳英國財政部。由于 TikTok 主動報告錯誤并積極采取措施改進內部流程，接受調查結果并同意和解，罰款金額較原計劃削減了 25%。4 2.歐盟歐盟 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 TikTok/法國 法國 CNIL 罰款3 1.事實背景：CNIL 在 2020 年

8、5 月至 2022 年 6 月期間對抖音網站（但不是其移動應用程序）進行調查，發現抖音信息技術英國有限公司和抖音技術有限公司未能遵守法國數據保護法第 82 條規定。2.處罰原因：在實踐中，用戶需幾次單擊才能拒絕所有 cookie。抖音提供的拒絕同意機制阻止了用戶拒絕 cookie，反而鼓勵他們接受所有cookie。CNIL 認為用戶非自愿同意，抖音違反了法國數據保護法第 82 條，同時用戶也沒有充分了解使用 cookie 的目的。3.處罰結果：罰款 500 萬歐元。2022.12/意大利 意大利競爭管理局（AGCM）罰款4 1.處罰原因：AGCM 發現抖音傳播的內容可能威脅到未成年人和其他弱勢

9、群體的身心安全，且沒有采取充分措施避免，也未遵從其內部發布的安全指南，相應的指南也未考慮到未成年人的認知弱勢。抖音通過基于用戶算法分析的“推薦系統”傳播上述有害的內容，增加用戶黏性以提高廣告收入。2.處罰原因：AGCM 對抖音公司（TikTok）的罰款為 1000 萬歐元（1100萬美元）。2024.3.14/愛爾蘭 愛爾蘭數據1.事實背景：DPC 于 2020 年 7 月 31 日至 2020 年 12 月 31 日期間調查2023.9 3 https:/ https:/www.agcm.it/media/comunicati-stampa/2024/3/PS12543-。5 投訴投訴/禁禁

10、用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 保護委員會（DPC）罰款5 TikTok 遵守 GDPR 的情況，包括默認公開設置、“家庭配對”功能相關設置情況和年齡驗證機制。2.處罰原因：a.兒童賬戶默認為公開，任何人均可查看兒童用戶發布內容；b.“家庭配對”功能允許非兒童用戶（無法被驗證為父母或監護人）將其賬戶與兒童賬戶配對，非兒童用戶可開啟 16 歲以上兒童用戶的直接功能消息；c.未能向兒童用戶提供足夠的透明度信息，包括公共賬戶內容可被非注冊用戶訪問等，呈現信息內容模糊等；d.存在“暗黑模式”誘導用戶在注冊過程中和發布視頻

11、時選擇不利于數據保護選項。3.處罰結果：處以 3.45 億歐元（3.7 億美元）的罰款，并在三個月內整改。/歐盟 歐盟委員會禁止在官方設備使用TikTok6 委員會工作人員必須在 2023 年 3 月 15 日之前從工作設備和任何使用委員會應用程序和服務的個人設備中刪除中國字節跳動擁有的短視頻應用程序，并表示：“該措施旨在保護委員會免受網絡安全威脅和可能被利用來對委員會公司環境進行網絡攻擊的行動。其他社交媒體平臺的安全發展也將不斷受到審查?！?023.2.23 5 https:/www.edpb.europa.eu/system/files/2023-09/final_decision_tik

12、tok_in-21-9-1_-_redacted_8_september_2023.pdf。6 https:/ec.europa.eu/commission/presscorner/detail/en/ip_23_1161。6 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間/荷蘭 荷蘭數據保護局（AP）罰款7 1.處罰原因：抖音對荷蘭用戶（主要是兒童）提供的隱私聲明僅有英文版本，而不提供荷蘭語版本，未能充分解釋個人數據處理情況。2.處罰結果：對侵犯幼兒隱私的抖音處以 75 萬歐元的罰款。2021.7.22 NOYB

13、 希臘 希臘數據保護局（HDPA）8 1.事實背景：a.權利響應不到位：按照公司提供的行權渠道提出了驗證其數據是否被傳輸到中國的要求，公司僅提供有限的處理個人數據清單，投訴人進一步提出訪問請求，公司仍未對數據跨境傳輸情況回應。b.隱私政策表明數據可能傳輸至中國并被中國政府訪問：i.未明確說明國際數據傳輸的具體地點，但在“我們的全球運營與數據傳輸：集團公司內的數據存儲及有限遠程訪問”等多個頁面內容中表明數據可能傳輸至中國，并可能允許中國執法官員獲取用戶數據。ii.小米集團的透明度報告表明其收到中國不同政府機構數千條有關用戶數據的請求，且這些請求幾乎都會被批準。c.數據控制者不真實存在：隱私政策表

14、明的數據控制者只是信箱地址，并非可實際決定數據處理的目的和方式的公司主體。2.投訴原因：2025.1.16 7 https:/www.edpb.europa.eu/news/national-news/2021/dutch-dpa-tiktok-fined-violating-childrens-privacy_en。8 https:/noyb.eu/sites/default/files/2025-01/TikTok_complaint_redacted_FIN_EN.pdf。7 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本

15、情況 時間時間 違反 GDPR 第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數據保護水平不對等的問題。a.違反 GDPR 第五章數據跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數據保護水平，即沒有遵從 CFR 第 7、8、47編做到相應要求，包括提供可執行的數據保護權利、提供有效的法律救濟、保證執法部門和國家安全部門對個人數據的訪問受到限制。b.違反 CFR 第 7、8 編：i.SCC 僅約束商業數據傳輸，并不約束數據控制者和中國當局之間的數據傳輸關系。ii.中國法律要求中國企業履行數據本地化義務，而數據向中國境外的跨境傳輸需取得 CAC 許可，但 CAC 對數據傳輸授

