
一张千万罚单,不止于“罚钱”
2026年6月13日,上海市网信办公布通报:上海携程商务有限公司因未落实数据出境安全评估要求、违法出境个人信息,依据《个人信息保护法》被处以1000万元罚款,并责令限期改正。
1000万元放在携程2025年超600亿元的营收体量中,并不构成财务冲击。但罚单的威慑力从来不在金额本身。通报中出现了“情节严重”的定性——这意味着监管认为携程的违法行为已达到法定加重处罚的标准,而非“小疏漏”。
同时,通报还指出涉事企业在“后端处理数据合规能力不足”与“数据出境合规审计不严”方面存在突出问题。这两点,才是内审和合规人员真正需要关注的核心。
一个结构性的矛盾:业务出海,合规“掉队”
罚款的直接导火索是“数据出境合规”,但根子埋在携程的商业模式里。
近年来,携程持续加码国际业务。2025年,其国际OTA平台Trip.com总预订同比增长约60%,国际业务对总收入的贡献提升至约40%。跨境机票预订、海外酒店对接、境外供应商结算、国际客服与风控模型训练——每一个环节都天然涉及数据跨境流动。
用户实名信息、行程安排、证件号码、支付信息、设备标识——这些数据在OTA平台高度集中,而业务全球化要求其中相当一部分数据必须传输至境外主体、境外云或境外关联方系统。
但“业务需要”不等于“合规豁免”。出境合规有三条法定路径:安全评估、标准合同备案、个人信息保护认证。企业必须判断自己触发了哪条路径,并完成相应程序。携程的问题是:数据已经“走了出去”,但合规程序没有“跟上去”。
合规漏洞在哪?四个层面的拆解
根据法学专家对此次事件的深度分析,携程暴露的缺陷并非单一环节,而是贯穿数据出境全链路的系统性漏洞:
第一,数据分类分级与出境识别机制缺位。
数据出境安全评估的触发条件,取决于“什么数据、多少数量、是否敏感、是否重要”。如果企业没有建立有效的数据资产盘点和出境清单管理,就无法判断自己是否触线。“未落实评估”,往往源于根本不知道“哪些数据出了境”。
第二,出境合规审计形式化。
《个人信息保护法》要求个人信息处理者定期开展合规审计与影响评估。通报所称“审计不严”,指向这一制度要么未实际运行,要么流于形式、未能识别出境违规。
第三,“前端合规、后端失控”的脱节。
很多企业在App隐私政策中告知了数据出境事项、获取了用户同意,但在数据采集后的存储、调用、跨境传输链条上,缺乏与之匹配的技术与管理控制。这就是通报所指的“后端处理数据合规能力不足”。
第四,告知同意与影响评估执行不到位。
即便对“履行合同必需”的出境场景是否必须取得“单独同意”存在解释空间,出境前的特别告知义务仍是法定要求。同时,出境前的个人信息保护影响评估(PIA)可能未做、未留痕,或未对境外接收方的处理活动进行持续监督和合同约束。
历史“前科”与行业共性问题
这次数据出境罚单,并非携程首次触碰数据合规红线。
2021年,浙江绍兴消费者胡女士以携程采集其个人非必要信息、进行“大数据杀熟”为由起诉,法院终审判决携程构成欺诈,被判“退一赔三”。2025年4月,国家计算机病毒应急处理中心通报,携程金融App存在未经用户单独同意向第三方提供个人信息且未匿名化处理的违规行为。
从行业视角看,携程的困境也是许多出海型互联网平台的共性问题。工业和信息化智慧法治工信部重点实验室执行主任赵精武指出,目前企业的共性短板在于“内部数据安全合规管理机制体系化程度不足”——虽然部分业务环节履行了数据安全保护义务,但整体上并未形成涵盖全数据生命周期且各环节相互衔接的合规流程。
一份给数据出境责任人的自查清单
一、是否准确识别了“出境的数据”?
企业是否建立了完整的数据出境清单,涵盖所有出境的数据类型、传输目的地和接收方?
数据分类分级是否覆盖了用户实名信息、行程记录、支付信息、设备标识等各类数据?
二、出境路径是否匹配了法定要求?
是否根据数据出境规模判断触发了安全评估、标准合同还是认证路径?
对于已完成的评估或备案,是否有独立的验证机制确认其整改措施已落实?
三、前端告知与后端控制是否一致?
隐私政策中的告知内容与实际的数据出境行为是否一致?
数据出境后的存储、调用、跨境传输链条,是否具备相应的技术管控措施?
四、出境合规审计是否真实运行?
出境合规审计是否定期开展,且由具备独立性的主体实施?
审计发现的问题是否有整改跟踪和闭环验证?
携程的千万罚单,不能简单读作“一次违规的代价”。它揭示了业务全球化与合规本地化之间的时间差:业务奔跑的速度一旦超过合规体系搭建的速度,风险便会在某个节点集中暴露。
数据出境的合规,不再是“有没有做评估”的简单问题,而是“评估后有没有真正落实、有没有持续运行、有没有穿透到底层”的更深层次问题。对于所有涉及跨境数据流动的企业来说,携程案的警示意义在于:数据跨境不是一个“可以做但低调做”的灰色地带,而是一个“要么合规、要么停止”的红线区域。


