跨境数据合规:出境安全评估
原创
灵阙教研团队
S 精选 进阶 |
约 9 分钟阅读
更新于 2026-02-28 AI 导读
跨境数据合规:出境安全评估 从 CAC 评估到标准合同:数据出境的三条路径与实操指南 数据出境为什么是 AI 产品的高频议题 AI 产品天然涉及数据出境:使用海外模型 API、训练数据存储在海外云、跨国企业共享数据、模型参数的跨境传输。在中国法律框架下,个人信息出境需要满足特定条件,违规后果严重。 本文梳理三条合法出境路径的适用条件、操作流程和工程实现。 一、法规框架 1.1 核心法规栈...
跨境数据合规:出境安全评估
从 CAC 评估到标准合同:数据出境的三条路径与实操指南
数据出境为什么是 AI 产品的高频议题
AI 产品天然涉及数据出境:使用海外模型 API、训练数据存储在海外云、跨国企业共享数据、模型参数的跨境传输。在中国法律框架下,个人信息出境需要满足特定条件,违规后果严重。
本文梳理三条合法出境路径的适用条件、操作流程和工程实现。
一、法规框架
1.1 核心法规栈
《网络安全法》(2017) 第37条
关键信息基础设施运营者数据本地化
│
▼
《数据安全法》(2021) 第31条
重要数据出境安全评估
│
▼
《个人信息保护法》(2021) 第38-40条
个人信息出境三条路径
│
▼
《数据出境安全评估办法》(2022.9)
安全评估具体流程
│
▼
《个人信息出境标准合同办法》(2023.6)
标准合同备案流程
│
▼
《促进和规范数据跨境流动规定》(2024.3)
放宽部分场景 + 自由贸易港
│
▼
《个人信息保护认证实施规则》(持续更新)
认证路径细则
1.2 三条出境路径对比
| 路径 | 适用条件 | 审批机构 | 周期 | 有效期 | 费用 |
|---|---|---|---|---|---|
| 安全评估 | CIIO 或 处理 >= 100万人信息 或 累计出境 >= 10万人 | 国家网信办 | 3-6月 | 2年 | 高 |
| 标准合同 | 非 CIIO,处理 < 100万人,累计出境 < 10万人 | 省级网信办(备案) | 1-3月 | 按合同 | 中 |
| 保护认证 | 集团内部跨境 或 认定的认证机构 | 认证机构 | 2-4月 | 3年 | 中高 |
1.3 豁免场景(2024 年新规放宽)
| 豁免场景 | 条件 | 注意事项 |
|---|---|---|
| 合同必要 | 签订/履行合同必需 | 仅限合同履行所需的最小数据 |
| 人力资源 | 跨国 HR 管理 | 仅限员工个人信息 |
| 紧急情况 | 保护生命安全 | 事后补办手续 |
| 少量数据 | 非敏感 + 年累计 < 10万人 | 不含敏感个人信息 |
| 自贸区 | 自贸区负面清单管理 | 需在自贸区内处理 |
二、安全评估路径
2.1 适用判定
是否需要安全评估?
Q1: 你是关键信息基础设施运营者(CIIO)吗?
是 -> 必须安全评估
否 -> 继续
Q2: 你处理了 >= 100万人的个人信息吗?
是 -> 必须安全评估
否 -> 继续
Q3: 自上年1月1日起,累计出境 >= 10万人个人信息 或 >= 1万人敏感个人信息?
是 -> 必须安全评估
否 -> 可选标准合同或认证路径
Q4: 涉及重要数据出境吗?
