现行基准: 各领域现行法交叉适用
数据出境安全评估制度
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:数据跨境流动规则 | 数据确权与流通
核心法条
- 《网络安全法》第 37 条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储 [现行有效]
- 《数据安全法》第 36 条:国家机关向境外提供数据应当依照有关法律、行政法规和国家有关规定执行安全评估 [现行有效]
- 《数据出境安全评估办法》(国家网信办,2022年9月施行):数据出境安全评估的具体规则 [现行有效]
- 《促进和规范数据跨境流动规定》(国家网信办,2024年3月施行):[现行有效]
规则沿革
| 时间节点 |
变化内容 |
依据 |
| 2017-06-01 |
《网络安全法》第37条确立数据境内存储原则 |
十二届全国人大常委会第24次会议 |
| 2022-09-01 |
《数据出境安全评估办法》施行 |
国家网信办 |
| 2024-03-22 |
《促进和规范数据跨境流动规定》发布,放宽豁免门槛 |
国家网信办 |
一、数据出境安全评估的基本框架
1.1 适用范围
以下情形须通过安全评估:
| 情形 |
说明 |
| 关键信息基础设施 |
运营者向境外提供在境内运营中收集和产生的个人信息和重要数据 |
| 处理100万人以上个人信息 |
数据处理者向境外提供个人信息 |
| 累计向境外提供10万人以上个人信息 |
自上年1月1日起累计 |
| 累计向境外提供1万人以上敏感个人信息 |
自上年1月1日起累计 |
1.2 评估要素
| 要素 |
内容 |
| 数据出境的合法、正当、必要性 |
目的是否合法正当、是否确有必要 |
| 境外接收方的安全保障能力 |
接收方的数据安全管理制度、技术防护措施 |
| 数据出境的风险 |
数据泄露、被非法利用等风险 |
| 数据处理者的合规记录 |
是否有违规行为、行政处罚记录 |
1.3 2024年豁免情形
《促进和规范数据跨境流动规定》明确以下情形免于安全评估:
| 豁免情形 |
说明 |
| 人力资源管理必需 |
为订立、履行劳动合同所必需的跨境数据传输 |
| 国际贸易/跨境运输必需 |
为订立、履行贸易、运输合同所必需 |
| 紧急情况下保护人身安全 |
为应对突发公共卫生事件或紧急情况 |
| 个人单独同意且未达门槛 |
取得个人单独同意的非敏感个人信息,且未达到10万人 |
二、安全评估的程序
2.1 评估流程
- 申报:数据处理者向所在地省级网信部门申报
- 初审:省级网信部门在5个工作日内完成材料完备性检查
- 评估:国家网信部门组织安全评估
- 结果:出具评估结果(通过/不予通过)
- 有效期:评估结果自出具之日起2年内有效(2024年新规延长了有效期)
2.2 申报材料
- 数据出境安全评估申报书
- 数据出境风险自评估报告
- 与境外接收方拟订立的数据出境相关合同
- 其他需要提交的材料
三、数据出境与相关制度的衔接
3.1 与个人信息出境标准合同的关系
| 数据出境路径 |
适用情形 |
程序要求 |
| 安全评估 |
达到门槛的数据处理者 |
事前通过网信部门评估 |
| 标准合同 |
未达门槛的数据处理者 |
与境外接收方签订标准合同 + 备案 |
| 认证 |
跨国公司集团内部 |
通过专业机构认证 |
3.2 与企业数据资产入表的衔接
- 数据资产入表后,涉及境外使用的数据资产须通过安全评估
- 数据出境后可能影响数据资产的估值和会计处理
- 须关注数据本地化要求对企业数据资产战略的影响
知识库原始资料索引
法律法规
关联概念