近期值得关注的数据出境监管案例

近年来，我国数据出境法律体系逐步完善落地，监管执法也持续加强。2024年3月，国家网信办发布《促进和规范数据跨境流动规定》（以下简称“《跨境规定》”），梳理并明确规定数据出境合规路径适用情形、以及相关豁免场景。同年9月国务院发布了《网络数据安全管理条例》（“以下简称《网数条例》”）并于2025年1月1日实施，进一步明确数据处理者在数据出境过程中的安全管理义务和监管要求。

2025年，国家网信办先后发布三批《数据出境安全管理政策问答》，对数据出境合规路径豁免场景的理解、出境必要性的判断方法、重要数据出境等多个实践之中的常见问题进行解答。此外，地方网信部门也相继发布了数据出境相关指导。另外，多地的自贸区，如北京、上海、海南、重庆等相继发布了数据出境管理清单（负面清单）。

在执法方面，公安网安部门依法查处某知名跨国企业未通过安全评估、订立标准合同或通过认证，违规向境外总部传输用户个人信息，向境外总部提供信息前未向用户充分告知且未取得单独同意, 以及未对收集的个人信息采取加密、去标识化等安全技术措施。此外，国家计算机病毒应急处理中心也曾通报APP检测之中发现的违规行为包括“向中国境外提供个人信息的，未向个人告知出境事项并取得个人的单独同意”。

2026年1月，上海网信办公开发布了一批数据合规执法典型案例，其中涉及两起违法违规数据出境的处罚案例，具有较高警示意义。

第一个案例为某酒店管理企业违法违规出境用户数据。该企业因酒店在线上预定场景涉及数据出境，向网信部门申报了数据出境安全评估。在收到网信办《评估结果通知书》告知出境必要性不足的情况下，其并未进行整改，而是持续违规出境个人信息。网信部门认定其行为违反《个人信息保护法》（以下简称“《个保法》”）和《网数条例》有关规定，责令其限期改正并予以罚款，不过具体罚款数额未公布。

第二个案例为某物业管理企业违法违规出境用户数据。该企业运营的APP主要帮助用户管理会员账号和预订，办理入住手续。但其在未申报安全评估、订立标准合同、通过个人信息保护认证的情况下，自行向境外提供用户住宿信息，且包含金融账户等敏感个人信息。网信部门认定其行为违反《个保法》和《网数条例》，责令其限期改正并进行警告，但未处以罚金。

从这两个案例来看，第一个案例核心问题是企业在被告知因出境必要性不足导致评估未通过的结果后，却并未重视该等评估结果仍继续违规出境信息。第二个案例则在于企业在完全未履行任何法定出境手续的情况下擅自出境个人信息。

随着数据出境的相关监管体系和要求的逐步完善落地以及相关监管执法的持续深化，对于存在数据出境行为，但尚未完全履行合规义务的企业，需尽快全面梳理数据跨境传输情况，系统排查出境数据的类型、路径等，完成数据出境必要性与合法性的分析，确保出境具备合法基础，并推进个人信息保护影响评估等工作，尽快完成合规整改。

对于此前已经进行过数据出境合规工作的企业，建议也需自查数据跨境场景是否发生实质性变化，对于新增或已变更的数据出境场景，也应完整履行合规义务，并按照最新监管要求自查漏洞、及时整改。

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。