文 | CrossLegal,作者 | 张玮律师
你的核心算法被员工带走,成了竞品的最强武器——你怎么办?
你的用户数据未经安全评估传到了海外服务器上,罚单金额足以让公司现金流吃紧——你怎么办?
你的境外信托架构被税务系统自动预警,补缴税款加上滞纳金足以让全年利润大幅缩水——你怎么办?
2026 年,这些问题不再是 " 小概率事件 "。
融资环境冷下来了,增长天花板压着头,出海赛道挤满了人——每一分钱都得掂量着花。可就在这个节骨眼上,合规成本反而涨上去了。2025 年 10 月 28 日,十四届全国人大常委会第十八次会议表决通过关于修改《中华人民共和国网络安全法》的决定,自 2026 年 1 月 1 日起施行。这是该法自 2017 年施行以来的首次修改。《数据出境安全评估办法》持续落地,《个人信息出境认证办法》也于 2026 年 1 月 1 日起施行。2026 年 6 月 1 日,市场监管总局《商业秘密保护规定》(总局令第 126 号)正式施行。这不是一条两条新规,是整张网在收紧。
2026 年以来,数据出境监管执法力度明显加强。据公开信息,已有民生类互联网平台因未落实数据出境安全评估要求被处以千万元级别罚款,通报指出被查处企业涉及安全主体责任履行不到位、防护措施缺失、后端合规能力不足等问题。这些案例释放的信号很清楚:监管从 " 说说而已 " 进入了 " 动真格 " 的阶段。
而科技企业的处境,并不比大型平台轻松多少。SaaS 服务里的用户数据、跨境电商的订单信息、出海应用的海外服务器部署、跨国研发团队之间的代码和测试数据共享——每一类场景,都在数据出境安全评估的框架之下。
2026 年,合规不再是一个 " 可选项 ",而是决定企业能走多远的 " 必答题 "。本文从公司治理、数据出境、商业秘密保护、税务合规四个维度,梳理科技企业当下必须直面的挑战。
挑战一:公司治理——它是一切合规的起点
先聊一个容易被低估的问题:公司治理。
2026 年以来的几起案例,值得反复看。
5 月,某科技公司创始人在某 CEO 专属社群内实名举证爆料指控,已被董事长实际控制的公司欲通过 2026 年第二次临时股东会议,表决通过 " 以约 576 万元赎回创始人名下约 12% 原始股权 " ——而创始人称该部分股权实际价值上亿元。这本质上是一起创始人退出机制缺失引发的控制权纠纷。一家公司连创始人的股权退出路径都没有安排好,融资的时候怎么跟投资人讲 " 治理规范 "?
还有某无人机航拍影像领域的领军企业诉其他公司的专利权属纠纷。2026 年 3 月 23 日,该领军企业向深圳市中级人民法院提起诉讼,就 6 项涉及飞控、结构、影像处理的核心专利主张权属。企业指控,这些专利是多名前核心研发人员在离职不满一年内完成,技术内容与其在企业原岗位任务 " 密切相关 ",依据相关法律规定,应属职务发明。这是该领军企业首次在国内提起专利权属纠纷。
这些案例揭示了一个共性:科技企业的核心风险,往往不在外部市场竞争,而在内部治理的 " 灰犀牛 "。股权架构设计、创始人退出机制、控制权预案、融资路径设计、知识产权归属、内控审计、刑事风控——这些问题在企业顺风顺水的时候没人关注,一旦爆发就是致命打击。
合规不是成本,是创始人决策的 " 安全边际 "。公司治理不是 " 法务的事 ",更不是 " 等出了问题再说 "。它把你从被动应对的状态里解放出来,让你有余力去想战略,而不是天天救火。
挑战二:数据出境——合规门槛正在快速抬升
说完了治理这个 " 底座 ",再来看第一个具体的合规考题:数据出境。
2026 年是一个分水岭。修改后的《中华人民共和国网络安全法》于 2026 年 1 月 1 日起施行。新法增加了关于网络安全工作根本遵循的规定,增加了关于促进人工智能安全发展的规定,并对网络安全法律责任制度作出修改完善。处罚力度同步加码——关键信息基础设施运营者最高可罚 1000 万元,对直接责任人处 20 万至 100 万元罚款。
