行业快讯：6月13日上海网信办开出千万跨境数据传输罚单，携程违规出境用户信息被罚1000万

2026年6月13日，在国家网信办统一指导下，上海市网信办公开发布行政处罚案例，对上海携程商务有限公司作出罚款1000万元的处罚决定，同时责令企业全面限期整改，为本年度在线旅游行业跨境数据合规重磅执法典型案例。

一、核心违法事实

执法核查确认企业存在两项核心违规行为：

1、未依法完成数据出境安全评估，擅自跨境传输海量个人信息

企业为支撑海外OTA业务、境外数据分析平台运营，长期将境内用户数据直接传输至境外业务系统，未按《数据出境安全评估办法》申报并通过网信部门组织的出境安全评估流程。

跨境传输数据包含姓名、身份证、护照、银行卡、出行订单、住宿行程等高敏感个人信息，数据量级达到法定强制评估标准，属于情节严重类违规。

2、数据安全主体责任全面缺位

企业数据出境全流程管控机制缺失：跨境文件、业务数据流传输无专项审批、传输链路加密不完善、出境行为审计日志不全，未对境外数据接收方开展持续安全核验，数据分级分类、跨境传输风险排查工作流于形式。

二、处罚法律依据

本次处罚依据《中华人民共和国个人信息保护法》相关条款作出。监管通报指出，企业未履行跨境个人信息出境法定前置合规义务，大规模违规向外输送敏感个人信息，严重侵害用户个人信息权益，违反数据跨境传输监管要求，依法处以顶格区间高额罚款。

三、监管释放明确执法信号

1.民生消费类互联网平台跨境数据传输进入从严监管周期。旅游、跨境电商、物流、金融等天然存在境外业务协同的行业，成为数据出境专项检查重点；

2.明确合规底线：凡境内业务产生的大量个人信息，如需通过接口、云同步、跨区域文件传输、海外业务系统同步等方式出境，三选一合规路径必须落地：数据出境安全评估、签订标准合同、取得个人信息保护认证，无任何豁免通道；

3.各地网信部门将同步开展行业自查自纠：重点排查企业员工通过境外云盘、海外传输工具、跨境 FTP、海外协作系统私自外发业务数据、用户资料行为，无审计、无加密、无审批的跨境传输通道将全部要求关停整改。

四、行业合规启示

本次千万罚单暴露大量企业共性短板：业务扩张优先、跨境数据传输合规体系滞后。企业需尽快完善以下管控能力：

1.梳理全链路跨境数据流动场景：区分接口实时数据流、批量文件跨境传输、海外云同步三类通道，建立统一出境审批流程；

2.搭建安全托管文件传输（MFT）平台：替代无管控境外云盘、传统 FTP，实现跨境传输全程加密、操作日志留存不少于 180 天、文件水印溯源；

3.完成用户敏感数据分级分类：核心个人信息出境前执行脱敏处理，定期对境外合作接收方开展安全风险审计；

4.建立常态化跨境数据合规自查机制：提前完成数据出境安全评估申报，规避高额行政处罚风险。