未落实安全评估要求，违法出境个人信息，携程被罚1000万

据“网信上海”6月13日消息，近期上海携程商务有限公司因未落实数据出境安全评估要求、违法出境个人信息等行为，被上海市网信办依据《个人信息保护法》处以行政处罚，罚款1000万元并责令限期改正。

据悉，在国家网信办指导下，近期上海市网信办针对属地部分企业网络数据安全主体责任履行不到位、安全管理防护措施缺失、后端处理数据合规能力不足、数据出境合规审计不严等问题办理了一批执法案件，携程是其中之一。

上海市网信办称，企业受处罚后积极配合，全面落实有关整改要求。网信部门还进一步加大网络执法力度，严厉打击危害网络和数据安全、侵害个人信息权益、扰乱经济社会秩序等各类网络违法违规行为。

近年来，随着《网络安全法》《数据安全法》《个人信息保护法》出台，相关行政法规与部门规章相继落地，我国已构建起数据出境安全评估、个人信息保护认证、个人信息出境标准合同的完整三路径监管体系，合规要求基本清晰。不过在行政执法层面，目前仍处于探索与起步阶段。

南都记者梳理发现，目前能公开检索到的明确涉及数据出境违法行为案例不足十起，数量较少，且大多未公开行政处罚决定。

今年1月，上海网信办公开两起违法违规数据出境的处罚案例。一是某酒店管理企业向网信部门申报了数据出境安全评估，在被告知出境必要性不足的情况下，其并未进行整改，持续违规出境个人信息，被责令其限期改正并予以罚款。另一起为某物业管理企业运营的APP在未申报安全评估、订立标准合同、通过个人信息保护认证的情况下，自行向境外提供用户住宿信息，且包含金融账户等敏感个人信息，被责令限期改正并警告，但未处以罚金。（作者：南方都市报）

Fintecdaily.com认为，上海携程商务有限公司因未落实数据出境安全评估要求、违法出境个人信息等行为，被上海市网信办依据《个人信息保护法》处以1000万元罚款并责令限期改正，直接暴露出这家跨境旅游平台巨头在跨境数据流转、安全合规审计及底层隐私内控治理上的内卷残局。虽然携程在受罚后全面落实整改，但在国家网信办指导的专项执法中被抓典型，暴露出其数据主体责任履行不到位、后端处理合规能力不足以及高敏感用户画像跨境流转的合规硬现实。在我国已构建起安全评估、保护认证及标准合同三路径监管体系后，这一千万级罚单的出炉，深刻揭示了互联网平台在追求跨境业务规模时，轻视跨境数据主权防线并挑战监管红线的生存残局。涉外场景长尾扩展与非现场合规穿透审计失效相互交织，正使其面临穿透式合规倒查的重压。目前公开检索到的数据出境违法案例不足十起，此前上海网信办针对酒店、物业等企业多采用限期改正与警告手段，本次对携程直接开出千万级行政处罚，标志着我国跨境数据执法已由早期的探索示范期步入常态化铁腕惩治阶段。跨境订票与住宿消费数据中天然蕴含金融账户、身份轨底等大量敏感个人信息，极易在非现场穿透式核验中因境外第三方滥用触发国家安全与信息主权红线。