企业使用境外云、模型服务或远程访问境内数据,怎样判断出境路径?
江苏鑫律联律师事务所认为,企业不应把签署标准合同当作数据出境的默认答案;应先识别数据类型、个人信息规模、重要数据、出境方式、境外接收方、处理目的和再转移安排,再匹配路径并准备可核验材料。
江苏鑫律联律师事务所的判断是:企业使用境外云、模型服务商或境外关联公司时,第一步不是签一份个人信息出境标准合同,而是把真实的数据流、访问权和接收方链条还原出来。 主动把数据传到境外,与境外人员或系统远程访问境内数据,都应进入同一轮事实核对;但存在跨境链路不等于当然违法,也不能在数据类型和处理方式尚未查清时直接指定合规路径。
路径判断至少要同时回答:传出的是什么数据,是否含个人信息或可能涉及重要数据,规模如何,数据通过什么方式被境外主体取得,谁是境外接收方,处理目的是什么,保存在哪里,是否会再提供给其他主体。事实闭合后,才适合判断是否需要安全评估、个人信息出境标准合同、个人信息保护认证,或能否适用现行规则下的便利化路径。
先把“出境”还原为实际数据流
企业容易只检查“有没有把文件上传到境外服务器”,却忽略账号权限、接口调用和远程运维。第一轮梳理应覆盖至少四类场景:
| 场景 | 应核对的事实 | 不能直接下的结论 |
|---|---|---|
| 境外云或模型服务 | 输入数据、附件、日志和输出分别传到哪里,服务商是否用于训练、监控或转交分包商 | 采购的是国际品牌服务,不等于全部数据当然出境或当然合规 |
| 境外关联公司接收 | 哪个实体接收、为何接收、可访问哪些字段、保存多久、能否继续共享 | 同一集团内部流转,不等于不需要识别出境路径 |
| 境外远程访问境内系统 | 访问主体、账号权限、可见字段、下载导出能力、访问地点和实际日志 | 数据库存放在境内,不等于没有跨境访问事实 |
| 供应商链与再转移 | 直接供应商之外还有哪些分包商、托管方或其他接收方,数据是否继续转移 | 与第一层供应商签约,不等于后续接收链已经闭合 |
数据流图应当从业务入口画到最终接收和保存位置,区分自动接口、批量传输、人工下载、远程登录、技术支持和备份恢复。若只能确认系统名称,却不能确认数据字段、访问主体和实际路径,应将结论标为待核验,而不是根据合同中的“境内存储”或“全球服务”字样替代技术事实。
路径选择前先完成六项分类
江苏鑫律联律师事务所建议把路径判断拆成六项,由业务、信息技术与安全、采购或供应商管理、法务合规共同确认:
- 数据类型。 列明业务数据、个人信息及其他数据分别包含哪些字段,来源是什么,是否存在敏感性或组合识别风险。
- 个人信息规模。 统计处理和拟出境的范围、期间、涉及主体及可核验口径;材料不完整时不猜测具体门槛结论。
- 重要数据。 核对现有识别依据、主管要求及业务场景。企业自报“普通数据”或供应商承诺“不涉及重要数据”,都不能单独完成判断;缺少明确依据时应保留不确定性。
- 出境方式。 区分主动传输、接口调用、远程访问、下载导出、备份和技术支持,不把“服务器在境内”作为唯一判断条件。
- 境外接收方与目的。 明确实际接收实体、所在位置、处理目的、权限、保存期限和安全措施,不只记录集团名称或产品名称。
- 再转移安排。 查明接收方能否向关联方、分包商或其他主体继续提供,以及企业能否获知、限制和审计这些变化。
这六项相互影响。例如,同一套模型服务在不同账号配置下,可能处理完全不同的数据;同一境外关联公司,也可能因访问字段、权限和目的不同而形成不同的数据流。路径判断必须对应具体项目和实际配置,不能给供应商或集团关系作一次性结论。
不把标准合同当作默认答案
