一、中国数据跨境传输监管机制的演进

中国数据跨境流动监管以数据出境安全评估、个人信息出境标准合同、个人信息保护认证三条合规路径为基础，在此基础上，数据安全领域以《数据安全法》第36条、《个人信息保护法》第41条作为特定情形下的规则，司法主权领域则以国际司法协助程序作为程序性要求，形成了较为系统的制度体系。

两部新规的发布并未从本质上改变这一体系的基本结构，但在其之外增加了一条反制性规制路径，将会成为跨境数据流动规制的"第四道闸门"。值得注意的是，2026年6月新公布的《国务院关于对外投资的规定》（“837号令”）进一步将跨境数据流动、网络安全监管纳入对外投资相关事项统一考量，并强调贯彻总体国家安全观、统筹发展和安全。

当境外司法机构或行政执法机关要求中国企业提供境内数据时，企业面对的已不只是数据安全视野下的“数据能否出境”，而是三套规则同时作用：数据安全规则、司法主权规则以及新出现的反制与阻断规则。本文结合笔者既往协助企业应对境外司法、行政调查的项目经验，解读数据跨境合规层面的实操问题，并提供应对的“五步法”。

二、 834号令和835号令设定了哪些涉跨境数据流动的阻断规定？

834号令和835号令分别设定了以下的阻断措施：

• 《供应链安全规定》第13条规定，任何组织、个人违反中国法律、行政法规、部门规章和国家有关规定，在中国境内开展与产业链供应链相关的调查等信息收集活动的，有关部门依法采取相应处理措施。第16条规定，对于违反有关部门要求采取的反制措施的组织、个人，国务院有关部门有权责令改正，并可采取包括“禁止或者限制其从境外接收或者向境外提供数据、个人信息”在内的一系列措施。

  
  

• 《反域外管辖条例》第6条规定，经识别有关措施构成外国不当域外管辖措施的，国务院法治部门可以予以公告，任何组织、个人不得执行或者协助执行（其中应包括不得配合提供数据[1]），特殊情况下确需执行或协助执行的，应当向国务院法治部门申请。第8条规定，针对被列入恶意实体清单[2]的组织、个人，国务院有关部门可以决定对其采取反制和限制措施，其中第（四）项明确为"禁止或者限制中国境内的组织、个人向其提供数据、个人信息"。第17条规定，拒不执行或者规避执行本条例规定的反制和限制措施，或者违反禁执令[3]的，国务院有关部门可以采取"禁止或者限制其从中国境外接收或者向中国境外提供数据、个人信息"等措施。第19条则规定了本条例与数据安全、司法协助等领域法律法规的衔接关系，明确“法律法规另有规定的，依照其规定”。

整体而言，两部新规在数据跨境流动的阻断方面存在三点共同特征。第一，数据跨境流动被明确作为对外反制工具。《供应链安全规定》第16条、《反域外管辖条例》第8条第（四）项和第17条均将“数据和个人信息的跨境接收与提供”作为反制或限制措施的组成部分；第二，规制是双向的。两部法规的条文表述均为“禁止或者限制其从境外接收或者向境外提供数据、个人信息”，这与既有国内数据跨境监管框架几乎完全聚焦于"出境"的规制逻辑形成差异；第三，程序的启动为监管导向，也即由中国主管部门认定特定案件是否构成外国“不当域外管辖”，以及决定是否采取有关反制或限制措施，而非由企业主动识别和申报。

三、企业应对境外调查而涉及数据出境的典型场景有哪些？

整体上，企业应对境外调查可区分为境外行政机关调查和境外司法机关调查：

1. 境外行政机关调查

典型场景一：某集团公司的境外实体因当地业务活动而受到当地行政机关调查，并被要求提供存储于中国境内的特定证据材料，或被要求从境外跨境访问中国境内的特定系统（上述某中资企业涉欧盟跨境调查案即为此情形）。例如美国证券交易委员会针对在美上市的中概股公司的调查。

典型场景二：某集团公司的境外实体因当地业务活动而受到当地行政机关调查。为证明公司的合规性，集团开展内部调查，其中部分证据材料位于中国境内。例如应美国反海外腐败法（FCPA）执法需要而开展的内部调查。

2. 境外司法机关调查

典型场景一（境外民商事诉讼）：某集团公司的境外实体在境外法院的民事审判程序中，基于证据开示（Discovery）规则，被要求提交位于中国境内的证据材料。

典型场景二（境外刑事调查程序）：某集团公司的境外实体在美国因涉嫌刑事犯罪被列为“目标方”（Target），受到美国司法部（DOJ）的刑事调查，并被DOJ要求提供证据材料，其中涉及存储于中国境内的数据。此外，即使被要求调取境内数据的境外实体并非案件“目标方”，该境外实体亦可能作为服务提供者而受到调查或配合调查，例如美国《澄清境外数据合法使用法》（CLOUD Act）项下的数据调取令。

