政策解读 丨 国务院关于对外投资的规定解读(四):从技术出口到数据出境,重点产业出海的隐性合规点
837号令所体现的重要变化之一,是对外投资管理除了聚焦项目核准备案和资金跨境,同时也更注重投资活动背后的技术、数据、服务、人员和供应链等要素流动。企业开展境外投资,除依法履行核准备案、信息报告、跨境资金登记等手续外,还需统筹评估技术出口、出口管制、数据出境、网络安全、知识产权及相关行业监管要求。
这并不意味着837号令重新建立了一套技术出口或数据出境制度,而是将原本分散在不同法律法规中的横向合规要求,进一步纳入对外投资的统一审视框架。对于生物医药、人工智能、集成电路、高端制造和数字经济等技术密集型产业而言,一项境外投资往往伴随上述相关跨境合规要求,相关业务更容易触发多套监管规则。
因此,企业需将合规识别窗口前移至项目立项和交易架构设计阶段,不仅判断“能不能投”“资金能不能出去”,还要进一步判断“哪些技术、数据和专业能力可以按照什么方式跨境配置”,从源头降低交易实施风险。837号令在技术出口、数据出境、安全审查和风险防控等方面的要求,主要体现在哪几个方面?
1、明确分级分类管理措施
第十条:国家健全对外投资管理体系,完善调控措施,分类分级实施全过程监管,加强风险防控,提高对外投资的科学性、安全性,推动投资便利化和有效防范风险相结合。
第十一条:国务院投资主管部门、商务主管部门会同国务院其他有关部门根据国民经济和社会发展需要、有关国家(地区)投资环境变化和风险程度等,制定、调整和实施对外投资政策,明确鼓励、限制、禁止的对外投资,加强对外投资监管,指导、监督投资者规范投资经营行为。
在原有分类(敏感/非敏感、投资额3亿美元、“项目是否敏感、投资主体类型和中方投资额等因素”)和分级(省级/国家级)基础上,837号令更加强调根据投资领域、投资目的地、项目风险和国家政策导向实施动态管理,并将监管范围由项目设立阶段延伸至投资实施、境外运营、资产处置和退出等环节。
其中,第十一条提出明确鼓励、限制和禁止的对外投资,意味着对外投资政策将更加注重动态调整。企业在判断项目是否符合监管要求时,不能只依据项目启动时的政策和清单,还应持续关注投资目的地风险、行业政策变化以及项目实施过程中可能出现的控制权、资产和业务调整。
观点:
因此,分类分级管理并不等于单纯提高监管强度,而是通过区分不同项目风险,推动监管资源更加精准配置,在便利正常投资的同时,对高风险领域和重点环节实施更有针对性的管理。
2、强化技术、服务和数据跨境流动管理
第十三条:投资者开展对外投资活动,不得出口、使用国家禁止出口的货物、技术、服务及相关数据,或者未经许可出口、使用国家限制出口的货物、技术、服务及相关数据;不得以跨境派遣技术人员、组织人员赴其他国家(地区)工作、跨境提供技术指导、安排人员跨境培训等方式向其他国家(地区)转移国家禁止出口的货物、技术、服务及相关数据,或者未经许可向其他国家(地区)转移国家限制出口的货物、技术、服务及相关数据。
第十四条:对外投资涉及资金汇兑、货物与技术进出口、跨境服务贸易、跨境数据流动、人员出境入境的管理以及经营者集中审查、出口管制、网络安全监管、税收征收管理、国有资产监管等,依照有关法律、行政法规和国家有关规定执行。
第十三条和第十四条是重点产业企业尤其需要关注的条款。从条文内容看,两条规定并未创设新的技术出口、出口管制或者数据出境制度,而是将现行相关制度明确嵌入对外投资管理框架。这意味着,企业不能再将境外投资核准备案与技术、数据和人员跨境活动割裂处理。一项境外投资项目所涉及的技术资料、研发数据、技术服务和人员培训等,企业仍需要分别依据技术进出口、出口管制、数据安全、个人信息保护、网络安全和行业专项监管规则作出判断。
值得注意的是,第十三条没有将技术跨境转移局限于技术许可合同或者技术文件交付,而是列举了人员派遣、技术指导和跨境培训等方式。这表明,监管更关注境外主体是否实际取得相关技术、资料或者专业能力,而不只是合同采取何种名称和形式。
例如,境内技术人员通过远程系统为境外生产线调试设备,向境外研发团队开放代码库或者工艺数据库,在境外培训中讲解核心生产参数,均可能涉及技术或者技术服务跨境。对于列入出口管制范围的两用物项,相关技术资料、培训、技术指导和咨询服务也可能属于管制对象。
观点:
