歐盟《通用數據保護條例》框架下我國跨境旅游企業合規路徑

曾麗潔

(湖北大學 政法與公共管理學院，湖北 武漢 430062)

旅游已成為國際服務貿易中的最大組成部分，全球旅游投資快速增長。在線旅游電子商務發展迅猛，旅游生產端、產業鏈都以智慧旅游、“互聯網+”旅游為主要表現，旅游消費端也發生變化，旅游消費關系深受互聯網影響。[1]大數據技術助力跨境旅游服務智慧發展的同時，也給旅游企業帶來新的挑戰。跨境旅游企業開展海外運營應全面把握境外機構管理和運營涉及國家(地區)的相關法律法規，如數據保護等方面的監管要求，確保境外機構管理和運營始終合法合規。鑒于歐盟是我國跨境旅游的主要市場，歐盟《通用數據保護條例》(GeneralDataProtectionRegulations，GDPR)的域外適用，必然會影響到我國跨境旅游業的發展。因此，有必要深入了解這一國際立法，積極探討我國跨境旅游企業的合規競爭之道。

一、厘清企業經營中受GDPR管轄的數據處理行為的范圍

(一)明確GDPR的適用范圍

第一，適用于中國旅游企業在歐盟境內設立的業務機構或合作者的個人數據處理行為，不論實際數據處理行為是否發生在歐盟境內。業務機構的形式不必是分公司或具有法人資格的子公司，在歐盟境內設有唯一代表即符合主體適用條件。

第二，即便中國旅游企業未在歐盟境內設立業務機構，但在向歐盟境內自然人提供商品或服務的過程中處理其個人數據，無論該商品或服務是否要求數據主體支付對價，也適用于GDPR。從歐盟《布魯塞爾條例》帶來的在消費者合同中為消費者提供特別保護的一貫做法以及歐盟法院司法實踐來看，判斷是否在歐盟境內提供商品或服務要看銷售者或服務提供者是否有“指向行為”，關鍵在于其是否“意圖”以歐盟成員國的消費者為目標，而不是僅通過向消費者提供“可進入的提供貨物或服務的網址”。如果一個非歐盟組織提供其分支機構或代理機構在歐盟的位置、在網站上使用的搜索引擎中有針對歐盟成員國的廣告或使用與歐盟相關的頂級域名、使用歐盟成員國的語言或貨幣、在線支付程序便于歐盟成員國的消費者等，即使不實際發生業務，也被視為“意圖”向歐盟境內自然人提供商品或服務。

第三，中國旅游企業對發生在歐盟境內數據主體的活動進行監控而做出的個人數據處理行為，受GDPR規制。如，在網站上使用具有追蹤和監控功能的應用程序處理個人數據的行為，包括用戶畫像技術的后續使用，尤其是為了做出關于該個人的決定或為了分析其旅游偏好、行為和態度而在互聯網上追蹤個人的行為；通過旅游服務APP持續收集歐盟境內用戶信息；通過智慧旅游平臺移動計算、移動定位等技術準確判定消費者的移動位置和潛在目的地等行為。

(二)廓清歐盟個人數據的范疇

跨境旅游企業要注意歐盟個人數據的范疇遠大于中國。旅游消費者個人數據通常應包括個人特征數據、可推測主體身份和行為的數據、電子旅游身份與行為記錄。需要注意的是，歐盟語境中“身份”(identity)的內涵遠比中文語境中更寬泛，包括身體的、生理的、基因的、精神的、經濟的、文化與社會的身份。[2]另外，歐洲法院最近裁定，在某些情況下，動態IP地址也可視為個人數據。[3]

跨境旅游企業還要格外注意歐盟擴展了個人敏感數據的目錄。歐盟成員國普遍以2018年歐洲理事會成員國簽署的《關于個人數據自動化處理的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，又被稱為“108號公約”)修訂議定書來界定個人敏感數據，將基因數據、與違法行為、刑事訴訟和定罪以及相關的安全措施有關的個人數據、唯一識別個人的生物特征數據、揭示與種族或族裔出身、政見、工會會員、宗教或其他信仰、健康或性生活有關信息的個人數據列為個人敏感數據。

