摘 要：數(shù)字化時代，數(shù)據(jù)跨境流動日益頻繁，委托跨境處理數(shù)據(jù)成為企業(yè)開展跨國貿(mào)易、提高數(shù)據(jù)處理質(zhì)量、減輕成本投入的一種業(yè)務選擇，但委托跨境處理活動涉及角色多、委托類型雜、數(shù)據(jù)跨境場景多變等因素，給數(shù)據(jù)跨境治理帶來挑戰(zhàn)。研究委托跨境處理數(shù)據(jù)帶來的治理困境，能為我國防范化解數(shù)據(jù)跨境的安全風險提供助益。文章通過總結(jié)當前我國法律法規(guī)對委托跨境處理數(shù)據(jù)的管理要求，結(jié)合具體跨境場景歸納3種典型委托跨境處理數(shù)據(jù)的場景，分析存在數(shù)據(jù)跨境合規(guī)申報、對境外委托方和受托方缺乏約束、層層外包難以管理的挑戰(zhàn)，并提出對策建議。本文建議及時關(guān)注委托跨境處理數(shù)據(jù)存在的內(nèi)在問題和風險挑戰(zhàn)，強化對境外數(shù)據(jù)處理者的管理抓手，規(guī)范化管理委托處理活動，進一步明確委托活動中的合規(guī)問題，不斷優(yōu)化和完善數(shù)據(jù)跨境治理工作。

關(guān)鍵詞：數(shù)據(jù)委托處理；數(shù)據(jù)跨境治理；數(shù)據(jù)出境安全；個人信息保護；數(shù)字經(jīng)濟

中圖分類號：F742；G203；D920.4 文獻標識碼：A 文章編號：2096-0298（2024）07（b）--05

隨著數(shù)字經(jīng)濟的高速發(fā)展，數(shù)據(jù)共享和個人信息的多方處理已經(jīng)成為不可避免的趨勢[1-2]，特別是信息技術(shù)顛覆式發(fā)展、數(shù)據(jù)跨境流動日益頻繁、國際生產(chǎn)合作日益密切的背景下，企業(yè)可能因內(nèi)部管理、業(yè)務開展等將數(shù)據(jù)的跨境處理活動委托給其他企業(yè)或個人，以減少企業(yè)信息化建設(shè)、維護等方面的成本投入，提高數(shù)據(jù)處理質(zhì)量和效率。我國《個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)管理條例（征求意見稿）》等對數(shù)據(jù)委托活動進行了規(guī)定，但對于委托人、受托人的法律地位、法定義務和侵權(quán)責任存在一定的爭論[2-4]。委托跨境處理數(shù)據(jù)的活動與常規(guī)數(shù)據(jù)委托活動不同，首先是涉及角色不同，除涉及數(shù)據(jù)處理者（委托方）、受托方，還涉及境外接收方；其次是跨境委托處理類型多樣，由于委托方與受托方可能身處境內(nèi)或境外，演化出不同委托類型。此外，由于受托方角色的加入，以及云服務的深入發(fā)展和廣泛應用，數(shù)據(jù)跨境場景相比于常規(guī)數(shù)據(jù)跨境活動變得更加復雜。這些給數(shù)據(jù)跨境治理帶來很大挑戰(zhàn)。

本文歸納我國委托跨境處理數(shù)據(jù)的管理要求，深入剖析委托方、受托方、境外接收方的角色、責任等情況，總結(jié)委托跨境處理數(shù)據(jù)活動的三種委托類型和多種數(shù)據(jù)跨境場景，研究分析委托跨境處理帶來的三大挑戰(zhàn)，結(jié)合我國數(shù)據(jù)跨境治理的制度情況，提出破解委托跨境處理數(shù)據(jù)治理困境的對策建議。

