赫 然

隨著全球網(wǎng)絡信息技術(shù)和數(shù)字經(jīng)濟的不斷發(fā)展，個人信息數(shù)據(jù)跨境流動變得越來越普遍。但是，個人信息跨境流動會帶來數(shù)據(jù)控制主體、監(jiān)管場域、保護方式、法律適用等方面的重大變化，由此可能導致個人在信息跨境流動中權(quán)益受損、保障不利等安全風險。有些個人信息數(shù)據(jù)屬于國家基礎性戰(zhàn)略資源，個人信息出境可能會對國家安全產(chǎn)生影響。為了強化對個人信息跨境流動的規(guī)制和監(jiān)管，《個人信息保護法》第三章專門規(guī)定了個人信息跨境提供規(guī)則，對個人信息跨境提供行為予以規(guī)制和調(diào)整。其中，該章第三十八、三十九條分別規(guī)定了個人信息跨境提供的法定條件和合法性基礎，它們構(gòu)成了個人信息跨境流動規(guī)則的主體和核心內(nèi)容。因此，本文擬以《個人信息保護法》第三十八、三十九條為視角，分析探討個人信息跨境提供的制度規(guī)則，以期為個人信息跨境提供的實踐運行和規(guī)則完善提供理論借鑒。

一、跨境提供中的個人信息處理主體

個人信息跨境提供主體通常是個人信息處理者，而個人信息處理者區(qū)分為國家機關(guān)、國家機關(guān)以外其他的組織和個人。此兩類主體在個人信息跨境提供中的適用條件和運行程序等方面都存在較大差異，并非所有類型主體的跨境個人信息提供行為都受到《個人信息保護法》第三十八、三十九條的調(diào)整和規(guī)制。

第一，國家機關(guān)。國家機關(guān)處理個人信息通常與其法定職責密不可分，為了履行其法定職責，國家機關(guān)可能需要海量收集、精準處理個人信息。國家機關(guān)處理個人信息的數(shù)量規(guī)模、內(nèi)容質(zhì)量等方面，可能都遠優(yōu)于一般個人信息者。(1)龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，北京：中國法制出版社，2021年，第167頁。國家機關(guān)處理的個人信息，既涉及個人人格權(quán)和信息自決權(quán)保護，也關(guān)涉社會秩序、經(jīng)濟安全、公共利益等，故對國家機關(guān)的個人信息跨境提供行為的合法性、合規(guī)性會有更為嚴格的要求，比如安全評估?！秱€人信息保護法》第三十六條將安全評估作為國家機關(guān)跨境提供個人信息的前置程序和必備要件。(2)《個人信息保護法》第三十六條：“國家機關(guān)處理的個人信息應當在中華人民共和國境內(nèi)存儲；確需向境外提供的，應當進行安全評估。安全評估可以要求有關(guān)部門提供支持與協(xié)助。”這就意味國家機關(guān)跨境提供個人信息都必須事前開展安全評估。當然，這里的“安全評估”與一般個人信息處理者跨境提供時安全評估的制度剛性、評估主體、運行程度等方面都存在較大差異(后文將詳細論述)。國家機關(guān)跨境個人信息提供行為，通常與其法定職權(quán)存在關(guān)聯(lián)或本身就是履行法定職責的要求，比如公安機關(guān)為了打擊跨國犯罪、追逃追贓、司法協(xié)助等向境外司法機關(guān)提供相關(guān)個人信息。此時實施的個人信息跨境提供行為，則無須適用“知情—同意”規(guī)則，因為國家機關(guān)個人信息處理行為的合法性是建立在履行其法定職責基礎之上，而并不是建立在信息主體的有效“知情—同意”基礎之上。