值得注意的是，在某些情况下，境外行政程序和司法程序并非绝对割裂的状态，而可能涉及司法和行政程序间的衔接。例如在DOJ的刑事调查和和解程序中，可能基于案件需要，为达成“一揽子和解”（Global Resolution），而引入其他美国行政机关参与，届时则可能同时涉及行政程序。

四、基于跨境调查的数据出境涉及哪些合规要求？本次新规出台有什么变化？

在上述典型场景中，基于境外司法或行政机关的调查要求，将存储于境内的数据向境外传输，可能面临我国数据安全、司法主权等领域的限制性要求。

1. 数据安全领域

• 《数据安全法》第36条：非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

  
  

• 《个人信息保护法》第41条：非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

  
  

• 特定行业领域数据安全要求：例如《工业和信息化领域数据安全管理办法（试行）》第21条：非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。《反洗钱法》第50条：外国国家、组织违反对等、协商一致原则直接要求境内金融机构提交客户身份资料、交易信息，扣押、冻结、划转境内资金、资产，或者作出其他行动的，金融机构不得擅自执行，并应当及时向国务院有关金融管理部门报告。除前款规定外，外国国家、组织基于合规监管的需要，要求境内金融机构提供概要性合规信息、经营信息等信息的，境内金融机构向国务院有关金融管理部门和国家有关机关报告后可以提供或者予以配合。前两款规定的资料、信息涉及重要数据和个人信息的，还应当符合国家数据安全管理、个人信息保护有关规定。

  
  

• 一般性数据出境合规要求（针对个人信息和重要数据）：包括告知境外接收方信息并取得单独同意（针对个人信息），开展个人信息保护影响评估（针对个人信息），履行数据出境申报程序（如适用）或论证属于豁免情形。

上述要求中，“一般性数据出境合规要求”对于企业而言相对具有“确定性”；实践中，企业在跨境调查背景下的痛点和“不确定性”在于《数据安全法》第36条、《个人信息保护法》第41条的适用不清晰、批准程序不明确，亟需可执行的法律论证路径与出境方案。

最后，根据837号令第22条，在对外投资相关争议或境外调查场景下，向境外提供证据或者相关材料时，除数据安全、个人信息保护规则外，还需同步审视保守国家秘密、技术出口管理、出口管制、司法协助等要求；因此，部分包含受管制技术资料或相关数据的信息材料，亦可能因出口管制或技术出口管理规则而受限。

2. 司法主权领域

• 民事司法领域。结合中国司法部于2025年3月发布的《国际民商事司法协助常见问题解答》，（1）根据中国与外国达成《海牙送达公约》《海牙取证公约》以及双边司法协助条约，外国司法机关或司法人员不得直接调取位于中国境内的证据材料，而应当通过“公对公”的司法协助程序进行；（2）中国境内当事人出于自愿向外国司法机关或司法人员提交的，则遵循《数据安全法》《个人信息保护法》等关于数据出境的合规要求（即前述“一般性数据出境合规要求”）。

  
  

• 刑事司法领域。根据《中华人民共和国国际刑事司法协助法》（以下简称“《国际刑事司法协助法》”）《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定（试行）》（以下简称“《刑事司法协助规定》”）等规定，包括两类报告/申请程序：（1）被要求协助外国组织、个人开展刑事调查活动（包括向境内组织、个人调取刑事证据材料）：根据《刑事司法协助规定》第11条、13条，应当通过国际刑事司法合作途径开展，如外国直接向境内组织、个人调查取证的，境内组织、个人应当向中国司法部刑事证据出境审查工作机制办公室书面报告有关情况；（2）为维护自身权益等目的，主动向外国提交证据：根据《刑事司法协助规定》第14条，中国境内组织和个人如需主动向外国提交刑事调查相关证据的，应当向工作机制办公室提出书面申请，同时应遵守中国关于国家秘密、数据安全、个人信息保护等法律法规。

3. 新规出台后的变化

如前第一节的分析，整体上，834号令和835号令项下的“不当域外管辖”认定及数据跨境流动阻断措施作为对外反制工具，其启动具有监管导向，也即并非企业事前申报义务，因此，若中国主管部门尚未作出认定，企业在跨境调查中主动履行的义务方面无实质变化。

但在实践中，如果涉及跨境供应链调查，或具体案情涉及外国不当域外管辖的，一方面，尽管834号令和835号令项下的反制工具系由中国主管部门启动，但企业作为特定调查案件的当事人，必要情况下可就案件情况寻求主管部门意见并提供案件信息，以帮助主管部门了解案件从而作出认定（如涉及）；另一方面，对于可能涉及案件信息公开或舆论发酵的重大调查案件，企业应当对中国主管部门获悉后可能启动的反制程序有所预判，以便于准确制定案件应对策略，提前把控风险。