16、權決定享有自由裁量權。iii.根據數據安全法第 35 條和國家安全法第 11 條，中國當局對公司處理的個人數據可能存在無限制的訪問權，小米透明度報告也證實這一點。c.違反 CFR 第 47 編：i.缺少專門、獨立、有能力的數據保護機構。ii.中國司法對數據處理活動的監督有限。8 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 iii.執法機構或國家安全機關請求訪問個人數據時，數據主體無法了解此類請求如何被批準。iv.中國數據保護法律的范圍和適用不明確，數據主體權利行使情況不明確。3.投訴請求：a.請求 HDPA 展

17、開全面調查。b.暫停向中國的數據傳輸。c.責令被投訴方的數據處理活動遵從 GDPR 第五章。d.處以罰款。小米 NOYB 希臘 希臘數據保護局（HDPA）9 1.事實要點：a.權利響應不到位：按照公司提供的行權渠道提出了驗證其數據是否被傳輸到中國的要求，公司僅提供有限的處理個人數據清單，投訴人進一步提出訪問請求，公司仍未對數據跨境傳輸情況回應。b.隱私政策表明數據可能傳輸至中國并被中國政府訪問：i.隱私政策表明投訴人的任何個人數據都可能被傳輸到多個第三國，包括中國，并可能被中國政府部門獲取。ii.小米集團的透明度報告表明其收到中國不同政府機構數千條2025.1.16 9 https:/noyb

18、.eu/sites/default/files/2025-01/MiFitness_complaint_redacted_FIN_EN.pdf。9 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 有關用戶數據的請求，且這些請求幾乎都會被批準。2.投訴原因：違反 GDPR 第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數據保護水平不對等的問題 a.違反 GDPR 第五章數據跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數據保護水平，即沒有遵從 CFR 第 7、8、47編做到相應要求，包括提供可執行

19、的數據保護權利、提供有效的法律救濟、保證執法部門和國家安全部門對個人數據的訪問受到限制。b.違反 CFR 第 7、8 編：i.SCC 僅約束商業數據傳輸，并不約束數據控制者和中國當局之間的數據傳輸關系。ii.中國法律要求中國企業履行數據本地化義務，而數據向中國境外的跨境傳輸需取得 CAC 許可，但 CAC 對數據傳輸授權決定享有自由裁量權。iii.根據數據安全法第 35 條和國家安全法第 11 條，中國當局對公司處理的個人數據可能存在無限制的訪問權，小米透明度報告也證實這一點。c.違反 CFR 第 47 編：i.缺少專門、獨立、有能力的數據保護機構。10 投訴投訴/禁禁用用/處罰處罰對象對象

20、投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 ii.中國司法對數據處理活動的監督有限。iii.執法機構或國家安全機關請求訪問個人數據時，數據主體無法了解此類請求如何被批準。iv.中國數據保護法律的范圍和適用不明確，數據主體權利行使情況不明確。3.投訴請求：a.請求 HDPA 展開全面調查。b.暫停向中國的數據傳輸。c.責令被投訴方的數據處理活動遵從 GDPR 第五章。d.處以罰款。SHEIN NOYB 意大利 意大利個人數據保護局（Garante）10 1.事實要點：a.權利響應不到位：按照公司提供的行權渠道提出了驗證其數據是否被傳輸到中國的要求，公

21、司僅提供有限的處理個人數據清單，投訴人進一步提出訪問請求，公司仍未對數據跨境傳輸情況回應。b.隱私政策表明數據可能傳輸至中國并被中國政府訪問：i.隱私政策表明數據可能被傳輸到企業集團的其他附屬公司，而部分 SHEIN 集團子公司在中國設立，可見數據將傳輸到中2025.1.16 10 https:/noyb.eu/sites/default/files/2025-01/SHEIN_complaint_redacted_FIN_EN.pdf。11 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 國，并允許中國主管機關或

22、法院合理請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構數千條有關用戶數據的請求，且這些請求幾乎都會被批準。c.數據控制者不真實存在：隱私政策表明的數據控制者只是信箱地址，并非可實際決定數據處理的目的和方式的公司主體。2.投訴原因：違反 GDPR 第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數據保護水平不對等的問題 a.違反 GDPR 第五章數據跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數據保護水平，即沒有遵從 CFR 第 7、8、47編做到相應要求，包括提供可執行的數據保護權利、提供有效的法律救濟、保證執法部門和國家安全部門對個人數據的訪問受到限制。b

23、.違反 CFR 第 7、8 編：i.SCC 僅約束商業數據傳輸，并不約束數據控制者和中國當局之間的數據傳輸關系。ii.中國法律要求中國企業履行數據本地化義務，而數據向中國境外的跨境傳輸需取得 CAC 許可，但 CAC 對數據傳輸授權決定享有自由裁量權。iii.根據數據安全法第 35 條和國家安全法第 11 條，中國當局對公司處理的個人數據可能存在無限制的訪問權，小 12 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 米透明度報告也證實這一點。c.違反 CFR 第 47 編：i.缺少專門、獨立、有能力的數據保護機構

24、。ii.中國司法對數據處理活動的監督有限。iii.執法機構或國家安全機關請求訪問個人數據時，數據主體無法了解此類請求如何被批準。iv.中國數據保護法律的范圍和適用不明確，數據主體權利行使情況不明確。3.投訴請求：a.請求展開全面調查。b.暫停向中國的數據傳輸。c.責令被投訴方的數據處理活動遵從 GDPR 第五章。d.處以罰款。速賣通 NOYB 比利時 比利時數據保護局（GBA）11 1.事實要點：a.權利響應不到位：按照公司提供的行權渠道提出了驗證其數據是否被傳輸到中國的要求，公司提供的是損壞的文件，投訴人進一步請求后，也只獲得了下載副本的可能性說明，而無實際副本，2025.1.16 11 h

25、ttps:/noyb.eu/sites/default/files/2025-01/Aliexpress_complaint_redacted_FIN%20EN.pdf。13 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 且公司并未對數據跨境傳輸情況回應。b.隱私政策表明數據可能傳輸至中國并被中國政府訪問：i.未明確表示數據跨境傳輸的具體目的地，其中可能涉及的服務提供商或其他關聯公司在中國設立，數據可能傳輸至中國，并可能允許中國主管機關基于合法請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構數千條有

