中新網(wǎng)北京6月17日電(記者 趙方園 左雨晴)攜程被處罰！這次是數(shù)據(jù)出境踩了“紅線”。

　　據(jù)上海市網(wǎng)信辦6月13日的通報(bào)：針對(duì)上海攜程商務(wù)有限公司未落實(shí)數(shù)據(jù)出境安全評(píng)估要求、違法出境個(gè)人信息等行為，依據(jù)《個(gè)人信息保護(hù)法》，予以罰款1000萬(wàn)元的行政處罰，并責(zé)令企業(yè)限期改正。

　　對(duì)于違法行為是否已造成用戶數(shù)據(jù)泄露、出境數(shù)據(jù)是否存在被濫用風(fēng)險(xiǎn)、具體整改措施等問(wèn)題，中新網(wǎng)記者向攜程方面求證，截至發(fā)稿時(shí)未獲回應(yīng)。

　　“從公開(kāi)信息來(lái)看，此次攜程被罰存在‘未落實(shí)數(shù)據(jù)出境安全評(píng)估要求、違法出境個(gè)人信息’這一違法行為，并且存在‘情節(jié)嚴(yán)重’的特點(diǎn)。”工業(yè)和信息化智慧法治工信部重點(diǎn)實(shí)驗(yàn)室執(zhí)行主任趙精武在接受中新網(wǎng)記者采訪時(shí)指出，攜程在數(shù)據(jù)安全管理方面可能并未全面履行《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法律法規(guī)明確規(guī)定的法定義務(wù)，未能對(duì)出境數(shù)據(jù)的安全性、合法性進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和合規(guī)審計(jì)。

　　值得一提的是，攜程在個(gè)人信息保護(hù)領(lǐng)域早有“前科”。2021年，浙江紹興消費(fèi)者胡女士以攜程采集其個(gè)人非必要信息、進(jìn)行“大數(shù)據(jù)殺熟”為由訴至法院。法院判決攜程賠償原告訂房差價(jià)的三倍支付賠償金，并要求其在App中為原告增加不同意現(xiàn)有“服務(wù)協(xié)議”和“隱私政策”仍可繼續(xù)使用的選項(xiàng)，或修訂相關(guān)協(xié)議以去除對(duì)用戶非必要信息采集和使用的內(nèi)容。

　　此次再踩“紅線”，則與攜程持續(xù)加碼的海外布局有關(guān)。

　　近年來(lái)，攜程持續(xù)加碼海外市場(chǎng)布局。2025年，攜程國(guó)際OTA平臺(tái)總預(yù)訂同比增長(zhǎng)約60%，貢獻(xiàn)了40%的總收入，較上年的35%有所上升。

　　業(yè)務(wù)狂奔之下，國(guó)際OTA平臺(tái)的商業(yè)天性也隨之凸顯——“強(qiáng)個(gè)人信息+強(qiáng)跨境協(xié)同”的雙重屬性使數(shù)據(jù)合規(guī)成為無(wú)法回避的難題：用戶實(shí)名、行程、證件、支付與設(shè)備信息高度集中，而跨境機(jī)票、境外酒店、海外供應(yīng)商結(jié)算、國(guó)際客服與風(fēng)控模型訓(xùn)練等環(huán)節(jié)，又常常需要將數(shù)據(jù)或處理結(jié)果傳輸至境外主體、境外云或境外關(guān)聯(lián)方系統(tǒng)。

　　2017年6月1日起施行的《網(wǎng)絡(luò)安全法》首次提出數(shù)據(jù)出境監(jiān)管要求，隨后相關(guān)法律法規(guī)體系逐步完善。監(jiān)管部門也不斷加大執(zhí)法力度，嚴(yán)厲打擊危害網(wǎng)絡(luò)和數(shù)據(jù)安全、侵害個(gè)人信息權(quán)益、擾亂經(jīng)濟(jì)社會(huì)秩序等各類網(wǎng)絡(luò)違法違規(guī)行為。

　　例如，2026年1月，上海網(wǎng)信辦發(fā)布2025年網(wǎng)絡(luò)數(shù)據(jù)安全執(zhí)法典型案例，其中兩起涉及未落實(shí)數(shù)據(jù)跨境安全管理要求。一起為某酒店管理企業(yè)向網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估后，在被告知出境必要性不足的情況下仍未整改，持續(xù)違規(guī)出境個(gè)人信息，被責(zé)令限期改正并處以罰款；另一起為某物業(yè)管理企業(yè)運(yùn)營(yíng)的APP在未申報(bào)安全評(píng)估、未訂立標(biāo)準(zhǔn)合同、未通過(guò)個(gè)人信息保護(hù)認(rèn)證的情況下，自行向境外提供包含金融賬戶等敏感個(gè)人信息的用戶住宿信息，被責(zé)令限期改正并予以警告。

