AI出海（第三期 上）：數據出境合規

第三期

數據出境合規

評估路徑·標準合同·數據治理

本期內容概覽

一、數據出境監管框架：法律體系與核心概念

二、數據出境安全評估：適用情形與申報流程

三、個人信息出境標準合同：簽署要點與實操

四、個人信息保護認證：適用場景與申請路徑

五、數據分類分級與跨境治理體系建設

六、典型合規場景與AI企業實操建議

2026年4月 · 中國AI企業出海合規系列第三期 · 本報告僅供參考，不構成正式法律意見

導言

數據出境合規是中國AI企業出海的核心法律挑戰之一。隨著《網絡安全法》《數據安全法》《個人信息保護法》三法體系的逐步完善，以及國家互聯網信息辦公室（網信辦）相關配套規則的密集出臺，數據出境的合規路徑已從籠統原則走向精細化制度安排。

本期培訓聚焦AI企業在數據出境過程中最常面對的三條合規路徑——安全評估、標準合同（SCCs）與個人信息保護認證——并結合數據治理體系建設要求，系統梳理各路徑的適用條件、操作流程和實務要點，幫助企業建立清晰、可執行的數據出境合規管理體系。

一

數據出境監管框架：法律體系與核心概念

1.1 三法聯動：數據出境的法律基礎

中國數據出境合規的核心法律依據來自三部基礎性法律及其配套規定，共同構成監管框架：

項目

《網絡安全法》(2017)

確立關鍵信息基礎設施運營者數據本地化義務；個人信息和重要數據須在境內存儲，確需出境的須經安全評估

《數據安全法》(2021)

確立數據分類分級制度；對重要數據出境實施更嚴格管控；明確數據出境須符合國家數據安全管理制度

《個人信息保護法》(2021)