目前,我国已形成以《中华人民共和国网络安全法》《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》为基础,以《网络数据安全管理条例》为支撑,以《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息出境认证办法》《促进和规范数据跨境流动规定》等为配套的数据出境管理体系。尽管837号令的配套实施细则尚未正式出台,但企业应严格遵循现行有效的法律法规开展数据出境等合规工作,审慎评估触发条件,避免因标准误判引发合规风险。
数据跨境、技术出口现行管理要求

[1] 政策依据《中华人民共和国数据安全法》《网络数据安全管理条例》《中华人民共和国保守国家秘密法》《促进和规范数据跨境流动规定》《网络安全审查办法》
[2] 政策依据《中华人民共和国出口管制法》《中华人民共和国技术进出口管理条例》,关于调整发布《中国禁止出口限制出口技术目录》的公告(商务部公告2025年第28号),关于公布《中国禁止出口限制出口技术目录》的公告(商务部 科技部公告2023年第57号)《技术进出口合同登记管理办法》
数据出境法定豁免情形
根据《促进和规范数据跨境流动规定》等规定,数据处理者向境外提供数据,有下列情形之一的,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证:
活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据;
在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据;
为订立、履行个人作为一方当事人的合同(如跨境购物等),确需向境外提供个人信息且不涉及重要数据;
按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息且不涉及重要数据;
紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供员工个人信息且不涉及重要数据;
非CIIO自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)且不涉及重要数据;
自由贸易试验区内数据处理者向境外提供负面清单外的数据。目前上海市数据出境负面清单覆盖范围已从自贸区扩展至上海全域。
依据法律、行政法规或国际条约、协定另有规定的。
前述豁免不免除数据安全保护义务,数据处理者仍需履行法定的数据安全保护义务,对数据出境的全流程进行合规管控。涉及国家秘密或核心数据的,不适用上述一般性豁免,应从严管理并按特别程序报批。
对于生物医药、人工智能、集成电路、高端制造等技术密集型行业而言,上述制度的交叉适用尤为突出。近年来国际研发合作、技术授权(License-out)、国际多中心临床研究以及境外委托研发等持续增加,相关业务往往涉及研发资料、技术文件、临床数据和专业服务跨境流动,企业及其投资方均有必要在投资决策和交易文件签署前开展合规研判,而不能等到技术交付或者数据传输阶段再行补充判断。
以生物医药企业常见的License-out和NewCo模式为例,交易可能涉及靶点和分子信息、临床前研究资料、临床数据、CMC开发工艺、细胞株、生产参数及知识产权安排。不同资料可能分别涉及技术出口、数据出境、人类遗传资源、专利保密审查等规则,并非完成一项程序即可覆盖全部风险。
人工智能企业开展海外模型部署、跨境API服务、联合训练或者在境外云平台部署模型和系统时,需要同时判断训练数据、用户数据、模型参数、算法源代码和关键组件的属性。同一项资源可能既具有“数据”属性,也具有“技术”属性,因而可能同时触发数据出境和技术出口合规判断。
集成电路和高端制造企业在海外建厂、设备调试、售后维护和人员培训过程中,则需重点关注设计图纸、工艺参数、设备控制软件、工程手册和远程访问权限。实践中容易出现设备本身可以出口,但随设备提供的技术资料、软件升级或者技术支持需要单独履行合规程序的情况。
为贯彻推动数据高效便利安全跨境流动的部署要求,2026年4月,上海进一步完善数据出境负面清单管理机制,将相关便利化安排拓展至上海全域,并支持参照执行其他地区正式发布的数据出境负面清单。对于负面清单外的数据,企业在满足相关安全管理要求的前提下,可以依法有序开展跨境流动。
2026年4月,上海市网信办、上海市数据局发布《关于印发自由贸易试验区、国家服务业扩大开放综合试点地区(上海)数据出境负面清单管理办法及负面清单》的通知,涉及再保险、国际航运(水路运输服务、港口作业生产及船员管理)、商贸(零售与餐饮业、住宿业)以及气象四大领域的跨境数据监管要求。该通知明确,在上海市注册且在上海市开展数据出境活动的企业、事业单位、机构、团体或其他组织等数据处理者(CIIO除外),属于已公布负面清单所涉行业或领域的,向境外提供负面清单外的数据,按照要求向所在区完成备案申请,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
