中新網(wǎng)北京6月17日電(記者 趙方園 左雨晴)攜程被處罰！這次是數(shù)據(jù)出境踩了“紅線”。

　　據(jù)上海市網(wǎng)信辦6月13日的通報：針對上海攜程商務(wù)有限公司未落實數(shù)據(jù)出境安全評估要求、違法出境個人信息等行為，依據(jù)《個人信息保護法》，予以罰款1000萬元的行政處罰，并責(zé)令企業(yè)限期改正。

　　對于違法行為是否已造成用戶數(shù)據(jù)泄露、出境數(shù)據(jù)是否存在被濫用風(fēng)險、具體整改措施等問題，中新網(wǎng)記者向攜程方面求證，截至發(fā)稿時未獲回應(yīng)。

　　“從公開信息來看，此次攜程被罰存在‘未落實數(shù)據(jù)出境安全評估要求、違法出境個人信息’這一違法行為，并且存在‘情節(jié)嚴(yán)重’的特點。”工業(yè)和信息化智慧法治工信部重點實驗室執(zhí)行主任趙精武在接受中新網(wǎng)記者采訪時指出，攜程在數(shù)據(jù)安全管理方面可能并未全面履行《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)明確規(guī)定的法定義務(wù)，未能對出境數(shù)據(jù)的安全性、合法性進行全面的風(fēng)險評估和合規(guī)審計。

　　值得一提的是，攜程在個人信息保護領(lǐng)域早有“前科”。2021年，浙江紹興消費者胡女士以攜程采集其個人非必要信息、進行“大數(shù)據(jù)殺熟”為由訴至法院。法院判決攜程賠償原告訂房差價的三倍支付賠償金，并要求其在App中為原告增加不同意現(xiàn)有“服務(wù)協(xié)議”和“隱私政策”仍可繼續(xù)使用的選項，或修訂相關(guān)協(xié)議以去除對用戶非必要信息采集和使用的內(nèi)容。

　　此次再踩“紅線”，則與攜程持續(xù)加碼的海外布局有關(guān)。

　　近年來，攜程持續(xù)加碼海外市場布局。2025年，攜程國際OTA平臺總預(yù)訂同比增長約60%，貢獻了40%的總收入，較上年的35%有所上升。

　　業(yè)務(wù)狂奔之下，國際OTA平臺的商業(yè)天性也隨之凸顯——“強個人信息+強跨境協(xié)同”的雙重屬性使數(shù)據(jù)合規(guī)成為無法回避的難題：用戶實名、行程、證件、支付與設(shè)備信息高度集中，而跨境機票、境外酒店、海外供應(yīng)商結(jié)算、國際客服與風(fēng)控模型訓(xùn)練等環(huán)節(jié)，又常常需要將數(shù)據(jù)或處理結(jié)果傳輸至境外主體、境外云或境外關(guān)聯(lián)方系統(tǒng)。

　　2017年6月1日起施行的《網(wǎng)絡(luò)安全法》首次提出數(shù)據(jù)出境監(jiān)管要求，隨后相關(guān)法律法規(guī)體系逐步完善。監(jiān)管部門也不斷加大執(zhí)法力度，嚴(yán)厲打擊危害網(wǎng)絡(luò)和數(shù)據(jù)安全、侵害個人信息權(quán)益、擾亂經(jīng)濟社會秩序等各類網(wǎng)絡(luò)違法違規(guī)行為。

　　例如，2026年1月，上海網(wǎng)信辦發(fā)布2025年網(wǎng)絡(luò)數(shù)據(jù)安全執(zhí)法典型案例，其中兩起涉及未落實數(shù)據(jù)跨境安全管理要求。一起為某酒店管理企業(yè)向網(wǎng)信部門申報數(shù)據(jù)出境安全評估后，在被告知出境必要性不足的情況下仍未整改，持續(xù)違規(guī)出境個人信息，被責(zé)令限期改正并處以罰款；另一起為某物業(yè)管理企業(yè)運營的APP在未申報安全評估、未訂立標(biāo)準(zhǔn)合同、未通過個人信息保護認(rèn)證的情況下，自行向境外提供包含金融賬戶等敏感個人信息的用戶住宿信息，被責(zé)令限期改正并予以警告。

