引言

在全球化背景下，数据跨境传输已成为跨国企业、涉外业务中不可避免的行为。与此同时，我国对数据出境的监管日趋严格，《网络安全法》《数据安全法》《个人信息保护法》等法律法规相继出台，构建了数据出境的法律规制体系。违反数据出境规定，不仅可能面临行政处罚，还可能构成刑事犯罪。近年来，公安机关已侦办多起与数据出境相关的刑事案件，涉及非法获取数据、非法提供数据、未履行安全保护义务等情形。本文将系统分析数据出境的刑事法律风险、合规要求及实务应对策略。

一、数据出境的法律规制体系

我国已建立较为完善的数据出境法律规制体系，涉及多个层级的法律规范。

1. 法律层面

数据出境的法律基础主要包括以下三部法律：

• 《网络安全法》（2017年施行）：确立了网络运营者数据安全保护义务，规定关键信息基础设施运营者在境内存储个人信息和重要数据，确需向境外提供的应当进行安全评估。
• 《数据安全法》（2021年施行）：建立了数据分类分级保护制度，规定重要数据出境的安全评估义务。
• 《个人信息保护法》（2021年施行）：规定了个人信息跨境提供的规则，包括安全评估、标准合同、认证等合规路径。

2. 行政法规和部门规章

包括《数据出境安全评估办法》《个人信息出境标准合同办法》《网络安全审查办法》等部门规章，对数据出境的具体程序和要求作了细化规定。

《中华人民共和国个人信息保护法》第三十八条：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。

3. 国家标准

《信息安全技术 个人信息安全规范》《个人信息出境安全评估指南》等国家标准为数据出境提供了技术规范和操作指引。

二、数据出境的刑事风险类型

违反数据出境法律规定的行为，可能触犯多个刑事罪名，构成刑事犯罪。

1. 非法获取计算机信息系统数据罪

违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的，构成非法获取计算机信息系统数据罪。如果非法获取的数据涉及出境，或者在境外实施此类行为，将面临严厉的刑事处罚。

2. 侵犯公民个人信息罪

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，构成侵犯公民个人信息罪。未经个人信息主体同意，擅自将个人信息向境外提供，可能构成此罪。

3. 拒不履行信息网络安全管理义务罪

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播、用户信息泄露等严重后果的，构成拒不履行信息网络安全管理义务罪。未依法进行数据出境安全评估即向境外提供数据的，可能被认定为此罪。

4. 非法利用信息网络罪

利用信息网络设立用于实施违法犯罪活动的网站、通讯群组，发布有关违法犯罪信息，情节严重的，构成非法利用信息网络罪。利用跨境数据传输实施违法犯罪的行为可能触犯此罪。

5. 帮助信息网络犯罪活动罪

明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，情节严重的，构成帮助信息网络犯罪活动罪。为他人违法向境外传输数据提供技术支持的，可能构成此罪。

罪名	行为类型	量刑标准
非法获取计算机信息系统数据罪	侵入系统或其他技术手段获取数据	三年以下或三年以上七年以下
侵犯公民个人信息罪	出售或提供公民个人信息	三年以下或三年以上七年以下
拒不履行信息网络安全管理义务罪	不履行安全管理义务造成严重后果	三年以下有期徒刑
帮助信息网络犯罪活动罪	明知犯罪仍提供技术支持	三年以下有期徒刑

三、数据出境的合规路径

为防范刑事风险，企业应当按照法律规定选择适当的合规路径进行数据出境。

1. 数据出境安全评估

对于符合以下情形之一的，应当通过国家网信部门组织的数据出境安全评估：

• 数据处理者向境外提供重要数据
• 关键信息基础设施运营者向境外提供个人信息
• 处理个人信息达到一定数量（100万人以上）的处理者向境外提供个人信息
• 累计向境外提供个人信息达到一定数量（10万人以上或敏感个人信息1万人以上）的处理者向境外提供个人信息

2. 订立标准合同

对于未达到安全评估门槛的数据出境活动，可以按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利义务。标准合同应当向省级网信部门备案。