26、關用戶數據的請求，且這些請求幾乎都會被批準。c.數據控制者不真實存在：隱私政策表明的數據控制者只是信箱地址，并非可實際決定數據處理的目的和方式的公司主體。2.投訴原因：違反 GDPR 第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數據保護水平不對等的問題 a.違反 GDPR 第五章數據跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數據保護水平，即沒有遵從 CFR 第 7、8、47編做到相應要求，包括提供可執行的數據保護權利、提供有效的法律救濟、保證執法部門和國家安全部門對個人數據的訪問受到限制。b.違反 CFR 第 7、8 編：i.SCC 僅約束商業數據傳輸，并不約束數據控

27、制者和中國當局之間的數據傳輸關系。14 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 ii.中國法律要求中國企業履行數據本地化義務，而數據向中國境外的跨境傳輸需取得 CAC 許可，但 CAC 對數據傳輸授權決定享有自由裁量權。iii.根據數據安全法第 35 條和國家安全法第 11 條，中國當局對公司處理的個人數據可能存在無限制的訪問權，小米透明度報告也證實這一點。c.違反 CFR 第 47 編：i.缺少專門、獨立、有能力的數據保護機構。ii.中國司法對數據處理活動的監督有限。iii.執法機構或國家安全機關請求訪問

28、個人數據時，數據主體無法了解此類請求如何被批準。iv.中國數據保護法律的范圍和適用不明確，數據主體權利行使情況不明確。3.投訴請求：a.請求展開全面調查。b.暫停向中國的數據傳輸。c.責令被投訴方的數據處理活動遵從 GDPR 第五章。d.處以罰款。微信 NOYB 荷蘭 荷蘭數據保護局（AP）1.事實要點：2025.1.16 15 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 12 a.權利響應不到位：按照公司提供的行權渠道提出了驗證其數據是否被傳輸到中國的要求，但公司并未對數據跨境傳輸情況回應。b.隱私政策表明數

29、據可能傳輸至中國并被中國政府訪問：i.未明確表示數據跨境傳輸的具體目的地，但可能被傳輸至騰訊某個辦公室或數據中心，包括位于中國的總部、服務提供商等，并可能允許中國主管機關基于合法請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構數千條有關用戶數據的請求，且這些請求幾乎都會被批準。c.數據控制者不真實存在：隱私政策表明的數據控制者只是信箱地址，并非可實際決定數據處理的目的和方式的公司主體。2.投訴原因：違反 GDPR 第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數據保護水平不對等的問題 a.違反 GDPR 第五章數據跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的

30、數據保護水平，即沒有遵從 CFR 第 7、8、47編做到相應要求，包括提供可執行的數據保護權利、提供有效的法律救濟、保證執法部門和國家安全部門對個人數據的訪問受到限制。b.違反 CFR 第 7、8 編：12 https:/noyb.eu/sites/default/files/2025-01/WeChat_complaint_redacted_FIN%20EN.pdf。16 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 i.SCC 僅約束商業數據傳輸，并不約束數據控制者和中國當局之間的數據傳輸關系。ii.中國法律

31、要求中國企業履行數據本地化義務，而數據向中國境外的跨境傳輸需取得 CAC 許可，但 CAC 對數據傳輸授權決定享有自由裁量權。iii.根據數據安全法第 35 條和國家安全法第 11 條，中國當局對公司處理的個人數據可能存在無限制的訪問權，小米透明度報告也證實這一點。c.違反美國聯邦法規第 47 編：i.缺少專門、獨立、有能力的數據保護機構。ii.中國司法對數據處理活動的監督有限。iii.執法機構或國家安全機關請求訪問個人數據時，數據主體無法了解此類請求如何被批準。iv.中國數據保護法律的范圍和適用不明確，數據主體權利行使情況不明確。3.投訴請求：a.請求展開全面調查。b.暫停向中國的數據傳輸。

32、c.責令被投訴方的數據處理活動遵從 GDPR 第五章。d.處以罰款。17 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 Temu NOYB 奧地利 奧地利數據保護機構（DSB）13 1.事實要點：a.權利響應不到位：按照公司提供的行權渠道提出了驗證其數據是否被傳輸到中國的要求，公司僅提供了有限的個人數據副本，但公司并未對數據跨境傳輸情況回應。b.隱私政策表明數據可能傳輸至中國并被中國政府訪問：i.未明確表示數據跨境傳輸的具體目的地，但可能被傳輸到關聯公司，Temu 與中國有明確的關聯利益，并可能允許中國主管機關基

33、于合法請求訪問。ii.小米集團的透明度報告表明其收到中國不同政府機構數千條有關用戶數據的請求，且這些請求幾乎都會被批準。c.數據控制者不真實存在：隱私政策表明的數據控制者只是信箱地址，并非可實際決定數據處理的目的和方式的公司主體。2.投訴原因：違反 GDPR 第五章，投訴人無法了解是否有采取什么補充措施克服立法問題或數據保護水平不對等的問題 a.違反 GDPR 第五章數據跨境傳輸要求：i.缺乏充分性認定。ii.缺乏基本等同的數據保護水平，即沒有遵從 CFR 第 7、8、47編做到相應要求，包括提供可執行的數據保護權利、提供有效的法律救濟、保證執法部門和國家安全部門對個人數據的2025.1.16

34、 13 https:/noyb.eu/sites/default/files/2025-01/TEMU_complaint_redacted_FIN_EN.pdf。18 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 訪問受到限制。b.違反 CFR 第 7、8 編：i.SCC 僅約束商業數據傳輸，并不約束數據控制者和中國當局之間的數據傳輸關系。ii.中國法律要求中國企業履行數據本地化義務，而數據向中國境外的跨境傳輸需取得 CAC 許可，但 CAC 對數據傳輸授權決定享有自由裁量權。iii.根據數據安全法第 35 條