1 委托跨境處理數(shù)據(jù)活動的角色界定

委托跨境處理數(shù)據(jù)的活動中主要涉及三類角色，分別是委托方、受托方、境外接收方。

1.1 數(shù)據(jù)處理者（委托方）界定

《個人信息保護法》第七十三條（一）規(guī)定“個人信息處理者是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”。因此，數(shù)據(jù)處理者強調(diào)在數(shù)據(jù)或個人信息處理活動中的自主權(quán)，能夠決定數(shù)據(jù)的跨境處理是自己處理還是委托處理。根據(jù)《個人信息保護法》第二十一條，數(shù)據(jù)處理者在委托跨境處理個人信息的過程中應該與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務等，并對受托人的數(shù)據(jù)處理活動進行監(jiān)督。委托人在委托跨境處理數(shù)據(jù)的過程中，應遵照《個人信息保護法》履行主體責任和義務。

1.2 受托方界定

根據(jù)《個人信息保護法》第二十一條，跨境處理數(shù)據(jù)的受托方應當按照委托約定的處理期限、處理方式、處理個人信息的種類等要求下開展。因此，受托方是由數(shù)據(jù)處理者決定受委托處理個人信息的，不具備自主決定權(quán)，在委托跨境處理數(shù)據(jù)的活動中不屬于數(shù)據(jù)處理者。受托方在受托處理個人信息的同時，應當協(xié)助個人信息處理者履行個人信息保護的義務。

1.3 境外接收方界定

基于國家網(wǎng)信辦發(fā)布的《個人信息出境標準合同辦法》標準合同附件提供的定義，境外接收方“是指在中華人民共和國境外自個人信息處理者處接收個人信息的組織、個人”。由此可知，境外接收方位于境外，對于在境外接觸的數(shù)據(jù)是由個人信息處理者提供的。因此，在委托跨境處理數(shù)據(jù)的活動中，境外接收方與受托方是平行概念，境外受托方在一些具體場景下可以作為境外接收方。

2 我國委托跨境處理數(shù)據(jù)的治理要求

2.1 數(shù)據(jù)出境合規(guī)要求

現(xiàn)階段，我國已建立關(guān)于數(shù)據(jù)出境的合規(guī)路徑和豁免情形的管理制度體系。首先，國家法律明確規(guī)定了數(shù)據(jù)跨境的基本規(guī)則?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》等對關(guān)鍵信息基礎(chǔ)設(shè)施運營者數(shù)據(jù)、重要數(shù)據(jù)、個人信息的出境進行了明確規(guī)定。其次，國家網(wǎng)信辦出臺的部門辦法，確立了數(shù)據(jù)跨境合規(guī)的具體路徑，分別為：申報數(shù)據(jù)出境安全評估、訂立個人信息標準合同、通過個人信息保護認證，以及國家網(wǎng)信部門規(guī)定的其他情形。2022年以來，國家網(wǎng)信部門先后發(fā)布《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施規(guī)則》《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》，要求對于符合數(shù)據(jù)跨境規(guī)定情形的數(shù)據(jù)處理者應當申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證，規(guī)定了為訂立、履行個人作為一方當事人的合同所必需等不需要申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的豁免情形。

2.2 委托處理數(shù)據(jù)的要求

第一，《個人信息保護法》對委托處理個人信息進行規(guī)定，具體包括：一是對委托處理活動和委托責任進行了規(guī)定，要求委托方“應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權(quán)利和義務等，并對受托人的個人信息處理活動進行監(jiān)督”；二是規(guī)定受托方處理個人信息的活動不得超出委托約定；三是規(guī)定轉(zhuǎn)委托必須經(jīng)委托方同意；四是規(guī)定受托方應當保障處理個人信息的安全，并協(xié)助個人信息處理者履行相應義務。

第二，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》對重要數(shù)據(jù)的委托處理進行了規(guī)定：一是要通過合同等形式明確雙方的數(shù)據(jù)安全責任義務，不得超出約定的目的、范圍、處理方式處理重要數(shù)據(jù)，數(shù)據(jù)處理者要對數(shù)據(jù)處理活動進行監(jiān)督；二是要求留存委托處理重要數(shù)據(jù)的審批記錄、日志記錄。

