普華永道中國風險與監管業務經理楊雄：數據與新技術的合規已成「生存題」 | 2025出海大會

7月25日，由浙江省商務廳、金磚國家特殊經濟區中國合作中心祕書處、杭州市商務局、錢塘區商務局指導，36氪、錢塘建設集團聯合主辦的2025「以「匠心」至「世界」」出海大會將於杭州錢塘君瀾大飯店盛大啟幕。作為36氪全新打造的聚焦全球化與出海領域的IP盛會，大會設立主會場及分會場「投資金磚」-國別合作對接會。大會主會場將分為「不確定中確定」和「在全球做生意」兩大篇章，聚焦消費、科技、電商、金融、新能源等出海熱門領域，涵蓋10余主題演講、5場圓桌對話與East Forward 2025出海全球化創新名冊發佈環節，解碼「產品 - 技術 - 生態」協同增長的確定性邏輯，為企業穿越全球化迷霧、構建可持續出海能力提供可借鑑的全球化發展路徑。

當日，普華永道中國風險與監管業務經理楊雄帶來《中國企業出海高風險領域與海外一站式合規運營》的主題分享。

以下為楊雄演講內容，經36氪整理編輯：

各位來賓，下午好！提到普華永道，大家可能首先想到財税服務，但其實我們的諮詢業務同樣覆蓋廣泛，我所在的風險與監管團隊就是其中重要一環。

前些年，我們的核心業務是幫助外資企業進入中國，應對本土監管挑戰；而疫情后，越來越多的中國企業從 「走進去」 邁向 「走上去」—— 在海外拓展影響力、加大投資與本地化建設，這也讓我們的工作重心轉向了 「助力中企出海」。目前，我們服務的客户中，80%-90% 是潮玩、茶飲、智能製造、新能源車企等出海企業，深刻感受到他們在全球化過程中面臨的合規與風險挑戰。

今天，我想聚焦數據與新技術的合規風險，結合實踐案例聊聊企業出海該如何應對。

一、全球監管收緊：數據與新技術成出海 「第一道門檻」

2018 年歐盟 GDPR 生效后，全球已有超過 80% 的國家出臺了數據與安全保護法規 —— 中國有《個人信息保護法》《數據安全法》，美國、巴西、東南亞各國也有各自的監管要求。這種 「全球立法潮」 的背后，是各國對數據戰略價值的共識：數據既是技術創新的核心，也是國家發展與民生福祉的重要支撐。

對企業而言，這意味着出海過程中必須回答一個關鍵問題：在多國運營時，數據能否自由流動？ 比如，中國總部能否上收海外分公司的運營數據、用户信息、產品數據？答案取決於當地法規：

歐盟對 「數據出境」 設置了嚴格的 「充分性認定」，非EEA或白名單國家需通過數據跨境風險評估才能接收數據；

美國今年 4 月發佈的行政令，首次對特定國家、特定類型數據的數據交易設限，違規可能面臨刑事責任（包括監禁）；

東南亞和南美的數據合規立法逐漸完善，對於人工智能等新技術應用也陸續發佈細化要求。

這種 「區域差異」 要求企業必須針對不同市場的立法模式與政治特點，制定差異化合規策略。否則，數據無法有效回傳將影響總部對全球業務的統籌，而違規傳輸則可能導致天價罰款甚至業務停擺。

二、新技術監管：從人工智能到日常應用的 「合規雷區」

除了數據，新技術的監管差異更值得警惕。中國對人工智能有算法備案、大模型備案等嚴格要求，而其他國家的監管邏輯則各有側重 —— 既有覆蓋生成式與非生成式 AI 的 「全品類監管」，也有針對 OCR、人臉識別等細分技術的 「精準管控」。

