数据出境监管政策体系结构及实务操作指南，兼解读《个人信息出境认证办法》

引言：中国跨境监管的“3+1=4”

2025年10月17日，国家互联网信息办公室、国家市场监督管理总局联合公布《个人信息出境认证办法》（以下简称《认证办法》），将于2026年1月1日起实施。“按照国家网信部门的规定经专业机构进行个人信息保护认证”是《个人信息保护法》第三十八条所规定的向境外提供个人信息的法定途径之一。

按照官方表述，“《办法》的出台，明确了通过认证方式向境外提供个人信息的具体实施路径，标志着《个人信息保护法》明确的数据出境安全评估、个人信息保护认证、个人信息出境标准合同等出境制度设计的全面落地，也标志着我国数据跨境流动制度体系的全面建立。”[1]《认证办法》出台后，我国完整构建了数据出境监管的法律体系，包含3部法律，《网络安全法》《数据安全法》和《个人信息保护法》；1部行政法规，《网络数据安全管理条例》；4部部门规章，《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息出境认证办法》和《促进和规范数据跨境流动规定》。

4部部门规章是落实上位法3部法律和1部行政法规的具体实施规定。《个人信息出境认证办法》的出台，“3+1=4”的数据跨境管理法规体系就已经建立完成，标志着中国数据出境监管机制的进一步细化和优化，也意味着中国数据跨境监管更为成熟、便利。对企业而言，这代表了数据出境合规路径更为丰富明确，同时也对内部数据治理提出了更高要求。建议相关企业结合自身业务实际，审慎评估并选择最适合的合规路径，系统性提升数据出境的合规水平。希望通过本文，能够协助相关企业全面、快速掌握以下要点：

（1）完整介绍中国跨境数据管理制度体系；

（2）分析数据出境的合规要求；

（3）全面梳理自贸区数据出境负面清单；

（4）解读《个人信息出境认证办法》合规要点。

一、中国数据跨境流动监管制度体系

中国数据跨境流动监管制度系统且细致，涉及多部法律规定和复杂的法律要求，通常需要考虑数据处理主体、数据类型、数据规模等综合因素，选择法定的或者适宜的出境路径，以满足数据出境合规要求。

（一）关于主体的要求

是否是关键信息基础设施运营者是首要判断因素。《网络安全法》（2017年）第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照其规定。这是我国最早关于数据跨境流动管理的法律规定，明确了“关键信息基础设施运营者”（CIIO）作为跨境数据流动中的特殊主体，其最早负有数据出境合规义务，也是目前数据出境活动中义务最高的主体。

关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。《关键信息基础设施安全保护条例》（2021年）第十条明确，负责关键信息基础设施安全保护工作的部门根据认定规则组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。由此可以明确的是，关键信息基础设施的认定结果并不向社会公布，仅有关键信息基础设施运营者自身掌握其是否为关键信息基础设施运营者的结果。对于涉及数据跨境活动的企业而言，首先需要排查本企业是否收到过主管部门的通知，将自身认定为关键信息基础设施运营者，这是判断数据出境活动需要承担何种合规义务的第一步。

（二）关于数据类型的要求

根据《个人信息保护法》《数据安全法》及相关配套规定，需要满足合规义务的数据类型主要包括个人信息和重要数据两种。

1、个人信息

《个人信息保护法》第三十八条规定了三种个人信息出境的方式：通过国家网信部门组织的安全评估（具体见下文），按照国家网信部门的规定经专业机构进行个人信息保护认证，按照国家网信部门制定的标准合同与境外接收方订立合同。同时，个人信息可以按照法律、行政法规规定或者国家网信部门规定的其他条件出境，还可以按照中华人民共和国缔结或者参加的国际条约、协定中向境外提供个人信息的条件出境。《个人信息保护法》对“个人信息”出境的方式作出了位阶最高的规定，也明确了最为主要的三种出境方式，包括本次出台的《认证办法》所规定的保护认证方式。因此，需要注意的是，该三种数据出境的方式实际上是“个人信息”出境的方式。

