文章总结： 本文剖析在华外企部署中国版Salesforce的法律合规路径。文章梳理了SFDC、阿里云与外企间的多层法律关系，解析电信业务持牌要求与社区模块备案义务，并重点阐述SaaS模式下的等保责任分担、关键信息基础设施认定风险及CXG网关合规问题。建议企业审查服务商资质，明确合同责任，落实网络安全与数据保护措施，以实现合规运营。 综合评分： 90 文章分类： 政策法规,网络安全,数据安全,应用安全

汇业研究 | 在华外企部署及应用中国版Salesforce的主要法律问题（一）

原创

黄春林、郭懿中 黄春林、郭懿中

网数与人工智能法律实务

2026年3月12日 16:00 上海

随着企业数字化转型不断深化，CRM系统已成为跨国企业全球运营的重要基础设施。为适应中国的电信业务、网络安全及数据合规等法律环境及市场情况，Salesforce与阿里云合作推出中国版Salesforce（Salesforce on Alibaba Cloud，包括销售云、服务云及平台云等，下称“中国版Salesforce”、SFOA），由阿里云在中国境内提供托管运营服务。

对于在华外企而言，在中国部署全球统一的数字化系统时，既需要满足中国电信业务、网络安全、数据合规等监管要求，又需要保持与集团全球IT架构和业务体系的一致性。在实践中，SFOA为跨国企业在华使用Salesforce提供了一种兼顾合规与全球业务协同的可行路径，为越来越多的在华外企部署和应用。

本文中，结合最新立法、监管、行业实践及类似项目经验，汇业律师事务所黄春林律师团队梳理在华外企部署和应用SFOA可能涉及的主要法律合规问题，仅供参考。

一、在华外企、集团总部与阿里云、SFDC之间的主要法律关系

在华外企部署和使用中国版Salesforce时，其法律结构与全球版本Salesforce存在明显差异。中国版Salesforce并非由Salesforce, Inc.（以下简称SFDC）直接向中国客户或集团总部直接提供，而是通过阿里云在中国境内运营并交付。因此，在法律关系上通常形成一个由软件许可、云服务、技术支持合同以及集团内部IT管理关系构成的多层法律结构。

1. 阿里云与SFDC建立SaaS软件许可等合同关系

在中国版Salesforce的商业模式中，SFDC与阿里云之间签订基础协议，涵盖软件授权许可及基础技术合作，即SFDC向阿里云提供Salesforce平台及相关产品的基础软件能力，并授权阿里云在中国境内特定范围内托管运营该产品。

SFDC与阿里云之间签订的基础协议因任何原因（例如出口管制、地缘政治等）终止的，可能会影响在华外企与阿里云之间的SFOA协议的有效性，进而影响在华外企的业务连续性。

2. 在华外企与阿里云建立SaaS服务与技术支持等合同关系

对于在华外企而言，其直接合同相对方通常是阿里云，而非SFDC。在实践中，在华外企一般会与阿里云签署包括但不限于以下类型的法律文件：

• 产品服务条款
• 用户协议
• 产品支持服务条款
• 法律声明及隐私权政策
• 数据处理附录
• 人工智能合理使用政策
• 其他框架或补充协议（重要）

但是，部分协议中，SFDC虽然并非直接的合同相对人，但仍然可能是合同受益人，即在华外企可能会向SFDC作出单方承诺或者单方豁免其某些责任。

此外，若部分在华外企采取集团缔约方式的，应当确保旗下各实体（及其服务商、合作伙伴）使用SFOA能够被协议覆盖。

3. 集团总部与在华外企、SFDC的法律关系

在多数跨国企业中，Salesforce往往属于集团统一部署的核心IT系统。因此，在华外企使用中国版Salesforce时，通常还涉及集团总部的IT管理关系。

实践中，许多跨国集团已与SFDC签署全球主协议，并在强监管区域以外的全球范围内统一部署Salesforce平台。这些主协议可能包含了SFDC向中国子公司提供SaaS服务的某些框架性安排。

与此同时，在华外企通常还需要遵循集团总部制定的统一IT管理政策，例如CRM系统统一部署策略、上下游系统接口规范、核心业务流程、数据治理规则、IT安全标准等等。有时，双方还会发生一些业务外包、技术支持及费用转移等安排。

二、部署/应用SFOA的主要电信业务法律问题

1. Salesforce的电信业务实质：云服务及信息服务等

根据中国版Salesforce产品及服务介绍，中国版Salesforce采取多租户的SaaS架构。因此，Salesforce平台层面不同业务模块（包括平台云、销售云、服务云、应用程序环境、在线社区等）可能会涉及云服务、信息服务及在线数据处理等电信业务。

