本文旨在通过对案件关键细节的复盘，识别并提炼出若干易被境外监管机构重点攻击的合规薄弱环节，以帮助中国出海企业有效应对相关风险与挑战。

本次分析将以美国联邦贸易委员会（FTC）在2024年对Avast有限公司等案件发起的行政投诉（案卷号：Docket No. 2023-033）（以下简称为“起诉书”）为基础，系统梳理其执法逻辑与关注重点，进而为中国出海企业提炼具有实操价值的合规经验与风险防范策略。

一、 出海数据合规第一步：审慎规划出海架构

常有企业主询问：“是否可以在不在目标国家设立本地公司？” “我们可以在国外设立企业，本土不设立来降低风险吗？”

通过检索相关案例，结论性意见是：即使未在当地注册实体，若多个关联公司在所有权、高管及管理层、业务职能、员工配置、办公场所等方面高度重合，且存在资金混同的情形，境外法院或监管机构仍可能将其认定为“单一经济实体”（single enterprise）或“共同企业”，进而要求各关联方承担连带法律责任。

下文我们将通过一宗典型案例进行分析说明：

（一）案件基本情况

联邦贸易委员会起诉AVAST LIMITED（一家英国有限责任公司）、AVAST SOFTWARE S.R.O.（一家捷克共和国有限责任公司）及JUMPSHOT, INC.（一家特拉华州公司）。其中Jumpshot是Avast Ltd的全资子公司，基于Jumpshot注册在美国，美国联邦贸易委员会对三家公司都提出了行政投诉。[1]

（二）出海企业分支或者公司的设立问题

1.案件对关联性的认定

根据起诉书，控方认为被申请方Avast Ltd、Avast Software s.r.o.和Jumpshot（合称“被诉方”）在从事下述违法行为时，作为一个共同企业（common enterprise）进行运作。被诉方通过具有共同所有权、高管、经理、业务职能、员工和办公地点，并且资金混同的关联公司开展下述业务活动。由于被诉方作为一个共同企业运作，因此每一方均对下述所指控的行为和做法承担连带责任。

与本案/本事项相关的法律依据如下：

在美国加州消费者隐私法California Consumer Privacy Act （“以下简称CCPA”）第1798.100条规定：“商业实体”（Business）是指：[2]

（1）任何以营利或为其股东或其他所有者获取财务利益为目的而设立或运营的独资企业、合伙企业、有限责任公司、 corporation（公司）、协会或其他法律实体，该实体收集消费者的个人信息，或其个人信息由他人代为收集，并且该实体单独或与其他方共同决定处理消费者个人信息的目的和方式，同时在加利福尼亚州开展业务，并满足以下任一门槛条件：

（A）截至该日历年1月1日，在前一日历年中，其年总收入超过两千五百万美元（$25,000,000），该金额已根据《加州民法典》第1798.185条（a）款第（5）项的规定作出调整；

（B）单独或合计，每年购买、出售或共享100,000名或以上消费者或家庭的个人信息；

（C）其年收入的50%或以上来源于出售或共享消费者的个人信息。

（2）任何受第（1）款所定义的“商业实体”控制或控制该商业实体、与其使用共同品牌标识、并与该商业实体共享消费者个人信息的实体。

其中，“控制”（Control）或“被控制”（controlled）是指：

持有或有权对某商业实体任何一类具有投票权证券的超过50%的已发行股份进行投票；

· 以任何方式控制多数董事（或履行类似职能的个人）的选举；

· 或对公司管理拥有支配性影响力。

· “共同品牌标识”（Common branding）是指共用名称、服务标志或商标，使得普通消费者会认为两个或多个实体属于同一所有权体系。

2.案件管辖权的确定

美国联邦法院对外国公司行使管辖权，主要可以从三个层面来理解：事项管辖（subject-matter jurisdiction）、人身管辖（personal jurisdiction）、以及域外适用的法律基础。本案中应用的是事项管辖。美国联邦贸易委员会（FTC）基于《联邦贸易委员会法》（FTC Act, 15 U.S.C. §45）起诉，主张被申请人从事不公平或欺骗性商业行为。

本案例正是上述条款在实践中的具体体现。因此，在企业出海过程中，应特别注意：即便未在当地设立独立法人实体，若在人员安排、高管团队、品牌使用等方面存在高度统一或混同，仍可能被境外司法或监管机构认定为“同一实体”，从而承担连带责任。同时在实践中，联邦法院也会倾向于跨域管辖，且该跨域管辖不同于以往常被提及的长臂管辖，该跨域管辖是基于联邦贸易委员会法（《Federal Trade Commission Act》）所确定的管辖原则之一。