《个人信息保护法》第三十八条中规定“通过国家网信部门组织的安全评估”方式需要符合该法第四十条规定。《个人信息保护法》第四十条衔接了前述《网络安全法》第三十七条的规定，对关键信息基础设施运营者向境外提供个人信息的情况进行了进一步规定，明确了：①个人信息阈值，需达到国家网信部门规定数量；②例外情形，法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。《个人信息保护法》细化了通过安全评估方式向境外提供个人信息的规定，也成为后续相关配套规定的主要依据。

与重要数据不同，个人信息出境涉及数量标准，达到一定数量的相应个人信息才需要履行申报义务。根据《促进和规范数据跨境流动规定》《数据出境安全评估办法》《个人信息保护合规审计管理办法》《个人信息出境认证办法》等，有关个人信息出境申报的数量要求如下：

（1）豁免情形，数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（《促进和规范数据跨境流动规定》第四条）；关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息，不包括重要数据）的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证（《促进和规范数据跨境流动规定》第五条第四项）。

（2）安全评估，关键信息基础设施运营者向境外提供个人信息或者重要数据；关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息。

（3）标准合同或者保护认证，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的。

2、重要数据

《数据安全法》第三十一条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。《网络数据安全管理条例》第六十二条第四项明确，重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。国家网信办在“数据出境安全管理政策问答（2025年4月）”[2]中明确，《数据安全技术数据分类分级规则》（GB/T 43697-2024）附录G《重要数据识别指南》提出了重要数据识别方法，数据处理者可依据相关法律法规、技术标准等识别申报重要数据。实践中，我们建议进一步参考相关自贸区的数据出境负面清单中所列的重要数据，亦可以作为重要数据识别的重要参考。截至目前，已有天津、北京、上海、海南、浙江、重庆、江苏、广西等多个自贸区发布了数据出境负面清单。

就重要数据出境问题，国家网信办在“数据出境安全管理政策问答（2025年4月）”中明确回答，对于确需出境的重要数据，法律作了制度上的安排，经数据出境安全评估认为不会危害国家安全和社会公共利益的，可以出境。根据国家网信办披露的数据，评估后准予出境的重要数据项占申报数据项总数的63.9%（截至2025年3月）。实际上，现行法律规定中从未有禁止重要数据出境的要求，只是重要数据本身性质的敏感性、重要性，导致在安全评估过程中需要对出境的必要性、采取安全措施的适当性等作出详细的说明和妥善的安排，因此相较于个人信息数据，通过安全评估的难度自然较大。

二、数据出境执法情况

在了解前述法规框架后，通过观察近期执法动态，可以更清晰地把握监管机构的关注重点和执法尺度，为企业合规工作提供重要指引。数据跨境流动既是数字企业开展全球化运营的关注热点，也是监管机构执法的重点领域。欧盟等国家和地区对跨境数据流动设置了严格的法律义务，近年来执法活动较为集中频繁，中国监管机构明显在跨境数据流动监管方面加大力度，将其作为数据监管执法的主要内容之一。

（一）首例行政处罚案件

2025年5月，上海公安机关对某跨国公司未履行个人信息保护义务案进行了行政处罚。据官方通报，该公司存在三项违法事实，其中一项为未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证，违规向法国总部传输用户个人信息。这是国内首次对违规向境外传输个人信息作出公开的行政处罚。

（二）首例司法裁判案件

2024年8月，中国裁判文书网公布了一起广州互联网法院于2023年9月作出的判决〔（2022）粤0192民初6486号〕，本案系个人信息保护纠纷，是《个人信息保护法》出台后法院公布的首个有关跨境传输个人信息纠纷的司法裁判。原告主张被告某琴公司（被告一）和某高公司（被告二）通过“A”移动应用（App）违法跨境处理其个人信息。判决书涉及四个法律问题：

