大数跨境

携程千万罚单后,数据跨境罚单全梳理

携程千万罚单后,数据跨境罚单全梳理 AI合规圈
2026-06-16
1
导读:4个数据跨境罚单汇总

【全文手敲,无任何AI】

上海这边对数据跨境执法一直都比较频繁,此前有公安部门处罚迪奥个人信息泄露、违规跨境传输,随后又有2家酒店、物业行业企业被通报(见:上海2个数据跨境罚单的增量信息),昨天携程违法出境个人信息被罚1000万更是首次公开了罚款金额,还是非常有震慑力。

想必大家周一都有汇报需求,于此给大家由近到远梳理汇总一下4张罚单的全量信息。

一、携程,首个公开罚款金额的数据跨境罚单(202606)

针对上海携程商务有限公司未落实数据出境安全评估要求、违法出境个人信息等行为,依据《个人信息保护法》,予以罚款1000万元的行政处罚,并责令企业限期改正。企业受处罚后积极配合,全面落实有关整改要求。

公众号:网信上海亮剑浦江丨网信部门依法严肃查处违法出境个人信息问题

透露的信息量很少,但还是尽量挖掘一下。

1、相关背景。此前携程与柬埔寨签署合作协议,后引发出卖个人信息的舆情,回应强调“不涉及任何数据合作”。

协议原计划于柬埔寨对华免签后上线广告内容,基于中国驻柬埔寨大使馆近期发布的安全提醒,我司第一时间暂停了原定的投放动作,合作未曾启动。携程承诺:该协议不涉及任何数据合作,绝不存在泄露用户隐私信息的情况,并已将合作协议及实际情况提交相关部门验证核查。

携程黑板报,公众号:携程黑板报携程关于用户关切问题的郑重声明

2、“未落实数据出境安全评估要求、违法出境个人信息”要求的理解。我猜测是做了评估但没有按照国家网信办评估结果执行,比如:传了不该传的字段等等。否则措辞应该就是“未通过数据出境安全评估”了。

3、罚款1000万说明情节还是比较严重。根据《个保法》第66条:“违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”。之前也有个安全评估部分字段被拒后仍出境的案例(下文会提),但罚款金额没有公开,因此无法对比情节。

可惜网信部门的处罚决定书向来不公开,无法了解更多细节。如果知道内情的朋友,欢迎科普一下。

二、酒店管理企业,违规出境评估被拒字段(202601)
这个案例是安全评估后部分字段必要性不足被拒,仍然出境,限期整改并罚款,但罚款金额未公开。

案例4 某酒店管理企业违法违规出境用户数据案

该企业主营业务为酒店管理,主要为顾客提供酒店住宿、度假、餐饮等国际旅行服务,因酒店在线上预定场景涉及数据出境,向网信部门申报了数据出境安全评估,但在收到国家网信部门《评估结果通知书》明确相关个人信息数据项出境必要性不足的情况下,未能采取切实有效措施,仍违法违规出境境内自然人个人信息,其行为违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以罚款处罚。

公众号:网信上海亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例
这个案例可以与广互“个人信息跨境案”一起学习,这个案件中被告也是一家酒店管理企业,法院认为:“在个人信息处理活动中,除履行合同必需的处理范围和处理目的之外,未经同意的对个人信息的商业营销行为,不能认为是履行合同的必要。”
部分字段未通过,对企业而言,可能还是需要将CRM等系统完全本地化,不知道能否借助这次携程1000万的罚单再拱一拱。
三、物业管理企业,未审批直接出境( 202601)

某物业管理企业违法违规出境用户数据案    

该企业主营业务包括物业管理、酒店管理等全球服务,其运营的APP主要帮助用户管理会员账号和预订,办理入住手续。经查,该企业在未申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情况下,自行向境外提供用户住宿信息,且涉及金融账户等敏感个人信息,其行为违反《个人信息保护法》和《条例》有关规定。网信部门依法责令企业限期改正,并予以警告处罚。

