夜雨聆风第三期
一、数据出境监管框架:法律体系与核心概念
二、数据出境安全评估:适用情形与申报流程
三、个人信息出境标准合同:签署要点与实操
四、个人信息保护认证:适用场景与申请路径
五、数据分类分级与跨境治理体系建设
六、典型合规场景与AI企业实操建议
2026年4月 · 中国AI企业出海合规系列第三期 · 本报告仅供参考,不构成正式法律意见
数据出境合规是中国AI企业出海的核心法律挑战之一。随着《网络安全法》《数据安全法》《个人信息保护法》三法体系的逐步完善,以及国家互联网信息办公室(网信办)相关配套规则的密集出台,数据出境的合规路径已从笼统原则走向精细化制度安排。
本期培训聚焦AI企业在数据出境过程中最常面对的三条合规路径——安全评估、标准合同(SCCs)与个人信息保护认证——并结合数据治理体系建设要求,系统梳理各路径的适用条件、操作流程和实务要点,帮助企业建立清晰、可执行的数据出境合规管理体系。
1.1 三法联动:数据出境的法律基础
中国数据出境合规的核心法律依据来自三部基础性法律及其配套规定,共同构成监管框架:
项目 | 说明 |
《网络安全法》(2017) | 确立关键信息基础设施运营者数据本地化义务;个人信息和重要数据须在境内存储,确需出境的须经安全评估 |
《数据安全法》(2021) | 确立数据分类分级制度;对重要数据出境实施更严格管控;明确数据出境须符合国家数据安全管理制度 |
《个人信息保护法》(2021) | 系统规定个人信息跨境提供规则;明确三条合规路径(安全评估、标准合同、认证);赋予个人信息主体跨境同意权 |
主要配套规则及实施文件包括:
《数据出境安全评估办法》(网信办,2022年9月施行)
《个人信息出境标准合同办法》(网信办,2023年6月施行)
《个人信息保护认证实施规则》(市场监督总局/网信办,2022年11月)
《促进和规范数据跨境流动规定》(网信办,2024年3月施行,新增重要豁免规定)
数据出境相关国家标准(GB/T 35273等)
1.2 核心概念界定
准确把握以下核心概念,是正确适用数据出境合规要求的前提:
项目 | 说明 |
数据出境 | 将在中华人民共和国境内运营中收集和产生的数据,提供给境外接收方的活动,包括向境外机构、组织、个人提供,以及存储于境外服务器 |
个人信息 | 以电子或其他方式记录的,与已识别或可识别的自然人有关的各种信息,但不包括匿名化处理后的信息 |
敏感个人信息 | 生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息 |
重要数据 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据(须依据行业目录认定) |
数据处理者 | 在数据出境合规语境中,指决定数据处理目的和方式的自然人或组织,即出境方义务主体 |
境外接收方 | 境外的数据处理者或个人信息处理者,承担接收、存储、使用出境数据的主体责任 |
根据《个人信息保护法》第三十八条,个人信息处理者向境外提供个人信息须满足以下路径之一:
合规路径 | 核心特征 | 主管部门 |
数据出境安全评估 | 适用强制情形;由政府主导审查;周期较长;通过后有效期2年 | 国家互联网信息办公室(网信办) |
个人信息出境标准合同 | 企业自主签署后向主管部门备案;灵活性较高;有效期与合同同期 | 省级网信部门(备案) |
个人信息保护认证 | 第三方认证机构认证;适用跨国公司集团内传输;有效期3年可续 | 具备资质的认证机构 |
[重要提示] 2024年3月施行的《促进和规范数据跨境流动规定》新增了重要豁免情形。AI企业应首先判断是否适用豁免,再决定走哪条合规路径,以降低合规成本和周期。