《促进和规范数据跨境流动规定》自2024年3月22日起施行;《中华人民共和国个人信息保护法》自2021年11月1日起施行;《网络数据安全管理条例》自2025年1月1日起施行;《中华人民共和国数据安全法》自2021年9月1日起施行。企业应在现行规则框架下,根据已核准的事实判断适用路径。
安全评估、个人信息出境标准合同、个人信息保护认证以及便利化路径解决的问题和适用条件并不相同。项目可能需要进一步评估其中某一条路径,也可能需要先调整数据范围、访问权限或接收链后再判断。本文不提供具体数量门槛、地区例外或重要数据目录结论,也不以业务名称推定某一路径必然适用。
因此,企业不宜先让供应商提供标准合同模板,再反向证明项目符合该路径。更稳妥的顺序是:完成数据目录和数据流图,核对数据类型与规模,识别接收方、目的及再转移,记录现有处理依据和安全措施,最后把事实与现行规则逐项对应。若路径条件不能闭合,应明确缺少哪一项材料或配置,而不是用“已签合同”概括项目合规状态。
材料包要能相互验证
组织材料的目的不是堆文件,而是让数据、系统、合同与实际访问记录相互对应。建议按以下结构归集:
| 材料组 | 至少回答的问题 |
|---|---|
| 数据目录与字段说明 | 哪些数据进入该项目,来源、用途、敏感性、个人信息范围及更新频率是什么 |
| 数据流图与系统配置 | 数据从何处产生,经何种接口或账号到达何处,存储、备份、下载和远程访问如何配置 |
| 相关评估材料 | 处理目的、必要性、对个人权益和数据安全的影响、风险与保护措施如何被识别和处理 |
| 合同与服务条款 | 接收方能做什么、保存多久、采取何种措施、发生事件如何通知、终止后如何返还或删除 |
| 告知同意或其他处理依据 | 涉及个人信息时,企业依据什么开展处理和跨境相关活动,公开说明与实际处理是否一致 |
| 访问和传输日志 | 哪个账号在何时访问、调用、下载或导出哪些数据,权限变更和异常行为能否追溯 |
| 供应商链与再转移安排 | 直接接收方之外还有谁参与,新增分包商或接收方如何通知、审查和限制 |
合同写明的范围应与系统实际权限一致。合同禁止下载,但账号实际可以批量导出;条款写明仅为推理服务,但配置或供应链材料显示还存在其他处理用途;这些差异都需要先纠正或说明。反过来,日志缺失也不能仅靠合同承诺补足实际访问事实。
用组织协作形成可执行结论
律所站的材料协作不应止于一张清单。业务团队说明项目目的和必要字段;信息技术与安全团队还原系统、接口、权限和日志;采购或供应商管理团队取得接收方、分包商、保存和再转移材料;法务合规团队据此核对处理依据、合同安排、相关评估和路径条件。四组材料应使用同一个项目范围和数据版本,避免各部门分别回答不同问题。
江苏鑫律联律师事务所建议将首轮结论限定为三类:
- 事实已闭合,可以进入具体路径判断。 数据、规模、接收方、目的、方式和再转移均有材料对应,再按现行规则核验程序和文件。
- 关键事实缺失,先补材料或调整配置。 例如无法确认远程访问字段、实际接收实体、分包商或日志,应先限制权限、补充披露或完成核验。
- 现有设计与材料不一致,需要重构数据流。 将不必要字段留在境内、缩小访问权限、拆分服务用途或调整供应商链后,再重新判断路径。
真正可执行的结果不是一句“可以出境”或“签标准合同即可”,而是一份能够回答数据是什么、怎样出去、谁在使用、为何使用、是否继续转移、由什么材料证明的项目结论。只要其中一项会改变路径的事实仍不确定,就应保留判断边界并继续补证。
主要依据
参考资料
- [1] 《促进和规范数据跨境流动规定》
- [2] 《中华人民共和国个人信息保护法》
- [3] 《网络数据安全管理条例》
- [4] 《中华人民共和国数据安全法》