律师视点

刘俊丽:国际工程施工现场数据的合规采集与利用(上)——以劳工与环境数据合规管控为例

2026-07-10

  摘要

  智慧工地、BIM建模、物联网传感器这些数字化工具,如今已是国际工程项目的标配。工地现场产生的数据量越来越大。其中有两类数据监管最严、风险最高:一类是多国籍劳工的个人信息,一类是施工环境监测数据。中资企业在海外做基建,普遍存在几个问题——采集数据没有边界、存储时不区分是否在境内境外、跨境传输没有审批、谁都能调用数据而缺乏权限管控。再加上我国《数据安全法》《个人信息保护法》、东道国的数据隐私立法、FIDIC合同条款、RCEP多边规则等多重监管叠加,稍有不慎就可能被行政处罚、项目停工、跨国诉讼,甚至被长臂管辖追责。印尼通信与信息部对Worldcoin公司违规采集虹膜生物识别数据处以罚款,西班牙Aena机场因人脸识别系统未进行数据保护影响评估被处以逾1,000万欧元罚款,都是最近的例子。本文以多国籍劳工信息和环境监测数据这两类数据为切入点,梳理国际工程施工现场数据从采集、存储、跨境传输到销毁的全流程合规要求,比较欧盟GDPR、东南亚、中亚、非洲主要国家的属地监管差异,尝试构建一套“前置分类采集—属地分级存储—可控跨境流转—闭环安全利用—到期销毁”的全链条合规体系,希望能为出海的总承包企业提供一些可落地的参考。

  关键词:国际工程;智慧工地;劳工个人信息;环境监测数据;属地合规;跨境数据流动;EPC总承包

  一、引言:国际工程数字化带来双重数据合规压力

  中国对外承包工程的规模这些年一直在增长。项目分布很广,东南亚、中亚、非洲、欧洲都有,类型也多样,铁路、电站、矿产园区、市政公路,几乎覆盖了所有基建门类。这些项目现在普遍在用BIM建模、物联网环境传感器、人脸识别门禁、定位考勤、扬尘噪声在线监测、视频监控这些数字化设备。施工现场产生的数据量,跟过去比完全不是一个量级。

  从数据属性来看,施工现场的数据大致可以分成四类:工程技术数据、经营财务数据、人员数据和环境监测数据。其中,多国籍劳工信息和环境监测数据这两类比较特殊——它们同时受两套法律体系的约束,一套是中国的数据出境和重要数据保护规则,另一套是项目所在国关于数据本地化、隐私保护和环保档案留存的强制规定。除此之外,还得满足FIDIC合同里关于数据留存和披露的要求,以及亚投行、非洲开发银行这类多边融资机构的附加条款。

  实务中有一个很常见的问题:很多中资建工企业直接把国内智慧工地的数据管理模式搬到海外项目上,劳工人脸、定位、环境监测的原始数据统统实时传回国内总部服务器,属地存储没做,脱敏没做,出境审批也没做。等东道国监管部门找上门来,就会造成罚款、停工、签证限制、多边融资制裁等后果。印尼通信与信息部对Worldcoin公司违规采集虹膜生物识别数据处以罚款并责令停止相关业务,西班牙Aena机场因为人脸识别系统部署前没有依法做数据保护影响评估,被西班牙数据保护局罚了1000多万欧元。这些案例说明一个道理:不区分东道国的数据监管差异,简单套用国内管理模式,代价很大。

  这篇文章主要聚焦多国籍劳工信息和环境监测数据这两类核心数据,从采集、存储、跨境传输、履约利用到最终销毁,把全流程的属地合规要求拆开来看,区分不同区域的监管差异,尝试搭建一个适配国际工程特点的数据合规管理框架。

  二、施工现场两类核心数据的法律定性与监管底层逻辑

  (一)多国籍劳工信息:跨境特殊个人信息叠加劳务属地监管

  先说清楚这类数据包括什么。多国籍劳工信息本质上属于敏感个人信息,包括护照、签证、居留许可、国籍、籍贯这些基础身份信息,人脸、指纹、虹膜考勤记录这类生物识别数据,工地GPS轨迹、进出工区时间这类时空定位数据,还有薪酬社保、健康体检、工伤记录、家庭紧急联系人、出入境备案材料等等。人脸、指纹、虹膜、健康信息在全球绝大多数国家都被列为特殊类别个人信息,采集、传输、存储的监管门槛是最高的。

