中国自2017年《网络安全法》(“《网安法》”)首次提出数据出境监管要求以来,逐步完善相关法律法规体系,2023年《促进和规范数据跨境流动办法》出台,2025年《个人信息出境认证办法》落地,已构建起数据出境安全评估、个人信息保护认证、个人信息出境标准合同的完整三路径监管体系,法律也对违规数据出境行为设定了相应的法律责任。
尽管监管框架日趋完善,但目前公开披露的违反数据出境监管要求的执法案例数量仅有四起。这四起案件均发生在2025年,2025年之前的执法案例则付之阙如。例如,2026年1月,上海网信办发布2025年网络数据安全执法典型案例[1],共八起案例中包含两起未落实数据跨境安全管理要求、导致数据违法违规出境的案件,涉及酒店管理、物业管理等重点行业,显示出监管部门对数据出境违规行为的执法方向。
本文将通过梳理我国数据违法违规出境案例,分析违规焦点与监管导向,为企业提供数据出境的合规参考与实践指引,帮助企业规避合规风险、规范数据跨境流动行为。
一、 概述
在当前的法律体系下,涉及数据出境法定义务的法律主要由《网安法》、《数据安全法》(“《数安法》”)和《个人信息保护法》(“《个保法》”)共同组成。同时在行政法规与部门规章层面还包括《网络数据安全管理条例》、《数据出境安全评估办法》与《个人信息出境标准合同办法》。
2017年《网安法》出台,首次提出了关键信息基础设施运营者向境外提供个人信息和重要数据。随后2021年的《数安法》将除关键信息基础设施运营者之外的其他数据处理者出境重要数据的情形纳入数据出境安全监管范畴;《个保法》将出境个人信息的情形纳入监管。并在2022年、2023年分别通过《数据出境安全评估办法》与《个人信息出境标准合同办法》将数据出境安全评估、个人信息出境标准合同备案制度化。随着2023年《促进和规范数据跨境流动办法》的推出,最终确定了数据处理者确需向境外提供重要数据和达到一定标准数量个人信息的,应当通过数据出境安全评估、标准合同备案或个人信息保护认证的合规三路径。(“数据出境三路径”)
而对于违反数据出境合规义务的行政处罚方面,《网安法》并未明确行政处罚形式;《数安法》和《个保法》则区分一般情形和情节严重情形,同时均包括单位责任与个人责任。对于违规出境重要数据的,一般情形可以责令改正、警告、罚款,情节严重的还可以停业整顿乃至吊销执照;对于违规出境个人信息的,责令改正、警告、没收违法所得、终止服务,但并不包括罚款;拒不改正以及情节严重的才能对企业及直接负责人罚款。
尽管立法层面已构建了相对完整的制度体系,但在行政执法层面,目前仍处于探索与起步阶段。执法执行层面,针对数据出境的专项执法行动尚未常态化开展,相比于一般性的网络安全或个人信息保护案件,执法机构针对数据出境行为的执法公开报道也较为鲜见;执法信息公开层面,公开的相关执法案例数量偏少,且行政处罚决定书全文通常未予披露,企业较难通过公开渠道检索、参考可借鉴的类案裁判规则;监管执法尺度层面,数据出境相关监管尺度与执法标准尚未形成统一、明确的规范,执法机构对数据出境行为的监管与执法思路仍处于持续探索、动态调整的过程之中。
二、 典型案例梳理
截至目前,仅公开检索到四起明确涉及数据出境违法行为的案例:
(一) 迪奥(上海)公司未依法履行个人信息保护义务案
该案件是数据泄露事件引发的事后监管。迪奥在2025年5月发现系统出现恶意访问事项,可能存在个人信息泄露风险,并向监管部门报备。2025年7月28日,上海市公安局静安分局行政处罚决定,认定该公司“在传输数据过程中,未做好必要的保护措施”,依据《个保法》处以警告并责令改正。[2]
2025年9月,公安机关进一步披露了本案三项违法事实:(1)未通过数据出境安全评估、未订立个人信息出境标准合同或通过个人信息保护认证,违规向法国总部传输用户个人信息;(2)企业在向境外提供信息前,未向用户充分告知境外接收方的处理方式,未取得用户的“单独同意”,以及(3)未对收集的个人信息采取加密、去标识化等安全技术措施。[3]
该案件是已知案例中首次公开将数据出境违规行为明确纳入行政处罚的案例。从执法部门来看,该案件的处罚机关并非负责数据出境三路径审查的网信部门,而是上海市公安局静安分局,这也体现出来目前我国数据安全执法“九龙治水”的执法常态;从违法行为来看,尽管迪奥存在跨国公司之间传输个人信息的行为,但其在隐私政策的设置、向监管机构报备、采取安全保护措施三方面均未达到中国对个人信息出境的合规要求;从行政处罚结果来看,以改正为主,并未处以没收违法所得或罚款,该违法行为可能并未触及《个保法》中的“情节严重”的情形。
(二) 贵阳市云岩区某企业数据异常跨境传输案
2025年9月,贵阳市云岩区互联网信息办公室公布了一起数据异常跨境传输案例。[4]该案中,企业工作人员在接入公网IP的设备在使用中开启了同步“云数据”存储功能,导致数据传输出境。贵阳市云岩区互联网信息办公室认定该企业未严格遵守数据跨境传输的安全管理规定,履行安全评估与合规审查义务不到位,并对涉事企业进行约谈。最终,该企业被处以行政警告并责令整改。
