地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
国枫观察 | 跨境交易实践5:从M案看海外架构搭建中的跨境数据传输风险防范
发布时间:2026.05.13
来源:
浏览量:178
本文以M案为切入点,梳理我国跨境数据传输监管层级化法规体系,并结合M案为企业海外架构搭建、跨境并购介绍数据分类分级、出境合规审批等实操性建议。
作者:胡耀华
在中国AI产业全球化发展背景下,在企业海外架构搭建与跨境并购实操中,跨境数据传输合规是企业创始人和管理层不可忽视的法律红线。本文以Meta收购Manus案(“M案”)最新监管结果为切入点,梳理我国跨境数据传输监管核心法规及要求,结合案件事实提出贴合实操的合规防范建议,为企业创始人和管理层全球化战略提供参考。
一、M案的跨境数据传输
合规风险
(一)案件核心时间线
1.2022年至2025年初,Manus母公司完成开曼架构搭建,且完成多轮美元融资;
2.2025年4月,Manus母公司获得由美国投资基金Benchmark Capital领投的7500万美元;
3.2025年5月,前述美元投资遭到美国财政部反向CFIUS审查;
4.2025年7月,Manus停止中国业务、剥离中国子公司,并将核心人员迁至新加坡办公,完成“去中国化”,同步将境内用户数据、算法数据、训练数据批量传输至境外;
5.2025年12月29日,美国巨头Meta宣布对Manus进行100%股权收购,交易对价约20亿美元;
6.2026年1月8日,中国商务部表示就该等收购在技术出口、对外投资、出口管制方面进行审查。
7.2026年4月27日,外商投资安全审查工作机制办公室(国家发展改革委)依法依规对外资收购Manus项目作出禁止投资决定,要求当事人撤销该收购交易。所适用的法律依据为《外商投资安全审查办法》,本案成为AI领域首例被公开叫停的外资收购案。
(二)案件在跨境数据传输监管方面的核心风险点
1.标的企业在境内收集和产生的用户数据、算法训练数据、业务运行数据等,可能属于重要数据或达到数据出境安全评估门槛,未履行安全评估、出境认证、标准合同备案等法定程序;
2.在海外架构搭建与跨境并购过程中,未经合规审批向境外转移境内数据,涉嫌违反跨境数据传输监管要求,已被监管认定触碰国家安全红线;
3.如今M案最终被认定违规,企业面临交易撤销、架构拆分、数据返还/删除,甚至可能相关责任人被追责等后果。
二、我国跨境数据传输监管
核心法规体系
我国跨境数据传输监管形成以法律/行政法规为核心,以部门规章/公告为细则的层级化体系,以下按法律效力从高到低精简梳理核心法规、关键条款的适用要求:
(一)主要法律
主要包括《中华人民共和国网络安全法》(全国人民代表大会常务委员会,2016年施行,2025年修订)、《中华人民共和国数据安全法》(全国人民代表大会常务委员会,2021 年施行)、《中华人民共和国个人信息保护法》(全国人民代表大会常务委员会, 2021 年施行)。前述三部法律为全国人大常委会制定,确立跨境数据传输与数据出境监管核心法律原则。
(二)主要行政法规
主要为《网络数据安全管理条例》(国务院令第790号,2025年施行),为国务院制定,是核心适用依据,其主要监管要求如下:
• 主管机关:国家网信部门负责统筹协调网络数据跨境流动安全管理工作。[1]
• 个人信息出境:向境外提供个人信息,应当通过数据出境安全评估、个人信息保护认证、或者订立个人信息出境标准合同并备案。[2]
• 重要数据出境:网络数据处理者在境内收集和产生的重要数据确需向境外提供的,应当通过数据出境安全评估。[3]重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。[4]具体需根据《数据安全技术数据分类分级规则》及各省市发布的数据出境负面清单等规则认定。
• 违规处罚:违反数据出境规定的,依法给予罚款、暂停相关业务、停业整顿等处罚;构成犯罪的,依法追究刑事责任。[5]
(三)主要部门规章
主要包括《数据出境安全评估办法》(国家互联网信息办公室令第11号,2022年施行)、《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号,2024年施行)、《个人信息出境标准合同办法》(国家互联网信息办公室令第13号,2023年施行)、《个人信息出境认证办法》(国家互联网信息办公室 国家市场监督管理总局令第20号,2026年施行),以上规则由国家网信办等部委机关制定,是细化的实际操作指引,数据出境有如下合规出境方式(注:总共三种方式,选择其一)及豁免情形:
