Serene Jade is a legal technology studio building products and infrastructure for cross-border legal practice between the United Kingdom and China. Its portfolio includes ILR Timer, the CoS Priority Service, JustiScript, the UK Lawyer and Chinese Lawyer apps, and enterprise landing services for companies expanding in either direction.

Does Serene Jade replace traditional legal advice?

No. Serene Jade products complement regulated legal advice. Tools such as ILR Timer help individuals track their own immigration position; services such as CoS Priority and China Due Diligence are delivered by qualified practitioners and partner firms.

Which jurisdictions does Serene Jade cover?

Mainland China, Hong Kong SAR, and the United Kingdom. Coordination is run from the UK with on-the-ground specialists in each jurisdiction.

PIPL 實務：外資企業的現實合規基線

一家在天貓上設有小型旗艦店的歐洲零售商最近向我們提出一個看似簡單的問題：向上海客戶發送一封發貨通知郵件，是否需要做任何特別處理？坦率的回答是：這個問題本身——從前被視為多慮——如今正是該問的問題。中國《個人資訊保護法》已進入常規執法階段，監管機構也明確表示，"我們沒意識到法律適用於我們"並非抗辯理由。

本文寫給已讀過法條、覺得抽象、希望得到可操作基線的資料處理團隊。

PIPL 對境外處理者的實際要求

PIPL 具有域外效力。只要您為向境內個人提供產品或服務，或分析其行為而處理其個人資訊，無論伺服器位於何處，均落入適用範圍。這一句話比該法任何其他條款都更深刻地重塑了全球資料架構。

實務上，境外處理者應假定承擔四項基線義務：

每一項處理活動均有合法性依據，並以「同意」作為預設基礎，而非便利選項。
在境內設立專門機構或指定代表，並將聯絡方式向相關機關備案。
發布中文隱私政策，如實反映實際資料流，而非翻譯歐盟範本。
任何將個人資訊傳出中國大陸的活動，均有書面化的合規機制。

這些要求並不奇特。真正讓團隊跌跤的是顆粒度。PIPL 區分一般個人資訊與「敏感個人資訊」——後者包括生物辨識、金融帳戶、健康、行蹤軌跡及未滿十四周歲未成年人資訊——其同意標準明顯提高。

單獨同意與具體同意

帶著 GDPR 思維進入 PIPL 的歐洲團隊，往往低估了同意制度。PIPL 不僅要求同意，且在多個情形下要求「單獨同意」——即針對以下每一情形作出明確、獨立的同意行為：

處理敏感個人資訊。
向第三方（包括原始處理者之外的關聯方）提供個人資訊。
公開揭露個人資訊。
將個人資訊傳輸至中國大陸境外。
超出最初告知目的使用個人資訊。

「單獨」是關鍵詞。一個涵蓋所有用途的勾選框無法過關。實務做法是分層同意流程：註冊時的主告知，加上在新處理目的觸發時的獨立彈窗。已為 GDPR 搭建精細化同意管理系統的團隊通常可改造適配；而依賴「合法利益」寬泛理由的團隊，重建工作量更大，因為 PIPL 並不提供商業處理活動的等同基礎。

撤回同意應與給予同意同樣便利——監管機構曾就退出路徑設置障礙的應用發出過執法通知。

三種跨境傳輸機制

任何將個人資訊自中國大陸傳輸給境外接收方的行為——包括傳給母公司——均觸發跨境資料傳輸規則。目前主要有三條路徑，路徑選擇已成為中國資料合規專案中最具影響的決定。

網信辦安全評估。 關鍵資訊基礎設施營運者、傳輸「重要資料」者，以及超過法定數量門檻的處理者強制適用。這是由國家網信辦主導的政府審查，最為耗時，需提交自評估報告、詳細資料圖譜與正式申請。
中國標準合同（China SCCs）。 由網信辦發布的範本合同，由境內出境方與境外接收方簽署，配合個人資訊保護影響評估，並向省級網信辦備案。適用於大多數中等規模的企業傳輸，是跨國公司的主力機制。
個人資訊保護認證。 由網信辦認可的機構出具，尤其適用於跨國集團內部傳輸。採用速度較慢，但確為可行的第三條路徑。