跨境旅游企業在向歐盟境內自然人提供跨境旅游服務時，尤其要注意兒童個人信息保護。兒童在用戶畫像和收集等方面受到特殊保護，禁止自動化處理兒童個人數據。首先，要判斷兒童的主體范圍。GDPR規定16歲以下為兒童，成員國也可以降低年齡標準(不能低于13歲)，企業要仔細考量經營所涉歐盟成員國的規定，需要合理設計核實兒童年齡的線上或線下機制。其次，要識別“專門針對兒童的行為”，從而制定兒童隱私政策申明，對涉及兒童個人信息的數據處理行為須以合理有效的方式取得其父母同意。

二、構建以風險為合規路徑的數據地圖

GDPR的主要特征是“以風險為路徑”。在電子商務領域，交易成本的降低和交易效率的提高是“雙贏”內涵的最好詮釋。如果消費者的利益不能夠得到有效保護，將對消費者和經營者均造成損害。[4]跨境旅游企業要實現數據權利保護和數據價值利用的平衡，應從產品或服務的設計著手構建數據地圖，做到合規風險可知可控可追溯，在風險最小化的前提下實現數據商用價值最大化。

(一)構建隱私數據圖譜

構建隱私數據圖譜，有利于將個人數據分級分類，分別采取不同的保護措施。

1.區分一般數據、敏感數據、特殊數據根據GDPR目的限定原則、最小范圍原則、存儲限制原則，跨境旅游企業應確保從目的、數量、時間三個維度對數據收集進行過濾、篩選、分類。對一般數據、敏感數據和特殊數據實行分類存儲和采取不同的必要存儲期間?？稍O計讓用戶通過更改隱私設置來限制企業對其信息的收集類別，并可經權限驗證后對其個人數據進行審查、糾正或要求刪除。按照數據的類別和敏感程度，存儲時需要區隔禁止中心化存儲的數據或必須要加一定措施才能中心化存儲的數據，分離身份識別數據與具體的業務行為數據，對一些敏感數據加密或降解技術脫敏后存儲，隱私數據授權的必要存儲期滿后及時銷毀。

2.區分不同識別度的數據GDPR所定義的個人數據包括“已識別”與“可識別”的，包含了識別路徑的個人數據(由信息本身特殊性識別出特定自然人)和關聯路徑的個人數據(已識別的個人后續的動作被系統記錄顯示出的偏好和行為軌跡)?？勺R別的數據對個人的識別度相對較低，GDPR允許對該類加密和假名化數據的處理可以有與收集時的原始目的相兼容的新目的。去標識化的個人數據不適用數據主體相關權利的規定，匿名化數據被排除在GDPR管轄范圍之外。

跨境旅游企業通過技術手段降低數據識別度，可降低風險。在收集個人信息后，宜立即采用差分隱私技術進行去標識化處理，通過數據的失真擾動，使得采集的數據具備統計性但無法定位到具體的個人，并與可用于恢復識別個人的數據分開存儲，且從技術上確保在后續的數據處理中不能重新識別出特定個人。如此，企業則可豁免相關數據保護義務。將數據做匿名化處理，即，在數據發布、使用、共享交換時，對可鏈接的屬性(即使做了標識數據的去標識脫敏，但攻擊者可以通過多個可鏈接的屬性關聯回來，比如身高、性別、區域、年齡組合在一起關聯)進行模糊化處理，以減少被鏈接攻擊的可能。如此處理過的數據因無法與已識別或可識別的自然人相關聯，不受GDPR管轄。

(二)確保數據應用圖譜各環節有效可控

1.盡告知義務須合法有效GDPR的核心原則之一就是透明性原則，要求數據控制者必須以透明的方式、清晰簡明的語言，如實告知數據主體處理其個人數據的方式及程度。GDPR規定“數據主體授權”必須是數據主體被告知情況下自愿給出的特定明確表示，并明確了“授權”的要件：①數據控制者必須保證授權是用于特定目的；②必須區分數據主體的書面授權與其他事項授權；③授權可撤回；④在數據控制者和數據主體地位顯著不平衡時，授權不能作為處理數據的合法依據?？梢?，數據主體的緘默或不回應不能構成授權，企業不能推定數據主體的授權，更不能以“霸王條款”強獲授權。并且，企業要保證授權與授權目的對應及授權可隨時撤銷。