与此同时,《个人信息出境认证办法》于 2026 年 1 月 1 日起施行。该办法由国家互联网信息办公室、国家市场监督管理总局联合公布,对个人信息出境认证的适用情形、申请方式、认证要求及证书有效期等作出细化规定。
目前中国数据出境的三条合规路径清晰可循:
数据出境安全评估——依据《个人信息保护法》第四十条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估,具体适用情形见《数据出境安全评估办法》第四条。
个人信息保护认证——依据《个人信息保护法》第三十八条,经专业机构进行个人信息保护认证,是向境外提供个人信息的法定途径之一。
个人信息出境标准合同——依据《个人信息保护法》第三十八条,按照国家网信部门制定的标准合同与境外接收方订立合同。
三条路径的选择逻辑并不复杂,核心取决于数据类型、数据量、出境目的等因素。
问题是,很多科技企业连自己 " 传了什么数据、传给了谁、为什么传 " 都说不清楚。SaaS 平台的用户数据存在境外服务器上;跨境电商把订单和用户信息传给境外履约方;出海应用的用户行为数据在不同国家的节点之间流转;跨国研发团队的代码、测试数据在云端被多人访问。这些场景在业务狂奔的时候没人觉得是问题——但监管的视角恰好相反:你先得证明自己 " 没有违规 ",而不是等被查了再说 " 我不知情 "。
文首案例的通报里就有一个值得注意的细节:通报提到 " 后端处理数据合规能力不足 " 和 " 数据出境合规审计不严 "。这意味着监管已经在穿透式地看问题——不只是看你 " 传没传 ",而是看你的制度、流程、审计机制有没有跟上。
对科技企业而言,数据合规最核心的问题其实就一个:你能不能说清楚自己在做什么。能做到这一点的企业,即便被查,也有整改的空间;说不清楚的,罚单只是时间问题。
挑战三:商业秘密——数字资产第一次有了法律 " 护城河 "
数据出境管的是 " 往外传什么 ",商业秘密保护管的是 " 里面怎么守住 "。这两件事互为镜像,缺一不可。
2026 年 6 月 1 日,市场监管总局《商业秘密保护规定》(总局令第 126 号)正式施行。该规定于 2025 年 12 月 8 日经市场监管总局局务会议通过,2026 年 2 月 24 日公布。它取代了 1995 年原国家工商行政管理局令第 41 号公布的《关于禁止侵犯商业秘密行为的若干规定》。这是该领域三十年来最大的一次修订。对科技企业来说,有四个变化值得关注。
第一,数据、算法、代码被明确纳入保护范围。规定第五条明确,与技术有关的结构、原料、配方、材料、样品、样式、工艺、方法、数据、算法、计算机程序、代码等信息,属于受保护的商业秘密。以前算法模型、训练数据集、技术测试参数这些东西,在商业秘密保护里边界模糊,维权的时候律师要花大量精力先论证 " 这属于商业秘密 "。现在不用争了,法律直接认。经营数据和客户数据则被归入经营性商业秘密,同样受保护。
第二,阶段性成果和失败的实验数据也能保护。规定第七条明确,具有商业价值是指商业信息具有现实的或者潜在的价值。生产经营活动中形成的阶段性成果或者失败的实验数据、技术方案等符合规定的,属于具有商业价值的情形。这对研发密集型企业意义非常大。因为科技公司的核心竞争力往往不只在最终产品上,研发过程中积累的每一个有价值节点,都是护城河的一部分。
第三,数字化侵权手段被明确定义。规定明确电子侵入、越权接触、非法传输、私自下载、超权限使用等数字化行为属于不正当获取商业秘密。与此同时,规定第九条明确了权利人采取相应保密措施的具体情形,包括签订保密协议、人员管理、物理隔离、技术防护(权限分级、数据脱敏、操作日志留痕)、载体管理、设备管控、离职管理等。权限分级、数据脱敏、操作日志留痕等技术措施,是规定明确列举的合理保密措施之一。这意味着,如果企业连这些基础措施都没有建立,在发生侵权时可能难以证明自己 " 采取了相应保密措施 "。
