新闻动态

W&H News

炜衡研究 | 数据出境合规进入“强监管”时代——2026年三大制度突破与实务要点
新闻动态
原创:李抒恒 07月10日

2026年7月1日,《国务院关于对外投资的规定》(国务院令第837号)正式施行。这是我国对外投资领域首部行政法规,新规首次将跨境数据流动正式纳入对外投资监管框架,与出口管制、网络安全监管形成制度协同。本文聚焦新规中数据跨境的三项制度突破,并结合2026年数据出境领域的最新动态,梳理企业须关注的合规要点。


一、制度突破一:数据出境正式嵌入ODI审查全链条

新规之前,对外投资(ODI)的合规主要围绕发改委的项目核准/备案、商务部的境外主体管理和外汇局的资金汇出展开。新规第十四条明确将跨境数据流动与资金汇兑、货物与技术进出口、跨境服务贸易、人员出境入境等一并纳入对外投资需同步考量的管理事项。

ODI的合规内涵已从传统的“核准备案”扩展为涵盖国家安全、技术出口、数据跨境的全链条义务。新规并非另设一套全新的审批程序,而在于将既有分散于发改、商务、外汇、出口管制、数据出境、国家安全等领域的监管要求,纳入更加完整的制度框架之中。对企业而言,一个对外投资项目可能同时触发多套审查体系——不仅要考虑“钱能不能出去”,还要评估“数据能不能出去”。

实务提示:

新规第十四条的价值在于将数据出境合规从“可选项”升级为对外投资的“必选项”。企业在对外投资项目立项阶段,即应同步评估:

1. 拟出境数据是否属于重要数据或个人信息;

2. 如为个人信息,出境数量是否已达到安全评估、标准合同或认证的触发门槛;

3. 是否存在可适用的豁免情形。数据合规判断越早引入交易结构设计,越能避免因合规障碍导致交割延期或架构重做。

建议将“ODI+数据出境”纳入项目立项阶段的前置评估流程,而非留到交易执行阶段才补正。



二、制度突破二:堵住“人员转移”的监管漏洞

新规第十三条是本次数据跨境制度创新的核心条款。该条明确禁止投资者以跨境派遣技术人员、组织人员赴境外工作、跨境提供技术指导、安排人员跨境培训等方式,向境外转移国家禁止或限制出口的货物、技术、服务及相关数据。

这一条款的制度价值在于,它补上了既有监管框架的“人”的漏洞。无论是出口管制、数据出境安全评估还是网络安全审查,现有制度已经能够较好约束货物、技术和数据的跨境流动,但对人员的流动缺乏有效规制。比如,企业派一名工程师去境外子公司工作,员工掌握的源代码、算法模型、工艺参数及相关数据并不在传统数据出境评估的范围内。新规第十三条将监管重点从“数据载体传输”延伸至“以人员为媒介的数据转移”,将这一缺口明确堵上。

过去,企业对于数据出境合规的认知多集中于“数据传输”场景,如通过网络将数据库同步至境外服务器、签订数据许可协议等。部分企业甚至认为,只要不直接传输数据、不签订数据许可合同,仅通过派遣工程师赴境外调试、将代码部署至境外云环境、向海外子公司开放数据库权限,就可以规避数据出境的合规审查义务。新规实施后,此类非传统数据传输方式被明确纳入规制,企业不能再以“未直接传输数据”为由规避合规义务。

实务提示:

AI、半导体、先进制造等领域的企业,通过人员出境向境外转移源代码、算法模型、工艺参数及相关数据,可能同时触发数据出境安全评估和技术出口许可双重义务。企业应建立“人员出境+数据审查”联动机制,将数据出境评估嵌入技术人员出境审批流程,避免以“正常人才交流”为由规避数据合规义务。


三、制度突破三:境外诉讼/调查中的证据出境“三重审批”

