一、基本概念
1、“出境活动”的定义
第一种,(从内向外)是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。
如:跨境电商、跨境支付场景,中国用户的数据需要“传出去”,给国外总部进行存储和分析。
第二种,(从外向内)是数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以访问或者调用。
如:跨国公司/外企场景,国外总部可以访问中国员工/用户的数据。
1.1 概念术语
1)”境内运营“:
是否以 为我国境内居民提供服务为目的,提供产品和服务的过程中是否使用了中文;是否提供了可以用人民币作为结算货币的选项;是否提供了有向中国境内配送物流的服务等等。
术语出自《数据出境安全评估办法》第二条
2)“数据过境”:
采集的境外信息传输到境内、未增加境内个人信息。(数据过境属于豁免场景)
2、依据法规
《网络安全法》第三十七条
《数据安全法》第三十一条
《网络数据安全管理条例》第三十七条
以及《数据出境安全评估办法》《促进和规范数据跨境流动规定》(前者和后者要求不一致的,从后者规定)
来自:数据出境安全管理政策问答(2025年5月)
https://mp.weixin.qq.com/s/2t8-e1qFan4rsZLaHYGTwg
二、出境活动判断
1、流程判断
关键环节:
1)是否重要数据—》《数据分类分级》附录G 重要数据识别指南
2)是否豁免场景、自贸区负面清单(豁免 或者 走地区SCC)
3)个人信息和敏感个人信息量级
- 敏感个人信息的定义—》
- 个人信息>100万、敏感个人信息>1万 —-》出境安全评估
- 个人信息10万100万、敏感个人信息01万—》SCC标准合同/个人信息保护认证
三、出境路径
1、数据出境安全评估
参考《数据出境安全评估办法》,自评估(第五条)+网信办监管评估(第八条)
2、《个人信息出境标准合同》
《个人信息出境标准合同办法》
3、个人信息保护认证
《个人信息出境个人信息保护认证办法(征求意见稿)》
四、其他义务
除了《数据出境评估办法》、《规定》中的要求,《个人信息保护法》中的其他要求也需要落实
1、数据出境场景中,除了“单独同意“,企业还需要告知用户那些
由于涉及数据的跨境传输,企业在进行数据出境时需符合《个人信息保护法》第三十九条规定的“单独同意”要求。此外,《标准合同》要求个人信息处理者与境外接收方依据《标准合同》附录一“个人信息出境说明” 所列约定开展与个人信息出境有关的活动,企业还需完成并向个人信息主体告知“个人信息出境说明”的相关情况,包括:
(1)传输的个人信息属于特定类别的个人信息主体,列出该特定类别的个人信息主体;
(2)传输的目的;
(3)传输个人信息的数量;
(4)出境个人信息类别;
(5)出境敏感个人信息类别;
(6)境外接收方传输的个人信息只向特定的接收方提供,列出该特定的接收方;
(7)传输的方式;
(8)出境后的存储时间;
(9)出境后的存储地点;
(10)其他事项。
2、PIA影响评估
《个保》第五十五条、五十六条
3、对方达到同等安全保护水平
对接收方安全水平的要求,《个人信息保护法》第38条第3款
4、安全事件上报
具备相应的流程和机制
《规定》第十一条
五、常见Q&A
1、对“境”的理解
“境”是指司法管辖边界,如果对方主体不受境内司法管辖(包括不在境内注册),则是属于“出境”的
企业是否受到境内司法管辖,主要看:
- 是否在境内注册(最直观);
- 是否在境内开展实质性业务或活动;
- 是否处理境内自然人的个人信息(PIPL 的域外适用);
- 是否在合同或经营安排中选择了适用境内法律。
2、“港澳台”是否属于跨境?
是。
跨境是按照司法行政区划分的,除了国家,中国还有“港澳台”地区。
3、外企场景
1)公司注册在国外,但在中国境内采集、存储、使用个人信息,是否属于跨境传输?
属于“境内运营”,若向境外传输需要遵循“出境评估”。
2)境内主体向另一个位于境内的外资企业的办事处传输数据,是否属于“数据出境”?
是。
如:境内某互联网企业向注册地在德国、在中国设有办事处的西门子 传输数据,是属于跨境传输的。
“境”是指司法管辖边界,如果对方主体不受境内司法管辖(包括不在境内注册),则是属于“出境”的。
3)数据没有传输也没有存储到中国境外的任何地方,但外资企业在境外的主体可以访问、查看到这些数据,是否属于“数据出境”?
