近日,上海市网信办在国家网信办指导下,对属地部分企业数据合规问题办理了一批执法案件。其中,针对上海携程商务有限公司未落实数据出境安全评估要求、违法出境个人信息等行为,依据《个人信息保护法》予以罚款1000万元,并责令限期整改。
这是目前公开的数据出境领域少有的高金额处罚。通报发布后,客户咨询我们团队最多的问题是:携程踩了哪条线?1000万这个数是怎么定的?我们的情形要不要紧?本文尝试把这三个问题拆开讲清楚。
一、携程踩了哪条线
通报概括起来是两个违法行为:一是未落实数据出境安全评估要求,二是违法出境个人信息。两者是因果关系——没走安全评估程序就把个人信息传到境外,所以构成“违法出境”。
先看法律怎么规定的。
《个人信息保护法》第三十八条:
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
第四十条进一步明确:
关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
立法设计了两层逻辑:第一层,凡是向境外提供个人信息,都必须满足四条路径中的至少一条;第二层,对于关键信息基础设施运营者和处理个人信息达到规定数量的主体,原则上应当走安全评估这一条路。
携程作为持有海量用户个人信息的互联网平台,毫无疑问属于“处理个人信息达到国家网信部门规定数量”的情形,在不属于豁免情形的情况下,应当申报安全评估而未申报,属于典型的应评未评。
二、1000万罚单的法律依据
罚款的法定依据是《个人信息保护法》第六十六条,该条设了两档:
第一档(一般违法):
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第二档(情节严重):
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
携程适用的是第二档。1000万元在“5000万元以下”的法定幅度之内,属于中等偏下裁量。以携程年营收数百亿元的体量估算,“上一年度营业额5%”的上限在30亿元量级,1000万元远未触及。决定具体金额的因素,执法实务中通常包括:违法持续时间、涉及个人信息的主体数量与类型、是否造成实质危害后果、是否主动整改、是否配合调查等。通报中专门提到“企业受处罚后积极配合,全面落实有关整改要求”,这是裁量中一个明确的减罚因素。
但这不意味着处罚“轻”。第二档处罚不只罚钱——责令暂停相关业务、停业整顿、吊销许可,这些才是真正影响企业经营的手段。对直接责任人员的个人罚款(10万至100万)和任职禁止,同样是悬在管理层头上的利剑。
另外,有人可能会问:违法出境数据,为什么不依据《数据安全法》处罚?《数据安全法》第四十六条的适用前提是“向境外提供重要数据”,而本案执法机关认定违法行为的核心是“违法出境个人信息”,因此优先适用《个人信息保护法》第六十六条是准确的。两者在罚则严厉程度上也存在不同——《数据安全法》“情节严重”档罚款上限是1000万元,而《个人信息保护法》“情节严重”档上限是5000万元或上一年度营业额5%。选择适用《个人信息保护法》,也体现了对个人信息权益保护的侧重。
三、什么情形必须申报安全评估
这是企业最常问的问题,也是合规落地最关键的环节。
2022年《数据出境安全评估办法》第四条原规定:
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
2024年3月施行的《促进和规范数据跨境流动规定》对上述门槛做了调整,第七条现规定:
数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
核心变化两点:一是普通数据处理者的申报门槛从“处理100万人以上个人信息”(存量)调整为"当年累计向境外提供100万人以上个人信息"(流量);二是10万人个人信息这一档从“申报安全评估”降为“与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证”即可。
同时,《促进和规范数据跨境流动规定》第五条明确了豁免情形,实务中最常用的是第四项:
关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
据此,目前数据出境合规路径可以梳理为:
四、几个实务中容易被忽略的问题
1. “数据出境”不只是把数据传到境外服务器
国家网信办《数据出境安全评估申报指南(第三版)》明确,以下情形属于数据出境行为:1。数据处理者将在境内运营中收集和产生的数据传输至境外;2.数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;3.符合《个人信息保护法》第三条第二款情形,在境外处理境内自然人个人信息等其他数据处理活动。
很多企业只注意到了第一种,忽视了第二种。比如境外总部通过系统账号直接访问境内数据库,同样构成数据出境,这个场景在实务中最容易被遗漏。
2. 安全评估结果不是一劳永逸的
《促进和规范数据跨境流动规定》第九条规定,通过数据出境安全评估的结果有效期为3年。期满需要继续出境的,要在到期前60个工作日内申请延期。很多企业过了评估就以为万事大吉,忘了跟踪有效期和变更申报。
3. 免予申报不等于免予所有义务
即便数据规模落在豁免区间,仍然需要履行《个人信息保护法》下的告知义务、取得个人单独同意、进行个人信息保护影响评估等一般性义务。豁免的只是安全评估、标准合同和保护认证这三项出境专门程序,不是整个合规体系的通行证。
4. 负面清单制度值得关注
《促进和规范数据跨境流动规定》第六条设立了自贸试验区负面清单制度,清单外的数据可以免予三项义务。自贸区内企业应当主动关注清单内容,看自己是否可以适用。
五、企业自查的四个动作
以携程案为镜,建议业务和合规一起做四件事:
1. 清点出境场景。把涉及跨境传输、跨境查询调取、海外云存储、海外技术支持远程访问等场景全部列出来,区分“主动出境”与“被动出境”。远程访问最容易被遗漏。
2. 算清数量门槛。按“当年1月1日起累计”口径,分别统计个人信息主体数、敏感个人信息主体数,对照三档门槛看自己落在哪一档。
3. 补做风险自评估。无论走哪条路径,《数据出境安全评估办法》第五条要求的自评估都是前置动作,重点关注出境目的合法性、境外接收方数据保护能力、合同责任约定、应急处置渠道。
4. 盯住合同条款。依据第九条,与境外接收方的法律文件至少要约定出境目的与方式、数据保存地点与期限、再转移约束、控制权或经营变化时的处理、违约责任与争议解决、应急处置与个人信息权益救济六项内容。这是评估和备案的高频补正点。
综上,1000万元落在《个人信息保护法》第六十六条第二款的法定幅度内,向上离5000万上限还远,可以理解为执法机关在“情节严重”前提下做出的中等偏下裁量。通报专门肯定了企业积极配合整改。一旦被立案,配合与整改是降低最终处罚金额最直接、最可控的变量。比金额更值得关注的,是这次执法释放的信号:数据出境的合规审查已经走出“备案即免责”的舒适区,进入“实质合规、过程留痕、可追溯”的阶段。法律条文写得很清楚,路径也给了,选哪条路径取决于你的具体情况,但一条都不走,那就可能是下一个罚单。
本文作者:申浩律师事务所合伙人谭鸿律师