如數據主體提出被遺忘權或要求限制處理，企業都應告知已披露個人數據的接收者——除非不可能或需付出不相稱的工作。如應數據主體要求，企業還應向其告知上述有關接收者的情形。履行告知義務還有形式和期限上的要求：須以書面形式(如隱私政策)提供，也可使用適當的可視化方法(如標準化圖標)，在適當的時候可通過電子公告(如網站公告)提供；對不同使用目的的數據應在相應的期限內履行告知義務。

2.數據處理須有合法性根據GDPR規定了數據處理的六個合法性根據：同意、履行合同之必要、數據主體重大利益、法律義務、公共利益或官方職權、正當利益。其中最常用也是最為強調的事由就是數據主體的同意。

數據主體的同意在收集、處理、流通各個環節都有相應的要求。實務中常見的不合規獲取同意的方式有：讓消費者注冊時默認勾選(大多與服務捆綁，不同意則無法享受服務)、“一攬子”授權同意(開啟所提示的權限卻“一攬子”授權同意了后臺開啟其他未經提示的權限)、概括式同意(通過格式條款使消費者在不可預見的情況下概括性地同意了數據處理的各種情形)。2019年1月，法國數據保護機構就因谷歌未向用戶提供透明和清晰的處理個人數據的方式，所涉收集的同意既不“具體”也不“明確”，以違反GDPR的同意規則為由處罰谷歌5000萬歐元。跨境旅游企業應對標修改隱私政策或用戶協議：首先應建立確保同意有效性及可撤回的機制。只有充分告知用戶所存在的風險后的同意才是有效的。必須在數據主體作出同意前，以易于理解的語言且與其他事項顯著區別的形式提醒并告知消費者同意的法律后果：不再擁有反對處理權，但擁有撤回和刪除權，且撤回不溯及在撤回前基于同意對其個人數據的處理。隱私政策需明確告知消費者收集信息的目的和方式，用于新的目的需用彈窗模式再次提醒并征得消費者同意，確保有消費者同意的點擊動作。未作出清晰的確認動作，均不視為“明確的”同意。其次，要分隔數據使用的不同權限，區分核心功能和附加功能、雙方協議功能和第三方協議功能。消費者對不同權限和功能應有選擇權，只有當消費者針對諸多特定目的分別給予認可時才是GDPR所要求的“具體的”同意?？缇陈糜纹髽I不得采用“霸王條款”讓消費者沒有選擇權而失去對其個人數據的控制，且不能因消費者拒絕授權附加功能、第三方協議功能影響核心功能、雙方協議功能的使用。另外，為避免自增風險，不要文本雷同地照搬標桿企業的隱私政策，要契合自身業務及數據流情況、合規能力建設水平，結合從設計著手隱私保護所構建的數據地圖，作出相應的隱私政策承諾。

適用“履行合同之必要”規則，一般是依據消費者主動發起的合同，應在訂立合同前讓消費者知悉法律后果：不享有撤回權和反對處理權，且在合同存續期間不享有被遺忘權，但享有可攜帶權。另外四種合法事由，對一般的跨境旅游企業來說，適用的可能性不大。如需適用，要注意公共利益和正當利益更多的是依賴于數據控制者的判斷，數據主體參與程度很低，GDPR相應地賦予了數據主體事中、事后的反對、限制、刪除的權利。而在適用保護數據主體重大利益和履行法律義務的合法事由的情況下，數據主體沒有撤回權和可攜帶權。

3.關注不同情形下數據權利實現的條件除了傳統的查詢、更正、刪除權利，GDPR還賦予個人反對權、免受自動化決策權以及被遺忘權、限制處理權和數據可攜帶權。個人不再是被動地“受制”于數據控制者，而能及時、簡便、深入地參與、介入、干預數據處理活動。數據主體權利升級給企業數據控制力帶來更多限制，但企業也需注意，這些權利的實現也有條件。被遺忘權不是絕對權利，只在消費者撤回同意或企業不再有合理理由繼續處理數據等情形下適用。對消費者的反對處理權，在不同情況下企業的義務是不同的。對出于直接營銷目的的處理，如用戶畫像和定向推送等自動化決策，反對權是絕對的。企業應單獨、清晰地告知數據主體擁有這種絕對反對權，并有義務對自動化處理采取適當的保障措施：告知數據主體具體信息，允許其質疑此類自動化決策、要求對自動化決策進行解釋或人為干預。對基于公共利益、正當利益或履行法律義務所必需的數據處理，反對權不是絕對的，但企業必須證明擁有令人信服的、優先于數據主體利益的正當理由。可攜帶權的實現前提是“技術可行”。