若個人信息境外提供者是國家機關(guān)以外其他的組織和個人，但個人信息跨境流動的接受方為境外國家機關(guān)，比如外國執(zhí)法機關(guān)或司法機關(guān)，則也不屬于《個人信息保護法》第三十八、三十九條的調(diào)整范圍。向境外國家機關(guān)提供個人信息涉及我國國家主權(quán)，個人信息處理者不得直接向境外司法或執(zhí)法機關(guān)提供存儲于我國境內(nèi)的個人信息。受制于國家主權(quán)范圍，境外國家機關(guān)無權(quán)直接調(diào)取或收集我國境內(nèi)存儲的個人信息，否則就侵犯我國國家主權(quán)。若境外執(zhí)法或司法機關(guān)需要向我國信息處理者調(diào)取、收集存儲于境內(nèi)的個人信息，則應當依據(jù)《個人信息保護法》第四十一條之規(guī)定向我國主管機關(guān)提出申請。(3)《個人信息保護法》第四十一條：“中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息?！苯?jīng)我國主管機關(guān)批準之后，個人信息處理者才可以向外國執(zhí)法或司法機構(gòu)提供境內(nèi)存儲的個人信息。對于未經(jīng)批準而直接向外國執(zhí)法或司法機構(gòu)提供境內(nèi)存儲個人信息的違法行為，則可以對信息處理者給予相應行政處罰。向境外國家機關(guān)提供個人信息應遵循“申請+批準”的法定條件，此法定條件既有利于跨境流動中個人信息保護，也有利于維護國家主權(quán)和安全。因此，個人信息跨境流動的接受方為境外執(zhí)法機關(guān)或司法機關(guān)，也不屬于《個人信息保護法》第三十八、三十九條之調(diào)整范圍，而屬于其他條款的適用范圍。

第二，自然人、企業(yè)或其他組織。國家機關(guān)以外的其他主體，比如自然人、企業(yè)或其他組織在實施個人信息境外提供行為時，需要符合《個人信息保護法》第三十八、三十九條之要求，這些主體向境外提供個人信息應遵守《個人信息保護法》第三十八、三十九條之規(guī)定，否則要承擔相應行政處罰或其他法律責任。關(guān)于個人信息保護法的調(diào)整對象，有學者認為：個人信息保護不能泛化為針對任何不特定第三人，其需要以“持續(xù)不平等信息關(guān)系”為前提，適用范圍主要限于具有持續(xù)性不平等信息關(guān)系的主體之間，通過對信息處理者設置各種義務，實現(xiàn)個人信息保護和公平信息實踐。(4)丁曉東：《個人信息保護原理與實踐》，北京：法律出版社，2021年，第26-29頁。若按照“持續(xù)不平等信息關(guān)系說”的觀點，當個人信息處理者為自然人時，其實施的個人信息處理行為不受《個人信息保護法》調(diào)整和規(guī)范。《個人信息保護法》雖然吸收了“持續(xù)不平等信息關(guān)系說”的觀點，比如《個人信息保護法》第七十二條在規(guī)定其適用除外范圍時，明確將自然人因個人事務或家庭事務而處理個人信息的行為排除在其適用范圍之外，(5)《個人信息保護法》第七十二條：“自然人因個人或者家庭事務處理個人信息的，不適用本法。法律對各級人民政府及其有關(guān)部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的，適用其規(guī)定?！币驗樘幚韨€人事務、家庭事務中的各方主體較為平等，自然人在處理個人事務或家庭事務時并不存在強勢地位，這些事務通常發(fā)生在自然人家庭成員等較為親密的群體之中，個人信息受侵風險較低。但是，《個人信息保護法》并未完全采取“持續(xù)不平等信息關(guān)系說”的觀點，這在其很多內(nèi)容中都得以體現(xiàn)，比如其對個人信息處理者的界定、個人信息處理行為的合法性基礎等。在個人信息跨境提供規(guī)則中，也同樣如此，并沒有完全采取“持續(xù)不平等信息關(guān)系說”的觀點。比如《個人信息保護法》第三十九條中個人信息跨境提供中的告知義務，要求告知“境外接受方的名稱或者姓名”。當個人信息處理者是企業(yè)或其他組織時，則應向個人告知名稱；當個人信息處理者是自然人時，則應向個人告知姓名。這就將自然人納入境外接收方范圍，在主體范圍上與國內(nèi)信息處理者保持一致。即便按照境外接收方當?shù)氐姆煞ㄒ?guī)，自然人不屬于個人信息保護立法的義務主體，這也不影響我國要求境內(nèi)個人信息處理者對該境外接收方自然人姓名的告知義務。(6)龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，第184-185頁。自然人可以成為個人信息處理者，可跨境提供或接受個人信息，其對個人信息的跨境處理行為自然也應受到《個人信息保護法》調(diào)整和規(guī)范。

