迪奥数据违规事件背后的跨境合规警示
我国数据出境监管进入实质性执法阶段
2025年5月,法国知名消费品牌迪奥在中国大陆运营中发生数据泄露事件,引发公安网安部门介入调查。经查明,迪奥(上海)公司存在多项违法事实:未经合规程序将中国用户信息跨境传输至法国总部;未履行“单独同意”义务,未充分告知用户境外数据处理方式;同时缺乏必要的技术保护措施,如数据加密与去标识化处理。
公安机关依据《个人信息保护法》对其作出行政处置。该事件标志着我国跨境数据合规监管已从制度构建转向实际执法,企业违规行为将直接面临法律后果。
我国数据跨境合规制度框架解析
我国已建立以《个人信息保护法》《数据安全法》《网络数据安全管理条例》为核心的跨境数据监管体系,配套出台《数据出境安全评估办法》《促进和规范数据跨境流动规定》等法规,形成分级分类、宽严相济的管理模式。
一、数据出境的界定
“数据出境”包括两类情形:
直接传输:境内数据处理者通过网络或物理方式将运营中产生的数据传至境外,由境外主体存储或处理。
远程访问或可导出情形:数据虽存储于境内,但境外机构可通过远程数据库、API接口、云平台等方式查询、调取、下载或导出数据。
监管核心在于数据的“实际控制权”与“可访问性”。只要境外主体可获取、使用或导出境内数据,即视为数据出境,需纳入合规审查。
二、可豁免合规义务的情形
根据《促进和规范数据跨境流动规定》,符合以下情形的可免于申报安全评估、订立标准合同或通过认证:
- 不涉及个人信息或重要数据,如国际贸易、跨境运输、学术合作、市场营销等场景产生的非敏感数据;
- 在境外收集、境内处理后再回传境外,且未引入境内个人信息或重要数据;
- 特定场景下的个人信息跨境:
- 为订立或履行合同所需(如跨境购物、支付、寄递、签证、机票酒店预订等);
- 跨境人力资源管理(依据劳动规章制度或集体合同);
- 紧急情况下为保护自然人生命健康和财产安全;
- 非关键信息基础设施运营者,年度向境外提供个人信息少于10万人且不含敏感信息。
- 自贸试验区实施负面清单管理,清单外数据出境无需评估或合同备案。
需注意:即使符合豁免条件,企业仍须履行告知、单独同意、个人信息保护影响评估、采取安全技术措施等基本义务。
三、数据出境风险自评估要求
企业在申报前须完成系统性风险自评估,并形成书面报告。评估重点包括:
- 合法性、正当性、必要性审查:明确出境目的,评估是否有境内替代方案,确保数据出境符合业务必要性与最小化原则;
- 数据范围与敏感度识别:量化数据规模(涉及人数、数据量),分类数据类型(身份、联系方式、消费记录等),识别是否包含敏感个人信息;
- 威胁与脆弱性分析:结合数据流、存储架构、访问控制,识别泄露、篡改、非法使用等风险,常用工具包括数据流图(DFD)、风险矩阵等;
- 境外接收方能力评估:审查其合规制度、技术防护能力、所在国法律环境及执法水平;
- 合同条款审查:确保法律文件明确约定处理目的、数据最小化、安全保障、责任划分、子处理人管理、审计与事故通报机制;
- 权益保障机制:确保个人可行使查询、更正、删除、投诉等权利;
- 剩余风险与补救措施:评估采取防护措施后的残余风险,并提出缓释方案,如增加访问控制、缩短保存期限、引入第三方合规证明等。
自评报告应包含:业务与数据清单、数据流向图、风险识别表、技术与管理措施、法律文件要点、治理责任结构及高层审批意见,作为向省级网信部门提交的基础材料。
四、申报程序与监管机制
我国实行“省级初审、国家终审”的两级审查机制:
企业向省级网信办提交自评报告及材料,经形式审查后上报国家网信办。国家网信办可要求补充材料、开展现场或远程核查,必要时引入技术测评或第三方评估。审查周期因复杂程度而异,涉及国家安全或国际因素的,可能启动跨部门联合评估。
评估结果有效期为3年。在到期前60个工作日内,若满足以下条件可申请延期:
- 出境目的、方式、范围及接收方未发生重大变更;
- 接收方法律环境无重大不利变化;
- 双方实际控制权未变更;
- 法律文件持续有效;
- 未来三年内个人信息或重要数据出境规模增幅不超过原批准规模的20%。
出现以下情形须重新申报:
- 出境目的、方式、范围或接收方发生实质性变化;
- 接收方所在国数据保护法律环境发生重大不利变动;
- 数据处理者或接收方控制权变更;
- 法律文件发生重大修改;
- 发生重大数据安全事件或其他影响出境安全的情形。
