现行基准: 2024 年《促进和规范数据跨境流动规定》+《数据安全法》+《个人信息保护法》
数据跨境流动规则
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:数据确权与流通 | 个人信息保护 | 数据安全与合规
核心法条
- 《网络安全法》第 37 条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估 [现行有效]
- 《数据安全法》第 21、36-38 条:数据分类分级、重要数据出境安全评估 [现行有效]
- 《个人信息保护法》第 38-40 条:个人信息跨境传输的条件(安全评估、认证、标准合同) [现行有效]
- 《促进和规范数据跨境流动规定》(国家网信办,2024年3月施行):放宽数据跨境流动部分管制 [现行有效]
- 《数据出境安全评估办法》(国家网信办,2022年施行):数据出境安全评估制度 [现行有效]
- 《个人信息出境标准合同办法》(国家网信办,2023年施行):个人信息出境标准合同模式 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》第37条首次确立重要数据和个人信息数据境内存储原则 | 十二届全国人大常委会第24次会议 |
| 2021-09-01 | 《数据安全法》确立数据分类分级与数据跨境管理框架 | 十三届全国人大常委会第29次会议 |
| 2021-11-01 | 《个人信息保护法》确立个人信息跨境传输三条路径 | 十三届全国人大常委会第30次会议 |
| 2022-07-13 / 2022-09-01 | 《数据出境安全评估办法》施行 | 国家网信办 |
| 2023-02-01 / 2023-06-01 | 《个人信息出境标准合同办法》施行 | 国家网信办 |
| 2024-03-22 | 《促进和规范数据跨境流动规定》发布,放宽豁免门槛,简化合规程序 | 国家网信办 [现行有效] |
一、数据跨境流动的基本规制框架
1.1 三种主要路径
| 路径 | 适用情形 | 审批/备案要求 |
|---|---|---|
| 安全评估 | 关键信息基础设施运营者;处理 100 万人以上个人信息的数据处理者;自上年 1 月 1 日起累计向境外提供 10 万人个人信息或 1 万人敏感个人信息 | 事前通过国家网信部门安全评估 |
| 标准合同 | 未达到安全评估门槛的数据处理者 | 与境外接收方签订标准合同 + 向省级网信部门备案 |
| 认证 | 跨国公司集团内部数据跨境流动 | 通过专业机构认证 |
1.2 2024 年新规的豁免情形
《促进和规范数据跨境流动规定》明确以下情形免于出境安全评估、标准合同备案和专业机构认证:
| 豁免情形 | 说明 |
|---|---|
| 跨境人力资源管理 | 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理 |
| 应急保护 | 为履行法定职责或者法定义务所必需,为应对突发公共卫生事件或者紧急情况下保护自然人的生命健康和财产安全 |
| 国际贸易/跨境运输 | 为订立、履行贸易、运输等合同所必需,或者改进产品和提高服务质量所必需 |
| 个人自愿同意 | 取得个人单独同意出境的个人信息(不含敏感个人信息)且未达到门槛(10万人/1万人) |
1.3 数据出境的合规矩阵
| 数据类型 | 规模门槛 | 合规路径 |
|---|---|---|
| 一般数据 | 不含重要数据和个人信息 | 无需特别审批(但需满足基本合规要求) |
| 个人信息(一般) | < 10 万 | 标准合同或认证 |
| 个人信息(一般) | >= 10 万 | 安全评估 |
| 敏感个人信息 | >= 1 万 | 安全评估 |
| 重要数据 | 不限规模 | 安全评估 |
二、数据跨境流动的核心合规要求
2.1 数据出境安全评估制度
评估要素(《数据出境安全评估办法》第 9 条):
1. 数据出境的目的、范围、方式
2. 境外接收方的安全保障能力
3. 数据出境可能带来的安全风险
4. 数据处理者的合规性和诚信记录
5. 个人信息主体的同意和权利保障
评估流程:
1. 数据处理者提交申请
2. 省级网信部门初审
3. 国家网信部门组织评估
4. 出具评估结果(通过/不通过)
5. 评估结果有效期 3 年
2.2 标准合同模式
《个人信息出境标准合同办法》要点:
- 合同内容必须包含网信部门制定/公布的条款
- 签署标准合同后向省级网信部门备案
- 备案后 3 个月内未完成整改的,备案无效
- 境外接收方须遵守标准合同中的安全保障义务
2.3 数据出境的"事前评估"义务
数据处理者在数据出境前须完成:
- 数据出境风险自评估
- 评估报告留存备查
- 评估内容包括:合法性、正当性、必要性
- 评估结果应向相关方通报
三、数据跨境流动中的法律风险
3.1 违规出境的法律后果
| 违规情形 | 行政后果 |
|---|---|
| 未通过评估擅自出境 | 责令改正、警告、没收违法所得、罚款(最高达上年度营业额 5%) |
| 个人信息违规出境 | 暂停或终止服务、吊销业务许可 |
3.2 跨境数据传输协议(DTA)
DTA 核心条款:
- 数据传输目的和范围
- 安全保障措施
- 权利保障与救济
- 违约责任
- 争议解决
- 监管配合
3.3 数据本地化要求
- 关键信息基础设施:运营中收集和产生的个人信息和重要数据应在境内存储
- 重要数据:原则上应境内存储,确需出境的须安全评估
- 例外情形:2024年新规大幅放宽了豁免
四、跨国企业的数据跨境合规策略
- 数据分类分级先行:区分个人信息(一般/敏感)、重要数据、一般数据
- 评估规模门槛:判断是否触发安全评估
- 选择合适的合规路径:安全评估、标准合同、认证或豁免
- 完善合同文件:制定完备的数据传输协议
- 建立内部流程:规范数据出境的审批、记录和监控
- 定期审查更新:关注监管动态和政策变化