本案的处罚依据是《网安法》、《数安法》,可以推知,本案可能并不涉及个人信息出境,而可能涉及重要数据。一旦通过“云数据”将重要数据存储于位于境外的云存储服务器上,则构成重要数据出境,需要履行数据出境安全评估义务。
(三) 上海某酒店管理企业违法违规出境用户数据案
该案例是上海网信办发布的2025年网络数据安全执法典型案例之一。该企业从事酒店线上预订时,会将用户的个人信息传输至境外。与前两个案例未履行数据出境三路径合规义务不同,该企业履行了数据出境安全评估的申报程序。但在收到国家网信部门《评估结果通知书》明确指出相关个人信息数据项“出境必要性不足”的情况下,该企业未能采取切实有效措施,仍继续违法违规向境外提供境内自然人个人信息。最终,该企业被责令限期改正并处以罚款。
本案是已公开的四个案例中,唯一被处以罚款的案件。相较于其他案件的未履行数据出境三路径合规义务行为,本案中企业申报后“明知故犯”的行为显然被予以更严厉的处罚。该案体现出对于数据出境项目,网信办既有事前审查,也会进行事后监管,对于企业而言,被明确告知不得出境的数据应当及时本地化存储,否则可能被处以更严重的行政处罚。
(四)上海某物业管理企业违法违规出境用户数据案
该案例是上海网信办发布的另一起2025年网络数据安全执法典型案例。与上一个案例的出境场景相似,本案涉及个人信息出境的是办理酒店预订和会员账户管理的APP。该企业通过其运营的APP在未申报数据出境安全评估、未订立标准合同、未通过认证的情况下,自行向境外提供用户住宿信息及涉及金融账户的敏感个人信息。企业被责令限期改正,并予以警告处罚。
该案例中,公开信息特别指明了本案涉及出境的个人信息包括敏感个人信息,在一定程度上明确了目前数据出境监管的重点。
三、 执法评述
上述四起案例虽然均未公开行政处罚决定,且公布细节有限,但仍可从中窥探我国执法机构的一定执法思路,并为企业提供一定法律风险规避指引。
首先,从行业分布来看,酒店管理行业以及跨国To-C服务提供商的案件占大多数。 这一趋势的核心原因在于此类行业的经营模式中存在大量的个人用户数据上传与传输,天然伴随着高频次、大体量的个人信息采集与跨境传输过程。因此,建议存在大体量数据出境——特别是包含敏感个人信息出境的企业应更加注意数据出境合规义务的履行,及时根据出境数据情况完成对应的数据出境三路径合规要求。
其次,从法律责任来看,一方面,执法实践多采取“责令改正”为主,对于罚款、停业整顿等责任形式的承担案例公布较少;另一方面,对于“明知故犯”可能受到更严厉的处罚。因此,如监管部门已经明确告知企业存在无必要出境数据的情形,应当尽快完成存储本地化的调整。
再次,从执法趋势来看,一方面,监管不拘泥于事前审批,同时也会对数据出境情况进行事后监管;另一方面,已检索到的四起我国公开的数据出境执法案例均在2025年,或意味着,数据出境监管落实已经提上日程,且事前与事后监管并重,未来可能会有更多的执法案例。
综上所述,2025 年以来相关执法案例持续增多,数据合规已从潜在风险转化为企业必须履行的法定义务。对于开展跨境数据传输的企业,应摒弃侥幸心态,严格落实数据出境合规要求,根据适用场景依法完成安全评估、标准合同备案或认证程序;同时需强化数据出境必要性评估,对非必要出境数据构建本地化存储机制,以适配未来日趋精细化、严格化的执法监管环境。
注释:
[1]亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例
[2]参见沪公静(网)行罚决字[2025]10003号,https://gaj.sh.gov.cn/jaga/xzcf/toDetail?pa=a23e7d1d9cab592f7cb65c52f4cb5f1aba763022165fc1856dbfcf6073b6454093b3644cc24fc46a
[3]公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
[4]区县网信动态丨云岩区对履行网络安全和数据安全保护责任不力的企业开展约谈处罚
大成数据保护团队
邓志松 律师
大成北京
专业领域:数据与隐私保护、竞争与反垄断、公司与并购、跨境投资与贸易
电子邮箱:zhisong.deng@dentons.cn
戴健民 律师
大成上海
专业领域:数据与隐私保护、竞争与反垄断、公司与并购、生命科学与医药
电子邮箱:jianmin.dai@dentons.cn
本文源自:大成数据保护团队
感谢Cathy/Reed对本文的贡献
声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
