携程被罚1000万元:数据出境合规的边界,正在被重新定义
近日,上海市网信办在国家网信办指导下,公布了一批数据合规执法案件。其中,上海携程商务有限公司因“未落实数据出境安全评估要求”“违法向境外提供个人信息”,被依据《个人信息保护法》处以1000万元罚款,并被责令限期整改。

在近年来公开的数据出境执法案例中,1000万元已经属于较高金额的行政处罚。消息公布后,不少企业负责人第一时间提出疑问:携程究竟违反了什么规定?1000万元是重罚还是轻罚?更重要的是,自己的企业是否也存在类似风险?
事实上,与其说这是一张罚单,不如说它是一条被重新划定的红线。
从“把数据传出去”,到“有没有资格传出去”
很多企业对于数据出境的理解,仍停留在一个朴素的层面:只要业务需要,把数据传给境外总部、海外服务器或者海外合作方即可。然而,《个人信息保护法》建立的规则并不是讨论“能不能传”,而是首先回答“有没有资格传”。
此次通报中,携程被认定存在两项违法行为:其一,未依法履行数据出境安全评估程序;其二,违法向境外提供个人信息。
两项违法行为并非并列关系,而是典型的因果链条。因为没有履行法定程序,所以其数据出境行为本身失去了合法基础,最终构成违法出境。
《个人信息保护法》第三十八条实际上为个人信息出境设计了四条合法路径:通过国家网信部门组织的安全评估、通过个人信息保护认证、签署标准合同,或者符合其他法律法规规定的条件。对于达到一定规模的数据处理者而言,安全评估并不是可选项,而是必须跨过的一道门槛。
换言之,法律并没有禁止企业开展跨境业务,也没有禁止数据流动,而是在强调:只有满足法定条件,数据才能离开国境。
对于拥有海量用户信息的互联网平台来说,这条规则并不陌生。真正的问题往往不是“不知道规则”,而是在业务快速扩张过程中,对规则的边界产生了误判。
携程案的意义正在于此——它向市场传递出一个清晰信号:数据出境监管已经从过去的原则性要求,进入实质审查阶段。
1000万元罚款,究竟算重还是轻?
看到1000万元这个数字,很多人的第一反应是“重罚”。
但如果放在《个人信息保护法》的处罚体系下观察,这笔罚款其实并未触及处罚上限。
《个人信息保护法》第六十六条设置了两档处罚机制。一般违法行为,罚款最高为100万元;而一旦被认定为“情节严重”,罚款上限则提升至5000万元,或者上一年度营业额的5%。
携程适用的正是第二档。
从公开数据来看,携程集团年营业收入达到数百亿元规模,如果按照营业额5%的标准计算,其理论处罚上限可达到数十亿元。因此,1000万元虽然已经是公开案例中的高额罚单,但距离法律规定的最高幅度仍有较大空间。
执法机关为何最终选择1000万元,而不是更高?
在行政处罚实践中,罚款金额通常会综合考虑多个因素,包括违法行为持续时间、涉及个人信息主体数量、数据敏感程度、是否造成实际损害、企业是否主动整改以及是否积极配合调查等。
值得注意的是,此次官方通报中特别提到,企业在处罚后“积极配合,全面落实整改要求”。这通常被视为行政处罚裁量中的减轻因素。
因此,1000万元既不是象征性处罚,也不是顶格处罚,而是在“情节严重”这一前提下作出的中等偏下裁量。
不过,比罚款金额更值得关注的,其实是隐藏在法律背后的另一套处罚工具。
《个人信息保护法》赋予监管部门暂停相关业务、责令停业整顿、吊销许可等权力;同时,对于直接负责的主管人员,还可能处以10万元至100万元罚款,并禁止其在一定期限内担任董事、高级管理人员或者个人信息保护负责人。
对于一家平台企业而言,业务限制和声誉风险,往往比单纯的经济处罚更具震慑力。
数据出境的门槛,已经悄悄发生变化
如果说携程案回答的是“违反了什么”,那么企业更关心的问题其实是:“我什么时候必须申报安全评估?”
过去几年,这个问题的答案经历了一次重要调整。
2022年,《数据出境安全评估办法》刚刚实施时,监管采用的是“存量标准”:只要企业处理超过100万人个人信息,就可能触发安全评估义务;如果累计向境外提供10万人个人信息或者1万人敏感个人信息,同样需要申报。
但2024年3月施行的《促进和规范数据跨境流动规定》,改变了这一逻辑。
新的规则不再关注企业“持有多少数据”,而开始关注企业“实际向境外传输了多少数据”。
普通数据处理者只有在当年累计向境外提供超过100万人个人信息,或者超过1万人敏感个人信息时,才需要申报安全评估。
与此同时,原本需要安全评估的“10万人个人信息”门槛,也被降级为可以通过签署标准合同或者通过个人信息保护认证来完成。
这一变化意味着,监管思路正在从静态管理转向动态管理。
企业是否拥有海量数据,已经不是唯一判断标准;真正重要的是,这些数据是否持续、批量、系统性地流向境外。
当然,监管也给予了中小企业一定空间。
《促进和规范数据跨境流动规定》第五条明确,如果非关键信息基础设施运营者,当年累计向境外提供不满10万人个人信息(且不含敏感个人信息),则可以同时免于安全评估、标准合同备案以及个人信息保护认证。
但需要特别强调的是,豁免程序,并不意味着豁免责任。
告知义务、取得个人单独同意、开展个人信息保护影响评估等基础义务,仍然必须履行。
很多企业容易产生误解,以为“没有达到门槛”就意味着“没有风险”。事实上,监管豁免的只是跨境程序,而不是整个个人信息保护体系。

