跨境数据传输合规要点
原创
Maurice
S 精选 进阶 |
约 10 分钟阅读
更新于 2026-02-27 AI 导读
跨境数据传输合规要点 作者:Maurice | 灵阙学院 更新日期:2026-02-27 适用范围:涉及数据出境的中国境内企业(含外资在华企业、跨国公司中国子公司) 一、制度背景 中国对跨境数据传输采取"原则限制 + 条件放行"的监管模式。《个人信息保护法》第三十八条、《数据安全法》第三十一条、《网络安全法》第三十七条共同构建了跨境数据传输的法律框架。 2024 年 3...
跨境数据传输合规要点
作者:Maurice | 灵阙学院 更新日期:2026-02-27 适用范围:涉及数据出境的中国境内企业(含外资在华企业、跨国公司中国子公司)
一、制度背景
中国对跨境数据传输采取"原则限制 + 条件放行"的监管模式。《个人信息保护法》第三十八条、《数据安全法》第三十一条、《网络安全法》第三十七条共同构建了跨境数据传输的法律框架。
2024 年 3 月《促进和规范数据跨境流动规定》的发布,标志着监管从"从严管控"转向"分类精准管理",在保障安全的前提下便利数据跨境流动。
二、跨境数据传输三条合规路径
2.1 路径总览
跨境数据传输路径选择决策树:
数据是否为重要数据?
|
YES --> 路径 A: 安全评估(强制)
|
NO
|
处理个人信息是否达到阈值?
(100 万人以上 / 累计 10 万人 / 累计 1 万人敏感信息)
|
YES --> 路径 A: 安全评估(强制)
|
NO
|
是否为关键信息基础设施运营者(CIIO)?
|
YES --> 路径 A: 安全评估(强制)
|
NO --> 路径 B: 标准合同 或 路径 C: 个人信息保护认证
2.2 豁免情形(2024 年新规)
《促进和规范数据跨境流动规定》新增以下豁免情形:
| 情形 | 条件 | 免除义务 |
|---|---|---|
| 国际贸易/学术/制造等必需 | 合同履行所必需 | 免安全评估/标准合同/认证 |
| 境外人员个人信息 | 非境内自然人的个人信息 | 免安全评估/标准合同/认证 |
| 小规模传输 | 非 CIIO、不含重要数据、年累计 < 10 万人一般信息或 < 1 万人敏感信息 | 免安全评估/标准合同/认证 |
| 人力资源管理 | 跨境 HR 管理所必需 | 免安全评估(仍需标准合同或认证) |
| 自贸区负面清单外 | 自贸区可制定负面清单 | 负面清单外数据免评估 |
2.3 路径 A: 数据出境安全评估
适用范围(强制):
- 关键信息基础设施运营者(CIIO)向境外提供个人信息
- 处理 100 万人以上个人信息的处理者向境外提供个人信息
- 自上年 1 月 1 日起累计向境外提供 10 万人个人信息
- 自上年 1 月 1 日起累计向境外提供 1 万人敏感个人信息
- 向境外提供重要数据
评估流程:
安全评估流程:
Step 1: 自评估(企业自行完成)
|-- 编写数据出境风险自评估报告
|-- 梳理出境数据清单
|-- 评估数据接收方的安全能力
|
v
Step 2: 申报材料准备
|-- 申报书
|-- 数据出境风险自评估报告
|-- 与境外接收方签订的合同
|-- 其他必要材料
|
v
Step 3: 向省级网信办提交
|-- 省级网信办 5 个工作日内完成完备性查验
|-- 转交国家网信办
|
v
Step 4: 国家网信办审查(45 个工作日,可延长)
|-- 书面审查
|-- 可要求补充材料、约谈、现场检查
|
v
Step 5: 获得评估结果
|-- 通过:2 年有效期
|-- 未通过:不得出境
|
v
Step 6: 持续合规
|-- 有效期内数据出境情况发生变化须重新申报
|-- 2 年期满需要继续的须在期满 60 个工作日前重新申报
2.4 路径 B: 个人信息出境标准合同
适用条件(全部满足):
- 非关键信息基础设施运营者
- 处理个人信息不满 100 万人
- 自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人
- 自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人
标准合同备案流程:
Step 1: 签署标准合同