（1）法律适用问题；

（2）个人起诉是否需要前置条件；

（3）如何认定侵害个人信息权益；

（4）如何认定及承担民事侵权责任。

（三）首例刑事处罚案件

2020年底，某国内信息科技公司接受某境外公司委托，为其采集中国铁路信号数据，包括物联网、蜂窝和铁路移动通信专网信号灯数据。该信息科技公司按照对方要求购买、安装设备，在固定地点采集数据，并在对方规定的其他城市及相应高铁线路上进行移动测试和数据采集。经国家安全机关查实，该公司仅在一个月内非法采集的高铁信号数据量就达到了500G。最终，涉案人员被判处有期徒刑并剥夺政治权利。

（四）四部委专项行动

今年3月28日，中央网信办、工信部、公安部、市场监管总局联合发布了《关于开展2025年个人信息保护系列专项行动的公告》（以下简称《2025年公告》）。这是自2019年以来四部委再次联合部署个人信息保护专项行动。此前2019年，上述四部委就发布了《关于开展App违法违规收集使用个人信息专项治理的公告》（以下简称《2019年公告》），开启了App个人信息治理活动并持续至今。相较于2019年，今年四部委专项行动十分密集和深入。截至目前，四部委专项行动累计公开通报27批，累计通报1179款移动应用，下架340款移动应用。其中，工信部信管局通报了7批违法违规收集使用个人信息的移动应用和1批违法违规收集使用个人信息的智能终端；中央网信办通报了2批违法违规收集使用个人信息的移动应用；国家计算机病毒应急处理中心通报了12批违法违规收集使用个人信息的移动应用；公安部计算机信息系统安全产品质量监督检验中心通报了5批违法违规收集使用个人信息的移动应用。

《2025年公告》中确定了六类重点问题：

（1）App（含小程序、公众号、快应用）违法违规收集使用个人信息；

（2）SDK违法违规收集使用个人信息；

（3）智能终端违法违规收集使用个人信息；

（4）公共场所违法违规收集使用人脸识别信息；

（5）线下消费场景违法违规收集使用个人信息；

（6）个人信息相关违法犯罪案件。

不过，实际行动中，监管机构（及检测机构）将跨境传输数据纳入行动范围。国家计算机病毒应急处理中心的通报中多次涉及“个人信息处理者向中华人民共和国境外提供个人信息的，未向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项”的违法情形。

三、数据出境的路径选择

结合法律规定和执法实践，数据跨境管理无疑是监管重点之一，也呈现出精细化、科学化管理的趋势。企业在数据出境合规中，宜综合、准确理解有关法律法规要求，选择合适的数据出境方式，优化企业合规成本，同时避免数据出境不合规带来的法律风险。根据《个人信息保护法》《网络数据安全管理条例》《规范和促进数据跨境流动规定》等要求，在豁免情形和依法应当申报数据出境安全评估以外（参见前述），个人信息处理者开展数据出境活动的，满足“订立个人信息出境标准合同”或“通过个人信息保护认证”的条件之一即可。根据《认证办法》和《个人信息出境标准合同办法》的规定，两种方式的要求基本一致（具体见下表）。

《认证办法》对此前的征求意见稿进行了大幅修改，从而与《个人信息出境标准合同办法》保持一致，仅在个人信息出境风险中增加了“国家安全、公共利益”的考量。但是，两者在适用场景上可能存在差别。国家网信办“数据出境安全管理政策问答（2025年10月）”[63]中明确，个人信息出境保护认证参照的依据和标准主要是2022年11月公布的《关于实施个人信息保护认证的公告》以及国家标准《数据安全技术个人信息跨境处理活动安全认证要求》（GB/T 46068-2025）。《数据安全技术个人信息跨境处理活动安全认证要求》（GB/T 46068-2025）中列举了5类典型个人信息跨境处理场景：

（1）跨国公司或同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；

（2）境内个人信息处理者委托境外服务提供商处理数据；

（3）境内个人信息处理者向境外接收方提供个人信息；

（4）境内个人信息处理者与境外接收方共同处理个人信息；

（5）境外个人信息处理者在境外收集分析境内自然人个人信息。

从形式上来看，保护认证的方式特别适用于境外接收方不具有独立性的场景，比如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中指出，其适用于“跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动”。比较保护认证和标准合同两种方式，我们总结以下几点作为具体选择策略的参考：

