Serene Jade is a legal technology studio building products and infrastructure for cross-border legal practice between the United Kingdom and China. Its portfolio includes ILR Timer, the CoS Priority Service, JustiScript, the UK Lawyer and Chinese Lawyer apps, and enterprise landing services for companies expanding in either direction.

Does Serene Jade replace traditional legal advice?

No. Serene Jade products complement regulated legal advice. Tools such as ILR Timer help individuals track their own immigration position; services such as CoS Priority and China Due Diligence are delivered by qualified practitioners and partner firms.

Which jurisdictions does Serene Jade cover?

Mainland China, Hong Kong SAR, and the United Kingdom. Coordination is run from the UK with on-the-ground specialists in each jurisdiction.

PIPL 实务：外资企业的现实合规基线

一家在天猫上设有小型旗舰店的欧洲零售商最近向我们提出一个看似简单的问题：向上海客户发送一封发货通知邮件，是否需要做任何特别处理？坦率的回答是：这个问题本身——从前被视为多虑——如今正是该问的问题。中国《个人信息保护法》已进入常规执法阶段，监管机构也明确表示，"我们没意识到法律适用于我们"并非辩护理由。

本文写给已读过法条、觉得抽象、希望得到可操作基线的数据处理团队。

PIPL 对境外处理者的实际要求

PIPL 具有域外效力。只要您为向境内个人提供产品或服务，或分析其行为而处理其个人信息，无论服务器位于何处，均落入适用范围。这一句话比该法任何其他条款都更深刻地重塑了全球数据架构。

实务上，境外处理者应假定承担四项基线义务：

每一项处理活动均有合法性依据，并以"同意"作为默认基础，而非便利选项。
在境内设立专门机构或指定代表，并将联系方式向相关机关备案。
发布中文隐私政策，如实反映实际数据流，而非翻译欧盟模板。
任何将个人信息传出中国大陆的活动，均有书面化的合规机制。

这些要求并不奇特。真正让团队跌跤的是颗粒度。PIPL 区分一般个人信息与"敏感个人信息"——后者包括生物识别、金融账户、健康、行踪轨迹及不满十四周岁未成年人信息——其同意标准明显提高。

单独同意与具体同意

带着 GDPR 思维进入 PIPL 的欧洲团队，往往低估了同意制度。PIPL 不仅要求同意，且在多个情形下要求"单独同意"——即针对以下每一情形作出明确、独立的同意行为：

处理敏感个人信息。
向第三方（包括原始处理者之外的关联方）提供个人信息。
公开披露个人信息。
将个人信息传输至中国大陆境外。
超出最初告知目的使用个人信息。

"单独"是关键词。一个涵盖所有用途的勾选框无法过关。实务做法是分层同意流程：注册时的主告知，加上在新处理目的触发时的独立弹窗。已为 GDPR 搭建精细化同意管理系统的团队通常可改造适配；而依赖"合法利益"宽泛理由的团队，重建工作量更大，因为 PIPL 并不提供商业处理活动的等同基础。

撤回同意应与给予同意同样便利——监管机构曾就退出路径设置障碍的应用发出过执法通知。

三种跨境传输机制

任何将个人信息自中国大陆传输给境外接收方的行为——包括传给母公司——均触发跨境数据传输规则。目前主要有三条路径，路径选择已成为中国数据合规项目中最具影响的决定。

网信办安全评估。 关键信息基础设施运营者、传输"重要数据"者，以及超过法定数量门槛的处理者强制适用。这是由国家网信办主导的政府审查，最为耗时，需提交自评估报告、详细数据图谱与正式申请。
中国标准合同（China SCCs）。 由网信办发布的范本合同，由境内出境方与境外接收方签署，配合个人信息保护影响评估，并向省级网信办备案。适用于大多数中等规模的企业传输，是跨国公司的主力机制。
个人信息保护认证。 由网信办认可的机构出具，尤其适用于跨国集团内部传输。采纳速度较慢，但确为可行的第三条路径。