|-- 使用国家网信办发布的标准合同模板
|-- 不得与标准合同相冲突
|-- 可在不冲突的前提下约定其他条款
|
v
Step 2: 完成个人信息保护影响评估
|-- 评估出境的合法性、正当性、必要性
|-- 评估对个人信息主体权益的影响
|-- 评估境外接收方的安全保障能力
|
v
Step 3: 向省级网信办备案
|-- 提交标准合同及影响评估报告
|-- 合同生效之日起 10 个工作日内完成备案
|
v
Step 4: 持续合规
|-- 出境情况变化时更新合同与评估
|-- 保存合同及履行情况记录不少于 3 年
2.5 路径 C: 个人信息保护认证
由经国家网信办认可的专业机构进行认证。适用于同一跨国公司集团内部的个人信息跨境传输场景较多。
认证要求:
- 制定并遵守统一的个人信息保护规则
- 指定中国境内机构或代表为责任主体
- 提供便捷的权利救济渠道
- 通过专业机构认证审核
三、数据本地化要求
3.1 强制本地化场景
| 行业/类型 | 法规依据 | 本地化要求 |
|---|---|---|
| CIIO 收集的个人信息和重要数据 | 《网络安全法》第 37 条 | 境内存储;确需出境须安全评估 |
| 征信信息 | 《征信业管理条例》 | 境内存储和处理 |
| 人口健康信息 | 《人口健康信息管理办法》 | 不得存储在境外服务器 |
| 地图数据 | 《测绘法》 | 禁止境外传输 |
| 网约车数据 | 《网络预约出租汽车经营服务管理暂行办法》 | 境内存储 |
| 汽车数据 | 《汽车数据安全管理若干规定》 | 重要数据境内存储 |
3.2 "境内存储"的技术理解
- 数据的主存储节点必须在中国境内物理服务器上
- 境外人员远程访问境内数据也可能构成"出境"
- 使用境外云服务但数据存储在境内区域(如 AWS 中国区),通常视为境内存储
- 传输过程中经过境外节点(如 CDN 回源)需评估是否构成出境
四、实际场景合规方案
4.1 场景一:跨国公司内部数据传输
场景描述:中国子公司向总部(欧美)传输员工和客户数据
合规路径选择:
|
+-- 员工 HR 数据(合同履行必需)
| |-- 2024 新规豁免:HR 管理必需可免安全评估
| |-- 但仍建议签订标准合同或获取认证
|
+-- 客户个人信息
| |-- 数量 < 10 万人:标准合同备案
| |-- 数量 >= 10 万人:安全评估
|
+-- 业务数据(非个人信息、非重要数据)
|-- 不属于跨境数据传输监管范围
|-- 但建议评估是否构成重要数据
4.2 场景二:使用境外云服务
场景描述:使用 AWS/Azure/GCP 的中国区域或境外区域
情形 A: 境外云,数据出境
|-- 必须选择合规路径(安全评估/标准合同/认证)
|-- 云服务商作为"境外接收方"
|-- 须评估云服务商的数据安全能力
情形 B: 境内云区域(如 AWS 中国由光环新网运营)
|-- 数据物理存储在境内
|-- 但需确认运维管理是否涉及境外访问
|-- 境外运维人员远程访问可能构成出境
情形 C: 混合部署
|-- 境内区域存储敏感数据
|-- 非敏感数据可考虑境外区域
|-- 需建立数据流转控制机制
4.3 场景三:SaaS 产品出海
场景描述:中国企业的 SaaS 产品服务境外客户
关注点:
|-- 境外用户数据是否回传到境内服务器
|-- 境内运营数据是否传输到境外节点
|-- 是否涉及重要数据出境
|-- 个人信息处理是否同时受 GDPR/其他法规约束
建议架构:
|-- 境外用户数据本地处理(就近部署)
|-- 仅聚合统计数据回传境内
|-- 避免原始个人信息跨境
五、与欧盟 SCCs 的对比
| 维度 | 中国标准合同 | EU SCCs |
|---|---|---|
| 法律依据 | PIPL 第 38 条 | GDPR 第 46 条 |
| 合同模板 | 国家网信办统一模板(强制) | 欧盟委员会标准条款(强制使用核心条款) |
| 灵活度 | 核心条款不可修改,可补充不冲突条款 | 模块化设计,可根据场景组合 |
| 备案要求 | 须向省级网信办备案 | 无需备案,但须保留记录 |
| 影响评估 | 须完成个人信息保护影响评估 | 须完成传输影响评估(TIA) |
| 适用阈值 | 有数量限制(超阈值须安全评估) | 无数量限制 |