二、出海数据合规第二步：隐私政策中关于个人信息的定义

常有企业主询问：“Cookie是不是个人信息？” “搜索历史记录是否是个人信息”，“在一个封闭的会员制俱乐部发布信息是否要遵守个人信息保护相关法律？

我们从本案例继续分析：

 联邦贸易委员会称被申请方利用Avast扩展程序、Avast Secure Browser、Avast移动软件和Avast桌面软件（合称“Avast软件”），表面上为提供安全和隐私服务，实际上从这些产品的用户（“Avast用户”）处收集浏览信息，包括：访问的网页统一资源定位符（URLs）；后台资源的URLs（例如放置Cookie的第三方域名，或从除显示URL之外的其他域名提取的图片）；消费者的搜索查询；以及第三方放置在消费者电脑上的Cookie的值。

通过该案例可以看出，美国法规中对个人信息定义和中国的法规稍有差异。

1.美国《加州消费者隐私法》（以下简称“CCPA”）所界定的个人信息范围，对比中国相关法规中“个人信息”概念可以做扩张性理解。

2.对于个人信息处理、家庭活动场景以及平台责任，应予以区分对待、分别适用相应规则。

根据CCPA第1789.140条，（v） (1) [3] “个人信息”是指能够识别、关联、描述某一特定消费者或家庭，或在合理情况下可被直接或间接关联或链接至该特定消费者或家庭的信息。

个人信息包括：

（A）标识符，例如真实姓名、别名、邮政地址、唯一个人标识符、在线标识符、互联网协议（IP）地址、电子邮件地址、账户名称、社会安全号码、驾照号码、护照号码，或其他类似标识符；

（F）互联网或其他电子网络活动信息，包括但不限于浏览历史、搜索历史，以及消费者与互联网网站、应用程序或广告互动的相关信息；

（q）“家庭”（household）是指无论以何种方式认定的、在同一住宅地址共同居住并共享使用通用设备或服务的一组消费者。

在早期，甚至cookie到底是否是个人信息都存在争议。目前世界各国已经形成共识——cookie是个人信息的一种。

随着科技的发展，个人信息保护的范围也逐步发生变化，并且各国目前有效的法律法规中，个人信息的定义及保护的范围也存在差异，以欧盟与美国为例：

1.欧盟或者美国的立法在初期就提出了household的概念。中国的个保法并没有单独提出这个概念。而提出这个概念，目的是区分随着科技的发展出现的复杂商业场景中的不同角色的责任。

2、欧盟GDPR第3条第2款规定，本指令不适用于自然人在从事纯粹个人或家庭活动过程中对个人数据的处理。并进一步说明，“完全属于个人或家庭性质的活动”包括通信往来、地址记录的保存和此类活动范围内进行的社交网络互动和在线行为等，并明确将这些活动排除在指令适用范围之外。比如：运营自己的网站，上传关于个人爱好的教学视频（如插花教程）；通过社交网络账号与全球同样热爱插花的人建立联系；在电商平台出售自己不需要的生日礼物，都是属于household家庭活动的范围。因此不属于个人信息保护的范围。因此，GDPR在立法时明确将纯粹个人或家庭活动排除在个人信息保护义务之外的。

3、 美国CCPA的立法时间晚于欧盟《通用数据保护条例》（GDPR），彼时科技发展水平与社会数据实践已发生显著变化，CCPA将纯粹个人或家庭活动纳入了保护范围。

尽管GDPR将纯粹个人或家庭活动排除在个人信息保护义务之外，但GDPR进一步明确了家庭活动中区分平台的责任情形。究其原因，由于强大的互联网功能，直接导致：“普通”公民现在能即时向全球任何地方、任何人公开自己或他人的个人数据。从而引发了个人对自己个人数据的处理和平台责任之间的法律不确定性：究竟是发布信息的个人（常涉及他人），还是托管、索引该信息的平台应承担责任？欧盟29工作组（WP29）制定了一套基本标准，用于判定特定处理是否属于个人或家庭目的。

