內(nèi)容提要：數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)的跨境流動(dòng)在促進(jìn)數(shù)字創(chuàng)新、提高經(jīng)濟(jì)增長(zhǎng)效率、增進(jìn)社會(huì)福祉等方面發(fā)揮著越來(lái)越重要的作用，各國(guó)亦日益重視，并采取了不同的數(shù)據(jù)跨境政策。但相應(yīng)地，數(shù)據(jù)跨境流動(dòng)問(wèn)題頻發(fā)，我國(guó)在這方面也面臨諸多法律風(fēng)險(xiǎn)，主要集中于數(shù)據(jù)安全、隱私保護(hù)、企業(yè)違規(guī)等。本文從上述法律風(fēng)險(xiǎn)產(chǎn)生原因出發(fā)，探討我國(guó)跨境數(shù)據(jù)流動(dòng)治理中面臨的主要問(wèn)題，并結(jié)合浙江自貿(mào)區(qū)建設(shè)實(shí)際，探索我國(guó)跨境數(shù)據(jù)流動(dòng)法律治理體系的完善路徑，以及跨境貿(mào)易企業(yè)及平臺(tái)在個(gè)人信息出境中的合規(guī)機(jī)制。

關(guān)鍵詞：跨境數(shù)據(jù)流動(dòng) 企業(yè)合規(guī) 個(gè)人信息出境 跨境電子商務(wù)

在全球化浪潮推動(dòng)下，數(shù)據(jù)跨境流動(dòng)的規(guī)模持續(xù)擴(kuò)大，各國(guó)紛紛基于自身利益需求，探索規(guī)制路徑，在數(shù)據(jù)安全和自由流動(dòng)之間尋求平衡。我國(guó)作為互聯(lián)網(wǎng)大國(guó)，亦高度重視數(shù)據(jù)資源價(jià)值，已初步形成數(shù)據(jù)治理的基本規(guī)制體系。

一、跨境數(shù)據(jù)流動(dòng)的概況

（一）跨境數(shù)據(jù)流動(dòng)的概念

在探討跨境數(shù)據(jù)流動(dòng)（Cross-Border Data Flows）的概念前，首先應(yīng)明確數(shù)據(jù)的定義。通常而言，數(shù)據(jù)是指對(duì)客觀(guān)事件進(jìn)行記錄并可以鑒別的抽象符號(hào)，是對(duì)客觀(guān)事物的性質(zhì)、狀態(tài)及相互關(guān)系等進(jìn)行記載的物理符號(hào)或物理符號(hào)的組合。在計(jì)算機(jī)科學(xué)中，數(shù)據(jù)是指所有能輸入計(jì)算機(jī)并被計(jì)算機(jī)程序處理的符合介質(zhì)的總稱(chēng)。其中，最簡(jiǎn)單的為數(shù)字，還可體現(xiàn)為具有一定意義的文字、圖像、聲音、視頻等。數(shù)據(jù)具有可復(fù)制性、流動(dòng)性、基礎(chǔ)性。

關(guān)于跨境數(shù)據(jù)流動(dòng)，經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development，OECD）在1980年發(fā)布的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》中首次提出了跨境數(shù)據(jù)流動(dòng)的概念。早期跨境數(shù)據(jù)流動(dòng)的研究?jī)H針對(duì)個(gè)人數(shù)據(jù)，隨著數(shù)字經(jīng)濟(jì)和新型數(shù)字技術(shù)不斷發(fā)展，越來(lái)越多的數(shù)據(jù)類(lèi)型參與到跨境流動(dòng)的大潮中。目前，國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)的概念界定還存在差異，尚未形成統(tǒng)一認(rèn)知。綜合比較可知，國(guó)際上對(duì)跨境數(shù)據(jù)流動(dòng)的內(nèi)涵與外延界定主要包括兩類(lèi)：一類(lèi)是數(shù)據(jù)跨越國(guó)界的傳輸、處理與存儲(chǔ)；另一類(lèi)是盡管數(shù)據(jù)尚未跨越國(guó)界，但能夠被第三國(guó)主體進(jìn)行訪(fǎng)問(wèn)。參見(jiàn)張茉楠：《數(shù)字主權(quán)背景下的全球跨境數(shù)據(jù)流動(dòng)動(dòng)向與對(duì)策》，載《中國(guó)經(jīng)貿(mào)導(dǎo)刊》2020年第18期。

關(guān)于數(shù)據(jù)治理，目前尚無(wú)統(tǒng)一定義。國(guó)際數(shù)據(jù)管理協(xié)會(huì)（Data Management Association International，DAMA）認(rèn)為，數(shù)據(jù)治理是對(duì)數(shù)據(jù)資產(chǎn)管理行使權(quán)力和控制的活動(dòng)集合。換言之，任何圍繞提高數(shù)據(jù)質(zhì)量、釋放數(shù)據(jù)價(jià)值、保障數(shù)據(jù)安全開(kāi)展的行為，都可以被納入數(shù)據(jù)治理的范疇。當(dāng)前數(shù)據(jù)主體多樣、體量巨大、涉及諸多領(lǐng)域和環(huán)節(jié)，數(shù)據(jù)治理天然具有多學(xué)科、多維度、多層面的特征。參見(jiàn)劉乃貴：《個(gè)人信息、社會(huì)數(shù)據(jù)與立法選擇——大數(shù)據(jù)時(shí)代數(shù)據(jù)治理的法治進(jìn)路》，西南財(cái)經(jīng)大學(xué)2020年博士學(xué)位論文。

（二）跨境數(shù)據(jù)流動(dòng)的分類(lèi)

1.個(gè)人數(shù)據(jù)

我國(guó)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》將個(gè)人數(shù)據(jù)定義為：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2020年3月6日發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）第3.1條。OECD發(fā)布《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》提出個(gè)人數(shù)據(jù)跨境流動(dòng)的概念距今已有四十多年，其間個(gè)人數(shù)據(jù)跨境流動(dòng)的規(guī)模、渠道及相關(guān)法律規(guī)制均發(fā)生了變化，呈現(xiàn)規(guī)?？焖贁U(kuò)張、類(lèi)型不斷豐富的新趨勢(shì)。一方面，跨境電商等新興業(yè)態(tài)的發(fā)展壯大助推了個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)模的持續(xù)擴(kuò)張；另一方面，移動(dòng)通信技術(shù)在硬件和軟件領(lǐng)域的高速發(fā)展促進(jìn)了當(dāng)前以手機(jī)為主的移動(dòng)網(wǎng)絡(luò)應(yīng)用平臺(tái)的發(fā)展，借助相關(guān)新興技術(shù)，跨境流動(dòng)的個(gè)人數(shù)據(jù)類(lèi)型日益豐富，位置信息、支付信息、社交網(wǎng)絡(luò)信息等也成為跨境流動(dòng)的個(gè)人信息的重要組成部分。個(gè)人數(shù)據(jù)在跨境流動(dòng)中由單一逐漸走向豐富，體現(xiàn)了信息化和全球化浪潮給個(gè)人帶來(lái)的巨大便利，也使個(gè)人隱私保護(hù)成為全球跨境數(shù)據(jù)流動(dòng)治理中的一個(gè)重點(diǎn)領(lǐng)域。

2.組織數(shù)據(jù)

組織數(shù)據(jù)，是由組織采集、持有、使用的數(shù)據(jù)，其中占比最高、最具代表性的是企業(yè)數(shù)據(jù)。通常而言，企業(yè)數(shù)據(jù)是指所有與企業(yè)經(jīng)營(yíng)相關(guān)的信息、資料，包括公司概況、產(chǎn)品信息、經(jīng)營(yíng)數(shù)據(jù)、研究成果等。參見(jiàn)鄭水生：《大數(shù)據(jù)背景下企業(yè)管理模式創(chuàng)新》，載《財(cái)經(jīng)界》2019年第7期。在信息化、全球化進(jìn)程高速發(fā)展的當(dāng)下，很多企業(yè)借助數(shù)字技術(shù)，打破了地域、國(guó)境限制，結(jié)合自身優(yōu)勢(shì)進(jìn)行全球布局?；ヂ?lián)網(wǎng)企業(yè)作為全球范圍內(nèi)跨境數(shù)據(jù)流動(dòng)的重要參與者和主要載體，享受著數(shù)據(jù)流動(dòng)帶來(lái)的資本、市場(chǎng)等方面的利益。一方面，跨境數(shù)據(jù)流動(dòng)能支撐企業(yè)全球布局。以互聯(lián)網(wǎng)企業(yè)為例，其開(kāi)放互聯(lián)的特性，以及業(yè)務(wù)線(xiàn)上化、運(yùn)營(yíng)國(guó)際化等現(xiàn)實(shí)需要，使跨境數(shù)據(jù)流動(dòng)成為促進(jìn)互聯(lián)網(wǎng)企業(yè)在全球范圍內(nèi)發(fā)展和擴(kuò)張的巨大動(dòng)力。例如，以阿里巴巴、亞馬遜為代表的電商平臺(tái)，以抖音為代表的短視頻平臺(tái)，通過(guò)互聯(lián)網(wǎng)采集、分析、處理并跨境傳輸數(shù)據(jù)，實(shí)現(xiàn)了其業(yè)務(wù)全球化的商業(yè)目標(biāo)。另一方面，跨境數(shù)據(jù)流動(dòng)能顯著降低企業(yè)運(yùn)營(yíng)成本。企業(yè)既可以通過(guò)互聯(lián)網(wǎng)以遠(yuǎn)程方式提供跨境服務(wù)，也可以在線(xiàn)簽訂商業(yè)協(xié)議、完成資金交付。數(shù)量眾多的中小型企業(yè)在相關(guān)技術(shù)和平臺(tái)的支撐下，得以盡享全球化和信息化浪潮的東風(fēng)。

二、跨境數(shù)據(jù)流動(dòng)的法律風(fēng)險(xiǎn)與治理困境

跨境數(shù)據(jù)流動(dòng)給世界發(fā)展帶來(lái)諸多好處，同時(shí)也蘊(yùn)含著一定程度的風(fēng)險(xiǎn)。例如，個(gè)人生物識(shí)別信息、日常行程軌跡、賬號(hào)密碼等個(gè)人數(shù)據(jù)被惡意利用或出售，將造成個(gè)人隱私和財(cái)產(chǎn)安全隱患；企業(yè)運(yùn)營(yíng)數(shù)據(jù)、核心平臺(tái)代碼等商業(yè)數(shù)據(jù)若發(fā)生泄露或被不法分子竊取，將導(dǎo)致企業(yè)的商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)面臨嚴(yán)重威脅。

（一）法律風(fēng)險(xiǎn)

