SAF Logistics是一家母公司位于中国的空运公司。2023年9月18日，法国国家信息和自由委员会（CNIL）对该公司处以20万欧元的罚款，罚款原因是该公司过度收集员工的隐私数据。根据CNIL的调查，SAF Logistics至少违反了欧盟通用数据保护条例（GDPR）中的四条。

第一，违反了GDPR Art.5(1)(c)中关于数据最小化的要求。SAF Logistics曾经通过要求员工填写表格的方式，收集了大量员工家庭成员的信息，包括家庭成员的身份、联系方式、雇主、职务和婚姻状况。CNIL认为收集员工家庭成员信息的行为是不必要的，侵犯了员工的私生活。

第二，违反了GDPR Art.9中的敏感数据处理禁令。SAF Logistics所收集的数据中还包括GDPR中所规定的的敏感信息，例如员工的血型、种族和政治立场。CNIL认为该公司并不满足GDPR Art.9所规定的的敏感数据收集条件，因此不应当采集这些敏感数据。

第三，违反了GDPR Art.10中关于个人犯罪记录数据的规定。SAF Logistics被发现保留了其雇员的犯罪记录，而这些犯罪记录在行政调查后已经被政府清除。CNIL认为该公司并无资格查阅或保留雇员的犯罪记录。

第四，违反了GDPR Art.31中关于配合调查的规定。在CNIL对SAF Logistics进行调查时，该公司被要求提供中文表格的翻译件。SAF Logistics提供了不完整的翻译件，有意隐瞒了有关种族和政治取向的内容。CNIL认为该公司此举意在阻止CNIL进行调查。

最终，2023年9月18日，CNIL对SAF Logistics处以20万欧元的罚款。

西方国家对数据安全、网络安全与个人隐私保护要求较高，处罚力度较重。而中国企业往往会忽略信息采集的边界，信息数据库泄露更是时有发生。在SAF Logistics案中，SAF Logistics仅仅只是采集了员工的敏感信息，就被法国当局认定为违反了通用数据保护条例。如果以这样的标准来衡量，绝大多数中国企业在国内的信息采集行为都将构成严重违法。因此，中国企业出海时需格外注意适应当地数据安全监管要求。在收集和使用客户数据时要以更严格的规定与标准要求自己。若未能达标，中国企业可能面临较高的处罚或面临用户集体诉讼等，损害企业声誉与利益。

目前外国与数据安全相关的立法主要包括：

欧盟于2018年5月正式实施的《通用数据保护条例（GDPR）》，约束业务范围涉及欧盟成员国领土及其公民的企业。据不完全统计，目前欧盟各国已就违反GDPR行为开出数百张罚单，包括法国数据保护监管机构国家信息自由委员会（CNILL）于2021年对Google开出的5000万欧元罚单，这也使Google成为GDPR实施后第一个被处罚的美国科技巨头。

美国联邦和各州颁布的各种数据隐私安全法律，涉及不同领域，包括消费者保护领域的《联邦贸易委员会法（FTC法案）》、儿童领域的《儿童在线隐私保护法（COPPA）》、医疗领域的《健康保险携带和责任法案（HIPPA）》及金融领域的《金融服务现代法（GLBA）》等。

中国企业海外投资过程同样需要遵守中国网络与数据安全及隐私保护相关的法律法规，主要包括《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》、《数据出境安全评估办法》、《数据出境安全评估申报指南》（第一版）以及《个人信息出境标准合同办法》等，尤其是前述法律法规中涉及的数据出境的监管要求。