近日来,由于美国政府对TikTok的封禁政策,大量美国用户涌入小红书,短短两天内新增70万海外用户,推动其登上美国App Store下载榜首,小红书正在成为国际用户交流的重要平台。这一现象为小红书带来了显著的流量增长,但也使其面临前所未有的数据合规挑战。
本文将从数据跨境传输、个人信息保护、数据本地化存储三个方面,深入分析小红书在此事件中可能面临的数据合规风险,并提出专业化的应对策略。
数据跨境传输:法律冲突与合规难题
(一)国内外数据跨境传输的法律框架
随着数字经济的快速发展,数据已成为全球经济的核心生产要素。跨境数据流动推动了电子商务、数字贸易和全球供应链的优化,为技术创新和产业升级提供了重要支撑。互联网平台公司作为数据流动的主要载体,其国际化扩张和业务模式高度依赖数据的跨境传输。
然而,各国对数据跨境流动的监管政策存在显著差异,给平台公司带来了复杂的合规挑战。例如,欧盟通过《通用数据保护条例》(GDPR)强调个人隐私保护,美国倾向于支持数据自由流动,而中国则通过《网络安全法》《数据安全法》等法规,强调数据安全与有序流动。此外,俄罗斯、印度等国要求特定数据本地化存储,进一步增加了平台公司的运营难度。
欧盟《通用数据保护条例》(GDPR)对数据跨境传输设定了严格限制。条例要求数据接收国提供与欧盟相当的保护水平。具体来说,GDPR规定了三种数据跨境流动的条件,分别是基于充分决定的数据传输、基于采取适当保障措施的数据传输以及基于特殊情况的减损条款。根据GDPR,当欧盟委员会认定相关的第三国、第三国中的某区域或特定部门、或国际组织提供充足保护时,才可以将个人数据转移到第三国或国际组织。GDPR第46条规定了如果欧盟没有对特定国家、地区做出充分性决定的,一旦涉及个人数据的跨境传输,必须采取适当的保障措施以确保数据安全,包括标准合同条款(Standard Contractual Clauses, SCCs)等。同时,这些保障措施必须得到欧盟委员会或国家数据保护局等主管当局的批准。
而小红书事件的另一主角——美国,对数据跨境传输有不同于欧盟的规制方式。2024年在联邦层面美国发布了《美国隐私权法案》(American Privacy Rights Act,APRA),该法案旨在消除各州综合数据隐私法的拼凑现状,建立基本且统一的国家数据隐私权。该法案未对数据跨境有明确具体的要求,同年2月,拜登签署《关于阻止受关注国家获取美国人的大规模敏感个人数据及合众国政府相关数据的行政命令》(以下简称“《行政命令》”),2024年12月末,美国司法部制定了《关于落实EO 14117行政命令,以防止俄罗斯、伊朗、中国及其他受关注国家获取美国人的大量敏感个人数据和美国政府相关数据的最终规则》(以下简称“《最终规则》”)。在此之前,美国对本国数据出境的规制要求并不是直接通过对限制跨境传输实现的,而是从个人信息主体权益保护角度,一些州要求企业在跨境传输个人信息前,向个人信息主体充分披露跨境传输的目的和接收方信息。例如,根据《加州消费者隐私法》(CCPA)和《加州隐私权法案》(CPRA),数据跨境传输需要获得用户的肯定性明示同意。随着《行政命令》《最终规则》的通过,标志着美国在联邦层面逐渐收紧数据自由跨境传输的政策,并通过行政手段直接干预了原有的数据跨境监管体系。同时美国《云法案》(CLOUD Act)可能要求企业提供存储于境外的数据,具有长臂管辖的特征。依据该法,美国执法机构可以要求电子通信服务者或远程计算服务提供者披露其拥有、保管或控制的数据,无论这些数据是位于境内还是境外。该法将管辖与属地脱钩,实现数据跨境执法彻底“去地域化”。这显然与《个人信息保护法》等国内法对数据本地化规定形成了冲突。