公众号:网信上海亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例
本案提及了违规传输的字段,包括用户住宿信息和金融账户信息,但依然是没有申报直接就出境了。
如果是订酒店等场景,其实是有必要性的,可豁免的。不确定是否是跨国酒店集团给用户在境内预定酒店,因为系统在境外,订单信息依然回传了给境外总部。
有意思的是,这个没有申报的反而没罚款,上面的案例申报被拒仍然出境,反而罚款了。是不是在监管爸爸那边,上一个案例主观恶意更重。
四、迪奥,数据泄露引起的数据跨境罚单(202509)
2025年5月,多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件,中国大陆地区用户也陆续收到迪奥官方警示短信。随后警方开始调查,发现3项问题:

一是未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,违规向法国迪奥总部传输用户个人信息。

二是向法国迪奥总部提供用户个人信息前,未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”。

三是未对收集的个人信息采取加密、去标识化等安全技术措施。

公众号:国家网络安全通报中心公安网安部门依法查处迪奥(上海)公司未依法履行个人信息保护义务案
最终,属地公安,也就是上海市公安部门对迪奥依法予以行政处罚。
至于有没有罚款,大家不得而知,但今年3月曾短暂公开过后下线“数据传输未做好保护”的罚单,仅责令警告,没有罚款。但这个罚单没有提及数据跨境相关的内容,不确定是不是交网信部门另案处理了。
总结一下,这里的数据跨境是两宗罪,向总部提供个人信息前:(1)个人侧没有取得单独同意,(2)没有进行网信部门前置审批手续。
这说明,基于CRM统一会员管理等目的向总部传输客户个人信息在监管部门看来是不具备必要性的,无法解释为履行合同必需或跨境人力资源管理必需,因此无法豁免前置审批及单独同意。
有意思的是,此前广互在数据出境第一案的观点:“G公司将左某的个人信息传输至位于缅甸的酒店,以及传输至位于法国总部的酒店中央预订系统的管理运营,其行为具有正当性和必要性。”当然,最终还会以网信部门意见为准。
相比之下,他们在韩国被罚得狠多了:LV/迪奥/蒂芙尼因数据泄露在韩被罚共360亿韩元。
关联阅读:公安三所解读迪奥数据跨境案
五、合规提示
(一)个人信息保护影响评估必做
无论是否落入322新规的豁免场景, 个人出境之前的个人信息保护影响评估是都要做的,也是重要的留痕材料,内部要把出境的必要性、安全措施等论证清楚。
(二)个人告知必做
根据《个保法》第37条:向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。如果单独同意豁免了就在隐私政策告知,无法豁免就单独出告知同意书。
(三)必要性的论证
CRM系统建在境外,所以要把客户信息一股脑传出去,大概率是无法符合“履行合同”或“履行跨境人力资源管理”确需的。因此这种情况下单独同意和网信部门前置审批都无法豁免。
要么要钱做系统本地化,要么给出充分的风险揭示,让总部有被罚1000万的准备。还是保护自身安危。
怎么说,一个巨额罚单,还是让此前花了很多人力物力做CBDT项目的朋友,腰杆稍微挺直了一些。
未网信部门公示罚单金额点赞!如果能公示处罚文书就更好了,脱敏一下也行呀。
(四)采取必要安全措施
舆情非常容易引起监管关注,要记得提示业务部门采取严格技术保护措施,避免跨境传输的数据泄露。这也是法律的要求。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

《个人信息保护法》第38条第2款



请加「星标」不错过我们的消息 图片
陈焕  北京市隆安(广州律师事务所律师
《法律人必备AI核心技能》作者
《法律人ChatGPT应用指南》作者
专注AI合规/数据合规

欢迎添加微信,获取《中国人工智能法规及政策汇编》


图片

【声明】内容源于网络
0
0
AI合规圈
聚焦AI、数据合规、出海、网络安全、低空经济、加密资产等数字经济新动态,致力于提供合规综合解决方案。
内容 365
粉丝 0
AI合规圈 聚焦AI、数据合规、出海、网络安全、低空经济、加密资产等数字经济新动态,致力于提供合规综合解决方案。
总阅读1.3k
粉丝0
内容365