根据《电信条例》《电信业务分类目录（2015年版）》等规定，中国对提供互联网资源协作、信息服务、在线数据处理等业务实行增值电信业务许可制度。这些电信业务虽然已经面向外资部分开放，但是纯外资要拿到相应的电信业务许可，还存在一些现实障碍，这也是为什么AWS、SAP、Salesforce等类似全球产品会托管境内合格电信业务持牌企业运营的主要原因之一。因此，企业应当全面审查SFOA的签约主体具备合作业务相关的全部增值电信业务资质，并且持续有效。

2. 中国版Salesforce的电信业务合规要求

根据中国监管政策要求，通过托管模式在中国境内提供云服务相关的增值电信业务的，必须满足包括但不限于如下合规要求：

（1）必须由境内持牌机构签署服务合同并收费；

（2）租户数据必须由境内持牌机构直接处理；

（3）对外宣传必须包含境内持牌机构；等等。

这也是中国版Salesforce采取当前商业模式的主要原因之二。

在SaaS模式下，在华外企通过中国版Salesforce相关系统、模块向公众提供会员服务、经销商支持等服务的，一般不会被认定为在华外企对外提供经营性增值电信业务，但一些特殊业务模式仍然需要全面评估业务主体资质的适当性和业务实质的合规性。

3. 企业部署中国版社区的电信业务合规责任

Salesforce的重要产品模块之一是社区云服务，通常被企业用于构建在线社区或门户，用于建立客户服务社区、用户交流社区等。如果企业通过Salesforce社区模块向用户提供以下功能：用户注册与账号体系、信息发布或评论、在线互动或讨论及内容分享或上传等服务的，则该社区模块在法律性质上可能被认定为互联网信息服务平台。

根据《互联网信息服务管理办法》等规定，经营性互联网信息服务需要取得增值电信业务许可，非经营性互联网信息服务则需要进行ICP备案、公安备案、安全评估等。此外，在华外企还要履行用户实名核验、信息内容审核等一系列的社区合规责任。

三、部署/应用SFOA的主要网络安全法律问题

中国网络安全法律框架以《网络安全法》为基础，并通过等级保护制度、关键信息基础设施保护制度、网络安全漏洞管理等规则形成较为完整的监管体系。由于CRM系统通常承载企业客户信息、销售数据及经营数据，其在网络安全监管体系中往往被视为高风险类重要业务系统。因此，在华外企在部署中国版Salesforce时，需要重点关注以下几个方面：

1. SaaS平台与租户的等保责任

在SaaS架构下，中国版Salesforce通常会涉及SaaS平台与SaaS租户两个层面的网络系统：

第一层是SaaS平台侧，即中国版Salesforce的平台基础设施及系统架构。该部分通常由阿里云负责托管和运营，因此相应的等保定级、备案及测评工作一般由阿里云负责完成。根据相关信息，中国版Salesforce已经取得了等保3级备案，但企业应当核实等保备案对象与实际提供服务的Salesforce版本的一致性，尤其是医疗健康、汽车等行业版本。此外，还应当审核其云安审、SOC、ISO等合规证明材料。

第二层是企业租户侧。虽然企业使用的是SaaS服务，但从等保2.0备案实践及监管角度看，企业仍然可能被视为租户侧系统的网络运营者（尤其是租户侧存在多个实例部署的情况下）；此外，相关数据资源单独也在等保2.0中被纳入了等保对象。因此，企业通过中国版Salesforce管理、运维客户数据，或者对外提供相关网络服务，企业租户侧仍可能需要开展等保相关工作。考虑到SaaS平台侧在中国境内，且平台已经完成了等保3级备案，企业侧开展等保工作已经没有实质技术障碍。

2. 关键信息基础设施及大平台合规

考虑到中国版Salesforce属于平台级云产品，为大量不同行业的客户（甚至包括汽车、医疗健康等行业）提供核心业务相关的CRM服务，平台处理的个人信息数量非常巨大，一旦中国版Salesforce被认定为关键信息基础设施的，应当遵守《网络安全法》及《关键信息基础设施安全保护条例》等规定的相关合规义务，例如数据本地驻留等，这也是为什么Salesforce在境内阿里云托管运营的主要原因之三。

虽然一般消费零售企业的CRM系统可能不会被认定为关键信息基础设施，但是一些特殊行业或数据量特别巨大的企业，仍然有被认定为关键信息基础设施的可能，同时还可能会被认定为大型网络平台服务提供者，进而应当遵守大型网络平台个人信息保护相关规定，例如使用境内数据中心，以及对数据中心的监督，等等。

