一、《国务院关于对外投资的规定》出台
2026年5月5日,李强总理签署国务院令,公布《国务院关于对外投资的规定》(国务院令第837号),自2026年7月1日起施行。这是我国对外投资领域第一部行政法规层级的专项立法,意味着过去由商务部、国家发展改革委等部门出具各部门规章来进行监管的格局,被一部上位法所整合。
长期以来,出海的中资企业存在忽视人员出海合规事宜的思维,将员工外派视为内部人事安排,没有建立起体系化的合规审视和风险隔离机制。837号令是对该思维的冲击,其通过第五条(劳动权益与文化尊重)、第十三条(技术出口与人员派遣)、第十六条(合规内控与安全保障)、第二十二条(证据与数据出境)四个条款,把劳动者权益保障、文化尊重、内控合规、安全保障、出口管制、数据合规下的用工资格以及保密义务等要素,一并嵌入对外投资合规体系。
二、涉跨境用工核心条款的规范分析
(一)第五条:劳动权益、文化尊重与诚信经营
第五条国家支持投资者按照市场化原则开展对外投资活动,积极参与国际合作竞争。投资者依法享有对外投资自主权,自主决策、自担风险、自负盈亏。投资者开展对外投资及其相关活动,应当遵守法律法规和国际惯例,尊重当地习俗和文化传统,遵守商业道德,诚实守信、公平竞争,履行社会责任,维护国家形象,不得妨害市场竞争秩序、破坏生态环境、损害劳动者合法权益,不得危害中国国家安全、损害国家利益和社会公共利益。
第五条把“尊重当地习俗和文化传统”“诚实守信、公平竞争,履行社会责任”“不得损害劳动者合法权益”放在同一规范层面。这意味着跨境用工合规不再仅仅是劳动监察或企业内部管理问题,而是对外投资合规问题。此后,以境外商业保险代替国内工伤保险、按照缴费基数下限缴纳社保、境外商业利益输送、虚假报销等操作,将从劳动监察处罚、内部审计问责等层面上升到对外投资备案资格、面临限期整改、行业禁入等监管措施。
(二)第十三条:人员跨境流动
第十三条投资者开展对外投资活动,不得出口、使用国家禁止出口的货物、技术、服务及相关数据,或者未经许可出口、使用国家限制出口的货物、技术、服务及相关数据;不得以跨境派遣技术人员、组织人员赴其他国家(地区)工作、跨境提供技术指导、安排人员跨境培训等方式向其他国家(地区)转移国家禁止出口的货物、技术、服务及相关数据,或者未经许可向其他国家(地区)转移国家限制出口的货物、技术、服务及相关数据。
第十三条具有极强穿透力。此前,出口管制合规的重心是“有形货物是否拿到许可证”,而这一条明确:即便没有货物移动,只要人员跨境流动伴随技术信息、工艺参数、操作诀窍等实质内容的输出,就可能构成受管制的技术或数据出口。判断是否触发管制,大体可以看三个维度:(1)人员外派是否传递了受管制技术的实质内容;(2)境外接收方是否因此获得了独立复制、实施或再次转移该技术的能力;(3)该行为是否取得了必要的许可。
(三)第十六条:合规内控与安全保障制度
第十六条投资者及其在其他国家(地区)投资的企业应当完善治理结构,建立健全合规经营、内部控制、安全生产、突发事件处置等制度,加强风险识别和防范处置,投入必要的人员、资金、设备等资源,保障其员工和资产安全。
第十六条的核心变化是,把合规内控、安全生产、突发事件处置等制度从企业自主选择的管理动作,提升为法定合规义务,并且要求“投入必要的人员、资金、设备等资源”。对老挝中资企业而言,这意味着派驻人员管理、保密管理、信息系统权限设置、境外安全预案等,都需要纳入统一的内部控制框架,建立起一个覆盖劳动用工合规的出海合规体系。
(四)第二十二条:个人信息与证据跨境流动
第二十二条中国境内组织、个人参与对外投资相关仲裁、诉讼或者受到境外司法、执法机构相关调查,需要向境外提供证据或者相关材料的,应当遵守保守国家秘密、数据安全、个人信息保护、技术出口管理、出口管制、司法协助等法律、行政法规和国家有关规定。依法须经主管机关准许的,应当履行相关法律程序。
第二十二条填补了对外投资领域跨境证据及材料提供的合规空白,对企业日常用工管理的冲击隐蔽但容易触发。过去在跨境用工管理中,员工身份信息、识别数据、薪酬发放记录、社保缴纳记录、派驻人员履历、涉密岗位信息等敏感数据,随意跨境的状况比较普遍。今后,企业在配合涉外司法举证、境外仲裁或应对境外执法调查时,需要先做合规审查:提供的材料是否涉及保密义务、数据安全、个人信息保护、技术出口管制、司法协助等法律红线;如果需要主管机关批准,则必须走完报批流程。