　　趙精武認(rèn)為，目前企業(yè)的共性問題在于內(nèi)部數(shù)據(jù)安全合規(guī)管理機制體系化程度不足，雖然部分業(yè)務(wù)環(huán)節(jié)履行了數(shù)據(jù)安全保護義務(wù)，但整體上并未形成涵蓋全數(shù)據(jù)生命周期且各環(huán)節(jié)相互銜接的合規(guī)流程，倘若未能嚴(yán)格履行數(shù)據(jù)安全義務(wù)，無疑會對社會經(jīng)濟運行產(chǎn)生威脅。

　　對于上海市網(wǎng)信辦近期處理攜程等一批執(zhí)法案件所通報的“后端處理數(shù)據(jù)合規(guī)能力不足”與“數(shù)據(jù)出境合規(guī)審計不嚴(yán)”兩處問題，中國人民大學(xué)法學(xué)院教授張龑向中新網(wǎng)記者表示，這兩點直指數(shù)據(jù)生命周期中的關(guān)鍵環(huán)節(jié)。

　　張龑指出，在制度建設(shè)方面，可能存在的缺陷包括： 一是數(shù)據(jù)分類分級與出境識別機制的缺位。安全評估的觸發(fā)以準(zhǔn)確識別“哪些數(shù)據(jù)、多少數(shù)量、是否敏感、是否重要數(shù)據(jù)”為前提；若企業(yè)沒有建立有效的數(shù)據(jù)資產(chǎn)盤點和出境清單管理，就無法判斷自身是否觸線，“未落實評估”往往正源于此。二是出境合規(guī)審計制度的形式化?！秱€人信息保護法》第五十四條、五十六條要求個人信息處理者定期開展合規(guī)審計與影響評估，通報所稱“審計不嚴(yán)”指向這一制度或者未實際運行，或者流于形式、未能識別出境違規(guī)。三是“后端處理”環(huán)節(jié)的合規(guī)能力不足，通常意味著數(shù)據(jù)在采集后的存儲、調(diào)用、跨境傳輸?shù)孺湕l上缺乏與前端告知—同意相匹配的技術(shù)與管理控制，存在前端合規(guī)、后端失控的“兩張皮”現(xiàn)象。

　　“執(zhí)行方面的缺陷則體現(xiàn)為：告知同意的充分性可能存在不足——雖然對‘履行合同必需’的出境場景是否必須取得‘單獨同意’存在解釋空間，但至少出境前的特別告知義務(wù)(《個人信息保護法》第三十九條)應(yīng)當(dāng)履行，否則用戶無法在知情基礎(chǔ)上作出選擇；出境前的個人信息保護影響評估(第五十五條)可能未做或未留痕；以及對境外接收方的處理活動缺乏持續(xù)監(jiān)督和合同約束?！睆堼屨f。

　　“只要涉及境內(nèi)個人信息向外傳輸，企業(yè)不能抱有僥幸簡化流程?！北本┖愣悸蓭熓聞?wù)所合伙人高廣童指出，企業(yè)開展數(shù)據(jù)出境需把握三個層面：先判斷是否觸發(fā)安全評估法定情形，未觸發(fā)的方可選擇個人信息保護認(rèn)證或標(biāo)準(zhǔn)合同備案；同時必須落實個人信息保護影響評估和取得個人單獨同意，不得擅自批量傳輸；完成合規(guī)程序后還需持續(xù)監(jiān)測數(shù)據(jù)流轉(zhuǎn)并采取加密等保護措施，確保境外接收方的數(shù)據(jù)處理活動符合我國法律規(guī)定的保護標(biāo)準(zhǔn)。(完)