4.謹慎采取合規的用戶畫像可行方式旅游市場發展催生的“定制旅游”方式，以滿足個性化的需求為原則，設計出最大限度符合旅游者心理預期產品。[5]使用用戶數據關聯用戶需求，用戶畫像是關鍵。它基于用戶屬性、用戶行為、用戶使用產品或服務的場景了解用戶的過程，收集消費者旅游記錄、網站訪問記錄、電子郵件推送的旅游服務內容、甚至是跨類別、跨種類產品和服務等數據，解析消費者旅游行為特征及偏好，預測其未來取向，評估消費者服務模式與消費者個性化旅游需求的匹配度及旅游服務的可持續性。該項技術多用于內容推送、應用推薦、產品研發、廣告投放、移動個性化服務，[6]為途牛、攜程、同程、螞蜂窩等在線旅游企業所青睞。根據GDPR第4條對“用戶畫像”的定義及第2條適用范圍的規定，用戶畫像及“形成或旨在形成用戶畫像”的活動均屬于個人數據處理。故網站瀏覽記錄、軟件使用記錄、點擊記錄、行蹤軌跡等為形成用戶畫像所收集的信息都屬于個人數據。用戶畫像合規問題特別突出，GDPR下對于畫像的形成、使用、共享環節中控制者的合規義務和數據主體權利的保障都進行了詳細的規定。[7]

跨境旅游企業應謹慎采用合規的可行方式。首先，必須向數據主體提供關于其個人數據用于畫像的簡潔、透明、易懂和易于獲取的信息。其次，需要評估生成畫像的處理程序是否與最初收集數據時的目的相兼容。第三，必須確保和證明畫像技術的運用符合數據最小化原則、用途限制和存儲限制原則的要求。第四，畫像處理過程所有階段應遵守準確性原則的數據質量要求。第五，確保畫像處理具有合法性基礎。企業應當告知數據主體存在用戶畫像程序并提供相關邏輯、包括此類處理對于數據主體產生的預期后果，確保數據主體的同意確實是在充分知情基礎上作出的選擇。對作為畫像處理的合法性基礎的履行合同之必要、法定義務必要或保護重大利益必須等其他事由做縮限解釋，在后兩種情況下，也應保障數據主體對用戶畫像質疑和進行人工干涉的權利。第六，對于可在畫像過程中推斷出敏感性個人喜好和特征的特殊類別數據，只有數據主體明確同意，或為公共利益所必要且已采取保護措施，才可以進行畫像。GDPR并不禁止用戶畫像的共享，只要共享方和接收方都能按照合規要求向用戶清晰詳細地告知并保障其各項權利的實現。

(三)嚴格監管數據流動圖譜的動態

1.梳理數據在生態鏈的流動安全業務協作生態在線化使合作伙伴還有更大的一重風險：數據在生態鏈的流動安全?？缇陈糜纹髽I在需要與其他數據處理者合作時，要審慎選擇第三方數據處理者，選擇能夠保證采取足夠適當的技術和組織措施的處理者，并能控制其數據處理行為以及次級處理者鏈條。數據處理者的權利和義務由其與控制者之間的數據處理協議約定。GDPR明確了數據處理協議內容的強制性要求，企業應比照GDPR第28條的規定對現有數據處理協議做必要的修改，明確相關情形下的責任分擔。

其次，要依角色確定責任而建立最小授權的訪問控制策略。隨著大數據技術的推廣，大型跨境旅游企業也會自行承擔數據處理者的義務。企業要確定在各類數據處理活動中的角色，對安全管理人員、數據操作人員、審計人員等企業內部、外部參與各類數據處理活動的當事人及其角色進行梳理、評估和分離設置，區隔作為控制者與處理者各自的職責及相應的義務，對這些人能接觸的數據類型、脫敏級別、許可的數據加工和運算類型，都需要進行細粒度權限控制。