第三，國家網(wǎng)信部門發(fā)布的《個人信息出境標準合同辦法》《個人信息出境標準合同備案指南》在個人信息處理者與境外接收方訂立的個人信息出境標準合同的相關(guān)條款中，對委托處理的范圍、受托方轉(zhuǎn)委托等約定進行了標準化。

2.3 境外數(shù)據(jù)處理者處理境內(nèi)數(shù)據(jù)的要求

《個人信息保護法》和《網(wǎng)絡(luò)數(shù)據(jù)管理條例（征求意見稿）》分別對境外數(shù)據(jù)處理者處理境內(nèi)數(shù)據(jù)的法律適用進行了規(guī)定?！秱€人信息保護法》五十三條規(guī)定，境外處理境內(nèi)個人信息的處理者應當在我國境內(nèi)設(shè)立專門機構(gòu)或者指定代表，負責處理個人信息保護相關(guān)事務。

2.4 委托跨境處理數(shù)據(jù)治理的不足

總的來看，我國法律法規(guī)等對數(shù)據(jù)出境規(guī)則、委托數(shù)據(jù)處理、對境外處理我國境內(nèi)個人信息等進行了相應規(guī)定。但相比委托跨境處理數(shù)據(jù)的復雜性、特殊性而言，治理要求和具體實踐還需要通過司法解釋等進一步明確。第一，對其中跨境委托處理的合規(guī)申報要求、委托與受托之間的約定細則未作明確，對于委托人和受托人的數(shù)據(jù)安全和個人信息保護的具體義務還未理清[5]，如告知義務、合理審查義務[6]。委托人和受托人的責任劃分不清晰，容易構(gòu)成法律漏洞[7-8]。第二，對數(shù)據(jù)保護的域外管轄治理的代表制度方面，還需要細化和完善。對于個人信息處理者在境內(nèi)設(shè)置專門機構(gòu)和指定代表、委托處理等要求相對清晰，但對數(shù)據(jù)的委托處理的機構(gòu)設(shè)置、約定合同等要求還不明確。第三，現(xiàn)有的跨境數(shù)據(jù)治理制度中還存在一定不明確的地方，如數(shù)據(jù)分類分級規(guī)則、數(shù)據(jù)識別模糊等問題[9]。此外，現(xiàn)有的個人信息出境標準合同主要用于個人信息處理和境外接收方的法律約定，有學者認為外包鏈的合同關(guān)系復雜，委托方和單個受托方之間的個別型委托處理條款滯后于實踐進展[10]，尚未明確數(shù)據(jù)再轉(zhuǎn)移的規(guī)則[11]。因此，個人信息出境標準合同不能完全覆蓋委托跨境處理數(shù)據(jù)的活動。

3 跨境處理數(shù)據(jù)的委托類型

委托跨境處理數(shù)據(jù)的活動共涉及委托方、受托方、境外接收方，但由于委托方、受托方因所在境內(nèi)外不同導致數(shù)據(jù)處理活動存在明顯差異，因此本文以委托方、受托方的境內(nèi)境外作為劃分準則，總結(jié)委托跨境處理個人信息共有3種類型。

3.1 委托類型一

委托類型一為跨境處理數(shù)據(jù)的委托方在境外，受托方在我國境內(nèi)，受托方處理數(shù)據(jù)的來源既可以來自境外委托方，也可以直接受托在境內(nèi)收集?！秱€人信息保護法》《數(shù)據(jù)安全法》等規(guī)定數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，因此類型一的委托處理活動的數(shù)據(jù)，可以由受托方在境內(nèi)幫助委托方直接收集境內(nèi)自然人的個人信息或重要數(shù)據(jù)。此類型的數(shù)據(jù)跨境場景主要存在兩種：（1）受托方處理完畢后跨境傳輸給境外委托人。例如，人工智能數(shù)據(jù)標注工作，境外企業(yè)會將涉及人臉、語音等個人信息的人工智能訓練數(shù)據(jù)委托境內(nèi)企業(yè)進行標注，境內(nèi)企業(yè)標注完畢后再返還境外企業(yè)。這種場景中對于處理數(shù)據(jù)來源于境外委托方的情況，稱為數(shù)據(jù)的“兩頭在外”。（2）受托方對處理完畢數(shù)據(jù)后直接跨境傳輸給境外第三方企業(yè)。例如，跨國公司子公司將財務報表外包給第三方財務公司處理后，再將報表數(shù)據(jù)直接傳輸給母公司。

