數據出境主要指在中國境內的數據處理者通過網絡及其他方式（如物理攜帶），將其在中國

境內運營中收集和產生的數據，通過直接提供或開展業務、提供服務和產品等方式提供給境

外組織或個人的一次性活動或連續性活動。

數據出境的主要情形

　　數據出境主要有以下三類情形：一是向本國境內機構提供數據，但該機構不屬于本國司

法管轄，如大使館就屬于使館所在國的國家領土，不屬于派遣國的國家領土；二是數據未轉

移存儲至本國以外的地方，但可以被境外的組織、個人訪問查看，不包括公開的數據和通過

網頁訪問的數據；三是數據處理者集團內部數據由境內轉移至境外，其中涉及其在境內運營

中收集和產生的數據。

　　但是以下兩種情形不屬于數據出境：一是非在境內運營中收集和產生的數據經由本國出

境，且數據未經任何加工處理；二是非在境內運營中收集和產生的數據，但在境內存儲、加

工處理后出境，不涉及境內運營中收集和產生的數據。

我國數據出境的主要法律規則

　　目前，我國數據出境的法律規則主要源于《網絡安全法》《數據安全法》《個人信息保

護法》這三大基礎性法律。

　　2017年6月1日正式施行的《網絡安全法》第三十七條規定了向境外提供數據的法律規則

，即“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重

要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務

院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定”。這是我

國首條以法律的形式確立數

據出境需要進行安全評估的規定，該規定有兩層含義，一是關鍵信息基礎設施的運營者在國

內收集和產生的個人信息和重要數據應當在境內存儲；二是因業務需要，確需向境外提供的

，應當依法進行安全評估。

　　2021年9月1日施行的《數據安全法》是我國首部數據安全領域的基礎性立法，該法第三

十一條確立了數據出境的基本法律規則，即“關鍵信息基礎設施的運營者在中華人民共和國

境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的

規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理

辦法，由國家網信部門會同國務院有關部門制定”。該條對數據出境的法律適用做了分工：

一是關鍵信息基礎設施的運營者收集和產生的重要數據確需出境的，適用《網絡安全法》第

三十七條的規定；二是關鍵信息基礎設施運營者以外的“其他數據處理者”在國內收集和產

生的重要數據出境，適用國家網信辦制定的相關出境安全管理辦法。

　　2021年10月，國家網信辦公布了《數據出境安全評估辦法（征求意見稿）》，其上位

法包括：《網絡安全法》《數據安全法》《個人信息保護法》。根據《數據出境安全評估辦

法（征求意見稿）》的要求，數據處理者向境外提供數據，符合以下五種情形之一的，應當

通過所在地省級網信部門向國家網信部門申報數據出境安全評估：一是關鍵信息基礎設施的

運營者收集和產生的個人信息和重要數據；二是出境數據中包含重要數據；三是處理個人信

息達到一百萬人的個人信息處理者向境外提供個人信息；四是累計向境外提供十萬人以上個

人信息或者一萬人以上敏感個人信息；五是國家網信部門規定的其他需要申報數據出境安全

評估的情形。

　　2021年11月1日施行的《個人信息保護法》詳細確立了個人信息跨境提供的重要規則，

個人信息處理者因業務等需要，確需向境外提供個人信息的，應當具備下列四項條件之一：

一是通過國家網信部門組織的安全評估，即關鍵信息基礎設施運營者和處理個人信息達到國

家網信部門規定數量的個人信息處理者，應當將在境內收集和產生的個人信息存儲在境內，

確需向境外提供的，應當通過國家網信部門組織的安全評估；二是按照國家網信部門的規定

經專業機構進行個人信息保護認證，根據《網絡數據安全管理條例（征求意見稿）》第三十

五條（二）的規定，數據處理者和數據接收方均要通過國家網信部門認定的專業機構進行的

個人信息保護認證；三是按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙

方的權利和義務；四是法律、行政法規或者國家網信部門規定的其他條件。

我國數據出境安全評估的要點

　　目前，我國數據和個人信息出境實施階梯式評估模式，即“自評估”﹢“國家安全評估

”，企業應重點掌握一個“前提”和一個“保障”，即以企業數據出境自評估為前提，以數

據出境的國家安全審查為保障的數據出境安全評估機制。

　　自評估的合規要點包括：數據出境及境外接收方處理數據的目的、范圍、方式等的合法

性、正當性、必要性；出境數據的數量、范圍、種類、敏感程度，數據出境可能對國家安全

、公共利益、個人或者組織合法權益帶來的風險；數據處理者在數據轉移環節的管理和技術

措施、能力等能否防范數據泄露、毀損等風險；境外接收方承諾承擔的責任義務，以及履行

責任義務的管理和技術措施、能力等能否保障出境數據的安全；數據出境和轉移后泄露、毀

損、篡改、濫用等的風險，個人維護個人信息權益的渠道是否暢通等；與境外接收方訂立的

數據出境合同是否充分約定了數據安全保護責任和義務。

　　國家安全評估的審查要點包括：數據出境的目的、范圍、方式等的合法性、正當性、必

要性；境外接收方所在國家或者地區的數據安全保護政策法規及網絡安全環境對出境數據安

全的影響；境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規規定和強制

性國家標準的要求；出境數據的數量、范圍、種類、敏感程度，出境中和出境后泄露、篡改

、丟失、破壞、轉移或者被非法獲取、非法利用等風險；數據安全和個人信息權益是否能夠

得到充分有效保障；數據處理者與境外接收方訂立的合同中是否充分約定了數據安全保護責

任和義務；遵守中國法律、行政法規、部門規章情況；國家網信辦認為需要評估的其他事項。