数据出境安全评估
最后更新:2026-04-06 | 由LLM基于知识库原始资料编译
关联概念:数据出境合规 | 个人信息保护 | 个人信息跨境传输 | 数据跨境流动
现行基准: 以《中华人民共和国数据安全法》《个人信息保护法》(2021年施行)及《数据出境安全评估办法》为基准
核心法条
- 《数据安全法》第31条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 [现行有效]
- 《个人信息保护法》第38条:个人信息处理者因业务等确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同。 [现行有效]
- 《数据出境安全评估办法》(国家网信办令第11号,2022年9月1日施行):数据出境安全评估的具体规则和程序。 [现行有效]
- 《促进和规范数据跨境流动规定》(国家网信办,2024年3月22日施行):优化数据出境安全评估制度,放宽部分情形下的评估要求。 [现行有效]
规则沿革
| 时间节点 | 旧规则 | 新规则 | 依据来源 |
|---|---|---|---|
| 2021-11-01 | 《个人信息保护法》确立数据出境三种合规路径 | — | 《个人信息保护法》第38条 |
| 2022-09-01 | 《数据出境安全评估办法》施行,明确触发条件和评估流程 | — | 国家网信办令第11号 |
| 2022-11-02 | 《个人信息出境标准合同办法》发布 | — | 国家网信办 |
| 2024-03-22 | — | 《促进和规范数据跨境流动规定》大幅降低门槛:非重要数据且处理不满10万人个人信息的无需安全评估 | 国家网信办 |
| 2024-07-01 | — | 自贸区负面清单制度试点启动 | 国家网信办 |
一、安全评估的触发条件
根据《数据出境安全评估办法》,以下情形须通过安全评估:
- CII运营者:关键信息基础设施运营者向境外提供个人信息。
- 重要数据:处理100万人以上个人信息的处理者向境外提供个人信息。
- 累计提供:自上年1月1日起累计向境外提供10万人个人信息的。
- 其他法定情形:国家网信部门规定的其他情形。
二、安全评估的程序
1. 申报流程
- 数据处理者向省级网信部门申报数据出境安全评估。
- 提交材料包括:申报书、数据出境风险自评估报告、数据处理者与境外接收方拟订立的合同等。
2. 评估期限
- 省级网信部门收到材料后5个工作日内完成完备性查验。
- 国家网信部门自收到完备材料后45个工作日内完成评估(可延长)。
3. 评估结果
- 评估通过的,出具通过安全评估的书面文件,有效期为2年。
- 有效期届满需继续出境的,应重新申报。
三、与标准合同和认证路径的关系
| 路径 | 适用条件 | 审批周期 | 有效期 |
|---|---|---|---|
| 安全评估 | 重要数据或10万人以上 | 45个工作日 | 2年 |
| 个人信息保护认证 | 跨国公司内部或特定场景 | 认证周期 | 认证有效期 |
| 标准合同 | 非重要数据且不满10万人 | 备案后生效 | 合同约定 |
四、2024年新规的重大变化
《促进和规范数据跨境流动规定》大幅放宽了评估门槛:
- 豁免情形:非重要数据且处理不满10万人个人信息的,无需安全评估、认证或标准合同。
- 自贸区试点:支持自贸试验区自行制定数据出境负面清单。
五、律师实务建议
- 分类梳理:首先确认出境数据是否属于重要数据、个人信息数量级。
- 选择路径:根据数据规模和类型选择安全评估、标准合同或认证路径。
- 合同合规:与境外接收方签订包含个人信息保护条款的协议。
- 持续监控:定期评估数据出境合规状况,注意2年有效期。
知识库原始资料索引
书籍资源
- 处理者义务与责任研究
公众号资源
- 数据跨境新规解读
案例库资源
- 法答网精选答问(第九批)