但是，對于自然人范圍也需要予以適當限定，不宜將處理自我個人信息的自然人納入個人信息境外提供規(guī)則的調(diào)整范圍。對于個人信息處理行為可以區(qū)分為“自我處理行為”和“他人處理行為”，前者是自然人對自我個人信息的處理行為，此種處理行為恰恰體現(xiàn)了自然人對個人信息的自決權(quán)；后者是自然人或組織對其他人個人信息的處理行為，此時涉及對他人個人信息的處理，此種處理行為應當尊重和保護他人的個人信息自決權(quán)，其需要遵循目的性、合法性、比例性等規(guī)則的限制和規(guī)范?！秱€人信息保護法》第七十三條第1項對個人信息處理者的界定(7)《個人信息保護法》第七十三條：“本法下列用語的含義：(一)個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。……”。，僅從字面表述來看其并未區(qū)分自我處理者和他人處理者，但將自然人對自我個人信息的處理行為排除在適用范圍之外具有合理性，因為自然人對自我個人信息處理恰恰是其信息自決權(quán)的體現(xiàn)，其無須再遵循“告知—同意”等規(guī)則的限制?！秱€人信息保護法》第七十二條將自然人因個人事務或家庭事務的個人信息處理行為排除其適用范圍之外，其中包括跨境個人信息處理行為。在個人信息跨境提供中，自然人為個人事務或家庭事務將自我個人信息、家庭成員個人信息向境外組織或個人提供的行為，原則上不受《個人信息保護法》第三十八、三十九條規(guī)定調(diào)整和規(guī)范。比如自然人為了出國旅行、跨境網(wǎng)絡購物、跨境在線學習等而向境外組織或個人提供本人個人信息，則顯然不宜適用《個人信息保護法》第三十八、三十九條。若適用上述條款對此類個人信息跨境提供行為予以調(diào)整，則不僅會限制、減損了自然人個人信息自決權(quán)，也會給其正常生活、工作等帶來諸多障礙和不便。因此，自然人對自我個人信息或其家庭成員個人信息的境外提供行為不應納入《個人信息保護法》第三十八、三十九條調(diào)整范圍之內(nèi)。

二、個人信息跨境提供的具體條件

個人信息跨境提供的法定條件是個人信息跨境提供規(guī)則的核心內(nèi)容，因為其直接決定了個人信息能否跨境流動，其背后也體現(xiàn)了個人信息跨境自由流動和權(quán)利保障、公共安全、國家主權(quán)等法律價值之間的有效平衡。若條件設定過于苛刻，則不利于個人信息跨境自由流動與合理使用，也不利于國際貿(mào)易和數(shù)字經(jīng)濟的有序發(fā)展；若條件設定過于寬松，則個人信息權(quán)益、公共安全、國家主權(quán)等可能在個人信息跨境流動中受到損害或威脅。在個人信息跨境提供的條件設置中，既要保障個人信息自由、合理地跨境流動和使用，也應當保障自然人的個人信息權(quán)益，維護公共安全和國家主權(quán)?！秱€人信息保護法》第三十八條要求個人信息跨境提供應具備以下條件之一。

