数据出境安全必知：22 项政策为你指明出境之路！（附下载）

国家层面规划的数据跨境路径已然清晰，形成了三大路径：

• 路径 1：申报数据出境安全评估

• 路径 2：订立个人信息出境标准合同或通过个人信息保护认证

• 路径 3：数据豁免出境

具体该选择哪种出境路径？

结合国家相关部门出台的多份标准文件，南财数据团队汇总了不同数据处理者应该采用哪种数据出境方式，见下表。

本文搜集数据出境合规相关政策文件，分成数据出境相关要求、数据出境安全评估、个人信息出境标准合同、个人信息保护认证、负面清单五大类，以供对此领域感兴趣的同学参考。【文末附下载】

1、《促进和规范数据跨境流动规定》

发布时间：2024-03-22

发布单位：国家互联网信息办公室

概述/要求：《规定》明确了重要数据出境安全评估申报标准，提出未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

2、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》

发布时间：2023-11-01

发布单位：全国信息安全标准化技术委员会秘书处

概述/要求：本文件规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求，为实施粤港澳大湾区个人信息保护 认证提供了认证依据，也为大湾区个人信息处理者规范个人 信息跨境处理活动提供参考。

3、《金融数据跨境安全要求》

发布时间：2024

发布单位：国家质量监督检验检疫总局、国家标准化管理委员会

概述/要求：本文件规定了金融数据跨境的模式、相关方、基本原则、基本流程，以及跨境过程中相关方的行为准则与信息安全保障措施。本文件适用于开展金融数据跨境活动的相关机构参考使用，并为金融数据跨境活动的相关机构信息安全控制措施的部署提供指导。

4、《跨境数据流通技术要求》

发布时间：2023-08-18

发布单位：中国互联网协会

概述/要求：本文件规定了数据跨境的模式、基本原则、基本流程，以及跨境过程中相关方的行为准则与信息安全保障措施。本文件适用于开展数据跨境活动的相关机构参考使用，并为数据跨境活动的相关机构信息安全控制措施的部署提供指导。

5、《北京市企业数据出境合规指引》

发布时间：2024-08-30

发布单位：北京市网信办等三部门

概述/要求：《指引》为企业提供了开展数据出境合规、数据跨境合规治理的一般性方法论，明确了免申报数据出境安全评估、个人信息保护认证、个人信息出境标准合同的七种情形，详细阐述了企业开展数据出境合规实施流程，包括数据出境场景识别、数据类型判断、风险评估等，并强调了企业如何在组织架构、管理制度和技术防护措施三个层面建立数据跨境合规治理体系。

6、《数据出境安全评估办法》

发布时间：2022-09-01

发布单位：国家互联网信息办公室

概述/要求：为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，制定本办法。

7、《数据出境安全评估申报指南（第一版）》

发布时间：2022-08-31

发布单位：国家网信办

概述/要求：针对数据出境安全评估的适用范围、申报方式及流程、申报材料、申报咨询等内容作出了具体说明，为拟申报数据出境安全评估的数据处理者提供指导。

8、《数据出境安全评估申报指南（第二版）》

发布时间：2024-03-22

发布单位：国家互联网信息办公室

概述/要求：为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，国家互联网信息办公室编制了《数据出境安全评估申报指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

9、《个人信息出境标准合同办法》

发布时间：2023-02-22

发布单位：国家互联网信息办公室

概述/要求：为了保护个人信息权益，规范个人信息出境活动，根据《中华人民共和国个人信息保护法》等法律法规，制定本办法。

10、《个人信息出境标准合同备案指南（第一版）》

发布时间：2023-05-30

发布单位：国家互联网信息办公室

概述/要求：为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，国家互联网信息办公室编制了《个人信息出境标准合同备案指南（第一版）》，对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。

11、《个人信息出境标准合同备案指南（第二版）》

发布时间：2024-03-22

发布单位：国家互联网信息办公室

概述/要求：为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，国家互联网信息办公室编制了《个人信息出境标准合同备案指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

12、《粤港澳大湾区（内地、澳门） 个人信息跨境流动标准合同实施指引》

发布时间：2024-09-10

发布单位：国家互联网信息办公室等

概述/要求：为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司　关于促进粤港澳大湾区数据跨境流动的合作备忘录》，国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定本实施指引。