（一）主体类型

正如TC260-PG-20222A《个人信息跨境处理活动安全认证规范》中所指，跨国公司或者同一经济、事业实体下属子公司或关联公司之间的跨境，首选保护认证的方式。《认证办法》删除了《征求意见稿》中关于“个人信息处理者与境外接收方订立的有法律约束力的协议是否约定了个人信息保护的义务”的评定要求，更加体现出其与标准合同方式的差异，对于在境外难以找到适格合同主体的个人信息处理者而言，保护认证的方式更为适合。

（二）出境事项

从保护认证和标准合同的条件来看，企业整体合规的要求基本一致，但标准合同更倾向于“一事一议”，更侧重于对单次或特定项下个人信息出境活动的合规性进行约定并满足合规要求；保护认证则更倾向于“一司一议”，更侧重于对个人信息处理者及其境外接收方的数据保护管理体系进行系统性认证，适用于长期、多场景的出境活动合规。因此，保护认证更适合长期、频繁的个人信息处理活动，而标准合同则相对适合于短期、偶发的个人信息处理活动。

（三）监督能力

标准合同属于民事范畴，双方通过协议方式达成一致，通过协议约束权利义务关系。而保护认证则以第三方监督为视角，以专业认证机构的能力作为支撑。因此，对于个人信息出境方和接收方而言，如果双方谈判能力相当，则标准合同的方式较为合适；如果双方谈判能力差距较大，则可考虑保护认证的方式，借助专业认证机构来满足个人信息出境合规要求。

（四）信用评价

标准合同生效且备案后，个人信息处理者就可以开展个人信息出境活动，标准合同本身属于商业合同的范畴或商业合同的一部分，实践中并无公开的要求，社会公众无法对其评价。而保护认证则具有一定的公权力属性，在一定程度上代表了行政机关对个人信息跨境活动的认可以及对企业个人信息保护水平的认可。因此，对于个人信息保护商誉等有较高需求的企业，如商业模式以ToC为主的企业，需要提升消费者对其个人信息保护水平满意度的企业，都可以通过保护认证的方式获得外部的信用评价。

四、个人信息出境保护认证核心合规要点解析

根据《认证办法》的规定，申请个人信息出境保护认证需要满足主体适格、数据处理活动适格、告知同意、个人信息保护影响评估、向专业机构申请等要求。

（一）主体和数据处理活动

按照监管要求，申请个人信息出境认证的主体不得为关键信息基础设施运营者；拟出境数据不得包括重要数据；拟出境个人信息数量应自当年1月1日起累计计算，个人信息（不含敏感个人信息）为10万人以上、不满100万人，或者敏感个人信息不满1万人。

（二）告知同意

《认证办法》要求，个人信息处理者在申请认证向境外提供个人信息前，应当按照法律、行政法规的规定履行告知、取得个人单独同意等义务（第六条）。

1、告知义务

《个人信息保护法》第十七条要求个人信息处理者在处理个人信息前，以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项（谁处理、怎么处理、如何维权）。需要注意的是，告知义务与用户同意是两个步骤，即便个人信息处理者具有除了同意以外的其他合法性基础，仍然需要履行告知义务。目前，仅有两类情形可以豁免（或部分豁免）告知义务：①法律、行政法规规定应当保密或者不需要告知的情形；②紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的（但在紧急情况消除后应当及时告知）。

2、单独同意

《个人信息保护法》第三十九条明确，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。该条既包括了告知义务，与《个人信息保护法》第十七条一致，也规定了单独同意的要求。需要注意的是，《个人信息保护法》第十三条第二款明确，依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。也就是说，不以同意为合法性基础的情形下，不需要取得个人的同意，且该范围覆盖至“本法其他有关规定”，即包括跨境场景下的单独同意。如《个人信息保护法》第十三条第一款第二项的合法性基础包括“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，跨国企业以该项合法性基础向境外传输个人信息的，不需要取得个人的同意。《认证办法》第六条中要求“取得个人单独同意”的前提是“按照法律、行政法规的同意”，因此应当结合《个人信息保护法》第十三条第二款理解该处规定。

