企业内部合规

• 梳理企业业务相关的数据保护法律。全球数据保护法律呈现出明显的碎片化倾向，如欧盟《通用数据保

护条例》（GDPR）、英国的UK GDPR、美国的《加州消费者隐私法案》（CCPA）等，涉外律师需要保

证此间数据处理活动的合法性（如获得用户同意）、保障数据主体的权利（如访问权、删除权）、以及

在特定情况下任命数据保护官（DPO）

• 为企业设计合规的数据出境方案。对于全球化运营的企业而言，数据跨境流动是业务的生命线。然而中

国、欧盟等地对数据出境设置了严格的法律障碍，涉外律师数据出境方案中用到的主要工具有：

• 标准合同条款（SCCs）：与境外数据接收方签署由监管机构预先批准的标准合同

• 约束性公司规则（BCRs）：在跨国公司集团内部建立一套具有法律约束力的数据保护规则，经监管

机构批准后，可作为集团内数据自由流动的基础

• 充分性认定：将数据传输到被来源国监管机构认定为具有同等数据保护水平的“白名单”国家

• 注意金融自由区的特殊规则。在阿联酋，迪拜国际金融中心（DIFC）和阿布扎比全球市场（ADGM）等

金融自由区拥有自己独立的、与GDPR高度对齐的数据保护法和更积极的监管机构，罚款额度也更高。