本文作者:徐偉
摘要&關鍵詞
摘要:在“數據庫留在境內、計算節點或運維人員在境外”的架構中,企業最容易誤判的不是技術,而是以為數據沒有搬家,就沒有出境。現行規則更看重“境外能不能看見、拿走、復制、復原或者繼續使用境內數據”,而不是只看物理服務器擺在哪里。對企業家而言,數據出境首先是行政合規問題,但在個人信息被非法提供、境外賬號越權下載、監管責令整改后仍放任風險時,可能繼續升級為刑事風險。
關鍵詞:存算分離;數據出境;境外訪問;個人信息;重要數據;刑事風險;企業合規
一、數據沒搬家,也可能已經“出境”
形象地說,“存”就是倉庫,“算”就是加工車間,“運維”就是拿鑰匙修設備的人。數據存放在上海的機房倉庫里,但海外的計算集群可以實時讀取,境外工程師也能登錄查看,這時企業不能簡單以“數據庫在中國”來規避出境的定性。監管的核心判準是:境外主體有沒有實際取得數據的能力。這個能力包括查詢、調取、下載、導出,也包括通過緩存、日志、截圖、備份把數據留存到境外。
判定數據是否出境的核心在于:境外的人或系統,能不能接觸到境內的數據。如果境外團隊只能看到一張不可識別個人的月度銷售宏觀總表,風險通常較低;如果它能按用戶、訂單、手機號、身份證號、設備號逐條查看,風險就明顯升高。目前國內已經把“數據存儲在境內、境外可以查詢、調取、下載、導出”的情形明確納入出境范圍;相反,境外機構員工,人在境內訪問境內數據,且數據沒有傳輸至境外,一般不按數據出境處理。
因此,是不是出境不能只問“服務器在哪”,還要問三件事:第一,境外節點能不能看見明文數據;第二,境外節點能不能下載、復制、緩存或者生成可還原的結果;第三,境外接收方能不能把數據再流轉給第三方或用于自身商業目的。只要任一答案是“能”,該業務就應當先按可能構成數據出境處理,再依法進行程序分流。分流要首先問三個問題。
第一問是“誰在境外拿到了鑰匙”。境外母公司、兄弟公司、云廠商、大模型服務商、外包運維團隊、境外客服中心,都可能成為境外接收方。即使合同上寫的是“技術服務”“集團共享”“臨時維護”,只要對方能持續訪問境內個人信息或重要數據,就不能因為它是合作伙伴或集團內部單位而自動排除合規義務。同一集團,不等于同一法律主體;單純的技術服務,也不等于沒有發生數據提供行為。
第二問是“鑰匙能開到什么程度”。只能查看脫敏字段、只能執行固定的系統數據接口,和可以下載全庫、導出業務報表、查看系統日志、復制備份包,二者的風險量級完全不同。企業內部常說的“只調用數據接口”,也要繼續追問接口返回了什么具體內容、日志記錄了什么、系統報錯時是否在境外保留了明文信息。
第三問是“對方拿到后能不能自主使用”。如果境外主體只能在受控窗口內完成一次性測試,不能下載或向外提供,全部操作有錄像和操作審計,說明企業的控制力較強;如果對方可以長期登錄、離線分析、復制到自有系統、接受外國執法調取請求或者向下游供應商開放,則企業控制力極弱。所謂“控制力分層”,說到底就是把境外接收方分為臨時受控使用者和獨立掌握數據者。前者需要嚴格的技術留痕,后者通常必須進入更高強度的出境合規路徑。
二、四個最常見的踩坑場景
場景一:某跨境電商把訂單庫放在杭州,境外云平臺部署了推薦算法模型,每小時通過系統數據接口批量讀取買家姓名、電話、收貨地址、交易金額等明細。企業在內部合規材料里寫“原始數據庫未遷移境外”,但境外系統已經可以批量讀取、緩存并形成用戶畫像。這種場景的風險不在于有沒有把整個數據庫打包發走,而在于境外計算節點已經具備了按記錄級別接觸個人信息的能力。繼續堅持“數據沒有物理落地境外”,可能無法通過監管核查。
對策:在合規程序未確定前,不得給境外計算節點開通生產數據庫的明文讀取權限。企業可以選擇把計算節點移回境內,也可以在境內先完成字段刪除、強脫敏、聚合統計,使境外只接觸到不能識別特定個人、不能復原業務秘密的統計結果。如果業務確需境外讀取明細,則應當按數據類型和數量,依法申報安全評估、簽署標準合同、通過認證或適用法定豁免路徑。
場景二:一家平臺主張“我們沒有把手機號和姓名傳到境外,只把數字化特征標簽送去訓練模型”。這類特征標簽可能代表了用戶的消費能力、出行規律、健康偏好、違約概率等。如果這些標簽仍然和用戶ID、設備號綁定,或者可以和境內的映射表重新對應到具體自然人,它就不屬于安全的“無害結果”。簡單地把名字換成系統參數、標簽或畫像,除非經過嚴格的法定匿名化處理,徹底無法映射對應到具體的自然人,否則仍有違規甚至違法的風險。