1.數(shù)據(jù)安全

數(shù)據(jù)是否得到充分保護(hù)，直接關(guān)系數(shù)字經(jīng)濟(jì)運(yùn)行的有效性。網(wǎng)絡(luò)安全是發(fā)展數(shù)字經(jīng)濟(jì)的前提條件，而數(shù)據(jù)合規(guī)成為跨國(guó)企業(yè)需要解決的重要問(wèn)題。我國(guó)企業(yè)自準(zhǔn)備出海之日起，在熟悉地方法規(guī)、民俗文化的同時(shí)，也應(yīng)提前考量數(shù)據(jù)公開(kāi)帶來(lái)的風(fēng)險(xiǎn)。如何兼顧維護(hù)用戶(hù)利益與保障數(shù)據(jù)安全，是跨境數(shù)據(jù)流動(dòng)議題中的難題。從國(guó)際社會(huì)對(duì)跨境數(shù)據(jù)流動(dòng)網(wǎng)絡(luò)安全的重視程度來(lái)看，大多數(shù)國(guó)家和地區(qū)基本都日益重視在網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行立法，但仍有國(guó)家暫未對(duì)該領(lǐng)域進(jìn)行立法保護(hù)，使數(shù)據(jù)安全成為薄弱環(huán)節(jié)。從企業(yè)的網(wǎng)絡(luò)安全投入看，雖然較多企業(yè)意識(shí)到網(wǎng)絡(luò)安全對(duì)于企業(yè)日常運(yùn)營(yíng)的重要性，但仍存在網(wǎng)絡(luò)安全預(yù)算不足、專(zhuān)業(yè)技能人才短缺等問(wèn)題，這在缺乏資源的中小企業(yè)中較為普遍。

2.隱私保護(hù)

平臺(tái)經(jīng)濟(jì)的發(fā)展橫跨電子商務(wù)、社交媒體和各類(lèi)應(yīng)用軟件，在用戶(hù)使用過(guò)程中產(chǎn)生的跨境數(shù)據(jù)多為個(gè)人數(shù)據(jù)。此類(lèi)數(shù)據(jù)通過(guò)網(wǎng)絡(luò)上的信息交互，產(chǎn)生的最直接訴求即為對(duì)個(gè)人信息的保護(hù)。在跨境數(shù)據(jù)流動(dòng)背景下，就是要確保個(gè)人數(shù)據(jù)在境外依然能夠得到與其在境內(nèi)相同程度的隱私保護(hù)。此種保護(hù)主要涉及三方面：一是在境內(nèi)隱私保護(hù)制度不完善的情況下，如何限制個(gè)人通過(guò)跨境數(shù)據(jù)流動(dòng)來(lái)規(guī)避境內(nèi)監(jiān)管制度；二是在已有境內(nèi)隱私保護(hù)制度的情況下，如何確保流至境外的個(gè)人數(shù)據(jù)不會(huì)發(fā)生隱私風(fēng)險(xiǎn)；三是在流至境外的個(gè)人數(shù)據(jù)發(fā)生隱私風(fēng)險(xiǎn)時(shí)，如何保證相關(guān)個(gè)人能夠得到有效救濟(jì)。

3.企業(yè)違規(guī)

為保障數(shù)據(jù)安全，國(guó)家相繼出臺(tái)多部法律法規(guī)，明確企業(yè)對(duì)個(gè)人數(shù)據(jù)、重要數(shù)據(jù)的保護(hù)要求，規(guī)定企業(yè)在數(shù)據(jù)存儲(chǔ)、處理、出境等方面的責(zé)任和義務(wù)。但仍有部分企業(yè)違反法律規(guī)定，因數(shù)據(jù)泄露被懲處。2022年5月11日，我國(guó)首例涉及高鐵運(yùn)行安全的跨境數(shù)據(jù)泄露案件詳情被披露。上海某信息科技公司接受一境外公司委托，在對(duì)方規(guī)定的北京、上海等16座城市及相應(yīng)高鐵線(xiàn)路上，采集了我國(guó)鐵路信號(hào)信息（包括物聯(lián)網(wǎng)、蜂窩和高鐵移動(dòng)通信專(zhuān)網(wǎng)敏感信號(hào)等數(shù)據(jù)），并在數(shù)據(jù)采集設(shè)備上為該境外公司開(kāi)通了遠(yuǎn)程登錄端口，方便境外公司實(shí)時(shí)獲取對(duì)應(yīng)的測(cè)試數(shù)據(jù)，嚴(yán)重威脅了國(guó)家安全。參見(jiàn)譚峻楠：《數(shù)據(jù)跨境流動(dòng)相關(guān)法規(guī)及治理實(shí)踐》，載微信公眾號(hào)“CCIA數(shù)據(jù)安全工作委員會(huì)”，2023年11月7日。經(jīng)檢索發(fā)現(xiàn)，多起企業(yè)因未注重?cái)?shù)據(jù)安全而導(dǎo)致數(shù)據(jù)存在泄露風(fēng)險(xiǎn)、數(shù)據(jù)被實(shí)際竊取并傳輸?shù)骄惩猓M(jìn)而被行政處罰。這些案件都體現(xiàn)了企業(yè)在數(shù)據(jù)安全保障、跨境數(shù)據(jù)流動(dòng)方面可能存在違反我國(guó)法律法規(guī)的行為。

（二）我國(guó)的相關(guān)法律法規(guī)

根據(jù)法律制定機(jī)關(guān)和效力等級(jí)的不同，我國(guó)從法律（含地方法）、行政法規(guī)、部門(mén)規(guī)章、司法解釋和行業(yè)標(biāo)準(zhǔn)五個(gè)層級(jí)對(duì)跨境數(shù)據(jù)流動(dòng)作出了不同層次的規(guī)定和要求。在法律方面，目前與跨境數(shù)據(jù)流動(dòng)相關(guān)的法律是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》。在行政法規(guī)方面，為保障關(guān)鍵信息基礎(chǔ)設(shè)施安全和維護(hù)網(wǎng)絡(luò)安全，國(guó)務(wù)院于2021年7月30日發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》。在部門(mén)規(guī)章層面，工業(yè)和信息化部于2022年12月印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，以及國(guó)家互聯(lián)網(wǎng)信息辦公室（以下簡(jiǎn)稱(chēng)“國(guó)家網(wǎng)信辦”）等先后發(fā)布《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評(píng)估辦法》《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》等。2023年9月28日，國(guó)家網(wǎng)信辦又發(fā)布關(guān)于《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)的規(guī)定（征求意見(jiàn)稿）》。為推動(dòng)相關(guān)工作開(kāi)展，深圳市第七屆人民代表大會(huì)常務(wù)委員會(huì)第二次會(huì)議于2021年6月29日通過(guò)了《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》，這是我國(guó)數(shù)據(jù)領(lǐng)域首個(gè)基礎(chǔ)性、綜合性地方立法。此外，我國(guó)曾發(fā)布《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》等文件。2023年6月29日，國(guó)家網(wǎng)信辦與香港特別行政區(qū)政府創(chuàng)新科技及工業(yè)局簽署《關(guān)于促進(jìn)粵港澳大灣區(qū)數(shù)據(jù)跨境流動(dòng)的合作備忘錄》。簽署公告中提到，各方將在國(guó)家數(shù)據(jù)跨境安全管理制度框架下，建立粵港澳大灣區(qū)數(shù)據(jù)跨境流動(dòng)安全規(guī)則。上述合作備忘錄的簽署是數(shù)據(jù)跨境雙邊多邊協(xié)議的開(kāi)始，既有利于推動(dòng)國(guó)內(nèi)統(tǒng)一大市場(chǎng)和國(guó)際國(guó)內(nèi)雙循環(huán)經(jīng)濟(jì)格局的形成，也有利于打造大灣區(qū)內(nèi)部緊密的數(shù)據(jù)要素流轉(zhuǎn)利用生態(tài)。目前，其配套措施正在制定中。馮戀閣、張雅婷、尤為：《數(shù)據(jù)跨境迎重要進(jìn)展，粵港澳大灣區(qū)數(shù)據(jù)跨境流動(dòng)合作備忘錄簽署》，載微信公眾號(hào)“廣東粵港澳大灣區(qū)研究院”，2023年7月3日。

（三）跨境數(shù)據(jù)流動(dòng)的治理困境

1.法律法規(guī)的層級(jí)不高

目前，跨境數(shù)據(jù)流動(dòng)的保護(hù)與規(guī)制系統(tǒng)分散，各國(guó)的利益訴求、監(jiān)管方法、數(shù)據(jù)理念各不相同，對(duì)數(shù)據(jù)如何使用和流動(dòng)規(guī)定的措施差異很大。參見(jiàn)時(shí)業(yè)偉：《跨境數(shù)據(jù)流動(dòng)中的國(guó)際貿(mào)易規(guī)則：規(guī)制、兼容與發(fā)展》，載《比較法研究》2020年第4期。就我國(guó)而言，分析上述頒布施行的法律法規(guī)可以發(fā)現(xiàn)，主要問(wèn)題在于：一是我國(guó)跨境數(shù)據(jù)流動(dòng)法律法規(guī)的層級(jí)較低，多為部門(mén)規(guī)章，部分法律法規(guī)內(nèi)容不夠清晰，部分規(guī)則措施有待進(jìn)一步細(xì)化落實(shí)并應(yīng)由有關(guān)機(jī)構(gòu)作出詳細(xì)解釋說(shuō)明；二是監(jiān)管體系不夠完善，數(shù)據(jù)跨境流動(dòng)監(jiān)管能力和保護(hù)水平尚存不足；三是參與跨境數(shù)據(jù)流動(dòng)有關(guān)國(guó)際規(guī)則較少，國(guó)內(nèi)監(jiān)督體系與國(guó)際協(xié)議的高水平監(jiān)管標(biāo)準(zhǔn)尚存差距。我國(guó)應(yīng)及時(shí)有力輸出國(guó)內(nèi)經(jīng)驗(yàn)，積極參與數(shù)據(jù)跨境流動(dòng)雙邊、多邊協(xié)議簽署和國(guó)際規(guī)則制定，以更好地參與跨境數(shù)據(jù)流動(dòng)國(guó)際監(jiān)管體系的建立。

2.企業(yè)合規(guī)意識(shí)不強(qiáng)

隨著企業(yè)跨境數(shù)據(jù)流動(dòng)規(guī)模不斷擴(kuò)大、類(lèi)型不斷增加，跨境數(shù)據(jù)采集、傳輸、處理、應(yīng)用等環(huán)節(jié)和場(chǎng)景的復(fù)雜化，企業(yè)在運(yùn)營(yíng)中涉及跨境數(shù)據(jù)流動(dòng)的問(wèn)題不斷增多。大型企業(yè)已逐步建立了數(shù)據(jù)跨境傳輸?shù)暮弦?guī)意識(shí)，但中小型企業(yè)囿于技術(shù)、財(cái)力等限制，仍未能建立有效的企業(yè)內(nèi)部合規(guī)機(jī)制，可能面臨大額的數(shù)據(jù)出境違規(guī)懲處措施。另外，企業(yè)在進(jìn)行跨境數(shù)據(jù)流動(dòng)合規(guī)審查的實(shí)際操作過(guò)程中，也面臨諸多問(wèn)題：一是對(duì)國(guó)內(nèi)法律規(guī)定中的部分內(nèi)容，如重要數(shù)據(jù)等概念、“單獨(dú)同意”規(guī)則的適用情形等理解不清；二是各國(guó)發(fā)布的法律規(guī)定、標(biāo)準(zhǔn)合同條款等存在差異，加之企業(yè)對(duì)國(guó)外的合規(guī)要求并不明晰，導(dǎo)致企業(yè)經(jīng)營(yíng)無(wú)所適從，可能引發(fā)違規(guī)風(fēng)險(xiǎn)。為適應(yīng)向不同國(guó)家或地區(qū)傳輸數(shù)據(jù)時(shí)履行不同的合規(guī)義務(wù)，增加了數(shù)據(jù)跨境傳輸合規(guī)管理的溝通協(xié)調(diào)成本。

