数据出境安全管理政策法规问答（2026年1月）

国家互联网信息办公室持续加强数据出境安全管理政策法规宣介，指导和帮助数据处理者高效合规开展数据出境活动。经对近期收到的咨询问题进行研究，现将一些有代表性的问题和答复公布如下。

1.订立个人信息出境标准合同、通过个人信息出境认证与申报数据出境安全评估如何衔接？

答：根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《个人信息出境认证办法》等法律法规规章要求，关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，可以通过订立个人信息出境标准合同或个人信息出境认证方式出境个人信息。如数据处理者将前述个人信息出境事项申报数据出境安全评估，应当按照数据出境安全评估结果开展个人信息出境活动。

已订立个人信息出境标准合同或通过个人信息出境认证，但自当年1月1日起累计出境超过100万人个人信息（不含敏感个人信息）或者超过1万人敏感个人信息的，数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据处理者申报数据出境安全评估时，应当将自当年1月1日起通过订立个人信息出境标准合同或个人信息出境认证出境的个人信息，纳入申报评估范围，并按照数据出境安全评估结果开展个人信息出境活动。

属于《促进和规范数据跨境流动规定》第三条、第四条、第五条、第六条规定情形的，从其规定。

2.境内数据处理者已订立粤港澳大湾区个人信息跨境流动标准合同，若个人信息出境情形发生变化，如何履行合规义务？

答：境内数据处理者订立并备案粤港澳大湾区个人信息跨境流动标准合同，应当按照《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》和《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》规定，在粤港澳大湾区内开展数据跨境活动，不得违法向粤港澳大湾区以外的组织、个人提供个人信息。

境内已备案粤港澳大湾区个人信息跨境流动标准合同的数据处理者，需要向粤港澳大湾区以外的组织、个人提供个人信息的，应当按照国家关于数据出境安全管理有关规定，将拟向粤港澳大湾区以外提供个人信息履行申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息出境认证等合规义务。