第一，安全評估。該條件設置了針對特定主體實施個人信息跨境提供行為的事前行政審批制度，因為安全評估僅是手段或方法，其并非最終處理結(jié)果；主管單位需要審查特定主體將要實施的跨境個人信息是否符合安全標準，并在此基礎作出是否允許其實施個人信息跨境提供的決定。安全評估雖然有利于維護我國公共安全和國家主權(quán)，也有利于保護自然人個人信息權(quán)益，但可能會阻礙個人信息的跨境自由流動。(8)許多奇：《個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應對》，《法學論壇》2018年第3期，第135頁。這就要求對安全評估適用范圍予以限定，并非所有的跨境個人信息提供都需要安全評估，其僅限于《個人信息保護法》第四十條規(guī)定的兩類：(1)關(guān)鍵信息基礎設施運營者在境內(nèi)收集處理的個人信息。(2)理個人信息達到法定數(shù)量的個人信息處理者在境內(nèi)收集處理的個人信息。(9)《個人信息保護法》第四十條：“關(guān)鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應當通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定。”“關(guān)鍵信息基礎設施”是公共通信、信息服務、能源、交通、水利、金融等重要行業(yè)和領(lǐng)域的信息基礎設施，其遭到破壞、喪失功能或數(shù)據(jù)泄露，便可能嚴重危害國家安全、國計民生、公共利益。對于此兩類主體在個人信息處理上，除了要遵守《個人信息保護法》中個人信息處理者的一般義務之外，其亦應當遵守個人信息“本地化存儲”義務和境外提供“安全評估”義務。對于這兩類特定主體實施的個人信息跨境提供行為，原則上都應當經(jīng)過國家網(wǎng)信部門組織的安全評估；若法律、行政法規(guī)或國家網(wǎng)信部門明確規(guī)定這兩類主體可以不進行安全評估，則從其規(guī)定。(10)程嘯：《個人信息保護法理解與適用》，北京：中國法制出版社，2021年，第309頁。這里的“安全評估”與《個人信息保護法》第三十六條要求國家機關(guān)跨境提供個人信息的“安全評估”并不完全相同：前者主要是外部評估，即網(wǎng)信部門對網(wǎng)絡運營者的個人信息出境予以安全評估；后者是實施個人信息境外提供行為的國家機關(guān)事前開展的自我評估。當然，在實施個人信息跨境提供過程中，為了保障其能順利通過網(wǎng)信管理部門組織的安全評估，關(guān)鍵信息基礎設施運營者或處理個人信息達到法定數(shù)量的個人信息處理者也可以事前在其內(nèi)部開展自我安全評估。

第二，專業(yè)機構(gòu)認證。個人信息保護認證是指專門的認證機構(gòu)以相關(guān)技術(shù)規(guī)范為標準或依據(jù)，對于信息處理者的管理體系、運行狀況、產(chǎn)品服務等是否達到個人信息保護技術(shù)規(guī)范所要求標準而出具的意見。(11)個人信息保護認證通過引入專業(yè)、中立的第三方評估認定，可以消除信息主體和信息處理者之間的信息鴻溝和技術(shù)不對等，也有助于信息處理者之間的良性競爭。雖然，歐盟《通用數(shù)據(jù)保護條例》(GDPR)中也建立了“認證制度”，但將認證制度應用于個人信息跨境提供則是我國《個人信息保護法》首創(chuàng)。(12)龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，第183頁、第290頁。在個人信息跨境流動中，由于信息處理者的管理體系、運行狀況、產(chǎn)品服務等情況，已經(jīng)由中立的第三方專業(yè)機構(gòu)對其個人信息保護合規(guī)情況予以審查認定，其可以擔保和佐證相關(guān)企業(yè)或組織的個人信息跨境提供行為具有合規(guī)性。信息處理者在已經(jīng)獲得專業(yè)機構(gòu)出具的個人信息保護認證情況下，可以實施個人信息跨境提供行為。2018年國家市場監(jiān)督總局下屬“中國網(wǎng)絡安全審查技術(shù)與認證中心”曾有序開展了個人信息安全管理體系認證，給支付寶、騰訊、百度等網(wǎng)絡信息公司頒發(fā)了認證證書。(13)程嘯：《個人信息保護法理解與適用》，第309頁。為了保障專業(yè)機構(gòu)對個人信息保護認證的專業(yè)性和中立性，需要有相關(guān)法規(guī)對第三方認證機構(gòu)的準入資質(zhì)、運行程序、法律后果等方面內(nèi)容予以明確和細化。

