PIPL 落地實務：境外企業真正要做的合規動作

柏林的產品經理推送了一次功能更新。倫敦的成長團隊透過上海代理商投放了一波廣告。新加坡的 SaaS 服務商默默存著含有成都用戶姓名、手機號和身分證號片段的客服紀錄。這些團隊都不認為自己在中國營運。但就《個人信息保護法》而言，他們都是中國個人信息的處理者，都處在法律的射程之內。

《個人信息保護法》施行三年後，監管圖景已足夠清晰，「再觀望一陣」不再是站得住腳的立場。國家網信辦出台並修訂了配套辦法，明確了關鍵閾值。境外企業已有足夠訊號去搭建一條可操作的合規基線。本文就來談這條基線長什麼樣。

多數團隊低估的「域外效力」觸發條件

PIPL 適用於在中國境內進行的處理活動，同時——這一點更關鍵——也適用於在境外、以向境內自然人提供產品或服務為目的，或分析、評估其行為的處理活動。立法用語是有意寫寬的。一款在全球應用商店提供中文版的消費 App、一個向中國大陸地址發貨的 B2C 網站、一條按中國城市做分群的分析管道：每一條都可能觸發。

實務中，是否在適用範圍內很少是一個乾脆的「是」或「否」。它取決於具體產品線、用戶群體和資料集。因此，第一項合規任務並不是起草一份隱私政策，而是資料測繪：弄清楚中國個人信息從哪裡進入系統、存在哪裡、誰能接觸、流向何處。沒有這張圖，後續所有控制措施都是猜測。

同意：是合法性基礎，而非一個勾選框

PIPL 常被描述為「以同意為主」的體制，到了境外董事會上往往被翻譯成「加個勾選框」。這低估了義務的分量。PIPL 承認多種合法性基礎——合約必需、法定義務、人力資源管理、公共利益等——但同意仍是主力，且法律對何為有效同意設定了高門檻。

PIPL 下的同意必須是充分知情、自願做出且明確表達的。涉及敏感個人信息（金融帳戶、健康、生物識別、不滿 14 週歲未成年人資訊、行蹤軌跡等）或跨境傳輸的，需要單獨同意。所謂「單獨」，就是字面意義上的：一個明確、特定的同意行為，而非塞在通用條款裡的一段話。

境外企業可行的同意架構通常包括：

1. 分層告知：以平實中文說明處理者身分、個人信息類別、處理目的、保存期限及用戶權利。
2. 細粒度開關：敏感處理類別與行銷同意，應與核心服務同意分開。
3. 獨立的跨境同意流程：明確列出境外接收方、目的地法域及傳輸目的。
4. 撤回機制：撤回應與給出同意一樣便捷，不得使用暗黑模式。
5. 稽核日誌：按用戶記錄同意內容、時間，以及對應的告知版本。

最後一條比團隊預想的更重要。監管機構和商業對手越來越要求看證據，而非聽承諾。

跨境傳輸：三條路徑，一次決策

把中國個人信息送出境，是境外企業最常發現既有架構不合規的環節。PIPL 規定了三條主要路徑，並由後續網信辦辦法進一步細化：

• 網信辦安全評估：適用於關鍵資訊基礎設施營運者、達到規定數量閾值的處理者，以及「重要資料」出境。這是政府主導的審查，而非自我認證。
• 個人信息出境標準合約（中國版 SCC）：境內出境方與境外接收方之間簽署的範本合約，連同個人信息保護影響評估，向省級網信辦備案。適用於未達評估閾值的中等規模傳輸。
• 個人信息保護認證：由網信辦認可的機構出具。實務上對跨國集團內部傳輸最為實用。

2024 年的放寬措施對某些低量傳輸、為履行與本人訂立的合約所必需的傳輸（跨境電商、機票飯店、簽證申請）、以及跨境用工所必需的人力資源傳輸設置了豁免。豁免是實在的，但口徑較窄，取決於數量、合約必需性的實質，以及是否涉及敏感個人信息。把豁免當作長期姿態而不定期複核，是常見錯誤。

無論走哪條路徑，每一次出境都需要一份個人信息保護影響評估——形成書面文件，至少保存三年，並在處理活動發生重大變化時更新。

務實的合規基線

對於一家處理中國用戶資料、規模中等的境外企業，可辯護的基線大致如下：

• 涵蓋所有中國個人信息流的資料地圖，至少每年刷新一次。
• 中文隱私告知，以及區分一般同意、敏感同意與跨境同意的同意架構。
• 在中國境內指定代表或機構（如適用），並公示聯絡方式。
• 已選定的跨境傳輸路徑——評估、SCC 或認證——並留存底層影響評估。
• 對所有下游處理者（含雲端與分析供應商）的盡調。
• 滿足 PIPL 對監管機構與個人通知預期的事件回應程序。
• 對產品、工程與行銷團隊的培訓，明確哪些變更觸發新的影響評估。

這些都不算異國情調。它大體上和成熟的 GDPR 合規體系所做的事相同，只是在同意顆粒度、跨境備案與語言上疊加了中國本地的要求。

境外團隊最常踩的坑

三種模式反覆出現。第一，把 PIPL 當作 GDPR 通知的翻譯題——兩套制度在同意、跨境機制和國家角色上存在實質差異。第二，認為資料託管在境外就不適用 PIPL；域外效力是常態，而非例外。第三，把跨境備案拖到監管或中國商業對手主動來問之時，那時節奏已經不在你手裡。

特別是網信辦安全評估這條路徑，並不獎勵臨門一腳式的準備。SCC 備案相對快些，但同樣需要一份扎實的影響評估在後面撐著。

中國資料隱私合規，歸根到底是營運成熟度問題，而非法律巧思。規則是可知的。忽視的代價——執法行動、傳輸被阻斷、被現在自己也會提問的中國商業對手淘汰——則越來越具體。

如果境外團隊需要就某一具體出境結構、同意流程或備案獲得中國持牌律師的意見，Serene Jade 的中國律師服務可對接中國大陸與香港持牌律師。

FAQ

只是為了備案 SCC，需要在中國設立實體嗎？ 不一定。SCC 項下的境內出境方是實際在中國境內持有個人信息的一方——可能是你的本地子公司、合資夥伴，或你藉以營運的中國平台。如果完全沒有任何在岸存在，問題就變成是否需要依 PIPL 第 53 條指定境內代表。

把資料傳到香港算跨境傳輸嗎？ 算。在 PIPL 語境下，香港被視為中國大陸以外，因此向香港的傳輸與向倫敦或法蘭克福一樣，需要滿足三條路徑之一或有效豁免。

SaaS 客戶資料能否依賴「合約必需」豁免？ 僅在傳輸確屬履行個人本人訂立的合約所必需時——例如完成其下的訂單。B2B SaaS 中對終端用戶資料的傳輸、分析及大多數行銷用途不在此範圍，仍需走 SCC、認證或評估。