35、和國家安全法第 11 條，中國當局對公司處理的個人數據可能存在無限制的訪問權，小米透明度報告也證實這一點。c.違反 CFR 第 47 編：i.缺少專門、獨立、有能力的數據保護機構。ii.中國司法對數據處理活動的監督有限。iii.執法機構或國家安全機關請求訪問個人數據時，數據主體無法了解此類請求如何被批準。iv.中國數據保護法律的范圍和適用不明確，數據主體權利行使情況不明確。3.投訴請求：a.請求展開全面調查。b.暫停向中國的數據傳輸。19 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 c.責令被投訴方的數據處理活

36、動遵從 GDPR 第五章。d.處以罰款。歐洲消費者組織 BEUC 歐盟 歐盟委員會及 17 個歐盟國家主管部門14 1.事實背景：2024 年 5 月 16 日，電商巨頭拼多多旗下跨境電商平臺Temu 收到 17 個歐洲消費者利益團體的聯合投訴，要求歐盟根據數字服務法(DSA)將 Temu 緊急指定為“超大在線平臺（VLOP）”。Temu 被投訴的主要問題包括該平臺上網店銷售的產品與供應商的描述不符，涉嫌收集消費者隱私數據等，平臺對此沒有嚴格管理。2.其中涉及數據隱私的投訴要點主要包括：a.隱私政策存在缺陷，沒有指明 DPO，數據主體難以行權。b.廣泛共享用戶數據，包括與母公司、關聯公司共享，

37、增加數據安全風險。c.Cookie 使用存在問題，將非必要的 cookie 歸類為嚴格必要的cookie，進行不必要的數據處理，強制用戶接受數據處理，剝奪用戶自由選擇的權利。d.跟蹤方式不合規，大量采用 URL 跟蹤等其他跟蹤形式但未告知用戶并取得用戶同意，且部分跟蹤超出了為用戶提供服務所必需的范圍。2024.5.16 DeepSeek/意大利 意大利數據保護局已禁1.事實背景：a.2025 年 1 月 28 日，意大利監管部門向 DeepSeek 請求獲取數據處2025.1.30 14 https:/www.beuc.eu/sites/default/files/publications/B

38、EUC-X-2024-046_Temu_Why_the_fast-growing_online_marketplace_fails_to_comply_with_the_DSA.pdf。20 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 用15 理情況相關信息，包括數據類型、來源、處理目的、處理依據、存儲地點是否在中國、哪些信息被用于 AI 訓練等，并要求DeepSeek 在 20 天內提供信息。b.2025 年 1 月 30 日，DeepSeek 表示其不在意大利運營，歐洲立法不適用，而意大利監管部門收到 De

39、epSeek 提供的信息內容后，緊急限制 DeepSeek 的使用。2.禁用原因：a.DeepSeek 未說明其服務范圍內個人數據處理活動的主要方面。b.DeepSeek 的隱私政策只有英文版本，未全面履行告知義務。c.隱私政策未詳細明確地說明 DeepSeek 服務范圍內每項個人數據處理活動的合法性基礎。d.DeepSeek 服務范圍內個人數據處理活動信息的缺失，對用戶權利的行使也產生了明顯影響。e.數據控制者在提供 DeepSeek 服務過程中收集的數據存儲在中國，這違反了保障措施相關規定。f.盡管數據控制者因提供的服務（依據 GDPR 第 3 條第 2 款）有義務遵守 GDPR，但未在歐

40、盟書面指定代表。/愛爾蘭 愛爾蘭數據保護委員請求信息中16 2025 年 1 月 29 日，愛爾蘭數據保護委員會表示已向 DeepSeek 索取愛爾蘭用戶相關數據處理信息。2025.1.29 Testachats、Testaankoop 比利時 比利時數據保護局1.投訴要點：a.在缺少跨境傳輸保障機制的情況下，向中國非法傳輸個人數據，2025.1.31 15 https:/www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10098477。16 https:/ 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監

41、管機構及監管機構及其行動其行動 基本情況基本情況 時間時間（GBA）啟動調查17 中國當局訪問數據的情況未公開。b.隱私政策中關于數據存儲和處理的信息不明，政策不合規。c.沒有具體說明用戶數據用于分析還是自動決策。d.不保證保護未成年人。/法國 國家信息與自由委員會（CNIL）分析工具并請求信息中18 CNIL 標識正式宣布，將對該企業進行深入問詢，深入分析該產品。2025.2.3/盧森堡 國家數據保護委員會（CNPD）表示高度警惕，探索DeepSeek 的可能性19 1.CNPD 的擔憂：a.沒有充分保證的情況下收集和處理數據，用戶提供的數據可在沒有明確數據保護框架下被記錄、傳輸、存儲或分析

42、。b.數據主體難以通過 GDPR 行使權利。c.歐盟沒有 DeepSeek 的代表實體，缺乏對遵守 RGPD 的明確保證，缺乏人工治理的透明度，第三方可能參與數據管理。d.未在歐盟境內成立數據控制者，沒有在歐盟任命法定代表。2.CNPD 建議：a.避免安裝 DeepSeek 模型及其配置文件。b.使用在線頁面，不提供個人或機密數據。c.提高專業領域員工和互聯網用戶對使用人工智能風險的認識。2025.2.3 17 https:/www.test-achats.be/famille-prive/protection-vie-privee/news/deepseek，https:/ https:/w

43、ww.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-protection-des-donnees/。19 https:/cnpd.public.lu/en/actualites/national/2025/02/deepseek.html。22 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情況基本情況 時間時間 d.支持使用歐洲監管框架（RGPD、AI 法案）下的 AI 工具，尊重數據保護原則，并可保證安全和隱私。/荷蘭

