个人信息跨境传输
最后更新:2026-04-07 | 由 LLM 基于知识库原始资料编译
关联概念:数据出境合规 | 数据出境安全评估 | 数据跨境流动 | 数据流通合规审计 | 个人信息保护
现行基准: 以《个人信息保护法》第38-43条为基本框架,《促进和规范数据跨境流动规定》(2024年)为最新调整
核心法条
- 《个人信息保护法》第38条:个人信息处理者确需向境外提供个人信息的,应当具备下列条件之一:(一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同。 [现行有效]
- 《个人信息保护法》第39条:向境外提供个人信息,应当向个人告知处理目的、处理方式、境外接收方的名称或者姓名及联系方式、处理个人信息的种类等,并取得个人的单独同意。 [现行有效]
- 《个人信息保护法》第40条:关键信息基础设施运营者和处理一百万人以上个人信息的处理者,应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。 [现行有效]
- 《个人信息保护法》第41条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。 [现行有效]
- 《个人信息保护法》第42条:境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国个人信息安全和相关国家安全的活动,国家网信部门可以将其列入限制或者禁止个人信息提供清单。 [现行有效]
- 《个人信息保护法》第43条:中华人民共和国缔结或者参加的国际条约、协定在个人信息跨境提供方面与本法有不同规定的,适用国际条约、协定的规定(中华人民共和国声明保留的条款除外)。 [现行有效]
- 《数据出境安全评估办法》(国家网信办令第11号,2022年9月1日施行):安全评估的触发条件、评估流程、有效期等。 [现行有效,2024年修订放宽门槛]
- 《个人信息出境标准合同办法》(2023年6月1日施行):个人信息出境标准合同备案模式。 [现行有效]
- 《网络数据安全管理条例》(2024年7月1日施行):数据处理者个人信息出境安全评估、标准合同备案、个人信息保护认证的实施细则。 [现行有效]
- 《促进和规范数据跨境流动规定》(国家网信办,2024年3月22日施行):大幅降低安全评估门槛,增设豁免情形。 [现行有效]
规则沿革
| 时间节点 | 旧规则 | 新规则 | 依据来源 |
|---|---|---|---|
| 2021-11-01 | — | 《个人信息保护法》第38-43条确立个人信息跨境传输三大合规路径:安全评估、保护认证、标准合同;确立数据本地化存储和跨境传输告知同意制度 | 《个保法》第38-43条 |
| 2022-09-01 | — | 《数据出境安全评估办法》施行,明确"100万人以上个人信息"和"自上年1月1日起累计10万人"触发安全评估 | 国家网信办令第11号 |
| 2023-06-01 | — | 《个人信息出境标准合同办法》施行,确立小型出境场景的备案合规路径 | 国家网信办 |
| 2024-03-22 | 安全评估门槛严格、豁免情形有限 | 《促进和规范数据跨境流动规定》出台:非重要数据且不满10万人个人信息的无需评估;增设人力资源管理、紧急保护等豁免情形 | 国家网信办 |
| 2024-07-01 | — | 《网络数据安全管理条例》整合安全评估、标准合同、认证制度的操作细则,统一个人信息出境合规范式 | 国务院令第790号 |
一、个人信息跨境传输三条合规路径
《个人信息保护法》第38条确立了三条合规路径,数据处理者必须选择其中至少一条:
1.1 路径一:安全评估(最高门槛)
国家网信部门组织的安全评估是最严格的路径,适用于大规模数据处理场景。数据处理者通过省级网信部门向国家网信部门提交申报材料,由国家网信部门组织评估。
1.2 路径二:个人信息保护认证(中等门槛)
通过经国家网信部门认证认可的专业机构对个人信息保护能力进行认证。该路径主要适用于跨国公司内部数据共享等场景,要求境外接收方具备与中国个人信息保护水平相当的安全保障能力。