第三，標準合同。標準合同實際上也就是格式合同，它通常也是預先擬定的。但個人信息跨境提供中的標準合同，與普通格式合同也存在較大差別。從制定主體來看，標準合同的制定主體并非是合同一方或單方當事人，而是國家網(wǎng)信部門。從合同內(nèi)容來看，由于標準合同制定主體是國家網(wǎng)信部門，其所具有超脫于當事人的法律地位以及其所肩負國家管理職能，其內(nèi)容也更具公正性和客觀性；而普通格式合同制定主體通常是具有經(jīng)濟優(yōu)勢或壟斷地位的一方合同當事人，其可能會利用此種優(yōu)勢地位免除自己的義務或加重對方的責任。因此，個人信息跨境提供中的標準合同并不完全等同于普通的格式合同。若個人信息跨境提供中，個人信息處理者已按國家網(wǎng)信部門制定的標準合同與境外接受方訂立合同、約定雙方權(quán)利義務，也可以保障個人信息出境后獲得同等保護。該種法定條件參照了歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)中個人數(shù)據(jù)跨境流動保障機制中的標準合同條款(Standard Contract Clauses, SCC)，《通用數(shù)據(jù)保護條例》要求通過標準合同來規(guī)范個人信息跨境提供者和接收者的行為，從而實現(xiàn)個人信息自由流動和權(quán)利保障的有效平衡，它是企業(yè)開展歐盟數(shù)據(jù)跨境流動的解決方案。(14)許多奇：《個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應對》，《法學論壇》2018年第3期。標準合同中通常包括個人信息出境目的、存儲地域、存儲期限、提供方和接收方的權(quán)利義務、管轄、準據(jù)法等內(nèi)容，通過標準化條款設置可以將《個人信息保護法》對個人信息跨境提供的具體規(guī)則和要求得到有效落實，從而倒逼個人信息跨境流動雙方切實保障個人信息權(quán)益。(15)張新寶、葛鑫：《個人信息保護法(專家建議稿)及立法理由說明書》，北京：中國人民大學出版社，2021年，第171頁。標準合同規(guī)則旨在通過模板化、標準化的合同條款來設置提供方和接收方的權(quán)利義務，并要求境外接收方提供必要個人信息保護。由于標準合同具有較強的制度剛性，其在個人信息跨境流動中僅能選擇“全有/全無”的適用方式，即個人信息跨境流動的雙方主體只能選擇采用或者不采用標準合同來訂立協(xié)議，而不能僅選擇標準合同的部分條款，或者對標準合同條款予以修改、變更或增刪。標準合同實現(xiàn)了個人信息跨境流動協(xié)議內(nèi)容和條款的剛性化和標準化，此種標準化雖然限定了合同訂立者之間的意思自由，但卻有利于保障自然人的個人信息權(quán)益。

第四，符合法律、行政法規(guī)或國家網(wǎng)信部門規(guī)定的其他條件。該條件是個人信息跨境提供的“兜底條件”。《個人信息保護法》作為保護自然人個人信息權(quán)益的基本法律，其只宜提供規(guī)范個人信息處理活動的基本規(guī)則，而不宜詳細規(guī)定不同行業(yè)、不同領(lǐng)域中個人信息保護的具體標準和細則，它也無法窮盡個人信息處理活動的各種條件和標準，其對個人信息跨境提供的調(diào)整和規(guī)范也是如此?？紤]到網(wǎng)絡信息技術(shù)的飛速發(fā)展和國際關(guān)系的發(fā)展變化，將來可能需要根據(jù)實踐情況為增設個人信息跨境提供的其他條件留下開放空間。另外，由于個人信息跨境提供規(guī)則具有很強的公共政策因素考慮，很多內(nèi)容需要授權(quán)國家網(wǎng)信部門針對不同情形下的個人信息跨境提供制定相應條件。(16)程嘯：《個人信息保護法理解與適用》，第312頁。若我國法律、行政法規(guī)或國家網(wǎng)信部門規(guī)定了個人信息跨境提供的其他法定條件，則僅需要符合其他法定條件就可以實施個人信息跨境提供。