· 个人数据是否向无限定人数传播，而非仅限于亲友或熟人小圈子？

· 所处理的个人数据是否涉及与发布者无个人或家庭关系的个体？

· 数据处理的规模与频率是否显示出专业性或全职活动特征？

· 是否有证据表明多人以集体、有组织的方式共同行动？

· 是否对他人造成潜在不利影响，包括侵入其隐私？

如果答案是否定确定的，那么该数据处理行为可依法免责，不适用个人信息保护义务。

但尽管如此，为个人或家庭目的处理他人个人信息的平台也须在一定程度上履行以下义务：

· 遵守适用的数据保护法律法规所规定的基本安全要求；

· 尊重他人的个人信息权利，包括访问权、更正权及删除权（即“被遗忘权”），例如在他人提出请求时，及时从社交页面等公开或半公开平台中删除其个人信息；

· 确保所处理的他人个人信息符合数据保护原则，包括但不限于准确性、完整性与适时更新；

· 具备合法的处理依据，不得在缺乏法律基础（如同意、合同履行必要性等）的情况下处理他人个人信息；

· 在发布他人信息前或发布后合理时间内，及时告知信息主体，并建立有效机制，妥善回应其提出的异议或权利行使请求。

简言之，若他人或者平台已切实履行上述合规义务，可主张已尽到合理注意义务和主体责任，从而在法律上减轻或免除相应责任。

分析至此，答案不言而喻，对于出海企业而言，相关信息是不是属于个人信息，应结合企业业务涉及的国家/地区的法律规定进行确定，不同的国家/地区，不同的时点对个人信息的定义及保护范围可能均存在差异。至于在不同的信息发布渠道发布信息是否要遵守个人信息保护相关法律，首先要明确相关信息是否属于个人信息，如果属于，则需要遵守个保相关法律，如果不属于，发布方/平台方仍可能需要在一定程度上履行相关的平台义务或责任。因此，出海企业，隐私政策中关于个人信息的定义，应因时因地进行确定。

三、 出海数据合规第三步：隐私政策是否可“不写”或者“少写”，是否可以先收集再通知？

常有企业主询问：“隐私政策是否可以部分写部分不写？” “是否可以先收集，后一步通知”，或者选择不告知？

本案中，联邦贸易委员会称被申请方在Chrome网上应用店中将Avast扩展程序描述为保护隐私和安全。消费者在Chrome网上应用店中搜索“Avast Online Security”时，在未看到任何关于被申请方收集或出售浏览信息的披露或Avast隐私政策链接的情况下可以安装该扩展程序。本案中的重点是在主页上有隐私政策的情形下，通过链接跳转到本公司其他产品进行下载时，需要再次提供隐私政策链接。

据美国CCPA的要求，企业在收集个人信息之时或之前，必须向个人清晰告知所收集的信息类型、使用目的、是否出售或共享、以及个人可行使的权利等内容。这一要求构成了广为人知的“知情权”（Right to Know）的核心。

CCPA的第1798.100条规定[4]：关于收集个人信息的企业的基本义务

（a）控制消费者个人信息收集的企业，应在收集时或收集之前，向消费者告知以下事项：（略）。

由此可见，“通知”的时间点是监管机构执法检查的重点环节。若企业没有隐私政策或隐私政策不完整，或采取“先收集、后通知”（即在未事先履行告知义务、未取得同意的情况下先行获取个人信息），或不进行告知、未取得同意等的做法，均构成明显的违规行为，面临相应的法律后果。

四、出海数据合规第四步：隐私政策中的表述应当审慎严谨

实践中，不少企业负责人会问：“是否可以将隐私政策撰写得更具专业感？比如套入高级的科技”或”能否参考甚至直接使用其他企业的隐私政策文本？”

本案中，联邦贸易委员会起诉被申请方仅在其中一款产品——Avast桌面软件的安装过程中提供了一个弹出通知。在任何其他产品的安装过程中均未提供此类通知，并且在已经下载了Avast软件的Avast用户（包括Avast桌面软件用户）也没有收到任何通知，尽管被申请方出售了从这些用户那里收集的信息。此外，至少有一个版本的Avast桌面软件弹出通知错误地声称所收集的“数据已完全去标识化并汇总”，后经核查相关数据，被申请方实际上并未对数据进行去标识化处理。

由此可见，隐私政策中的表述应当审慎严谨。鉴于隐私政策系公开发布于网站，其内容本质上构成具有法律效力的书面证据，对于其中关于公司所采取的具体措施与技术手段的描述，更应慎之又慎。

五、出海数据合规第五步：对第三方转移数据是否可不在隐私政策中披露？

实践中，不少企业负责人会问：“我们收集的数据转移给第三方是不是必须披露？”“我们有很多第三方：供应商，合作伙伴，我们的下游企业等等，一披露不是把我们的商业秘密都泄露了。”

本案中，联邦贸易委员会称尽管被申请人大力宣传其产品的隐私和安全功能，但在许多情况下，被申请人并未披露消费者们的浏览信息会被出售给第三方，或者对这些数据的披露方式作了虚假陈述。例如，直至2018年，受访者的隐私政策并未表明消费者的浏览信息会在执法或服务提供商之外的背景下被披露给第三方；而在2018年修订该政策时，修订后的政策又对数据的披露方式作出了虚假陈述。

据CCPA1798.110条规定，企业在收集个人信息之时或之前，必须向个人清晰告知所收集的信息类型[5]：消费者有权知悉其个人信息被收集的情况；有权访问其个人信息