  这类数据受双重监管逻辑约束。属地层面,东道国的劳工法和数据保护法同时起作用,要求外籍劳务数据在本地留存,用工信息要向移民局和劳工部定期报备,采集生物特征必须有明确的同意。从中国法的角度看,依据《个人信息保护法》,处理境外自然人的敏感信息、把海外产生的个人信息往境内传输,都属于数据出境行为,必须走安全评估、标准合同或出境认证三条路中的一条。

  国际工程劳务还有两个特点:临时性和多国别流动。部分国家禁止用自动化人脸识别来决定用工考勤和薪资核算。中东和东南亚不少国家要求外籍劳工数据与移民系统实时对接,企业不能自己私下归集、批量导出劳工信息用于国内统一的人力分析。

  国别示例——吉尔吉斯斯坦。吉尔吉斯斯坦近年密集升级个人信息监管框架。2025年4月,议会修订《违法行为法典》,新增第4132—4135条专章规制个人数据处理,其中第4133条“非法跨境传输个人数据”对法人初犯处65,000索姆罚款、一年内再犯处100,000索姆,已于2025年11月23日生效。2025年8月,总统签署《数字法典》(Digital Code),于2026年2月5日生效,取代2008年《个人数据法》,成为跨境数据传输的主干规则。2026年6月5日,新版第82号《劳动保护法》生效,对外籍务工人员用工台账提出配套要求。上述立法动态表明,建筑行业外籍劳工档案已成移民与数据双监管的交叉地带。

  (二)环境监测数据:属地环保法定档案+项目重要工程数据

  环境监测数据包括扬尘、噪声、污水水质、土壤重金属、地下水水位、动植物活动影像、废弃物处置台账、环评配套监测报表、环保整改记录、第三方检测报告等等。这类数据可以分成两类:一类是法定环保档案,东道国环保部门要求全程留存、定期报送;另一类是工程履约证据,用于FIDIC工期索赔、亚投行融资审计和EPC竣工验收。

  属地层面的要求很明确:各国环保法都强制要求施工全过程的环境监测原始数据在本地服务器留存,保存年限通常不低于项目竣工后3到10年,不能随便删除,也不能跨境转移原始监测源数据。如果是多边开发银行融资的项目,要求更严——监测数据要能实时供监理和银行审计调取,数据如果被篡改或者存储在境外,工程款拨付会被直接暂停。

  从国内法角度看,如果环境监测数据涉及我国对外投资的重大基建或矿产项目的生态影响,就可能落入《数据安全法》定义的重要数据范畴。跨境出境需要申报数据出境安全评估,不能随意把国内汇总后的环境分析报告完整传给境外第三方。

  这里还有一个RCEP规则冲突的问题。RCEP第12章原则上禁止缔约方以本地计算设施作为商业经营的前置条件,但设置了“公共政策、生态安全”的例外条款。东南亚的越南、印尼、泰国基于环保监管的实际需求,仍然强制要求环境原始监测数据本地存储。这就跟RCEP的一般条款产生了实际操作层面的冲突。企业的应对策略是优先适用东道国的强制性环保立法。

  三、多国籍劳工信息全流程属地合规采集与利用规范

  (一)数据采集:最小必要加分层同意,规避生物信息违规采集

  采集环节有三个底线原则:最小必要、明示单独同意、国别差异化采集。不能超范围收集劳工信息,也不能统一强制在工地全覆盖部署人脸识别。

  具体操作上有几点需要注意。第一,区分用工主体分别签署书面同意书。中方管理人员、本地劳工、第三国劳务人员各签各的版本,用双语(东道国官方语言加中文)写清楚采集用途、存储地点、跨境传输范围、数据留存期限,以及劳工本人查阅和删除数据的权利。欧盟和中亚国家还要求同意书不能跟劳动合同捆绑在一起,不能默认勾选,也不能前置强制同意。