需要强调的是,负面清单并不意味着免除企业全部数据安全义务。企业仍需做好数据分类分级、访问权限控制、安全风险评估、日志留存和安全事件处置。建议企业结合所属行业、数据类型和业务场景,积极研究适用上海相关便利化举措,在安全可控的基础上降低数据跨境合规成本。
针对837号令涉及的技术出口和数据出境要求,企业应将其作为项目实施中的重要合规边界。相关违规行为不仅可能导致罚款、业务暂停和许可撤销,情节严重的还可能涉及刑事责任,并对项目交割、技术交付和企业持续经营造成实质影响。
技术进出口违规后果
根据《技术进出口管理条例》第四十三条至第四十九条
| 违法行为 | 法律后果 |
| 出口核技术、核两用品相关技术、监控化学品生产技术、军事技术等出口管制技术 |
依照有关行政法规的规定办理 |
| 进口或出口禁止进出口的技术 |
刑事处罚:按走私罪、非法经营罪、泄露国家秘密罪等追究刑事责任 行政处罚(指不够刑事处罚):依照海关法的有关规定处罚,或由国务院外经贸主管部门给予警告,没收违法所得,处违法所得1倍以上5倍以下的罚款;国务院外经贸主管部门并可以撤销其对外贸易经营许可 |
| 未经许可擅自进口或者出口属于限制进出口的技术 | 同上 |
| 擅自超出许可的范围进口或者出口属于限制进出口的技术的 |
刑事处罚:按非法经营罪等追究刑事责任 行政处罚:依照海关法的有关规定处罚,或者由国务院外经贸主管部门给予警告,没收违法所得,处违法所得1倍以上3倍以下的罚款;国务院外经贸主管部门并可以暂停直至撤销其对外贸易经营许可 |
| 伪造、变造或买卖技术进出口许可证或合同登记证 | 刑事处罚:按非法经营罪或伪造、变造、买卖国家机关公文、证件、印章罪追究刑事责任 行政处罚:依海关法处罚;国务院外经贸主管部门并可撤销对外贸易经营许可 |
| 以欺骗或其他不正当手段获取技术进出口许可 | 行政处罚:由国务院外经贸主管部门吊销其技术进出口许可证,暂停直至撤销其对外贸易经营许可 |
| 以欺骗或其他不正当手段获取技术进出口合同登记 | 行政处罚:由国务院外经贸主管部门吊销其技术进出口合同登记证,暂停直至撤销其对外贸易经营许可 |
| 技术进出口管理工作人员泄露国家秘密或商业秘密 | 刑事处罚:按泄露国家秘密罪或侵犯商业秘密罪追究刑事责任 行政处罚:依法给予行政处分 |
违规向境外提供重要数据的法律后果
根据《数据安全法》,违反有关规定向境外提供重要数据的,由主管部门责令改正、给予警告,可以对单位和直接责任人员处以罚款;情节严重的,可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照。
其中,情节严重的,对单位处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿或者吊销相关许可;对直接负责的主管人员和其他直接责任人员,也可依法处以罚款。
企业除关注行政处罚外,还应关注违规数据出境对客户合作、临床研究、海外注册、境外融资以及企业声誉可能产生的连锁影响。对于出海项目而言,数据不能依法传输,有时并非只意味着合规成本上升,还可能直接影响境外业务能否按原计划实施。
3、健全境外投资安全审查制度
第十五条:国家健全境外投资安全审查制度,国务院投资主管部门、商务主管部门会同国务院其他有关部门对影响或者可能影响国家安全的境外投资及相关资产、权益等的转让、处分进行安全审查。有关组织、个人应当予以协助、配合,不得拒绝、阻碍,并应当遵守境外投资安全审查决定。
第二十八条:违反本规定第十五条规定,拒不配合境外投资安全审查,提供虚假材料或者隐瞒有关信息,或者不遵守境外投资安全审查决定的,由国务院有关部门责令改正,没收违法所得,处以罚款;危害国家安全的,责令其采取必要措施消除对国家安全的影响,可以禁止其在1年以上3年以下的期限内从事对外投资活动;已经投资的,可以责令其停止该投资活动,限期处分股份、资产。
“第十五条”以专门条款形式明确将境外投资安全审查纳入对外投资管理体系,并将相关资产、权益的转让和处分纳入审查范围。“第二十八条”将境外投资安全审查定性为具有明确法律责任的刚性约束,违规处罚由轻到重分为基本处罚、加重处罚、存量处置三级,后果涵盖没收所得与罚款、1至3年对外投资业务禁令,甚至已投项目的强制退出。
