2021年8月20日，我國《個人信息保護法》正式出臺，明確了個人信息處理規(guī)則、個人在個人信息處理活動中的權利、個人信息處理者的義務等重要制度。其中，個人信息跨境流動作為數據治理的重要問題，《個人信息保護法》中做出了明確規(guī)定，回應了產業(yè)實踐需求，為保障我國個人信息依法有序流動完善了制度基礎。

　　跨境數據流動是數據治理相關法律體系的關鍵議題，現行規(guī)定已經做出了初步的制度設計?！毒W絡安全法》首次提出了安全評估的管理方式，第三十七條針對關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據明確了本地化存儲的原則，對于因業(yè)務需要，確需向境外提供的數據，關鍵信息基礎設施的運營者應當進行安全評估，安全評估的具體辦法由國家網信部門會同國務院有關部門制定?！稊祿踩ā返谌粭l重申了《網絡安全法》關于關鍵信息基礎設施的重要數據的出境管理規(guī)定，同時規(guī)定其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。另外，我國汽車、金融、征信、醫(yī)療等有關行業(yè)領域的文件也針對行業(yè)數據的跨境流動進行了明確，如2021年8月20日公布的《汽車數據安全管理若干規(guī)定（試行）》中規(guī)定“重要數據應當依法在境內存儲，因業(yè)務需要確需向境外提供的，應當通過國家網信部門會同國務院有關部門組織的安全評估。未列入重要數據的涉及個人信息數據的出境安全管理，適用法律、行政法規(guī)的有關規(guī)定”。總體來看，現行的數據跨境流動制度以《網絡安全法》為主，明確了本地化和安全評估兩種管理舉措（僅針對關鍵信息基礎設施運營者的個人信息和重要數據），但是隨著數字經濟全球化不斷加速推進，數據的出境需求日益旺盛，出境場景不斷豐富，出境路徑需要在安全評估的基礎上進一步拓展。

　　《個人信息保護法》進一步完善了關于個人信息出境的管理規(guī)定，在《網絡安全法》基礎之上，增加了專業(yè)機構的個人信息保護認證、國家網信部門的標準合同等方式，個人信息出境的合法路徑日益便利。

　　一是安全評估。根據《個人信息保護法》的規(guī)定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估?！秱€人信息保護法》與《網絡安全法》《數據安全法》三部立法在跨境數據流動方面形成了很好的銜接，側重從不同的角度對“安全評估”的適用范圍進行了規(guī)定，《網絡安全法》側重從關鍵信息基礎設施的角度，明確了個人信息和重要數據的安全評估。2021年08月17日，國務院公布的《關鍵信息基礎設施安全保護條例》中對“關鍵信息基礎設施”的認定標準也做出了進一步的規(guī)定和細化；《數據安全法》側重從重要數據的角度，明確了關鍵信息基礎設施的重要數據出境需要進行安全評估，其他重要數據的出境管理規(guī)定另行制定；《個人信息保護法》側重從個人信息的角度，明確了關鍵信息基礎設施和處理個人信息達到一定數量的個人信息處理者，跨境提供個人信息需要進行安全評估。當前，安全評估的考量因素還有待進一步明確?！毒W絡安全法》《數據安全法》《個人信息保護法》當中均沒有明確規(guī)定進行安全評估需要考量的因素，從個人信息合法權益保護的角度看，安全評估的考量因素可以包括傳輸個人數據的必要性、傳輸個人數據雙方的合同規(guī)定、境外接收方的個人數據保護能力、所在國的個人數據保護水平和相關立法等具體內容，以期最大程度實現我國個人數據在傳到境外之后仍然能夠獲得足夠保護的目標。另外，針對《個人信息保護法》中沒有規(guī)定應當進行安全評估的主體，是否可以自愿申請進行安全評估的情況，也有待相關立法進一步明確。