此外,这一方面在老挝的法律体系下同时受《电子数据保护法》(2017年)及其实施指南约束。根据该法,数据跨境传输须以取得数据所有者同意为前提且不得违反法律;实施指南进一步要求,传输金融、会计、技术等重要数据时应采用CA证书或PGP加密等安全手段,并建议数据控制者与接收方签署数据处理协议以明确保护义务。
三、老挝中资企业合规思路
(一)技术人员外派与技术出口管制合规
老挝是中资企业境外工程承包和投资的重要目的地,大量工程技术人员、项目管理人员长驻,随身携带的施工图纸、地质勘探数据、工艺参数、设备调试方案等,如果落入国家限制或禁止出口技术的范围,可能涉及第十三条。具体建议:
-
设置外派前审查程序。所有赴老挝员工携带的电子设备、云存储内容和纸质资料,须经合规部门脱密或授权审查,留存审查记录。对拟携带、拟演示、拟培训的资料按照公开资料、内部资料、商业秘密、个人信息、重要数据、受管制资料等分级分类,分类标识、分人管控。
-
事先判断技术指导与培训内容。凡涉及核心参数讲解、现场调试演示、工艺复现培训的安排,须先对照《技术进出口管理条例》《出口管制法》及相关部门发布的禁止/限制出口技术目录,判断是否落入管制范围。如落入,必须事先取得许可,不宜以“内部人事调配”或“履行合同附随义务”为由绕行。
-
跨境技术指导过程记录。跨境技术指导和培训过程应形成书面纪要,明确讲解范围、演示边界,标注不涉及受限内容;现场调试限定在“设备正常运转所需的最小技术信息”范畴,避免过度披露。纪要、参训人员名单、资料分发记录统一归档。
-
设置合同条款边界。与外派技术人员签署保密与竞业限制协议时,增设“出境技术资料清单”“禁止擅自复制转发受限技术信息”“境外任职期间技术输出报告义务”等条款;与境外子公司或项目公司签署的技术服务协议,应清晰约定中方技术人员的输出内容边界,以及境外接收方的保密与不得再转移义务。
-
(二)跨境个人信息与证据出境合规
-
中老双边审核。凡是向老挝侧传输员工个人信息(身份、生物识别、薪酬、社保、派驻履历、涉密岗位信息)、技术资料等,同时进行两条线审查:(a)中国侧:依据《数据安全法》《个人信息保护法》《数据出境安全评估办法》及837号令第二十二条,判断是否需要履行安全评估、标准合同备案或主管机关报批;(b)依据《电子数据保护法》取得数据主体同意,对重要信息采用加密等安全手段,并与接收方签署数据处理协议以明确保护义务。
-
审核涉外争议举证清单。在跨境用工仲裁、诉讼或境外调查中,向境外律师、仲裁庭、法院或执法机构提供证据材料前,重点排除:(a)含国家秘密、工作秘密的内部文件;(b)受出口管制或技术出口管理限制的技术资料;(c)超出争议必要范围的员工个人信息;(d)母公司未脱敏的商业秘密。
-
修订集团内部数据共享协议。中国总部与老挝项目公司或子公司之间的HR数据共享,应签署书面数据处理协议,明确数据种类、用途、存储地点、加密要求、接收方保护义务、数据主体权利响应机制及违约终止条款,以满足老挝数据保护法律框架下对数据处理协议的合规要求。
-
(三)双重社保缴纳
在中老无双边社保互认协定的背景下,中国与老挝两国双重缴纳社保局面无法回避。在第五条将“损害劳动者合法权益”列为投资禁止性规范的前提下,以境外商业保险替代国内工伤保险等做法,具有投资合规风险。此外,依规缴纳老挝当地社保,这是东道国强制性合规义务,用于满足员工当地就医、工作许可办理等属地权益需求,待遇标准与赔付范围无法替代中国法定工伤保险的工亡保障。企业应将其作为刚性合规成本独立列支,不得冲抵国内参保义务。如另外缴纳商业补充保险,仅作为双重法定社保之外的福利,覆盖境外紧急救援、医疗转运、额外意外补偿等场景。劳动合同、外派协议中不得出现“替代法定社保”的表述,须明确约定其补充保障属性,避免因约定模糊被认定为规避法定参保义务。
综上可知,837号令关于出海企业用工的合规要求被提升到新高度,以往粗放式管理模式将逐渐被合规化管理取代,在企业出海面临合规事宜复杂化的背景下,只有守住用工合规红线,减少数据跨境流动的合规风险,才能在稳健合规的前提下持续开拓海外市场。