2026-06-26 10:27:09 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文以携程因数据出境违规被罚1000万事件为切入点，详细解析了数据出境的三种合法途径（安全评估、标准合同、认证）及适用门槛，指出企业未履行申报、告知和取得用户同意等义务是主要违规点，并提供企业自查清单与个人数据保护建议，强调数据出境合规已成为企业必选项。 综合评分： 88 文章分类： 数据安全,政策法规,应用安全

cover_image

携程1000万罚单背后，数据出境的”红线”

原创

iconic iconic

老登的安全观

2026年6月24日 09:30 广东

在小说阅读器读本章

去阅读

佛系随性笔记，记录最好的自己！

个人水平比较有限，每篇都尽量以白话+图文的方式去说明。

上个月的你订了个日本五日游。打开携程，输入护照号、姓名、出生日期、联系方式……一气呵成，订单完成，心情愉快，又可以美美的玩耍啦。

然后你关掉App，去刷了会儿短视频，睡觉了。

但你的护照信息，没睡，它可能正在穿越亚太海底光缆，落地在某个你叫不出名字的境外服务器上。

你知道吗？你同意了吗？你有得选吗？

这就是今天要写的东西，数据出境。而携程，刚刚因为这件事，被罚了1000万。

#

1000万是个什么概念？对普通人来说，1000万是彩票头奖，对携程来说，1000万可能是……某个季度的下午茶钱？

2026年6月13日，上海市网信办正式对上海携程商务有限公司开出处罚：未落实数据出境安全评估要求、违法出境个人信息，罚款1000万，责令限期整改。

监管部门调查显示，携程在未通过数据出境安全评估的情况下，持续多年向境外传输大量用户个人信息，涉及：姓名、身份证号、护照信息、银行卡号、行程轨迹……这些数据被用于集团统一的海外业务系统和数据分析平台，一直传到监管部门介入才停。

这还不是携程第一次在个人信息上栽跟头，2021年它就被法院判过大数据杀熟，赔了用户订房差价的三倍。这回是第二次了。

监管部门发出的信号非常明确：”数据出境这件事，我们是认真的。”那携程到底踩了什么线？在说它之前，我们得先搞清楚一件事。

什么叫”数据出境”？

字面意思很好理解：你的数据，从中国境内，跑到境外去了，但很多人不知道的是，”出境”这件事比你想象的要宽泛得多。以下三种情况，都算数据出境：

① 服务器在境外：你用的App或系统，数据直接存在境外的服务器上。比如公司用了AWS美国区、Azure欧洲区来存用户数据。

② 给境外机构共享：数据从国内发给境外的合作方、供应商、广告商。比如国内App接入了境外的广告分析SDK，用户行为数据被悄悄发出去了。

③ 跨境集团内部传输：这就是携程踩的那条线。集团境内子公司把用户数据同步给境外总部或境外的数据中台，哪怕只是”内部用”，法律上也算数据出境，该走程序还得走。

但问题是，走出去有什么问题吗？

你可能会想：我订个日本酒店，数据发给日本酒店方，这不是天经地义的事吗？

对，确实天经地义。但法律说：天经地义也得走程序。

《个人信息保护法》第38条到40条，专门管这件事。用大白话翻译一下，数据想出境，只有三条合法通道：

🚪 通道一：安全评估（国家队审核）

数据量大、敏感程度高？对不起，你得去国家互联网信息办公室报备，让国家帮你审一审：这批数据出去，安不安全？会不会被滥用？境外接收方靠不靠谱？

审过了，盖章，放行。没审？不许出境；触发这条通道的申报门槛有四条，满足其中一条就必须申报：

门槛一： 要传出去的是重要数据（一旦泄露可能危害国家安全、经济运行或社会稳定的数据）；
门槛二： 你是关键信息基础设施运营者（电力、金融、交通、通信等），或处理超过100万人个人信息的平台，想往境外传任何个人信息；
门槛三： 过去一年里，累计向境外传了超过10万人的个人信息，或超过1万人的敏感个人信息；
门槛四： 国家网信部门认为有必要评估的其他情形（兜底条款，主动权在监管）。

携程符合吗？四条踩了三条。

评估怎么走？先在省级网信部门报材料（包括风险自评估报告），省级核查完备后报送国家网信办，国家网信办7个工作日内决定是否受理，受理后45个工作日内出结果。通过的评估结果有效期2年，到期要重新申报。