中国《个人信息保护法》则明确规定,个人信息跨境传输需通过安全评估、认证或签订标准合同等方式满足合规要求,个人信息处理者因业务等需要确需向中华人民共和国境外提供个人信息的,应当通过国家网信部门组织的数据出境安全评估。《网络安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《数据安全法》对于数据出境的安全管理义务也有类似要求。作为下位法的《促进和规范数据跨境流动规定》对该问题有更细致的要求,数据处理者应当按照相关规定识别、申报重要数据。
(二)小红书面临的数据跨境的核心问题
拜登政府颁布的《行政命令》《最终规则》主要针对美国主体与受关注国家(中国在内)之间的数据流通行为,特别是涉及大规模敏感个人数据和政府相关数据的行为进行了禁止和限制。根据《最终规则》,敏感个人数据被定义为以下几类数据,特定的个人标识符(covered personal identifiers)、精确地理定位数据(Precise geolocation data)、生物识别标识符(Biometric identifiers)、个人财务数据(Personal financial data)等,并对上述各项数据分类设定了数量的门槛,例如,受管辖的个人标识符需超过10万名美国个人。
基于此,小红书APP目前可能收集处理的各类常见设备信息、账户信息、网络协议等,属于《最终规则》中列明的个人识别数据,因此可能较为容易被认定为构成敏感个人数据。当然,无论在境外运营App采用美国境内注册设立、设分支机构的TikTok模式,还是像小红书这样采用通过远程运营模式,均大概率构成《最终规则》下的“美国主体”的认定,结合上述对敏感数据的认定,从而适用该监管要求,并进一步导致关业务行为受到监管审查甚至不排除被要求停止开展的可能性。同时,跨境数据在传输过程中可能被黑客拦截或窃取,尤其是在经过多个网络节点和不同司法管辖区域时,增加了数据泄露的风险。数据在传输过程中内部人员恶意操作或外部攻击也可能导致数据未经授权被篡改,影响数据的准确性和可靠性,尤其是在涉及敏感个人信息时。
(三)应对策略
针对上述风险,我们认为小红书等全球数据平台需要建立数据隔离机制。将境外用户数据与境内用户数据完全隔离,对国际用户设置单独的服务器,确保数据不跨境流动。但尽可能在内容上通过算法推荐,打破虚拟的“墙”,实现国内IP和国外IP之间的内容可见但数据不流通,使得不同国家或地区的用户能保持交流同时满足合规要求。实现上述策略需要在数据传输过程中使用先进的加密技术,降低数据泄露风险。
但更为重要的是,类似小红书模式的立足国内布局全球的中国企业需要尽快寻求具有数据合规领域丰富经验的专业第三方团队合作。协助企业搭建面对全球化监管的合规体系,确保出海企业经营符合全球主要市场的法律要求,尽可能在全球市场竞争中占得先机。
个人信息保护与境外合规应对
(一)国内外个人信息保护的法律框架
在全球视野下,个人信息保护的法律规制呈现多元态势。欧盟的《通用数据保护条例》(GDPR)无疑是行业瞩目的标杆性法规,它全方位赋予用户强大权利束,其中知情权确保用户清晰知晓个人信息处理流程,访问权让用户随时能查询自身被收集信息详情,被遗忘权更是给予用户在特定情形下要求删除个人信息的有力保障。一旦企业违规,GDPR 设定的巨额罚款足以令任何大型企业望而生畏,最高可达 2000 万欧元或者企业上一财政年度全球营业额的 4%(以较高者为准)。
