首页 > 数据合规 > 数据跨境流动

数据跨境流动

数据合规 最后更新: 2026-04-05 引用来源: 7

关联概念

个人信息保护数据出境合规网络安全与等保重要数据保护
📋 显示/隐藏目录

现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)

数据跨境流动

最后更新:2026-04-05 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 数据出境合规 | 网络安全与等保 | 重要数据保护

核心法条

  • 《数据安全法》第 2 条:数据处理定义——包括收集、存储、使用、加工、传输、提供、公开等;境外损害中国国家安全、公共利益或公民组织合法权益的,依法追究法律责任 [现行有效]
  • 《数据安全法》第 21 条:数据分类分级保护制度——一般数据、重要数据、核心数据三级架构 [现行有效]
  • 《数据安全法》第 31 条:关键信息基础设施运营者重要数据出境适用《网络安全法》第 37 条安全评估规定 [现行有效]
  • 《数据安全法》第 36 条:非经主管机关批准,境内组织、个人不得向外国司法或执法机构提供存储于境内的数据 [现行有效]
  • 《个人信息保护法》第 38 条:个人信息跨境提供的三条路径——安全评估、专业机构保护认证、标准合同 [现行有效]
  • 《个人信息保护法》第 39 条:向境外提供个人信息应告知接收方信息、处理目的、种类,取得单独同意 [现行有效]
  • 《个人信息保护法》第 40 条:CIIO 和处理 100 万人以上个人信息的处理者个人信息本地化存储义务 [现行有效]
  • 《网络安全法》第 37 条:CIIO 境内收集产生的个人信息和重要数据应在境内存储,确需出境应进行安全评估 [现行有效]
  • 《数据出境安全评估办法》(国家互联网信息办公室令第 11 号,2022 年 9 月 1 日起施行):安全评估的程序、要件和有效期 [现行有效]

规则沿革

时间节点 变化内容 依据
2017-06-01 《网络安全法》施行 现行有效
2021-09-01 《数据安全法》施行 现行有效
2021-11-01 《个人信息保护法》施行 现行有效

一、数据跨境流动的律框架

1.1 法律体系概述

中国数据跨境流动管制形成了以"三法一部"为核心的规制框架:

法律/规定 核心定位 适用对象
《网络安全法》(2017)第 37 条 首次建立数据本地化 + 安全评估制度 CIIO(关键信息基础设施运营者)
《数据安全法》(2021)第 31 条 扩展到"其他数据处理者",建立分类分级 所有数据处理者
《个人信息保护法》(2021)第 38-40 条 个人信息跨境提供的三条合规路径 个人信息处理者
《数据出境安全评估办法》(2022) 安全评估的具体程序、要件和有效期 应申报评估的数据处理者

1.2 数据主权与数据自由的博弈

数据跨境流动涉及"数据主权论"与"数据自由主义"两大理论路线的根本冲突(魏求月,参见《数据安全法》第 36 条研究):

  • 数据主权论:一国在其领土范围内对信息通信技术活动、基础设施及其承载数据具有最高的、排他的管辖权。中国立法体系以网络主权为起点,强调数据治理的国内主导权
  • 数据自由主义:强调网络空间的开放、无边界与虚拟性,主张数据传输的便利性和全球流动性
  • 中国的混合进路:在坚持数据主权优先的前提下,通过多层次合规机制(安全评估、认证、标准合同)实现数据安全有序流通

1.3 何为"数据出境"

《数据出境安全评估办法》界定的"数据出境活动"包括两种情形:

  1. 传输存储至境外:数据处理者将在境内运营中收集和产生的数据传输、存储至境外
  2. 境外访问或调用:数据存储在境内,境外的机构、组织或者个人可以访问或者调用

这两种情形在法律上的管制强度等同,不能以为数据"存储在境内"就规避出境管理义务。

二、数据分类分级对跨境流动的影响

2.1 三级分类与差异化出境规则

根据《数据安全法》第 21 条,数据分为三级,各类别的出境规则有显著差异:

数据级别 出境要求 法律依据
核心数据 原则上禁止出境 《数据安全法》第 21 条
重要数据 必须通过安全评估 《数据安全法》第 31 条、《数据出境安全评估办法》
一般数据(含个人信息) 安全评估/认证/标准合同(择一适用) 《个人信息保护法》第 38 条

2.2 重要数据识别标准

重要数据出境的认定需要综合考虑以下要素

  1. 国家安全维度:是否涉及国防、军事、外交、科技安全等领域
  2. 经济安全维度:是否涉及金融、能源、交通、农业等国民经济命脉
  3. 社会稳定维度:是否涉及公共卫生、社会治安、舆情管理
  4. 数据安全维度:数据规模、敏感程度、被滥用后可能造成的影响范围

实务中,各行业主管部门正在制定本行业的重要数据识别指南和目录,对列入目录的数据进行重点保护。

三、数据出境安全评估机制

3.1 强制适用安全评估的情形

以下数据出境活动必须通过安全评估(不得选择其他路径替代)

  1. 数据处理者向境外提供重要数据
  2. 关键信息基础设施运营者(CIIO)向境外提供个人信息
  3. 处理100 万人以上个人信息的数据处理者向境外提供个人信息
  4. 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或 1 万人敏感个人信息的数据处理者向境外提供个人信息

3.2 安全评估程序

依据《数据出境安全评估办法》,安全评估程序包括以下环节:

  1. 事前风险自评估(第 5 条):数据处理者申报前须开展数据出境风险自评估,重点评估:
  2. 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性
  3. 出境数据的规模、范围、种类、敏感程度,对国家安全、公共利益、个人或者组织合法权益的风险
  4. 境外接收方的安全管理能力和责任履行承诺
  5. 数据出境中和出境后遭到篡改、破坏、泄露、丢失等风险

  6. 双方拟定的法律文件中数据安全保护责任义务的约定

  7. 申报材料提交(第 6 条):包括申报书、风险自评估报告、双方合同等材料

  8. 省级网信初审(第 7 条):5 个工作日完成完备性查验

  9. 国家网信受理:7 个工作日内确认是否受理

  10. 评估完成:自受理之日起45 个工作日内完成(复杂情况可延长)

3.3 有效期与重新评估

  • 评估结果有效期为2 年
  • 有效期届满需继续出境的,应于届满60 个工作日前重新申报
  • 有效期内出现影响出境数据安全情形的,应当立即重新申报

四、个人信息跨境提供的三条路径

4.1 安全评估路径

如上文所述,适用于符合法定门槛的个人信息出境这是强制性的最高门槛要求。

4.2 专业机构保护认证路径

  • 适用于未达到安全评估门槛的个人信息处理者
  • 通过经国家网信部门认可的专业机构进行个人信息保护认证
  • 目前主要适用于跨国公司内部个人信息跨境传输等场景
  • 认证机制为合规提供一定程度的确定性和可预期性

4.3 标准合同机制

  • 适用于未达到安全评估门槛的个人信息处理者
  • 按照国家网信部门制定的标准合同与境外接收方签订合同
  • 核心功能:约定境外接收方承担与境内处理者同等水平的数据保护义务
  • 为中小企业提供相对低成本的合规通道
  • 标准合同应至少包括:出境目的和方式、境外存储地点和期限、再转移的约束性要求、不可抗力安全措施、违约责任和争议解决等必备条款

五、跨境数据调取的特殊规则

5.1 向外国司法或执法机构提供数据

《数据安全法》第 36 条确立了数据跨境调取的基本规则:

  • 非经中华人民共和国主管机关批准,境内组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据
  • 违反者将面临 10-100 万元罚款(一般)或 100-500 万元罚款(情节严重)
  • 该条款是应对美国《云法案》(CLOUD Act)等域外数据调取立法的重要法律工具

5.2 理论冲突与制度构建

根据学术研究(魏求月),司法数据跨境调取审查面临以下挑战:

  • 数据分类不清晰:不同类型数据(个人信息、重要数据、一般数据)应适用何种审查标准
  • 审查标准模糊:如何在国家安全和个人隐私保护之间取得平衡
  • 审查权分配:哪些机关有权进行审查和批准

实务中,企业面对外国诉讼中的证据开示要求,应优先通过国际司法协助渠道解决,而非直接向外国提供境内数据。

六、典型数据出境场景与合规要点

6.1 常见场景识别

  1. 跨国公司内部数据传输:中国子公司向境外母公司传输员工信息、客户数据
  2. 云服务跨境:数据存储在境外云服务器或境外可访问调用
  3. 境外业务运营:跨境电商、海外业务需境外处理个人信息
  4. 外包与委托处理:将数据处理委托给境外第三方
  5. 境外上市与审计:财务数据、经营数据跨境传输至境外审计机构
  6. 跨境医疗与科研合作:健康医疗数据、人类遗传资源的跨境共享
  7. M&A 尽职调查:企业并购中涉及中国数据的跨境传输

6.2 合规实务清单

  1. 识别出境范围:明确出境数据的类型(个人信息、重要数据、一般数据)和规模
  2. 判定适用路径:根据主体类型和数据规模确定合规路径
  3. 开展风险自评估:按照办法要求完成风险自评估报告
  4. 签订跨境传输协议:至少覆盖法定必备条款
  5. 申报安全评估(如需):通过省级网信部门向国家网信部门提交
  6. 持续合规:评估有效期内关注变化并及时重新申报

七、法律风险与责任

7.1 数据违规出境的法律后果

违法类型 法律依据 处罚幅度
重要数据未走安全评估即出境 《数据安全法》第 46 条 10-100 万元(一般);100-1000 万元(严重)+ 暂停业务/吊销营业执照
未经批准向外国司法执法提供数据 《数据安全法》第 36 条 10-100 万元(一般);100-500 万元(严重)
个人信息违规跨境传输 《个人信息保护法》第 66 条 最高 5000 万元或上年度营业额 5%

7.2 企业数据合规体系建设

根据《企业数据合规指引》(上海市杨浦区)的要求,企业应:

  • 合规责任人:最高管理者为第一责任人
  • 合规管理部门:鼓励设置专门数据合规管理部门,不建议仅由法务部门承担
  • 风险识别:准确识别数据全生命周期各阶段风险
  • 风险评估与处置:建立应急预案和处置机制
  • 培训与文化建设:定期开展数据合规培训,培育合规文化
  • 投诉举报:建立便捷渠道,每年公开披露处理情况

知识库原始资料索引

法律法规

  • 中华人民共和国数据安全法
  • 《个人信息保护法》适用要点解读

学术研究

  • 魏求月:数据跨境调取的审查规则构建——《数据安全法》第 36 条重塑
  • 关键信息基础设施安全保护条例发布

实务指引

  • 企业数据合规指引(上海市杨浦区)
  • 数据出境安全评估办法征求意见稿发布后 10 大企业合规问答
  • 金线法律周报:国家网信办公布数据出境安全评估办法

引用资料: 7 项

参见 · 反向链接

← 数据资产入表
未成年人数据保护 →