（a）消费者有权要求收集其个人信息的企业向其披露以下信息：

（1）该企业已收集的关于该消费者的个人信息类别；

（2）收集该个人信息的来源类别；

（3）收集、出售或共享个人信息的商业或经营目的；

（4）企业向其披露个人信息的第三方类别；

（5）该企业已收集的关于该消费者的具体个人信息内容。

实际上，企业在日常经营中通常会与大量第三方开展数据交互。例如：

企业使用的ERP系统可能需要向独立的第三方系统传输财务数据；为完成订单履约，企业需将部分客户信息（如收货地址、联系方式）发送给仓储或物流服务商，以便安排发货；若采用第三方支付系统（如PayPal、Stripe或国内的支付宝、微信支付），客户的支付信息（包括信用卡号等敏感数据）也会被传输至该支付平台的系统进行处理。

若认为对以上信息都要进行披露，则是对CCPA中对第三方的定义存在误解。根据CCPA第1798.140条规定Definitions（ai） “第三方”是指不属于以下任何一类的主体：

(1)消费者有意互动的企业，且该企业在本法项下于消费者当前与其互动过程中收集了消费者的个人信息；
(2)该企业的服务提供商（service provider）；
(3)承包商（contractor）。

由此可见，若将信息披露给属于企业内部流程运作环节中一环的提供商是不需要披露的。那么需要披露的是什么？常见的类型如下：

广告技术公司：包括广告交易平台、需求方平台和供应方平台，用于投放个性化广告；

社交媒体平台：如Meta、Google等，通过其像素或SDK收集浏览行为以支持广告定向；

数据经纪商：从事消费者数据聚合与销售的公司；

市场研究机构：用于消费者趋势分析和产品开发的第三方调研公司；

营销网络：跟踪推荐链接转化并支付佣金的合作平台。

因此，除将信息披露给属于企业内部流程运作环节中一环的提供商外，出海企业若将信息披露、转移给其他合作第三方，均是需要履行披露义务的。

六、出海数据合规第六步：数据存储的期限

本案中，联邦贸易委员会称被申请人在Jumpshot从Avast获取浏览信息的整个期间，Jumpshot从未删除过任何数据。截至2020年1月，Jumpshot存储的浏览信息已超过8拍字节，这些数据可追溯至2014年。被申请人通过Avast软件收集消费者的浏览信息，以细粒度形式无限期存储这些信息，并在未充分告知且未经消费者同意的情况下，将这些细粒度信息出售给第三方。

根据CCPA第1798.100[7]条规定（3）企业应说明其计划保留每一类个人信息（包括敏感个人信息）的期限；若无法确定具体保留期限，则应说明用于确定该期限的标准。但无论如何，企业不得为每一项已披露的个人信息收集目的，将消费者的个人信息或敏感个人信息保留超过实现该目的所合理必需的时间。

因此在实操中，企业不可心存幻想：数据的删除即使是在接到当局的询问时候再删也来得及。通常当局会检查要求企业提供数据删除任务的执行日志，包括删除时间、数据类型、操作者、删除方法（如逻辑删除、物理删除）等信息。

此外，收集的数据若经过聚合形成聚合数据之后，该聚合数据可不必删除（原始数据也必须在法律的规定保留期限届满前进行删除），且可以出售，使用的。法律依据为CCPA 第1789.145条规定：

（a） (1)本章对企业的义务不得限制企业以下能力：（F）收集、使用、保留、出售、共享或披露经去标识化处理的消费者个人信息或汇总的消费者信息。不管汇总或者聚合的个人信息是经过几次处理，只要能识别到个人或者借助其他数据能识别到个人的，即属于个人信息的保护范围。

七、结语

在本案中，联邦贸易委员会（FTC）发起行政投诉后，被申请人与美国联邦贸易委员会消费者保护局（Bureau of Consumer Protection, BCP）签署了一份和解协议。委员会随后据此作出了正式命令（Order）。除此命令中明确载明的情形外，被申请人对诉状中的各项指控既不承认也不否认，并且会遵守以下要求：

1）制定并实施一项全面的隐私保护计划；

2）提供书面关于该计划的内容、实施及维护情况的记录；

3）同时提交评估报告；

4）对员工提供内部培训；

5）接受外部评估；

6）自愿支付16,500,000美元，此笔费用将会支付给消费者作为赔偿。

对中国出海企业而言，本案带来的关键启示在于：即便联邦贸易委员会（FTC）提起的行政投诉表面上以“欺骗消费者”为法律依据，其核心关键实则指向个人数据保护合规问题。从上述执法实践可见，一旦被认定违法，企业不仅将面临强制性的外部审计与合规评估——此类程序通常成本高昂；更需接受政府对内部数据合规制度及管理体系的持续监督与审查。

上述合规成本、监管负担及潜在声誉风险，均需企业结合自身业务收入、市场战略与法律风险进行系统性权衡与前瞻性规划。合规不必追求完美，但绝不能缺席——及早布局，六十分亦可通关；未雨绸缪，方能从容出海。