综合《网络安全法》《数据安全法》以及《个人信息保护法》这三大数据合规基本法律要求来看，企业开展数据出境活动时，应结合自身的主体类型、出境数据类型和数量，综合判断是否须要额外（1）申报并通过数据出境安全评估；或（2）订立并备案个人信息出境标准合同；或（3）通过个人信息保护认证。

具体如下表所示：

法律名称

生效日

最新实施的《跨境流动规定》则对上述合规路径的适用范围进行了细化，提出：

1. 如果企业拟出境的数据符合《跨境流动规定》第三条、第四条、第五条和第六条规定的情形（以下合称豁免情形），则企业可依法依规自由开展数据出境活动。若不符合豁免情形，则可继续参照下方第 2-4 项进行判断。

2. 如果企业是 CIIO，则应对其个人信息或重要数据的出境活动通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

3. 如果企业是 CIIO 以外的数据处理者，则首先应当结合相关部门、地区告知或者公开发布的情况判断拟出境的数据是否属于重要数据，出境数据属于重要数据的，则应当申报数据出境安全评估。

4. 如果企业是 CIIO 以外的数据处理者，出境的数据是个人信息，则：

（1） 自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息（不含敏感个人信息）或者 1 万人以上敏感个人信息的，应当申报数据出境安全评估；

（2） 自当年 1 月 1 日起累计向境外提供 10 万人以上、不满 100 万人个人信息（不含敏感个人信息）或者不满 1 万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

为方便理解，企业可以参考如下图 1 总结的数据出境制度适用流程进行判断：

来源：环球律师事务所等团队