從《個人信息保護法》對個人信息跨境提供的條件設置來看，其主要具有以下特點：首先，體現(xiàn)了個人信息分類保護和處理的理念。雖然該規(guī)定對個人信息跨境提供的法定條件采取了“選擇式”立法表述，即只要滿足上述四個條件之一，就符合個人信息跨境流動的基本條件，但并非所有類型的個人信息處理者都可以自由選擇其中一種方式。有兩類個人信息處理者只能采取“安全評估”方式，即關(guān)鍵信息基礎設施運營者和達到法定數(shù)量個人信息者，這些主體主要處理“重要數(shù)據(jù)的個人信息”。重要數(shù)據(jù)是直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定等方面的數(shù)據(jù)，其中就包括重要數(shù)據(jù)的個人信息。(17)何淵主編：《數(shù)據(jù)法學》，北京：北京大學出版社，2020年，第55頁。作為重要數(shù)據(jù)的個人信息包括敏感個人信息，但并不完全等同于后者。敏感個人信息與非敏感個人信息主要著眼于個人信息內(nèi)容對自然人人格尊嚴等方面產(chǎn)生影響程度所作的分類；重要數(shù)據(jù)主要并不是著眼于數(shù)據(jù)對自然人個體的影響程度，而是著眼于數(shù)據(jù)對國家安全和社會公共利益的影響程度。因此，對于此兩類主體只能采取“安全評估”方式。其次，體現(xiàn)了個人信息合理流動的理念。信息在流動、使用中才能產(chǎn)生價值，個人信息亦不例外。從現(xiàn)有個人信息境外提供的法定條件設置來看，其體現(xiàn)了鼓勵個人信息合理使用和流動的理念，除了兩類特殊信息處理主體之外，并沒有為個人信息跨境流動設置過高的門檻，且僅需要選擇性滿足其中一項即可。再次，援引性色彩較濃。該條在創(chuàng)設個人信息跨境提供的法定條件時，都采取了援引性規(guī)定的立法模式，其僅要求“安全評估”“第三方評估”“標準合同”等，其各自具體標準則有待其他相關(guān)法律或標準予以具體明確，這就為不同行業(yè)、不同部分在各自領(lǐng)域探索個人信息跨境提供的具體標準和細則提供了探索空間。

我國個人信息跨境提供規(guī)則雖然已建立了初步的分類處理機制，但其標準相對單一，且主要依據(jù)個人信息處理者的具體類型，而并非著眼于個人信息自身分級分類基礎之上。這就可能導致對普通信息處理主體處理的敏感個人信息跨境提供條件過于寬松。前者可能不利于個人信息的跨境合理流動，而后者可能不利個人信息保護。上述困境的根源就在于個人信息跨境類型化處理的分類基點不盡科學。在個人信息跨境流動上，需要考慮建立多元化分類機制，并以此為基礎建立不同的跨境提供適用條件，比如“特定主體+敏感個人信息”的分類標準。對于前述兩類特定主體，他們處理的個人信息直接影響到國家安全與社會穩(wěn)定，故其開展的個人信息跨境提供應經(jīng)“安全評估”并取得批準。對于敏感個人信息，由于此類個人信息與個人私生活緊密相關(guān)，侵犯或干預后產(chǎn)生的消極后果較為嚴重，需要國家給予更為周延的保護(18)吳玄：《數(shù)據(jù)主權(quán)視野下個人信息跨境規(guī)則的建構(gòu)》，《清華法學》2021年第3期。，故對此類個人信息也應納入行政審批范圍之內(nèi)。另外，在個人信息跨境提供的實踐探索中，也考慮引入其他標準的分類處理機制，比如地域標準，可以嘗試在上海、海南等自由貿(mào)易試驗區(qū)內(nèi)對一般個人信息的跨境提供設置更為寬松的條件。

三、個人信息跨境提供的“知情—同意”

在個人信息跨境提供中也應遵守“知情—同意”規(guī)則，這在《個人信息保護法》第三十九條中予以明確要求。(19)《個人信息保護法》第三十九條：“個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意?！眰€人信息是自然人人格利益的重要體現(xiàn)和載體，在未取得自然人同意的情況下原則上不得隨意處理其個人信息，這就要求在個人信息處理中遵循“知情—同意”規(guī)則，在個人信息跨境提供中亦不例外。相比于對個人信息的一般處理行為，個人信息跨境提供行為對自然人權(quán)益的影響更大，因為此種處理行為會帶來監(jiān)管場域、保護方式、法律適用等方面的變化，由此將帶來自然人對其個人信息控制弱化和權(quán)益保護難度提升的不利后果。為了確保自然人個人信息權(quán)益不因跨境流動而減損，就有必要對“知情—同意”規(guī)則設置更為嚴厲的標準，這主要體現(xiàn)在以下三方面。