　　趙精武認(rèn)為，目前企業(yè)的共性問(wèn)題在于內(nèi)部數(shù)據(jù)安全合規(guī)管理機(jī)制體系化程度不足，雖然部分業(yè)務(wù)環(huán)節(jié)履行了數(shù)據(jù)安全保護(hù)義務(wù)，但整體上并未形成涵蓋全數(shù)據(jù)生命周期且各環(huán)節(jié)相互銜接的合規(guī)流程，倘若未能嚴(yán)格履行數(shù)據(jù)安全義務(wù)，無(wú)疑會(huì)對(duì)社會(huì)經(jīng)濟(jì)運(yùn)行產(chǎn)生威脅。

　　對(duì)于上海市網(wǎng)信辦近期處理攜程等一批執(zhí)法案件所通報(bào)的“后端處理數(shù)據(jù)合規(guī)能力不足”與“數(shù)據(jù)出境合規(guī)審計(jì)不嚴(yán)”兩處問(wèn)題，中國(guó)人民大學(xué)法學(xué)院教授張龑向中新網(wǎng)記者表示，這兩點(diǎn)直指數(shù)據(jù)生命周期中的關(guān)鍵環(huán)節(jié)。

　　張龑指出，在制度建設(shè)方面，可能存在的缺陷包括： 一是數(shù)據(jù)分類分級(jí)與出境識(shí)別機(jī)制的缺位。安全評(píng)估的觸發(fā)以準(zhǔn)確識(shí)別“哪些數(shù)據(jù)、多少數(shù)量、是否敏感、是否重要數(shù)據(jù)”為前提；若企業(yè)沒(méi)有建立有效的數(shù)據(jù)資產(chǎn)盤點(diǎn)和出境清單管理，就無(wú)法判斷自身是否觸線，“未落實(shí)評(píng)估”往往正源于此。二是出境合規(guī)審計(jì)制度的形式化。《個(gè)人信息保護(hù)法》第五十四條、五十六條要求個(gè)人信息處理者定期開(kāi)展合規(guī)審計(jì)與影響評(píng)估，通報(bào)所稱“審計(jì)不嚴(yán)”指向這一制度或者未實(shí)際運(yùn)行，或者流于形式、未能識(shí)別出境違規(guī)。三是“后端處理”環(huán)節(jié)的合規(guī)能力不足，通常意味著數(shù)據(jù)在采集后的存儲(chǔ)、調(diào)用、跨境傳輸?shù)孺湕l上缺乏與前端告知—同意相匹配的技術(shù)與管理控制，存在前端合規(guī)、后端失控的“兩張皮”現(xiàn)象。

　　“執(zhí)行方面的缺陷則體現(xiàn)為：告知同意的充分性可能存在不足——雖然對(duì)‘履行合同必需’的出境場(chǎng)景是否必須取得‘單獨(dú)同意’存在解釋空間，但至少出境前的特別告知義務(wù)(《個(gè)人信息保護(hù)法》第三十九條)應(yīng)當(dāng)履行，否則用戶無(wú)法在知情基礎(chǔ)上作出選擇；出境前的個(gè)人信息保護(hù)影響評(píng)估(第五十五條)可能未做或未留痕；以及對(duì)境外接收方的處理活動(dòng)缺乏持續(xù)監(jiān)督和合同約束?！睆堼屨f(shuō)。

　　“只要涉及境內(nèi)個(gè)人信息向外傳輸，企業(yè)不能抱有僥幸簡(jiǎn)化流程?！北本┖愣悸蓭熓聞?wù)所合伙人高廣童指出，企業(yè)開(kāi)展數(shù)據(jù)出境需把握三個(gè)層面：先判斷是否觸發(fā)安全評(píng)估法定情形，未觸發(fā)的方可選擇個(gè)人信息保護(hù)認(rèn)證或標(biāo)準(zhǔn)合同備案；同時(shí)必須落實(shí)個(gè)人信息保護(hù)影響評(píng)估和取得個(gè)人單獨(dú)同意，不得擅自批量傳輸；完成合規(guī)程序后還需持續(xù)監(jiān)測(cè)數(shù)據(jù)流轉(zhuǎn)并采取加密等保護(hù)措施，確保境外接收方的數(shù)據(jù)處理活動(dòng)符合我國(guó)法律規(guī)定的保護(hù)標(biāo)準(zhǔn)。(完)