首页 > 数据合规 > 数据出境合规

数据出境合规

数据合规 最后更新: 2026-04-05 引用来源: 4

关联概念

个人信息保护重要数据保护网络安全
📋 显示/隐藏目录

现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)

数据出境合规

最后更新:2026-04-05 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 重要数据保护

核心法条

  • 《网络安全法》第 37 条:关键信息基础设施运营者境内收集产生的个人信息和重要数据应当在境内存储,确需向境外提供的应进行安全评估 [现行有效]
  • 《数据安全法》第 31 条:关键信息基础设施运营者境内收集和产生的重要数据出境安全管理适用网络安全法规定;其他数据处理者的重要数据出境安全管理办法由国家网信部门会同有关部门制定 [现行有效]
  • 《数据安全法》第 36 条:非经中华人民共和国主管机关批准,境内组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据 [现行有效]
  • 《个人信息保护法》第 38 条:个人信息跨境提供条件——安全评估、专业机构保护认证、标准合同或其他法定条件 [现行有效]
  • 《个人信息保护法》第 39 条:向境外提供个人信息应告知个人信息处理目的、处理方式、境外接收方的名称和联系方式、处理个人信息的种类;应取得个人单独同意 [现行有效]
  • 《个人信息保护法》第 40 条:关键信息基础设施运营者和处理 100 万人以上个人信息的处理者,个人信息应当本地化存储,确需出境应当依法通过国家网信部门组织的安全评估 [现行有效]
  • 《数据出境安全评估办法》(国家互联网信息办公室令第 11 号,2022 年 9 月 1 日起施行) [现行有效]

规则沿革

时间节点 变化内容 依据
2017-06-01 《网络安全法》施行 现行有效
2021-09-01 《数据安全法》施行 现行有效
2021-11-01 《个人信息保护法》施行 现行有效

一、数据出境的法律框架

中国的数据出境管制框架由"三法一部"构成:

法律/规定 核心定位 适用范围
《网络安全法》第 37 条 首次建立数据本地化 + 安全评估制度 CIIO(关键信息基础设施运营者)
《数据安全法》第 31 条 将数据出境管理扩展至"其他数据处理者" 所有数据处理者
《个人信息保护法》第 38—40 条 个人信息跨境提供的三条路径 个人信息处理者
《数据出境安全评估办法》 安全评估的具体程序和要求 应评估情形的数据处理者

何为"数据出境"

《数据出境安全评估办法》所指的"数据出境活动"主要包括两种情形:
1. 传输存储至境外:数据处理者将在境内运营中收集和产生的数据传输、存储至境外
2. 境外访问或调用:数据存储在境内,境外的机构、组织或者个人可以访问或者调用

二、数据出境合规的三条路径

《个人信息保护法》第 38 条规定,个人信息处理者因业务等需要确需向境外提供个人信息的,应当具备下列条件之一:

路径一:通过国家网信部门组织的安全评估

  • 强制适用:属于以下情形的,应当通过安全评估:
  • (1) 数据处理者向境外提供重要数据
  • (2) 关键信息基础设施运营者向境外提供个人信息
  • (3) 处理100 万人以上个人信息的数据处理者向境外提供个人信息
  • (4) 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息
  • (5) 国家网信部门规定的其他需要申报的情形
  • 适用边界:安全评估适用范围外的情形,可选择其他两条路径

路径二:通过专业机构进行的个人信息保护认证

适用于安全评估适用范围外的个人信息处理者,通过经国家网信部门认可的专业机构进行的个人信息保护认证(目前主要适用于跨国公司内部个人信息跨境传输等场景)。

路径三:与境外接收方签订标准合同

按照国家网信部门制定的标准合同与境外接收方签订合同。该机制主要服务于中小企业等未达到安全评估门槛的个人信息处理者。

三条路径的关系
- 安全评估路径是强制性的最高门槛要求,符合条件的必须走此路径
- 不适用安全评估的,可在认证和标准合同之间选择
- 不同路径之间不可自由切换(尤其是重要数据,只能走安全评估)

三、安全评估机制

申报主体与程序

依据《数据出境安全评估办法》:

  1. 事前风险自评估(第 5 条):数据处理者在申报前应当开展数据出境风险自评估,重点评估以下事项:
  2. 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性
  3. 出境数据的规模、范围、种类、敏感程度,可能对国家安全、公共利益、个人或者组织合法权益带来的风险
  4. 境外接收方承诺承担的责任义务,及履行管理能力能否保障出境数据安全
  5. 数据出境中和出境后遭到篡改、破坏、泄露、丢失等风险

  6. 与境外接收方拟订立的法律文件是否充分约定数据安全保护责任义务

  7. 提交申报材料(第 6 条):

  8. 申报书
  9. 数据出境风险自评估报告
  10. 数据处理者与境外接收方拟订立的法律文件

  11. 安全评估工作需要的其他材料

  12. 省级网信部门初审(第 7 条):省级网信部门 5 个工作日内完成完备性查验,报送国家网信部门

  13. 国家网信部门受理:7 个工作日内确定是否受理并书面通知

  14. 安全评估完成(第 12 条):自发出书面受理通知书之日起45 个工作日内完成数据出境安全评估;情况复杂的可适当延长

  15. 评估结果与复评(第 13 条):对评估结果有异议的,可在收到评估结果 15 个工作日内向国家网信部门申请复评

安全评估的评估要点(第 8 条)