對策:評估這類運算結果時,企業需執行雙重測試:第一,看結果能不能直接或間接識別到人;第二,看能不能反推出敏感業務狀態。例如,“本月東南亞市場銷量增長5%”是宏觀統計結果;但“用戶A的高凈值標簽、常住地址片區”即使隱去姓名,依然可能影響個人權益。操作上,應當把可識別、可回溯的數據結果列入出境數據清單;只有徹底匿名化、純宏觀統計的結果,才可以作為低風險材料流轉。
場景三:境內子公司使用全球統一的客戶關系管理系統,境內客戶資料雖存放于境內服務器,但境外總部為統籌管理開通了“全量查看”權限。業務部門常將此視為內部管理而非對外提供;但在法律視角下,境外總部屬于獨立的法律主體,其訪問、復制、分析境內數據的行為,即可構成向境外提供個人信息。集團內部絕非天然的法外豁免區。
對策:整改不應僅限于印發一份集團內部政策,而要逐項列出境外的接收主體、訪問目的、查看字段范圍、保存期限,以及離職退出時的刪除機制。總部確需查看的,必須按“最小夠用”原則配置權限。同時,必須在具有法律效力的文件中明確約定:境外接收方不得超目的使用,不得向下游提供,更不得繞開中國境內實體直接回應外國執法或司法機構的數據調取請求。
場景四:系統凌晨突發故障,境外工程師通過遠程加密通道登錄境內生產庫排查,且使用的是數據庫最高管理權限賬號,能夠查看全庫、導出系統底層排障文件。企業常認為這屬于臨時維修排障;但如果在排障過程中產生了屏幕截圖、內存快照、備份包或本地日志,敏感信息就可能被實質性帶出境外。
對策:必須將“緊急運維”納入標準合規流:走臨時審批通道,強制使用統一安全訪問網關,全程錄像審計,限定可執行命令,系統層面禁止向本地下載,且任務結束后立即收回權限。對于可能包含個人信息的報錯日志或備份文件,應當默認按出境數據進行嚴格管理。
三、先分數據,再選程序
第一類是一般業務數據,即不含個人信息、不含重要數據的純商業運營數據(如普通市場統計、公開商品目錄)。根據《促進和規范數據跨境流動規定》,國際貿易、跨境運輸、學術合作、跨國生產制造等活動中產生的數據,如不包含個人信息或者重要數據,可免于履行安全評估、標準合同和認證等手續。但企業仍需具備證明其確實“不含”敏感要素的內部舉證能力。
第二類是普通個人信息,即能識別到具體自然人的信息(姓名、聯系方式、設備ID、訂單等)。
第三類是敏感個人信息,如行蹤軌跡、金融賬戶、醫療健康、生物識別特征等。一旦泄露極易對個人造成實質性損害,因此監管門檻極高。
第四類是重要數據,需要強調的是,這不是企業主觀認為“具有重大商業價值”的數據,而是由國家有關部門、地方政府正式告知或者公開發布目錄的特定數據類別;未被正式告知或公開發布的,原則上無需作為重要數據主動申報出境安全評估。
四、從合規風險到刑事風險的防線建立
數據出境手續不完備通常屬于行政違規;但如果企業或管理人員違反國家規定,向他人提供公民個人信息達到“情節嚴重”標準,將可能觸發侵犯公民個人信息罪。司法解釋明確,未經被收集者同意,將合法收集的個人信息向他人提供(包括向境外提供),也屬于非法提供行為。
管理層必須警惕“我沒有主動變賣數據就不會犯罪”的認知盲區。如果明知境外供應商或技術團隊可能復制、留存、甚至濫用境內用戶信息,仍大范圍開放數據接口、共享高級管理賬號、默許全庫下載,在面臨司法追責時,將極難撇清主觀放任的責任。企業能否拿出清晰的授權邊界、審批流程和審計日志,往往直接決定了能否有效切斷刑事追訴鏈條。
第一條:未完成數據合規風險判斷前,絕不向境外主體開通生產庫的全量訪問權限。
第二條:絕不將未經處理的原始用戶數據直接推送到境外的云端大模型或分析平臺,除非已完成合規路徑選擇、獲取用戶單獨同意及影響評估。
第三條:嚴禁使用多人共享的高級管理賬號處理跨境運維,防止責任人、操作時間與范圍無法溯源。
第四條:絕對禁止境外接收方單方面響應外國政府、執法或司法機構調取境內數據的指令,相關請求必須由中國主體依法評估并向上級主管機關報告后處理。
五、把合規做成證據:一圖、三表、兩記錄
