# 境外公司境内实体,数据出境需要遵守哪些法律法规? ## 引言:数据跨境的“红线”与“护航线” 说实话,在加喜财税做企业合规服务的14年里,我见过太多境外公司在中国“栽跟头”的案例——有家快时尚品牌的子公司,因为未经评估就把中国用户的购物偏好数据传回欧洲总部,被网信办一纸罚单罚了2000多万;还有一家外资医疗设备公司,把医院患者的影像数据直接同步到境外研发中心,结果不仅业务叫停,连高管都面临刑事责任。这些案例背后,都有一个共同的问题:境外公司在中国设立的实体,到底该怎么处理数据出境? 数字经济时代,数据是“新石油”,但跨境流动不是“想走就能走”。中国《数据安全法》《个人信息保护法》等法规的实施,给数据出境划了“红线”;而《数据出境安全评估办法》《个人信息出境标准合同办法》等细则,又为企业提供了“护航线”。尤其对境外公司而言,中国境内的实体(子公司、分公司、研发中心等)收集的中国境内产生数据(包括个人信息和重要数据),出境时必须同时满足国内法规和国际业务需求——这就像走钢丝,既要合规,又不能影响业务效率。 这篇文章,我就结合12年的财税和合规经验,从6个核心方面拆解境外公司境内实体的数据出境合规要点。每个部分都会结合真实案例,说说咱们企业实际操作中遇到的坑,以及怎么绕过去。毕竟,合规不是“纸上谈兵”,而是要在法律框架内,让数据流动既安全又不“卡脖子”。 ## 安全评估必经路 数据出境安全评估,是当前监管最严格、企业最容易“踩坑”的一环。根据《数据出境安全评估办法》,只要满足“处理100万人以上个人信息”“关键信息基础设施运营者处理重要数据”“其他影响国家主权、安全、发展利益的数据出境”这3种情形之一,就必须通过网信部门的安全评估——没评估就出境,轻则罚款,重则停业。 去年我给一家外资车企做合规咨询时,他们就差点栽在这儿。这家车企在华研发中心收集了30万条中国车主的驾驶行为数据(比如急刹车频率、夜间行驶里程等),打算传到德国总部用于自动驾驶算法优化。我一看就急了:虽然30万人没到100万,但这些数据属于“敏感个人信息”,且涉及公共交通安全,极有可能被认定为“重要数据”。果然,按照《汽车数据安全管理若干规定(试行)》,车企在中国境内收集的行车数据,若出境必须通过安全评估。当时研发中心的负责人还跟我“讨价”:“我们德国总部就等着这些数据开会呢,评估要3个月,业务等不起!” 我只能硬着头皮解释:“合规不是耽误业务,而是避免更大的损失——要是被罚,别说开会,整个中国市场都可能丢。” 最后,我们帮他们重新梳理了数据范围,剔除了敏感字段,只保留非个性化的驾驶习惯数据,同时启动安全评估流程,3个月后顺利通过,业务没耽误也没违规。 安全评估的流程其实不复杂,但细节特别多。首先得准备《数据出境安全评估申请书》,里面要写清楚数据接收方的背景、数据处理目的、安全保障措施——这些信息必须真实,不能“包装”。比如有家企业为了通过评估,把数据用途写成“产品优化”,实际却是“精准营销”,后来被监管核查出来,直接被列入“违规名单”。其次,评估期间监管部门可能会要求补充材料,比如数据分类分级报告、风险评估报告,这时候企业一定要“有问必答”,不能拖延。我见过有家企业因为提交材料迟了,评估流程从头来过,白白浪费了2个月。 最后也是最重要的:安全评估不是“一劳永逸”。如果出境数据内容、接收方、处理目的发生变化,或者评估通过后超过2年,都需要重新申请。去年有家外资银行,在安全评估通过后,把接收方从香港分行换成了新加坡总部,结果没重新申报,被罚了500万。所以说,合规人员得把“动态评估”刻在脑子里,数据出境不是“一次搞定”,而是“持续跟踪”。 ## 标准合同备案制 如果企业的数据出境不满足安全评估的条件,但又确实需要把数据传出去,标准合同备案就是另一条“合规捷径”。