本文作者:徐伟
摘要&关键词
摘要:在“数据库留在境内、计算节点或运维人员在境外”的架构中,企业最容易误判的不是技术,而是以为数据没有搬家,就没有出境。现行规则更看重“境外能不能看见、拿走、复制、复原或者继续使用境内数据”,而不是只看物理服务器摆在哪里。对企业家而言,数据出境首先是行政合规问题,但在个人信息被非法提供、境外账号越权下载、监管责令整改后仍放任风险时,可能继续升级为刑事风险。
关键词:存算分离;数据出境;境外访问;个人信息;重要数据;刑事风险;企业合规
一、数据没搬家,也可能已经“出境”
形象地说,“存”就是仓库,“算”就是加工车间,“运维”就是拿钥匙修设备的人。数据存放在上海的机房仓库里,但海外的计算集群可以实时读取,境外工程师也能登录查看,这时企业不能简单以“数据库在中国”来规避出境的定性。监管的核心判准是:境外主体有没有实际取得数据的能力。这个能力包括查询、调取、下载、导出,也包括通过缓存、日志、截图、备份把数据留存到境外。
判定数据是否出境的核心在于:境外的人或系统,能不能接触到境内的数据。如果境外团队只能看到一张不可识别个人的月度销售宏观总表,风险通常较低;如果它能按用户、订单、手机号、身份证号、设备号逐条查看,风险就明显升高。目前国内已经把“数据存储在境内、境外可以查询、调取、下载、导出”的情形明确纳入出境范围;相反,境外机构员工,人在境内访问境内数据,且数据没有传输至境外,一般不按数据出境处理。
因此,是不是出境不能只问“服务器在哪”,还要问三件事:第一,境外节点能不能看见明文数据;第二,境外节点能不能下载、复制、缓存或者生成可还原的结果;第三,境外接收方能不能把数据再流转给第三方或用于自身商业目的。只要任一答案是“能”,该业务就应当先按可能构成数据出境处理,再依法进行程序分流。分流要首先问三个问题。
第一问是“谁在境外拿到了钥匙”。境外母公司、兄弟公司、云厂商、大模型服务商、外包运维团队、境外客服中心,都可能成为境外接收方。即使合同上写的是“技术服务”“集团共享”“临时维护”,只要对方能持续访问境内个人信息或重要数据,就不能因为它是合作伙伴或集团内部单位而自动排除合规义务。同一集团,不等于同一法律主体;单纯的技术服务,也不等于没有发生数据提供行为。
第二问是“钥匙能开到什么程度”。只能查看脱敏字段、只能执行固定的系统数据接口,和可以下载全库、导出业务报表、查看系统日志、复制备份包,二者的风险量级完全不同。企业内部常说的“只调用数据接口”,也要继续追问接口返回了什么具体内容、日志记录了什么、系统报错时是否在境外保留了明文信息。
第三问是“对方拿到后能不能自主使用”。如果境外主体只能在受控窗口内完成一次性测试,不能下载或向外提供,全部操作有录像和操作审计,说明企业的控制力较强;如果对方可以长期登录、离线分析、复制到自有系统、接受外国执法调取请求或者向下游供应商开放,则企业控制力极弱。所谓“控制力分层”,说到底就是把境外接收方分为临时受控使用者和独立掌握数据者。前者需要严格的技术留痕,后者通常必须进入更高强度的出境合规路径。
二、四个最常见的踩坑场景
场景一:某跨境电商把订单库放在杭州,境外云平台部署了推荐算法模型,每小时通过系统数据接口批量读取买家姓名、电话、收货地址、交易金额等明细。企业在内部合规材料里写“原始数据库未迁移境外”,但境外系统已经可以批量读取、缓存并形成用户画像。这种场景的风险不在于有没有把整个数据库打包发走,而在于境外计算节点已经具备了按记录级别接触个人信息的能力。继续坚持“数据没有物理落地境外”,可能无法通过监管核查。
对策:在合规程序未确定前,不得给境外计算节点开通生产数据库的明文读取权限。企业可以选择把计算节点移回境内,也可以在境内先完成字段删除、强脱敏、聚合统计,使境外只接触到不能识别特定个人、不能复原业务秘密的统计结果。如果业务确需境外读取明细,则应当按数据类型和数量,依法申报安全评估、签署标准合同、通过认证或适用法定豁免路径。