3.跨境電商行業(yè)發(fā)展受制約

2014年，隨著一系列促進(jìn)政策和監(jiān)管措施出臺(tái)，我國(guó)跨境電商發(fā)展進(jìn)入了爆發(fā)期。各大國(guó)內(nèi)外品牌商、電商平臺(tái)、傳統(tǒng)零售企業(yè)紛紛涌入，天貓國(guó)際、網(wǎng)易考拉、小紅書(shū)等一大批跨境電商零售進(jìn)口平臺(tái)和企業(yè)出現(xiàn)，我國(guó)網(wǎng)購(gòu)市場(chǎng)規(guī)模在社會(huì)零售中保持穩(wěn)中有升的趨勢(shì)，進(jìn)口交易在跨境進(jìn)出口交易中的占比規(guī)模不斷擴(kuò)大。2015年，我國(guó)決定在跨境電商領(lǐng)域加大綜合改革試驗(yàn)，3月杭州市成為全國(guó)首個(gè)獲批設(shè)立跨境電子商務(wù)綜合試驗(yàn)區(qū)的城市。其加快先行先試，從體制、機(jī)制和行業(yè)發(fā)展等方面引領(lǐng)全國(guó)跨境電商發(fā)展。一方面，跨境電商交易中涉及的數(shù)據(jù)類(lèi)型繁多，在數(shù)據(jù)流動(dòng)過(guò)程中需要滿(mǎn)足實(shí)時(shí)、高效的要求；另一方面，隨著數(shù)據(jù)規(guī)模不斷擴(kuò)大，對(duì)企業(yè)數(shù)據(jù)處理和分析的能力也提出了更高要求。得益于加快的全球化進(jìn)程和蓬勃發(fā)展的互聯(lián)網(wǎng)技術(shù)，數(shù)據(jù)跨境流動(dòng)技術(shù)成本呈下降的態(tài)勢(shì)，但為滿(mǎn)足數(shù)據(jù)安全、個(gè)人信息隱私保護(hù)等不同的合規(guī)要求，企業(yè)必然會(huì)有大量的成本投入。如果過(guò)度強(qiáng)調(diào)有關(guān)秩序的建立和管制，可能在一定程度上制約跨境電商的發(fā)展；但如果監(jiān)管過(guò)于寬泛，也容易引發(fā)跨境數(shù)據(jù)流動(dòng)安全等問(wèn)題。因此，如何科學(xué)合理地構(gòu)建跨境電商數(shù)據(jù)流動(dòng)秩序是亟待解決的難點(diǎn)。

三、跨境數(shù)據(jù)流動(dòng)的治理建議

目前，世界各國(guó)對(duì)于跨境數(shù)據(jù)流動(dòng)的法律規(guī)定主要有兩種模式：美國(guó)模式和歐盟模式。美國(guó)認(rèn)為，數(shù)據(jù)和信息的自由流動(dòng)是數(shù)字經(jīng)濟(jì)下貿(mào)易協(xié)定的關(guān)鍵要素，其所推行的政策重點(diǎn)是鼓勵(lì)數(shù)據(jù)自由流動(dòng)，以便獲取境外數(shù)據(jù)。國(guó)內(nèi)制度方面，美國(guó)并未出臺(tái)關(guān)于跨境數(shù)據(jù)流動(dòng)的統(tǒng)一規(guī)則，主要是根據(jù)其貿(mào)易體系和規(guī)則的需要進(jìn)行人員、機(jī)構(gòu)和政策的安排。參見(jiàn)孫方江：《跨境數(shù)據(jù)流動(dòng)：數(shù)字經(jīng)濟(jì)下的全球博弈與中國(guó)選擇》，載《西南金融》2021年第1期。歐盟雖然也支持?jǐn)?shù)據(jù)自由流動(dòng)，但更重視個(gè)人數(shù)據(jù)保護(hù)，側(cè)重以建構(gòu)數(shù)據(jù)權(quán)利體系的方式對(duì)跨境數(shù)據(jù)流動(dòng)作出限制。一方面，歐盟注重對(duì)個(gè)人基本權(quán)利的維護(hù)，其將個(gè)人數(shù)據(jù)權(quán)視為個(gè)人基本權(quán)利。如《歐盟基本權(quán)利憲章》第8條賦予個(gè)人具有保護(hù)個(gè)人數(shù)據(jù)的基本權(quán)利，強(qiáng)調(diào)對(duì)成員國(guó)監(jiān)管機(jī)構(gòu)的監(jiān)管。《歐盟基本權(quán)利憲章》第8條規(guī)定：“1.每個(gè)人都有權(quán)利保護(hù)與其相關(guān)的個(gè)人數(shù)據(jù)。2.此類(lèi)個(gè)人數(shù)據(jù)在接受處理時(shí)必須是基于特別目的，且經(jīng)過(guò)個(gè)人允許或遵循相關(guān)法律要求。每個(gè)人都有權(quán)利訪(fǎng)問(wèn)那些被收集起來(lái)的、與其相關(guān)的數(shù)據(jù)，也有權(quán)利修改并撤銷(xiāo)它們。3.應(yīng)有獨(dú)立的部門(mén)和機(jī)構(gòu)來(lái)履行以上規(guī)則。”另一方面，為保證法律的權(quán)威性，其采用統(tǒng)一立法模式嚴(yán)格保護(hù)個(gè)人數(shù)據(jù)，將公共機(jī)構(gòu)、私人機(jī)構(gòu)均納入調(diào)整范圍，協(xié)調(diào)歐盟各成員國(guó)及所涉部門(mén)以充分保護(hù)個(gè)人數(shù)據(jù)，參見(jiàn)田曉萍：《貿(mào)易壁壘視角下的歐盟〈一般數(shù)據(jù)保護(hù)條例〉》，載《政法論叢》2019年第4期。出臺(tái)了《108號(hào)公約》即《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》，是歐洲委員會(huì)出臺(tái)的全球第一個(gè)具有約束力的國(guó)際性數(shù)據(jù)保護(hù)條約，也是歐洲第一個(gè)針對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行規(guī)制的區(qū)域性法律文件，于1981年1月28日對(duì)成員國(guó)及非成員國(guó)開(kāi)放簽署，1985年10月1日正式生效。《數(shù)據(jù)保護(hù)指令》即《關(guān)于保護(hù)個(gè)人數(shù)據(jù)處理和自由流動(dòng)的第95/46/EC號(hào)指令》，歐洲議會(huì)和歐盟理事會(huì)于1995年10月24日出臺(tái)，其效力終止于2018年5月24日《通用數(shù)據(jù)保護(hù)條例》正式生效前?！锻ㄓ脭?shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）《通用數(shù)據(jù)保護(hù)條例》2016年4月27日獲得通過(guò)，2018年5月24日正式生效，全面替代《數(shù)據(jù)保護(hù)指令》。GDPR不需成員國(guó)單獨(dú)批準(zhǔn)，在歐盟層面生效后，即視為在各成員國(guó)同時(shí)生效。其在繼承《數(shù)據(jù)保護(hù)指令》重要內(nèi)核的基礎(chǔ)上，擴(kuò)大了數(shù)據(jù)保護(hù)范圍，旨在建立歐盟范圍的統(tǒng)一協(xié)調(diào)機(jī)制，以降低數(shù)據(jù)跨境流動(dòng)成本。等。根據(jù)GDPR的規(guī)定，其提供了直接適用于歐盟所有成員國(guó)的單套規(guī)則，確保在企業(yè)層面法律具有確定性、在公民個(gè)人層面于歐盟范圍內(nèi)具備統(tǒng)一的數(shù)據(jù)保護(hù)水平。在個(gè)人數(shù)據(jù)跨境傳輸方面確立了三個(gè)保障機(jī)制，包括“基于充分保護(hù)的數(shù)據(jù)轉(zhuǎn)移”原則、有約束力的公司規(guī)則（適用于集團(tuán)企業(yè)內(nèi)部間的個(gè)人數(shù)據(jù)傳輸，須經(jīng)監(jiān)管機(jī)構(gòu)批準(zhǔn)）和標(biāo)準(zhǔn)合同條款（簽訂歐盟委員會(huì)制定的個(gè)人數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同）?；镜囊?guī)則為授予歐盟委員會(huì)確立非歐盟國(guó)家是否具備充分保護(hù)數(shù)據(jù)水平的權(quán)力，即在一國(guó)國(guó)內(nèi)個(gè)人數(shù)據(jù)保護(hù)的水平等同于歐盟內(nèi)部保護(hù)水平時(shí)，個(gè)人數(shù)據(jù)可以從歐盟流向該國(guó)，無(wú)須進(jìn)一步的保護(hù)措施。GDPR第45條對(duì)“基于充分保護(hù)的數(shù)據(jù)轉(zhuǎn)移”原則進(jìn)行規(guī)定，即“當(dāng)歐盟委員會(huì)作出認(rèn)定，認(rèn)為相關(guān)的第三國(guó)、第三國(guó)中的某區(qū)域或一個(gè)或多個(gè)特定部門(mén)、國(guó)家組織具有充分保護(hù)，可以將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織，此類(lèi)轉(zhuǎn)移不需要特定的授權(quán)”。該條同時(shí)還對(duì)歐盟委員會(huì)評(píng)估保護(hù)程度是否具備充足性時(shí)應(yīng)考慮的因素、具體實(shí)施性法案應(yīng)具備的內(nèi)容、補(bǔ)救或替代措施等進(jìn)行了規(guī)定。同時(shí)，還規(guī)定了在沒(méi)有獲得充分保護(hù)的情況下，應(yīng)當(dāng)采取適當(dāng)保障措施彌補(bǔ)數(shù)據(jù)保護(hù)水平不夠的情況GDPR第46條規(guī)定，只有傳輸者能夠提供適當(dāng)?shù)谋Ｕ洗胧?，確保充分的數(shù)據(jù)保護(hù)，并且在數(shù)據(jù)主體可獲得其權(quán)利可強(qiáng)制執(zhí)行和有效法律救濟(jì)的條件下，數(shù)據(jù)才可從歐盟向不具備充分條件的第三國(guó)傳輸。該條還對(duì)無(wú)須監(jiān)管機(jī)構(gòu)特別授權(quán)的適當(dāng)保護(hù)措施以及須經(jīng)監(jiān)管機(jī)構(gòu)特別授權(quán)的適當(dāng)保障措施進(jìn)行了分別規(guī)定。及例外情形GDPR第49條對(duì)“可以依賴(lài)的跨境數(shù)據(jù)傳輸可豁免情形”進(jìn)行了規(guī)定，包括已履行了告知缺乏充分性決議和適當(dāng)性保障措施而仍獲數(shù)據(jù)主體明確同意的傳輸、對(duì)于履行合同為必要的傳輸、出于重要公眾利益的傳輸、對(duì)行使法律訴請(qǐng)為必要的傳輸，等等。。

