7月25日,由浙江省商务厅、金砖国家特殊经济区中国合作中心秘书处、杭州市商务局、钱塘区商务局指导,36氪、钱塘建设集团联合主办的2025「以“匠心”至“世界”」出海大会将于杭州钱塘君澜大饭店盛大启幕。作为36氪全新打造的聚焦全球化与出海领域的IP盛会,大会设立主会场及分会场“投资金砖”-国别合作对接会。大会主会场将分为“不确定中确定”和“在全球做生意”两大篇章,聚焦消费、科技、电商、金融、新能源等出海热门领域,涵盖10余主题演讲、5场圆桌对话与East Forward 2025出海全球化创新名册发布环节,解码“产品 - 技术 - 生态”协同增长的确定性逻辑,为企业穿越全球化迷雾、构建可持续出海能力提供可借鉴的全球化发展路径。
当日,普华永道中国风险与监管业务经理杨雄带来《中国企业出海高风险领域与海外一站式合规运营》的主题分享。
以下为杨雄演讲内容,经36氪整理编辑:
各位来宾,下午好!提到普华永道,大家可能首先想到财税服务,但其实我们的咨询业务同样覆盖广泛,我所在的风险与监管团队就是其中重要一环。
前些年,我们的核心业务是帮助外资企业进入中国,应对本土监管挑战;而疫情后,越来越多的中国企业从 “走进去” 迈向 “走上去”—— 在海外拓展影响力、加大投资与本地化建设,这也让我们的工作重心转向了 “助力中企出海”。目前,我们服务的客户中,80%-90% 是潮玩、茶饮、智能制造、新能源车企等出海企业,深刻感受到他们在全球化过程中面临的合规与风险挑战。
今天,我想聚焦数据与新技术的合规风险,结合实践案例聊聊企业出海该如何应对。
一、全球监管收紧:数据与新技术成出海 “第一道门槛”
2018 年欧盟 GDPR 生效后,全球已有超过 80% 的国家出台了数据与安全保护法规 —— 中国有《个人信息保护法》《数据安全法》,美国、巴西、东南亚各国也有各自的监管要求。这种 “全球立法潮” 的背后,是各国对数据战略价值的共识:数据既是技术创新的核心,也是国家发展与民生福祉的重要支撑。
对企业而言,这意味着出海过程中必须回答一个关键问题:在多国运营时,数据能否自由流动? 比如,中国总部能否上收海外分公司的运营数据、用户信息、产品数据?答案取决于当地法规:
欧盟对 “数据出境” 设置了严格的 “充分性认定”,非EEA或白名单国家需通过数据跨境风险评估才能接收数据;
美国今年 4 月发布的行政令,首次对特定国家、特定类型数据的数据交易设限,违规可能面临刑事责任(包括监禁);
东南亚和南美的数据合规立法逐渐完善,对于人工智能等新技术应用也陆续发布细化要求。
这种 “区域差异” 要求企业必须针对不同市场的立法模式与政治特点,制定差异化合规策略。否则,数据无法有效回传将影响总部对全球业务的统筹,而违规传输则可能导致天价罚款甚至业务停摆。
二、新技术监管:从人工智能到日常应用的 “合规雷区”
除了数据,新技术的监管差异更值得警惕。中国对人工智能有算法备案、大模型备案等严格要求,而其他国家的监管逻辑则各有侧重 —— 既有覆盖生成式与非生成式 AI 的 “全品类监管”,也有针对 OCR、人脸识别等细分技术的 “精准管控”。
举个具体例子:国内常见的指纹打卡、人脸识别考勤,能否直接复制到海外工厂?答案是 “视国家而定”:
欧盟《人工智能法案》将人脸识别列为 “高风险技术”,要求企业证明其 “必要性” 与 “安全性”;
美国部分州(如伊利诺伊州)对生物识别数据的采集有特殊许可要求,违规可能面临集体诉讼;
巴西提出了《人工智能法案》,立足于保障公民权利、推动技术创新,同时确保AI安全使用,当前该法律已通过参议院审核。
可见,无论是发达市场还是新兴市场,新技术监管都可能成为企业进入的 “第一道门槛”。
三、美国市场:地缘政治下的数据流动 “新规则”
北美作为中国企业出海的重要目的地,近期监管变化尤其值得关注。在拜登政府的新行政令下,美国从 “数据自由流动” 转向 “选择性限制”—— 针对特定国家、特定数据类型(如敏感个人信息、技术研发数据)的跨境传输设置障碍。
这对三类企业影响最大:
电商平台:用户数据的存储与跨境调用需符合 “数据本地化” 要求;
联网设备厂商:设备产生的运行数据可能被归类为 “敏感信息”,出境需审批;
科技服务企业:与美国企业的技术合作中,数据共享可能触发国家安全审查。
更严峻的是,违规后果不仅是罚款,还可能涉及刑事责任。这也是为什么现在不仅美资企业,中国头部企业也纷纷加强对美国数据监管的研究 —— 地缘政治已成为数据合规不可忽视的变量。
四、应对策略:从数据梳理到全球管控的 “全流程方案”
基于服务众多中企的经验,我们总结出一套 “全流程合规方法论”,核心包括四个维度:
数据全链路梳理
合规的前提是明确 “有哪些数据”:员工信息、供应商数据、销售数据、用户隐私等,都需纳入梳理范围。同时,承载数据的系统(如 ERP、CRM)与底层基础设施(服务器、云服务)是否符合当地要求,也是基础中的基础。
分阶段、分场景应对
企业往往同时布局多个海外市场,不可能 “一次性解决所有问题”。需结合业务模式(办事处、贸易公司、工厂)与当地监管强度分级应对:
对监管严格的市场(如欧盟、美国),优先解决核心数据的本地化存储与出境审批;
对新兴市场(如东南亚),重点关注数据泄露的应急响应机制(如 24 小时 / 72 小时通报要求)。
基础设施与技术栈适配
数据中心的布局需平衡 “监管要求、业务诉求与地缘风险”:
美国因政策收紧,数据回传难度加大,需考虑在当地建立独立数据中心;
欧盟要求 “数据主权”,建议采用区域级数据汇合模式(如欧洲数据中心服务全欧业务);
技术栈的选择也需本地化 —— 部分国家对中国技术(如特定云服务、算法模型)有限制,需提前评估替代方案。
建立全球数据共享管控机制
与第三方(供应商、合作伙伴)的数据交互是高风险环节,需通过三大措施防控:
签订标准化的数据处理协议,明确权责与泄露追责条款;
建立数据加密与访问权限管理体系,减少内部泄露风险;
制定应急响应预案,确保数据泄露后能在法定时限内完成监管通报。
五、普华永道的全球化支持网络
为更好服务中企出海,我们在全球 50 个国家设立了 “中国业务服务中心”,派驻中国籍专家扎根当地。无论是北美、欧洲等成熟市场,还是非洲、南美等新兴市场,当地团队都能提供 “语言无壁垒、成本最优化” 的服务,帮助企业对接资源、应对突发合规问题。
从出海前的风险评估、合规体系搭建,到出海中的实时监管跟踪,再到出海后的争议解决,我们可提供端到端支持。如果大家有具体需求,欢迎会后交流。
最后想强调:在全球化进入 “深水区” 的今天,数据与新技术的合规已不是 “选择题”,而是 “生存题”。唯有建立系统化的风险意识与应对能力,企业才能在海外市场行稳致远。
谢谢大家!