是 -> 必须安全评估
否 -> 可选标准合同或认证路径
2.2 评估流程
Phase 1: 自评估(企业内部)
Step 1: 数据出境活动梳理
- 出境的数据类型和规模
- 境外接收方信息
- 出境目的和方式
- 数据安全保护措施
Step 2: 风险评估
- 数据出境的合法性、正当性、必要性
- 境外接收方的数据保护能力
- 出境后的数据安全风险
- 个人信息权益保障
Step 3: 编写自评估报告
(按国家网信办模板)
Phase 2: 申报材料准备
必备材料:
[ ] 数据出境安全评估申报书
[ ] 数据出境安全自评估报告
[ ] 数据处理者与境外接收方拟订的法律文件
[ ] 安全评估工作需要的其他材料
Phase 3: 正式申报
向国家网信办提交申报材料
7个工作日: 决定是否受理
45个工作日: 完成评估(可延长15天)
Phase 4: 评估结果
通过 -> 有效期2年,期满需重新评估
不通过 -> 整改后可重新申报
有条件通过 -> 按条件执行后生效
2.3 自评估报告核心内容
| 章节 | 内容要求 | 关键点 |
|---|---|---|
| 出境活动概述 | 数据类型、规模、频率、方式 | 必须具体到字段级别 |
| 合法性评估 | 法律基础、同意获取 | 需证明必要性 |
| 安全风险评估 | 技术/管理/法律风险 | 量化风险等级 |
| 接收方评估 | 所在国法律环境、安全能力 | 需调研当地法律 |
| 保护措施 | 合同约束、技术措施、组织措施 | 全链路保护 |
| 应急预案 | 数据泄露响应、维权渠道 | 可操作性 |
三、标准合同路径
3.1 标准合同核心条款
标准合同(国家网信办发布模板)主要条款:
第一条: 定义
数据处理者、境外接收方、个人信息主体等术语定义
第二条: 出境个人信息
明确出境的信息类型、规模、敏感程度、目的
第三条: 双方义务
3.1 数据处理者义务:
- 确保出境目的合法
- 告知个人信息主体
- 采取安全保护措施
3.2 境外接收方义务:
- 按约定目的和方式处理
- 不超过约定的保存期限
- 配合监管检查
第四条: 境外接收方所在国/地区的政策法规影响
评估当地法律对合同履行的影响
第五条: 个人信息主体权利
保障查阅、复制、更正、删除等权利
第六条: 救济
数据泄露的通知、赔偿、争议解决
第七条: 合同终止
终止条件及终止后的数据处理
附件: 出境个人信息详细清单
3.2 备案流程
Step 1: 签订标准合同
使用国家网信办发布的标准合同模板
不得修改核心条款
可在不违反核心条款的前提下约定其他事项
Step 2: 个人信息保护影响评估(PIA)
评估内容:
- 出境的合法性、正当性、必要性
- 出境规模、范围、种类、敏感程度
- 境外接收方的安全保护措施
- 出境后的风险和对个人权益的影响
Step 3: 向省级网信办备案
材料:
[ ] 标准合同
[ ] 个人信息保护影响评估报告
提交时限: 合同生效之日起 10 个工作日内
Step 4: 网信办审查
审查周期: 约 15 个工作日
可能要求补充材料或整改
3.3 AI 产品标准合同要点
| AI 场景 | 出境数据 | 合同关注点 |
|---|---|---|
| 使用海外 API | 用户输入文本 | 数据留存政策、训练使用限制 |
| 海外模型训练 | 训练数据 | 数据脱敏要求、使用范围限制 |
| 跨国企业共享 | 业务数据 | 访问权限、数据隔离 |
| 模型部署 | 模型参数 | 是否包含个人信息的评估 |
四、实操工作流
4.1 数据出境评估决策树
Start: 是否向境外传输个人信息?
│
├── 否 -> 不适用出境评估
│
└── 是
│
├── 是否属于豁免场景?
│ ├── 是 -> 记录豁免依据,存档
│ └── 否 -> 继续
│
├── 是否为 CIIO?
│ ├── 是 -> 安全评估路径
│ └── 否 -> 继续
│
├── 处理 >= 100万人信息?
│ ├── 是 -> 安全评估路径
│ └── 否 -> 继续
│
├── 累计出境 >= 10万人?
│ ├── 是 -> 安全评估路径
│ └── 否 -> 继续
│
├── 含敏感个人信息且 >= 1万人?
│ ├── 是 -> 安全评估路径
│ └── 否 -> 标准合同 或 认证路径
│
└── 选择路径
├── 标准合同(推荐,流程较快)
└── 保护认证(适合长期合作)
4.2 工程实现:数据出境控制
class DataExportController:
"""Control and audit data exports to foreign jurisdictions."""
async def check_export_permission(
self,
data_type: str,
destination_country: str,
record_count: int,
contains_sensitive: bool
) -> ExportDecision:
"""Check if data export is permitted."""