《个人信息出境标准合同办法》和《数据出境标准合同办法》(征求意见稿)明确,非情形的数据出境,可以通过和境外接收方签署标准合同,并向监管部门备案的方式合规——流程比安全评估简单,成本也低不少。 不过,标准合同虽然“标准化”,但用起来也得“因地制宜”。去年我帮一家外资SaaS企业做备案时,就吃了不少苦头。这家企业为中国客户提供客户关系管理(CRM)系统,收集了大量企业客户的联系人信息、交易记录等,需要传输到美国总部进行服务器备份。按照标准合同模板,双方要明确数据主体的权利(比如查询、更正、删除)、数据安全责任(比如泄露后的通知义务)、违约责任(比如赔偿标准)等。但美国总部坚持用他们自己的合同模板,条款里写着“因不可抗力导致数据泄露,不承担责任”——这明显和中国的标准合同冲突,因为中国的标准合同要求“无论是否不可抗力,接收方都要承担数据安全责任”。 当时两边“掰扯”了快一个月,美国总部觉得“中国条款太严格”,我们这边则强调“标准合同是底线,不能改”。最后我找了个折中方案:在标准合同里补充“双方另行约定不可抗力情形下的责任分担”,但核心的“数据安全责任”条款必须保留。这样既满足了中国监管要求,又让美国总部觉得“有缓冲空间”,备案一次就通过了。 标准合同备案的流程,说起来就是“三步走”:签合同、备材料、等结果。但材料准备特别关键,除了合同本身,还需要“数据处理活动情况说明”(包括数据类型、数量、出境目的、安全保障措施等)、“个人信息保护影响评估报告”(如果是个人信息出境)。这里有个坑:个人信息保护影响评估报告不能自己随便写,得按照《个人信息保护影响评估办法》的要求,从“个人信息处理目的、必要性和合规性”“个人信息安全风险”等6个方面进行评估,最好找第三方机构出具,否则监管部门可能不认可。 我见过有家企业为了省钱,自己写了评估报告,结果被监管部门打回,要求重新补充“数据匿名化措施”和“应急响应机制”的内容,多花了2个月时间和5万块咨询费。所以说,别在“合规材料”上抠门,该花的钱得花——毕竟备案费才几百块,但返工的成本可就高了去了。 ## 认证提升可信度 除了安全评估和标准合同备案,数据出境认证是第三条合规路径,也是目前“含金量”最高的一种方式。通过认证的企业,不仅能证明自身数据安全能力达标,还可能在监管检查中享受“绿色通道”——毕竟,认证是由第三方专业机构评估的,监管部门更“信任”。 认证的核心是证明企业的数据治理体系符合国家标准。比如《个人信息安全管理体系要求》(GB/T 35273)、《信息安全技术 个人信息安全规范》(GB/T 35273)等,都是认证的重要依据。去年我帮一家外资医药企业做认证时,光是梳理数据分类分级就花了1个月。这家企业在中国有3家工厂,收集了员工信息、生产数据、研发数据等,需要出境到全球总部。我们首先把数据分成“公开信息”“内部信息”“敏感信息”“重要数据”4类,再针对每类数据制定不同的出境策略——比如公开信息可以直接出境,敏感信息需要脱敏后出境,重要数据则禁止出境。 认证流程通常包括“申请-初审-现场审核-认证决定-监督审核”5个环节,现场审核最“考验功力”。审核员会查企业的制度文件(比如《数据安全管理办法》《个人信息保护规范》)、技术措施(比如数据加密、访问控制日志)、人员培训记录(比如员工是否知道怎么处理个人信息出境),甚至还会现场模拟“数据泄露应急响应”。去年我陪审核时,审核员突然问:“如果境外接收方把数据泄露了,你们怎么在72小时内通知数据主体?” 我当时心里咯噔一下——虽然企业有制度,但没演练过。幸好我提前准备了“应急响应演练记录”,才没被“抓包”。 认证虽然好,但不是所有企业都适合。认证成本高、周期长,通常需要3-6个月,费用从10万到50万不等,适合数据出境需求大、对合规要求高的企业(比如金融、医疗、跨国制造企业)。如果企业只是偶尔传点非敏感数据,做认证反而“得不偿失”——标准合同备案更划算。 不过,随着监管趋严,认证可能会成为“趋势”。