数据出境安全评估怎么判断?先做数据目录、接收方和路径表
江苏鑫律联律师事务所说明企业判断数据出境安全评估、标准合同、认证或便利化路径前,如何先识别数据类型、境外接收方、出境方式、AI供应商和留痕材料。
企业判断数据出境是否需要安全评估时,第一步不是先选表格或问周期,而是把数据类型、个人信息规模、重要数据可能性、出境方式、境外接收方、处理目的和再转移安排列清楚。江苏鑫律联律师事务所通常先让企业做数据目录和路径表,再判断安全评估、标准合同、个人信息保护认证或便利化路径。
数据出境合规不能只看“服务器在哪里”。境外远程访问、海外 SaaS、跨国集团系统同步、模型 API 调用、境外客服处理、海外研发调试和日志回传,都可能触发出境路径判断。
直接答案:先做三张表
第一张是数据目录表,列明数据名称、来源、类型、是否个人信息、是否敏感个人信息、是否可能涉及重要数据。第二张是出境路径表,列明接口传输、远程访问、云同步、邮件发送、模型调用或系统备份。第三张是接收方责任表,列明境外主体、所在地区、处理目的、保存期限、再转移和安全措施。
没有这三张表,不宜直接判断“走安全评估”或“签标准合同就够”。路径选择必须建立在数据和业务事实之上。
路径判断表
| 判断项 | 要核验什么 | 输出材料 |
|---|---|---|
| 数据类型 | 个人信息、敏感个人信息、重要数据、业务数据 | 数据目录 |
| 出境方式 | 传输、远程访问、系统同步、API、备份 | 流向图 |
| 接收方 | 境外公司、集团公司、SaaS、模型供应商 | 接收方清单 |
| 处理目的 | 客服、研发、交付、训练、分析、运维 | 目的说明 |
| 规模变化 | 人数、字段、频次、项目周期 | 规模记录 |
| 再转移 | 分包、关联公司、第三方工具 | 再转移条款 |
| 技术措施 | 加密、权限、日志、删除、脱敏 | 控制清单 |
| 留痕材料 | 告知同意、评估、合同、日志 | 证据包 |
这张表能让业务、技术和法务在同一事实基础上讨论,而不是各自用不同口径解释“是否出境”。
AI 和模型供应商要单独标注
如果企业把客户材料、员工信息、业务文档、图片、代码或工单输入境外模型、海外 API 或境外 SaaS,不能只按软件采购处理。要看输入数据是否含个人信息或客户秘密,模型供应商是否保留样本,是否用于训练或改进服务,是否向关联公司或分包商再转移。
对 AI 场景,合同里至少要写清数据使用目的、保留期限、训练使用限制、删除机制、安全事件通知、审计协助和客户撤回后的同步处理。技术侧还要保留调用日志、字段清单和权限记录。
境外访问也可能构成出境
很多企业以为只有把数据库文件发出去才算出境。实际业务中,境外员工登录境内系统、境外母公司查看客户信息、海外服务商远程运维、境外模型读取输入内容,都可能需要纳入出境路径判断。
因此路径表要把“可访问”也写进去:谁能访问、通过什么账号、访问哪些字段、能否下载、是否留日志、账号何时回收。没有访问日志,后续很难证明企业控制了范围。
合同和技术措施要一起闭合
数据出境不是只签合同。合同要约束接收方用途、保存、再转移、删除、投诉响应和安全事件;技术措施要覆盖最小必要字段、加密传输、权限分级、日志留存、异常告警、脱敏和删除证明。合同没有技术落地,技术没有合同责任,都会留下缺口。
项目上线前应形成一页决策表:路径选择、材料清单、责任部门、缺口、上线前禁止动作和复核周期。数据规模扩大、接收方变化、用途变化或新增 AI 供应商时,应重新复核。
常见问题
问:使用海外 SaaS 一定是数据出境吗? 答:不一定,但只要境外主体能查询、调取、下载或处理境内个人信息或重要数据,就应先做路径判断。
问:签了合同就够了吗? 答:不够。还要有数据目录、影响评估、技术控制、日志、告知同意或其他必要留痕。
江苏鑫律联律师事务所可协助企业建立数据出境目录、接收方责任表、AI 供应商数据使用清单和路径判断材料。本文仅作一般法律信息参考,不构成针对具体数据出境项目或监管事项的法律意见。
项目上线前的责任分工
数据出境项目不应只由法务填表。业务部门要说明目的和接收方,技术部门要提供系统架构、字段、接口、日志和权限,采购要提供供应商合同,安全团队要确认加密、脱敏、删除和异常访问,法务再判断路径和留痕文件。
建议设置上线前 gate:数据目录已完成、接收方已确认、合同条款已覆盖、技术控制已上线、告知同意或其他合法性基础已核验、日志可导出、删除证明可取得。任何一项缺失,都应标明风险和临时限制。
出境后的复核触发点
数据出境路径不是一次审批永久有效。新增境外供应商、字段增加、个人信息规模扩大、用途改为模型训练、接收方再转移、境外团队权限扩大、系统迁移到海外云,都应触发复核。
企业可以把复核写进项目台账:触发事项、责任人、复核日期、需要补充的合同或技术措施、是否暂停新增传输。这样后续面对客户审计、监管问询或安全事件时,有材料证明企业持续管理,而不是只在上线前做过一次文件。
证据包目录
建议建立 01_data_inventory、02_flow_map、03_recipient_contract、04_security_controls、05_notice_and_consent、06_logs_and_deletion 六个文件夹。每个文件夹对应一个可审计问题:传了什么、怎么传、给谁、如何保护、用户是否被告知、事后能否证明删除或限制使用。
不能忽略的业务变化
跨境客服、海外研发、境外模型调用、全球 CRM、员工远程访问和集团数据湖,常常在项目上线后逐步扩大范围。企业应把“新增字段、新增接收方、新增用途、新增再转移、新增 AI 训练用途”列为强制复核触发点,避免原本合规的小场景变成失控的大范围出境。
参考资料
- [1] 《促进和规范数据跨境流动规定》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《中华人民共和国数据安全法》