律师视点

刘俊丽:国际工程施工现场数据的合规采集与利用(下)——案例复盘与属地合规实施方案

2026-07-11

  承接上篇劳工、环境数据合规规范,下篇结合生物数据违规典型案例剖析跨境数据风险,搭建项目全周期属地合规实施体系。

  五、国际工程数据合规典型风险案例复盘

  (一)案例一:印尼Worldcoin虹膜生物识别数据违规采集案

  基本案情:全球加密货币项目Worldcoin在印尼境内以“扫描虹膜换取加密货币”的方式推广业务,大规模收集印尼公民的虹膜扫描和面部生物识别信息。印尼通信与信息部(Kominfo)经调查认定,Worldcoin在采集生物识别信息前未取得数据主体的充分告知与自愿同意,违反了印尼《个人数据保护法》(UU PDP)关于敏感个人信息处理的严格规定。印尼法律规定,采集生物识别信息须基于明确告知和自愿同意,且数据主体有权撤回同意并要求删除已采集数据。

  裁判结果:印尼通信与信息部对Worldcoin处以罚款,责令其停止在印尼境内的人脸与虹膜生物识别数据采集活动,并停止相关业务运营。依据印尼UUPDP,违反敏感个人信息处理规定的行政罚上限可达企业年营收的2%,情节严重的非法收集行为还可触发刑事追责程序,最高可处5年监禁或50亿印尼盾罚金。

  典型意义:生物识别信息(人脸、虹膜、指纹)在全球绝大多数国家被列为最高等级保护的敏感个人信息。国际工程项目中若涉及劳工人脸识别、虹膜考勤等生物识别采集,须严格遵守东道国敏感个人信息处理的法定条件,不得以“技术便利”为由规避合规要求。本案对中资企业在东南亚布局智慧工地时的生物识别数据采集行为具有直接警示意义。

  (二)案例二:西班牙Aena机场人脸识别GDPR高额处罚案

  基本案情:西班牙机场运营集团Aena在多个机场试点人脸识别登机系统,系统投入使用前已注册超过62,000名用户,涉及Menorca、Madrid-Barajas、Barcelona-El Prat等主要机场。西班牙数据保护局(AEPD)经调查认定,Aena在部署人脸识别系统前,未依法进行数据保护影响评估(DPIA),亦未证明使用生物识别技术相比二维码、电子登机牌等侵扰性更低的替代方案具有必要性。

  裁判结果:2025年11月6日,AEPD对Aena处以10,043,002欧元罚款,并下令暂停所有生物识别数据处理,直至完成符合GDPR要求的DPIA。处罚依据为GDPR第9条(特殊类别个人信息处理限制)及第35条(DPIA强制性要求)。Aena已宣布将就该处罚决定提起上诉。

  典型意义:尽管本案处罚对象为西班牙本土机场运营商,但对于在欧盟区域运营的中资基建项目具有直接类比警示意义。凡涉及人脸识别等生物识别信息处理的工程项目,无论项目主体是交通枢纽还是施工工地,均须严格遵守GDPR的前置评估与必要性论证要求,须优先采用RFID手环、门禁卡等低风险替代方案。

  六、面向国际工程的属地化数据合规全流程落地体系

  (一)投前阶段:国别数据合规尽调,前置数字化方案设计

  项目立项和投标阶段就要同步开展数据合规尽职调查,不能等到开工再说。

  尽职调查分两个维度。第一个维度是东道国法,梳理当地个人信息保护、环保、劳工法律中关于数据本地化、生物采集、跨境传输的强制性条款,形成国别负面清单。欧盟、东南亚、中亚、非洲的差异化采集存储要求要区分清楚。第二个维度是多边规则,如果是亚投行、世行或非开行融资的项目,要提前核查融资协议里关于环境数据、劳工数据留存和审计披露的专项条款。

  数字化方案要前置设计。在投标文件和施工组织设计里就要明确智慧工地采集设备的选型。欧盟和东南亚的项目要直接规避全覆盖人脸识别,提前规划好本地服务器机房的建设预算。

  (二)投中施工阶段:搭建三层属地数据管控机制

  组织层面,设立项目专职数据合规官,联动本地法务、环保专员和HR,统筹劳工和环境数据的日常审核。所有数据跨境传输实行“双审批”——项目合规审核加总部法务审核。

  技术层面,本地主服务器存储原始敏感数据,国内只接收脱敏汇总报表。物联网传感器加密本地存储,设置数据自动脱敏接口。建立劳工同意书和监测设备备案的电子档案库。

  台账层面,全流程留痕。记录数据采集的同意签署记录、跨境传输审批单、本地服务器访问日志、数据销毁凭证。这些台账要能同时满足东道国监管、多边银行审计和国内网信核查三方面的举证需求。

  (三)投后竣工与项目退出:数据分级销毁与档案留存

  分类处置的规则是:劳工人脸、指纹、完整护照这些原始敏感数据,在劳工退场并且法定留存期限届满之后,在本地服务器彻底销毁。环境监测的原始本地数据按环保要求长期归档,只有脱敏汇总报表传回国内工程档案库。

  跨境归档有限制。竣工移交业主时,只移交脱敏的环保汇总报表。本地原始监测服务器留存到法定年限后封存销毁,不能整体打包运回国内。

  长期风险隔离也很重要。项目退出后,数据合规审批、告知同意、销毁台账这些材料要持续留存至少10年,以应对后续可能的跨国仲裁和东道国事后稽查。

  (四)争议应急处置机制

  要建立数据泄露和监管稽查的专项应急预案。发生劳工信息或环境监测数据泄露,72小时内同步通报东道国监管机构和国内网信部门。遭遇当地数据处罚或停工指令时,由本地律师和涉外数据合规律师联合对接执法机关,同时梳理数据存储和传输审批台账,作为合规抗辩的证据。