44、荷蘭數據保護局展開調查中20 1.禁止公務員使用 DeepSeek。2.敦促公民謹慎使用 DeepSeek。2025.2.1 DECO PROteste 葡萄牙 葡萄牙數據保護局21 1.事實背景：DECO PROteste 向國家數據保護委員會（CNPD）提出了投訴，認為 DeepSeek 違反數據保護法規 2.投訴原因：a.個人數據的傳輸和處理：隱私政策表明數據存儲在中國，但未說明保障措施，中國法律要求公司向國家當局提供個人數據訪問權限，也未保證透明度和相稱性，數據存儲期限、用戶行權方式、數據類別等均未明確。b.隱私政策未說明是否將用戶數據用于 AI 模型訓練、提供自動決策等，沒有提供必要

45、保證。c.未提供用戶年齡驗證措施，或未經父母同意從未成年人收集的數據處理方案。3.請求：暫時限制 DeepSeek 處理個人數據，強調數據處理的非法性。2025.2.4 Homo Digitalis 希臘 希臘個人數據保護局22 1.事實背景：Homo Digitalis 向希臘個人數據保護局（HDPA）提交了一份請求（參考編號 865/30-01-2025），要求根據通用數據保護條例 20 https:/www.euractiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-protection-

46、des-donnees/，https:/nltimes.nl/2025/02/01/dutch-data-protection-authority-warns-chinese-chatbot-deepseek。21 https:/www.deco.proteste.pt/tecnologia/computadores/noticias/deepseek-queixa-protecao-dados。22 https:/homodigitalis.gr/en/posts/134145/。23 投訴投訴/禁禁用用/處罰處罰對象對象 投訴主體投訴主體 區域區域 監管機構及監管機構及其行動其行動 基本情

47、況基本情況 時間時間（GDPR）第 58 條，對希臘境內的數據主體使用 Deepseek 平臺行使調查權。2.投訴要點：a.未在歐盟境內制定代表。b.將個人數據存儲于中國，卻未履行數據跨境傳輸機制。c.未明確數據處理的法律依據。d.未提供充分且詳細的數據處理和權利信息，包括數據畫像信息。e.未說明是否在父母或監護人同意的情況下才處理未成年人個人數據。3.投訴請求：a.要求 DeepSeek 提供數據處理的所有信息。b.對 DeepSeek 的數據處理活動加以限制。/德國 德國個人數據保護局，各州協調行動中23 萊茵藍-普法爾茨州確認開展調查，但未正式展開。/23 https:/www.eura

48、ctiv.fr/section/donnees/news/deepseek-inquiete-les-autorites-europeennes-de-protection-des-donnees/。24 3.美國美國 投訴投訴/禁用禁用/處處罰對象罰對象 區域區域 監管機構及其行監管機構及其行動動 基本情況基本情況 時間時間 TikTok 美國聯邦 政府機構禁用24 政府公務手機和系統必須移除 TikTok。2023.2 美國 FTC 起訴25 1.2024 年 8 月 2 日，美國聯邦貿易委員會(FTC)宣布對 TikTok 及其母公司字節跳動以及附屬公司（統稱為 TikTok）提起訴訟，

49、指控其違反了 1998 年兒童在線隱私保護法（COPPA）并侵犯了 2019 年與 Musical.ly 達成的命令（2019 年和解協議）。2.FTC 規定 TikTok 違反了 COPPA 和 COPPA 規則，具體如下：a.故意為兒童創建賬戶并收集兒童的數據，而未事先通知其父母并獲得可驗證的父母同意；b.不履行父母刪除其子女賬戶和信息的要求；以及 c.未刪除明知是兒童的用戶的賬戶和信息；d.為父母要求刪除子女數據制定了不合理的流程，需要多個步驟才能提交刪除請求。2024.8.2 美國 拜登簽署法案封禁 TikTok，TikTok 起訴法案1.事件情況：a.2024 年 4 月，拜登以“保

50、護國家安全”為由，簽署保護美國人免受外國對手控制的應用程序法案，要求字節跳動在 2025 年 1 月 19 日前將/24 https:/ https:/www.ftc.gov/system/files/ftc_gov/pdf/bytedance_complaint.pdf。25 投訴投訴/禁用禁用/處處罰對象罰對象 區域區域 監管機構及其行監管機構及其行動動 基本情況基本情況 時間時間 違憲，最高法院裁決認定該法案不違憲26 TikTok 出售給非中國企業，否則將在美國被禁用 TikTok。b.2024 年 5 月，TikTok 和字節跳動向美國聯邦法院提起訴訟，要求裁定旨在封禁 TikTok

51、 的法案違憲，并阻止該法律的執行。c.2025 年 1 月 17 日，美國聯邦最高法院裁定封禁 TikTok 法案不違憲，這意味著聯邦最高法院允許該法案按原計劃于 19 日生效。d.2025 年 1 月 18 日，美國候任總統特朗普表示，他“很可能”會在 20 日上任當天給予 TikTok90 天寬限期，以暫時避免其在美國被禁。e.2025 年 1 月 19 日，TikTok 停止在美服務，母公司字節跳動旗下的多個應用軟件停止在美服務。后因特朗普發布聲明表示阻止 TikTok 關停的公司將不承擔法律責任，TikTok 在關停約 12 小時后重新上線。DeepSeek/部分機構已禁用27 1.宇

52、航局：向員工表示 DeepSeek 的服務器運營商在美國境外運營，存在國家安全和隱私問題，并要求 DeepSeek 及其產品和服務不可與美國宇航局的數據和信息一起使用，或用于政府發放的設備和網絡。2.五角大樓：據報道，五角大樓的一些工作屏幕上顯示 DeepSeek“網站被封鎖”標志。3.德克薩斯州 Abbott 在一份簡短的聲明中表示：“德克薩斯州不會允許中國通過數據收集人工智能和社交媒體應用程序滲透到我們州的關鍵基礎設施中?！?025.1 26 https:/ https:/ 投訴投訴/禁用禁用/處處罰對象罰對象 區域區域 監管機構及其行監管機構及其行動動 基本情況基本情況 時間時間“德克薩