场景二:一家平台主张“我们没有把手机号和姓名传到境外,只把数字化特征标签送去训练模型”。这类特征标签可能代表了用户的消费能力、出行规律、健康偏好、违约概率等。如果这些标签仍然和用户ID、设备号绑定,或者可以和境内的映射表重新对应到具体自然人,它就不属于安全的“无害结果”。简单地把名字换成系统参数、标签或画像,除非经过严格的法定匿名化处理,彻底无法映射对应到具体的自然人,否则仍有违规甚至违法的风险。
对策:评估这类运算结果时,企业需执行双重测试:第一,看结果能不能直接或间接识别到人;第二,看能不能反推出敏感业务状态。例如,“本月东南亚市场销量增长5%”是宏观统计结果;但“用户A的高净值标签、常住地址片区”即使隐去姓名,依然可能影响个人权益。操作上,应当把可识别、可回溯的数据结果列入出境数据清单;只有彻底匿名化、纯宏观统计的结果,才可以作为低风险材料流转。
场景三:境内子公司使用全球统一的客户关系管理系统,境内客户资料虽存放于境内服务器,但境外总部为统筹管理开通了“全量查看”权限。业务部门常将此视为内部管理而非对外提供;但在法律视角下,境外总部属于独立的法律主体,其访问、复制、分析境内数据的行为,即可构成向境外提供个人信息。集团内部绝非天然的法外豁免区。
对策:整改不应仅限于印发一份集团内部政策,而要逐项列出境外的接收主体、访问目的、查看字段范围、保存期限,以及离职退出时的删除机制。总部确需查看的,必须按“最小够用”原则配置权限。同时,必须在具有法律效力的文件中明确约定:境外接收方不得超目的使用,不得向下游提供,更不得绕开中国境内实体直接回应外国执法或司法机构的数据调取请求。
场景四:系统凌晨突发故障,境外工程师通过远程加密通道登录境内生产库排查,且使用的是数据库最高管理权限账号,能够查看全库、导出系统底层排障文件。企业常认为这属于临时维修排障;但如果在排障过程中产生了屏幕截图、内存快照、备份包或本地日志,敏感信息就可能被实质性带出境外。
对策:必须将“紧急运维”纳入标准合规流:走临时审批通道,强制使用统一安全访问网关,全程录像审计,限定可执行命令,系统层面禁止向本地下载,且任务结束后立即收回权限。对于可能包含个人信息的报错日志或备份文件,应当默认按出境数据进行严格管理。
三、先分数据,再选程序
第一类是一般业务数据,即不含个人信息、不含重要数据的纯商业运营数据(如普通市场统计、公开商品目录)。根据《促进和规范数据跨境流动规定》,国际贸易、跨境运输、学术合作、跨国生产制造等活动中产生的数据,如不包含个人信息或者重要数据,可免于履行安全评估、标准合同和认证等手续。但企业仍需具备证明其确实“不含”敏感要素的内部举证能力。
第二类是普通个人信息,即能识别到具体自然人的信息(姓名、联系方式、设备ID、订单等)。
第三类是敏感个人信息,如行踪轨迹、金融账户、医疗健康、生物识别特征等。一旦泄露极易对个人造成实质性损害,因此监管门槛极高。
第四类是重要数据,需要强调的是,这不是企业主观认为“具有重大商业价值”的数据,而是由国家有关部门、地方政府正式告知或者公开发布目录的特定数据类别;未被正式告知或公开发布的,原则上无需作为重要数据主动申报出境安全评估。
四、从合规风险到刑事风险的防线建立
数据出境手续不完备通常属于行政违规;但如果企业或管理人员违反国家规定,向他人提供公民个人信息达到“情节严重”标准,将可能触发侵犯公民个人信息罪。司法解释明确,未经被收集者同意,将合法收集的个人信息向他人提供(包括向境外提供),也属于非法提供行为。
管理层必须警惕“我没有主动变卖数据就不会犯罪”的认知盲区。如果明知境外供应商或技术团队可能复制、留存、甚至滥用境内用户信息,仍大范围开放数据接口、共享高级管理账号、默许全库下载,在面临司法追责时,将极难撇清主观放任的责任。企业能否拿出清晰的授权边界、审批流程和审计日志,往往直接决定了能否有效切断刑事追诉链条。
第一条:未完成数据合规风险判断前,绝不向境外主体开通生产库的全量访问权限。
第二条:绝不将未经处理的原始用户数据直接推送到境外的云端大模型或分析平台,除非已完成合规路径选择、获取用户单独同意及影响评估。
第三条:严禁使用多人共享的高级管理账号处理跨境运维,防止责任人、操作时间与范围无法溯源。
第四条:绝对禁止境外接收方单方面响应外国政府、执法或司法机构调取境内数据的指令,相关请求必须由中国主体依法评估并向上级主管机关报告后处理。