  第二,生物识别数据要优先考虑替代方案。GDPR和印尼、泰国的法律都严格限制人脸、指纹、虹膜这些生物特征的大规模采集。合规的替代方案包括工地RFID定位手环、门禁刷卡、纸质签到、班组人工工时登记。只有高危特种作业岗位确实需要生物核验的,才单独签生物信息专项授权,而且只能用于工地安全准入,不能用来做薪资和绩效的自动化判定。

  第三,不同国家的采集红线不一样。欧盟和英国严禁没有充分法定理由就采集人脸和指纹,自动化考勤系统必须配备人工复核通道。东南亚的印尼和越南,外籍劳工的护照和签证复印件只能提交给移民和劳工主管部门,企业不能自己建立完整的外籍生物信息数据库。中亚的乌兹别克斯坦和吉尔吉斯斯坦,允许采集基础身份信息,但定位数据只能留存工区范围内的活动轨迹,不能同步回传国内。中东的沙特和阿联酋,劳工的健康体检数据只能由本地医疗机构留存,总承包商只能拿到简易的健康结论,不能留存完整体检报告。

  有几个行为是绝对不能做的:未经许可采集劳工家庭成员信息和通讯软件账号,24小时不间断采集工地人员定位,把劳工人脸数据用于项目宣传或内部考核等非安全准入用途。

  (二)属地存储:本地主库加国内脱敏副本的双库分离架构

  国际工程项目必须搭建属地本地主存储服务器。所有劳工的原始身份信息、生物信息、定位数据、薪酬数据,第一时间就要存储在东道国境内的服务器上。只有脱敏和去标识化之后的汇总统计数据可以留存国内总部。这样做的好处是原始数据和汇总数据物理隔离,合规风险大大降低。

  本地主库的存储义务包括:原始护照、签证、人脸原图、实时环境定位、完整薪酬流水,全部存储在本地的机房或者东道国合规的云服务商那里。存储期限取两个标准中的较大值——东道国劳工档案法定留存年限,或者项目质保期后5年。本地服务器的访问权限要分级设置,只有项目HR和安全负责人能调取完整的原始信息,国内总部只能看到匿名的工时统计报表。

  国内副本的脱敏处理也有标准:如果要向国内人力或合规部门报送用工分析数据,必须删除姓名、护照号、国籍、人脸图像,只保留工种、工时、国别分类汇总数值,确保无法反向定位到单个劳工个体。原始敏感个人信息严禁直接跨境回传。

  (三)跨境传输:三类合规路径择一执行

  如果确实需要把劳工的汇总数据或应急工伤材料传回国内,依据《个人信息保护法》第38条,有三种合规路径可以选择。

  第一条是数据出境安全评估。如果项目处理的外籍劳工超过1000人,或者涉及大批量生物信息,就必须由集团统一向国家网信办申报出境评估,拿到评估意见书之后才能跨境传输。

  第二条是个人信息出境标准合同。中小规模的短期项目,跟国内总部签署网信办版本的标准出境合同,同时向省级网信部门备案。

  第三条是个人信息保护认证。企业获得国家认可机构的跨境保护认证,可以作为长期合规传输的依据。

  与此同时,还得满足东道国的跨境传输要求。在欧盟需要签署标准数据传输条款(SCC)。在东南亚国家,跨境劳工数据传输要提前向数据监管局报备,不能批量跨境导出完整的劳工档案。

  (四)数据合规利用边界:以履约必要为限,禁止商业化使用

  劳工信息只能用于四个法定用途,超出就构成违规:工地安全准入、工时薪资核算、移民劳工部门报备、工伤应急处置。不能把多国籍劳工信息共享给分包商、中介或第三方劳务平台,也不能用于市场调研或广告推送这类商业目的。

  项目竣工、劳工退场之后,按照同意书约定的时限,批量销毁本地服务器上的原始生物和身份数据。只留存脱敏后的用工统计台账用于工程审计。销毁过程要留下可溯源的销毁记录,避免后续出现数据泄露的遗留风险。

  四、施工现场环境监测数据属地采集、存储与流转合规体系

  (一)属地化采集规则:同步匹配东道国环保监测强制标准

  采集设备要属地备案。扬尘、水质、噪声、土壤监测传感器和在线监测平台上线的之前,必须向当地环境局完成设备型号和数据采集频率的备案。监测指标和采集时段要严格遵循当地环评(EIA/AMDAL)许可的要求,不能擅自删减监测点位,也不能降低采集频次。