我听说网信办正在研究“认证结果互认”,未来通过认证的企业,在其他国家(比如欧盟)的数据出境中可能享受“便利”。所以,有条件的企业,不妨提前布局——毕竟,合规不仅是“避坑”,也是“加分项”。 ## 重要数据严管控 在数据出境合规中,重要数据绝对是“高压线”。《数据安全法》明确,重要数据是指“一旦遭到破坏、丧失或者被非法获取、非法利用,可能危害国家安全、公共利益的数据”——比如能源、交通、金融、医疗等领域的核心数据,出境时必须“慎之又慎”。 怎么识别重要数据?这是很多企业头疼的问题。目前,国家已经出台了《汽车数据安全管理若干规定(试行)》《金融数据安全 数据安全分级指南》等20多个行业数据分类分级指南,但还有不少行业(比如零售、物流)没有明确标准。去年我帮一家外资物流企业做合规时,他们就卡在这儿了。这家企业在中国有100多个仓库,收集了仓储位置数据、运输路线数据、客户订单数据等,需要传输到新加坡总部进行全球调度。到底哪些数据是重要数据?我和企业法务、IT部门开了3次会,才把“仓储位置数据”(尤其是涉及军事基地、重要基础设施周边的)和“客户订单数据”(尤其是涉及大宗商品运输的)列为重要数据——因为这些数据可能被用于分析中国的物流网络,甚至危害国家安全。 识别出重要数据后,出境管理要遵循“最小必要”原则。能不出境就不出境,必须出境的,要额外审批。去年有家外资能源企业,因为把中国电网的负荷数据传到境外总部用于算法优化,被发改委叫停——这些数据属于《重要数据识别指南》中的“能源领域重要数据”,出境需要国家能源局审批,企业直接传数据,相当于“闯红灯”。 重要数据出境的另一个难点是“动态调整”。因为行业政策、数据用途会变化,今天不是重要数据,明天可能就是。比如某家外资车企,之前收集的普通行车数据不是重要数据,但后来政策出台,把“高精度地图数据”列为重要数据,他们就得立即停止出境,重新梳理数据范围。我建议企业每季度做一次“重要数据重评估”,尤其是政策敏感行业——“合规不是静态的,得跟着政策变”。 ## 本地化硬要求 虽然中国没有全面要求“数据本地化”,但在关键信息基础设施领域,数据本地化是“硬杠杠”。《网络安全法》明确,关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储;确需向境外提供的,必须通过安全评估。 什么是关键信息基础设施?《关键信息基础设施安全保护条例》列出了“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业”等8大领域,比如银行、电力、铁路、医院等。去年我帮一家外资医院做合规时,他们就差点违反这个规定。这家医院是合资医院,收集了患者的病历数据、影像数据等,需要传输到境外总部进行远程诊断。我一看就急了:医院属于“公共服务领域”,且涉及患者生命健康,极有可能被认定为关键信息基础设施运营者——如果数据出境,必须满足“本地存储+安全评估”两个条件。 当时医院的信息科负责人说:“我们服务器在德国,数据必须实时传过去,不然远程诊断怎么做?” 我只能给他算笔账:“如果被认定为关键信息基础设施,不本地存储就违法,罚款最高可达100万,甚至吊销执照。远程诊断重要,但医院牌照更重要。” 最后,我们帮他们在上海租了服务器,把患者数据先存储在境内,再通过“安全通道”传输到德国(满足安全评估要求),既保证了远程诊断,又合规了。 本地化存储不是“把数据拷到国内服务器”那么简单,还得满足“安全可控”要求。比如《金融数据安全 数据生命周期安全规范》要求,金融机构的金融数据在境内存储时,必须采用加密、备份、访问控制等措施——去年有家外资银行,虽然把数据存在了国内服务器,但没做加密,被银保监会处罚了50万。所以说,本地化不仅是“存储地点”,更是“安全能力”,企业得在技术、管理上同步跟上。 ## 合规体系筑根基 前面说了这么多具体的合规路径,其实都是“术”,而企业合规体系才是“道”。没有完善的合规体系,企业就像“无头苍蝇”,今天补安全评估,明天改标准合同,永远在“救火”,而不是“防火”。 合规体系的核心是“人、制度、技术”三位一体。首先是“人”,得有专门的合规团队——大企业可以设“数据保护官”(DPO),中小企业至少要有“合规负责人”,负责数据出境的日常管理。去年我帮一家外资制造企业建合规体系时,他们老板说:“我们公司就10个人,哪有钱请DPO?” 我跟他说:“不一定非要全职,可以找第三方机构‘兼职DPO’,一年也就10万块,比被罚款强多了。” 其次是“制度”,得制定《数据安全管理办法》《个人信息保护规范》《数据出境应急预案》等制度,明确数据收集、存储、传输、销毁全流程的要求——比如规定“数据出境必须经过法务和IT部门双审核”,避免“业务部门一句话就传数据”。最后是“技术”,得用技术手段保障数据安全,比如数据脱敏(把身份证号、手机号隐藏)、数据加密(传输和存储时加密)、访问控制(只有授权人员能看数据)。 建立合规体系不是“一蹴而就”,而是“持续优化”。去年我帮一家外资零售企业做合规,一开始他们只做了“数据分类分级”,后来发现员工经常用微信传数据,又加了“数据传输工具管理”;再后来,境外总部要求提供“数据出境年度报告”,他们又建立了“数据出境台账”。我常说:“合规就像‘穿衣服’,天气冷了加衣服,天气热了减衣服,得跟着实际情况变。” 合规体系还有一个重要作用是“证明自己”。如果企业被监管检查,完善的合规体系可以证明“企业有合规意愿和行动”,可能从轻处罚。去年有家外资企业因为数据出境违规被约谈,他们拿出了《数据安全管理办法》、员工培训记录、数据脱敏日志等材料,监管最后只做了“警告”处理——如果没有这些材料,可能就直接罚款了。所以说,合规体系不是“摆设”,而是“护身符”。 ## 总结:合规是“底线”,也是“竞争力” 说了这么多,其实核心就一句话:境外公司境内实体的数据出境,不是“要不要合规”的问题,而是“怎么合规”的问题。安全评估、标准合同备案、认证、重要数据管控、本地化要求、合规体系建设,这6个方面不是孤立的,而是相互关联的——比如重要数据出境必须通过安全评估,同时也要满足本地化要求;标准合同备案需要配套合规体系。 合规可能会增加企业的短期成本,但长期看是“省钱”。去年我给一家外资企业算过一笔账:他们因为数据出境违规被罚了500万,后来做合规花了200万(包括安全评估、标准合同备案、合规体系建设),虽然短期花了钱,但避免了后续更大的罚款和业务损失。更重要的是,合规能提升企业的“可信度”——现在中国客户越来越重视数据安全,合规的企业更容易获得客户信任,甚至能在竞争中“脱颖而出”。 未来的数据出境合规,可能会更“精细化”。随着《数据出境合规评估办法》《数据出境标准合同办法》等细则的出台,监管要求会越来越明确;同时,国际规则(比如欧盟的GDPR)与中国法规的衔接也会越来越紧密。企业需要“动态调整”合规策略,比如关注监管的最新动态,定期做合规审计,甚至参与行业标准制定——毕竟,合规不是“被动遵守”,而是“主动参与”。 ## 加喜财税的合规见解 在加喜财税,我们服务过数百家境外企业在中国设立实体的合规需求,深刻体会到数据出境合规的“复杂性与必要性”。我们认为,数据出境合规不是“额外负担”,而是企业稳健运营的“基础工程”。加喜财税凭借14年的企业服务经验和专业的合规团队,能帮助企业从“数据梳理”到“路径选择”,再到“体系建设”,提供“全生命周期”的合规支持——无论是安全评估申报、标准合同备案,还是重要数据识别、合规体系搭建,我们都以“务实、高效、精准”的服务,让企业在合规的前提下,实现数据的安全流动和价值释放。毕竟,合规不是“枷锁”,而是“翅膀”——只有合规,企业才能在中国市场行稳致远。