1.3 路径三:标准合同(较低门槛)
按照国家标准合同模板与境外接收方签订《个人信息出境标准合同》,并向省级网信部门备案。该路径适用于中小规模数据出境场景,是成本最低、操作最便捷的合规路径。
1.4 三条路径的选择矩阵
| 数据处理场景 | 适用路径 | 审批/备案机关 |
|---|---|---|
| CIIO 向境外提供个人信息 | 安全评估(强制) | 国家网信部门 |
| 处理100万人以上个人信息的处理者 | 安全评估(强制) | 国家网信部门 |
| 累计向境外提供≥10万人个人信息 | 安全评估(强制) | 国家网信部门 |
| 累计向境外提供≥1万人敏感个人信息 | 安全评估(强制) | 国家网信部门 |
| 跨国公司内部传输、中等规模 | 保护认证 | 专业认证机构 |
| 非重要数据且<10万人个人信息 | 标准合同备案 | 省级网信部门备案 |
| 满足豁免条件的场景 | 豁免(无需任何路径) | 无需审批/备案 |
二、适用条件与选择标准
2.1 数据处理量门槛
| 量化指标 | 安全评估门槛 | 标准合同/认证 |
|---|---|---|
| 个人信息总量 | 处理 ≥ 100 万人 | < 100 万人可选认证/标准合同 |
| 年度累计出境量 | ≥ 10 万人个人信息 | < 10 万人可选认证/标准合同 |
| 敏感个人信息出境量 | ≥ 1 万人 | < 1 万人可选认证/标准合同 |
| 非重要数据且 < 10 万人 | 无需安全评估 | 标准合同或认证 |
| 非重要数据且 < 1 万人 | 无需安全评估 | 部分豁免(2024新规) |
2.2 主体类型判断
- 关键信息基础设施运营者(CIIO):必须走安全评估路径,无选择余地
- 重要数据处理者:重要数据出境必须走安全评估路径
- 一般个人信息处理者:根据处理规模在安全评估、认证、标准合同中择一适用
2.3 处理类型对路径选择的影响
- 涉及敏感个人信息(生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满14周岁未成年人信息)的,应优先选择安全评估或认证
- 集团内部传输:适合认证路径
- 单次、偶发性传输:适合标准合同路径
三、数据出境安全评估
3.1 触发条件(强制情形)
依据《数据出境安全评估办法》第4条,以下情形必须申报安全评估:
- CIIO运营者向境外提供个人信息
- 重要数据出境
- 处理100万人以上个人信息的处理者向境外提供个人信息
- 自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的处理者
- 国家网信部门规定的其他情形
3.2 评估程序
事前风险自评估 → 向省级网信部门申报 → 完备性查验(5个工作日)
→ 报送国家网信部门 → 受理决定(7个工作日)
→ 安全评估(45个工作日,可延长)
→ 出具评估结果
申报材料清单:
- 数据出境安全评估申报书
- 数据出境风险自评估报告
- 数据处理者与境外接收方拟订立的法律文件
- 安全评估工作要求的其他材料
3.3 评估要点
国家网信部门重点评估以下事项:
- 数据出境的目的、范围、方式的合法性、正当性、必要性
- 境外接收方所在国家或地区的数据安全保护政策法规和安全环境
- 出境数据的规模、范围、种类、敏感程度及对国家安全、公共利益和个人的影响
- 数据出境中和出境后被篡改、破坏、泄露、丢失的风险
- 数据安全和个人权益保障措施的充分性
- 法律文件中数据安全保护责任的约定
3.4 评估结果与有效期
- 评估通过的,国家网信部门出具评估通过的书面文件
- 有效期为2年(自书面文件出具之日起计算)
- 有效期届满需继续出境的,应于届满60个工作日前重新申报
- 有效期内出现可能影响出境数据安全情形的(如境外接收方国家数据安全环境变化、实际控制权变更等),应立即重新申报
- 对评估结果有异议的,可在收到结果后15个工作日内申请复评
3.5 双方法律文件必备条款