# Check 1: Is there an approved export mechanism?
mechanism = await self.get_approved_mechanism(destination_country)
if not mechanism:
return ExportDecision(
allowed=False,
reason="No approved data export mechanism for this destination"
)
# Check 2: Does the export exceed approved scope?
approved_scope = await self.get_approved_scope(mechanism.id)
if data_type not in approved_scope.data_types:
return ExportDecision(
allowed=False,
reason=f"Data type '{data_type}' not in approved scope"
)
# Check 3: Volume limits
current_volume = await self.get_ytd_export_volume(destination_country)
if current_volume + record_count > mechanism.volume_limit:
return ExportDecision(
allowed=False,
reason="Export would exceed approved volume limit"
)
# Check 4: Sensitive data restrictions
if contains_sensitive and not mechanism.allows_sensitive:
return ExportDecision(
allowed=False,
reason="Sensitive data export not permitted under current mechanism"
)
# All checks passed
return ExportDecision(
allowed=True,
mechanism=mechanism.type,
conditions=mechanism.conditions
)
async def log_export(self, export_record: DataExportRecord) -> None:
"""Record data export for audit trail."""
await self.audit_log.record({
"event": "data_export",
"timestamp": datetime.utcnow(),
"data_type": export_record.data_type,
"destination": export_record.destination_country,
"record_count": export_record.record_count,
"mechanism": export_record.mechanism,
"operator": export_record.operator,
"purpose": export_record.purpose,
})
4.3 数据本地化替代方案
| 方案 | 描述 | 适用场景 | 优势 | 劣势 |
|---|---|---|---|---|
| 境内 API 代理 | 用境内 API 替代海外 API | 使用海外模型 | 简单直接 | 可选模型有限 |
| 本地模型部署 | 在境内部署模型 | 模型推理 | 完全可控 | 成本高 |
| 数据脱敏传输 | 充分脱敏后传输 | 训练/分析 | 降低合规要求 | 可能影响质量 |
| 联邦学习 | 数据不出境,模型参数传输 | 联合训练 | 隐私保护强 | 技术复杂 |
| 边缘计算 | 在境内边缘节点处理 | 实时推理 | 低延迟 | 部署复杂 |
五、合规清单
5.1 数据出境合规检查清单
Pre-Export Checklist:
评估阶段:
[ ] 确认数据是否属于"出境"(传输到境外 or 境外主体访问)
[ ] 确认数据类型和规模
[ ] 确认是否包含敏感个人信息
[ ] 确认是否属于豁免场景
[ ] 选择合适的出境路径
申报阶段:
[ ] 完成数据出境安全自评估
[ ] 签订标准合同 / 提交安全评估申报
[ ] 完成个人信息保护影响评估(PIA)
[ ] 向网信办备案/申报
技术实施:
[ ] 数据出境控制系统已部署
[ ] 传输加密(TLS 1.2+)
[ ] 数据脱敏/匿名化(如适用)
[ ] 审计日志完整记录
[ ] 出境数据量监控
持续合规:
[ ] 定期审查出境活动(每年至少一次)
[ ] 监控境外接收方的安全措施
[ ] 法规变更追踪
[ ] 安全评估有效期管理(2年续期)
[ ] 个人信息主体权利响应
六、常见问题
6.1 FAQ
| 问题 | 回答 |
|---|---|
| 使用 OpenAI API 算不算数据出境? | 算。用户输入传输到美国服务器。 |
| 模型参数算不算个人信息? | 要看参数中是否可还原个人信息,需要评估。 |
| 匿名化后还需要出境评估吗? | 充分匿名化(不可复原)的数据不属于个人信息,无需评估。 |
| 哪些国家/地区需要特别注意? | 美国(CLOUD Act)、欧盟(GDPR 要求)、数据保护不足国家。 |
| 安全评估没通过怎么办? | 整改后可重新申报,或改为境内部署。 |
| 标准合同可以修改吗? | 核心条款不可修改,可在不违反前提下补充其他条款。 |
总结
数据出境合规的核心逻辑:
数据出境合规 = 路径选择 x 评估执行 x 技术管控 x 持续监督
路径选择: 根据数据规模和主体性质选择安全评估/标准合同/认证
评估执行: 严格按法定流程完成自评估、PIA、备案/申报
技术管控: 出境控制系统 + 加密 + 脱敏 + 审计日志
持续监督: 定期审查 + 有效期管理 + 法规追踪
数据出境合规不是一次性过关,而是持续性义务。建立常态化的出境管控机制,把合规检查嵌入到日常数据流转中,才能在快速变化的法规环境中保持合规。
Maurice | maurice_wen@proton.me