企业最大的风险,往往来自那些“看不见的数据出境”
在很多合规项目中,我们发现,企业真正容易忽视的,并不是主动传输数据,而是那些看似没有“出境”的场景。
比如,数据虽然存储在国内服务器,但境外总部拥有后台账号,可以随时查询、下载或者导出数据。
又比如,海外技术团队通过远程运维系统,对境内数据库进行访问和维护。
不少企业认为,只要数据物理上没有离开中国,就不属于数据出境。
但国家网信办发布的《数据出境安全评估申报指南(第三版)》已经明确,将境内数据传输至境外、允许境外机构查询调取境内数据,以及境外主体处理境内自然人个人信息等情形,都属于数据出境。
换句话说,监管关注的并不是硬盘放在哪里,而是谁能够接触、控制和利用这些数据。
因此,数据出境合规的第一步,往往不是准备材料,而是重新梳理企业的数据流向。
很多企业在自查时,都会惊讶地发现:真正存在风险的,不是那个显而易见的海外服务器,而是那些日常运营中被忽视的远程访问权限。
从携程案看,数据出境监管已经进入“实质合规”时代
回过头来看,携程案最值得关注的,并不是1000万元罚款本身。
它释放出的信号是:监管对于数据出境的关注点,已经从“是否备案”,转向“是否真正建立起合规体系”。
企业需要知道数据去了哪里,也需要证明为什么可以去、通过什么程序去、境外接收方是否具备保护能力,以及一旦发生风险,责任由谁承担。
法律提供了明确的路径。
安全评估、标准合同、个人信息保护认证,以及特定情形下的豁免机制,都为企业留下了合规空间。
但所有路径都有一个共同前提——必须主动选择,而不是置之不理。
对于企业而言,真正危险的从来不是门槛太高,而是误以为自己还没有走到门口。
当数据成为新的生产要素,数据出境就不再只是技术问题,也不只是法务问题,而是企业全球化经营必须面对的一道基础能力题。
携程的1000万元罚单,也许不会成为最高纪录,但它很可能成为一个标志:数据出境监管的“宽松时代”,正在结束;而“实质合规、过程留痕、全程可追溯”的时代,已经到来。


请先 登录后发表评论 ~