3.2 委托類型二

委托類型二為數(shù)據(jù)處理的委托方在我國境內(nèi)，受托方在境外，受托方處理的個人信息來源于境內(nèi)委托方。此類型的數(shù)據(jù)跨境場景主要存在3種：（1）委托處理的數(shù)據(jù)由受托方在境外保存；（2）受托方處理數(shù)據(jù)后返還給境內(nèi)委托方，這種場景稱為數(shù)據(jù)的“兩頭在內(nèi)”；（3）按照委托約定，受托方處理后向境外第三方企業(yè)提供。例如，我國境內(nèi)企業(yè)為方便跨國貿(mào)易，選擇將涉及個人信息的貿(mào)易數(shù)據(jù)托管至微軟、亞馬遜等境外云服務，數(shù)據(jù)實際存儲在境外，境內(nèi)企業(yè)可以通過遠程訪問、調(diào)取查詢，如果因業(yè)務需要也可通過境外云服務的線上系統(tǒng)直接提供給境外的其他合作伙伴或者個人。

3.3 委托類型三

如圖1所示，委托類型三為數(shù)據(jù)處理的委托方、受托方均在我國境內(nèi)，但委托的數(shù)據(jù)處理活動涉及跨境傳輸。此類型的數(shù)據(jù)跨境場景主要存在3種：（1）由受托方在境內(nèi)存儲，但境外可以訪問。例如，境內(nèi)企業(yè)將網(wǎng)站托管給境內(nèi)網(wǎng)站運營維護公司，但網(wǎng)站服務為全球性服務，境外的企業(yè)、個人可以通過公共互聯(lián)網(wǎng)直接訪問，因此也涉及個人信息的跨境處理。（2）數(shù)據(jù)在境外處理后再返還給境內(nèi)委托方，這種場景也屬于數(shù)據(jù)“兩頭在內(nèi)”的情況。（3）委托的數(shù)據(jù)處理活動是向境外其他公司提供。例如，我國境內(nèi)企業(yè)可以委托具有跨境傳輸能力的企業(yè)幫助其將數(shù)據(jù)傳輸至境外，方便境外客戶使用。

4 委托跨境處理數(shù)據(jù)的治理挑戰(zhàn)

委托跨境處理數(shù)據(jù)因委托處理類型不同，數(shù)據(jù)跨境場景形式多樣，給數(shù)據(jù)出境的合規(guī)申報、對境外委托方和受托方的約束、委托方層層外包管理等方面帶來挑戰(zhàn)。

4.1 數(shù)據(jù)出境的合規(guī)申報

根據(jù)我國數(shù)據(jù)出境管理要求，對于符合情形的個人信息或重要數(shù)據(jù)的出境活動應當申報數(shù)據(jù)出境安全評估、個人信息保護認證等數(shù)據(jù)出境安全管理程序。但在委托跨境處理數(shù)據(jù)的活動中，從原本數(shù)據(jù)跨境活動的數(shù)據(jù)處理者和境外接收方兩種角色，增加了受托方角色，且受托方、委托方以及數(shù)據(jù)處理活動所在境內(nèi)外的位置不同，使得企業(yè)數(shù)據(jù)跨境合規(guī)更加復雜，需要進一步通過相應規(guī)定的司法解釋明確具體申報細節(jié)。