53、斯州將繼續保護和保衛我們的州免受敵對的外國行為者的侵害?！?.1 月下旬，美國海軍禁止軍人“以任何身份”使用 DeepSeek 產品，因為“與技術的起源和使用相關的潛在安全和道德問題”。成員“必須”不要將DeepSeek 的人工智能“用于任何與工作相關的任務或個人使用”，并“避免下載、安裝或使用DeepSeek AI”。米哈游原神 美國 FTC 罰款28 1.事實背景：FTC 對米哈游的子公司提起訴訟，認為米哈游旗下游戲原神，違反了兒童在線隱私保護法（COPPA），要求米哈游賠償 2000 萬美元，指控其盡管知道 13 歲以下的兒童正在使用其服務，但它繼續從兒童那里收集個人信息，并在未經父母同

54、意或遵守其他 COPPA 要求的情況下使用這些信息。2.和解結果：基于聯邦貿易委員會法和 COPPA，FTC 與米哈游的子公司同意和解。米哈游的子公司需要繳納罰款，并改進抽卡機制和保護未成年人隱私，加入年齡限制并采取措施便于家長監督。2025.1.17 Temu 美國阿肯德州 阿肯德州總檢察長起訴29 1.2024 年 6 月 25 日，阿肯色州總檢察長宣布起訴 Temu 的母公司 PDD Holdings Inc.和 WhaleCo Inc.。2.起訴認為 Temu：a.未告知用戶，超出必要范圍不合理收集用戶個人信息；b.在隱私政策進行虛假描述；2024.7.1 28 https:/www.

55、ftc.gov/news-events/news/press-releases/2025/01/genshin-impact-game-developer-will-be-banned-selling-lootboxes-teens-under-16-without-parental。29 https:/arkansasag.gov/wp-content/uploads/2024-06-25-Temu-12CV-24-149-Complaint.pdf。27 投訴投訴/禁用禁用/處處罰對象罰對象 區域區域 監管機構及其行監管機構及其行動動 基本情況基本情況 時間時間 c.母公司的大部分業務運營

56、和子公司仍在中國大陸境內，總檢察長認為個人數據有可能會被中國官方未經授權訪問；d.侵犯阿肯色州居民的隱私權和對移動設備上個人數據隱私的合理期望；e.缺少年齡驗證措施，未經父母或監護人同意收集包括 13 歲以下未成年人的個人信息，未采取措施。美國 21 個州 美國 21 個州檢察長聯合發出調查函30 1.事件背景：2024 年 8 月 15 日，蒙大拿州檢察長 Austin Knudsen 牽頭，美國 21 個州的檢察長辦公室聯合行動，向 Temu 及其母公司 PDD Holdings Inc.發出調查函。2.涉及數據處理的調查內容包括：a.Temu和母公司拼多多是否收集美國消費者數據，如是請說

57、明數據類型、理由、方式。b.美國消費者數據是如何保存、存儲，提供相應的網絡安全、數據保留、存儲政策文件，說明為防止第三方訪問而采取的安全措施。c.中共或政府機關是否要求提供 Temu 或母公司收集的美國公民數據，如是，請說明收到的指令數量、提供的數據內容、以及是否提供。d.消費者請求刪除數據或停用賬戶后，Temu 和母公司還會保留哪些數據？2024.8.15 30 https:/ 投訴投訴/禁用禁用/處處罰對象罰對象 區域區域 監管機構及其行監管機構及其行動動 基本情況基本情況 時間時間 e.Temu 或拼多多控股公司是否出售美國消費者數據，如是，請說明購買者、采取的保護措施、零售銷售的利潤占

58、比和出售給第三方的利潤占比。f.母公司高管中的中共黨員是否有權訪問 Temu持有的美國消費者數據，如是，請解釋訪問數據行為的性質。3.函件發出之日起 30 日內，Temu 需提供說明。TP-Link 美國 議員敦促調查31 2024 年，美國網絡安全和基礎設施安全局（CISA）稱 TP-Link 路由器有漏洞，可能被黑客利用控制路由器，威脅用戶網絡安全。美國眾議院中國問題特別委員會的兩位議員稱 TP-Link產品廣泛應用于美國重要網絡基礎設施，若存在漏洞，將進而威脅國家安全，要求對 TP-Link 及其關聯公司進行調查，美國商務部、國防部和司法部已對 TP-Link 展開單獨調查，商務部還向

59、TP-Link 發出了傳票。2024.5 工業網絡安全公司Claroty 生產的中國產患者監護儀 美國 CISA 和 FDA 發布警告32 1.事實背景：2025 年 1 月 30 日，美國網絡安全和基礎設施安全局（CISA）和食品藥品監督管理局（FDA）發布警告，稱中國生產的 Contec CMS8000患者監護儀存在“隱藏后門”，并指出該后門與中國的一個硬編碼 IP 地址相關，可能導致患者數據和固件更新的出站通信被濫用。2.Claroty 公司澄清設備設計存在的不安全缺陷，否認“隱藏后門”的存在：2025.1.30 31 https:/ https:/www.cisa.gov/sites/

60、default/files/2025-01/fact-sheet-contec-cms8000-contains-a-backdoor-508c.pdf；https:/ 投訴投訴/禁用禁用/處處罰對象罰對象 區域區域 監管機構及其行監管機構及其行動動 基本情況基本情況 時間時間 a.硬編碼 IP地址的公開性：Contec 的操作手冊、用戶手冊中提及硬編碼 IP地址并指導用戶配置、用途，該 IP地址非“隱藏”是設備設計的一部分。b.固件升級機制的不安全性：固件升級過程中缺乏加密和驗證機制，容易受到中間人（MiTM）攻擊，但該升級本身要求攻擊者物理接近設備才可以。c.公共 IP地址的風險：硬編碼的