• 出境方式一:数据出境安全评估适用情形:(1)向境外提供重要数据[6];或(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;或(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。[7]
• 出境方式二:个人信息出境认证适用情形:非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。[8]
• 出境方式三:个人信息出境标准合同适用情形:非关键信息基础设施运营者处理个人信息不满100万人,并且自上年1月1日起累计向境外提供个人信息不满10万人,并且自上年1月1日起累计向境外提供敏感个人信息不满1万人。应当签订标准合同并在10个工作日内备案。[9]
• 豁免情形:关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,或数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。[10]
三、海外架构搭建/跨境并购的跨境数据传输合规实操建议
基于M案及我国跨境数据传输监管要求,企业搭建海外架构、开展跨境并购时,建议就跨境数据传输提前制定实操性合规措施:
1. Day One 就要前瞻性开展数据分类分级
从架构搭建启动首日即完成境内数据梳理,区分重要数据、敏感个人信息、普通个人信息、一般业务数据,明确出境红线,从源头避免不合规跨境传输。
2. 提前对照监管规则完成数据出境自查
组建法律、技术、业务团队,对照法规核查是否涉及重要数据、是否触发安全评估、是否触发认证或合同备案,不留监管盲区。
3. 严格执行 “先合规、后出境” 审批流程
• 重要数据 / 达标个人信息:先申报数据出境安全评估,通过后再出境;
• 小规模个人信息:先完成认证或完成合同备案,再出境;
• 普通业务数据:自查留痕,确保可追溯。
4. 集团内部跨境数据流转不豁免监管
跨境架构内母子公司、关联方之间的数据共享、备份、同步、许可均视同数据出境,必须履行同等合规程序,不得以 “内部流转” 规避审批。
5. 严控人员跨境流动带来的数据出境风险
人员出境、远程协同、境外研发可能导致代码、参数、用户数据、日志等实质出境,须建立审批、脱敏、日志三重管控。
6. 将数据出境合规纳入跨境交易全流程管控
跨境并购交易协议中将数据出境合规审批设为交割先决条件,明确数据合规责任、违约赔偿、数据删除 / 返还义务,杜绝 “先交割、后合规”。
7. 建立境外数据使用全生命周期监管
对境外数据存储、访问、使用范围实施动态监控,签订数据安全与保密协议,定期审计,确保可追溯、可阻断、可删除。
8. 同步满足境内外双重数据合规要求
同步适配欧盟 GDPR、美国数据安全规则等境外要求,避免单边合规风险,实现双向合规、全程可控。
9. 建立合规培训与应急处置机制
定期开展跨境数据合规培训,制定数据泄露、违规传输应急预案,确保事件可快速处置、上报、整改。
参考文献
[1] 《网络数据安全管理条例》(国务院令第790号,2025年1月1日起施行)第34条。
[2] 《网络数据安全管理条例》(国务院令第790号,2025年1月1日起施行)第35条。
[3] 《网络数据安全管理条例》(国务院令第790号,2025年1月1日起施行)第37条。
[4] 《数据出境安全评估办法》(国家互联网信息办公室令第11号,2022年7月7日起施行)第19条。
[5] 《网络数据安全管理条例》(国务院令第790号,2025年1月1日起施行)第55-61条。
[6] 根据《数据出境安全评估办法》(国家互联网信息办公室令第11号,2022年7月7日起施行)第19条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。具体需根据《数据安全技术数据分类分级规则》及各省市发布的数据出境负面清单等规则认定。
[7] 《数据出境安全评估办法》(国家互联网信息办公室令第11号,2022年7月7日起施行)第4条。
[8] 《个人信息出境认证办法》(国家互联网信息办公室国家市场监督管理总局令第20号,2026年施行)第5条。
[9] 《个人信息出境标准合同办法》(国家互联网信息办公室令第13号,2023年2月22日公布,2023年6月1日起施行)第4条、第7条、第8条。
[10] 《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号,2024年3月22日起施行)第4条、第5条。