由于國(guó)家間歷史文化背景、國(guó)家發(fā)展理念、經(jīng)濟(jì)市場(chǎng)環(huán)境不同，我國(guó)在跨境數(shù)據(jù)流動(dòng)規(guī)制方面不能照搬他國(guó)經(jīng)驗(yàn)，而應(yīng)結(jié)合國(guó)家實(shí)際和國(guó)際環(huán)境的變化，走出適合我國(guó)國(guó)情的道路。本文所作研究即堅(jiān)持此種立論方法，主要系根據(jù)浙江自貿(mào)區(qū)建設(shè)實(shí)際，結(jié)合杭州互聯(lián)網(wǎng)法院所作有關(guān)個(gè)人信息（數(shù)據(jù)）出境場(chǎng)景中的企業(yè)合規(guī)司法指引的調(diào)研情況，并根據(jù)國(guó)情實(shí)際和突出問(wèn)題進(jìn)行相應(yīng)研究。

（一）健全完善我國(guó)跨境數(shù)據(jù)流動(dòng)法律體系

就法律體系的完整性而言，數(shù)據(jù)跨境流動(dòng)問(wèn)題作為新型國(guó)家安全問(wèn)題，需要完善的法律法規(guī)加以規(guī)制，但規(guī)則的制定既要保證秩序的建立，同時(shí)還要維護(hù)市場(chǎng)交易能夠自由進(jìn)行。因此，我國(guó)所制定之規(guī)則應(yīng)統(tǒng)籌考量不同的利益和位階訴求，確保規(guī)則具有可操作性，對(duì)跨境數(shù)據(jù)流動(dòng)的類(lèi)型、范疇、處理方式、保護(hù)措施、風(fēng)險(xiǎn)防范以及禁止和限制數(shù)據(jù)跨境流動(dòng)的范圍、標(biāo)準(zhǔn)等進(jìn)行明確規(guī)定，從而增強(qiáng)企業(yè)和其他主體的可預(yù)見(jiàn)性，平衡國(guó)家安全和經(jīng)濟(jì)發(fā)展，做到既能保護(hù)國(guó)家、社會(huì)、個(gè)人之利益，又能實(shí)現(xiàn)數(shù)據(jù)依規(guī)合法跨境流動(dòng)和分享，為國(guó)家對(duì)數(shù)據(jù)的跨境流動(dòng)規(guī)制提供審查或執(zhí)法依據(jù)，確保數(shù)據(jù)跨境流動(dòng)的安全性。參見(jiàn)許多奇：《個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國(guó)際格局及中國(guó)應(yīng)對(duì)》，載《法學(xué)論壇》2018年第3期。

目前跨境數(shù)據(jù)流動(dòng)領(lǐng)域可能衍生出的糾紛類(lèi)型，主要為境內(nèi)外當(dāng)事人之間的侵權(quán)責(zé)任糾紛、境內(nèi)外圍繞數(shù)據(jù)交易的合同糾紛、當(dāng)事人與政府有關(guān)部門(mén)間圍繞數(shù)據(jù)流動(dòng)審查的行政糾紛。雖然《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》可對(duì)其進(jìn)行專(zhuān)門(mén)規(guī)制，但分析上述可能涉及的糾紛類(lèi)型，除有關(guān)的行政糾紛外，另外產(chǎn)生的侵權(quán)責(zé)任糾紛、合同糾紛可依據(jù)《民法典》的有關(guān)規(guī)定、精神加以規(guī)制。但在哪些情形下可作為判定一方是否存在侵權(quán)行為、違約行為的依據(jù)，需要依照具體的審查標(biāo)準(zhǔn)確定，而審查標(biāo)準(zhǔn)多是行政法規(guī)、部門(mén)規(guī)章，層級(jí)較低，法院審理案件時(shí)可能面臨法律依據(jù)不足的情形。因此，先行制定與此相關(guān)的規(guī)章制度，在運(yùn)行中發(fā)現(xiàn)問(wèn)題并根據(jù)實(shí)際情況及時(shí)調(diào)整，逐步完善有關(guān)制度設(shè)計(jì)，有其必要性。

各國(guó)跨境數(shù)據(jù)流動(dòng)方面的立法存在差異。我國(guó)應(yīng)依據(jù)國(guó)情，在加緊建立健全我國(guó)跨境數(shù)據(jù)流動(dòng)法律規(guī)則體系的同時(shí)，積極參與國(guó)際平臺(tái)關(guān)于跨境數(shù)據(jù)流動(dòng)規(guī)則的探討和磋商，成為推動(dòng)數(shù)據(jù)跨境流動(dòng)國(guó)際監(jiān)管協(xié)調(diào)的參與者，積極推行我國(guó)的數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則和監(jiān)管標(biāo)準(zhǔn)，推動(dòng)構(gòu)建跨境數(shù)據(jù)流動(dòng)多邊協(xié)調(diào)機(jī)制。例如，加強(qiáng)與RCEPRCEP，全稱(chēng)Regional Comprehensive Economic Partnership，即《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》，2020年11月15日由中國(guó)、日本、韓國(guó)、新西蘭、澳大利亞和東盟十國(guó)正式簽署。成員的內(nèi)部合作?？紤]到東盟不僅是RCEP的核心成員，也是我國(guó)“一帶一路”倡議的重點(diǎn)合作伙伴，需尤其推動(dòng)與東盟國(guó)家的共治共享。參見(jiàn)田原：《〈區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定〉強(qiáng)化中國(guó)—東盟合作前景》，載《世界知識(shí)》2020年第16期。東盟已發(fā)布《東盟數(shù)據(jù)管理框架》《東盟跨境數(shù)據(jù)流動(dòng)示范合同條款》等規(guī)定，我國(guó)可針對(duì)東盟已形成的認(rèn)證手段和保障措施，推行相關(guān)規(guī)則和機(jī)制，確保在維護(hù)雙方數(shù)據(jù)安全和數(shù)據(jù)權(quán)益的同時(shí)，實(shí)現(xiàn)數(shù)據(jù)有效互通。對(duì)發(fā)達(dá)國(guó)家成員國(guó)，可采取不同的措施。就同屬于東亞地區(qū)的日本和韓國(guó)，我國(guó)應(yīng)利用RCEP的發(fā)展契機(jī)與其搭建更為密切的東亞數(shù)字商貿(mào)圈，參見(jiàn)李鴻階：《〈區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定〉簽署及中國(guó)的策略選擇》，載《東北亞論壇》2020年第3期。并在相關(guān)自由貿(mào)易協(xié)定中納入實(shí)質(zhì)性的跨境數(shù)據(jù)流動(dòng)與數(shù)據(jù)保護(hù)條款；就澳大利亞、新西蘭和新加坡，因其同為RCEP與CPTPPCPTPP，全稱(chēng)Comprehensive and Progressive Agreement for Trans-Pacific Partnership，即《跨太平洋伙伴關(guān)系協(xié)定》，由澳大利亞、文萊、加拿大、智利、日本、馬來(lái)西亞、墨西哥、新加坡、新西蘭、秘魯和越南簽署的旨在推動(dòng)經(jīng)濟(jì)合作和貿(mào)易自由化的貿(mào)易協(xié)定，其前身為《跨太平洋伙伴關(guān)系協(xié)定》（Trans-Pacific Partnership Agreement，TPP）。的成員國(guó)，我國(guó)可以借由向CPTPP電子商務(wù)規(guī)則靠攏的契機(jī)，逐步加強(qiáng)與三個(gè)國(guó)家在數(shù)據(jù)傳輸方面的深入合作。

（二）依法適用個(gè)人信息出境“單獨(dú)同意”規(guī)則

在個(gè)人信息處理過(guò)程中，應(yīng)遵循的一項(xiàng)重要原則為“告知—同意”原則，即在信息處理者收集和處理個(gè)人信息之前，應(yīng)當(dāng)先履行對(duì)信息主體的告知義務(wù)，再經(jīng)過(guò)信息主體的“同意”授權(quán)。該規(guī)則的確立可以很大程度上保障個(gè)人對(duì)其信息自主決定的權(quán)利，體現(xiàn)了立法對(duì)人格權(quán)益與私人自治的尊重與保護(hù)。參見(jiàn)鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，載《東方法學(xué)》2020年第2期。個(gè)人信息的使用涉及多元利益牽扯，對(duì)個(gè)人信息的保護(hù)應(yīng)不同于對(duì)隱私權(quán)的絕對(duì)保護(hù)，關(guān)鍵在于構(gòu)建個(gè)人信息保護(hù)與利用的良好合理秩序。參見(jiàn)王利明：《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期?！案嬷狻币?guī)則是個(gè)人信息合法處理的一般性規(guī)則，應(yīng)有例外情形以彌補(bǔ)該規(guī)則的不足。

《民法典》在第四編“人格權(quán)”中專(zhuān)章規(guī)定了“隱私權(quán)和個(gè)人信息保護(hù)”，其中第1035條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，且不得過(guò)度處理，并應(yīng)征得自然人或其監(jiān)護(hù)人同意，但法律、行政法規(guī)另有規(guī)定的除外。《民法典》第1035條規(guī)定：“處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；（二）公開(kāi)處理信息的規(guī)則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規(guī)的規(guī)定和雙方的約定?！薄秱€(gè)人信息保護(hù)法》在此基礎(chǔ)上進(jìn)行了制度擴(kuò)展，其框定了“告知—同意”的總體原則，同時(shí)將無(wú)須經(jīng)同意即可收集和利用個(gè)人信息的合法途徑予以列明。就個(gè)人信息主體的權(quán)利設(shè)置方面，《個(gè)人信息保護(hù)法》賦予個(gè)人“同意撤回權(quán)”，以使其具備撤銷(xiāo)相應(yīng)授權(quán)的權(quán)利。同時(shí)，規(guī)定了“刪除權(quán)”，使個(gè)人信息主體在特定情形下可以完全阻斷信息處理者對(duì)個(gè)人信息的接觸。

就敏感信息的類(lèi)別，《個(gè)人信息保護(hù)法》進(jìn)行了擴(kuò)充，列舉了大部分國(guó)家都沒(méi)有列舉的金融賬戶(hù)、個(gè)人行蹤等。在提升信息處理者的積極性方面，《個(gè)人信息保護(hù)法》第53條、第54條分別規(guī)定了特色鮮明的合規(guī)審計(jì)、風(fēng)險(xiǎn)評(píng)估制度。在行為規(guī)制方面，《個(gè)人信息保護(hù)法》規(guī)定，信息處理者在信息處理時(shí)應(yīng)加強(qiáng)對(duì)個(gè)人信息的保護(hù)，同時(shí)規(guī)定應(yīng)由國(guó)家網(wǎng)信部門(mén)統(tǒng)籌工作，負(fù)責(zé)具體規(guī)則、標(biāo)準(zhǔn)的制定以及新技術(shù)的研究，明確了政府監(jiān)管的有關(guān)職能部門(mén)及其職責(zé)。概言之，《個(gè)人信息保護(hù)法》的制度設(shè)計(jì)是針對(duì)我國(guó)國(guó)情作出的個(gè)人信息保護(hù)制度設(shè)計(jì)。