61、 IP地址（202.114.4.119）是一個可路由的公共 IP地址，可能會導致設備通過互聯網與外部服務器通信，暴露敏感數據或接收惡意更新。d.患者數據的潛在泄露：設備用于傳輸患者數據的通信地址是可路由的公開地址，存在患者數據泄露的風險。3.Claroty 公司為使用該設備的組織提出建議：a.控制網絡流量，防止設備從外部升級固件或泄露患者數據。b.修改默認設置，避免使用硬編碼 IP 地址（202.114.4.119）配置系統，或通過靜態路由和網絡分段確保僅路由到 CMS 服務器。c.替換設備：使用更安全的設備替換。30 4.澳大利亞澳大利亞 投訴投訴/禁用禁用/處罰對象處罰對象 區域區域 監管

62、機構及其監管機構及其行動行動 基本情況基本情況 時間時間 DeepSeek 澳大利亞 政府設備和系統禁用33 澳大利亞內政部部長向所有政府實體發布了強制性指令，要求“防止使用或安裝 DeepSeek 產品、應用程序和網絡服務，并從所有澳大利亞政府系統和設備中刪除所有現有的 DeepSeek 產品、應用程序和網絡服務”。但該禁令并不適用于私人公民的設備。2025.2.5 33 https:/ 5.加拿大加拿大 投訴投訴/禁用禁用/處罰對象處罰對象 區域區域 監管機構及其行動監管機構及其行動 基本情況基本情況 時間時間 TikTok 加拿大 政府移動設備已禁用34 加拿大政府禁止政府發放的設備下載

63、抖音，已安裝的應用程序均需刪除，但不組織社會公眾使用。2023.2.7 加拿大 加拿大隱私專員辦公室（OPC）魁北克信息獲取委員會（CAI）不列顛哥倫比亞省信息和隱私專員辦公室（BC OIPC）阿爾伯塔省信息和隱私專員辦公室（Alberta OIPC）35 1.事實背景：2023 年 2 月 23 日，加拿大隱私專員辦公室（OPC）連同魁北克信息獲取委員會（CAI）、不列顛哥倫比亞省信息和隱私專員辦公室（BC OIPC）以及阿爾伯塔省信息和隱私專員辦公室（Alberta OIPC）宣布對 TikTok Inc.展開聯合調查。2.調查內容：a.用戶信息收集的同意有效性：審查 TikTok 在收集

64、、使用和披露個人信息時，是否獲得了用戶有效且有意義的同意。b.透明度義務履行情況：確定 TikTok 在收集用戶個人信息時，是否履行了透明度義務，尤其是對年輕用戶的隱私保護措施是否到位。2023.2.24 Temu 加拿大 魁北克省律師起訴36 起訴律師認為，Temu 的應用程序訪問用戶個人數據但未進行告知，同時處理數據的類型行為超出了提供服務功能所必需。2024 34 https:/www.canada.ca/en/treasury-board-secretariat/news/2023/02/statement-by-minister-fortier-announcing-a-ban-on

65、-the-use-of-tiktok-on-government-mobile-devices.html。35 https:/ http:/ 6.韓國韓國 投訴投訴/禁禁用用/處罰處罰對象對象 區域區域 監管機構及其行動監管機構及其行動 基本情況基本情況 時間時間 速賣通 韓國 個人信息保護委員會（PIPC）罰款并要求整改37 1.事實背景：在用戶購買商品時，速賣通將用戶個人信息提供給國外的賣家，便于其配送商品，PIPC 認為該行為應取得數據主體同意并采取保障措施等。2.處罰原因：速賣通未告知數據跨境傳輸場景的具體信息，也未說明采取的保障措施，用戶行使權利的機制不便利。3.處罰結果：處以 19

66、 億 7,800 萬韓元的罰款，并要求整改。2024.7.25 TikTok 韓國 通信委員會和個人信息保護委員會調查中38 1.韓國通信委員會的官員表示，委員會將調查抖音的條款和條件及其應用程序，確認是否在獲得用戶知情同意方面存在問題。2.PIPC 也表示在調查 TikTok 是否存在違反其他法規。2024.10 DeepSeek 韓國 個人信息保護委員會（PIPC）調查中39 1.事實要點：PIPC 已向 DeepSeek 發送質詢函，請求信息包括個人信息處理主體、收集類型、收集目的、處理方式、是否共享等，該過程需要通過多個渠道進行多次質詢和回復。2.提示：PIPC 建議公眾在發布調查結果

67、前謹慎使用 DeepSeek，并提供關于生成式人工智能的使用指南，提示應當確認收集類型、切勿提供個人數據、定期刪除 cookie 數據等、使用二次認證的登錄手段等。2025.2.7 37 https:/www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10386。38 https:/ https:/pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10989#LINK。33

68、 第部分第部分 出海出海數與智能場景險數與智能場景險 34 1.告知和同意義務的履行告知和同意義務的履行 a.告知不合規 i.隱私政策的語言版本不符合要求。ii.隱私政策未明確說明個人數據處理的合法性基礎。iii.隱私政策未說明數據收集、使用和共享等情況，包括數據類別、處理目的、方式、存儲期限、是否用于自動化決策等。iv.隱私政策內容存在虛假描述。b.同意機制不合規 i.未向用戶提供便捷的拒絕同意機制，易被認定為用戶未能自由給予同意。ii.未在實際獲取權限或者個人數據的節點前取得合法、有效的用戶同意。2.數據處理問題數據處理問題 a.數據共享的范圍過廣，涉及過多關聯公司、母公司，可能被認定為數

69、據安全風險較高。b.超出必要范圍處理用戶的個人信息，包括敏感個人信息。c.境外用戶請求刪除數據或停用賬戶后，其個人數據可能被不合規地繼續保留。3.Cookie 和其他數據跟蹤問題和其他數據跟蹤問題 a.超出必要范圍使用 cookie 處理數據，強制要求用戶接受相應的數據處理行為。b.使用 URL 等跟蹤方式但未取得用戶的同意，并超出服務所必需的范圍跟蹤用戶數據。4.數據控制者的真實性或歐盟境內代表的缺位數據控制者的真實性或歐盟境內代表的缺位 a.在歐盟境內設立營業場所并在隱私政策中表明身份的數據控制者，僅是信箱地址，并非實際運營的實體。b.未在歐盟境內設立營業場所的數據控制者，未以書面形式在歐

