第 6 章 · 跨境数据合规工作站
决策树清单案件时间轴
这个工作站给你什么
中国企业出海的数据合规复杂度远超国内 — 三层叠加同时适用:
| 层 | 来源 | 关键义务 |
|---|---|---|
| 中国 | PIPL(个人信息保护法)+ 数据安全法 + 网络安全法 | 数据出境安全评估 + 标准合同备案 + 重要数据出境审批 |
| 美国 | CLOUD Act + ECPA + 加州 CCPA / 弗吉尼亚 / 德州等州法 | 数据本地化要求?跨境调取响应义务? |
| 欧盟 | GDPR + Schrems II 后的国际传输限制 | 标准合同条款(SCCs)+ 充分性认定 + 数据保护影响评估(DPIA) |
关键场景:
- 中国总部 → 美国子公司的人员、客户、运营数据传输
- 中国总部 → 欧洲子公司(GDPR 适用)
- 跨境云服务(AWS / Azure / Google Cloud / 阿里云国际站)的数据落地
- 跨境 SaaS 服务(你卖产品给海外客户,处理他们数据)
- 应对外国监管调取(DOJ / SEC / 税务 等)vs 中国数据出境法
- 网信办 / CAC 审查(美光案模式 — 关键信息基础设施 + 网络安全审查)
GC 在这些场景的核心问题:
- 我公司哪些数据流必须做合规?数据出境安全评估 vs 标准合同 vs 跨境保护认证三选一
- 跨境监管冲突时怎么办?(外国传票 vs 中国数据出境法)
- 重要数据怎么识别?(《重要数据识别指南》和行业指引)
- 客户合同中的数据保护条款怎么设计?
工具 1:跨境数据合规决策树
回答几个问题,得到针对你公司具体情境的合规路径建议。
工具 2:数据出境合规清单
按场景组织:(A)中国 → 海外子公司 / 总部,(B)跨境 SaaS / 云服务,(C)应对外国监管调取,(D)应对中国 CAC 审查。
工具 3:可下载模板
- 数据出境安全评估申报书框架(中文 DOCX)— CAC 申报的章节结构
- 个人信息保护标准合同备案模板(中文 DOCX)— 数据出境的 SCC 路径
- 数据保护影响评估(DPIA)模板(中英双语 DOCX)— GDPR 标准 + 中国 PIPL 适配
- CLOUD Act vs PIPL 冲突应对备忘录(中英双语 DOCX)— 收到美国 subpoena 但中国法律禁止时的应对
- 重要数据识别清单(中文 PDF)— 行业重要数据的实务判断
- 客户合同数据保护条款库(中英双语 DOCX)— 各类数据保护义务条款的标准库
模板正在制作中,会在后续更新中替换为可下载的实际文件。
工具 4:跨境数据合规标志事件时间轴
| 时间 | 事件 | 影响 |
|---|---|---|
| 2018-05 | GDPR 生效 | 欧盟数据保护新基准 |
| 2018-03 | 美国 CLOUD Act 通过 | 美国法院对境外数据有调取权(即使数据在中国) |
| 2020-07 | Schrems II 判决 | 欧美数据传输 Privacy Shield 失效,需 SCCs |
| 2021-08 | 中国 PIPL 通过 | 中国数据出境合规框架确立 |
| 2021-09 | 中国《数据安全法》生效 | ”重要数据”概念 + 出境审批 |
| 2022-09 | 中国《数据出境安全评估办法》 | 三种出境路径明确 |
| 2023-03 | CAC 启动 Micron 网络安全审查 | ”关键信息基础设施”+“网络安全审查”作为新工具 |
| 2023-05 | CAC 宣布 Micron 产品禁用于关基设施 | 中方反制 + 网络安全审查工具化 |
| 2023-06 | 中国《标准合同》备案制度生效 | SCC 备案路径开放 |
| 2024-03 | 滴滴跨境数据案罚款 80.26 亿元 | 中国数据出境违规罚款记录 |
| 2024+ | 各州 / 各国数据法持续推出 | 复杂度持续上升 |
| 2025-2026 | 欧盟 AI Act + 数据法案叠加 | 加更多合规层 |
中国数据出境的三种路径(GC 必须知道的选择题)
PIPL 第 38 条 + 《数据出境安全评估办法》明确:
| 路径 | 适用 | 时间 + 成本 | 适合谁 |
|---|---|---|---|
| CAC 安全评估 | 重要数据 / 关键信息基础设施运营者 / 处理 100 万人个人信息 / 累计 10 万人敏感个人信息出境 | 30-90 天 + 高(外部律所 + 跨境合规顾问 + 内部审计) | 大型互联网 + 关键基础设施 + 高敏行业 |
| 标准合同备案 | 不触发 CAC 评估的中型规模出境 | 7-30 天 + 中 | 大多数中型企业的常规路径 |
| 跨境保护认证 | 集团内跨境 + 标准化业务 | 30-90 天 + 中 | 跨国企业集团内数据流 |
| 个人单独同意 | 单次零星出境 | 即时 | 极少业务场景 |
进一步协助
如果你公司面对数据出境合规、跨境云服务设计、或外国监管调取应对,可联系我邮箱 [contact-placeholder]。
最后更新:2026-04-29。本章每月跟踪 CAC 通知 + 网络安全审查动态 + 各州 / 各国数据法变化。
🧭 风险自查决策树(交互工具)
回答几个问题,输出当前风险等级与推荐路径。无需提交任何信息到服务器,纯本地运算。
步骤 1