就“告知—同意”規(guī)則的具體內(nèi)容，《個(gè)人信息保護(hù)法》第39條規(guī)定，個(gè)人信息處理者在遵循公開(kāi)、透明原則，明示處理目的、方式和范圍的基礎(chǔ)上，還應(yīng)告知境外接收方名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類(lèi)以及個(gè)人向境外接收方行使該法定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，單獨(dú)同意制度適用于法律規(guī)定的特定的幾種個(gè)人信息處理事項(xiàng)《個(gè)人信息保護(hù)法》第23條、第25條、第26條、第29條。，以及適用于跨境提供個(gè)人信息的場(chǎng)景?！秱€(gè)人信息保護(hù)法》第39條。但若個(gè)人信息處理者處理個(gè)人信息屬于為“履行合同所必需”“實(shí)施人力資源管理所必需”“為履行法定職責(zé)或者法定義務(wù)所必需”“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為”，以及“處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息”等情形時(shí)，不需要取得個(gè)人的同意即可對(duì)其個(gè)人信息進(jìn)行處理?！秱€(gè)人信息保護(hù)法》第13條。換言之，原則上應(yīng)當(dāng)優(yōu)先保護(hù)個(gè)人的人格權(quán)益，只有取得個(gè)人同意才可以進(jìn)行相應(yīng)處理，但在少數(shù)情況下兼顧個(gè)人信息的利用價(jià)值，在有限列舉的特定例外情形下不需要取得個(gè)人同意而處理其個(gè)人信息。參見(jiàn)李?lèi)?ài)君、孫彥東：《論非基于個(gè)人同意的個(gè)人信息處理與單獨(dú)同意規(guī)則的體系解釋》，載《西北工業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2023年第3期。

在適用個(gè)人信息保護(hù)規(guī)則進(jìn)行個(gè)人信息跨境流動(dòng)過(guò)程中，企業(yè)于合規(guī)方面應(yīng)注意以下三方面的問(wèn)題。

1.單獨(dú)同意采取的具體形式

單獨(dú)同意是指?jìng)€(gè)人信息處理者向境外提供個(gè)人信息時(shí)，應(yīng)就一次單獨(dú)的處理進(jìn)行對(duì)應(yīng)告知，并獲得個(gè)人信息者的單獨(dú)同意。因此，單獨(dú)同意的獲取必須保證同意的獨(dú)立性，這意味著形式上不可通過(guò)一次性概括授權(quán)，或與其他授權(quán)、其他非必要服務(wù)捆綁的一攬子式，甚至是無(wú)感知收集方式（如人臉識(shí)別信息），且應(yīng)當(dāng)達(dá)到一定的明示標(biāo)準(zhǔn)。李占國(guó)等主編：《中華人民共和國(guó)個(gè)人信息保護(hù)法條文解讀與法律適用》，中國(guó)法制出版社2021年版，第104-105頁(yè)。實(shí)踐中，有商家將“向境外提供個(gè)人信息”的知情同意條款納入隱私政策等條款中，以一攬子方式獲得用戶(hù)同意，有違反單獨(dú)同意要求之嫌。因此，從企業(yè)合規(guī)角度出發(fā)，建議企業(yè)或平臺(tái)以單獨(dú)彈窗方式將有關(guān)內(nèi)容進(jìn)行明確告知以取得用戶(hù)的單獨(dú)同意。

2.是否還須取得個(gè)人信息主體的同意

對(duì)于個(gè)人信息處理者依據(jù)《個(gè)人信息保護(hù)法》第13條第1款第2項(xiàng)至第7項(xiàng)規(guī)定《個(gè)人信息保護(hù)法》第13條規(guī)定：“符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：（一）取得個(gè)人的同意；（二）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；（三）為履行法定職責(zé)或者法定義務(wù)所必需；（四）為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；（五）為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意?！眻?chǎng)景獲取的個(gè)人信息，如果涉及跨境流動(dòng)，依照《個(gè)人信息保護(hù)法》第39條的規(guī)定，該跨境提供個(gè)人信息的場(chǎng)景應(yīng)當(dāng)取得個(gè)人信息主體的單獨(dú)同意，且未設(shè)定例外情形。而《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》附件《個(gè)人信息出境標(biāo)準(zhǔn)合同》第2條第3項(xiàng)中規(guī)定“基于個(gè)人同意向境外提供個(gè)人信息的，應(yīng)當(dāng)取得個(gè)人信息主體的單獨(dú)同意”。此種規(guī)定內(nèi)容與上述《個(gè)人信息保護(hù)法》第39條的規(guī)定稍有不同，更符合實(shí)際，但該規(guī)定僅為部門(mén)規(guī)章后附的標(biāo)準(zhǔn)合同模板，效力上有所欠缺。不過(guò)，若個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)自始涵蓋個(gè)人信息出境事宜，自然無(wú)須另行獲得單獨(dú)同意，如跨國(guó)公司依據(jù)勞動(dòng)規(guī)章制度和集體合同進(jìn)行跨境人事調(diào)動(dòng)等人力資源管理行為。但如果“向境外提供個(gè)人信息”的處理目的并非自始包含于信息處理活動(dòng)的合法性基礎(chǔ)，個(gè)人信息處理者向境外提供個(gè)人信息時(shí)是否需要取得個(gè)人單獨(dú)同意則存有疑問(wèn)。而就此問(wèn)題分析，實(shí)際系涉及個(gè)人信息主體就其個(gè)人自決事項(xiàng)與個(gè)人信息處理者依據(jù)法律規(guī)定的合法性運(yùn)用間如何衡量的問(wèn)題。參見(jiàn)萬(wàn)方：《個(gè)人信息處理中的“同意”與“同意撤回”》，載《中國(guó)法學(xué)》2021年第1期。理論界對(duì)此存在較大爭(zhēng)議，從盡量減少企業(yè)合規(guī)風(fēng)險(xiǎn)的角度出發(fā)，考慮到《個(gè)人信息保護(hù)法》就出境場(chǎng)景下取得單獨(dú)同意未規(guī)定例外情形，建議企業(yè)應(yīng)從嚴(yán)把握，將取得個(gè)人信息主體的單獨(dú)同意作為信息出境的基本原則。

3.同意撤回制度的應(yīng)對(duì)

該制度是規(guī)定在給予信息處理者收集和使用信息的授權(quán)之后，個(gè)人信息主體可在任意情況下撤銷(xiāo)此類(lèi)授權(quán)，要求信息處理者立即終止相關(guān)信息活動(dòng)。其實(shí)質(zhì)是一種意思表示的撤銷(xiāo)，但不具有自始無(wú)效性，而是此后無(wú)效，即禁止對(duì)已經(jīng)收集的個(gè)人信息繼續(xù)使用和禁止對(duì)其余個(gè)人信息繼續(xù)收集。該制度實(shí)際系對(duì)“告知—同意”模式的補(bǔ)充和修正，使個(gè)人基于有限的認(rèn)知所作信息處理的授權(quán)，可在使用情況發(fā)生變化或自身修正原來(lái)認(rèn)知后進(jìn)行補(bǔ)正，有利于平衡個(gè)人與信息處理者的不對(duì)等地位，彰顯個(gè)人對(duì)其人格權(quán)益的自主支配，體現(xiàn)了法律對(duì)人的主體性和自主性的尊重。參見(jiàn)付新華：《個(gè)人信息權(quán)的權(quán)利證成》，載《法制與社會(huì)發(fā)展》2021年第5期。如果企業(yè)等個(gè)人信息處理者對(duì)個(gè)人信息處理的權(quán)利來(lái)源于法定授權(quán)，而非基于個(gè)人的授權(quán)同意，在涉及對(duì)個(gè)人信息的合理使用時(shí)，個(gè)人原則上不再享有撤回權(quán)。參見(jiàn)張新寶：《論個(gè)人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期。應(yīng)注意的是，在個(gè)人可享有撤回權(quán)的情形下，同意撤回制度系基于個(gè)人的自決意識(shí)，而個(gè)人在作出相應(yīng)決定時(shí)會(huì)受多種因素包括利益因素的影響，可能會(huì)作出不當(dāng)撤回，影響其服務(wù)體驗(yàn)。因此，為使雙方獲益，建議企業(yè)事前對(duì)可能造成個(gè)人信息主體撤回的情形進(jìn)行風(fēng)險(xiǎn)評(píng)估，并告知該撤回可能造成的不當(dāng)效果，以挽留該主體，避免個(gè)人信息主體的不當(dāng)撤回造成權(quán)益受損，同時(shí)保證企業(yè)市場(chǎng)運(yùn)營(yíng)的穩(wěn)定性。

（三）企業(yè)依法依規(guī)開(kāi)展個(gè)人信息出境

個(gè)人信息跨境流動(dòng)涉及個(gè)人信息安全與國(guó)家安全，若放任其無(wú)序流動(dòng)將導(dǎo)致不可控制的高風(fēng)險(xiǎn)，故《個(gè)人信息保護(hù)法》就個(gè)人信息處理者向境外提供個(gè)人信息提出了合規(guī)要求。同時(shí)，為促進(jìn)個(gè)人信息有序自由流動(dòng)，推動(dòng)數(shù)字經(jīng)濟(jì)長(zhǎng)效發(fā)展，《個(gè)人信息保護(hù)法》給予個(gè)人信息處理者可選擇的四種合規(guī)途徑，既滿(mǎn)足保障個(gè)人信息權(quán)益和安全的客觀(guān)要求，亦適應(yīng)國(guó)際經(jīng)貿(mào)往來(lái)的現(xiàn)實(shí)需求。

1.國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估

《個(gè)人信息保護(hù)法》第38條第1款第1項(xiàng)將“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”作為個(gè)人信息出境的機(jī)制之一。2022年7月7日，國(guó)家網(wǎng)信辦公布正式版本的《數(shù)據(jù)出境安全評(píng)估辦法》，明確數(shù)據(jù)處理者向境外提供在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估適用該辦法，《數(shù)據(jù)出境安全評(píng)估辦法》第2條規(guī)定：“數(shù)據(jù)處理者向境外提供在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。”并提出數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合等原則?！稊?shù)據(jù)出境安全評(píng)估辦法》第3條規(guī)定：“數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合，防范數(shù)據(jù)出境安全風(fēng)險(xiǎn)，保障數(shù)據(jù)依法有序自由流動(dòng)?！痹撐募€規(guī)定了數(shù)據(jù)出境安全評(píng)估的范圍、條件和程序，指引數(shù)據(jù)出境安全評(píng)估工作有序開(kāi)展。

實(shí)踐中，“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”的合規(guī)爭(zhēng)議主要為該種評(píng)估方法適用的具體情形?！秱€(gè)人信息保護(hù)法》第38條第1款第1項(xiàng)將“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”的情形限定于該法第40條，即“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”。該條文所規(guī)定的應(yīng)“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”的具體情形，既可能導(dǎo)致該項(xiàng)安全評(píng)估適用范圍過(guò)于狹窄，亦存在何為“達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量”等規(guī)定不明的問(wèn)題，導(dǎo)致實(shí)踐中安全評(píng)估制度難以推行。對(duì)此，《數(shù)據(jù)出境安全評(píng)估辦法》對(duì)何種情形應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估作出了明確規(guī)定，《數(shù)據(jù)出境安全評(píng)估辦法》第4條規(guī)定：“數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估：（一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（三）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（四）國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形?！钡唧w標(biāo)準(zhǔn)衡量仍有待明確。另外，應(yīng)注意“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”與“個(gè)人信息保護(hù)影響評(píng)估”的區(qū)別。一是二者在評(píng)估行為的實(shí)施主體方面存在不同。前者系由國(guó)家網(wǎng)信部門(mén)組織開(kāi)展，后者系由企業(yè)安排內(nèi)設(shè)責(zé)任部門(mén)等非公權(quán)力機(jī)關(guān)自行開(kāi)展。二是二者在評(píng)估的適用情形上存在不同。前者適用于相關(guān)法律法規(guī)明確規(guī)定的特定情形，后者系所有“向境外提供個(gè)人信息”的個(gè)人信息處理者都應(yīng)事先進(jìn)行的評(píng)估環(huán)節(jié)。三是二者在適用上存在關(guān)聯(lián)?！稊?shù)據(jù)出境安全評(píng)估辦法》規(guī)定數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，《數(shù)據(jù)出境安全評(píng)估辦法》第5條。在重點(diǎn)評(píng)估事項(xiàng)方面二者的評(píng)估基本一致。