我国在个人信息保护立法进程中稳步迈进,《网络安全法》率先划定网络运营者的基本行为边界,强调个人信息收集、使用的合法性、正当性与必要性原则,奠定基石。《民法典》专辟章节细化个人信息保护要点,融入民事侵权救济路径。而《个人信息保护法》作为核心法规,进一步明确诸如敏感个人信息处理的特殊规则,针对跨境传输,要求企业必须进行严格的个人信息保护影响评估,且需向主管部门申报获批,全方位织密个人信息保护法网。
相比之下,美国的数据隐私保护体系则更为分散,主要依赖于联邦和州立法、判例法、侵权行为法、合同法以及各部门的法令等。例如,美国有《健康保险便携性与问责法》(HIPPA)、《金融服务现代化法》(GLBA)、《儿童在线隐私保护法》(COPPA)等行业特定的隐私保护法律。部分州制定了自己的隐私法,如前文提到的《加州消费者隐私法案》(CCPA)和《加州隐私权利法案》(CPRA)。小红书面对如此复杂且严苛的多国法律环境,稍有不慎便可能陷入合规泥沼。
(二)小红书面临的核心问题
随着小红书平台海外用户数量激增,用户地域分布及隐私保护需求呈现多元化特征,特别是欧美地区用户对个人信息保护敏感度较高。然而,平台现有个人信息收集机制在跨境数据传输、用户知情权保障等方面存在一定合规风险,亟需依据相关法律法规进行调整和完善。
其在个人信息收集机制方面的风险主要来源于用户同意与授权的复杂性。例如,对于某些新拓展的功能模块所涉及的额外信息收集,未能向用户充分阐释收集目的,究竟是用于精准个性化推荐,还是基于市场调研;收集方式是否安全可靠,采用何种加密级别传输;收集范围有无边界,是否存在过度收集倾向等,诸多模糊地带使得其关于用户隐私保护的合规风险骤升。
(三)应对策略
1.企业可以制定符合本地法律法规要求的隐私政策,服务全球市场的企业应根据目标市场的法律要求,制定符合当地用户习惯的隐私政策。
2.企业应通过多种渠道向用户明确说明数据处理的规则和目的,如通过弹窗提示、邮件通知、用户手册等方式。常见的方式是,在用户首次使用服务时,通过弹窗提示详细说明数据收集的目的和使用方式,并提供链接供用户进一步了解详细信息。此外,企业还可以定期通过邮件通知用户关于隐私政策的更新和重要变更,确保用户始终了解自己的数据如何被处理。
3. 企业还应提供透明的用户控制机制,允许用户查看、修改和删除其个人信息,并提供便捷的隐私设置选项,让用户可以根据自身需求调整隐私保护级别。
数据本地化存储:
合规要求与技术成本的博弈
(一)国内外数据本地化存储的法律框架
数据本地化存储是指要求企业将特定数据存储在数据来源国的服务器上,以确保数据主权和用户隐私保护。这一要求在全球范围内逐渐成为趋势,尤其是在涉及敏感数据(如个人信息)的场景中。
根据《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,关键信息基础设施运营者(CIIO)在中国境内收集和产生的个人信息和重要数据,应当在中国境内存储。如果确需向境外提供数据,需通过安全评估、认证或签订标准合同等方式满足合规要求。美国虽然没有统一的联邦数据本地化法律,但各州有相关立法。例如,《加州消费者隐私法》(CCPA)和《加州侵犯隐私法案》(CIPA)对数据收集、存储和传输提出了严格要求。此外,美国政府对涉及国家安全的应用程序(如TikTok)采取了严格的审查措施,要求其数据存储和处理必须符合美国法律。而欧盟的《通用数据保护条例》(GDPR)则规定欧盟用户的数据跨境传输需满足“充分性保护”标准,即接收国需提供与欧盟相当的数据保护水平。如果数据接收国(如中国)未被欧盟认定为“充分性保护”国家,企业需通过标准合同条款(SCCs)或约束性企业规则(BCRs)等方式确保合规。
(二)小红书面临的核心问题