评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括:
1. 数据出境的目的、范围、方式等的合法性、正当性、必要性
2. 境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响
3. 出境数据的规模、范围、种类、敏感程度
4. 数据安全和个人信息权益是否能够得到充分有效保障
5. 双方法律文件中的数据安全保护责任义务约定情况
6. 遵守中国法律、行政法规、部门规章情况

有效期与重新评估(第 14 条)

  • 评估结果有效期为 2 年,自评估结果出具之日起计算
  • 有效期届满需继续出境的,应于届满 60 个工作日前 重新申报评估
  • 有效期内出现影响出境数据安全情形的(如接收方所在国家数据安全政策变化、实际控制权变化等),应当立即重新申报评估

双方合同必备条款(第 9 条)

数据处理者与境外接收方订立的法律文件应至少包括:
1. 数据出境的目的、方式和数据范围,境外接收方处理数据的用途和方式
2. 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或法律文件终止后的处理措施
3. 对境外接收方将数据再转移给其他组织或个人的约束性要求
4. 因实际控制权或经营范围变化、所在国家网络安全环境变化等不可抗力情形下的安全措施
5. 违反数据安全保护义务的补救措施、违约责任和争议解决方式
6. 数据安全风险发生时的应急处置要求和保障个人权益的途径

四、标准合同机制

适用条件

标准合同机制适用于未达到安全评估门槛的个人信息处理者。依据《数据出境安全评估办法》第 4 条,安全评估适用范围外的个人信息处理者可通过签订标准合同满足个人信息跨境提供条件。

标准合同的作用

标准合同机制通过合同约束为个人信息跨境流动提供合规通道,其核心在于:
- 约定境外接收方与境内处理者同等水平的数据保护义务
- 确保个人数据出境后的保护水准不低于中国法律要求
- 为个人提供跨境维权的合同依据

与认证机制的衔接

在安全评估适用范围外,个人信息处理者可在标准合同和个人信息保护认证机制之间自主选择。两者均属于相对低成本的合规路径,适用于中小规模数据出境场景。

五、常见数据出境场景

典型场景

  1. 跨国公司内部数据传输:中国子公司向境外母公司传输员工信息、客户数据等
  2. 云服务跨境:数据存储在境外云服务器或境外可访问调用
  3. 境外业务运营:跨境电商、海外业务需境外处理个人信息
  4. 外包与委托处理:将数据处理委托给境外第三方
  5. 境外上市与审计:财务数据、经营数据跨境传输至境外审计机构
  6. 跨境医疗与科研合作:健康医疗数据、人类遗传资源的跨境共享
  7. M&A 尽职调查:企业并购中涉及中国数据的跨境传输

数据本地化存储义务

根据《个人信息保护法》第 40 条:
- CIIO(关键信息基础设施运营者)在境内收集和产生的个人信息,应当存储在中华人民共和国境内
- 处理 100 万人以上个人信息 的数据处理者,其个人信息应当在境内存储
- 确需向境外提供的,应当依法通过国家网信部门组织的安全评估

六、常见风险与合规要点

典型违法风险

  1. 未走安全评估:应评估情形未申报即进行数据出境,依据《数据安全法》第 46 条可处 10—100 万元罚款,情节严重可处 100—1000 万元罚款,并可能责令停业
  2. 未经批准向外国司法执法机构提供数据:违反《数据安全法》第 36 条的,可处 10—100 万元罚款,造成严重后果的可处 100—500 万元罚款
  3. 超出评估范围出境:超出安全评估范围的数据出境,可能导致重新评估乃至终止出境

合规实务清单

  1. 识别出境范围:明确出境数据的类型(个人信息、重要数据、一般数据)和规模
  2. 判定适用路径:根据主体类型和数据规模确定应当使用的合规路径
  3. 开展风险自评估:按照办法第 5 条的六项重点事项完成风险自评估报告
  4. 签订跨境传输协议:明确双方权利义务,确保至少覆盖 6 项必备条款
  5. 申报安全评估(如需):通过省级网信部门向国家网信部门提交申报材料
  6. 持续合规:评估有效期内关注可能影响数据安全的变化并及时重新申报

知识库原始资料索引

法律法规

  • 中华人民共和国数据安全法
  • 国家互联网信息办公室令第 11 号:《数据出境安全评估办法》(国家互联网信息办公室令第 11 号)

公众号资源

  • 国家互联网信息办公室公布《数据出境安全评估办法》(附全文+答记者问)/国家互联网信息办公室公布_数据出境安全评估办法_(附全文_答记者问).md)
  • 金线法律周报_国家网信办公布_数据出境安全评估办法__最高法发布保护劳动者合法权益指导性案例
  • 数据出境安全评估办法征求意见稿发布后_10大企业合规问答

引用资料: 4 项

参见 · 反向链接

← 数据保护官(DPO)制度
数据出境安全评估 →