新规第二十二条进一步规定:中国境内组织、个人参与对外投资相关仲裁、诉讼,或受到境外司法、执法机构调查,需要向境外提供证据或相关材料的,应当遵守保守国家秘密、数据安全、个人信息保护、技术出口管理、出口管制、司法协助等法律法规,依法须经主管机关准许的,应当履行相关法律程序。

这一条款的制度价值在于——它明确了对外投资纠纷场景下,证据材料出境不是简单的“程序配合”,而是必须同时满足“三重审批”要求:(1)数据安全与个人信息保护审批(网信部门);(2)技术出口管理与出口管制审批(如涉及技术数据);(3)司法协助程序(如涉及国家秘密)。任何一环缺失,都可能导致违规。

实务提示:

企业在应对境外数据调取请求时,切勿仅按境外程序要求直接提供数据。应先启动内部“三重审查”:是否涉及国家秘密、重要数据或个人信息;是否涉及技术出口管制;是否需经中国主管机关批准。如面临境外程序期限压力,可向仲裁庭或监管机构主动说明中国法律要求,申请延长披露期限,或对非关键信息进行脱敏处理。避免因擅自提供数据而同时触犯中国数据安全、出口管制、国家安全等多项义务。



四、数据出境合规的制度框架与2026年最新动态

(一)制度框架:对外投资场景下的数据出境“多法联动”

新规并非在数据出境领域创设全新规则,而是通过第14条“依照有关法律、行政法规和国家有关规定执行”的引致条款,将既有法律要求嵌入对外投资的全过程。

这意味着《数据安全法》《个人信息保护法》《网络安全法》《网络数据安全管理条例》等法律法规中,关于数据出境的规定,在对外投资场景下同样适用。与此同时,新规与《国家安全法》《出口管制法》《对外贸易法》《反外国制裁法》等法律法规形成制度联动,共同构成对外投资领域的合规体系。

从制度协同角度看,新规与《国务院关于产业链供应链安全的规定》《反外国不当域外管辖条例》在数据跨境流动规制方面形成互补,共同构建起对外投资领域的合规屏障。三部法规在数据跨境流动方面存在共同特征:规制是双向的——既管“出境”,也管“接收”。当境外司法机构或行政执法机关要求中国企业提供境内数据时,企业面对的已不只是“数据能否出境”的问题,而是数据安全规则、司法主权规则以及反制与阻断规则三套体系同时作用。

实务提示:

企业应建立“法规联动”意识,对外投资数据合规不是孤立适用某一部法律,而是多部法律的交叉适用。例如,向境外提供数据可能同时触发《数据安全法》的安全评估要求,《出口管制法》的技术出口许可要求,以及《反外国制裁法》的反制措施。建议企业在合规审查中建立“多法联动清单”,逐一对照相关法规的适用条件,避免因漏评某一部法律要求而导致合规缺口。

(二)2026年数据出境领域的最新动态

今年以来,数据出境监管在制度层面持续完善,与对外投资新规形成叠加效应。此前,2024年3月发布的《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)已确立了数据出境的基本框架,包括重要数据识别规则、豁免情形及数量阈值等。2026年则在既有框架基础上进一步细化,以下重要制度相继落地:

1.《个人信息出境认证办法》已于2026年1月1日起施行

该办法由国家互联网信息办公室与国家市场监督管理总局联合发布,明确了个人信息出境认证的申请方式、认证要求及证书有效期(3年)。认证成为继安全评估、标准合同之后的第三条合规路径。至此,《个人信息保护法》确立的数据出境安全评估、个人信息保护认证、标准合同三条路径全面落地。

2. 《数据出境安全管理政策法规问答》发布

根据2026年1月国家互联网信息办公室发布的《数据出境安全管理政策法规问答》:关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或不满1万人敏感个人信息的,可以通过订立标准合同或认证方式出境。自当年1月1日起累计向境外提供超过100万人个人信息或超过1万人敏感个人信息的,应当申报数据出境安全评估。已通过标准合同或认证出境的数据,若自当年1月1日起累计达到安全评估门槛,需将此前已出境的数据纳入安全评估范围。