在《供应链安全规定》框架下，还包括供应商穿透信息、采购与物流路径、核心设备与原材料来源、产能与库存、系统架构、关键客户和项目清单等供应链敏感信息的境外调取问题，这类信息未必都属于个人信息，但可能直接落入产业链供应链安全监管视角，并可能在特定行业和关键信息基础设施运营场景下落入重要数据范围。

五、企业应对跨境调查的数据合规“信号灯”与“五步法”

综合以上，我们结合相关规定、监管口径及项目经验，梳理了企业应对跨境调查中数据合规问题的“警示信号灯”和“五步法”，以供企业参考。

点击可查看大图

“五步法”：

第一步：识别境外调查场景和境内反制程序

• 识别境外调查场景。包括：（1）调查程序：行政程序或司法程序（刑事程序或民商事程序）；（2）调查对象：传票等指向的调查对象是否明确包括境内主体；（3）调证内容：传票所要求调取的证据范围是否明确包括存储于中国境内的数据。

  
  

• 识别境内反制程序。包括：（1）具体案件是否被中国司法部认定构成“不当域外管辖”，是否要求企业不得配合调查；（2）中国主管部门是否采取数据跨境流动阻断措施。如（1）（2）的结论为是，则理论上不应再向外国机关提供数据。（3）虽尚未正式认定，但案件是否实质可能涉及跨境供应链调查或外国不当域外管辖。

第二步：确定基本策略，开展法律论证

• 确定基本策略。结合实体案情及境内外律师意见，判断证据出境是否符合公司利益及有利于案件推进，以确定后续开展法律论证和程序推进的基本策略。

  
  

• 论证合规路径。根据确定的基本策略，开展合规路径的法律论证。包括在不同类型调查程序下，相关数据安全、司法主权规则的适用与论证，确定向境外提供数据的链路，并决策是否有必要主动寻求主管部门的沟通和帮助等。

第三步：开展拟出境材料梳理与打标

如第二步确定案件策略为推进数据出境的，则可在境内外律师的协同配合下：

• 确定证据梳理规则（Protocol）。包括确定（1）拟开展系统初步检索的关键词规则；（2）基于实体案情的相关性审阅规则；（3）基于中国法监管要求的合法性审阅规则。

  
  

• 聘请第三方技术机构。根据案件紧迫性、证据材料数量及公司技术能力等因素，考虑聘请第三方技术机构，从系统层面通过关键词“检索击中”（search hits）等方式，快速实现拟出境材料初步筛查，以供后续推进相关性审阅和合法性审阅，提高材料梳理效率。

  
  

• 开展内部材料收集。第三方技术机构进场开展材料收集。某些情况下，案件材料可能由特定文件持有人（Custodian）掌握，公司应向相关人员发送保全通知（Legal Hold），以确保程序合规。

  
  

• 开展材料审阅及打标。根据已确定的证据梳理规则（Protocol），开展证据材料的相关性审阅和合法性审阅，并进行打标（相关性标注：相关/不相关；合法性标注：个人信息/重要数据/国家秘密/不涉及），此时需要注意对于相关性情况进行具体把控，以满足必要性原则要求。

第四步：开展内部合规动作

根据第三步材料梳理和打标的情况，结合调查需要，开展如下一项或多项合规动作：

• 个人信息/其他敏感信息打码。鉴于我国针对个人信息/重要数据出境的一系列严格合规要求，如配合调查无需提供个人信息的，可对个人信息及其他敏感信息进行遮盖等处理。

  
  

• 开展个人信息出境的内部合规动作。如特定案件确需保留拟出境材料中的个人信息的，应当履行《个人信息保护法》等法律法规项下的合规要求，包括告知、取得合法性基础（例如单独同意等）、开展个人信息保护影响评估（PIA）、签署数据传输合同等。

  
  

• 其他合规性动作。

第五步：履行适用的审批程序（如涉及），完成数据出境

• 根据前期论证的合规路径，结合拟出境材料合法性审阅情况，履行适用的申请或报告程序（如涉及）并取得批准后，完成数据出境。

从企业合规治理视角看，随着834号令和835号令设定的阻断措施及837号令将跨境数据流动、网络安全监管纳入对外投资事项统一规制，企业对跨境调查的数据合规应对，也应逐步从“案件发生后的专项处置”，前移为境外投资、境外经营和集团跨境数据治理中的常设机制。

[注]

[1] 就跨境调查场景而言，配合提供数据、开放系统访问权限、协助境外机关在华收集证据，通常可能被纳入‘执行或者协助执行’的行为范畴，但仍需结合具体公告、禁执令内容及案件事实判断。

[2] 根据《反域外管辖条例》第8条，指国务院有关部门按照工作机制决策程序，可以将推动实施或者参与实施外国不当域外管辖措施的外国组织、个人列入恶意实体清单。

[3] 根据《反域外管辖条例》第13条，禁执令指国务院法治部门按照工作机制决策程序，可以对执行或者协助执行外国不当域外管辖措施的组织、个人作出禁止执行外国不当域外管辖措施的决定。