ODI 新规落地后,出海企业需关注数据跨境流动合规风险
摘要:2026 年 7 月 1 日,《国务院关于对外投资的规定》(国令第 837 号)正式施行。作为我国对外投资领域首部行政法规,该规定不仅提升了对外投资监管的立法层级,也首次在行政法规层面明确了跨境数据流动在对外投资监管框架中的地位。本文结合 ODI 新规与近期数据出境政策动态,分析出海企业面临的数据合规挑战,并提出实务应对建议。
ODI 新规中的数据监管逻辑
《国务院关于对外投资的规定》共 34 条,其中多条涉及数据与技术的跨境流动,体现了监管层面对对外投资 "全要素" 监管的思路。
第十三条规定,投资者开展对外投资活动,不得出口、使用国家禁止出口的货物、技术、服务及相关数据;不得以跨境派遣技术人员、组织人员赴境外工作、跨境提供技术指导、安排人员跨境培训等方式,向境外转移国家禁止或限制出口的货物、技术、服务及相关数据。
该条款的核心意义在于:将 "软转移" 路径纳入监管视野。实践中,部分企业通过人员流动、技术交流等方式规避数据与技术出口管制,此次在行政法规层面明确列举上述行为,表明监管部门已关注到此类灰色操作,后续执法力度有望加强。
第十四条进一步明确,对外投资涉及跨境数据流动的,依照有关法律、行政法规和国家有关规定执行。这一援引条款的意义在于:正式将数据跨境流动纳入对外投资监管的整体框架。此前,对外投资监管主要聚焦于资金汇兑和项目核准 / 备案,数据合规更多由网信部门独立监管。ODI 新规施行后,数据合规将成为对外投资全链条管理的有机组成部分,不排除未来在 ODI 备案、境外投资安全审查等环节中,将数据合规情况作为考量因素。
第十五条确立的境外投资安全审查制度,也与数据安全密切相关。涉及重要数据、核心数据的对外投资项目,未来可能成为安全审查的重点对象。
我国数据出境合规的路径体系
经过数年的制度建设,我国已形成相对完整的数据出境合规路径体系,出海企业可根据自身情况选择适用:
(一)数据出境安全评估
适用情形:
关键信息基础设施运营者向境外提供数据
处理 100 万人以上个人信息的个人信息处理者向境外提供个人信息
向境外提供重要数据
自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息
安全评估是数据出境路径中最为严格的一种,由国家网信部门组织实施,评估周期较长,适用于高风险、大规模的数据出境活动。
(二) 个人信息出境标准合同备案
适用情形:
非关键信息基础设施运营者
处理个人信息不满 100 万人
自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人
自上年 1 月 1 日起累计向境外提供敏感个人信息不满 1 万人
标准合同备案是目前多数企业采用的数据出境路径。企业与境外接收方订立国家网信部门制定的标准合同后,向省级网信部门备案即可。该路径流程相对清晰、成本可控,适合中等规模的数据出境活动。
(三) 个人信息保护认证
个人信息保护认证通过专业机构对企业数据保护能力进行全面认证,认证通过后,企业可在认证范围内开展数据出境活动。该路径适合具有持续、大规模数据出境需求的大型跨国企业,一次认证、长期有效。
(四) 数据出境负面清单(试点中)
数据出境负面清单是依据《促进和规范数据跨境流动规定》推出的试点制度创新,主要在自贸试验区、服务业扩大开放示范区落地实施。目前试点已覆盖上海、北京、河套深港、天津、海南等多地,覆盖生物医药、集成电路、金融、商贸等17个重点行业,统一采用“领域-场景-数据项”分级管控体系,聚焦国家安全、关键基础设施、核心诊疗及大批量个人敏感信息等高风险数据开展监管。
2026年6月多地试点迎来标志性落地进展。6月26日,上海静安区落地全市首单负面清单备案案例,爱特思亚太企业会员跨境信息出境由安全评估简化为标准合同备案,大幅提升跨国数据流转效率。6月25日,河套深港合作区发布实施指南,沿用广东自贸区行业清单,覆盖7大场景、67项管控数据,推行“先用后报”轻量化监管,进一步简化企业事前申报流程。同时北京、天津、海南持续扩容试点场景,重点支持自动驾驶、人工智能研发、离岸贸易及跨境服务外包的数据合规出境需求。