數據流向圖必須精準標注數據從哪里收集、存儲在哪個物理節點、在哪個區域計算、密鑰管理者身份、哪些境外賬號具備訪問權限。圖上應清晰注明國家/地區、系統名稱和數據類型。管理層審查這張圖時,只需關注核心問題:境外節點位于何處?能否觸碰到明文數據?沒有這張圖,后續的所有合規申報和抗辯都將成為空中樓閣。
數據資產表記錄數據字段名稱、是否屬于敏感或重要數據、預計出境規模、出境目的及保存期限。
權限管控表記錄境外操作人員的登錄源、可執行指令、是否具備下載權限及審批鏈路。
合規程序表記錄各個業務場景對應的合法出境路徑(安全評估、標準合同、認證或法定豁免)及適用理由。這三張表是應對監管飛檢和司法調查的核心事實底稿。
系統記錄必須能夠印證合同條款被嚴格執行。例如,若合同約定“僅限脫敏查看”,系統必須能調取脫敏策略配置記錄及接口調用日志。個人信息保護影響評估報告依法需至少保存三年。如果簽署了完善的合同但在系統層面毫無限制,這屬于“紙面合規”;如果系統層面做了限制但缺少法律合同的邊界約束,這屬于“權利裸奔”。
六、企業的落地清單:近期排查與長期固化
企業可以要求技術團隊全面盤點境外云資源、數據接口、境外模型調用、境外運維賬號及跨國協同軟件。要求現場演示這些節點的數據調取能力及日志留存情況。對于能接觸核心生產庫、敏感字段的境外越界權限,必須采取先降級或暫停的阻斷措施——先止血,再定性。
在一個完整的業務周期內,完成數據分類分級與出境數量測算。對于觸發安全評估門檻的業務,盡早啟動自評估;對于適用標準合同的業務,落實影響評估報告與網信部門備案;對于主張豁免的場景,必須留存詳實的情況說明與佐證附件。杜絕讓核心業務在灰帶長期運行。
將數據出境審查設為新系統上線、新模型接入、新運維外包的剛性門檻:沒有數據流向圖,不予立項;沒有出境合規判定,不得分配境外權限;缺乏操作審計日志,嚴禁接觸生產數據。真正有效的出境合規,是讓技術架構、業務權限和法律程序在同一框架下嚴絲合縫地對齊,讓數據跨境成為一種可解釋、可審計、可防御的現代企業經營安排。
相關法律法規或案例:
[1]國家互聯網信息辦公室《數據出境安全評估申報指南(第三版)》(2025年6月27日發布);國家互聯網信息辦公室《數據出境安全管理政策問答(2025年10月)》第5問。
[2]《中華人民共和國個人信息保護法》第三十八條、第三十九條、第四十條、第五十五條、第五十六條。
[3]《促進和規范數據跨境流動規定》第三條、第四條、第五條、第六條、第七條、第八條、第九條、第十條、第十三條。
[4]《網絡數據安全管理條例》第三十五條、第三十七條、第三十八條。
[5]《中華人民共和國網絡安全法》(2025年修改,2026年1月1日起施行)第三十九條;《數據安全法》第三十一條。
[6]《個人信息出境標準合同辦法》第二條、第四條、第七條。
[7]《個人信息出境認證辦法》第二條、第三條。
[8]《中華人民共和國刑法》第二百五十三條之一、第二百八十五條第二款、第二百八十六條之一、第二百一十九條、第二百一十九條之一;《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條、第五條。
[9]最高人民法院指導性案例193號:聞巍等侵犯公民個人信息案;最高人民檢察院檢例第140號:柯某侵犯公民個人信息案。
![]()
徐偉律師,北京市京都律師事務所合伙人,專注“數字刑辯”,即網絡犯罪、虛擬貨幣、數據與金融科技類等與犯罪辯護,并長期辦理疑難復雜刑事案件與經濟犯罪案件。著有《網絡犯罪案例研究》。徐偉律師系北京律協優秀辯護律師、北京青年刑辯法庭大賽冠軍,現任北京市律師協會智庫委員、重大復雜案件研究組成員、最高人民檢察院刑事申訴律師庫律師、法治日報專家庫專家、律商聯訊合作專家作者,并擔任北京市京都律師事務所刑事專業委員會網絡犯罪研究組組長、京都金融證券犯罪研究中心秘書長。徐偉律師業務覆蓋稅務犯罪、金融犯罪、走私犯罪、企業高管職務犯罪、重大食品藥品犯罪及刑事資產定性、涉案財產處置等領域;所代理案件曾入選最高檢典型案例、被寫入最高檢官方報告,并入圍“全國十大無罪辯護經典案例”評選。
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.