（三）个人信息保护影响评估（PIA）

个人信息保护影响评估（PIA）是《个人信息保护法》规定的一项法定的、前置性义务，要求个人信息处理者在开展高风险个人信息处理活动之前（如向境外提供个人信息、处理敏感个人信息等），评估个人信息处理目的和处理方式、对个人权益的影响及安全风险、采取的保护措施的有效性等，以更进一步防范高风险个人信息处理活动可能带来的影响。并且，个人信息保护影响评估报告和处理情况记录应当至少保存三年。《认证办法》重申了这一要求，并针对跨境场景明确了PIA的重点评估内容（具体见下表）。

PIA由个人信息处理者自行开展，但是是申请个人信息出境保护认证的重点内容之一，能够全面、充分反映个人信息出境是否能够满足保护要求。《认证办法》细化了《个人信息保护法》有关PIA的评估要求，安全风险包含了国家安全、公共利益和个人信息权益，境外接收方的保护能力和保护水平应当作为评估的重点。对比而言，欧盟在实施GDPR有关跨境的过程中，也十分重视TIA（Transfer Impact Assessment）。TIA与PIA在形式和内容上比较相似，而在具体监督管理过程中，欧盟执法机构会对TIA的内容进行实质性审查，并作为企业跨境传输合法性的主要依据之一。中国虽然还没有相关执法案例，但是从安全评估、标准合同、保护认证等数据出境申请中，亦不难发现PIA的重要性。

（四）向专业机构申请

《认证办法》规定，专业认证机构按照认证基本规范、个人信息保护认证规则开展个人信息出境认证活动。符合认证要求的，专业认证机构应当及时出具认证证书。认证证书的有效期为3年，到期需要继续使用的，个人信息处理者可以在有效期届满前6个月提出认证申请。

目前，官方尚未公布个人信息出境专业认证机构的名单，但参考有关公开资料，个人信息出境认证的参考依据是《网络安全标准实践指南个人信息跨境处理活动安全认证规范》（TC260-PG-20222A），申请认证需要提供个人信息主体的基本信息，个人信息规模，拟出境个人信息的规模、性质和用途，跨境业务流程、数据流图及描述，跨境业务涉及的组织机构图或职能表述文件等材料。

五、对企业合规的启示

近期，国家互联网信息办公室再次举办数据跨境流动政策座谈会，组织在华外资企业座谈[64]。会上，相关专业机构负责同志就个人信息出境认证标准规范进行解读。这表明监管侧将推动保护认证的方式有效落地，充实中国数据出境的方式途径，为相关企业特别是外资跨国企业开展数据跨境活动提供法治上的便利。

整体来看，保护认证的方式为企业提供了灵活合规路径，能够帮助企业统筹降低合规成本。《认证办法》作为《个人信息保护法》框架下的配套制度，为数据出境的企业提供了更灵活的合规选择。相比安全评估，认证路径在程序上更简化，适用于出境个人信息量不大、数据敏感程度较低的场景。相比标准合同，认证路径在一定程度上代表了官方的认可，且可以在多场景、多境外接收方情形下一次性认证而实现数据出境目的。

（一）保护认证的方式可以推动企业建立系统化的数据合规体系

根据《关于实施个人信息保护认证的公告》[65]，个人信息出境认证是个人信息保护认证的一种，适用于数据跨境场景。认证机制要求企业不仅满足一次性合规要求，还需建立持续的数据保护机制，如跨境数据处理活动的安全管理制度、风险评估机制、用户信息保护制度等。这可以帮助企业从“被动合规”转向“主动治理”，推动内部数据合规体系的系统化建设。