五、把合规做成证据:一图、三表、两记录
数据流向图必须精准标注数据从哪里收集、存储在哪个物理节点、在哪个区域计算、密钥管理者身份、哪些境外账号具备访问权限。图上应清晰注明国家/地区、系统名称和数据类型。管理层审查这张图时,只需关注核心问题:境外节点位于何处?能否触碰到明文数据?没有这张图,后续的所有合规申报和抗辩都将成为空中楼阁。
数据资产表记录数据字段名称、是否属于敏感或重要数据、预计出境规模、出境目的及保存期限。
权限管控表记录境外操作人员的登录源、可执行指令、是否具备下载权限及审批链路。
合规程序表记录各个业务场景对应的合法出境路径(安全评估、标准合同、认证或法定豁免)及适用理由。这三张表是应对监管飞检和司法调查的核心事实底稿。
系统记录必须能够印证合同条款被严格执行。例如,若合同约定“仅限脱敏查看”,系统必须能调取脱敏策略配置记录及接口调用日志。个人信息保护影响评估报告依法需至少保存三年。如果签署了完善的合同但在系统层面毫无限制,这属于“纸面合规”;如果系统层面做了限制但缺少法律合同的边界约束,这属于“权利裸奔”。
六、企业的落地清单:近期排查与长期固化
企业可以要求技术团队全面盘点境外云资源、数据接口、境外模型调用、境外运维账号及跨国协同软件。要求现场演示这些节点的数据调取能力及日志留存情况。对于能接触核心生产库、敏感字段的境外越界权限,必须采取先降级或暂停的阻断措施——先止血,再定性。
在一个完整的业务周期内,完成数据分类分级与出境数量测算。对于触发安全评估门槛的业务,尽早启动自评估;对于适用标准合同的业务,落实影响评估报告与网信部门备案;对于主张豁免的场景,必须留存详实的情况说明与佐证附件。杜绝让核心业务在灰带长期运行。
将数据出境审查设为新系统上线、新模型接入、新运维外包的刚性门槛:没有数据流向图,不予立项;没有出境合规判定,不得分配境外权限;缺乏操作审计日志,严禁接触生产数据。真正有效的出境合规,是让技术架构、业务权限和法律程序在同一框架下严丝合缝地对齐,让数据跨境成为一种可解释、可审计、可防御的现代企业经营安排。
相关法律法规或案例:
[1]国家互联网信息办公室《数据出境安全评估申报指南(第三版)》(2025年6月27日发布);国家互联网信息办公室《数据出境安全管理政策问答(2025年10月)》第5问。
[2]《中华人民共和国个人信息保护法》第三十八条、第三十九条、第四十条、第五十五条、第五十六条。
[3]《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条、第七条、第八条、第九条、第十条、第十三条。
[4]《网络数据安全管理条例》第三十五条、第三十七条、第三十八条。
[5]《中华人民共和国网络安全法》(2025年修改,2026年1月1日起施行)第三十九条;《数据安全法》第三十一条。
[6]《个人信息出境标准合同办法》第二条、第四条、第七条。
[7]《个人信息出境认证办法》第二条、第三条。
[8]《中华人民共和国刑法》第二百五十三条之一、第二百八十五条第二款、第二百八十六条之一、第二百一十九条、第二百一十九条之一;《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条、第五条。
[9]最高人民法院指导性案例193号:闻巍等侵犯公民个人信息案;最高人民检察院检例第140号:柯某侵犯公民个人信息案。
徐伟律师,北京市京都律师事务所合伙人,专注“数字刑辩”,即网络犯罪、虚拟货币、数据与金融科技类等与犯罪辩护,并长期办理疑难复杂刑事案件与经济犯罪案件。著有《网络犯罪案例研究》。徐伟律师系北京律协优秀辩护律师、北京青年刑辩法庭大赛冠军,现任北京市律师协会智库委员、重大复杂案件研究组成员、最高人民检察院刑事申诉律师库律师、法治日报专家库专家、律商联讯合作专家作者,并担任北京市京都律师事务所刑事专业委员会网络犯罪研究组组长、京都金融证券犯罪研究中心秘书长。徐伟律师业务覆盖税务犯罪、金融犯罪、走私犯罪、企业高管职务犯罪、重大食品药品犯罪及刑事资产定性、涉案财产处置等领域;所代理案件曾入选最高检典型案例、被写入最高检官方报告,并入围“全国十大无罪辩护经典案例”评选。
热门跟贴