第四部分：數據跨境傳輸規則與要求

　　在數字經濟時代，數據是各國競相爭奪的基礎性戰略資源，各國不斷出臺數據跨境傳輸規則與政策，強化本國對數據資源的掌控能力，以便在全球數字經濟發展格局中占據有利地位。與此同時，數據只有流動才能產生經濟紅利，如何平衡跨境數據流動為跨國合作帶來極大促進作用的同時，也能更好地維護主權國家在個人隱私權、企業商業利益和國家安全的問題上，提出了法律規制上的全新挑戰。

　　（一）我國個人信息保護法解讀：

　　01  跨境提供個人信息的前置條件

　　我國個保法正式確立了我國個人信息跨境流動的規則體系，規定個人信息以在境內存儲為原則，并確定了需要在滿足法律規定的條件下可以向境外提供個人信息的規則。

　　可見，我國基于個人信息的跨境流動將會影響到個人隱私安全、企業利益甚至國家安全，以及數據的跨境流動具有不可逆的特性，采取了對個人信息跨境傳輸活動進行事前監管的方式。

　　個保法第三十八條明確規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項條件：

　　01

　　照本法第四十條的規定通過國家網信部門組織的安全評估；

　　02

　　按照國家網信部門的規定經專業機構進行個人信息保護認證；

　　03

　　按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

　　04

　　法律、行政法規或者國家網信部門規定的其他條件。

　　我國締結或者參加的國際條約、協定對向境外提供個人信息的條件等有規定的，可以按照其規定執行。

　　首先，從法條本義解析出發，至少滿足其中一項條件即可，但實踐中，如果能同時滿足其他條件，亦為更佳。

　　其次，需要注意的是，安全評估或個人信息保護認證，并非企業自我評估或自我認證就可以，而是兩者都需要由國家網信部門的安排與組織下進行。根據2019網信辦發布的《個人信息出境安全評估辦法（征求意見稿）》，與安全評估的相關規則還處在征求意見階段，暫未見其他進一步的強制規定與政策指南。

　　所以，盡管目前還沒有具體的由國家網信部門指定的標準合同，但相比前兩者來說，目前跨國企業在進行個人信息跨境傳輸時較為可行的方式，是采取“與境外接收方訂立合同”的方式，通過要求提供方與接收方公司簽訂合同以約定雙方在個人信息處理和保護的權利和義務。

　　02 跨境提供個人信息的基礎要求

　　跨境傳輸是個人信息處理活動的一種，因此，在滿足“前置條件”的情況下，企業在向境外提供個人信息的時候，仍需要繼續按照我國個保法的基礎要求進行，主要包括：

　　01

　　數據主體告知境外接收方的身份和聯系方式，個人信息的處理目的、處理方式，個人信息的種類、數據主體對應權利，以及保存期限（且應當為實現處理目的所必要的最短時間等）；

　　02

　　獲得數據主體的單獨同意；

　　03

　　進行事先的個人信息保護影響評估（DPIA或PIA）

　　04

　　采取必要措施，保障境外接收方處理個人信息的活動達到個保法要求的個人信息保護標準；

　　05

　　確保境外接收方沒有落入國家網信部門的黑名單（列入限制或者禁止提供個人信息的公告清單）。

　　03 跨境提供個人信息的對等要求

　　我國個保法確立了信息跨境傳輸的“對等原則”，即，如果信息接收國家和地區在個人信息保護方面對我國采取歧視性的禁止、限制或者其他類似措施，則我國可以根據實際情況對該國家或者地區采取對等的禁止、限制或其他類似的措施。在這樣的情況下，當個人信息是向該等國家或地區提供的時候，則會受到相應的限制，需要視情況而具體分析。

　　04 跨境提供個人信息的特殊要求

　　A

　　在向境外提供個人信息時候，還需要特別關注被傳輸的個人信息的性質，以及數量問題。

　　對于關鍵信息基礎設施運營者，以及處理個人信息達到國家網信部門規定數量的個人信息處理者，應當：

　　01

　　將在境內收集和產生的個人信息存儲在境內；

　　02

　　確需向境外提供的，應當通過國家網信部門組織的安全評估；但法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。

　　關于“關鍵信息基礎設施”的認定，在剛剛生效的《關鍵信息基礎設施安全保護條例》中有所體現，主要是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

　　關于“個人信息達到國家網信部門規定數量”的界定，可參考本年7月份網信辦發布的《網絡安全審查辦法（修訂草案征求意見稿）》，以及2017年網信辦發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》中的規定。

　　B

　　在協助境外司法執行方面的規定

　　我國個保法在這方面設置了非常高的門檻，明確規定了，對于存儲在我國境內的個人信息，如果沒有經過我國主管機關的批準，不得向外國司法或者執法機構進行提供。可見，我國對此情形下亦強調并采取了事前監管原則，即便進行了各種安全評估、獲得數據主體同意、進行個人信息保護認證等方式也不能成為可以向境外司法或執法機構提供的前置條件，而唯有獲得中國主管機關的明確批準，才能流出境外。

　　（二） 海外主要個人信息保護法律對比：

　　總體來說

　　在數據跨境流動方面，可以看到，各國正在不斷強化數據跨境傳輸的規則與限制要求，體現了主權國家對本國數據資源的管控意識。縱觀各國在數據跨境流動的管理思路，主要以美國和歐盟為首的兩種做法為主。

　　美國在數據流入方面主張“數據自由流動”，強調通過美國科技和數據資源上的優勢，推動數字經濟的發展；在數據流出方面，則通過出口管制手段來限制高科技、軍民兩用技術的數據出境。

　　歐盟則選擇“歐盟境內松，歐盟境外緊”的數據跨境管理模式。在歐盟境內通過《非個人數據自由流動框架條例》促進歐盟內部數據的自由流動，同時通過《通用數據保護條例》（GDPR），確定歐盟數據保護的法律框架，增強了數據向境外流出的管控，并通過長臂管轄方式加大了對歐盟個人數據的保護力度。