3. 通过个人信息保护认证

数据处理者可以按照国家网信部门的规定经专业机构进行个人信息保护认证，获得认证后可以向境外提供个人信息。

4. 其他合规路径

根据法律、行政法规或国家网信部门规定的其他条件进行数据出境，如为订立、履行个人作为一方当事人的合同所必需，或者为履行法定义务等情形。

四、监管重点与执法趋势

当前，我国对数据出境的监管呈现趋严态势，以下领域成为执法重点。

1. 重要数据出境监管

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。重要数据的出境监管最为严格，原则上应当在境内存储，确需出境的必须通过安全评估。

2. 大规模个人信息出境监管

处理大量个人信息的企业，特别是大型互联网平台、掌握大量用户数据的企业，向境外提供个人信息需要严格履行合规义务。

3. 敏感个人信息出境监管

敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。敏感个人信息的出境需要取得个人单独同意，并采取更严格的保护措施。

4. 跨国公司内部数据传输

跨国公司集团内部的数据传输，包括员工数据、业务数据等，同样需要遵守数据出境规定，不能仅以内部管理需要为由豁免合规义务。

五、刑事案件的辩护要点

在涉及数据出境的刑事案件中，辩护律师可以从以下几个方面进行辩护。

1. 主观故意的认定

数据出境相关犯罪大多要求行为人具有主观故意，包括明知数据应当受到保护、明知出境行为违法等。如果行为人因对法律规定理解偏差、内部合规制度不完善等原因，没有违法故意，可以提出主观方面不构成犯罪的辩护意见。

2. 数据性质的界定

涉案数据的性质是定罪量刑的关键因素。辩护律师应当审查涉案数据是否属于重要数据、敏感个人信息，数据量是否达到入罪标准。对于数据的分类、数量、价值等，可以申请专业鉴定。

3. 违法性阻却事由

如果数据出境行为具有合法依据，如已获得数据主体同意、已通过安全评估或标准合同备案等，可以主张行为不具有违法性。即使程序存在瑕疵，也可能属于行政处罚范畴，不构成刑事犯罪。

4. 量刑情节的把握

在定罪没有争议的情况下，辩护律师可以从量刑情节入手，包括：自首、坦白、认罪认罚、积极退赃、取得谅解、初犯偶犯、主观恶性小、社会危害性不大等方面，争取从轻处罚。

六、企业合规建议

为防范数据出境刑事风险，企业应当建立完善的数据出境合规体系。

1. 开展数据盘点与分类

企业应当全面梳理持有的数据，识别哪些数据涉及出境需求，按照重要数据、个人信息、普通业务数据等进行分类分级，明确不同类别数据的出境要求。

2. 建立数据出境管理制度

制定数据出境内部管理制度，明确数据出境的审批流程、责任部门、合规要求，建立数据出境台账记录，确保可追溯。

3. 选择适当的合规路径

根据数据出境的具体情况，选择安全评估、标准合同或认证等适当的合规路径，并严格按照规定程序办理。

4. 加强人员培训与意识

定期对员工进行数据出境合规培训，提高员工的合规意识，明确违规行为的法律责任。

5. 建立应急响应机制

制定数据安全事件应急预案，一旦发生数据泄露、非法出境等情况，能够及时采取补救措施，减轻损害后果。

1. 风险评估：定期对数据出境活动进行风险评估，识别潜在风险点
2. 合规审查：对新的数据出境项目进行合规审查，确保符合法律要求
3. 合同管理：与境外接收方签订合规合同，明确数据保护义务
4. 持续监控：持续监控数据出境情况，及时发现和处理违规行为
5. 定期审计：定期对数据出境合规情况进行内部审计

法律依据

数据出境涉及的主要法律依据：

《中华人民共和国刑法》第二百八十五条：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

《中华人民共和国刑法》第二百五十三条之一：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

《中华人民共和国刑法》第二百八十六条之一：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

结论与建议

数据出境合规是企业面临的重要法律课题，违规出境可能带来严重的刑事法律风险。企业应当高度重视数据出境合规工作，建立完善的合规体系，选择适当的出境路径，确保数据跨境传输的合法合规。一旦涉及刑事风险，应当及时寻求专业刑事辩护律师的帮助，依法维护自身合法权益。随着数字经济的不断发展，数据出境的法律规制将继续完善，企业需要持续关注法律动态，及时调整合规策略，在保障数据安全的前提下促进数据的合理流动和利用。