我国跨境数据合规监管的实践与制度研究——以近期个人信息出境案件为例

一、背景与合规问题

2025年5月，法国知名消费品牌在境内运营中发生数据泄露事件，中国大陆地区用户陆续收到该品牌官方警示短信。

公安网安部门对迪奥（上海）公司开展行政调查，查明其存在三项违法事实：

未经合规程序进行跨境传输：未通过数据出境安全评估、未订立个人信息出境标准合同或通过个人信息保护认证，即将中国大陆用户信息传输至法国总部；

未取得“单独同意”：未向用户充分告知境外接收方处理方式，也未履行单独同意义务；

技术保护措施不足：未对收集的个人信息采取加密、去标识化等必要安全措施。

公安机关据《个人信息保护法》作出行政处置。

这一事件凸显：我国跨境数据合规制度正在由制度设计走向实质性执法，企业的不合规操作会直接转化为处罚事实。

二、我国跨境数据出境合规制度框架

我国针对数据跨境流动已经形成较为完整的制度体系，核心包括《个人信息保护法》、《中华人民共和国数据安全法》、《网络数据安全管理条例》、《数据出境安全评估办法》《促进和规范数据跨境流动规定》及《数据出境安全评估申报指南》等。

现行框架既规定了“需要评估或合同/认证的情形”，也规定了“可以豁免的情形”，并形成了多层次的管理模式。

（一）数据出境的界定

制度上将“数据出境”/“数据向境外提供”理解为两类情形：

直接传输：境内数据处理者将其在境内运营中收集或产生的数据，经过网络或物理手段传输至境外接收方并由其在境外存储或处理；

远程访问/可导出情形：数据虽物理存储于境内，但境外机构、组织或个人可以通过远程查询、调取、下载或导出途径获取（例如境外总部通过远程数据库访问、跨境API、云端管理平台等）。

理论含义：这两类方式在监管上等同处理——均可能导致境外主体实际控制或利用境内数据，须纳入出境合规审查的范畴。实践中识别出境路径的关键在于数据主控权与可访问性的评估（谁能读取、谁能导出、谁能最终使用）。

（二）免予合规义务的情形

《促进和规范数据跨境流动规定》第三至第六条明确了豁免条款。符合下列情形的，数据处理者可以免于申报安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

不涉及个人信息或重要数据：如国际贸易、跨境运输、学术合作、跨国制造、市场营销中产生的数据。

境外收集后回流：在境外收集、在境内处理，但未引入境内个人信息或重要数据，再次传回境外的。

特定场景下的个人信息跨境：

• 为订立或履行合同（跨境购物、寄递、汇款、支付、开户、机票酒店、签证办理、考试服务等）；

• 跨境人力资源管理（依据劳动规章制度或集体合同实施）；

• 紧急情况下为保护自然人生命健康和财产安全；

• 非关键信息基础设施运营者（CIIO），当年累计向境外提供个人信息不足10万人（不含敏感信息）。

自贸试验区负面清单管理：试点区可制定负面清单，负面清单之外的数据出境无需走评估或合同路径。

在豁免情形下，虽然无需走评估或合同/认证路径，但数据处理者仍需遵守《个人信息保护法》的告知、单独同意、个人信息保护影响评估、技术措施等一般义务。

（三）出境风险自评估

在向省级网信办提交申请前，境内数据处理者须开展系统化的出境风险自评估并形成书面自评报告。自评的重点与常用方法包括：

1. 合法性、正当性、必要性检验：明确出境目的（例如海外总部的运营需要、售后服务、云端统计分析等），评估是否有替代方案（境内处理、脱敏处理等），判断出境在业务上的必要性与比例性。

2. 数据范围与敏感度识别：量化并分类出境数据的规模（涉及自然人数量、数据量）、种类（身份、联系方式、偏好、消费记录等）与敏感程度（是否属敏感个人信息或可能推导出敏感信息）。

3. 威胁与脆弱性分析：结合数据流、存储结构、访问控制，识别出境与出境后可能遭遇的篡改、泄露、丢失、非法利用等风险场景，并估算潜在影响（对国家安全、公共利益、个人权益的损害）。常用工具包括数据流图（DFD）、攻击面绘制与情景化风险矩阵。

4. 境外接收方能力与控制评估：审查境外接收方的合规资质、安全管理制度、技术能力（加密、访问日志、运维隔离）、以及其所在司法管辖区的数据保护法律与执法环境。

5. 合同与法律文件审查：评估拟订立的合同/标准合同/其他法律文件（下称“法律文件”）是否充分约定了目的限定、最小化原则、技术和管理保障、责任承担、子处理人管理、审计与协助义务、事故通报与处置等条款。

6. 权益保障与救济路径：评估个人信息主体可获得的查询、更正、删除、投诉与救济通道是否通畅。

7. 剩余风险与补救措施：在采取可行的技术和管理措施后，应形成对“残余风险”的判断，并列明补救与缓释措施（如第三方合规证明、增设访问控制、限定保存期限等）。

自评报告应包含：业务与数据清单、数据流向图、风险识别表、已采取/拟采取的技术和组织措施、拟签法律文件文本要点、管理治理责任清单及高层审批意见等。省级网信办将以此为完备性审查的基础。

（四）申报程序与监管对接

制度上采取“省级网信办完备性审查 → 国家网信办实质性评估”的两级联动机制：企业先向省级网信办提交自评报告与配套材料，省级网信办进行形式与完备性审查后上报国家网信办。国家网信办在审查过程中可能要求补充材料、开展现场/远程核查或要求技术测评与第三方评估报告。由于评估涉及法律、技术与国际环境等多维信息，实际审查周期弹性较大，且可能视复杂性要求跨部委协同评估。

当前制度规定评估结果有效期为3年。在有效期届满前，若继续开展相同的数据出境活动且未发生“需重新申报”的情形，可在期满前60个工作日内向省级网信办申请延长。可以申请延长的情形通常包括：目的范围未变、出境方与接收方未变、未来三年出境的个人信息/重要数据规模增幅不超过原准予规模的20%（具体度量标准有区分个人信息与重要数据），以及与境外接收方订立的法律文件仍符合相关规定等。

需重新申报的情形包括但不限于：出境目的、方式、范围或接收方发生导致安全影响的变化；接收方所在国法律环境发生重大不利变化；数据处理者或接收方实际控制权变更；法律文件发生重大变更；以及出现可能影响出境安全的其他情形（如重大数据泄露事件）。