70、盟境內設立代表。5.數據跨境傳輸風險數據跨境傳輸風險 a.數據跨境傳輸至中國被認定為存在中國政府當局訪問境外用戶數據的風險 i.數據跨境傳輸、存儲至中國違反 GDPR，一方面因中國未被認定為具有充分性保護水平的國家，另一方面因中國沒有實現基本等同的數據保護水 35 平，SCC 被認定為僅可保護商業數據傳輸場景而不保護數據控制者和中國政府當局的數據傳輸場景。ii.未明確數據跨境傳輸是否將導致國家參與數據的管理，目前數據跨境傳輸至中國的場景存在極大的概率被默認為將基于中國法律要求被訪問，且中國政府當局的訪問不受限制、不對外公開披露。iii.企業的中國關聯公司被認為需要遵從本地化義務存儲數據，而相關

71、數據傳輸至中國境外需取得中國網信辦的許可，但中國網信辦被認定對數據傳輸授權享有自由裁量權，存在數據安全風險。b.公司股權架構和員工身份可能被推測存在中國政府當局訪問境外用戶數據的風險 i.公司在境外總部的業務運營若仍由中國大陸境內關聯公司所實質性掌握，該境外公司仍可能被認定為是中國公司，而個人數據將因此被認定為可能受到中國官方的未經授權訪問。ii.對境外用戶個人數據享有訪問權限的境內母公司及其高管的政治身份，將導致境外監管機構懷疑中國政府是否可訪問境外用戶數據。6.數據主體救濟數據主體救濟 a.海外對中國數據保護法律體系的不認可：i.國家網信辦的職責不明確，NOYB 的投訴認為中國缺少專門、獨

72、立、有能力的數據保護機構。ii.中國關于數據處理活動相關的司法實踐案例較少，被認為缺少司法監督。iii.中國監管機構、執法機構或其他國家安全機關訪問數據的限制、流程等未公開透明，被推定為該訪問不受限制。iv.NOYB 投訴認為中國數據保護法律的適用范圍、內容不明確，數據主體權利行使情況不明確。b.個人信息權利響應機制的缺位：i.權利響應機制響應不夠及時，響應方式未明確告知。ii.隱私政策中未明確 DPO，使得用戶無法行權。7.未成年人個人數據的保護未成年人個人數據的保護 a.未提供關于未成年人的個人數據保護方案。b.未對產品設置年齡驗證機制，未能實現從實質上禁止相應年齡段未成年人使用產品。c.

73、未經父母或監護人同意的情況下，處理未成年人的數據。d.未告知對未成年人數據的處理情況。e.提供服務時，所使用的算法不區分兒童或成年人推送廣告，同時未能及時控制可能威脅到未成年人或其他弱勢群體的內容的傳播。36 f.父母請求刪除子女賬戶和信息時，未能及時響應或設置較為煩瑣復雜的步驟，未能提供便捷的刪除機制。8.數據安全措施的采取數據安全措施的采取 a.未定期檢查內部的數據管理流程，了解所處理的數據安全情況。b.數據存儲于中國，但未說明數據保障措施，將被認定為存在數據安全風險。c.未對固件升級機制設置加密、驗證機制，存在惡意代碼注入或其他攻擊風險。d.使用公共 IP 地址導致暴露敏感數據或被迫接受

74、惡意更新、數據泄露的風險。9.人工智能的透明度人工智能的透明度 未向用戶說明所使用的人工智能處理個人數據的情況，包括利用個人數據進行模型訓練、提供自動化決策等情況，未履行透明度義務。37 聯系聯系 史宇航，法學博，合伙 Email: 報告撰寫報告撰寫 余思婷，執業律師 史宇航，法學博，合伙 Email: Email: 38 關于匯業關于匯業 匯業律師事務所成于 1999 年，是家全國領先的、以商業法律服務的綜合性律師事務所，在全國有四余家分所，通過戰略合作在境外擁有數家戰略合作律所。匯業數與智能法律業務組由 50 余位律師、技術專家、前執法/司法官員、前企業法務等組成，駐扎在上海、北京、州、深

75、圳、成都、沙等城市。匯業在數與智能領域能夠提供全頻譜法律服務領域，能夠結合技術條件、預算、商業需求等因素解決客復雜的商事法律挑戰。匯業絡與數據法律業務組的榮譽包括但不限于：2022年今，連續3年當選The Legal The Legal“數據合規”領域亞太地區領先律所；2023 年今，連續 3 年榮登國際權威法律評級機構錢伯斯（錢伯斯（Chambers and Chambers and PartnersPartners）“數據保護與隱私”領域中華區領先律所；2023 年，榮獲 ALBALB（ChinaChina）區域市場法律獎：年度華東地區科技、媒體與電信律師事務所獎（本地）；商法商法2023 年度“隱私及數據保護領域”卓越律所獎；2024 年度“汽、業及制造業”業卓越律所；2024 年度“互聯及電商”業卓越律所；2018 年今，連續六年登榜 LEGALBANDLEGALBAND 年度中國頂級律所年度中國頂級律所“絡安全與數據合規”領域第梯隊；2024 年被律新社律新社評為數據合規領域“品牌影響律所”；2024 年被 GRCDGRCD 評為“絡安全與數據保護”中國卓越合規律師事務所。本指引不代表匯業律師事務所或其律師出具的任何形式的法律意、建議或法律解讀，任何僅僅依照本指引的全部或部分內容而做出的決定及因此造成的后果由為負責。匯業律師事務所。欲了解更多信息，請聯系匯業律師事務所。