鉴于美国监管机构此前对TikTok提出诸多质疑,可以合理推测小红书同样难以置身事外。用户数据安全、数据合规性这类问题,极有可能成为美国监管机构针对小红书的关注点。小红书需要遵守各个国家地区对数据本地化存储的法律规定,实现本地化的数据部署既是全球法域内合规的要求,也是降低其受到美国重点针对性监管风险的必要措施。
在本次小红书事件中,主要的新增用户来自于美国。但美国的监管体系对数据本地化存储并没有强制性要求。联邦层面,美国目前没有通用的个人数据本地化存储要求,也没有对个人数据跨境传输的普遍限制。包括2024年颁布的《行政命令》也尚未授权监管部门采取任何对相关数据或设施进行本地化的强制要求。这意味着,美国用户的数据可以自由地存储在美国境外,包括中国境内。小红书可以合法地将美国用户的数据传输至中国境内,只要其遵守美国的相关隐私法规,例如《加州消费者隐私法》(CCPA)。
同时,从商业角度看来,推进企业在数据领域的合规建设,尤其是数据本地化存储将显著增加技术成本和数据管理的复杂性。企业需要有决心去克服法律和技术上的障碍,这可能是个漫长且充满挑战的过程。
(三)应对策略
为了应对上述大量海外用户涌入带来的合规要求和数据管理成本增加的问题,我们认为小红书可以采取以下应对策略:
1.采用分阶段推进数据本地化部署。小红书可以优先在对数据本地化有严格要求的市场部署本地化存储设施,如欧盟、俄罗斯和印度等。严格按照该地区对数据保护的法规要求,对该国用户的关键数据在本国实现完整的存储和处理。优先通过在这些地区设立数据中心,小红书等企业可以确保符合当地法律法规,减少法律风险;
2.逐步扩展至其他地区。在优先市场设立本地化存储设施后,小红书可以逐步扩展至其他地区,如美国、加拿大、澳大利亚等。虽然这些地区对数据本地化的要求相对宽松,但逐步扩展可以确保全球数据管理的统一性和合规性;
3.采用云服务解决方案:与国际云服务提供商合作,降低数据存储和管理的技术成本;
4.建立数据管理团队:组建专业的数据管理团队,确保数据存储和使用的合规性。数据管理团队应负责制定和执行标准化的数据管理流程,包括数据收集、数据清洗、数据存储、数据分析和数据报告等环节。团队需要定期进行监督和检查,确保每个环节都按照预定的流程进行,并及时调整和改进。此外,团队还应负责法律法规检查、风险评估、政策流程实施和组织结构建设,确保数据存储和使用的合规性。
结语:合规是全球化扩张的基石
小红书这轮“泼天富贵”的独特全球化之路始于机缘造就,可以肯定未来一定遍布困难挑战。流量红利固然诱人,但背后的数据合规风险不容忽视。正如一句法律格言所说:“法律是商业的底线,合规是发展的基石。”只有在合规的基础上,小红书才能真正实现从“流量盛宴”到“全球舞台”的跨越。笔者认为,平台需要在数据跨境传输、个人信息保护和数据本地化存储等方面采取切实行动,建立完善的合规管理体系。只有这样,小红书才能在全球化浪潮中站稳脚跟,实现可持续发展。
对其他同样希望布局海外走向全球的企业,合规不仅是应对监管的必要措施,更是平台长期发展的战略选择。未来的小红书可以再进一步通过技术创新、开展法律合作和加强用户教育的方式,构建一个既满足用户需求,又符合全球法律要求的国际化平台。经此一事不难看出,国际化产品是全球用户共同的需求,各国网民对于这类全球化的产品和其推动的文化交融是喜闻乐见的,也希望有更多的中国的企业借势摸索出自己的全球化布局的路径。
王彩琴
■ 北京市盈科(深圳)律师事务所 高级合伙人
■ 执业领域:数据合规、出海合规、通信及互联网综合法律服务
宓瑞杰
■ 北京市盈科(深圳)律师事务所 律师助理
撰稿:王彩琴
