數據出境安全管理政策問答（2025年10月）

國家互聯網信息辦公室持續加強數據出境安全管理政策宣貫，指導和幫助數據處理者高效合規開展數據出境活動。經對近期收到的咨詢問題進行研究，現將一些有代表性的問題和答復公布如下。

1.《促進和規范數據跨境流動規定》明確了“跨境購物、跨境寄遞、......、考試服務等”豁免場景，其中“等”字應如何準確理解？

答：《促進和規范數據跨境流動規定》第五條第一款第（一）項規定，“為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的可免予安全評估、訂立合同或認證”，此處“等”字理解為可以納入豁免情形的，不限于以上所列情形。

但需注意的是，豁免場景必須同時滿足兩個條件：

1）系為訂立、履行個人作為一方當事人的合同；

2）確需向境外提供個人信息，此處可根據有關法律法規、規章、規范性文件、國家標準和實際出境場景等對最小必要個人信息范圍進行判斷。

同時，根據《促進和規范數據跨境流動規定》第十條，數據處理者向境外提供個人信息的，應當按照法律、行政法規的規定履行告知、取得個人單獨同意、進行個人信息保護影響評估等義務。

2.酒店行業中“境內個人預定境內酒店”的數據是否符合《促進和規范數據跨境流動規定》第五條豁免場景？

答：根據《促進和規范數據跨境流動規定》第五條，酒店企業在境內個人預定境內酒店時出境個人信息不符合“為訂立、履行個人作為一方當事人的合同，確需向境外提供個人信息”的情形，不免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

3.向境外提供員工的身份證、護照和銀行賬戶是否適用于豁免規定“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的”范疇？

答：根據《促進和規范數據跨境流動規定》第五條第一款第（二）項，“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息”的情形免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。數據處理者為實施人力資源管理所必需處理個人信息，要按照依法制定的勞動規章制度和依法簽訂的集體合同實施。勞動規章制度和集體合同中的相關規定和約定應當遵守個人信息處理的原則和規則，特別是要符合必要、目的明確、最小化處理等原則，只能處理與實施人力資源管理目的直接相關的個人信息，采取對個人權益影響最小的方式。身份證、護照、銀行賬戶等員工個人信息是否屬于“確需”范圍，應從上述角度進行具體判斷。

4.數據處理者在被告知有“重要數據”后應當在兩個月內通過所在地省級網信部門向國家網信部門申報數據出境安全評估，是否可以提供更多時間和靈活性？

答：數據處理者被告知掌握重要數據或者掌握的數據被公開發布為重要數據后，如需繼續開展相關數據出境活動的，應當在被告知或者公開發布后2個月內，通過所在地省級網信部門向國家網信部門申報數據出境安全評估。如出境場景復雜度較高、所需準備評估材料時間較長，建議數據處理者在重要數據識別認定期間，同步梳理業務場景，并準備相關申報材料，在重要數據被認定告知后，抓緊按程序申報數據出境安全評估。

5.《數據出境安全評估申報指南（第三版）》中“數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出”的“境外”是指什么？

答：“數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出”的“境外”是指數據訪問或調用行為發生在境外。境外機構、組織的工作人員在境內查詢、調取、下載、導出調用數據處理者存儲在境內的數據、沒有將數據傳輸至境外，不屬于數據出境活動。

6.數據出境場景、接收方均不變，但系統可能會升級或者更換，數據處理者是否需要重新申報數據出境安全評估？

答：根據《數據出境安全評估辦法》第十四條規定，在有效期內出現以下情形之一的，數據處理者應當重新申報評估：（一）向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的，或者延長個人信息和重要數據境外保存期限的；（二）境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的；（三）出現影響出境數據安全的其他情形。

如數據處理者調整數據出境相關系統，需按照相關條款規定進行判斷，如未出現上述情形，則無需重新申報數據出境安全評估。

7.個人信息處理者開展的業務活動涉及持續出境個人信息的情況，需要多次進行個人信息出境標準合同備案嗎？

答：個人信息處理者開展的業務活動如僅涉及同一境外接收方，且預計每年出境個人信息的數量符合訂立標準合同的規定條件，可在合理預測出境個人信息數量基礎上備案一次合同。如果自當年1月1日起累計出境個人信息數量達到申報數據出境安全評估的規定條件，個人信息處理者應當通過所在地省級網信辦向國家網信辦申報安全評估。

8.個人信息處理者完成個人信息出境標準合同備案后，在什么情形下需要重新訂立標準合同，完成備案后因業務發展需要新增少量個人信息出境場景，該如何處理？

答：《個人信息出境標準合同辦法》第八條規定，“在標準合同有效期內出現下列情形之一的，個人信息處理者應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同，并履行相應備案手續：（一）向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化，或者延長個人信息境外保存期限的；（二）境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的；（三）可能影響個人信息權益的其他情形”。

完成備案后，若新增個人信息出境場景符合上述情形之一，則應當重新開展個人信息保護影響評估，補充或者重新訂立標準合同并履行備案義務。

9.境外接收方可以將個人信息處理者通過訂立個人信息出境標準合同方式出境的個人信息再提供給境外第三方嗎？

答：如境外接收方需將個人信息處理者通過訂立個人信息出境標準合同方式出境的個人信息提供給境外第三方，個人信息處理者和境外接收方在訂立個人信息出境標準合同時，應在個人信息出境標準合同范本的附錄一《個人信息出境說明》“（六）境外接收方只向以下中華人民共和國境外第三方提供個人信息（如適用）”部分予以說明。

10.《個人信息出境認證辦法》施行后，相關認證參照的依據和標準主要是？

答：認證機構開展個人信息出境認證、相關企業申請個人信息出境認證，參照的依據和標準主要是2022年11月公布的《關于實施個人信息保護認證的公告》以及國家標準《數據安全技術 個人信息跨境處理活動安全認證要求》（GB/T 46068-2025）。此外，落實《個人信息出境認證辦法》規定，國家互聯網信息辦公室將按程序公示相關專業認證機構，具體公示信息請及時關注中國網信網。

審 核：琳 琳

主 編：云 涌

編 輯：阿 杰

來 源：“網信中國”微信公眾號

主辦單位：中共成都市雙流區委網絡安全和信息化委員會辦公室