  七、结语

  在RCEP和“一带一路”基建出海持续推进的背景下,智慧工地的数字化工具确实大幅提升了国际工程的管理效率。但与此同时,多国籍劳工信息和环境监测数据的属地合规风险,已经成为中资建工企业不能忽视的一条经营红线。这两类数据兼具个人隐私、国家环保和东道国公共监管的多重属性,如果简单套用国内的数据管理模式,很容易触发停工、罚款、市场禁入、多边融资制裁等一系列连锁反应。

  建工总承包企业需要换一个思路——不能再“重技术、轻合规”,而是要以属地化为核心原则,建立一套“投前尽调—分层采集—本地主库存储—可控脱敏跨境—到期分级销毁”的全链条管控体系。根据不同区域的监管差异,调整数据采集手段和存储架构,在施工现场的数字化管理需求和全球多层法律监管义务之间找到平衡。说到底,只有把劳工和环境数据的属地合规工作嵌入项目的全生命周期,才能真正避开跨境数据的法律风险,也才能在海外市场上走得稳、走得远。

  参考文献

  1. ANTARA News. Indonesia suspends Worldcoin, World ID operations over public concerns[EB/OL].(2025-05-04). https://en.antaranews.com/news/353861/(https://en.antaranews.com/news/353861/)

  2. Digital Policy Alert. Ministry of Communications and Digital adopted order freezing Electronic System Provider Registration Certificate for Worldcoin and WorldID services: event 29700[EB/OL]. (2025-05-04). https://digitalpolicyalert.org/event/29700(https://digitalpolicyalert.org/event/29700)

  3. Tempo. What Is Worldcoin? Indonesia Suspends Crypto ID Platform Over Data Privacy Concerns[EB/OL].(2025-05-06). https://en.tempo.co/read/2004334/(https://en.tempo.co/read/2004334/)

  4. GDPR Enforcement Tracker. Case ETid-2962: Aena, S.M.E., S.A.[EB/OL]. Spanish DPA (AEPD), 2025-11-06. https://www.enforcementtracker.com/ETid-2962(https://www.enforcementtracker.com/ETid-2962)

  5. Agencia Española de Protección de Datos (AEPD). Propuesta de Resolución PS-00431-2024[R/OL]. (2025-09-03). https://www.aepd.es/documento/ps-00431-2024.pdf(https://www.aepd.es/documento/ps-00431-2024.pdf)

  6. Sur in English / Europa Press. Airport operator to appeal 10-million-euro facial recognition fine imposed by data protection agency in Spain[EB/OL]. (2025-11-26). https://www.surinenglish.com/spain/aena-airport-data-protection-fine-20251126075243-nt.html(https://www.surinenglish.com/spain/aena-airport-data-protection-fine-20251126075243-nt.html)

  7. 24.KG. Kyrgyzstan introduces liability for violation of personal data processing rules[EB/OL]. (2025-05-23).https://24.kg/english/330179/(https://24.kg/english/330179/)

  8. 中华人民共和国国务院. 国务院关于对外投资的规定(国务院令第837号)[Z]. 2026-05-05.

  9. 中华人民共和国个人信息保护法(2021年8月20日第十三届全国人大常委会第三十次会议通过)第38条.

  10. 中华人民共和国数据安全法(2021年6月10日通过,2021年9月1日施行).

  11. 国家互联网信息办公室. 促进和规范数据跨境流动规定(令第16号)[Z]. 2024-03-22.

  12. 生态环境部, 商务部. 对外投资合作建设项目生态环境保护指南(环办环评〔2022〕2号)[Z]. 2022-01-05.

  13. Regulation (EU) 2016/679 (GDPR): Arts. 9, 35, 83[Z].

  14. Regional Comprehensive Economic Partnership (RCEP) Chapter 12 (E-commerce), Arts. 12.14, 12.16[Z]. 2022-01-01.

  15. FIDIC. Conditions of Contract for EPC/Turnkey Projects (Silver Book) 2017: Cl. 1.8, Cl. 4.1[Z].

  16. African Development Bank. Integrated Safeguards System – Environmental and Social Assessment Procedure (ESAP)[S]. 2014 (rev.2022).

  17. Asian Infrastructure Investment Bank. Environmental and Social Framework (ESF)[S]. 2016 (rev.2024).

  ❖未经许可,不得转载。

  作者简介:

  刘俊丽,高级合伙人,管理主任,国际工程与PPP业务部主任,合伙人会议薪酬与分配委员会主任

  拥有24+年法律工作经验,累计办理案件700余件,经办案件标的额超1000亿元人民币。专注于国际 / 国内建设工程投建运全生命周期法律服务(PPP、BOT、EPC、FIDIC等);政府与社会资本合作及特许经营项目全生命周期法律服务;新基建、新能源项目投建营全生命周期法律服务;能源与环境工程(EOD)投建运全生命周期法律服务;并深耕上述领域重大疑难争议解决法律服务。

  国际工程与PPP业务团队

  「三级 + 四化」全维度服务保障

  刘俊丽主任团队搭建了「三层三级」组织架构,推行核心骨干主导 + 执行层高效协同 + 各地分支机构及合作咨询机构联动补位的服务模式,实现专业服务能力与人力调配灵活性的双重保障。

  团队以专业化、行业化、团队化、国际化为发展内核,成员均为深耕国内外大型基础设施与公共服务领域的专业律师,多数具备工程、法律双专业背景;同时长期与战略投资、工程咨询等领域专业机构深度合作,组建跨领域服务联盟,为客户提供一体化解决方案。

  手机:13391809892

  邮箱:liujunli@deheheng.com