第一，告知內(nèi)容擴大化。個人信息處理者向境外提供個人信息時，應當向信息主體履行告知義務以保障其知情權(quán)。有效告知是理性選擇的前提，若缺乏對個人信息處理相關(guān)的全面告知，自然人所作選擇僅是一種盲目化、形式化的選擇。在就個人信息境外提供事項征得自然人同意之前，也需要就個人信息跨境流動事項向自然人履行告知義務。告知的具體內(nèi)容包括境外接收方名稱或姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項。這可以更好地保障自然人在個人信息跨境提供中行使查詢復制權(quán)、更正補充權(quán)、刪除權(quán)等權(quán)利。(20)程嘯：《個人信息保護法理解與適用》，第314頁?！秱€人信息保護法》第三十九條對告知內(nèi)容的規(guī)定采取了“列舉+兜底”方式，其中的“等”應理解為“等外等”，即列舉未盡之義，既包括對所列之事項的告知，也包括對其他沒有列出但涉及個人信息境外提供中權(quán)利保障或救濟的事項。與《個人信息保護法》第十七條中的告知義務相比(21)《個人信息保護法》第十七條第1款：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：(一)個人信息處理者的名稱或者姓名和聯(lián)系方式；(二)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；(三)個人行使本法規(guī)定權(quán)利的方式和程序；(四)法律、行政法規(guī)規(guī)定應當告知的其他事項?！保瑐€人信息跨境提供中的告知義務內(nèi)容要更多。除了需要個人信息處理者自身的名稱或者姓名和聯(lián)系方式等事項之外，個人信息處理者還需要告知境外接收方的名稱或者姓名、聯(lián)系方式等事項。告知內(nèi)容擴大化，將更有利于保障個人知情權(quán)，也將有助于自然人行使其各項個人信息權(quán)利及發(fā)生個人信息安全事件后的有效維權(quán)。

第二，同意方式法定化。個人信息處理者向境外提供個人信息時，須征得個人“單獨同意”，即個人信息處理者應當采取“一對一”方式取得個人同意。單獨同意更容易引起自然人警惕和重視，可以強化其個人信息保護意識，讓其在作出是否“同意”的選擇時更加謹慎、理性。(22)丁曉東：《個人信息保護原理與實踐》，第92-93頁?！皢为毻狻敝贫仁俏覈秱€人信息保護法》的首創(chuàng)制度，其在國外并沒有完全相同的制度，其強調(diào)獲得同意的明確性、充分保障個人知情權(quán)和程序權(quán)。(23)龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，第185-186頁。從與其他告知事項的關(guān)系上看，“單獨同意”意味著不能僅僅通過個人信息保護或隱私政策等中設置或蘊含的境外流動款項方式來予以告知，因為個人基于此種概括性或綜合性告知而作出的同意表示，其個人信息境外提供的同意將喪失獨立性，此種同意將依附于對其他處理事項內(nèi)容的同意。這與《個人信息保護法》第十四條規(guī)定的“同意”規(guī)則不同(24)《個人信息保護法》第十四條：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的，從其規(guī)定。個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應當重新取得個人同意。”，后者原則上并不限于單獨同意。當然，信息主體的“單獨同意”也應遵循知情、自愿、明確等要求，沉默或者概括性同意均不能構(gòu)成有效的單獨同意。對于“單獨同意”的表示形式并未作出具體要求，既可以采取書面同意，也可以口頭同意或電子化同意。在實踐中一般采取“單獨彈窗”“單獨協(xié)議”方式告知，個人可以通過在線勾選、點擊確認等方式表示同意。(25)劉新宇：《中華人民共和國個人信息保護法重點解讀與案例解析》，北京：中國法制出版社，2021年，第102頁。單獨同意雖然有利于保障個人信息自決權(quán)，但也會加重個人信息處理者的義務和負擔，可能會增加個人信息跨境提供的難度和成本。在個人信息跨境提供規(guī)則中，立法者通過“告知內(nèi)容擴大化”和“同意方式法定化”來加強對自然人個人信息權(quán)益的保護，但這也可能導致告知內(nèi)容冗長復雜，個人可能要花費很大的時間和精力來對其個人信息跨境流動事項作出十余項甚至數(shù)十項選擇，此時同意權(quán)可能演變?yōu)槠洳粍倨鋽_的選擇負擔，由此其實踐運行可能會背離立法者初衷。

