案例：某跨国企业欧洲设厂遭遇数据跨境合规难题

重庆某上市公司是一家按照国际标准为跨国制药公司和生物制药公司提供医药定制研发生产服务的高新技术企业，在比利时、美国、瑞士等国设有子公司。为满足“供应链本地化”要求，该公司准备在斯洛文尼亚设置全资子公司作为研发生产基地。

2022年-2023年，该公司在斯洛文尼亚筹备、建设期间，子公司当地管理团队提出，限于欧洲个人数据出境及数据安全法规要求，子公司生产经营、人事管理等数据不得传输至中国母公司，除非采用的数据跨境传输机制满足欧盟及斯洛文尼亚数据监管法律法规要求。母公司与子公司管理团队迟迟未就此问题达成一致，延误了斯洛文尼亚生产基地迟迟无法投入运营。

该跨国企业于2023年3月开始，聘请中国及斯洛文尼亚律师团队，经过9个月反复沟通协商，针对敏感个人信息认定、公司工作协同平台等问题，根据欧盟2023年最新数据跨境规则，设计了符合欧盟、斯洛文尼亚、美国等多国数据跨境流动监管规定的数据传输机制。律师团队协助母子公司拟定并签署了数据跨境提供风险影响评估报告、数据跨境标准合同条款，并实施了满足合规要求的补充数据安全措施。2024年5月，该企业斯洛文尼亚研发生产基地正式投入运营。

全国政协委员，重庆静昇律师事务所主任、最高人民法院特约监督员彭静解读：

数据出境合规问题，是中国企业近年来在欧盟直接投资反复遭遇的合规痛点问题。由于对境外数据合规法律、政策实践缺乏认识，中方投资者与欧盟当地投资合作方往往难以就“数据出境合规”达成默契，造成投资项目落地遇到困难。

欧盟于2016年生效实施《通用数据保护条例》并不断通过欧洲数据保护机构“决定”“推荐”等方式更新升级其个人数据出境合规要求。同时，欧盟对他国个人数据保护水平持怀疑态度。这进一步提升了数据出境合规难度。

我们向遭遇同样问题的中国跨国企业提供以下建议：

一方面，欧盟《通用数据保护条例》第45条以下规定了“充分性认定”“标准合同条款”等多种合规数据跨境流动机制。中国企业应当擅于结合各种机制，以签署“标准合同条款”作为基础合规机制，同时利用美国、日本等已被欧盟认定为“达到充分保护个人数据水平”的国家，作为数据“安全港”“中转地”，设置当地服务器。综合适用欧盟、美国、日本、新加坡等国数据跨境监管法律，实现欧盟数据顺利回流母公司。

另一方面，中国跨国企业应在对外投资初期，即针对投资国当地包括数据保护领域在内的各种投资监管法律、政策、措施，委托专业、可靠的律师团队，进行全面尽职调查。针对各项监管要求，提早设计并落实合规应对路径，确保对外投资顺利开展。

（高志民）