| 有效期 | 合同期限内(变更需更新) | 合同期限内 |
| 数据主体权利 | 数据主体为第三方受益人 | 数据主体为第三方受益人 |
跨国企业同时受中国和欧盟管辖时,建议:
- 分别满足两套制度要求
- 在一份商业合同中附加中国标准合同和 EU SCCs 两个附件
- 统一影响评估流程,同时满足 PIA 和 TIA 要求
六、风险自评估要点
6.1 评估框架
数据出境风险自评估框架:
一、出境活动的合法性与必要性
-- 合法性基础
-- 出境目的的正当性
-- 数据最小化原则
二、出境数据的规模、范围与敏感程度
-- 数据类型清单
-- 涉及人数
-- 是否含敏感信息
三、境外接收方的安全保障能力
-- 接收方所在地法律环境
-- 接收方安全管理制度
-- 接收方技术保障能力
-- 是否存在政府数据调取风险
四、出境后的风险与保障措施
-- 数据泄露风险
-- 未授权使用风险
-- 数据主体权利行使保障
五、合同或协议的约束力
-- 与接收方签订的合同条款充分性
-- 违约救济措施
6.2 接收方所在地法律评估
重点评估接收方所在国家/地区的:
- 数据保护法律框架是否完善
- 政府数据调取权力的范围和透明度
- 是否有独立的数据保护监管机构
- 数据保护法律的执行力度
- 国际数据保护合作情况
七、实施检查清单
7.1 准备阶段
- 完成数据流转盘点,识别所有跨境传输场景
- 对出境数据进行分类分级
- 判断是否涉及重要数据
- 统计涉及个人信息的数量和类型
- 确认是否为 CIIO
- 选择适用的合规路径
7.2 安全评估路径
- 完成数据出境风险自评估报告
- 与境外接收方签订数据处理合同
- 准备申报材料清单
- 向省级网信办提交申报
- 配合国家网信办审查
- 获得评估结果后持续监控
7.3 标准合同路径
- 使用国家网信办发布的标准合同模板
- 完成个人信息保护影响评估
- 在合同生效 10 个工作日内向省级网信办备案
- 保存合同及履行情况记录不少于 3 年
7.4 持续合规
- 建立数据出境活动监控机制
- 出境情况变化时及时更新评估/合同/备案
- 安全评估有效期满 60 个工作日前重新申报
- 定期审计数据出境活动
- 跟踪监管政策变化
八、技术实施建议
8.1 数据出境管控技术架构
数据出境管控架构:
[数据生产系统]
|
v
[数据出境网关]
|-- 数据分类识别引擎
|-- 出境策略匹配引擎
|-- 脱敏/加密处理引擎
|-- 审批工作流
|-- 审计日志
|
v
[境外接收端]
8.2 关键技术能力
| 能力 | 说明 |
|---|---|
| 数据流发现 | 自动发现跨境数据流,包括 API 调用、文件传输、数据库复制 |
| 分类识别 | 自动识别出境数据中的个人信息、敏感信息、重要数据 |
| 策略执行 | 根据数据类型和目的地自动匹配合规路径和管控策略 |
| 脱敏处理 | 出境前自动对敏感字段进行脱敏或加密 |
| 审计追踪 | 完整记录所有数据出境操作,支持合规审计 |
九、处罚风险
| 违规行为 | 处罚依据 | 处罚措施 |
|---|---|---|
| 未经安全评估向境外提供重要数据 | 《数据安全法》第 46 条 | 责令改正,警告,罚款 10-100 万元;直接责任人员 1-10 万元 |
| 未依法完成安全评估/标准合同/认证 | 《个人信息保护法》第 66 条 | 责令改正,没收违法所得,罚款最高 5000 万元或上年度营业额 5% |
| CIIO 在境外存储数据 | 《网络安全法》第 66 条 | 责令改正,警告,罚款 5-50 万元;直接责任人员 1-10 万元 |
参考法规
- 《中华人民共和国个人信息保护法》(2021) 第三十八至四十三条
- 《中华人民共和国数据安全法》(2021) 第三十一条
- 《中华人民共和国网络安全法》(2017) 第三十七条
- 《数据出境安全评估办法》(2022)
- 《个人信息出境标准合同办法》(2023)
- 《促进和规范数据跨境流动规定》(2024)
- 《个人信息保护认证实施规则》(2022)
- EU Commission Implementing Decision (EU) 2021/914 (SCCs)
Maurice | maurice_wen@proton.me