系統規定個人信息跨境提供規則；明確三條合規路徑（安全評估、標準合同、認證）；賦予個人信息主體跨境同意權

主要配套規則及實施文件包括：

• 《數據出境安全評估辦法》（網信辦，2022年9月施行）

• 《個人信息出境標準合同辦法》（網信辦，2023年6月施行）

• 《個人信息保護認證實施規則》（市場監督總局/網信辦，2022年11月）

• 《促進和規范數據跨境流動規定》（網信辦，2024年3月施行，新增重要豁免規定）

• 數據出境相關國家標準（GB/T 35273等）

1.2核心概念界定

準確把握以下核心概念，是正確適用數據出境合規要求的前提：

項目

數據出境

將在中華人民共和國境內運營中收集和產生的數據，提供給境外接收方的活動，包括向境外機構、組織、個人提供，以及存儲于境外服務器

個人信息

以電子或其他方式記錄的，與已識別或可識別的自然人有關的各種信息，但不包括匿名化處理后的信息

敏感個人信息

生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息

重要數據

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據（須依據行業目錄認定）

數據處理者

在數據出境合規語境中，指決定數據處理目的和方式的自然人或組織，即出境方義務主體

境外接收方

境外的數據處理者或個人信息處理者，承擔接收、存儲、使用出境數據的主體責任

1.3 三條合規路徑總覽

根據《個人信息保護法》第三十八條，個人信息處理者向境外提供個人信息須滿足以下路徑之一：

合規路徑

核心特征

主管部門

數據出境安全評估

適用強制情形；由政府主導審查；周期較長；通過后有效期2年

國家互聯網信息辦公室（網信辦）

個人信息出境標準合同

企業自主簽署后向主管部門備案；靈活性較高；有效期與合同同期

省級網信部門（備案）

個人信息保護認證

第三方認證機構認證；適用跨國公司集團內傳輸；有效期3年可續

具備資質的認證機構

[重要提示] 2024年3月施行的《促進和規范數據跨境流動規定》新增了重要豁免情形。AI企業應首先判斷是否適用豁免，再決定走哪條合規路徑，以降低合規成本和周期。

二

數據出境安全評估：適用情形與申報流程

2.1 安全評估的強制適用情形

根據《數據出境安全評估辦法》第四條，以下情形須向網信辦申請數據出境安全評估，不得以其他路徑替代：

觸發情形

具體標準

AI企業典型場景

重要數據出境

處理者向境外提供重要數據（任何數量）

AI訓練數據涉及金融、醫療、地圖等重要行業數據

關基運營者出境

關鍵信息基礎設施運營者出境任何個人信息

運營關鍵信息基礎設施的AI企業

大規模個人信息處理者

處理100萬人以上個人信息的處理者

用戶基數大的消費類AI產品、平臺

累計數量觸發閾值

自上年1月1日起累計向境外提供超10萬人個人信息或超1萬人敏感個人信息

跨境數據流動頻繁的AI平臺

[數量計算口徑] 安全評估觸發閾值按自然年度累計計算，每年1月1日重新起算。企業須建立跨境數據臺賬，持續監控累計出境數量，防止在不知情情況下觸發安全評估義務。

2.22024年新規豁免情形

《促進和規范數據跨境流動規定》（2024年3月）新增以下豁免情形，符合條件的數據出境活動無需申請安全評估、簽署標準合同或通過認證：

• 國際貿易、學術合作、跨國生產制造和市場營銷等活動中確需向境外提供數據，且不含個人信息或重要數據的

• 向境外提供個人信息，每次不超過1000人且累計不超過1萬人（低于此前標準合同適用門檻）

• 在中國境內申請出境的數據，其數據處理者和境外接收方均為同一法律實體（即同一主體內部傳輸）

• 為訂立或履行個人作為一方當事人的合同所必需提供的個人信息

• 為保護自然人生命健康和財產安全所必需的緊急情形

[實務提示]豁免路徑并非免除所有合規義務——企業仍須履行個人信息保護基礎義務（如告知同意、最小必要原則），且須保留豁免適用的書面依據，以備監管核查。

2.3安全評估申報流程詳解

數據出境安全評估申報須歷經以下主要階段，整體周期通常為3至6個月：

01

自評估階段

數據處理者在申報前須完成內部自評估，重點評估：數據出境目的合法性、境外接收方數據保護能力、出境數據被再次轉移的風險及個人信息權益保障措施

02

材料準備階段

準備并提交申報材料包，包括：申報書、自評估報告、數據出境合同（草案）、個人信息清單、境外接收方基本情況說明等

03

網信辦受理審查

網信辦收到完整材料后7個工作日內決定是否受理；受理后進入45個工作日評估期（復雜情形可延長15個工作日）

04

補充材料與修改合同

評估期間網信辦可要求補充材料或修改合同內容；企業須在規定期限內回應，否則視為撤回申請

05

出具評估結果

評估通過后出具書面結論，有效期2年；評估不通過須停止相關數據出境活動并整改

[重要提示]2年有效期屆滿前60個工作日內，如仍需繼續出境，須重新申請評估。有效期屆滿后繼續出境數據的，屬于違規行為，面臨警告、罰款及停止出境業務等處罰。

2.4自評估報告核心要素

自評估報告是安全評估申報的核心文件，須覆蓋以下要素，建議在專業律師和數據保護專家協助下完成：

評估模塊

核心評估內容

AI企業重點關注

出境目的與合法性

出境數據的具體用途、法律依據、是否符合最小必要原則

AI模型訓練/推理數據的合法性基礎

數據基本情況

出境數據類型、數量、敏感程度、涉及人群特征

訓練數據集中個人信息的識別與分類

境外接收方評估

接收方所在地數據保護法律水平、接收方安全保護能力

境外云服務商、研發中心的數據安全資質

再轉移風險

數據被進一步轉移的可能性及限制措施

接收方是否會向第三國轉移訓練數據

權益保障措施

個人信息主體權利的行使機制

投訴受理、刪除更正請求的跨境響應機制

應急處置能力

數據泄露后的應急預案和響應能力

AI系統數據泄露的特殊處置機制

三

個人信息出境標準合同：簽署要點與實操

根據《個人信息出境標準合同辦法》，企業采用標準合同路徑須同時滿足以下條件：

• 不屬于關鍵信息基礎設施運營者；

• 處理個人信息不滿100萬人；

• 自上年1月1日起累計向境外提供個人信息不滿100萬人；

• 自上年1月1日起累計向境外提供敏感個人信息不滿1萬人。

同時滿足上述條件且不觸發安全評估強制要求的，企業可選擇與境外接收方簽署標準合同，并向省級網信部門備案。

[條件判斷順序]企業應首先判斷是否觸發安全評估強制情形（第二章），再判斷2024年豁免規定是否適用，最后才考慮標準合同路徑。標準合同和安全評估并非平行選項，存在明確的適用優先級。