後續監管細則在邊緣有所放寬——某些低量傳輸、為履行勞動合同所必需的人力資源資料、為履行合同所必需的傳輸，得到較輕處理——但整體框架未變。問題不在於您是否落入其中某種機制，而在於落入哪一種，以及您的文件能否經得起檢查。

現實的合規基線

多數境外處理者無需建立「完美」專案，而需要建立「守得住」的專案。根據我們的經驗，可辯護的 PIPL 合規態勢包含以下要素：

一份最新的資料清單，辨識哪些資料集包含中國境內個人資訊，及其所在位置。
每項處理活動均有書面化的合法性依據，並可按資料主體調取同意紀錄。
一份與實際操作一致的中文隱私政策，並在產品變更時更新。
一份已簽署並完成備案的跨境傳輸文件——通常為中國標準合同——配套影響評估納入版本管理。
在境內指定的聯絡人，已在隱私政策中載明，能夠接收監管函件與資料主體請求。
一份違規事件回應方案，含明確的中文溝通路徑，對接受影響使用者與主管機關。
每年複核機制，因為門檻、豁免與指引文件仍在演變。

這一基線刻意省略了「英雄主義」。您不必將每項工作負載遷至境內，也不必為每條產品線另建一套中國技術堆疊。您需要知道自己持有什麼資料、為何持有、流向何處，以及每一次流動有何文件支撐。

境外團隊最易踩坑之處

三個常見失誤值得指出。第一，將 PIPL 視為翻譯任務——把 GDPR 隱私政策加中文字幕，在同意顆粒度與跨境揭露義務兩項上均不達標。第二，忘記集團內部處理者之間的傳輸仍屬跨境傳輸。第三，將資料本地化規則（僅適用於特定營運者與資料類別）與 PIPL 本身混淆，結果或是過度工程化，或是工程不足。

中國資料隱私工作獎勵「具體」。如果某一資料集或產品線讓團隊夜不能寐，與其反覆打磨試算表，不如直接向中國執業律師驗證分析。Serene Jade 的 Chinese Lawyer 正是為此而設：以英文為主導，對接中國大陸與香港執業律師，回答真正需要本地答案的問題。

常見問題

如果我們對華唯一活動是多語言網站恰好接受中國客戶下單，PIPL 是否適用？ 如果您主動向中國境內個人提供產品或服務——以人民幣計價、向中國發貨、提供中文客服——域外效力觸發的可能性較高。無定向意圖的偶發訪問屬於灰色地帶，值得獲取專項法律意見。

我們能否依靠中國標準合同將資料傳輸至美國母公司用於全球分析？ 通常可以，前提是資料量低於觸發網信辦安全評估的門檻，且已完成個人資訊保護影響評估。分析類用途容易受到關注，因為其處理目的往往隨時間擴展，影響評估需提前預見這一點。

資料主體在我們已將其資料傳出境後撤回同意，會發生什麼？ 您必須停止基於該同意的後續處理，並在無其他合法性依據時安排刪除或匿名化。請在上線前就搭好下游刪除路徑；事後在已傳輸的資料集上補救，正是大多數團隊發現資料圖譜不完整之處。

對於正在搭建或修復中國資料專案的團隊，Serene Jade 的 Chinese Lawyer 服務可直接對接中國大陸與香港執業律師，回答真正需要本地答案的問題。

談判英國和解協議：真正重要的幾件事

大多數和解協議的勝負在草稿送達之前就已決定。本文冷靜審視條款要點、稅務門檻、推薦信，以及法律強制要求的獨立法律意見。

閱讀

中國公司設立

WFOE、外商投資企業或香港控股：進入中國大陸的架構選擇

冷靜審視外國公司當下進入中國大陸時，如何在 WFOE、其他外商投資企業形式與香港控股之間作出選擇，以及真正的取捨所在。

閱讀

uk-skilled-worker-changes

技術工人簽證新規：英國雇主的務實重置

薪資門檻上調、SOC 職業代碼改版、擔保合規要求趨嚴。本文為英國 HR 團隊梳理真正需要做的下一步。

閱讀

合作方式

有跨走廊的事項需要我們協助？

聯絡我們