这一规定表明,境外投资安全审查并不只关注投资设立或者并购发生时的准入风险,还可能关注投资完成后发生的股权转让、控制权调整、知识产权处置和重要资产转让,体现出监管由增量投资向存量资产管理延伸。
观点:
近年来,主要经济体普遍加强跨境投资安全审查。我国在推进高水平开放的同时健全境外投资安全审查制度,有助于防范关键技术、重要数据、产业链关键能力和重要资产在投资活动中出现非正常流失,也有助于与技术出口、出口管制和数据安全等制度形成衔接。以2021年施行的《网络安全审查办法》为例,法规明确划定“红线”:一是掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须申报审查;二是CIIO采购网络产品和服务的, 应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。此类法定审查义务须予以最高级别重视。
同时,安全审查并不等于对企业“走出去”的普遍性限制。其制度价值还在于通过明确安全边界和审查预期,帮助企业在交易设计阶段识别风险,降低项目进入实施阶段后因监管问题被迫调整或终止的可能性。
企业在开展境外并购、设立控股平台或者实施资产重组时,如涉及关键技术、重要数据、敏感行业,以及股权转让、控制权变更或者重要资产处置,应在交易结构设计阶段关注境外投资安全审查风险,并持续跟踪后续配套规则。
4、强化风险防控要求
第十六条:投资者及其在其他国家(地区)投资的企业应当完善治理结构,建立健全合规经营、内部控制、安全生产、突发事件处置等制度,加强风险识别和防范处置,投入必要的人员、资金、设备等资源,保障其员工和资产安全。
第十七条:投资者应当规范投资经营行为,不得损害其他投资者的商业信誉、商品声誉,侵犯他人商业秘密,没有正当理由低价倾销商品,通过贿赂、欺诈等手段牟取不正当利益,扰乱对外投资市场秩序。
第十八条:国务院有关部门加强对外投资监测预警和风险评估,及时发布有关国家(地区)安全状况,提示投资风险,指导和帮助投资者做好安全风险防范,维护国家海外利益和投资者合法权益。
观点:
在企业国际化经营实践中,境外投资所面临的风险已由投资决策层面逐步延伸至运营管理层面,涉及合规经营、内部控制、风险识别与突发事件处置等多个方面。无论是反商业贿赂、出口管制、劳动用工还是环境保护,均可能成为企业境外经营过程中需要面对的重要合规议题。新规将合规经营、内部控制、安全生产和风险处置纳入对外投资管理框架,进一步强化企业对境外持续经营风险的主体责任。
5、企业应对:合规前置、体系化管控,实现“走出去”到“走得稳”
从上述条文内容可以看出,对外投资监管已不再局限于项目核准备案和资金流动管理,而是逐步形成覆盖投资前、投资中和投资后的全过程、全领域管理框架。对于生物医药、人工智能、集成电路、高端制造和数字经济等企业而言,837号令框架下的共性挑战主要集中在两个方面。
一方面,合规判断更加系统化。中国境内投资者需要在项目立项和交易设计阶段,同步评估技术出口、出口管制、数据出境、跨境服务、人员派遣和知识产权安排。任何一个关键环节未能提前识别,都可能影响后续交割、技术交付或者境外业务运营。
另一方面,跨部门、体系化服务需求进一步上升。企业出海合规已经难以依靠单一审批、单一部门或者单一专业机构解决,需要统筹商务、发展改革、网信、科技、知识产权、行业监管、金融、税务和海关等不同领域要求。
观点:
面对相关隐性合规风险,建议企业重点从以下两个层面采取行动。
一是做好存量合规体检或出海前置研判。
已开展境外投资的境内投资者建议重点排查以下事项:是否通过人员派遣、技术指导、跨境培训、资料传输等方式向境外转移技术、服务或数据,但未进行充分合规评估;
拟开展境外投资的境内投资者,除履行 ODI 核准备案程序外,还应结合项目开展技术出口、出口管制、数据出境、知识产权及行业专项合规评估。
二是借力专业服务资源实现全链条风险防控。面对跨部门、多领域的统筹监管要求,拟出海中国境内投资者除ODI合规外,另行评估境外投资安全审查、技术出口、出口管制和数据出境等合规风险,建议积极对接具备跨境合规服务能力的中国律师事务所和咨询机构等,建立常态化合作机制,在交易文件签署、海外架构搭建前系统做好合规风险防范,涵盖ODI、出口管制、数据合规等重点领域。同时,应依托浦东新区丰富的专业服务资源,获得全链条“一站式”出海综合服务,推动全领域合规出海与全球稳健布局。
转载来源:UDC