舉個具體例子：國內常見的指紋打卡、人臉識別考勤，能否直接複製到海外工廠？答案是 「視國家而定」：

歐盟《人工智能法案》將人臉識別列為 「高風險技術」，要求企業證明其 「必要性」 與 「安全性」；

美國部分州（如伊利諾伊州）對生物識別數據的採集有特殊許可要求，違規可能面臨集體訴訟；

巴西提出了《人工智能法案》，立足於保障公民權利、推動技術創新，同時確保AI安全使用，當前該法律已通過參議院審覈。

可見，無論是發達市場還是新興市場，新技術監管都可能成為企業進入的 「第一道門檻」。

三、美國市場：地緣政治下的數據流動 「新規則」

北美作為中國企業出海的重要目的地，近期監管變化尤其值得關注。在拜登政府的新行政令下，美國從 「數據自由流動」 轉向 「選擇性限制」—— 針對特定國家、特定數據類型（如敏感個人信息、技術研發數據）的跨境傳輸設置障礙。

這對三類企業影響最大：

電商平臺：用戶數據的存儲與跨境調用需符合 「數據本地化」 要求；

聯網設備廠商：設備產生的運行數據可能被歸類為 「敏感信息」，出境需審批；

科技服務企業：與美國企業的技術合作中，數據共享可能觸發國家安全審查。

更嚴峻的是，違規后果不僅是罰款，還可能涉及刑事責任。這也是為什麼現在不僅美資企業，中國頭部企業也紛紛加強對美國數據監管的研究 —— 地緣政治已成為數據合規不可忽視的變量。

四、應對策略：從數據梳理到全球管控的 「全流程方案」

基於服務眾多中企的經驗，我們總結出一套 「全流程合規方法論」，核心包括四個維度：

數據全鏈路梳理

合規的前提是明確 「有哪些數據」：員工信息、供應商數據、銷售數據、用户隱私等，都需納入梳理範圍。同時，承載數據的系統（如 ERP、CRM）與底層基礎設施（服務器、雲服務）是否符合當地要求，也是基礎中的基礎。

分階段、分場景應對

企業往往同時佈局多個海外市場，不可能 「一次性解決所有問題」。需結合業務模式（辦事處、貿易公司、工廠）與當地監管強度分級應對：

對監管嚴格的市場（如歐盟、美國），優先解決核心數據的本地化存儲與出境審批；

對新興市場（如東南亞），重點關注數據泄露的應急響應機制（如 24 小時 / 72 小時通報要求）。

基礎設施與技術棧適配

數據中心的佈局需平衡 「監管要求、業務訴求與地緣風險」：

美國因政策收緊，數據回傳難度加大，需考慮在當地建立獨立數據中心；

歐盟要求 「數據主權」，建議採用區域級數據匯合模式（如歐洲數據中心服務全歐業務）；

技術棧的選擇也需本地化 —— 部分國家對中國技術（如特定雲服務、算法模型）有限制，需提前評估替代方案。

建立全球數據共享管控機制

與第三方（供應商、合作伙伴）的數據交互是高風險環節，需通過三大措施防控：

簽訂標準化的數據處理協議，明確權責與泄露追責條款；

建立數據加密與訪問權限管理體系，減少內部泄露風險；

制定應急響應預案，確保數據泄露后能在法定時限內完成監管通報。

五、普華永道的全球化支持網絡

為更好服務中企出海，我們在全球 50 個國家設立了 「中國業務服務中心」，派駐中國籍專家紮根當地。無論是北美、歐洲等成熟市場，還是非洲、南美等新興市場，當地團隊都能提供 「語言無壁壘、成本最優化」 的服務，幫助企業對接資源、應對突發合規問題。

從出海前的風險評估、合規體系搭建，到出海中的實時監管跟蹤，再到出海后的爭議解決，我們可提供端到端支持。如果大家有具體需求，歡迎會后交流。

最后想強調：在全球化進入 「深水區」 的今天，數據與新技術的合規已不是 「選擇題」，而是 「生存題」。唯有建立系統化的風險意識與應對能力，企業才能在海外市場行穩致遠。

謝謝大家！