中国数据跨境合规
3 种出境路径:CAC 安全评估 / 标准合同备案 / 个人信息保护认证。法规体系持续滚动完善,上海自贸区负面清单试点为出海项目提供便利。
影响行业:所有出海 DPP / CBAM / CSRD 项目
- 2021.09.01《数据安全法》生效
- 2021.11.01《个人信息保护法》生效
- 2022.09.01《数据出境安全评估办法》生效
- 2023.06《标准合同》生效
- 2024.03★《促进和规范数据跨境流动规定》出台
AMT 产品:数据跨境模块(可持续发展数据平台)· 双节点
法规摘要
- 法规全名
- 《数据安全法》《个人信息保护法》《数据出境安全评估办法》+ 标准合同 + 上海自贸区负面清单
- 主管机构
- 国家网信办(CAC)+ 上海等自贸区主管部门
- 生效时间
- 持续滚动(2021 起持续完善)
- 适用范围
- 所有处理中国境内数据并向境外传输的企业(含外资企业)
- 核心机制
- 3 种出境路径:CAC 安全评估 / 标准合同备案 / 个人信息保护认证
中国数据跨境合规是一套持续完善的法规体系,核心是《数据安全法》《个人信息保护法》及配套的《数据出境安全评估办法》《标准合同》等。企业需先对数据进行分类分级,识别"重要数据""个人信息""敏感个人信息",再依据数据类型与规模选择三种出境路径之一:CAC 安全评估、标准合同备案或个人信息保护认证。2024 年《促进和规范数据跨境流动规定》与上海等自贸区负面清单试点,为多数出海业务的数据流动提供了更明确、便利的通道。AMT 作为中国服务商,已完成全套数据跨境合规备案。
关键时间线
从立法生效到关键里程碑,把握每一个合规节点。
- 2021.09.01《数据安全法》生效
- 2021.11.01《个人信息保护法》生效
- 2022.09.01《数据出境安全评估办法》生效
- 2023.06《标准合同》生效
- 2024.03《促进和规范数据跨境流动规定》出台
- 2024–持续上海等自贸区负面清单试点
谁需要合规
从行业、规模到出口范围,三个维度快速自查。
所有处理中国境内数据并向境外传输的企业,含外资与跨国集团。
是否有数据(含 DPP / CBAM / CSRD 等出海项目数据)从中国境内传到境外。
需先识别"重要数据""个人信息""敏感个人信息"再定路径。
关键合规要求
满足以下核心要求,方可合规进入目标市场。
数据分类分级:识别"重要数据"/"个人信息"/"敏感个人信息"。
出境路径选择:CAC 安全评估 / 标准合同备案 / 个人信息保护认证。
安全评估申报:达到门槛的须向 CAC 申报数据出境安全评估。
标准合同:与境外接收方签订标准合同并向省级 CAC 备案。
负面清单:自由贸易试验区负面清单之外的数据可依法自由跨境流动;清单内数据仍按国家数据出境管理制度办理。
常见问题
做 DPP / CBAM 出海项目,数据传到欧盟算"数据出境"吗?
算。向境外(含欧盟客户、平台、核查机构)传输中国境内产生的数据即属数据出境,需依据数据类型选择合规路径。AMT 数据平台支持境内外双节点,把出境范围降到最小。
上海自贸区负面清单有什么用?
负面清单之外的数据出境可免于安全评估 / 标准合同备案,大幅降低多数出海业务的数据流动成本与周期。
AMT 自己是如何合规的?
AMT 已完成 ISO 27001 认证、CAC 数据出境备案、标准合同,并对接上海自贸区负面清单,详见信任中心。