第一，需要通過司法解釋明確委托活動申報主體。對于委托跨境處理數(shù)據(jù)的委托類型一、委托類型三，境內(nèi)受托方處理完數(shù)據(jù)后按照委托方要求將數(shù)據(jù)跨境傳輸給境外其他公司的場景中，應由受托方還是由實際委托人來申報我國數(shù)據(jù)出境安全管理的相關(guān)程序，尚未形成統(tǒng)一要求。首先對于委托類型一，數(shù)據(jù)出境合規(guī)工作存在一定成本，境外委托方可能不愿意額外增加成本申報合規(guī)程序。其次對于委托類型三，雖然委托方和受托方均在境內(nèi)，但仍存在申報不明確。若由委托方申報，委托方未必清楚處理活動的細節(jié)，使得委托方對新產(chǎn)生的個人信息的種類、規(guī)模、范圍等不盡完全掌握，存在對個人信息的合規(guī)出境的“盲區(qū)”。例如，云服務中產(chǎn)生的可識別信息，包括用戶ID、訪問審計日志等。若由境內(nèi)受托方申報相關(guān)程序，但實際的數(shù)據(jù)跨境提供活動是由數(shù)據(jù)處理者（委托人）和境外其他公司進行約定的，受托方與境外接收方就數(shù)據(jù)保護簽訂相關(guān)法律文件或者請境外接收方配合申報我國數(shù)據(jù)出境相關(guān)管理程序存在較大難度，致使申報程序無法實際開展。

第二，需要通過司法解釋明確委托活動的境外接收方。首先，對于委托類型一，境內(nèi)受托方處理完數(shù)據(jù)后傳輸給境外委托方，但委托方可能會再次提供給境外其他公司，這個過程應算作向境外提供還是算作提供后再轉(zhuǎn)移尚不明確，無法確定境外接收方應為委托方還是境外其他公司，且《個人信息保護法》等法律中并未明確委托方也應協(xié)助或配合受托方保障我國個人信息權(quán)益或數(shù)據(jù)安全。其次，對于委托類型二，由于受托方在境外從境內(nèi)委托方處接收數(shù)據(jù)，但數(shù)據(jù)出境后又由受托方按約定提供給境外其他公司，這種場景下，無法判斷境外接收方應為受托方還是真實接收數(shù)據(jù)的境外企業(yè)。例如境內(nèi)企業(yè)數(shù)據(jù)境外上“云”的過程。

第三，對于部分出境場景存在是否需要申報數(shù)據(jù)出境合規(guī)程序需要進一步司法解釋。對于“兩頭在外”或者“兩頭在內(nèi)”場景，是否需要申報我國數(shù)據(jù)出境安全管理相關(guān)程序存在不明確?！皟深^在外”或者“兩頭在內(nèi)”是指，委托類型一、委托類型三數(shù)據(jù)來源于境外或境內(nèi)委托方，境內(nèi)受托方按照委托要求跨境處理數(shù)據(jù)完畢后又提供給境外或境內(nèi)委托方的場景。首先，對于委托類型三“兩頭在內(nèi)”受托處理個人信息的過程中，數(shù)據(jù)最終流回我國境內(nèi)，數(shù)據(jù)跨境處理過程是否算作數(shù)據(jù)出境。其次，對于委托類型一“兩頭在外”的場景，未引入新的個人信息情況下，如果要求境內(nèi)受托方申報數(shù)據(jù)出境相關(guān)程序，就會引發(fā)境外委托方的反感，不利于我國構(gòu)造良好的跨境貿(mào)易環(huán)境，影響我國企業(yè)數(shù)字貿(mào)易服務的出口。

4.2 對境外委托方和境外受托方的約束

現(xiàn)階段，委托數(shù)據(jù)跨境活動的境外數(shù)據(jù)處理者、受托方等可能未在我國設(shè)立分支機構(gòu)。首先，我國法律未明確要求數(shù)據(jù)處理者對個人信息外的數(shù)據(jù)處理也應在境內(nèi)設(shè)置專門機構(gòu)或指定代表。其次，由于在境內(nèi)設(shè)置專門機構(gòu)或指定代表還不夠細化[12]，存在境外數(shù)據(jù)處理者、受托方未落實我國《個人信息保護法》的有關(guān)要求。這使得對委托跨境處理數(shù)據(jù)的管理工作中，缺乏對境外數(shù)據(jù)處理者、境外受托方的約束、監(jiān)督手段，可能無法做到全鏈條跟蹤監(jiān)督，數(shù)據(jù)出境后若出現(xiàn)安全事件可能會導致追責困難。