属于。
4)跨国集团间的数据流动,如:从境内组织传输给境外的组织,也是属于跨境的。
基于(1)、(3)的场景思考🤔:
问题:
境内某互联网企业向注册地在德国、在中国设有办事处的西门子(在中国境内开展业务和数据处理活动,按上述理论是受到境内司法管辖的,不属于跨境?) 传输数据,是属于跨境传输吗?
分析:
⚖️ 关键点
- “是否跨境”的核心判断标准是:
- 数据是否被传输给 不受境内司法管辖的主体。
- 西门子在中国的办事处/子公司:
- 如果数据传输的对象是 西门子中国法人实体(在境内注册),那么这个实体 受中国司法管辖 → 不算跨境传输。
- 西门子德国总部:
- 尽管西门子在境内有办事处,但 注册地在德国的母公司本身是境外主体,它不属于中国司法管辖范围。
- 如果数据直接传输给西门子总部(或由境内办事处转交给总部),则属于 跨境传输。
📌 场景区分
- 场景 A:传输对象是西门子中国子公司
- 例如:西门子(中国)有限公司,注册地在北京。
- ✅ 不算跨境,因其在境内注册并受境内法律约束。
- 场景 B:传输对象是西门子德国总部
- 例如:数据最终要传输到德国的西门子 AG。
- ❌ 属于跨境,因为总部主体不在境内司法管辖范围。
- 场景 C:传输给西门子中国子公司,但该子公司再与德国总部共享
- 对中国互联网企业来说,它的直接传输对象是境内公司 → 不算跨境。
- 但西门子中国公司再向境外传输时 → 西门子中国公司要履行跨境合规义务。
✅ 总结一句话
是否跨境,不取决于企业 有没有境内办事处,而取决于数据最终的接收主体 是否在境内注册、是否受境内司法管辖。
👉 向“西门子中国”传输 → 不算跨境;
👉 向“西门子德国总部”传输 → 算跨境。
4、境内公司出海场景
注册在境内,但仅向境外用户提供服务、收集个人信息,不涉及采集境内用户的信息,是否属于跨境传输?
不属于“跨境活动”场景。但可能会受到当地法规的挑战🤔。
境内公司出海的实际场景思考🤔
场景假设:中国境内公司出海,经营的业务是面向外国人的,那么最佳的做法是什么? 比如:注册地选择、企业主体选择(是否需要和境内主体完全剥离)、数据存储地、数据交互等.…
分析:
很多中国企业“出海”时都会遇到:到底怎么设计企业架构和数据架构,才能 既满足境外合规要求,又避免境内跨境合规的重负。我结合监管逻辑 + 实践经验,给你一个完整分析:
🔑 核心目标
- 避免不必要的数据跨境合规负担(比如 PIPL 的跨境安全评估/标准合同/认证)。
- 满足境外市场的合规要求(GDPR、CCPA 等)。
- 兼顾业务效率(用户体验、成本、跨境访问延迟)。
📌 场景分析与最佳做法
1. 企业主体注册
- 最佳做法:在目标市场(或中立司法区)单独注册一个境外法人实体。
- 比如:中国公司在新加坡、爱尔兰、美国或目标市场本地注册独立公司。
- 为什么:
- 如果用境内公司直接处理外国人数据 → 默认数据要从境外传回境内,容易触发 PIPL 的跨境要求。
- 独立境外主体运营 → 境外数据由境外主体收集、处理,和境内主体相对剥离,就不会被认定为“境外数据回流到境内”。
2. 企业主体关系
- 是否要完全剥离?
