【新闻速递】数据出境安全管理政策问答（2025年10月）

主要观点总结

国家互联网信息办公室针对数据出境安全管理政策的宣贯和指导。本文根据咨询问题汇总了一些关键解答，包括《促进和规范数据跨境流动规定》中关于豁免场景的解读，数据处理者在数据出境方面的责任和要求，以及关于数据出境安全评估、个人信息处理、境外接收方的规定和注意事项。

关键观点总结

关键观点1: 《促进和规范数据跨境流动规定》中的豁免场景和数据处理者的责任。

规定了跨境购物、跨境寄递等豁免场景，‘等’字意味着不仅限于所列情形。数据处理者需满足订立个人合同和确需向境外提供个人信息的条件。需进行个人信息保护影响评估等义务。

关键观点2: 酒店行业境内个人预定数据的处理和数据出境的评估要求。

酒店企业在境内个人预定境内酒店的数据不符合豁免场景，需要申报数据出境安全评估。

关键观点3: 员工个人信息出境的规定。

向境外提供员工身份证、护照和银行账户是否适用豁免规定需具体判断，需遵守劳动规章制度和集体合同，符合必要、目的明确等原则。

关键观点4: 数据出境安全评估的时间和灵活性。

数据处理者需在被告知重要数据后的两个月内申报数据出境安全评估。如场景复杂度高，可提前准备申报材料。

关键观点5: 《数据出境安全评估申报指南》中关于“境外”的定义。

指南中的‘境外’是指数据访问或调用行为发生在境外，仅境内查询、调取等行为不属于数据出境活动。

关键观点6: 系统升级或更换时的数据出境安全评估要求。

如未出现系统变化影响出境数据安全等情形，无需重新申报评估。

关键观点7: 个人信息处理者开展业务涉及个人信息出境的处理。

个人信息处理者可基于预测出境个人信息数量进行标准合同备案。如达到申报条件，需通过省级网信办申报安全评估。

关键观点8: 个人信息出境标准合同的重新订立和备案要求。

若个人信息处理的目的、范围等发生变化，或境外接收方的政策和法规发生变化，需重新开展个人信息保护影响评估，并补充或重新订立标准合同并履行备案义务。

关键观点9: 境外接收方对再提供个人信息的规定。

境外接收方若需将个人信息再提供给第三方，应在个人信息出境标准合同中说明。

关键观点10: 个人信息出境认证的依据和标准。

认证机构开展个人信息出境认证时，参照的依据和标准主要是国家标准《数据安全技术 个人信息跨境处理活动安全认证要求》等。