第一，委托跨境處理數(shù)據(jù)的活動可能存在不合規(guī)、不合法的情況，受托方難以衡量跨境處理活動的合法性、正當性、必要性。例如對于委托類型一，境外企業(yè)借助境內(nèi)企業(yè)的收集個人信息的便利，將境內(nèi)個人信息的收集活動委托給境內(nèi)企業(yè)，境內(nèi)委托方僅負責個人信息收集活動，不清楚、不了解境外委托方收集目的，存在數(shù)據(jù)出境后的安全隱患，給我國公民個人信息權(quán)益保護帶來潛在威脅。第二，對于境外委托方的委托處理活動缺乏監(jiān)督。例如，對于委托類型二，境外受托方若未完全按照委托約定處理數(shù)據(jù)，擅自存儲、利用委托方提供的數(shù)據(jù)，可能造成數(shù)據(jù)泄露或非法轉(zhuǎn)移的風險。第三，2018年美國通過《澄清域外合法使用數(shù)據(jù)法》（CLOUD法案）強調(diào)對數(shù)據(jù)的域外法權(quán)，在各國不斷以國內(nèi)立法的方式擴展本國域外管轄范圍的背景下[13]，由于境外大型受托方技術(shù)壟斷、資源壟斷且具有價格優(yōu)勢，受托跨境處理活動變得更加集中，存在多方委托數(shù)據(jù)匯聚到少量受托方手中的可能，使得來源于我國的數(shù)據(jù)出境后的安全性缺乏保障。

4.3 受托方層層外包的法定義務履行

《個人信息保護法》第二十一條第三款規(guī)定，“未經(jīng)個人信息處理者同意，受托人不得轉(zhuǎn)委托他人處理個人信息”。但實際情況在委托跨境處理活動中存在履行法定義務困難的情況。第一，大型服務商的第三方服務商較多，難以逐一列舉。以云服務為例，云服務的第三方廠商眾多，包含運維、運營、軟硬件供應商等，全部列舉較為困難。第二，對于轉(zhuǎn)委托的準確定義、顆粒度難以把握。例如，委托云服務商做數(shù)據(jù)的境外存儲的數(shù)據(jù)跨境場景中，云服務商的硬盤供應商、維護商等第三方企業(yè)是否算作轉(zhuǎn)委托難以衡量和判斷，過度要求云服務第三方供應鏈透明化與現(xiàn)有的云服務的便捷化、輕量化、無感化的服務優(yōu)勢存在一定矛盾。第三，大型服務商利用壟斷優(yōu)勢，成為跨境委托處理的強勢方。例如對于委托類型二，境外云服務商微軟、谷歌、亞馬遜等為境內(nèi)委托方提供公共云服務時，由于境外公共云是已有形態(tài)，往往委托方難以強加約束，境內(nèi)委托方與境外云服務商簽訂的法律文件通常是境外云服務商提供的模板，委托方為相對弱勢方，較難約束境外云服務商履行《個人信息保護法》相關(guān)要求。第四，受托方可能存在層層委托、層層轉(zhuǎn)移的情況，多層委托處理監(jiān)督難度加大，難以保證數(shù)據(jù)跨境傳輸過程中我國公民的個人信息權(quán)益不被侵害。