第三，合法性基礎的單一化。信息處理者向境外提供個人信息，其僅能依據(jù)個人“知情—同意”來取得合法性基礎?！秱€人信息保護法》第十三條規(guī)定了個人信息境內(nèi)處理行為的多元化合法性基礎(26)《個人信息保護法》第十三條：“符合下列情形之一的，個人信息處理者方可處理個人信息：(一)取得個人的同意；(二)為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；(三)為履行法定職責或者法定義務所必需；(四)為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；(五)為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；(七)法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關(guān)規(guī)定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意。”，而個人信息跨境提供行為的合法性基礎則相對單一，其只能基于“知情—同意”規(guī)則獲得合法性基礎。此種單一合法性基礎體現(xiàn)了我國立法者對個人信息跨境流動采取了更為審慎的態(tài)度(27)龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，第186頁。，有利于更加充分地保障個人的信息自決權(quán)，但也存在較多弊端：其一，可能無法有效應對緊急情況的個人信息跨境提供。比如對于跨國公司內(nèi)部雇員個人信息的跨境提供和管理，若都要求征得自然人同意，不僅會加大企業(yè)內(nèi)部管理和運營成本，也會給員工本人帶來較多麻煩；又比如因疫情防控或公共衛(wèi)生等原因，需要緊急向境外提供相關(guān)人員的個人信息。個人信息跨境提供合法性基礎的設置，本身就涉及人權(quán)保障和信息自由的沖突平衡，在利益平衡背后需要兼顧多元價值需求，單方面追求個人信息自決權(quán)則可能阻礙某些極端情形下個人信息跨境需求的有效實現(xiàn)。其二，可能會遭遇他國在個人信息流動中的對等反制措施。個人信息跨境流動不僅涉及對個人信息權(quán)益保護，也會涉及貿(mào)易壁壘、外交政策、國際關(guān)系等重大問題，而在國際關(guān)系中應遵循平等互利的基本原則。(28)謝登科：《論數(shù)據(jù)跨境流動的安全與自由原則》，《中國信息安全》2021年第5期。我國《個人信息保護法》中個人信息跨境提供行為的合法性基礎則相對單一，由此就導致個人信息跨境提供的條件嚴苛、門檻較高。當其他國家向我國輸入其本國國民個人信息時就可能會采取對等原則，提高個人信息輸出條件，這可能會讓我國企業(yè)在國際貿(mào)易中處于競爭劣勢。其三，單獨同意可能會增加信息主體的負擔。限制性更強的個人信息跨境提供規(guī)則，可能并不總會為信息主體帶來更充分的保護，海量的告知可能會讓信息主體不勝其煩。(29)李萬強、賀溦：《自貿(mào)試驗區(qū)推進個人信息跨境制度開放研究》 ，《國際貿(mào)易》2021年第8期。比如某些人已經(jīng)在網(wǎng)絡上公開的個人信息，其公開的目的可能是為了便于全球查閱，此時境外組織或個人通過瀏覽網(wǎng)頁就可以獲取，若對此類公開個人信息的境外提供仍然要求“知情—同意”，就可能有悖于其信息自決公開的初衷，也會給信息主體帶來諸多不便。有學者主張以“信義規(guī)則”為基礎，在個人信息跨境提供上確立“以企業(yè)滿足客觀保護要件為原則，以個人單獨同意為例外”制度方案。(30)許可：《自由與安全：數(shù)據(jù)跨境流動的中國方案》，《環(huán)球法律評論》2021年第1期。該方案雖然注意到應建立個人信息跨境提供行為的多元化合法性基礎，但卻將“個人單獨同意”作為合法性例外規(guī)則，可能存在本末倒置而導致對個人信息自決權(quán)保障不足的問題，也將導致個人信息跨境提供合法性基礎規(guī)則與個人信息處理行為合法性基礎規(guī)則之間的不協(xié)調(diào)。比較合理的解決方案，可能是需要以個人信息數(shù)據(jù)的分級分類為基礎，結(jié)合個人信息跨境提供的具體事由和具體情景，嘗試探索個人信息跨境提供行為的多元化合法性基礎。在跨境提供行為的多元化合法性基礎上仍然需要以“個人單獨同意”為原則，而以其他合法性事由為例外，這樣才能與境內(nèi)個人信息處理行為合法性基礎規(guī)則相協(xié)調(diào)。