3.2標準合同的結構與必備條款

網信辦發布的標準合同文本為強制性格式，不得刪減或修改必備條款，但允許在合同附件中補充約定。標準合同由正文和附件兩部分組成：

3.2.1合同正文必備條款

條款模塊

條款要求

重點說明

數據處理者義務

告知、目的限制、最小必要、數據質量保障

須與隱私政策保持一致，不得相互矛盾

境外接收方義務

按約定目的處理、安全技術措施、合作接受監督

不得單方擴大處理目的

個人信息主體權利

知情、訪問、更正、刪除、撤回同意等

須提供中文和接收方所在地語言版本

數據安全事件處置

泄露通知時限（72小時內告知處理者）、補救措施

須建立專項事件響應預案

合同終止處置

數據刪除/返還義務、留存期限說明

須明確終止后數據的處理方式

爭議解決

適用法律和爭議管轄

建議約定中國法律及中國仲裁機構管轄

第三方受益人條款

賦予個人信息主體直接向接收方主張權利的資格

是標準合同的創新性條款，須認真理解

3.2.2 附件中可補充約定的內容

• 出境個人信息的具體類型、數量和目的（須詳細列明，不得籠統描述）

• 境外接收方的具體技術和組織安全措施（如加密標準、訪問控制機制）

• 再轉移限制條件（如需轉移須事先書面獲得數據處理者同意）

• 各方在數據保護方面的具體責任分配

• 與業務合同（MSA/SOW等）的銜接關系

3.3備案流程與時間節點

標準合同簽署完成后，須于合同生效之日起10個工作日內向數據處理者所在地省級網信部門完成備案：

1.通過省級網信部門指定渠道提交備案申請（多數省份已開通網上備案系統）

2.提交材料：備案申請表、簽署完成的標準合同全文、個人信息保護影響評估報告（PIPIA）

3.省級網信部門收到完整材料后15個工作日內完成備案登記（有疑問的可要求補充說明）

4.取得備案憑證后，數據出境活動方可正式開展

[重要提示]個人信息保護影響評估報告（PIPIA）是備案的必要文件，不可缺失。PIPIA須覆蓋處理目的、處理方式、數據安全風險及緩解措施等核心內容，建議在標準合同簽署前即同步開展評估工作。

3.4個人信息保護影響評估（PIPIA）實操要點

PIPIA是標準合同備案和安全評估申報的雙重核心文件，須重點關注以下評估維度：

項目

處理目的合法性

評估數據出境的具體目的是否具有充分的法律依據（合同履行、合規義務、正當利益等）

數據最小化

評估出境數據的類型和數量是否限于實現目的所必需，是否可通過匿名化或假名化減少出境量

接收方安全能力

評估境外接收方的技術安全措施、組織管理體系及所在國數據保護法律水平

再轉移控制

評估數據被境外接收方進一步轉移的風險及合同約定的限制和監督措施

個人權利機制

評估個人信息主體如何跨境行使知情、訪問、更正、刪除等權利，投訴響應渠道是否有效

風險緩解措施

針對識別出的風險，評估擬采取的技術措施（加密、脫敏）和管理措施（訪問控制、審計）的充分性

免責聲明：本報告僅供一般信息參考之用，不構成正式法律意見，不應被用作處理任何具體法律事務的依據。如需就具體法律問題獲得專業意見，請咨詢具有相關執業資質的律師。

未完待續

（本文僅代表作者觀點，不代表知產力立場）

封面來源 | AI