听起来麻烦？确实麻烦。但这套流程存在的意义是：让监管在数据出去之前就知道你要干什么，而不是出了事再来查。

🚪 通道二：标准合同（纸面上的约束）

数据量没那么大？可以走”标准合同”路线。

国家给了一份官方模板合同，你和境外接收方签了，承诺数据怎么用、怎么保护、出了事怎么赔。签完备案，走起。

听起来简单，但很多企业的问题在于：压根没签，或者签了没备案，或者签了个自己改过的版本，这都不算数。

🚪 通道三：认证（第三方背书）

找国家认可的专业机构，给你的数据出境行为做个”合规认证”，证明你是个守规矩的好孩子。

这条路成本高、周期长，目前走这条路的企业相对较少。

好，现在回来说携程，三条路，条条都有门槛。

携程作为国内最大的在线旅游平台之一，每天处理的用户数据量是什么级别？护照信息、行程记录、支付数据、位置信息……这些数据，在用户订购境外酒店、机票、签证服务的过程中，必然涉及跨境传输。

问题不在于”传没传”，问题在于，传之前，有没有走合法通道？监管部门的调查结论是：没有，或者没有完整走完。

具体来说，违规点包括：

未按规定完成数据出境安全评估申报
向境外提供个人信息未依法取得用户单独同意
数据出境的告知义务履行不到位
对境外接收方缺乏持续监督和合同约束

翻译大白话就是：数据悄悄出去了，用户不知道，监管也没批。这，就是那1000万的由来！

企业自查清单：你们公司有没有踩线？

如果你是个企业主，或者你们公司有出海业务，建议对着这张清单过一遍：

第一步：判断是否触发申报线

第二步：是否走了”标准合同”路径？

数据量不大、不触发安全评估的，可以走标准合同。但坑在这里：

合同必须用国家网信办发布的官方模板，自己改过的版本不算数
签完必须向省级网信部门备案，光签不备案等于没走
合同里必须明确约定数据保护责任、违约赔偿、数据销毁条款

第三步：个人信息保护影响评估（PIA）做了吗？

这是很多企业最容易忽视的一步。在申报安全评估或签标准合同之前，法律要求企业先做一个自评估，内容包括：

这批数据出境的目的和必要性是什么？
境外接收方的数据保护水平够不够？
数据出去后被滥用的风险有多大？
出了事，用户投诉的渠道畅不畅通？

没做PIA就直接申报，材料审查时就会被退回。

最容易踩的坑： 很多企业以为签了个英文版隐私政策就完事了。不是的。中国法律要求的是中国境内的合规程序，不是你在境外服务器上贴了张”我们保护隐私”的标签。集团内部传输也是出境，”老板让传”不是理由，没走程序照样违法。

普通人能做什么？说完企业，说说你。你可能觉得：这是企业的事，跟我有什么关系？

关系大了。你的数据，是这场游戏里唯一真正的筹码。

几个实操建议：

① 检查App的权限设置：进手机设置，找到旅游、购物、社交类App，看看它们申请了哪些权限。定位、通讯录、相机……很多权限跟它的核心功能毫无关系，关掉。

② 看隐私政策里的”数据共享”部分：大多数人从来不看隐私政策，但如果你要看，重点看这一段：”我们可能与以下第三方共享您的信息……”，后面跟着的，可能是一串你从没听说过的境外公司名字。

③ 涉及护照、身份证的操作，格外谨慎：护照号是高度敏感信息。能不填就不填，必须填的时候，确认这个平台是否有资质处理此类数据。

④ 行使你的权利：《个保法》赋予了你查询、更正、删除个人信息的权利。如果你觉得某个平台对你的数据处理有问题，可以向国家网信办（12377举报中心）或各地网信办投诉，可以要求平台删除你的数据。这不是闹，这是法律给你的武器。

#

最后说一句，携程这1000万罚单，只是一个开始，还有这几天发生的。2026年6月18日，中国人民银行江苏省分行公示了最新行政处罚决定（苏银罚决字〔2026〕19-21号）。苏州银行股份有限公司（以下简称”苏州银行”）因涉及违反网络安全、数据安全管理规定等11项违法行为，被处以警告、通报批评，没收违法所得约40万元，罚款超721万元，合计罚没超760万元。

随着《数据安全法》《个人信息保护法》《数据出境安全评估办法》的相继落地，监管的牙齿越来越硬。数据出境合规，已经从”可选项”变成了”必选项”。

对企业来说，这是成本，也是门槛，对普通人来说，这是保护，也是提醒：你的数据，不是免费的。

深圳

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911、2026、007、008”有相关资料可供下载！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老登的安全观 iconic iconic《携程1000万罚单背后，数据出境的”红线”》