---
name: data-export-assessment
description: >
  数据出境安全评估——评估个人信息和重要数据出境的合规路径，
  判断是否须申报安全评估、使用标准合同或通过认证。
  适用情形：用户说"数据要传到国外去"、"海外子公司需要
  中国用户数据"、"跨境传输怎么做"、"SCC还是安全评估"。
argument-hint: "[数据量 + 数据类型 + 接收方所在国 + 传输目的]"
legal_frame: cn-mainland
last_reviewed: 2026-06
version: 1.0.0
risk_level: critical
escalation_triggers:
  - 触发安全评估申报条件（100万人/10万人敏感/重要数据）
  - CII运营者数据出境
  - 接收方所在国数据保护水平不足
  - 出境数据涉及重要数据或核心数据
trigger_phrases:
  - '数据'
  - '评估'
  - '数据合规'
  - '个人信息'
  - 'PIPL'
---

# /data-export-assessment — China Mainland

## 法律背景与法规框架

中国数据出境监管体系经历了三个阶段的发展。PIPL第38条至第43条确立了数据出境的基本法律框架，规定了安全评估、标准合同（SCC）和专业认证三条路径。《数据出境安全评估办法》（2022年9月生效）细化了安全评估的触发条件和申报程序。《个人信息出境标准合同办法》（2023年6月生效）为标准合同路径提供了标准化文本。《促进和规范数据跨境流动规定》（2024年3月发布）进一步明确了免予出境前置程序的场景。

2024年的新规在监管上进行了适度松绑，明确了一些不触发出境合规义务的豁免场景（如跨境购物、跨境人力资源管理、紧急情况等），但对安全评估的核心门槛保持不变。企业出境合规决策的关键在于准确判断数据出境场景是否触发安全评估门槛，以及在豁免或低风险场景下选择合适路径。

## 工作流程

### 第一步：判断是否构成"数据出境"

数据出境的定义不仅包括物理传输，还包括数据在境外被访问、调用和使用的场景：

```
构成数据出境的情形：
□ 数据通过物理媒介（硬盘/磁带）携带出境
□ 数据通过网络传输至境外服务器
□ 境内数据处理者向境外主体提供数据访问权限
□ 境内数据存储在境外数据中心
□ 境外主体直接采集境内个人数据（通过API/Webhook等）

不构成数据出境的情形（2024新规豁免）：
□ 跨境购物、跨境汇款、机票酒店预订等涉及必要个人信息
□ 跨境人力资源管理所必需（员工信息）
□ 紧急情况下保护生命财产所必需
□ 确为履行合同所必需（非捆绑性）
```

### 第二步：出境路径三叉判断

根据数据量和数据类型确定适用路径：

```
数据出境路径判断树
├─ 是否CII运营者？
│   └─ 是 → 必须安全评估（不可走SCC/认证）
├─ 处理个人信息是否>100万人？
│   └─ 是 → 必须安全评估
├─ 是否向境外提供重要数据？
│   └─ 是 → 必须安全评估
├─ 上一年度已累计向境外提供>10万人个人信息？
│   └─ 是 → 必须安全评估
├─ 是否向境外提供敏感个人信息？
│   └─ 是 → 必须安全评估
├─ 以上均不触发安全评估 → 二选一：
│   ├─ 个人信息出境标准合同（SCC）→ 备案制
│   └─ 个人信息保护认证 → 认证制
└─ 适用豁免场景 → 无需出境前置程序
    └─ 但仍须满足PIPL其他要求（告知+同意+安全措施）
```

### 第三步：安全评估申报（如触发）

**申报材料清单：**

| 材料 | 内容要求 | 模板参考 |
|------|---------|---------|
| 数据出境安全评估申报表 | 含企业基本信息、数据出境总体情况 | 网信办公告模板 |
| 数据出境风险自评估报告 | 按评估要点逐项分析 | 自评估指南 |
| 数据处理者与境外接收方合同 | 须包含数据保护条款 | SCC范本或自定义 |
| 数据安全管理制度 | 数据分类分级、安全管理、应急处置 | 企业制度文件 |
| 数据安全技术措施证明 | 加密、脱敏、访问控制等 | 技术方案 |

**评估通过后：**
- 安全评估结果有效期为3年
- 有效期届满须重新申请（如场景无变化可简化）
- 有效期内如场景变化（数据类型/数量/目的/接收方），须重新评估

### 第四步：标准合同（SCC）路径

**SCC适用范围：**
- 未触发安全评估申报条件
- 非CII运营者
- 与境外接收方签署

**SCC关键条款：**
- 数据处理的目的、方式和范围
- 数据种类和敏感程度
- 数据存储地点和期限
- 数据安全保障措施
- 数据主体的权利保障
- 数据泄露的责任划分
- 投诉和争议解决机制

**SCC备案要求：**
- 合同生效后10个工作日内向省级网信办备案
- 备案材料：合同文本、个人信息保护影响评估报告
- 备案不影响合同效力，但未备案可能构成违规

### 第五步：输出出境合规评估结论

## 输出模板

```
═══════════════════════════════════════
数据出境合规评估报告
═══════════════════════════════════════
企业名称：[名称]
出境场景：[具体描述]
数据类型：[个人信息/敏感个人信息/重要数据]
涉及用户数：[人]
接收方所在国：[国家]
═══════════════════════════════════════

## 出境路径结论

[安全评估 / 标准合同 / 认证 / 豁免 / 不构成出境]

判断依据：
1. 是否CII：[是/否]
2. 总处理人数：[]
3. 出境类型：[个人信息/敏感信息]
4. 是否涉及重要数据：[是/否]
5. 适用豁免条款：[适用/不适用]

## 合规行动清单

1. [ ] 签署数据出境合同（含保护条款）
2. [ ] 完成个人信息保护影响评估（PIA）
3. [ ] 完成数据出境风险自评估
4. [ ] 提交安全评估申报/SCC备案
5. [ ] 告知用户并取得单独同意（如需）

## 升级建议

[涉及安全评估申报/重要数据出境/CII出境等须移交律师]
```

## 升级决策门

以下情况须移交专业律师处理：

- 触发安全评估申报条件（须律所+安全机构联合申报）
- 涉及重要数据或核心数据出境
- CII运营者数据出境
- 接收方所在国无充分数据保护水平（如尚未与我国签署双边协议）
- 数据出境涉及多法域（如同时涉及欧盟GDPR和PIPL）
- 安全评估未通过或收到整改要求
- 境外政府要求提供境内数据

---
*Greater China Legal — data-compliance data-export-assessment v1.0.0*
*[model] — 基于PIPL第38-43条、数据出境安全评估办法、SCC办法、2024跨境数据流动新规*