“國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估”雖為企業(yè)向境外提供個(gè)人信息的合規(guī)路徑之一，但從相關(guān)法律法規(guī)中可發(fā)現(xiàn)，該項(xiàng)安全評(píng)估系特定個(gè)人信息處理者向境外提供個(gè)人信息必須申報(bào)的。因此，實(shí)踐中，企業(yè)應(yīng)就其是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、處理個(gè)人信息達(dá)到規(guī)定數(shù)量的個(gè)人信息處理者等特定主體進(jìn)行充分認(rèn)證，以滿(mǎn)足相關(guān)合規(guī)要求。根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》的主要修訂內(nèi)容及相關(guān)整改時(shí)限要求，對(duì)企業(yè)合規(guī)提出如下建議：第一，優(yōu)先履行安全審查申報(bào)義務(wù)。違反安全審查申報(bào)義務(wù)將面臨行政責(zé)任乃至刑事責(zé)任，建議個(gè)人信息處理者通過(guò)對(duì)數(shù)據(jù)的屬性、數(shù)據(jù)傳輸行為特征和數(shù)據(jù)接收方利用及再利用等因素的判斷，有效識(shí)別需要進(jìn)行安全評(píng)估申報(bào)的數(shù)據(jù)。第二，在法定時(shí)限內(nèi)完成相應(yīng)整改要求。個(gè)人信息處理者應(yīng)立足所處行業(yè)及個(gè)人信息傳輸實(shí)踐，參照新規(guī)要求，充分利用6個(gè)月整改期，積極進(jìn)行業(yè)務(wù)調(diào)整，保障現(xiàn)有業(yè)務(wù)的連續(xù)性，避免重要數(shù)據(jù)和過(guò)量個(gè)人信息出境。第三，整合相近評(píng)估流程?，F(xiàn)有法律文件規(guī)定有安全評(píng)估、保護(hù)影響評(píng)估、安全評(píng)估申報(bào)等多項(xiàng)評(píng)估機(jī)制，且評(píng)估內(nèi)容具有一定的相似性。從節(jié)約合規(guī)資源的角度，企業(yè)可就上述評(píng)估流程進(jìn)行有效整合。具言之，企業(yè)可將評(píng)估內(nèi)容及形式較為靈活的個(gè)人信息保護(hù)影響評(píng)估作為基礎(chǔ)，在自評(píng)估階段加入安全評(píng)估的特殊要求，在此基礎(chǔ)上形成全面評(píng)估清單。

2.個(gè)人信息保護(hù)認(rèn)證

《個(gè)人信息保護(hù)法》第38條第1款第2項(xiàng)將“按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”作為個(gè)人信息出境的機(jī)制之一。但是，該項(xiàng)個(gè)人信息保護(hù)認(rèn)證規(guī)定對(duì)于可適用的個(gè)人信息出境的具體場(chǎng)景，以及如何進(jìn)行認(rèn)證、由何種專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行認(rèn)證等問(wèn)題，均未予以明確。對(duì)此，2022年6月24日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》（TC260-PG-20222A）。該文件從適用情形、認(rèn)證主體、基本原則、相關(guān)方在跨境處理活動(dòng)中應(yīng)遵循的要求、個(gè)人信息主體權(quán)益保障等方面進(jìn)行了規(guī)范，為認(rèn)證機(jī)構(gòu)實(shí)施個(gè)人信息跨境處理活動(dòng)認(rèn)證提供依據(jù)，也為個(gè)人信息處理者規(guī)范個(gè)人信息跨境處理活動(dòng)提供參考。在域外法律中，較少有對(duì)個(gè)人信息跨境處理保護(hù)認(rèn)證的直接規(guī)定，但有類(lèi)似功能規(guī)則的規(guī)定，如歐盟GDPR規(guī)定的“約束性公司規(guī)則”約束性公司規(guī)則（Binding Corporate Rules，BCRs），規(guī)定于GDPR第47條，是在跨境數(shù)據(jù)傳輸情形下為適用數(shù)據(jù)保護(hù)國(guó)際政策而在企業(yè)或國(guó)際機(jī)構(gòu)間規(guī)定的一種內(nèi)部公司規(guī)則。與“白名單”帶來(lái)的廣泛性自由傳輸不同，BCRs是一種內(nèi)部數(shù)據(jù)傳輸規(guī)則，即只有在特定的企業(yè)集團(tuán)、國(guó)際組織范圍內(nèi)是自由、安全的。同時(shí)，有效的BCRs建立在有權(quán)機(jī)關(guān)的批準(zhǔn)基礎(chǔ)上，歐盟委員會(huì)及各成員國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)會(huì)將已授權(quán)BCRs的企業(yè)公示，花旗銀行、GE、愛(ài)馬仕等跨國(guó)公司都在公示名單上。“行為準(zhǔn)則”行為準(zhǔn)則（Code of Conduct），規(guī)定于GDPR第46條，數(shù)據(jù)控制者可以成立協(xié)會(huì)并提出遵守GDPR的詳細(xì)行為準(zhǔn)則，主要針對(duì)不適用于GDPR但從歐盟接收數(shù)據(jù)的主體。，以為集團(tuán)內(nèi)部多方主體間跨境傳輸個(gè)人信息提供便利及兼顧為境外主體在境外處理境內(nèi)個(gè)人信息的活動(dòng)提供合規(guī)路徑。參見(jiàn)崔靜：《歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管的經(jīng)驗(yàn)做法及我國(guó)的策略選擇》，載《經(jīng)濟(jì)體制改革》2021年第2期。

第一，關(guān)于個(gè)人信息保護(hù)認(rèn)證制度的適用情形。上述文件對(duì)此規(guī)定為：一是跨國(guó)公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)；二是《個(gè)人信息保護(hù)法》第3條第2款適用的個(gè)人信息處理活動(dòng)。該適用范圍未對(duì)認(rèn)證對(duì)象的組織類(lèi)型、公司規(guī)模、服務(wù)性質(zhì)、所處地域等作具體限定，使個(gè)人信息保護(hù)認(rèn)證制度成為個(gè)人信息出境的通用途徑。但是，保護(hù)認(rèn)證制度是否涵蓋以及如何涵蓋境外接收方仍有待明確。

第二，關(guān)于法律約束條款。參與個(gè)人信息跨境處理的相關(guān)方之間需要簽署具有法律約束力和執(zhí)行力的文件，以確保個(gè)人信息主體權(quán)益得到充分保障。文件應(yīng)包括：開(kāi)展個(gè)人信息跨境處理活動(dòng)的個(gè)人信息處理者和境外接收方、跨境處理個(gè)人信息的目的、個(gè)人信息的類(lèi)別及范圍、個(gè)人信息主體權(quán)益保護(hù)措施、境外接收方承諾接受認(rèn)證機(jī)構(gòu)監(jiān)督、明確在我國(guó)境內(nèi)承擔(dān)法律責(zé)任的組織等內(nèi)容。另應(yīng)注意，安全認(rèn)證場(chǎng)景下的法律約束文件并不等同于個(gè)人信息出境的標(biāo)準(zhǔn)合同，《個(gè)人信息保護(hù)法》第38條將安全認(rèn)證作為與個(gè)人信息出境標(biāo)準(zhǔn)合同并列的個(gè)人信息出境機(jī)制加以規(guī)定。

第三，關(guān)于開(kāi)展個(gè)人信息保護(hù)認(rèn)證的相關(guān)主體。上述規(guī)范對(duì)個(gè)人信息保護(hù)負(fù)責(zé)人、個(gè)人信息保護(hù)機(jī)構(gòu)的職責(zé)范圍作出規(guī)定，從而明確企業(yè)就個(gè)人信息出境相關(guān)事宜的組織管理架構(gòu)。但是，對(duì)于《個(gè)人信息保護(hù)法》第38條第1款第2項(xiàng)中規(guī)定的進(jìn)行個(gè)人信息保護(hù)認(rèn)證的專(zhuān)業(yè)機(jī)構(gòu)則未作規(guī)定，僅明確了個(gè)人信息保護(hù)機(jī)構(gòu)對(duì)相關(guān)方作出的承諾進(jìn)行監(jiān)督等職責(zé)。

需要明確的是，個(gè)人信息保護(hù)認(rèn)證無(wú)法替代政府安全評(píng)估要求?！秱€(gè)人信息保護(hù)法》第40條規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或處理個(gè)人信息達(dá)到網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者向境外提供個(gè)人信息依然應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估，但在無(wú)類(lèi)似強(qiáng)制性合規(guī)要求的情況下，個(gè)人信息保護(hù)認(rèn)證幾乎可適用于各場(chǎng)景下的個(gè)人信息出境活動(dòng)。對(duì)企業(yè)合規(guī)的具體建議為：一是科學(xué)確定協(xié)議內(nèi)容，結(jié)合特定場(chǎng)景下個(gè)人信息出境的具體風(fēng)險(xiǎn)情形，可將該協(xié)議作為標(biāo)準(zhǔn)合同條款的補(bǔ)充，以全面規(guī)避合規(guī)風(fēng)險(xiǎn)；二是推進(jìn)組織管理建設(shè)，企業(yè)應(yīng)充分把握個(gè)人信息保護(hù)認(rèn)證機(jī)制對(duì)組織管理層面的要求，合理設(shè)置個(gè)人信息保護(hù)負(fù)責(zé)人、個(gè)人信息保護(hù)機(jī)構(gòu)，并根據(jù)相關(guān)文件限定的職責(zé)范圍做好內(nèi)設(shè)個(gè)人信息保護(hù)責(zé)任部門(mén)的統(tǒng)籌建設(shè)。

3.國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同

《個(gè)人信息保護(hù)法》第38條第1款第3項(xiàng)將“按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)”作為個(gè)人信息出境的機(jī)制之一。先后發(fā)布的《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》就個(gè)人信息跨境流動(dòng)的標(biāo)準(zhǔn)合同內(nèi)容及合同所涉主體的責(zé)任義務(wù)作出了探索。2023年2月22日，國(guó)家網(wǎng)信辦發(fā)布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》，自2023年6月1日起施行。