再次，數據開放與共享時輸出匹配的合規能力。為了提高數據的使用效率和價值密度，企業還可能會以協作的方式與其他服務商實現數據共享。尤其是隨著場景旅游服務的興起，越來越多的跨境旅游服務依賴合作者的技術、渠道及流量，而合作者也在積極開拓歐盟市場。開放平臺成為跨產業、跨區域、跨市場融合的旅游產業發展趨勢。平臺型旅游企業利用平臺跨界收集經營過程產生的交易數據、評價數據和日志數據，與第三方合作者進行匹配數據交易，除了輸出系統、數據等技術能力外，也要輸出與之匹配的合規能力。特別是在GDPR以同意為中心的合規體系下，一方面，后臺數據關聯應避免共享簡化，不能事先利用“一攬子”協議將消費者所有相關授權窮盡，應分項明示，由消費者手動設置。不論第三方是否采取了同樣的隱私保護政策，與之進行匹配數據交易，應符合消費者自愿原則，經其同意方可操作。另一方面，也可以跟第三方簽訂保密協議或對特定數據做去標識化處理。

2.數據跨境傳輸可采取的合規傳輸路徑GDPR引入多種變通機制來調和不同的權利，構建多種合規數據傳輸路徑。最正式的合規路徑是數據輸入國被歐盟委員會認定為“具有充足保護”，然而中國尚未獲得歐盟委員會的充足保護認定?？缇陈糜纹髽I從位于歐盟的數據控制者或處理者處獲得歐盟境內自然人的個人數據，可以采用其他的合規路徑，只要輸出方提供適當的保障措施?？缇陈糜纹髽I可與數據輸出方簽訂具有法律約束力的文件、制定有約束力的公司規則、采用歐盟委員會或監管機構制定并為歐盟委員會批準的數據保護標準條款、遵守GDPR所認可的行為準則或經歐盟委員會批準的驗證機制并對安全保障做出具有約束力和執行力的承諾，采取上述保障措施下的數據跨境傳輸不需要監管機構授權?？缇陈糜纹髽I還可與歐盟境內的控制者或處理者簽訂有關數據轉移的合同并獲得監管機構的授權。

三、構建有效的合規閉環

數據合規非一日之功，制度是數據治理最重要的范式?？缇陈糜纹髽I既要建立內部控制制度，又要設立合規治理機構協調企業數據全生命周期的合規治理。

(一)建立企業數據合規體系

GDPR“從設計著手隱私保護”原則(privacy by design)要求在產品和服務的初始設計階段將數據隱私保護考慮在內。“默認隱私保護”原則(privacy by default)要求在數據全生命周期任何環節默認地采取必要的、適當的技術和組織保障措施，確保只處理每個特定處理目的所必需的個人數據。企業應基于這兩項原則建設完備的數據合規體系。

第一，梳理數據流轉情況。需要清楚、全面地了解企業內部對數據收集、使用、共享、轉讓、公開披露、存儲、刪除等環節的現狀以及所有配套機制的實施情況，包括數據血緣追蹤，即數據在存儲環節的傳遞路徑追蹤(用于控制數據質量風險)；數據操作路徑溯源，即數據在使用環節的路徑鏈路(用于控制和數據服務相關的數據質量風險)；高敏數據去向溯源，即高敏數據最后的去向(用于數據濫用、數據泄露事件溯源)；數據外發溯源，即數據通過非在線系統的外發流轉出去，數據泄露后可以追查外發途徑(用于數據泄露事件溯源)。完成數據流轉情況的梳理后，比對相關法律法規及標準，對不足部分及時改進。

第二，完善內部制度規程。主要包括設置訪問權限控制機制、建立個人信息安全影響評估制度以及采取技術保護手段等。重點有兩個方面。一是建立“數據保護管理體系”(Data Protection Management System，DPMS)，在技術上加強數據安全能力建設，提高數據保護的可操作性，確保數據處理系統能夠持續保持完整性、可用性、保密性和自我修復性?？缇陈糜纹髽I對于會給消費者權利和自由帶來風險的特殊數據，必須設置數據保護影響評估(data protection impact assessment，DPIA)程序，建立科學的DPIA模型，明確評估的內容、方法和標準，在收集和處理個人信息前系統地分析特定項目或系統對隱私的影響。評估結果直接影響數據處理的條件，并需更改企業內部技術系統和流程，設計專項保護措施，從而對數據風險早期預防、實時感知、即時反饋和動態監控。同時，發布DPIA報告是促進企業自證合規、配合監管的有效工具。若DPIA表明存在較高風險，企業應事先征求監管機構的意見。二是做好內部數據泄露應急處置預案，包括在事故發生時須采取的行動、檢查事項清單和后續措施等。當發生意外事件時，第一時間將相關基本情況和可能的影響以郵件、信函、電話、推送通知等方式告知受影響的消費者，說明救濟措施并建議和指導消費者先采取適當措施自主防范和降低風險。難以逐一告知時，應采取合理、有效的方式發布公告警示。同時向監管部門報告，并在內部立即采取初步補救措施。