- 业务层面:不必完全剥离,可以是子公司/关联公司关系。
- 数据合规层面:境外公司最好独立承担境外用户数据处理责任。
- 这样做的好处:
- 境外用户数据 不落地中国,不触发跨境。
- 境内公司负责中国业务,境外公司负责境外业务,清晰分工。
- 员工主体和base地
- 最好:让处理境外用户数据的员工签约境外主体(或通过人事外包方式挂靠境外主体)。
- 员工 base:最好在境外;如果在境内,需要做到数据不落地(远程访问)、角色隔离、合同明确。
- 合规逻辑:这样可以避免“境内公司处理境外用户数据 → 被 PIPL 认为适用”的风险,同时满足境外法律(如 GDPR 对控制者/处理者关系的要求)。
4. 数据存储地
- 最佳做法:数据就近存储在目标市场或区域(如欧盟存欧盟、美国存美国、东南亚存新加坡)。
- 好处:
- 符合当地“数据本地化”或“数据主权”要求(GDPR、印度、印尼等对数据有本地存储倾向)。
- 降低网络延迟,提升用户体验。
- 避免外国人数据不必要地回流境内。
5. 数据交互
- 境外业务与境内业务数据交互 → 尽量最小化、分层化:
- 外国人数据由境外处理,原则上不回流境内;
- 如果确实需要数据支持(例如:集团级别风控/财务合并报表):
- 优先 传输脱敏/聚合后的数据(避免个人信息直接跨境);
- 如果必须传输原始个人信息 → 境内公司就会触发“跨境数据传输合规”(安全评估、SCC、认证)。
6. 合规体系
- 境外公司:遵守当地数据保护法(GDPR、CCPA 等),独立发布隐私政策。
- 境内公司:遵守 PIPL,不处理境外用户数据,避免跨境风险。
- 集团层面:通过 BCR(Binding Corporate Rules,约束性公司规则)或标准合同处理跨境情况,保证合规性。
✅ 最佳实践蓝图
- 注册地选择:
- 欧盟用户 → 欧盟境内公司(爱尔兰/荷兰常见);
- 东南亚用户 → 新加坡公司;
- 美国用户 → 美国公司。
- 企业主体:境内公司与境外公司关联,但 数据责任边界清晰。
- 数据存储:境外用户数据存境外,境内用户数据存境内,物理隔离。
- 数据交互:跨境共享尽量仅限于统计报表/匿名化数据,减少原始个人信息跨境。
- 合规体系:双轨制,境内遵守 PIPL,境外遵守 GDPR/CCPA,避免“一个系统处理所有用户”的高风险架构。
📊 一句话总结:
👉 出海企业最佳做法是:在境外注册独立实体 → 数据就近收集存储 → 避免原始数据回流境内 → 集团层面只共享必要的脱敏汇总数据。
5、法规中提到的数量 1000万、100万、1万是指人数还是信息条数?
数量以自然人为单位。
来自:2024.3.22 答记者问#11 https://mp.weixin.qq.com/s/-Y-dY_HL21jHTFQsMbeiVQ?scene=310#wechat_redirect
6、为什么选择新加坡作为出海中转地
主动参与国际互认与标准对接
- APEC 跨境隐私规则(CBPR)体系:2018 年,新加坡加入 APEC 跨境隐私规则(CBPR)体系,并建立了对应的认证与互认机制。加入 CBPR 后,新加坡企业可借助该体系,与其他 CBPR 成员(如美国、韩国、日本等)实现更便捷的数据传输。
- 欧盟–新加坡数据保护框架(DPF):2023 年 5 月,欧盟正式宣布对新加坡实施《欧盟–新加坡数据保护框架》(EU–Singapore Data Protection Framework)给予充分性决定(Adequacy Decision)。这意味着,从欧盟向新加坡传输个人数据,无需额外进行标准合同或绑定企业规则等繁琐程序,可直接按 GDPR 要求进行数据跨境流转。相应地,新加坡也更容易成为从欧盟或海外通往亚洲的“数据中转站”。
Refere
出境合规100问
Referer:https://mp.weixin.qq.com/s/_Ij74dnAWLktKgxJA5HeKg
【从零读懂】数据出境合规100问 | Part 4:数据出海实践关键问题与海外SCCs要点对比
【从零读懂】数据出境合规100问 | Part 3下篇:《数据出境安全评估办法》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 3中篇:《数据出境安全评估办法》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 3上篇:《数据出境安全评估办法》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 2下篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 2上篇:《个人信息出境标准合同规定(征求意见稿)》高频问题与适用解读
【从零读懂】数据出境合规100问 | Part 1:数据出境关键概念剖析
企业数据出境合规系列解读(一):盘点常见数据出境风险场景
https://www.zhonglun.com/Content/2022/09-01/1447420156.html
初探如何合规建设和运营Web3.0平台
https://www.zhonglun.com/Content/2022/08-08/1626388331.html
数据出境安全评估背景和要点——洪延青(2022)
https://www.pcpd.org.hk/tc_chi/whatsnew/files/professor_hong.pdf
新规下的数据出境(《规定》)
https://mp.weixin.qq.com/s/McOPgBfVPEnqPk8UsMTutg
2022 数据合规一周年记录
https://www.glo.com.cn/UpLoadFile/Files/2023/1/10/16353965988251703-b.pdf
数据出境安全管理政策问答(2025年5月),针对重要数据的补充
https://mp.weixin.qq.com/s/2t8-e1qFan4rsZLaHYGTwg
《**《促进和规范数据跨境流动规定》答记者问 2024.3.22**