5 對委托跨境處理數(shù)據(jù)的治理建議

5.1 明確專門機構(gòu)和指定代表要求

制定數(shù)據(jù)保護的域外管轄規(guī)則已成為各國立法的共識[12]。對處理我國數(shù)據(jù)的境外數(shù)據(jù)處理者要求境內(nèi)設(shè)置專門機構(gòu)和指定代表是數(shù)據(jù)保護域外規(guī)則的一種重要手段，在數(shù)據(jù)保護的域外管轄中扮演著極其重要的信息交通樞紐角色[9]。委托跨境處理我國個人信息的境外委托方、境外受托方，在我國境內(nèi)設(shè)置專門機構(gòu)和指定代表處理個人信息保護相關(guān)事務是《個人信息保護法》的內(nèi)在要求。而對于委托跨境處理我國數(shù)據(jù)的境外委托方、境外受托方應參照《個人信息保護法》的要求在境內(nèi)設(shè)置專門機構(gòu)和指定代表。具體建議包括：第一，進一步明確專門機構(gòu)和指定代表設(shè)置條件和管理要求。第二，將企業(yè)或個人在我國設(shè)置專門機構(gòu)和指定代表，作為跨境委托處理、受托處理我國個人信息的活動的必需條件，強化對境外委托方、接受方的管理抓手。第三，進一步明確我國個人信息保護和數(shù)據(jù)安全的跨境司法、執(zhí)法的規(guī)定，要求委托方、受托方以及境外接收方應對個人信息保護跨境司法、執(zhí)法予以配合。第四，加強數(shù)據(jù)安全和個人信息保護的國際協(xié)商與合作，暢通個人信息安全事件的事后追責途徑。

5.2 跨境處理委托活動可考慮訂立制式合同

制式合同也稱標準合同，是合同條款、內(nèi)容是國家預先決定并強制納入，其兼具個別規(guī)范和國家規(guī)范的雙重屬性[7]。建議有關(guān)部門制定標準化跨境處理數(shù)據(jù)的委托合同，對不同責任主體的侵權(quán)行為如何進行責任分配與責任承擔進行梳理[14]，要求委托跨境處理數(shù)據(jù)的活動委托方、受托方應簽訂數(shù)據(jù)保護合同。第一，合同中應說明委托跨境處理數(shù)據(jù)活動的合法性、正當性、必要性。第二，合同應約定委托跨境處理數(shù)據(jù)的委托方和受托方義務。受托方應協(xié)助數(shù)據(jù)處理者申報我國數(shù)據(jù)出境相關(guān)管理程序、開展個人信息保護影響評估、告知并征得個人同意等，以及自身保護個人信息和保障數(shù)據(jù)安全的義務。委托方應配合受托方開展數(shù)據(jù)安全和個人信息保護的活動，以及對數(shù)據(jù)處理活動進行監(jiān)督的義務。第三，合同應明確委托方、受托方的責任，特別是關(guān)于違反我國個人信息保護相關(guān)法律法規(guī)的行為和雙方約定義務的行為應承擔的責任。第四，要求雙方設(shè)立個人信息權(quán)益保護的渠道，并向個人信息的持有者公開公告。第五，對多層、多級再委托的責任進行分類分級。委托方應為個人信息保護的第一責任人，對于受托方多層委托的難以逐一列舉的情況在經(jīng)委托方同意的前提下，受托方應對多層、多級再委托的個人信息保護負有直接責任。

5.3 分類明確數(shù)據(jù)跨境委托的申報要求

對于符合需要我國數(shù)據(jù)出境安全管理要求的委托跨境處理數(shù)據(jù)活動：第一，境外受托方經(jīng)與委托方協(xié)商同意，可以作為境外接收方申報我國數(shù)據(jù)出境相關(guān)程序；第二，鼓勵委托方、受托方聯(lián)合申報數(shù)據(jù)出境安全評估等數(shù)據(jù)出境相關(guān)程序，數(shù)據(jù)處理過程中加工、產(chǎn)生的全量個人信息均需按要求申報；第三，根據(jù)國家網(wǎng)信辦發(fā)布的《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》明確促進數(shù)據(jù)有序流動的要求，對于符合豁免情形的也應在數(shù)據(jù)跨境活動開始前履行開展個人信息保護影響評估、告知并征得單獨同意等法定義務，以及應落實網(wǎng)絡(luò)安全、數(shù)據(jù)安全的管理和技術(shù)保障；第四，建議對“兩頭在內(nèi)”的跨境處理、少量個人跨境遠程訪問等情形，不在境外存儲的，可以考慮豁免申報我國數(shù)據(jù)出境管理相關(guān)程序。