（二）保护认证的方式有望提升企业在国际业务中的合规竞争力

通过认证的企业可被视为具备较高数据保护能力，有助于增强其在国际业务中的信誉与竞争力。中国正在积极推动DEPA、RCEP等区域性合作机制中的跨境数据流动安排，也在积极展开与欧盟等国家和地区的数字经济发展对话。未来，很有可能通过这些双边、多边合作机制，推动认证结果的采信、互认，从而使得认证成为企业开展国际业务数据合规能力的有效证明。

（三）即便通过保护认证，企业也不宜忽视持续合规义务

《认证办法》中明确，国家市场监督管理部门和国家网信部门对个人信息出境认证活动进行监督，开展定期或者不定期的检查。任何组织和个人发现获证个人信息处理者违法向境外提供个人信息的，可以投诉、举报。省级以上网信部门和有关部门发现获证个人信息处理者个人信息出境活动存在较大风险或者发生个人信息安全事件的，可以依法约谈并要求其整改、消除隐患。因此，保护认证并非“一劳永逸”，企业需建立持续合规机制，防范监管风险。

总而言之，《认证办法》的出台预示着中国数据出境管理将进入全面落实和执行的阶段，中国丰富的数据出境合规路径为跨国经营企业的数据出境提供了灵活、系统的合规选项。建议相关企业将其视为优化内部数据治理结构、提升跨境业务合规竞争力的契机，而非被动应付的负担，从而在数字全球化背景下，构建坚实可靠的数据合规能力，提升数字经济企业核心竞争力。

脚注：

[1] 参见：《个人信息出境认证办法》答记者问_中央网络安全和信息化委员会办公室

[2] 参见：数据出境安全管理政策问答（2025年4月）_中央网络安全和信息化委员会办公室

[3] 企业在商务谈判、进出口贸易等一般性商业活动中产生的数据除外。

[4] 已由气象等相关部门公开发布的数据除外。

[5] 已单项公开但未按照区域、行业统计整理后公开的数据纳入清单管理。

[6] 已由水利等相关部门公开发布的数据除外。

[7] 已由自然资源等相关部门公开发布的数据除外。

[8] 企业在商务谈判、进出口贸易等一般性商业活动中产生的数据除外。

[9] 已由统计等相关部门公开发布的数据除外。

[10] 已由广电等相关部门公开发布的行业管理数据除外。

[11] 描述中的“一定规模” “一定范围” “一定规模”的具体要求以应急管理等相关部门发布的政策文件为准。

[12] 已依法公开的知识产权数据除外。

[13] 本清单适用的汽车企业包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等，自动驾驶领域相关企业不适用本清单。

[14] 已在工信部备案，并通过相关安全技术措施处理，可确保升级包数据不被篡改的情形除外。

[15] 纳入出口管制或技术出口管理事项的数据中，需履行《出口管制法》等相关法律法规规定的出口许可申请义务的，不适用本清单。

[16] 需要通过其他合法合规路径出境。已履行《人类遗传资源管理条例实施细则》中第四章“行政许可与备案”义务的除外。

[17] 需要通过数据出境安全评估。

[18] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[19] 需要通过数据出境安全评估出境。

[20] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[21] 需要通过数据出境安全评估出境。

[22] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[23] 需要通过数据出境安全评估出境。

[24] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[25] 本清单所称国际航运仅涉及运输和港口作业生产相关场景，数据参照《公路水路交通运输数据分类分级指南》所列水路交通领域港口生产、水路运输服务等数据类别。其中涉及国家自然资源、基础地理信息等影响国家安全的核心数据不在允许数据跨境流动范围之内。

[26] 需要通过数据出境安全评估出境。

[27] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[28] 需要通过数据出境安全评估出境。

[29] 本清单所称船员管理场景，是指出于国际海员服务、海员外派等目的，结合各国出入境管理要求，船舶公司进行国际航运前对船员进行身份鉴别、资质审核等相关操作的场景。