第四,域外适用效力。境外侵权行为如果扰乱了境内市场秩序,中国监管部门可以追责。对于有出海业务或跨境研发协作的企业来说,这条意味着保护不再有 " 境外盲区 "。
科技企业创始人可以拿这三个问题自查一下:算法模型有没有分级保护?核心代码在员工离职时有没有可执行的交接和管控流程?跨境协作中的数据访问权限有没有留痕?如果答案是否定的,新规给你的保护,你其实用不上。
挑战四:税务合规——出海路上最容易忽视的 " 隐形成本 "
2026 年还有一个容易被忽视的合规维度:税务。
6 月 10 日,国家税务总局数据显示:今年 1 至 5 月,全国个人所得税收入 7643.9 亿元,同比增长 12%。其中,取得境外收入的纳税人累计补缴税款约 130 亿元。国家税务总局税收科学研究所所长黄立新的表述是 " 取得境外收入的纳税人遵从度明显提高 " ——翻译一下:这不是主动多交的,是在金税四期和 CRS 跨境数据交换全面落地之后,被 " 发现 " 并追缴的。
130 亿不是一次性行动,而是一个常态化结果。
金税四期已打通税务、工商、银行、社保、海关等数十个部门的数据,企业的工商登记、银行账户流水、社保缴纳记录、进出口报关单等信息可实现自动同步。CRS 方面,中国已与全球 120 多个 CRS 参与国家和地区的税务机关自动交换金融账户信息,覆盖银行存款、股票、基金、信托、保险等各类金融资产。两套系统叠加运行,跨境税务信息的不对称空间正在急速压缩。
科技企业在这方面的风险场景其实很具体:
创始人设立了境外信托或持股架构的,有没有完成合规申报?员工股权激励行权之后,公司作为扣缴义务人有没有履行到位?在境外设了研发中心或业务主体的,关联交易定价是否合理?数据资产和知识产权跨境流动的时候,税收处理对不对?
这些问题在科技行业尤其容易出偏差,因为科技企业的核心资产往往是 " 无形 " 的——数据、代码、算法、IP ——它们的跨境流动不像货物进出关那么显性,税务处理也更容易出现模糊地带。但信息不对称的空间正在被技术手段填平。
税务问题最大的杀伤力在于:它往往不是 " 补缴 " 就能解决的事。从行政违规到其他责任的转变,有时只有一步之遥。关于税务合规的具体红线,这篇文章不展开,后续会在个人公众号专门拆解。
上述这些合规问题的诊断与落地,正是我所在的律师团队为企业提供的核心服务之一。
结语:合规是创始人的 " 心力投资 "
回过头来看这四重挑战——公司治理是底座,数据出境管的是边界,商业秘密守的是核心资产,税务合规是出海的必修课。它们之间不是并列的四个独立议题,而是叠在一起的四层防护。
公司治理之所以放在第一个说,道理很简单:没有它,后面三个都立不住。数据出境的安全评估需要内部流程支撑,商业秘密的保护需要制度和权限管理来落地,税务合规的申报需要治理机制来保障。治理能力是一切合规的起点,也是最后一道防线。
华为有一个被业内称为 " 韬定律 " 的产业判断——在外部约束中寻找最优解。当先进制程受限,华为不再执着于 " 把晶体管做得更小 " 的单一路径,而是通过系统架构优化来实现等效性能。合规的逻辑是一样的。当监管约束成为不可回避的外部条件,真正有竞争力的企业不是在抱怨约束,而是在约束里找到更优的解法。
合规约束不是发展的阻碍,而是高质量发展的制度基础。
对创始人来说,把合规前置的意义其实很简单:它可以让你把心力从 " 应对检查 " 和 " 事后救火 " 中解放出来,重新放回战略思考上。这可能是科技企业当下最值得投入的一笔 " 心力投资 "。
融资之前、上市之前、出海之前,先做一次全面的合规体检。成本远低于爆发之后的补救,效果远好于仓促应对。
2026年不是科技企业的 " 合规寒冬 "。它是真正有竞争力的企业,把差距拉开的那一年。
