📌 导语

2026年6月25日，随着国办发布《关于加强监管防范风险促进私募投资基金高质量发展的指导意见》等一系列政策，数据安全与个人信息保护再次成为焦点。今日，备受关注的《个人信息跨境传输新规》（以下简称“新规”）正式公布细则，标志着我国个人信息出境管理从“申报制”向“分类监管+标准合同+安全认证”的多元模式全面转型。新规旨在平衡数据流动与安全，对跨国公司、出海企业及金融机构的数据治理能力提出更高要求，同时为合规路径提供了更多灵活性。

🔑 关键要点

1. 新规明确以“风险分类”为核心，将个人信息出境场景分为“常规业务”、“高风险业务”及“国家关键信息基础设施”三类，适用不同合规路径。

2. 标准合同（SCC）适用范围扩大，不再限于中小企业，但要求合同必须向省级网信部门备案，并增加“数据本地化存储”的强制条款。

3. 引入“数据出境安全认证”作为第三条合规路径，企业可通过第三方权威机构认证来证明出境活动合规，降低行政审查负担。

4. 明确对“假借匿名化、去标识化名义规避监管”的行为进行严厉打击，要求企业披露真实的数据跨境流向及所涉第三方。

5. 对金融机构和汽车行业（如本次新能源汽车下乡活动涉及的车主数据）提出专项要求，需建立数据出境“一事一议”的审批机制。

🔍 深度分析

此次新规的出台，并非简单的政策修补，而是对过去两年《个人信息保护法》实施经验的一次系统化重构。从背景看，今日发布的《关于应用机动车出厂合格证信息办理机动车注册登记业务的通知》以及新能源汽车下乡活动，均涉及大量敏感个人信息（如车主身份、车辆轨迹）的跨境处理，客观上要求监管提供更清晰的合规指引。同时，近期印度塔塔电子超630GB数据泄露事件（涉及特斯拉、苹果等跨国企业），以及浙商银行因未制定网络安全事件应急预案被罚的案例，凸显了数据跨境流动中的真实风险——一旦发生泄露，责任难以界定。 新规的核心变化在于“动态评估”取代“静态审批”。企业不再需要一次性完成复杂的“安全评估”，而是根据业务场景的实时风险，选择标准合同或安全认证。例如，一家为海外客户提供客服服务的电商企业，只需与境外接收方签署经过备案的SCC即可，但需每半年进行一次合规自评。这一变化大大降低了中小企业的合规门槛，但同时也将监管压力从“事前”转移到了“事中事后”，企业需建立持续的数据治理能力。 值得注意的是，新规特别强化了对“AI离线化”趋势的回应。随着美军及国内大模型向私有化、离线化部署发展，数据出境场景也从传统的服务器交互转向了“模型训练数据出境”和“推理结果回流”。新规明确要求，用于训练大模型的个人信息，尤其是医疗、金融等高敏感数据，必须经过安全评估，不得仅凭SCC或认证出境。这将对自动驾驶、智能客服等依赖跨境数据训练的行业产生深远影响。

⚡ 影响评估

对行业而言，金融、汽车、跨境电商和云服务商将首当其冲。金融机构需重构其与海外分支的数据交互架构，汽车企业则需在“新能源汽车下乡”活动中，厘清车辆数据与用户数据的出境边界。对企业来说，合规成本将从“一次性审批”转变为“持续性投入”，预计头部企业年均合规支出将增加15%-20%。对个人用户而言，新规强化了“知情同意”要求，个人将有权查看其数据出境的完整链条，维权依据更加明确。

💡 建议措施

1. 立即开展数据出境“盘家底”行动：梳理所有涉及个人信息出境业务，明确数据类型、数量、接收方及目的，建立动态数据地图。

2. 根据新规三条路径（安全评估/标准合同/安全认证），为不同业务场景选择最优路径。建议大型企业优先完成“安全认证”以建立品牌信任。

3. 更新现有用户协议与隐私政策，增加“数据出境”专项条款，明确告知用户数据接收方、存储地点及维权渠道，避免“知情同意”合规漏洞。

4. 针对AI大模型、自动驾驶等新兴业务，提前与网信办、工信部等部门进行“预沟通”，确保模型训练数据出境路径符合新规“一事一议”要求。

5. 建立内部数据安全应急响应机制（如参照浙商银行被罚案例），将“未制定网络安全事件应急预案”列为公司红线，确保跨境数据泄露后能及时报告并启动补救措施。

数安早知道

— 点击上方链接访问知识库，获取更多安全资讯 —