根据《数据出境安全评估办法》第四条,以下情形须向网信办申请数据出境安全评估,不得以其他路径替代:
触发情形 | 具体标准 | AI企业典型场景 |
重要数据出境 | 处理者向境外提供重要数据(任何数量) | AI训练数据涉及金融、医疗、地图等重要行业数据 |
关基运营者出境 | 关键信息基础设施运营者出境任何个人信息 | 运营关键信息基础设施的AI企业 |
大规模个人信息处理者 | 处理100万人以上个人信息的处理者 | 用户基数大的消费类AI产品、平台 |
累计数量触发阈值 | 自上年1月1日起累计向境外提供超10万人个人信息或超1万人敏感个人信息 | 跨境数据流动频繁的AI平台 |
[数量计算口径] 安全评估触发阈值按自然年度累计计算,每年1月1日重新起算。企业须建立跨境数据台账,持续监控累计出境数量,防止在不知情情况下触发安全评估义务。
2.2 2024年新规豁免情形
《促进和规范数据跨境流动规定》(2024年3月)新增以下豁免情形,符合条件的数据出境活动无需申请安全评估、签署标准合同或通过认证:
国际贸易、学术合作、跨国生产制造和市场营销等活动中确需向境外提供数据,且不含个人信息或重要数据的
向境外提供个人信息,每次不超过1000人且累计不超过1万人(低于此前标准合同适用门槛)
在中国境内申请出境的数据,其数据处理者和境外接收方均为同一法律实体(即同一主体内部传输)
为订立或履行个人作为一方当事人的合同所必需提供的个人信息
为保护自然人生命健康和财产安全所必需的紧急情形
[实务提示] 豁免路径并非免除所有合规义务——企业仍须履行个人信息保护基础义务(如告知同意、最小必要原则),且须保留豁免适用的书面依据,以备监管核查。
数据出境安全评估申报须历经以下主要阶段,整体周期通常为3至6个月:
数据处理者在申报前须完成内部自评估,重点评估:数据出境目的合法性、境外接收方数据保护能力、出境数据被再次转移的风险及个人信息权益保障措施
准备并提交申报材料包,包括:申报书、自评估报告、数据出境合同(草案)、个人信息清单、境外接收方基本情况说明等
网信办收到完整材料后7个工作日内决定是否受理;受理后进入45个工作日评估期(复杂情形可延长15个工作日)
评估期间网信办可要求补充材料或修改合同内容;企业须在规定期限内回应,否则视为撤回申请
评估通过后出具书面结论,有效期2年;评估不通过须停止相关数据出境活动并整改
[重要提示] 2年有效期届满前60个工作日内,如仍需继续出境,须重新申请评估。有效期届满后继续出境数据的,属于违规行为,面临警告、罚款及停止出境业务等处罚。
自评估报告是安全评估申报的核心文件,须覆盖以下要素,建议在专业律师和数据保护专家协助下完成:
评估模块 | 核心评估内容 | AI企业重点关注 |
出境目的与合法性 | 出境数据的具体用途、法律依据、是否符合最小必要原则 | AI模型训练/推理数据的合法性基础 |
数据基本情况 | 出境数据类型、数量、敏感程度、涉及人群特征 | 训练数据集中个人信息的识别与分类 |
境外接收方评估 | 接收方所在地数据保护法律水平、接收方安全保护能力 | 境外云服务商、研发中心的数据安全资质 |
再转移风险 | 数据被进一步转移的可能性及限制措施 | 接收方是否会向第三国转移训练数据 |
权益保障措施 | 个人信息主体权利的行使机制 | 投诉受理、删除更正请求的跨境响应机制 |
应急处置能力 | 数据泄露后的应急预案和响应能力 | AI系统数据泄露的特殊处置机制 |
根据《个人信息出境标准合同办法》,企业采用标准合同路径须同时满足以下条件:
不属于关键信息基础设施运营者;
