数据出境安全管理政策问答（2025年10月）

数据出境安全管理政策问答（2025年10月）

  国家互联网信息办公室持续加强数据出境安全管理政策宣贯，指导和帮助数据处理者高效合规开展数据出境活动。经对近期收到的咨询问题进行研究，现将一些有代表性的问题和答复公布如下。

  1.《促进和规范数据跨境流动规定》明确了“跨境购物、跨境寄递、......、考试服务等”豁免场景，其中“等”字应如何准确理解？

  答：《促进和规范数据跨境流动规定》第五条第一款第（一）项规定，“为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的可免予安全评估、订立合同或认证”，此处“等”字理解为可以纳入豁免情形的，不限于以上所列情形。

  但需注意的是，豁免场景必须同时满足两个条件：

  1）系为订立、履行个人作为一方当事人的合同；

  2）确需向境外提供个人信息，此处可根据有关法律法规、规章、规范性文件、国家标准和实际出境场景等对最小必要个人信息范围进行判断。

  同时，根据《促进和规范数据跨境流动规定》第十条，数据处理者向境外提供个人信息的，应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。

  2.酒店行业中“境内个人预定境内酒店”的数据是否符合《促进和规范数据跨境流动规定》第五条豁免场景？

  答：根据《促进和规范数据跨境流动规定》第五条，酒店企业在境内个人预定境内酒店时出境个人信息不符合“为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息”的情形，不免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

  3.向境外提供员工的身份证、护照和银行账户是否适用于豁免规定“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的”范畴？

  答：根据《促进和规范数据跨境流动规定》第五条第一款第（二）项，“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息”的情形免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者为实施人力资源管理所必需处理个人信息，要按照依法制定的劳动规章制度和依法签订的集体合同实施。劳动规章制度和集体合同中的相关规定和约定应当遵守个人信息处理的原则和规则，特别是要符合必要、目的明确、最小化处理等原则，只能处理与实施人力资源管理目的直接相关的个人信息，采取对个人权益影响最小的方式。身份证、护照、银行账户等员工个人信息是否属于“确需”范围，应从上述角度进行具体判断。

  4.数据处理者在被告知有“重要数据”后应当在两个月内通过所在地省级网信部门向国家网信部门申报数据出境安全评估，是否可以提供更多时间和灵活性？

  答：数据处理者被告知掌握重要数据或者掌握的数据被公开发布为重要数据后，如需继续开展相关数据出境活动的，应当在被告知或者公开发布后2个月内，通过所在地省级网信部门向国家网信部门申报数据出境安全评估。如出境场景复杂度较高、所需准备评估材料时间较长，建议数据处理者在重要数据识别认定期间，同步梳理业务场景，并准备相关申报材料，在重要数据被认定告知后，抓紧按程序申报数据出境安全评估。

  5.《数据出境安全评估申报指南（第三版）》中“数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”的“境外”是指什么？

  答：“数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出”的“境外”是指数据访问或调用行为发生在境外。境外机构、组织的工作人员在境内查询、调取、下载、导出调用数据处理者存储在境内的数据、没有将数据传输至境外，不属于数据出境活动。

  6.数据出境场景、接收方均不变，但系统可能会升级或者更换，数据处理者是否需要重新申报数据出境安全评估？

  答：根据《数据出境安全评估办法》第十四条规定，在有效期内出现以下情形之一的，数据处理者应当重新申报评估：（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；（三）出现影响出境数据安全的其他情形。

  如数据处理者调整数据出境相关系统，需按照相关条款规定进行判断，如未出现上述情形，则无需重新申报数据出境安全评估。

  7.个人信息处理者开展的业务活动涉及持续出境个人信息的情况，需要多次进行个人信息出境标准合同备案吗？

  答：个人信息处理者开展的业务活动如仅涉及同一境外接收方，且预计每年出境个人信息的数量符合订立标准合同的规定条件，可在合理预测出境个人信息数量基础上备案一次合同。如果自当年1月1日起累计出境个人信息数量达到申报数据出境安全评估的规定条件，个人信息处理者应当通过所在地省级网信办向国家网信办申报安全评估。

  8.个人信息处理者完成个人信息出境标准合同备案后，在什么情形下需要重新订立标准合同，完成备案后因业务发展需要新增少量个人信息出境场景，该如何处理？

  答：《个人信息出境标准合同办法》第八条规定，“在标准合同有效期内出现下列情形之一的，个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续：（一）向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化，或者延长个人信息境外保存期限的；（二）境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的；（三）可能影响个人信息权益的其他情形”。

  完成备案后，若新增个人信息出境场景符合上述情形之一，则应当重新开展个人信息保护影响评估，补充或者重新订立标准合同并履行备案义务。

  9.境外接收方可以将个人信息处理者通过订立个人信息出境标准合同方式出境的个人信息再提供给境外第三方吗？

  答：如境外接收方需将个人信息处理者通过订立个人信息出境标准合同方式出境的个人信息提供给境外第三方，个人信息处理者和境外接收方在订立个人信息出境标准合同时，应在个人信息出境标准合同范本的附录一《个人信息出境说明》“（六）境外接收方只向以下中华人民共和国境外第三方提供个人信息（如适用）”部分予以说明。

  10.《个人信息出境认证办法》施行后，相关认证参照的依据和标准主要是？

  答：认证机构开展个人信息出境认证、相关企业申请个人信息出境认证，参照的依据和标准主要是2022年11月公布的《关于实施个人信息保护认证的公告》以及国家标准《数据安全技术 个人信息跨境处理活动安全认证要求》（GB/T 46068-2025）。此外，落实《个人信息出境认证办法》规定，国家互联网信息办公室将按程序公示相关专业认证机构，具体公示信息请及时关注中国网信网。（来源： 中国网信网）