第三，完善外部文件，包括用戶協議、隱私政策以及與第三方的協議等。外部文件是評估企業合規水平的重要參考依據，最好結合之前對數據流轉情況的梳理完成。還要定期對第三方進行審計，盡量識別和避免因事實上的數據處理合作而導致的責任。

(二)做好監管審計管理

GDPR規定了數據主體向監管機構申訴的權利、對監管機構的決定獲取有效司法救濟的權利、對數據控制者或處理者的違規行為申請司法救濟的權利，且處罰金額巨大。賦予數據主體救濟權加大了企業的違規成本，跨境旅游企業應建立合規監管機制降低合規成本。

1.設置數據合規官GDPR強制要求數據處理組織任命數據保護官(Data Protection Officer，DPO)。這一規定成為基于問責制合規框架的重要“基石”，其立法主旨是將個人信息的部分監管職能和相應責任由監管部門轉移至企業內部。DPO梳理并全面了解本企業數據合規的執行情況，為不同場景設計合適的數據保護方案，確保企業隱私保護實踐達到最佳效果；進行進一步的數據處理影響評估、安全事件可能性分析、隱私風險分析等環節，最終產出合規差距分析表；充當監督機構、數據主體和組織內的業務部門等各利益相關人之間的紐帶。

2.符合合規監管的形式要求GDPR第5(2)條規定了問責原則，要求企業遵守數據處理原則并能自證其遵守?？缇陈糜纹髽I要以可見的形式合規，以便于痕跡審計。DPO完善合規要求的各項規范性文檔，保存數據處理的書面(包括電子)記錄，保留完整有效的合規證明，以符合形式合規。

具體而言，DPO對隱私協議進行更新和確認，對收集和存儲的數據類型、收集目的、處理方式、保護措施、是否會轉移到監管范圍之外地區以及用戶如何行使數據主體權利進行充分、明確的說明；并針對DPIA、跨境數據轉移、數據泄露應急和個人數據保護等多方面的內容形成規范性文檔；記錄數據處理活動，建立全面、準確、完整地反映企業運營狀況的數據地圖，建立數據分級分類、數據打標、數據血緣關系的數據檔案，描述數據獲取途徑、處理手段、流動過程及路徑、存儲位置、消費者權利的請求及行使等數據動態變化，尤其是對高敏數據的全程監控與審計。

記錄作為留痕審計的重要證據，記載數據全生命周期每一環節的狀態，為風險評估提供事實依據，在監管機構問責時可展示數據處理活動的合規性以完成舉證義務。企業自我規制，遵守由國際組織、行業協會等擬定的行為規則，向認證機構申請國際標準的合格評定時也可將記錄作為重要資料留存。

3.積極配合GDPR機構監管GDPR規定，不遵守監管機構的命令，行政罰款可增至2000萬歐元或全球年營業總額的4%(以較高者為準)。高額的行政罰款已使一些大型跨國公司受到懲戒，使涉及個人數據相關業務的跨國經營組織感到風險重重。其實，最高罰金僅對最嚴重的違法行為適用。如果違法行為不會對數據主體權利構成重大風險，可以用警告、申誡、要求改正、要求更正或刪除個人數據等取代罰款。第29條工作組《行政罰款的適用和設置指南》明確指出：在具體案件中，監管機構有責任采取審慎平衡的方法，選擇有效的、恰當的、有說服力的措施。[8]同時，監管機構在評估是否適用罰款及確定罰金標準時，應考慮的因素有：違法的性質、嚴重性與持續時間；基于故意還是過失；控制者或處理者為了減輕數據主體損失而采取的所有行動；與監管機構的合作程度；監管機構得知違法行為的方式等等。因此，一旦發生不合規事件，跨境旅游企業對危機事件做出迅速反應、評估與處理的同時，需向監管機構報告并保持良好密切的溝通，有助于避免更為嚴厲的處罰。