  原始监测数据有不可篡改的刚性要求。所有传感器的原始实时数据要自动加密写入本地存储设备,禁止人工修改或补录监测数值。欧洲和非洲的多边银行融资项目还要求监测设备配备第三方防篡改加密芯片,监理和银行可以随时远程调取本地的原始数据源。国内汇总分析报表不能代替本地原始监测记录作为环保合规的凭证。

  采集范围也有属地红线。如果施工区域涉及原住民保护区或珍稀动植物栖息地,监测数据要额外包含生物影像记录。原始影像资料只能由本地环保部门和项目监理调取,完整的影像文件禁止跨境传回国内。

  (二)分层属地存储架构:原始监测数据强制本地留存

  环境监测数据的管理原则是“原始源数据本地永久存储,加工分析数据分级跨境”。具体分成三类。

  一级原始监测数据包括实时传感器数值和原始视频影像。这些只能存储在项目东道国的本地服务器上,满足环保档案法定留存年限(通常竣工后5到10年)。原则上禁止完整原始数据包跨境出境。只有在环保应急或重大索赔场景下,经当地环保局书面许可,才能加密临时传输到国内,传输后15天内要删除国内临时副本。

  二级加工汇总数据包括月度环保报表和超标整改统计。这些数据完成脱敏、删除精准地理坐标之后,可以定期同步给国内工程和合规部门,用于总部的项目风险统筹。

  三级涉密环评专项数据包括矿产和跨境铁路生态评估底图。这类数据要同时满足东道国的环保保密要求和我国重要数据出境评估要求,跨境传输必须双重审批。

  (三)跨境传输与履约利用合规约束

  多边开发银行有特殊披露义务。亚投行和非洲开发银行融资的项目,环境监测本地存储系统要预留银行审计访问端口,企业不能限制监理和银行调取本地原始监测数据。向国内总部报送环保分析报告时,要隐去精确的项目地理坐标和珍稀物种原始影像,规避生态敏感数据出境的风险。

  FIDIC合同项下也有数据利用边界。环境监测数据的核心履约用途是工期索赔、竣工验收和环保整改举证。不能向第三方设计单位或分包单位完整开放本地原始监测数据库,共享只能提供汇总整改报表。发生工程变更或环保索赔时,只传输阶段性汇总数据,原始数据留存本地服务器备查。

  跨境传输有例外情形限制。只有发生重大环境事故、国内应急主管部门调取、诉讼仲裁举证这三类场景,经东道国环保部门书面批准,才能临时传输完整原始监测数据包。传输全程加密,留存传输日志,使用完毕立即销毁国内副本。

  ❖未经许可,不得转载。

  作者简介:

  刘俊丽,高级合伙人,管理主任,国际工程与PPP业务部主任,合伙人会议薪酬与分配委员会主任

  拥有24+年法律工作经验,累计办理案件700余件,经办案件标的额超1000亿元人民币。专注于国际 / 国内建设工程投建运全生命周期法律服务(PPP、BOT、EPC、FIDIC等);政府与社会资本合作及特许经营项目全生命周期法律服务;新基建、新能源项目投建营全生命周期法律服务;能源与环境工程(EOD)投建运全生命周期法律服务;并深耕上述领域重大疑难争议解决法律服务。

  国际工程与PPP业务团队

  「三级 + 四化」全维度服务保障

  刘俊丽主任团队搭建了「三层三级」组织架构,推行核心骨干主导 + 执行层高效协同 + 各地分支机构及合作咨询机构联动补位的服务模式,实现专业服务能力与人力调配灵活性的双重保障。

  团队以专业化、行业化、团队化、国际化为发展内核,成员均为深耕国内外大型基础设施与公共服务领域的专业律师,多数具备工程、法律双专业背景;同时长期与战略投资、工程咨询等领域专业机构深度合作,组建跨领域服务联盟,为客户提供一体化解决方案。

  手机:13391809892

  邮箱:liujunli@deheheng.com