数据出境的合规要点

数据出境（境内数据传境外）有严格合规要求。 这篇讲清要点。

数据出境是企业做信息化和跨境业务时很容易踩雷的地方。很多公司以为"我们没把数据传到国外，应该不涉及"，但实际上只要境外人员能远程访问境内系统、用了境外 SaaS、或者数据存在境外云上，都已经构成数据出境。一旦涉及个人信息或重要数据，就要走对应的合规路径，否则可能被监管处罚，严重的还会影响业务许可。

数据出境是什么

境内数据传到境外，常见情形包括：

• 数据传到境外服务器：把数据库、文件、备份等物理存储或同步到境外机房。
• 境外远程访问境内数据：境外公司、海外分公司、境外员工通过 VPN、远程桌面、API 访问境内的业务系统读取数据。
• 用境外云服务：使用了服务器节点在境外的 SaaS、PaaS、IaaS，数据实际落在境外。
• 境外员工访问：外籍员工、海外分公司员工日常工作需要查看境内客户、订单、用户数据。

很多企业以为"我们没把数据传到国外"就不涉及出境，其实只要境外人员能远程访问到境内数据（比如海外分公司员工登录国内系统查数据），也属于数据出境的范畴。

为什么要合规

• 个人信息/重要数据敏感：涉及公民隐私、企业核心资产、行业关键信息。
• 法规严格（PIPL/数据安全法）：《个人信息保护法》《数据安全法》《数据出境安全评估办法》等都对出境做了明确规定。
• 违规有处罚：责令整改、警告、罚款，情节严重的可被吊销业务许可或追究刑事责任。
• 国家安全考量：大规模个人信息和重要数据的出境关系到国家安全和社会公共利益。

《个人信息保护法》《数据安全法》对数据出境有明确规定，违规企业可能被责令整改、罚款，情节严重的还可能被吊销业务许可。

合规要求

1. 个人信息出境

• 安全评估（大规模）：达到规定数量级（如一年内累计出境个人信息达到一定规模）需要向监管申报安全评估。
• 标准合同：与境外接收方签订国家规定的标准合同，并向属地网信部门备案。
• 认证：通过国家认可的个人信息保护认证，适合跨国集团内部的数据传输场景。
• 三选一（按规模）：根据个人信息数量和场景，从评估、标准合同、认证中选一种适用路径。

2. 重要数据出境

• 安全评估（必须）：被认定为重要数据的数据出境必须走安全评估，没有替代方案。
• 审批：部分行业（如金融、电信、能源）的重要数据出境还涉及行业主管部门的审批。

重要数据（如关系国家安全、经济运行的数据）出境必须走安全评估，没有替代路径。

3. 告知同意

• 个人信息出境要告知用户：在隐私政策、用户协议中明确说明数据会出境，以及接收方、目的、方式等。
• 取得单独同意：不能混在"一揽子授权"里，需要用户对出境事项单独勾选同意。

4. 评估

• 出境风险自评估：企业自身先做出境风险自评估，识别数据类型、规模、接收方能力、风险点。
• 监管评估（大规模/重要）：达到阈值或涉及重要数据的，需要向网信部门申报监管评估，等待审批通过后才能出境。

数据类型

风险

• 违规处罚：监管警告、罚款、责令整改，严重的吊销业务许可。
• 数据泄露（境外）：境外接收方所在法域的数据保护水平不同，泄露后追责难度大。
• 合规整改：被监管要求整改期间，相关业务可能被迫暂停。
• 业务影响（如不能用境外服务）：原本依赖境外 SaaS 的业务流程要切换到境内替代，影响效率。

别踩的坑

• 未经评估出境：达到评估阈值却没有申报，属于违规出境。
• 个人信息未单独同意：把出境同意混进"一揽子授权"，没有单独勾选，构成违规。
• 重要数据擅自出境：把本应走安全评估的重要数据直接传境外，违法。
• 忽视境外服务：以为只是用了境外云/SaaS 不算出境，实际上数据已经物理落境外。

成本参考

怎么合规

1. 识别是否数据出境：盘点数据资产、接收方、访问链路，确认有没有"境外触达"。
2. 按数据类型和规模合规：区分个人信息、重要数据、一般业务数据，对应不同合规路径。
3. 个人信息出境（评估/合同/认证）：按规模三选一，必要时申报安全评估。
4. 重要数据评估：必须走安全评估，行业有特殊要求的还要走行业审批。
5. 复杂咨询专业：跨境业务结构复杂、数据类型多样的，建议咨询专业律所或合规服务机构。

广州市汉诺雷斯（HNREIS）帮企业做数据架构（含数据本地化/不出境方案），出境合规建议咨询专业。把你的数据需求告诉我们，我们给出方案。