3. 中国版CXG网关合规问题

中国版Salesforce CXG（Connected Experiences Gateway）是由Salesforce专为中国打造的本地化扩展组件，可以帮助在华外企将Salesforce CRM和本地生态（例如AI、社交应用、呼叫中心、CDP及本地RAG等）进行集成。考虑到CXG的独立性（单独购买、单独计费）及特殊性，亦建议在华外企单独审查该组件的合规证明材料。

在华外企使用CXG服务对接外部系统的，应当审查相关接口规范及数据共享情况是否安全合规，以及是否符合外部系统（例如企微、短信接口等）的合约限制。

此外，通过CXG组件打通企业的CDP、社交电商等应用的用户数据，涉及数据共享（例如人群上传）、数据处理目的改变（例如人群透视）、自动化决策等，应当依法履行相应的数据合规责任，包括但不限于PIA、更新隐私政策、重新同意等等。

4. 网络安全漏洞处置与通知

在SaaS服务环境下，网络安全漏洞通常涉及多个主体：软件开发方（SFDC）、SaaS平台运营方（阿里云）以及企业租户，甚至还可能包括企业租户的供应商、关联方等等。

根据《网络安全法》《网络产品安全漏洞管理规定》《大型网络平台个人信息保护规定（征求意见稿）》等规定，如果Salesforce平台或CXG等相关组件存在安全漏洞的，阿里云、SFDC等通常需要履行以下义务：及时采取应急措施，向监管部门及用户通报安全风险，提供补丁或升级方案，等等。同时，如果企业在使用系统过程中发现安全漏洞，也应当及时向平台提供方报告，不得擅自公开发布漏洞信息。

值得注意的是，根据之前类似项目经验，一旦企业使用Salesforce时发生用户个人信息安全事件，由于企业是法律意义上的个人信息处理者，个人信息安全事件的报告及通知责任通常应当由企业承担，具体可以参考《国家网络安全事件报告管理办法》等规定。但即便如此，企业仍应当通过补充协议等方式，明确SFOA提供方的相关支持义务、赔偿责任、保险要求等。

（未完待续）

在华外企部署及应用

中国版Salesforce的主要法律问题（二）

四、部署/应用SFOA的主要数据合规问题

1.各方的数据处理法律关系

2.SaaS环境的数据隔离存储

3.数据迁移与删除合规

4.数据逻辑出境合规

五、部署/应用SFOA的主要AI合规问题

1.AI部署合规问题

2.AI应用合规问题

作者往期文章推荐：

关于员工擅自部署应用OpenClaw的风险提示

汇业研究 | 商业秘密保护新规对企业部署和应用大模型的法律启示及行动建议

汇业研究 | 两食品安全新规对外卖、网售食品行业的主要影响及行动建议

汇业研究 | 从传统EC到AI Commerce再到Agentic Commerce的主要法律合规变迁

汇业研究 | APP个人信息收集使用新规对企业个保合规的影响及行动建议

汇业研究 | 企业构建和部署大模型RAG的主要法律实务问题

汇业研究 | 两电商新规对零售行业开展电商业务的主要影响及建议

汇业研究 | 端侧模型部署与应用的主要法律实务问题

汇业研究 | 企业私有化部署Dify类Agent开发平台的主要法律实务问题

汇业研究 | 未成年人个人信息保护合规审计及其报送工作的法律实务问题

大模型“存算跨境分离”部署架构的法律分析

在华外企使用境外总部AI解决方案的主要法律问题

企业上线AI Agent的主要安全风险与合规自评估清单

企业在中国境内部署及应用AI Agent的主要法律问题（二）

企业在中国境内部署及应用AI Agent的主要法律问题（一）

企业部署第三方大模型的主要模式、法律风险及缓释措施

《大型网络平台个人信息保护规定（征）》解读二：数据本地化及其数据中心合规管理

《大型网络平台个人信息保护规定（征）》解读一：负责人及工作机构的特殊合规要求

个人信息保护负责人（PIPO）信息报送及官方审核的十大实务问题

个人信息保护负责人（PIPO）信息报送的十五个实务问题

企业接入国家网络身份认证公共服务的几个常见问题

2025年网络安全等级保护3.0最新政策变化

零售行业的隐秘角落：门店个人信息处理合规评估项目实践

《网络安全法》2025年修订的主要内容及趋势展望

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网数与人工智能法律实务 黄春林、郭懿中 黄春林、郭懿中《汇业研究 | 在华外企部署及应用中国版Salesforce的主要法律问题（一）》