企业数据出境安全合规指南

本文系统梳理企业数据出境合规要求，提供从数据识别、风险评估到申报备案的全流程操作指南，帮助企业建立完善的数据出境合规体系。

一、数据出境合规背景

随着数字经济全球化发展，企业数据出境需求日益增长。为保障国家安全和公共利益，我国建立了以《网络安全法》《数据安全法》《个人信息保护法》为核心的数据出境监管体系。企业开展数据出境活动，必须遵守相关法律法规要求，履行安全评估、标准合同备案等合规义务。

核心法律法规

• 《网络安全法》：2017年6月1日施行，首次提出关键信息基础设施运营者数据出境安全评估要求
• 《数据安全法》：2021年9月1日施行，建立数据分类分级保护制度，明确重要数据出境管理要求
• 《个人信息保护法》：2021年11月1日施行，确立个人信息出境"告知-同意"原则，明确个人信息出境合规路径

监管机构

国家互联网信息办公室（网信办）是数据出境监管的主管部门，负责制定数据出境安全评估办法、标准合同等配套规定，组织开展数据出境安全评估工作。

二、数据出境合规路径

1. 安全评估

符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

• 关键信息基础设施运营者向境外提供个人信息
• 处理100万人以上个人信息的数据处理者向境外提供个人信息
• 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息
• 国家网信部门规定的其他情形

2. 标准合同

不符合安全评估申报条件的数据处理者，可以通过与境外接收方订立国家网信部门制定的标准合同的方式向境外提供个人信息。标准合同备案应当向所在地省级网信部门备案。

3. 认证

通过专业机构进行个人信息保护认证，可以作为个人信息出境的合规路径之一。目前，国家网信部门正在推进个人信息保护认证体系建设。

4. 其他法定条件

符合法律、行政法规或者国家网信部门规定的其他条件，也可以向境外提供个人信息。

三、数据出境合规流程

1. 数据识别与分类分级

企业应首先识别拟出境的数据类型，包括个人信息、重要数据、一般数据等，并按照数据分类分级要求进行标识。

个人信息识别

• 识别以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息
• 包括姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱、行踪轨迹等
• 匿名化处理后的信息不属于个人信息

重要数据识别

• 指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据
• 具体范围由各地区、各部门按照国家数据分类分级要求确定
• 重要数据出境需进行安全评估

2. 合规路径选择

根据数据识别结果，选择适用的合规路径：

• 符合安全评估条件的，申报数据出境安全评估
• 不符合安全评估条件但涉及个人信息出境的，订立标准合同并备案
• 仅涉及一般数据出境的，按照企业数据安全管理要求执行

3. 安全评估申报

安全评估申报流程：

1. 开展数据出境风险自评估
2. 准备申报材料，包括申报书、自评估报告、数据出境合同等
3. 通过所在地省级网信部门向国家网信部门提交申报
4. 国家网信部门在45个工作日内完成评估，情况复杂的可以延长
5. 评估通过的，颁发数据出境安全评估结果通知书

4. 标准合同备案

标准合同备案流程：

1. 与境外接收方订立标准合同
2. 开展个人信息保护影响评估
3. 准备备案材料，包括备案表、标准合同、影响评估报告等
4. 向所在地省级网信部门提交备案
5. 网信部门在15个工作日内完成备案

四、数据出境合规要点

1. 告知同意

个人信息出境前，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

告知内容要求

• 境外接收方的名称或者姓名、联系方式
• 处理目的、处理方式
• 个人信息的种类
• 个人向境外接收方行使权利的方式和程序
• 可能存在的风险

2. 数据安全保护

企业应当采取必要措施，保障数据出境安全：

• 采取加密、去标识化等安全技术措施
• 建立数据出境安全管理制度
• 与境外接收方约定数据保护责任和义务
• 定期开展安全风险评估

3. 境外接收方管理

企业应当对境外接收方进行尽职调查，确保其具备相应的数据保护能力：

• 了解境外接收方所在国家或地区的法律法规
• 评估境外接收方的数据保护能力
• 在合同中明确数据保护责任和义务
• 建立监督机制，定期评估境外接收方的合规情况

4. 记录保存

企业应当保存数据出境相关记录，包括：

• 数据出境安全评估申报材料
• 标准合同备案材料
• 个人信息保护影响评估报告
• 告知同意记录
• 数据出境日志

相关记录应当至少保存3年。

五、常见场景合规指引

1. 跨国企业集团内部数据传输

跨国企业集团内部为人力资源管理、财务管理、业务协同等目的向境外提供个人信息，应当遵守数据出境合规要求：

• 识别传输的个人信息类型和数量
• 根据传输规模选择安全评估或标准合同路径
• 向员工告知境外接收方信息并取得同意
• 建立集团内部数据保护协议

2. 云服务数据出境

使用境外云服务商存储或处理数据，构成数据出境：

• 选择符合要求的云服务商，确保其具备相应的数据保护能力
• 与云服务商签订数据保护协议
• 采取加密等安全技术措施
• 按照数据出境合规要求履行相应义务

3. 跨境电商数据出境

跨境电商平台向境外提供用户个人信息，应当：

• 在用户注册时明确告知数据出境情况
• 取得用户的单独同意
• 根据用户数量选择合规路径
• 建立用户数据出境管理机制

4. 外包服务数据出境

将数据处理业务外包给境外服务商，应当：

• 对境外服务商进行尽职调查
• 签订数据保护协议，明确双方责任
• 采取必要措施保障数据安全
• 按照数据出境合规要求履行相应义务

六、合规体系建设

1. 组织架构

企业应当建立数据出境合规组织架构：

• 明确数据保护负责人
• 设立数据保护部门或指定专人负责
• 建立跨部门协作机制

2. 制度建设

制定数据出境管理制度：

• 数据分类分级管理制度
• 数据出境审批流程
• 数据出境安全评估制度
• 数据出境记录保存制度

3. 技术措施

采取技术措施保障数据出境安全：

• 数据加密技术
• 数据脱敏技术
• 访问控制技术
• 数据出境监控技术

4. 培训与意识

开展数据出境合规培训：

• 定期组织员工培训，提高数据保护意识
• 针对关键岗位人员开展专项培训
• 建立考核机制，确保培训效果

七、法律责任

1. 行政责任

违反数据出境规定，可能面临以下行政处罚：

• 责令改正，给予警告
• 没收违法所得
• 对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
• 情节严重的，处一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照

2. 民事责任

违反数据出境规定，侵害个人信息权益的，应当承担民事责任：

• 停止侵害
• 消除影响
• 赔礼道歉
• 赔偿损失

3. 刑事责任

违反国家规定，向境外提供重要数据，情节严重的，可能构成犯罪，依法追究刑事责任。