今年6月,上海市网信办对某企业在未完成数据出境安全评估的前提下,违规将境内用户敏感个人信息跨境传输至境外的行为,作出罚款1000万元行政处罚。该案是跨境数据合规监管的典型案例,对企业出海经营具有极强警示意义。

跨境数据监管重点聚焦跨境电商、在线旅游代理、金融科技、智能汽车、先进制造、生物技术等行业。核心风险集中在三个方面:一是集团跨境流转误区。很多出海企业误以为境内数据同步至境外总部、海外云服务器、跨境办公系统属于内部流转,无需合规备案。依据《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》等规定,个人信息处理者向境外提供个人信息,必须通过安全评估、标准合同备案或个人信息保护认证;二是体量与场景红线模糊。《促进和规范数据跨境流动规定》等法规明确规定关键信息基础设施运营者只要向境外提供个人信息,或一般数据处理者自当年11日起,累计向境外提供100万人以上的普通个人信息,或1万人以上的敏感个人信息,必须依法申报数据出境安全评估(法定豁免情形除外)。上述重点行业高频处理海量用户数据,极易触及强制门槛;三是重业务、轻跨境合规。出海企业多聚焦海外市场拓展,忽视数据分级分类、境外接收方管控、跨境日志留存等合规要求,长期系统性违规将面临高额罚款、业务整改、限制数据出境等多重处罚。

建议相关企业从以下几方面做好跨境数据合规。一是按行业落实分级合规路径。文旅、电商、物流、生物技术等大数据体量企业要主动申报数据出境安全评估;中小出海企业严格通过标准合同备案、个人信息保护认证完成合规要求;二是严控重点行业数据流转。智能汽车、先进制造企业要严控设备、测绘、研发重要数据出境;金融科技企业要严控征信、交易数据跨境传输;所有出海企业落实“数据本地存储、最小必要出境”原则,杜绝无授权、超范围跨境传输。三是搭建跨境数据全流程管控体系。梳理跨境数据流转链路,封堵云端同步、第三方合作、海外办公等隐性传数漏洞。留存全量跨境传输日志与用户授权凭证,实现可追溯、可审计;四是常态化自查。定期开展跨境数据合规内审,同步适配国内外数据法规,规避双向合规风险。 

摘自:中国贸促会《全球经贸投资机遇与风险快报》(2026年第8期,总第8期)