“

      张总的跨境电商APP最近在东南亚火了，每天有上万海外用户下单。技术总监突然跑来问：“老板，用户地址、手机号这些数据都传到我们海外服务器做分析了，这算‘数据出境’吗？要不要向网信办备案？不备案会不会被罚？”张总一听懵了——业务跑得正欢，难道要踩法律红线？

      这不仅是张总的困惑。只要你的企业涉及以下任何一种情况：有海外用户、用海外云服务（如AWS、Google Cloud）、在境外有分公司或服务器、使用海外SaaS工具（如Slack、Mailchimp），数据出境合规就是你必须面对的一道坎。

      过去，企业闻“数据出境”色变，担心流程复杂、成本高昂。但好消息是，2024年3月出台的《促进和规范数据跨境流动规定》（简称《新规》）以及各地推出的“负面清单”制度，已经大幅放宽了要求，为中小企业“松绑”。今天，我们就用最直白的语言，说清楚你现在到底要不要备案，以及该怎么操作。

一、 先弄明白：什么是“数据出境”？

      简单说，只要数据从中国境内传输到境外，就算数据出境。这包括： 

•   你的APP将中国用户的订单信息发到海外服务器。

•   你用Zoom开国际会议，会议记录存储在境外。

•   你将员工信息录入总部在国外的HR系统（如Workday）。

•   你将客户数据导入海外数据分析平台。

    关键点，无论数据是主动发送，还是因使用境外服务而被境外访问，都算。重点不是“谁传”，而是“数据去了哪里”。

二、 新规核心：大部分中小企业可能根本不用备案！

      这是最大的变化。《新规》和各地“负面清单”的核心思路是：划出明确的“红线”（负面清单），清单之外的数据出境活动，原则上无需再申报安全评估或订立标准合同。

你必须备案的“红线”情形（踩中一条就必须行动）：

1. 出境“重要数据”：这是国家安全的红线。什么是重要数据？通常由行业主管部门制定细则。例如，汽车行业的自动驾驶数据、地理信息；金融行业的支付清算数据；医疗健康领域的人口健康信息等。如果你的业务不涉及这些关键领域，大概率不触碰。

2. 出境“个人信息”达到法定数量： 

   ◦   累计向境外提供100万人以上个人信息：必须向国家和省级网信部门申报数据出境安全评估（流程最复杂）。

   ◦   累计向境外提供10万人以上、不满100万人个人信息：需要与境外接收方签订《个人信息出境标准合同》并向省级网信部门备案（最常见路径）。

   注意：这里的“累计”通常指自当年1月1日起的数量。

你可能被“豁免”的常见情形（不用备案）：

1. 为订立或履行合同所必需：例如，向海外买家发送物流信息、向境外支付机构提供支付信息以完成交易。
2. 公司内部管理必需：跨国公司将中国员工的人事、薪酬信息传输至境外总部进行统一管理。
3. 紧急情况为保护生命健康：如为应对跨境公共卫生事件而传输个人信息。
4. 在境外收集，且未经境内存储、处理直接传输：例如，你的APP只在境外应用商店上架，所有数据直接从境外用户处收集并存储在境外服务器，不回流境内。
5. 符合所在地“负面清单”豁免条件：以上海为例，其发布的负面清单管理办法，将豁免范围从自贸区扩展至全市，为大量企业提供了便利。

三、 企业自查四步法：快速判断你的业务状态

第一步：摸清家底

•   我们有哪些数据会传到境外？（用户信息、员工信息、经营数据？）

•   数据传到哪里？（哪个国家、哪家服务商？）

•   每年传输的大致人数是多少？（粗略估算即可）

第二步：定性数据

•   这些数据里，有没有可能涉及行业“重要数据”？（咨询你的行业主管部门或律师）

•   传输的主要是“个人信息”吗？（姓名、电话、地址、邮箱等）

第三步：定量评估

•   预计一年内，会向境外提供多少人的个人信息？是否超过10万？这个数字是决定你走哪种合规路径的关键分水岭。

第四步：匹配路径

•   预计<10万人/年：恭喜，你很可能属于豁免情形或仅需履行简单义务（如告知同意），无需进行标准合同备案。

•   预计10万-100万人/年：你需要订立《个人信息出境标准合同》并备案。

•   预计>100万人/年 或 涉及重要数据：你需要申报数据出境安全评估。

四、 如果必须备案，该怎么做？（实操指南）

      如果自查后确定需要备案（主要是标准合同备案），别慌，按步骤来：

1. 签订《个人信息出境标准合同》

      这是国家网信办制定的标准文本，你和境外数据接收方（如你的海外子公司、云服务商）共同签署。合同核心是要求对方承诺提供与中国法律保护水平相当的个人信息保护。

2. 准备备案材料

主要材料包括： 

•   备案申请书。

•   已签署的标准合同。

•   个人信息保护影响评估报告（PIA）。这是重点，需要你自行或聘请律师/合规顾问，评估数据出境的风险及采取的保护措施。

3. 提交省级网信部门备案

      通过所在地的网信部门指定平台提交材料。备案主要是形式审查，材料齐全通常能在规定时间内完成。

      重要提醒：即使免于备案，你仍有法定义务！你必须履行个人信息保护义务，确保数据出境具有合法性基础（如取得用户单独同意），并采取必要措施保障数据安全。

五、 给中小企业的三条“保命”建议

1. 不要侥幸，尽快自查：数据出境合规是强监管领域。罚款额度高（最高可达上一年度营业额的5%），还可能责令暂停业务。与其被动挨罚，不如主动厘清。
2. “告知-同意”是关键：无论是否备案，只要处理个人信息，就必须向用户清晰、明确地告知数据会出境、出境目的、接收方等信息，并取得用户的单独同意。这是所有合规工作的基石。
3. 借助专业力量，成本可控：对于大多数中小企业，涉及的主要是“标准合同备案”。可以聘请专业的数据合规律师或顾问提供服务。相比动辄数百万的罚款，这是一笔值得投入的风险投资。

最后

      数据出境合规，不再是高不可攀的“达摩克利斯之剑”。《新规》的出台，体现了国家在保障安全的前提下，促进数据有序流动、减轻企业负担的明确导向。

      对于中小企业主而言，正确的态度不是逃避或焦虑，而是理解规则、评估自身、选择正确的合规路径。在数字全球化的今天，合规不是枷锁，而是你产品走向海外市场的“通行证”和“护身符”。

      把合规作为企业国际竞争力的组成部分，你才能走得更稳、更远。

“

【若您在婚财规划、公司股权或知识产权保护方面有任何疑虑，欢迎扫码添加微信 Lawyer_HzLi】

 【杭州律师团队，服务全国客户】

“

如果您觉得这篇文章对您有帮助，欢迎点赞并分享给更多朋友。