数据处理者与境外接收方订立的法律文件至少应包括:
- 数据出境目的、方式和范围,境外接收方处理数据用途和方式
- 数据境外保存地点和期限,达到期限或完成目的后的处理措施
- 对境外接收方将数据再转移的约束性要求
- 因实际控制权、业务范围、所在国环境变化的应对措施
- 违反数据安全保护义务的补救措施、违约责任和争议解决
- 安全风险发生时的应急处置要求和保障个人权益的途径
四、个人信息出境标准合同
4.1 适用范围
标准合同机制适用于未达到安全评估门槛的个人信息出境场景。《个人信息保护法》第38条第(三)项和《个人信息出境标准合同办法》共同确立了这一低成本、高效率的合规路径。
4.2 合同必备条款
标准合同由网信部门统一制定,包含以下必备内容模块:
| 条款类别 | 核心内容 |
|---|---|
| 定义条款 | 个人信息处理者、境外接收方、个人信息、敏感个人信息等 |
| 双方权利义务 | 出境目的、范围、方式;处理期限和保存地点 |
| 安全保障义务 | 技术措施、管理制度、人员培训、访问控制等 |
| 再转移限制 | 境外接收方不得擅自向第三方提供,确需再转移的须经中方书面同意 |
| 个人权利保障 | 知情权、决定权、查阅复制权、更正删除权、投诉举报权等 |
| 违约责任 | 违约金、损害赔偿、终止传输、数据销毁等 |
| 争议解决 | 适用法律(中国法律优先)、管辖约定、仲裁条款等 |
| 监督配合 | 接受监管机关检查、提供相关材料、配合调查等 |
4.3 备案程序
- 数据处理者完成个人信息保护影响评估(PIA)
- 双方签署标准合同
- 向所在地省级网信部门提交备案材料:
- 备案表
- 标准合同文本
- 个人信息保护影响评估报告
- 其他备案要求的材料
- 省级网信部门接收备案后进入监管期
4.4 适用范围限制
- 仅适用于《数据出境安全评估办法》适用范围外的情形
- 不适用于重要数据出境
- 不适用于CIIO运营者
- 合同有效期届满需继续出境的,应重新评估、修订备案
五、个人信息保护认证制度
5.1 制度定位
《个人信息保护法》第38条第(二)项确立了经专业机构进行个人信息保护认证作为跨境传输的合规路径之一。该制度要求数据处理者通过经国家网信部门认可的专业认证机构进行认证,以证明其个人信息跨境处理活动符合中国法律要求。
5.2 适用场景
- 跨国公司内部数据传输:最常见场景,涉及中国子公司与境外母公司或关联公司之间的数据流通
- 集团内部分支机构之间的数据共享:通过统一的个人信息保护管理体系获得认证
- 供应链上下游数据传输:供应商与合作方之间建立认证基础上的数据共享机制
- 云计算/委托处理场景:数据处理委托给境外服务提供者时
5.3 认证核心要求
| 认证维度 | 要求内容 |
|---|---|
| 法律合规 | 遵守中国《个保法》《数据安全法》《网络安全法》等 |
| 管理体系 | 建立完善的个人信息保护管理制度和操作规范 |
| 技术保障 | 采取加密、匿名化/去标识化、访问控制等技术措施 |
| 风险评估 | 对跨境传输活动进行持续的风险评估和动态管理 |
| 监督机制 | 建立内部监督、审计和持续改进机制 |
| 跨境约束 | 境外接收方签署约束性公司规则(BCR),承诺同等保护水平 |
5.4 认证程序
- 数据处理者向经认可的认证机构提出申请
- 认证机构进行文件审查和现场审核
- 认证通过后出具认证证书
- 认证机构定期复审监督
- 认证证书有效期内境外接收方发生重大改变的,需重新评估
六、跨境传输的豁免情形
根据《个人信息保护法》及《促进和规范数据跨境流动规定》(2024年),以下情形可豁免安全评估、标准合同备案和认证:
6.1 法定豁免事由
| 豁免情形 | 法律依据 | 说明 |
|---|---|---|
| 合同必需 | 《个保法》第13条第(二)项 | 为订立、履行个人作为一方当事人的合同所必需的个人信息出境 |
| 人力资源管理 | 《个保法》第13条第(二)项 | 按依法制定的劳动规章制度和集体合同实施跨境人力资源管理 |
