汉盛法评丨数据出境：如何在法律框架内安全“航行”

2025-02-20 张晓

一、我国跨境数据流通法律法规概述

近年来，我国为促进跨境数据流通和融入全球化进程，出台了一系列法律法规，包括《网络安全法》《数据安全法》和《个人信息保护法》，构建了以数据保护和跨境流通为核心的制度体系。今日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》，我国在法律框架设计中融合了全球共识与本土经验，积极探索多样化的跨境数据流通规则。

• 2022年9月1日：施行《数据出境安全评估办法》，规范数据跨境事前管理。

• 2023年6月1日：施行《个人信息出境标准合同办法》，进一步完善跨境数据流通管理制度。

• 2024年3月22日：施行《促进和规范数据跨境流动规定》，明确数据跨境流动中的禁止性和可行性行为，促进数据依法有序自由流动。

• 2025年2月14日：国家网信办公布《个人信息保护合规审计管理办法》（以下简称“《办法》”），自2025年5月1日起施行。

二、数据出境的业务场景

根据《数据出境安全评估申报指南》（第二版），以下情形属于数据出境行为：

1. 数据处理者将在境内运营中收集和产生的数据传输、存储至境外。

2. 数据处理者收集和产生的数据存储在境内，但境外的机构、组织或个人可以查询、调取、下载、导出。

3. 为实现以下目的在境外处理境内自然人个人信息：

￮向境内自然人提供产品或服务；

￮分析、评估境内自然人的行为；

￮法律、行政法规规定的其他情形。

三、涉及企业

涉及的企业主要包括关键信息基础设施运营者和其他数据处理者。企业需根据以下要求满足法律和规范：

1. 关键信息基础设施运营者

• 向境外提供个人信息或重要数据时，需通过省级网信部门向国家网信部门申报安全评估。

• 相关部门会通知企业是否属于此类运营者，并告知其安全保护义务。

2. 其他数据处理者

• 向境外提供重要数据，或累计向境外提供100万人以上个人信息（不含敏感信息）或1万人以上敏感个人信息时，需申报安全评估。

• 若累计向境外提供10万人以上、不满100万人个人信息（不含敏感信息）或不满1万人敏感个人信息，需与境外接收方订立标准合同或通过个人信息保护认证。

重要数据和个人信息的界定

• 重要数据：国家相关部门会通知企业是否涉及。

• 个人信息：包括与自然人相关的各种信息（不包括匿名化信息）。

• 敏感个人信息：如生物识别、医疗健康、金融账户等，一旦泄露可能危害个人权益。

四、数据出境的合规途径

企业需根据数据出境的具体情况选择合规途径，主要包括以下三种：

1. 数据出境安全评估

• 适用场景：向境外提供重要数据或大规模个人信息。

• 流程：

a. 数据处理者与境外接收方订立数据出境相关合同或法律文件。

b. 进行数据出境风险自评估，确认风险可控。

c. 向省级网信办递交申报材料，省级网信部门查验后提交国家网信部门。

d. 国家网信部门完成安全评估后，颁发出境评估结果通知书。

2. 个人信息出境标准合同备案

• 适用场景：向境外提供一定规模的个人信息。

• 流程：

a. 个人信息处理者与境外接收方订立标准合同。

b. 进行个人信息保护影响评估，确认风险可控。

c. 向省级网信办递交备案材料。

d. 省级网信部门查验后，向符合要求的企业发放备案编号。

3. 个人信息保护认证

• 适用场景：通过认证机构评估后，进行个人信息出境活动。

• 流程：

a. 认证机构根据委托资料、技术验证报告等进行综合评价。

b. 作出认证决定，获得认证的企业可进行个人信息出境活动。

五、合规审计重点关注事项

1. 数据分类与分级

建立个人信息与重要数据目录，明确标识出境数据类型（如生物特征、行踪轨迹等敏感信息）。

对数据出境场景进行风险评估（如接收方所在国数据保护水平、政治环境等）。

2. 出境流程管控

事前审批：内部审批流程需记录数据出境目的、范围及接收方资质审查结果。

事中加密：采用国密算法或国际通用加密标准保障传输安全。

事后监测：留存数据出境日志（至少6个月），定期复核接收方使用合规性。

3. 合同条款审查

确保境外接收方承诺：仅按约定目的处理数据；采取等同境内保护水平的措施；配合境内监管机构检查；数据泄露时72小时内通知中方。

4. 本地化与脱敏要求

本地化存储：金融、医疗等关键行业的个人信息和重要数据原则上不得出境；匿名化处理：出境前需通过技术手段（如差分隐私、k-匿名）降低数据可识别性。

5、从审计角度反思数据处境流程

具体包括建立《数据出境风险评估报告》、《数据分类分级记录表》、《安全评估申报回执/认证证书/标准合同备案凭证》、《数据接收方背景调查文件（如资质证明、隐私政策）》、《加密传输协议及技术验证报告》、《数据出境日志及访问记录》、《员工数据出境操作培训记录》等，以便弥补企业自身存在的不足。

企业应根据自身业务场景（如是否涉及跨境云服务、跨国集团内共享）制定细化的数据出境管理规程，建议每年度委托第三方机构开展合规审计，重点关注境外接收方实际履约情况。对于多法域运营企业，需同步满足GDPR、CCPA等境外法规要求，避免合规冲突。

长按以下图片，选择“识别图中的二维码”，即可了快速了解是否涉及数据出境

全站搜索

新闻中心

汉盛法评丨数据出境：如何在法律框架内安全“航行”

汉盛法评丨破产程序中融资租赁债权审查和处理

汉盛法评丨Y公司诉L公司等公司解散纠纷案——外方股东主体消亡情况下中外合作企业的司法解散途径探析

相关律师

张晓

扫码分享

搜索

相关研究

工程量清单项目特征描述不准确导致的争议及规避措施

企业赴美上市指南

《民法典》《九民纪要》下合同不成立、无效、被撤销或确定不发生效力的情形和法律后果简析

《治安管理处罚法》五十一条第一款第一项不宜随意适用

建设工程项目部印章对合同效力的影响及使用时的注意事项