[30] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[31] 需要通过数据出境安全评估出境。

[32] 本清单所称会员管理场景，是指通过收集和分析顾客信息，提供个性化服务和优惠，以增强顾客忠诚度的一种管理活动。

[33] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[34]本清单适用于海南自由贸易港内的深海行业企业包括但不限于：深海资源勘探开发企业、海洋工程装备制造企业等。本清单不适用于科研机构为基础研究目的所产生的科研数据，科研机构开展基础研究所获取的深海科研数据的管理，按照科技部门相关规定执行。

[35] 本清单适用于海南自由贸易港内的航天商业活动企业包括但不限于：航天器研制企业、卫星运营企业、航天技术应用企业、商业航天公司、深空探测机构等。本清单不适用于科研院所承担国家科技计划项目产生的科研数据。此类数据按照行业主管部门相关规定执行。

[36] 限定数据接收国仅可用于本国区域，不得向第三国转让。

[37] 本清单适用于海南自由贸易港内的商业种业企业包括但不限于：种子企业、种质资源保护单位、种子检验机构等。国家科技计划项目等公共财政支持的种业科研活动所产生的科研数据，按照科技主管部门相关规定执行。

[38] 需要通过数据出境安全评估出境。

[39] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[40] 需要通过数据出境安全评估出境。

[41] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[42] “ 国家重大攻关的核心技术”“国家关键技术” 可参照国家科学和技术发展规划、国家科技创新规划等文件中划定的关键核心技术种类，或关系到国计民生和国家安全的重要技术本业务场景的重要数据不含设计成品的型号、编码、类型等属性数据。

[43] “ 汽车关键零部件和系统” 可参照《产业结构调整指导目录（ 2024年本）》第一类第十六条中列明的种类。

[44] 特种汽车是指装备有专用设备，可能被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力的车辆，如警用车、运兵车等。

[45] 军事管理区是指设有较重要军事设施或者军事设施安全保密要求较高、具有较大危险因素，需要国家采取特殊措施加以保护，依照法定程序和标准划定的军事区域。国防科工单位是指负责国防科技工业管理的行政机关和单位。其他敏感重要机构参考：包括关键信息基础设施运营者在内的重点行业企业、公共服务机构、权威专业机构等。

[46] 矢量数据包含道路、地形、地貌等精确信息，具有高精度和详细的地理信息描述能力。

[47] 位置轨迹是指车辆的经纬度、高程等数据。

[48] 车辆测试过程中绘制的高精地图和静态地图数据，收集的结构化时空数据以及区域敏感数据、GNSS 数据、重要目标地理位置数据等。

[49] 特定行业是指与汽车行业国际竞争力、国家安全和经济运行等相关的行业。

[50] 充电网是指，由变配电设备、电力电子能量转换和分配设备、智能调度控制系统及大数据和云计算平台组成的有机系统。

[51] 本业务场景的重要数据不含与数字钥匙功能安全、网络安全、车辆防盗等无关的数据。

[52] 本业务场景的重要数据不含与车端决策的功能安全、网络安全等无关的数据

[53] 本业务场景的重要数据不含已按照国家有关规定要求处理的外部环境感知数据。

[54] 需要通过其他合法合规路径出境。

[55] 需要通过数据出境安全评估出境。

[56] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[57] 需要通过数据出境安全评估出境。

[58] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[59] 需要通过数据出境安全评估出境。

[60] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[61] 需要通过数据出境安全评估出境。

[62] 需要通过个人信息出境标准合同备案、个人信息保护认证出境。

[63] 数据出境安全管理政策问答（2025年10月）_中央网络安全和信息化委员会办公室

[64] 参见：国家互联网信息办公室举办在华外资企业数据跨境流动政策座谈会_中央网络安全和信息化委员会办公室

[65] 参见：关于实施个人信息保护认证的公告_中央网络安全和信息化委员会办公室

原标题：三尺之律四海之人——数据出境监管政策体系结构及实务操作指南（含自贸区数据出境负面清单全量梳理），兼解读《个人信息出境认证办法》

（来源：金杜研究，作者：宁宣凤、吴涵、方禹）

声明：本篇文章的所有内容仅供参考与交流，不代表金杜律师事务所的法律意见以及对法律的解读。