以標(biāo)準(zhǔn)合同條款規(guī)范數(shù)據(jù)跨境傳輸是各國(guó)的普遍做法，在歐盟法院Schrems Ⅱ判決2020年7月16日，歐盟法院公布了其對(duì)數(shù)據(jù)保護(hù)專(zhuān)員訴臉書(shū)愛(ài)爾蘭有限公司Maximilian Schrems案（C-311/18）的判決。歐盟法院在其判決中宣布?xì)W盟-美國(guó)隱私盾無(wú)效（該盾是歐盟和美國(guó)組織之間數(shù)據(jù)安全自由流動(dòng)的主要數(shù)據(jù)傳輸機(jī)制之一）。根據(jù)該判決，其確實(shí)支持使用標(biāo)準(zhǔn)合同條款，但它對(duì)這種在歐盟以外傳輸個(gè)人數(shù)據(jù)的方法產(chǎn)生了一些懷疑。判決的結(jié)果讓許多組織重新思考處理個(gè)人數(shù)據(jù)傳輸?shù)姆绞?，以及現(xiàn)有的傳輸機(jī)制是否符合歐盟數(shù)據(jù)保護(hù)法。的影響下，歐盟委員會(huì)于2021年6月4日頒布了兩套新版數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條款，其中一套適用于數(shù)據(jù)控制者和處理者之間，另一套適用于向第三國(guó)傳輸個(gè)人數(shù)據(jù)。兩套新版標(biāo)準(zhǔn)合同條款主要由通用條款、數(shù)據(jù)傳輸雙方義務(wù)條款、最后條款以及包含當(dāng)事人名單、處理說(shuō)明和技術(shù)與組織措施的三個(gè)附件組成，其中用于規(guī)范個(gè)人數(shù)據(jù)向第三方國(guó)家轉(zhuǎn)移過(guò)程的標(biāo)準(zhǔn)合同條款還在數(shù)據(jù)傳輸雙方義務(wù)條款和最后條款之間增加了針對(duì)政府請(qǐng)求訪(fǎng)問(wèn)數(shù)據(jù)的義務(wù)條款。參見(jiàn)單文華、鄧娜：《歐美跨境數(shù)據(jù)流動(dòng)規(guī)制：沖突、協(xié)調(diào)與借鑒——基于歐盟法院“隱私盾”無(wú)效案的考察》，載《西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2021年第5期。

作為在國(guó)際范圍內(nèi)備受認(rèn)可的數(shù)據(jù)跨境流動(dòng)規(guī)則，標(biāo)準(zhǔn)合同在我國(guó)規(guī)則框架下一度僅散見(jiàn)于數(shù)據(jù)出境的相關(guān)征求意見(jiàn)稿中。在《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》中，對(duì)標(biāo)準(zhǔn)合同的簽訂場(chǎng)景、簽訂雙方責(zé)任義務(wù)、應(yīng)予重新簽訂的情形等作出具體規(guī)定，并于附件中公布了個(gè)人信息出境標(biāo)準(zhǔn)合同的樣本，對(duì)于原本較為模糊的標(biāo)準(zhǔn)合同條款結(jié)構(gòu)、內(nèi)容類(lèi)型等予以明確。但是，目前《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》仍有部分規(guī)定不明確的內(nèi)容。具言之，該辦法存在以下可能的合規(guī)重點(diǎn)。

第一，關(guān)于標(biāo)準(zhǔn)合同簽訂各方的責(zé)任義務(wù)問(wèn)題。在《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》中，通過(guò)后附標(biāo)準(zhǔn)合同條款第2條、第3條對(duì)前述個(gè)人信息處理者的義務(wù)、境外接收方的義務(wù)進(jìn)行細(xì)化列舉。值得注意的是，在個(gè)人信息處理者的義務(wù)中，標(biāo)準(zhǔn)合同條款明確包含了開(kāi)展個(gè)人信息保護(hù)影響評(píng)估，并羅列了評(píng)估應(yīng)考慮的事項(xiàng)，以及要求將評(píng)估報(bào)告與標(biāo)準(zhǔn)合同一同進(jìn)行備案。

第二，關(guān)于“第三方受益人”條款?！暗谌绞芤嫒恕痹谖覈?guó)立法中并無(wú)對(duì)應(yīng)的概念，是借鑒了歐盟標(biāo)準(zhǔn)合同條款的制度設(shè)計(jì)。該條款突破了合同相對(duì)性，讓個(gè)人信息主體無(wú)須在合同上簽字即可據(jù)此對(duì)個(gè)人信息處理者或境外數(shù)據(jù)接收方主張權(quán)利、尋求救濟(jì)，甚至在特定情形下解除合同。因此，企業(yè)應(yīng)就如何保障信息主體作為“第三方受益人”的權(quán)益作全面考量，進(jìn)行相應(yīng)的內(nèi)設(shè)機(jī)構(gòu)與人員布局。

第三，個(gè)人信息出境標(biāo)準(zhǔn)合同存在多種例外場(chǎng)景。一是境內(nèi)個(gè)人信息處理者是基于合同履行必要性而將個(gè)人信息向境外接收方傳輸?shù)?，如跨境電商領(lǐng)域需要提供境內(nèi)用戶(hù)的物流地址用于發(fā)貨，屬于簽署合同所必需，此時(shí)無(wú)簽署標(biāo)準(zhǔn)合同的必要；二是境內(nèi)個(gè)人信息處理者向境外的“自己”跨境提供數(shù)據(jù)，如自己的服務(wù)器，則個(gè)人信息處理者不用和“自己”簽署合同；三是必須通過(guò)認(rèn)證或評(píng)估方式實(shí)施，而不允許通過(guò)簽訂標(biāo)準(zhǔn)合同的方式實(shí)現(xiàn)數(shù)據(jù)跨境的場(chǎng)景。

結(jié)合我國(guó)相關(guān)規(guī)定及域外司法實(shí)踐，標(biāo)準(zhǔn)合同的功能不在于對(duì)個(gè)人信息處理者形成直接監(jiān)管，而是通過(guò)合規(guī)成本較低的締約形式明確處理者與接收方的個(gè)人信息安全保護(hù)責(zé)任和義務(wù)，以建構(gòu)個(gè)人信息跨境流動(dòng)的可信任狀態(tài)，從而協(xié)調(diào)個(gè)人信息自由流動(dòng)與安全流動(dòng)之間的價(jià)值沖突。標(biāo)準(zhǔn)合同低成本、高效率的特點(diǎn)決定了其應(yīng)用的廣泛性，非法定須進(jìn)行安全評(píng)估的企業(yè)可將標(biāo)準(zhǔn)合同作為個(gè)人信息出境的主要途徑。同時(shí)，標(biāo)準(zhǔn)合同的格式化特征決定了其難以涵蓋各領(lǐng)域個(gè)人信息出境的應(yīng)盡事項(xiàng)，企業(yè)僅依據(jù)標(biāo)準(zhǔn)合同可能無(wú)法達(dá)成相應(yīng)合規(guī)要求。對(duì)此，《個(gè)人信息保護(hù)法》第38條第3款規(guī)定了“個(gè)人信息處理者應(yīng)當(dāng)采取必要措施”以使境外接收方達(dá)到“同等保護(hù)水平”要求，即企業(yè)通過(guò)“標(biāo)準(zhǔn)合同+必要措施”滿(mǎn)足跨境提供個(gè)人信息的合規(guī)要求。據(jù)此提出的企業(yè)合規(guī)具體建議為：一是可將標(biāo)準(zhǔn)合同作為個(gè)人信息出境的常規(guī)途徑，因其合規(guī)成本與安全風(fēng)險(xiǎn)均較低，以及標(biāo)準(zhǔn)合同的高效率優(yōu)勢(shì)，能滿(mǎn)足規(guī)?；瘮?shù)據(jù)快速轉(zhuǎn)移的市場(chǎng)需求；二是積極補(bǔ)足標(biāo)準(zhǔn)合同的合規(guī)效能，通過(guò)開(kāi)展事前保護(hù)影響評(píng)估、與境外接收方進(jìn)一步締結(jié)具有法律約束力的協(xié)議等方式達(dá)到“同等保護(hù)水平”的要求。

4.協(xié)助境外司法和執(zhí)法機(jī)構(gòu)跨境調(diào)取個(gè)人信息的硬性規(guī)則

關(guān)于向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供個(gè)人信息，我國(guó)《個(gè)人信息保護(hù)法》第41條設(shè)定了嚴(yán)格的門(mén)檻，規(guī)定個(gè)人信息處理者非經(jīng)我國(guó)主管機(jī)關(guān)批準(zhǔn)，不得向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的個(gè)人信息。我國(guó)主管機(jī)關(guān)應(yīng)根據(jù)有關(guān)法律和我國(guó)締結(jié)或參加的國(guó)際條約、協(xié)定，或者按照平等互惠原則，處理外國(guó)司法或執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求。我國(guó)《數(shù)據(jù)安全法》第36條亦有類(lèi)似表述，規(guī)定境外執(zhí)法機(jī)構(gòu)要求調(diào)取存儲(chǔ)于我國(guó)境內(nèi)數(shù)據(jù)的，有關(guān)組織、個(gè)人應(yīng)當(dāng)向有關(guān)主管機(jī)關(guān)報(bào)告，獲得批準(zhǔn)后方可提供。

域外多國(guó)的個(gè)人信息法律法規(guī)亦對(duì)相關(guān)問(wèn)題作出規(guī)定。美國(guó)《澄清域外合法使用數(shù)據(jù)法案》確立了調(diào)取其境內(nèi)服務(wù)商儲(chǔ)存在域外服務(wù)器數(shù)據(jù)的合法性，對(duì)美國(guó)機(jī)構(gòu)獲取域外個(gè)人信息和外國(guó)機(jī)構(gòu)獲取美國(guó)境內(nèi)個(gè)人信息都作出了規(guī)定。該法案采取數(shù)據(jù)控制者標(biāo)準(zhǔn)，即授權(quán)美國(guó)法院向受管轄的科技公司發(fā)出法律命令，以取得該公司擁有、保管或控制的數(shù)據(jù)，而不論數(shù)據(jù)存儲(chǔ)于何處。參見(jiàn)馮鎮(zhèn)波：《多重風(fēng)險(xiǎn)下數(shù)據(jù)跨境流動(dòng)的法律規(guī)制》，載《法治論壇》2021年第3期。對(duì)于此種不經(jīng)數(shù)據(jù)存儲(chǔ)國(guó)同意而直接向企業(yè)索要境外數(shù)據(jù)的長(zhǎng)臂管轄單邊跨境調(diào)取數(shù)據(jù)的行為，各國(guó)紛紛出臺(tái)“阻斷法”，以阻斷外國(guó)從本國(guó)企業(yè)直接調(diào)取相關(guān)數(shù)據(jù)的行為，維護(hù)自身的數(shù)據(jù)主權(quán)。參見(jiàn)張鵬：《司法和執(zhí)法數(shù)據(jù)跨境調(diào)取的國(guó)際規(guī)則發(fā)展與應(yīng)對(duì)實(shí)踐》，載《中國(guó)信息安全》2022年第3期。高度重視數(shù)據(jù)安全的俄羅斯在《個(gè)人數(shù)據(jù)法》中明確要求俄羅斯公民的個(gè)人信息必須存儲(chǔ)在境內(nèi)服務(wù)器上，僅對(duì)《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》的締約國(guó)和俄羅斯官方認(rèn)可的“白名單”國(guó)家，許可個(gè)人信息的自由流動(dòng)。參見(jiàn)何波：《俄羅斯跨境數(shù)據(jù)流動(dòng)立法規(guī)則與執(zhí)法實(shí)踐》，載《大數(shù)據(jù)》2016年第6期。