| 法定职责/法定义务 | 《个保法》第13条第(三)项 | 为履行法定职责或者法定义务所必需 |
| 突发公共卫生事件/紧急保护 | 《个保法》第13条第(四)项 | 为应对突发公共卫生事件,或紧急情况下保护自然人生命健康和财产安全所必需 |
| 公共利益/新闻报道 | 《个保法》第13条第(五)(六)项 | 为公共利益实施新闻报道和舆论监督;处理已公开的个人信息 |
| 国际贸易/运输 | 《促进规定》 | 订立、履行贸易/运输等合同所必需,或改进产品和提高服务质量所必需 |
6.2 豁免条件的适用限制
- 豁免并非"零合规",仍须满足《个保法》的基本原则:告知同意、最小必要、安全保障等
- 豁免仅免除安全评估/标准合同备案/认证的程序要求
- 涉及重要数据的,不因豁免而免除安全评估义务
- 豁免情形须由企业自行举证证明适用的合理性
七、与数据流通合规审计的关系
7.1 审计框架衔接
个人信息跨境传输是数据流通合规审计的重要组成部分。参见数据流通合规审计,数据流通交易的合规审计清单中的第9项即为"跨境传输合规审查"。
7.2 审计要点
| 审计维度 | 具体内容 |
|---|---|
| 出境路径选择合规性 | 是否根据数据规模和类型选择了正确的合规路径 |
| 安全评估/备案状态 | 评估结果是否有效,备案是否存续 |
| 合同条款完备性 | 标准合同/跨境传输协议的必备条款是否齐全 |
| 告知同意落实情况 | 是否履行《个保法》第39条的告知义务并取得单独同意 |
| 风险评估记录 | PIA是否完成并按要求保存(至少3年) |
| 再转移控制 | 境外接收方是否违反再转移限制 |
| 持续监控 | 是否追踪境外数据安全环境变化 |
7.3 与PIA的衔接
个人信息跨境传输前必须完成个人信息保护影响评估(PIA)(《个保法》第55条),PIA的评估结论应作为安全评估申报、标准合同备案和认证的支撑材料。PIA与跨境传输合规共同构成事前合规的闭环。
八、实务要点
8.1 企业合规实务清单
- 数据测绘:全面梳理跨境数据传输的流向、类型、数量和频率
- 定性与定量判断:
- 定性:出境数据是否包含个人信息?是否重要数据?
- 定量:个人信息处理总量、年度累计出境量、敏感个人信息量
- 选择合规路径:根据判断结果在安全评估/认证/标准合同中择优适用
- 开展PIA:出境前完成个人信息保护影响评估并记录
- 告知与单独同意:履行第39条告知义务,取得个人针对出境的单独同意
- 合同签订/申报备案:签署标准合同或提交安全评估申请
- 持续合规:评估有效期间持续监控、出现变化及时重新申报
8.2 常见风险点
- 遗漏"累计"计算:10万人的门槛计算基础是"自上年1月1日起累计",非单次出境量
- 混淆数据处理总量与出境量:第40条的"100万人"指处理总量,安全评估门槛的"10万人"指累计出境量
- 豁免过度:将不符合豁免条件的出境误认为豁免
- 境外接收方再转移失控:境外接收方将数据进一步转移至第三方而未获同意
- 忽略《网络数据安全管理条例》:2024年7月之后的操作应按新条例的统一框架执行
8.3 律师实务建议
- 为跨国企业客户提供"三合一"合规方案(安全评估+标准合同+认证并行适用)
- 定期审查出境数据流向图
- 建立内部数据出境审批和登记制度
- 在标准合同中加入"法律变化触发重新评估"条款
- 注意2024年《促进规定》的豁免窗口期,利用政策红利降低合规成本
知识库原始资料索引
权威法条
- 中华人民共和国个人信息保护法(第38-43条)
学术文章
- 郭春镇 候天赐:个人信息跨境流动的界定困境及其判定框架
- 张凌寒:个人信息跨境流动制度的三重维度
- 洪延青:中国数据出境安全管理制度的"再平衡"
- 洪延青:准确认识规范和促进数据跨境流动规定的重大转变
- 许可:个人信息出境安全评估正本清源
公众号资源
- 国家互联网信息办公室公布《数据出境安全评估办法》/国家互联网信息办公室公布_数据出境安全评估办法_(附全文_答记者问).md)
- 数据出境安全评估办法发布后:10大企业合规问答
- 2024年数据保护领域值得关注的10大趋势