13、《个人信息保护认证实施规则》

发布时间：2022-11-04

发布单位：国家市场监督管理总局、国家互联网信息办公室

概述/要求：《实施规则》是我国首个关于个人信息保护认证的专项制度，确立了个人信息保护认证在我国个人信息保护法律体系当中的正式地位，同时《实施规则》的出台进一步完善了我国数据安全认证认可制度，推动建立更加科学高效的数据安全治理体系。

14、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V1.0》

发布时间：2022-06-24

发布单位：全国信息安全标准化技术委员会秘书处

概述/要求：本实践指南从基本原则、个人信息处理者和境外接收方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息保护认证提供跨境处理活动认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。

15、《网络安全标准实践指南—个人信息跨境处理活动安全认证规范 V2.0》

发布时间：2022-12-16

发布单位：全国信息安全标准化技术委员会秘书处

概述/要求：本《实践指南》规定了跨境处理个人信息应遵循的基本原则、个人信息处理者和境外接收方在个人信息跨境处理活动的个人信息保护、个人信息主体权益保障等方面内容。

16、《信息安全技术 个人信息跨境传输认证要求（征求意见稿）》

发布时间：2023-03-16

发布单位：全国信息安全标准化技术委员会秘书处

概述/要求：本文件规定了个人信息处理者跨境提供个人信息的基本原则、基本要求和个人信息主体权益保障要求。本文件适用于认证机构对个人信息处理者跨境提供个人信息活动开展个人信息保护认证，也适用于主管部门、第三方评估机构等组织对个人信息处理者跨境提供个人信息进行监督、管理和评估。

17、《中国（天津）自由贸易试验区数据出境管理清单（负面清单）(2024 版)》

发布时间：2024-05-08

发布单位：中国（天津）自由贸易试验区管理委员会、天津市商务局

概述/要求：为促进中国（天津）自由贸易试验区企业数据依法有序跨境流动，推进高水平对外开放，更好服务加快构建新发展格局，制定《中国（天津）自由贸易试验区数据出境管理清单（负面清单）（2024 年版）》。

18、《中国（上海）自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单（试行）》

发布时间：2024-05-17

发布单位：临港新片区管委会

概述/要求：“一般数据清单”适用于在中国（上海）自由贸易试验区及临港新片区范围内登记注册的，且在临港新片区开展数据跨境流动相关活动的从事研发、生产和销售与生物医学、医药学相关的药品、医疗器械、诊断试剂、生物制剂和相关服务的企业、事业单位、机构协会和组织等数据处理者，但不适用于生物医药领域关键信息基础设施运营者。

19、《中国(上海）自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单（试行)》

发布时间：2024-05-17

发布单位：临港新片区管委会

概述/要求：“一般数据清单〞适用于在中国（上海）自由贸易试验区及临港新片区范围内登记注册的，且在临港新片区开展智能网联汽车领域数据跨境流动相关活动的从事汽车制造、零部件和软件供应、经销、售后服务、出行和相关服务的企业、事业单位、机构协会和组织等数据处理者，但不适用于智能网联汽车领域关键信息基础设施运营者。

20、《中国（上海）自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单（试行)》

发布时间：2024-05-17

发布单位：临港新片区管委会

概述/要求：“一般数据清单〞适用于在中国（上海）自由贸易试验区及临港新片区范围内登记注册的，且在临港新片区开展数据跨境流动活动的公开募集证券投资基金管理公司等数据处理者，但不适用于公募基金领域关键信息基础设施运营者。

21、《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行)》

发布时间：2024-08-30

发布单位：北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会

概述/要求：《管理办法》重点围绕负面清单的制定流程、职责分工、使用管理、安全监管等方面进行深化设计，是制定负面清单和开展日常监管的基本规范，并同步完善了重要数据识别规则，提出 13 类 41 子类数据分类分级参考规则，助力企业提升识别能力。

22、《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024 版）》

发布时间：2024-08-30

发布单位：北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局会

概述/要求：《负面清单》共涵盖汽车行业、医药行业、民航业、零售与现代服务业和人工智能训练数据这 5 个行业和领域。同时列明了每一个行业和领域进行数据出境安全评估以及个人信息出境标准合同备案/个人信息保护认证所对应的数据类型（重要数据/个人信息）和细化后的数据子项，并就每一数据子类的数据基本特征作出了具体描述。