当前负面清单仍处于试点阶段,是我国数据出境“放管结合”的重要改革方向。对企业而言,分层监管模式有效简化常规数据出境流程,跨区域通用清单降低集团合规建设压力,适配数字贸易与跨境科创业务发展。试点阶段仍存在一定约束,政策仅限试点区域企业适用,豁免数据仍需落实分类分级、境外主体核查、风险应急和留存记录等基础义务,监管以事后抽查为主,且清单将动态调整、各地实操口径略有差异。
出海企业常见的数据合规风险点
实践中,出海企业对数据合规的认知往往存在偏差,以下五类风险场景较为常见:
(一) 企业内部管理数据出境
跨国企业通常将 HR、财务、ERP 等系统部署于境外总部或区域中心,国内员工的人事信息、薪酬数据、绩效考核记录等个人信息会同步至境外系统。此类场景下,企业往往认为 "内部管理数据不涉及外部用户,无需合规",但实际上已构成个人信息出境。
(二) 客户与供应链数据跨境传输
跨境电商、外贸企业、跨国制造企业的客户信息、订单数据、供应商信息等,常需在全球范围内共享和处理。此类数据中包含大量个人信息或商业敏感数据,若未履行数据出境合规程序,存在法律风险。
(三) 技术与研发数据跨境流动
设有海外研发中心或开展跨境技术合作的企业,源代码、技术文档、设计图纸等技术资料的跨境传输较为频繁。此类数据不仅可能涉及个人信息和重要数据,还可能与出口管制、技术进出口管理等制度交叉,合规复杂度较高。
(四) 集团内部数据共享的认知误区
部分企业认为,母子公司、关联公司之间的数据传输属于 "内部流转",不构成 "向境外提供"。这一认知存在偏差。根据我国法律规定,数据出境的判断标准是数据是否跨越国境,与接收方是否为关联方无关。即使是同一集团内部的境外子公司,向其传输数据仍需履行数据出境合规程序。
(五) "先发展后合规" 的侥幸心理
部分出海企业存在 "重业务拓展、轻合规建设" 的倾向,认为数据合规成本高、收益不明显,抱有 "查到再说" 的侥幸心理。但随着《个人信息保护法》等法律法规的深入实施,数据合规的执法力度持续加大,违法成本显著上升。除行政处罚外,数据合规问题还可能影响企业的 ODI 备案、融资、上市等重大事项。
出海企业数据合规建设建议
针对上述风险,我们建议出海企业从以下五个方面着手,建立健全数据跨境流动合规体系:
(一) 开展数据出境现状盘点
企业应首先对自身数据出境情况进行全面梳理,包括:
出境数据的类型(个人信息、重要数据、普通商业数据等)
出境数据的规模和频次
数据出境的场景和目的
数据出境的方式和路径(直接传输、人员携带、第三方平台等)
境外接收方的情况
通过盘点,企业可以准确掌握数据出境的整体情况,识别高风险领域,为后续合规建设奠定基础。
(二) 匹配合规路径并履行相应程序
在数据盘点的基础上,企业应根据数据类型、规模和风险等级,选择合适的数据出境合规路径:
涉及重要数据或大规模个人信息的,应申报数据出境安全评估
中等规模个人信息出境的,宜采用标准合同备案路径
大型跨国企业可考虑个人信息保护认证
位于试点地区且符合条件的企业,可探索适用负面清单简化路径
(三) 建立内部数据合规管理制度
企业应建立健全数据合规管理制度体系,明确数据出境的管理部门、审批流程、责任机制,将数据合规嵌入业务流程,避免数据合规与业务发展 "两张皮"。
(四) 完善技术保障措施
技术手段是数据安全的重要支撑。企业应根据数据的敏感程度和风险等级,采取相应的技术保护措施,包括但不限于:数据加密、去标识化、访问权限控制、日志审计、安全监测等。
(五) 建立持续合规机制
数据合规不是一次性项目,而是持续的管理过程。企业应建立数据合规的长效机制,包括:定期开展合规审计、新业务上线前进行数据合规评估、跟踪政策法规变化并及时调整合规策略等。
结 语
ODI 新规的施行,标志着我国对外投资监管进入了新的阶段。监管重心正从单一的资金监管,转向对资金、技术、数据、人员等全要素的综合治理。
数据跨境流动合规,正是这一转变中值得企业高度关注的领域。对于出海企业而言,数据合规已不再是 "可选项",而是参与国际竞争的 "必修课"。提前布局、系统建设,才能在日益严格的监管环境中行稳致远。
-END-