6 結(jié)語

數(shù)據(jù)作為數(shù)字經(jīng)濟深入發(fā)展的核心引擎，正在成為重組全球要素資源、改變?nèi)蚪?jīng)濟結(jié)構(gòu)的關(guān)鍵[15]。在此背景下，隨著數(shù)據(jù)處理的精細化、專業(yè)化發(fā)展，委托跨境處理數(shù)據(jù)的活動將更加普遍化。然而委托跨境處理數(shù)據(jù)活動，涉及角色多、委托類型雜、數(shù)據(jù)跨境場景多樣，我國數(shù)據(jù)跨境、數(shù)據(jù)委托等的治理實踐中存在缺乏銜接、落實困難的情況，致使我國數(shù)據(jù)出境后存在數(shù)據(jù)安全和個人信息權(quán)益受到侵害的風險，給我國數(shù)據(jù)跨境治理帶來挑戰(zhàn)。我國應及時關(guān)注委托跨境處理數(shù)據(jù)存在的治理困境，強化對境外數(shù)據(jù)處理者的管理抓手，規(guī)范化管理委托處理活動，進一步解決委托活動中的合規(guī)治理問題，防范和化解數(shù)據(jù)出境安全風險。

參考文獻

王利明.數(shù)據(jù)共享與個人信息保護[J].現(xiàn)代法學，2019，41（1）：45-57.

阮神裕.個人信息委托處理中受托人的地位、義務與責任[J].當代法學，2022，36（5）：110-119.

楊合慶.中華人民共和國個人保護法釋義[M].北京： 法律出版社，2022.

程嘯.個人信息保護法理解與適用[M].北京： 中國法制出版社，2021.

王希琛.委托處理個人信息侵權(quán)責任的認定困境與紓解路徑[J].吉林省教育學院學報，2023，39（11）：181-186.

周光權(quán).委托處理個人信息與侵犯公民個人信息罪： 結(jié)合《個人信息保護法》第21條的分析[J].環(huán)球法律評論，2021，43（6）：23-39.

曹明德，趙峰.委托處理個人信息的私法規(guī)制[J].重慶大學學報（社會科學版），2022，28（4）：203-215.

王希琛.委托處理個人信息侵權(quán)責任的認定困境與紓解路徑[J].吉林省教育學院學報，2023，39（11）：181-186.

梅傲，潘子俊.企業(yè)跨境數(shù)據(jù)合規(guī)的治理模式、難題審視及合規(guī)進路[J/OL].情報理論與實踐：1-9[2024-02-14].http：//kns.cnki.net/kcms/detail/11.1762.G3.20240112.1248.002.html.

金晶.作為個人信息跨境傳輸監(jiān)管工具的標準合同條款[J].法學研究，，2022，44（5）：19-3.

李仁真，羅琳娜.歐盟數(shù)據(jù)跨境傳輸標準合同條款新發(fā)展及啟示[J].情報雜志，2022，41（5）：146-153.

劉業(yè).域外管轄規(guī)則下的代表制度： 歐盟GDPR的實踐與啟示[J].武大國際法評論，2023，7（6）：76-95.

萬方，趙琳琳.數(shù)據(jù)域外管轄趨勢及我國的立法應對[J].圖書情報知識，2021，38（4）：136-145.

陳龍江，鄭淑琳.論個人信息委托處理的私法規(guī)制[J/OL].海南大學學報（人文社會科學版）：1-11[2024-03-03].https：//doi.org/10.15886/j.cnki.hnus.202206.0103.

陳勝，王可心.數(shù)字經(jīng)濟時代個人信息跨境流動規(guī)制問題研究[J].中國商論，2023（24）：44-47.