新法背景：2022年9月1日，《数据出境安全评估办法》施行，明确数据处理者向境外提供在中华人民共和国境内收集和产生的重要数据和个人信息，应当申报安全评估。但企业合规意识薄弱，申报率偏低，执法案例亟待树立。

案件事实：2023年，国家网信办对某跨国零售企业开展检查，发现其自2022年以来，将中国境内用户购物记录、消费习惯、地理位置等个人信息传输至境外总部服务器，用于全球用户画像与精准营销，累计出境个人信息超8000万条。企业未申报数据出境安全评估，未与境外接收方签署标准合同，未采取去标识化等安全措施。

网信办认定其行为违反《数据出境安全评估办法》第4条、《个人信息保护法》第38条，构成未经安全评估向境外提供个人信息。依据《个人信息保护法》第66条，作出行政处罚：责令改正，给予警告，罚款500万元；暂停个人信息出境业务6个月；对直接负责的主管人员罚款20万元。

裁判要旨：处罚决定书明确三项合规要求：第一，数据出境前必须完成安全评估申报，未经评估不得出境；第二，个人信息出境应与境外接收方签署标准合同，确保同等保护水平；第三，企业应建立数据出境台账，记录出境数据类型、数量、用途、接收方，接受监管检查。

企业整改后重新申报，经评估通过恢复出境业务，并建立全球数据合规官制度。

制度展望：本案系《数据出境安全评估办法》实施后首例处罚案，确立数据出境"申报即义务"的执法态度。对"十五五"法治建设而言，启示在于：数据跨境流动需安全与自由平衡，建议完善数据出境分类分级管理，对低风险场景简化程序；探索"数据出境合规白名单"制度，对合规企业给予便利；参与国际数据治理规则制定，以法治保障数字主权与跨境贸易。