后续监管细则在边缘有所放宽——某些低量传输、为履行劳动合同所必需的人力资源数据、为履行合同所必需的传输，得到较轻处理——但整体框架未变。问题不在于您是否落入其中某种机制，而在于落入哪一种，以及您的文件能否经得起检查。

现实的合规基线

多数境外处理者无需建立"完美"项目，而需要建立"守得住"的项目。根据我们的经验，可辩护的 PIPL 合规态势包含以下要素：

一份最新的数据清单，识别哪些数据集包含中国境内个人信息，及其所在位置。
每项处理活动均有书面化的合法性依据，并可按数据主体调取同意记录。
一份与实际操作一致的中文隐私政策，并在产品变更时更新。
一份已签署并完成备案的跨境传输文件——通常为中国标准合同——配套影响评估纳入版本管理。
在境内指定的联系人，已在隐私政策中载明，能够接收监管函件与数据主体请求。
一份违规事件响应方案，含明确的中文沟通路径，对接受影响用户与主管机关。
每年复核机制，因为门槛、豁免与指引文件仍在演变。

这一基线刻意省略了"英雄主义"。您不必将每项工作负载迁至境内，也不必为每条产品线另建一套中国技术栈。您需要知道自己持有什么数据、为何持有、流向何处，以及每一次流动有何文件支撑。

境外团队最易踩坑之处

三个常见失误值得指出。第一，将 PIPL 视为翻译任务——把 GDPR 隐私政策加中文字幕，在同意颗粒度与跨境披露义务两项上均不达标。第二，忘记集团内部处理者之间的传输仍属跨境传输。第三，将数据本地化规则（仅适用于特定运营者与数据类别）与 PIPL 本身混淆，结果或是过度工程化，或是工程不足。

中国数据隐私工作奖励"具体"。如果某一数据集或产品线让团队夜不能寐，与其反复打磨表格，不如直接向中国执业律师验证分析。Serene Jade 的Chinese Lawyer 正是为此而设：以英文为主导，对接中国大陆与香港执业律师，回答真正需要本地答案的问题。

常见问题

如果我们对华唯一活动是多语言网站恰好接受中国客户下单，PIPL 是否适用？ 如果您主动向中国境内个人提供产品或服务——以人民币计价、向中国发货、提供中文客服——域外效力触发的可能性较高。无定向意图的偶发访问属于灰色地带，值得获取专项法律意见。

我们能否依靠中国标准合同将数据传输至美国母公司用于全球分析？ 通常可以，前提是数据量低于触发网信办安全评估的门槛，且已完成个人信息保护影响评估。分析类用途容易受到关注，因为其处理目的往往随时间扩展，影响评估需提前预见这一点。

数据主体在我们已将其数据传出境后撤回同意，会发生什么？ 您必须停止基于该同意的后续处理，并在无其他合法性依据时安排删除或匿名化。请在上线前就搭好下游删除路径；事后在已传输的数据集上补救，正是大多数团队发现数据图谱不完整之处。

对于正在搭建或修复中国数据项目的团队，Serene Jade 的 Chinese Lawyer 服务可直接对接中国大陆与香港执业律师，回答真正需要本地答案的问题。

谈判英国和解协议：真正重要的几件事

大多数和解协议的胜负在草稿送达之前就已决定。本文冷静审视条款要点、税务门槛、推荐信，以及法律强制要求的独立法律意见。

阅读

中国公司设立

WFOE、外商投资企业还是香港控股：进入中国大陆的架构选择

冷静审视外国公司在当下进入中国大陆时，如何在 WFOE、其他外商投资企业形式与香港控股之间作出选择，以及真正的取舍所在。

阅读

uk-skilled-worker-changes

技术工人签证新规：英国雇主的务实重置

薪资门槛上调、SOC 职业代码改版、担保合规要求趋严。本文为英国 HR 团队梳理真正需要做的下一步。

阅读

合作方式

有跨走廊的事项需要我们协助？

联系我们