3.《个人信息保护政策法规问答》系列发布

2026年1月和4月,国家互联网信息办公室先后发布两期《个人信息保护政策法规问答》。1月版就个人信息定义、敏感个人信息识别、人脸识别影响评估、个人信息保护负责人指定等基础问题作出解答;4月版进一步明确处理超过1000万人(含本数)个人信息的处理者应当每两年至少开展一次个人信息保护合规审计,并就个人信息数量的统计口径作出统一解释。该系列问答中关于个人信息和敏感个人信息的界定标准,是企业判断数据出境是否触发合规义务的基础;4月版关于数量统计的说明,与数据出境安全评估的数量阈值计算逻辑一致。两者共同构成数据出境合规判断的前置基础。

4.《网络数据安全风险评估办法》自2026年8月20日起施行

2026年6月18日,国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(第24号令),自2026年8月20日起施行。该办法是首部专门针对数据安全风险评估的联合部门规章,核心要求包括:重要数据处理者应当每年度开展风险评估;一般数据处理者鼓励至少每3年开展一次。该办法为重要数据的风险评估提供了统一的操作框架,是申报数据出境安全评估时证明已履行重要数据风险评估义务的重要依据。

5.《汽车数据出境安全指引(2026版)》发布

2026年2月,工信部等八部门联合发布该指引,规定了汽车数据出境活动的管理方式和适用条件,明确了豁免情形,并面向研发设计、生产制造、驾驶自动化、软件升级、联网运行等汽车行业典型业务场景,细化了汽车重要数据判定规则。



五、实务要点一句话总结版

1、 “ODI+数据出境”前置审查

立项阶段同步评估数据出境类型、适用路径及豁免情形,将合规嵌入交易结构设计,避免事后补正。

2、技术人员出境合规审查

建立出境前技术信息申报、涉密岗位分级等制度,防止技术信息通过人员跨境流动规避监管。

3、境外诉讼“三重审批”预案

提前制定数据调取应急响应机制,明确内部审批路径、对外沟通话术及脱敏标准,避免临时应对导致违规。

4、数据出境数量动态监测

按自然年度累计统计出境个人信息数量,设置季度预警阈值,提前启动合规路径升级。

5、“多法联动”合规清单

编制法规对照表,明确同一出境行为可能触发的多重义务及冲突规则,避免漏评。


结语

新规首次将数据跨境流动正式纳入对外投资监管框架,标志着数据出境从单一维度的合规要求,升级为出海企业必须前置完成的系统性义务。与此同时,2026年数据出境领域的制度建设已趋于完整——三条合规路径全面落地、行业指引陆续出台、数量阈值进一步明确。对企业而言,数据出境合规已从“可选项”变为“必选项”;对律师而言,协助客户建立“ODI+数据合规”一体化审查机制,将是未来一段时期内的重要业务方向。


注:本文漫画由AI生成


李抒恒律师

炜衡子健展鹏(南沙)联营律师事务所 合伙人

lishuheng@weihenglaw.com


中国政法大学法学学士,法国克莱蒙商学院国际商务硕士。持有证券从业资格、基金从业资格及CCRC-DCO(数据合规官)认证,《企业数据要素流通交易合规指南》团体标准起草人。李抒恒律师拥有逾二十年律师、券商投行及新型研发机构高管跨界经验,曾为百胜、本田、丰田、麦当劳、拉法基、广汽集团等十余家世界500强公司及大型国企提供常年法律顾问服务,主导多项企业跨境投资、股权融资、并购重组项目,并深度参与科研平台建设与成果转化全流程。基于“法律+金融+科技”的复合背景,李抒恒律师善于从企业发展的商业逻辑出发,为企业提供跨境投资、公司治理、数据合规、投融资并购等法律服务。