处理个人信息不满100万人;
自上年1月1日起累计向境外提供个人信息不满100万人;
自上年1月1日起累计向境外提供敏感个人信息不满1万人。
同时满足上述条件且不触发安全评估强制要求的,企业可选择与境外接收方签署标准合同,并向省级网信部门备案。
[条件判断顺序] 企业应首先判断是否触发安全评估强制情形(第二章),再判断2024年豁免规定是否适用,最后才考虑标准合同路径。标准合同和安全评估并非平行选项,存在明确的适用优先级。
网信办发布的标准合同文本为强制性格式,不得删减或修改必备条款,但允许在合同附件中补充约定。标准合同由正文和附件两部分组成:
3.2.1 合同正文必备条款
条款模块 | 条款要求 | 重点说明 |
数据处理者义务 | 告知、目的限制、最小必要、数据质量保障 | 须与隐私政策保持一致,不得相互矛盾 |
境外接收方义务 | 按约定目的处理、安全技术措施、合作接受监督 | 不得单方扩大处理目的 |
个人信息主体权利 | 知情、访问、更正、删除、撤回同意等 | 须提供中文和接收方所在地语言版本 |
数据安全事件处置 | 泄露通知时限(72小时内告知处理者)、补救措施 | 须建立专项事件响应预案 |
合同终止处置 | 数据删除/返还义务、留存期限说明 | 须明确终止后数据的处理方式 |
争议解决 | 适用法律和争议管辖 | 建议约定中国法律及中国仲裁机构管辖 |
第三方受益人条款 | 赋予个人信息主体直接向接收方主张权利的资格 | 是标准合同的创新性条款,须认真理解 |
3.2.2 附件中可补充约定的内容
出境个人信息的具体类型、数量和目的(须详细列明,不得笼统描述)
境外接收方的具体技术和组织安全措施(如加密标准、访问控制机制)
再转移限制条件(如需转移须事先书面获得数据处理者同意)
各方在数据保护方面的具体责任分配
与业务合同(MSA/SOW等)的衔接关系
3.3 备案流程与时间节点
标准合同签署完成后,须于合同生效之日起10个工作日内向数据处理者所在地省级网信部门完成备案:
1. 通过省级网信部门指定渠道提交备案申请(多数省份已开通网上备案系统)
2. 提交材料:备案申请表、签署完成的标准合同全文、个人信息保护影响评估报告(PIPIA)
3. 省级网信部门收到完整材料后15个工作日内完成备案登记(有疑问的可要求补充说明)
4. 取得备案凭证后,数据出境活动方可正式开展
[重要提示] 个人信息保护影响评估报告(PIPIA)是备案的必要文件,不可缺失。PIPIA须覆盖处理目的、处理方式、数据安全风险及缓解措施等核心内容,建议在标准合同签署前即同步开展评估工作。
3.4 个人信息保护影响评估(PIPIA)实操要点
PIPIA是标准合同备案和安全评估申报的双重核心文件,须重点关注以下评估维度:
项目 | 说明 |
处理目的合法性 | 评估数据出境的具体目的是否具有充分的法律依据(合同履行、合规义务、正当利益等) |
数据最小化 | 评估出境数据的类型和数量是否限于实现目的所必需,是否可通过匿名化或假名化减少出境量 |
接收方安全能力 | 评估境外接收方的技术安全措施、组织管理体系及所在国数据保护法律水平 |
再转移控制 | 评估数据被境外接收方进一步转移的风险及合同约定的限制和监督措施 |
个人权利机制 | 评估个人信息主体如何跨境行使知情、访问、更正、删除等权利,投诉响应渠道是否有效 |
风险缓解措施 | 针对识别出的风险,评估拟采取的技术措施(加密、脱敏)和管理措施(访问控制、审计)的充分性 |
免责声明:本报告仅供一般信息参考之用,不构成正式法律意见,不应被用作处理任何具体法律事务的依据。如需就具体法律问题获得专业意见,请咨询具有相关执业资质的律师。
未完待续