在向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的個(gè)人信息問(wèn)題上，企業(yè)有且僅有經(jīng)我國(guó)主管機(jī)關(guān)批準(zhǔn)這一條合規(guī)路徑。從《個(gè)人信息保護(hù)法》相關(guān)條文看，首先，提出獲取個(gè)人信息請(qǐng)求的主體應(yīng)為“外國(guó)司法或執(zhí)法機(jī)構(gòu)”；其次，請(qǐng)求提供的內(nèi)容為“存儲(chǔ)于我國(guó)境內(nèi)的個(gè)人信息”，即任何主體在我國(guó)境內(nèi)產(chǎn)生或收集并存儲(chǔ)于我國(guó)境內(nèi)的個(gè)人信息；最后，必須經(jīng)由我國(guó)主管機(jī)關(guān)批準(zhǔn)。需要注意的是，在該情形下企業(yè)或相關(guān)主管機(jī)關(guān)是否仍需向信息主體履行“告知—同意”義務(wù)？我國(guó)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》采取的協(xié)助境外司法或執(zhí)法機(jī)構(gòu)跨境調(diào)取個(gè)人信息模式，是在尊重國(guó)家主權(quán)基礎(chǔ)上通過(guò)國(guó)際司法協(xié)助框架調(diào)取數(shù)據(jù)，對(duì)外進(jìn)行協(xié)助的主體是我國(guó)相關(guān)主管部門(mén)，而非掌握數(shù)據(jù)的企業(yè)。協(xié)助國(guó)際司法、執(zhí)法而跨境提供個(gè)人信息的行為在性質(zhì)上應(yīng)屬于國(guó)家機(jī)關(guān)處理個(gè)人信息的行為，應(yīng)由相關(guān)主管部門(mén)以指示個(gè)人信息存儲(chǔ)企業(yè)向信息主體進(jìn)行告知的方式履行告知義務(wù)，保障信息主體的知情權(quán)。特殊情況下，應(yīng)尋求協(xié)助的國(guó)際司法或執(zhí)法機(jī)構(gòu)請(qǐng)求，如告知將妨礙履行法定職責(zé)的，或存在我國(guó)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形，可以免除告知義務(wù)。

目前，國(guó)際上對(duì)于協(xié)助國(guó)際司法或執(zhí)法機(jī)構(gòu)跨境調(diào)取存儲(chǔ)于他國(guó)的數(shù)據(jù)，主要有兩種模式：一是西方國(guó)家和地區(qū)通過(guò)長(zhǎng)臂管轄規(guī)則直接向他國(guó)企業(yè)發(fā)出指令跨境調(diào)取數(shù)據(jù)；二是發(fā)展中國(guó)家主張通過(guò)國(guó)際司法協(xié)助渠道調(diào)取數(shù)據(jù)，協(xié)助調(diào)取請(qǐng)求的對(duì)象不是他國(guó)數(shù)據(jù)存儲(chǔ)企業(yè)，而是協(xié)議或條約約定的他國(guó)相關(guān)主管機(jī)構(gòu)。個(gè)人信息跨境流動(dòng)不僅是經(jīng)濟(jì)問(wèn)題，亦涉及政治、軍事、國(guó)家安全等多個(gè)領(lǐng)域，而向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供我國(guó)境內(nèi)的個(gè)人信息更是關(guān)乎數(shù)據(jù)主權(quán)的重大問(wèn)題。對(duì)此，我國(guó)境內(nèi)企業(yè)或在我國(guó)境內(nèi)存儲(chǔ)個(gè)人信息的企業(yè)，收到國(guó)際司法或執(zhí)法機(jī)構(gòu)的跨境調(diào)取數(shù)據(jù)要求時(shí)，應(yīng)明確告知其按照國(guó)際司法協(xié)助程序或通過(guò)外交途徑向我國(guó)政府提出請(qǐng)求。在任何情況下，非經(jīng)我國(guó)主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的個(gè)人信息。

（四）明確跨境電商數(shù)據(jù)流動(dòng)的監(jiān)管導(dǎo)向

相較實(shí)體貿(mào)易，跨境電子商務(wù)交易中的數(shù)據(jù)流動(dòng)隱蔽性更強(qiáng)，在交往互動(dòng)中涉及多方參與，這增加了對(duì)數(shù)據(jù)跨境流動(dòng)監(jiān)管的難度，且海量數(shù)據(jù)匯集涉及多方領(lǐng)域，提升數(shù)據(jù)分類(lèi)分級(jí)的難度。隨著數(shù)據(jù)價(jià)值攀升，以數(shù)據(jù)為目標(biāo)的跨境攻擊也更加頻繁。目前我國(guó)主要通過(guò)數(shù)據(jù)本地化政策進(jìn)行監(jiān)管，尚未有機(jī)構(gòu)對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行全局性、系統(tǒng)性、戰(zhàn)略性謀劃。參見(jiàn)王偉玲：《數(shù)據(jù)跨境流動(dòng)系統(tǒng)性風(fēng)險(xiǎn)：成因、發(fā)展與監(jiān)管》，載《國(guó)際商務(wù)》2022年第7期。就此問(wèn)題，一方面，應(yīng)由國(guó)家跨境數(shù)據(jù)監(jiān)管機(jī)構(gòu)統(tǒng)一協(xié)調(diào)行使跨境數(shù)據(jù)的審核權(quán)和確認(rèn)權(quán)，統(tǒng)一進(jìn)行事前評(píng)估和持續(xù)監(jiān)督；另一方面，應(yīng)從完善跨境數(shù)據(jù)分類(lèi)審核機(jī)制、跨境數(shù)據(jù)安全評(píng)估機(jī)制、跨境數(shù)據(jù)安全風(fēng)險(xiǎn)協(xié)同防控機(jī)制等角度，推動(dòng)跨境數(shù)據(jù)安全監(jiān)管機(jī)制建立。參見(jiàn)陳思、馬其家：《數(shù)據(jù)跨境流動(dòng)監(jiān)管協(xié)調(diào)的中國(guó)路徑》，載《中國(guó)流通經(jīng)濟(jì)》2022年第9期。

2023年9月28日，國(guó)家網(wǎng)信辦發(fā)布了《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見(jiàn)稿）》，其中第4條列舉了豁免“數(shù)據(jù)出境保障性措施”的場(chǎng)景，包括“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，如跨境購(gòu)物、跨境匯款、機(jī)票酒店預(yù)訂、簽證辦理等，必須向境外提供個(gè)人信息的”，可不需申報(bào)數(shù)據(jù)出境安全評(píng)估、訂立個(gè)人信息出境標(biāo)準(zhǔn)合同和通過(guò)個(gè)人信息保護(hù)認(rèn)證。這對(duì)跨境電商的發(fā)展有極大的促進(jìn)作用。2024年3月22日，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》順利出臺(tái)，將大幅降低相關(guān)企業(yè)跨境數(shù)據(jù)流動(dòng)的成本，提高數(shù)據(jù)出境效率，促進(jìn)跨境數(shù)字貿(mào)易和跨境金融活動(dòng)的高效運(yùn)營(yíng)，優(yōu)化數(shù)據(jù)資源的全球化配置，有利于我國(guó)進(jìn)一步融入DEPADEPA，全稱(chēng)Digital Economy Partnership Agreement，即《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》。該協(xié)定是由新加坡、新西蘭、智利于2020年6月簽署的數(shù)字貿(mào)易協(xié)定，意在加強(qiáng)成員國(guó)間在數(shù)字經(jīng)濟(jì)和數(shù)字貿(mào)易方面的合作。協(xié)議于2021年1月7日生效，中國(guó)在2021年10月31日的二十國(guó)集團(tuán)領(lǐng)導(dǎo)人峰會(huì)上決定加入，隨后正式提出申請(qǐng)。。

上述規(guī)定體現(xiàn)了我國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)整體監(jiān)管邏輯的變化，即將對(duì)個(gè)人信息處理者的監(jiān)管由強(qiáng)調(diào)事前監(jiān)管轉(zhuǎn)為事前監(jiān)管、事中監(jiān)管、事后監(jiān)管并重，從普遍式監(jiān)管轉(zhuǎn)為選擇性事前監(jiān)管。但應(yīng)注意的是，監(jiān)管模式的轉(zhuǎn)變并不意味著企業(yè)合規(guī)義務(wù)的豁免，其實(shí)際對(duì)數(shù)據(jù)出境后的管控提出了更高要求。同時(shí)，其對(duì)自貿(mào)區(qū)的有關(guān)政策制定設(shè)置了“高地”，規(guī)定自貿(mào)區(qū)可自行制定需要納入數(shù)據(jù)出境安全評(píng)估、個(gè)人信息出境標(biāo)準(zhǔn)合同、個(gè)人信息保護(hù)認(rèn)證管理范圍的數(shù)據(jù)清單（負(fù)面清單），經(jīng)省級(jí)網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后，報(bào)國(guó)家網(wǎng)信部門(mén)備案。首次提出負(fù)面清單制度，有利于自貿(mào)區(qū)開(kāi)展先行先試。但對(duì)制定負(fù)面清單的主體、數(shù)據(jù)處理活動(dòng)發(fā)生地、相關(guān)服務(wù)器不處于自貿(mào)區(qū)時(shí)是否也可適用該情形等并未作出細(xì)化規(guī)定，有待進(jìn)一步明確。

四、結(jié)語(yǔ)

數(shù)據(jù)是數(shù)字經(jīng)濟(jì)時(shí)代的核心生產(chǎn)要素，其在各行各業(yè)已被廣泛使用，成為助力企業(yè)數(shù)字化轉(zhuǎn)型的重要因素，對(duì)于國(guó)家經(jīng)濟(jì)發(fā)展、國(guó)家安全和戰(zhàn)略布局等方面均有重大影響。一方面，國(guó)家需加強(qiáng)有關(guān)法律法規(guī)建設(shè)，明晰法律細(xì)節(jié)，提供有力指導(dǎo)和有效監(jiān)管；另一方面，企業(yè)也應(yīng)主動(dòng)落實(shí)數(shù)據(jù)出境安全評(píng)估、個(gè)人信息標(biāo)準(zhǔn)合同備案等程序要求，保證數(shù)據(jù)合規(guī)出境，保護(hù)個(gè)人信息權(quán)益不受侵犯，維護(hù)我國(guó)的國(guó)家安全和數(shù)據(jù)主權(quán)。

Abstract：In the era of the digital economy， the cross-border data flows are playing a more and more important role in promoting digital innovation， improving the efficiency of economic growth， and enhancing social well-being. Countries also pay more attention to it and adopt different cross-border data policies. However， correspondingly， issues of cross-border data flows occur frequently， and China also faces many legal risks in terms of cross-border data flows， mainly focusing on data security， privacy protection， enterprise violations， and so on. Based on the causes of the above legal risks， this paper discusses the main problems in the governance of cross-border data flows in China， and combines the reality of the construction of Zhejiang Free Trade Zone， to explore the improvement path of Chinas legal governance system for cross-border data flows， as well as the compliance mechanism of cross-border trade enterprises and platforms in outbound transmission of personal information．

［責(zé)任編輯 周 敏］