　　二是保護認證。根據《個人信息保護法》的規(guī)定，個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，可以按照國家網信部門的規(guī)定經專業(yè)機構進行個人信息保護認證之后，將個人信息跨境提供到境外。專業(yè)機構的個人信息保護認證是在國家網信部門的統(tǒng)籌協調下開展的第三方認證，同時兼具專業(yè)性和中立性，能夠有效確保個人信息出境之后獲得足夠的保護。但并非所有的個人信息處理者都可以使用認證方式，按照《個人信息保護法》的規(guī)定，必須通過安全評估才能跨境提供個人信息的主體則不能僅僅依賴認證這一方式。同時，通過認證方式跨境提供個人信息的情況還有很多要素需要后續(xù)的配套制度規(guī)定進行明確，如專業(yè)認證需要考慮的要素、認證有效期限、認證之后是否需要在監(jiān)管部門處進行登記等內容。

　　三是標準合同。根據《個人信息保護法》的規(guī)定，個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，可以按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務之后，將個人信息跨境提供到境外。通過標準合同跨境傳輸數據的制度最早始于2001年，當前最具代表性和典型性的是《通用數據保護條例》（GDPR）中的規(guī)定，明確把標準合同作為可以將歐盟公民個人數據傳輸到境外的主要方式之一。《個人信息保護法》對這一方式進行了吸收借鑒。相比于安全評估和專業(yè)機構認證的方式來說，標準合同所具有的指導性和便利性更加適應實踐需要。一方面，標準合同由國家網信部門制定，在很大程度上體現出了國家對于跨境數據流動的保護要求，依據標準合同可以實現對個人信息跨境的良好保護；另一方面，國家公布標準合同之后，符合要求的個人信息處理者在跨境傳輸個人信息之前，只要按照標準合同中的內容與境外接收方訂立合同即可，效率更高。2021年6月，歐盟委員會發(fā)布了最新的《國際數據轉移標準合同條款》，根據不同場景明確了不同出境要求，強化了對跨境傳輸個人信息的保護力度，未來，國家網信部門在制定標準合同的過程中也可以對歐盟的標準合同進行一定參考。同時，個人信息處理者需要注意的是，標準合同文本只是個人信息出境合同中的一部分，個人信息處理者可根據自身需求與境外接收者就權利義務關系簽訂更具體的合同，但不得修改標準合同文本的條款，不得減損標準合同中的保護水平，且增加條款亦不得與標準合同文本相抵觸。

　　此外，《個人信息保護法》中還規(guī)定了個人信息可以跨境提供的特殊方式，如法律、行政法規(guī)或者國家網信部門規(guī)定了其他的條件的，以及我國締結或者參加的國際條約、協定的對向境外提供個人信息的條件等有規(guī)定的，可以適用其他的規(guī)定。

　　根據《個人信息保護法》的規(guī)定，三種個人信息出境方式的適用存在一定關聯。一方面，個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備安全評估、專業(yè)認證、標準合同中的任一條件，但需要注意的是，關鍵信息基礎設施的個人信息和處理個人信息達到一定數量的只能通過安全評估之后跨境提供個人信息，這是沒有變更空間的。除此之外，其他個人信息處理者可以根據國家網信部門的規(guī)定選擇適用專業(yè)認證或標準合同的方式跨境提供個人信息。另一方面，三種出境方式并非互相排斥，而是可以疊加使用的，即所有個人信息處理者均可以選擇兩種或兩種以上的方式，如必須進行安全評估的主體可以疊加選擇保護認證或標準合同中的一種或兩種方式，其他主體可以同時選擇保護認證和標準合同的方式。

　　針對個人信息出境，除了第三十八條規(guī)定的一般性條件外，《個人信息保護法》還明確了兩項特殊性要求。

　　一方面，規(guī)定了單獨同意的要求。根據《個人信息保護法》第三十九條，個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權利的方式和程序等事項，并取得個人的單獨同意。另一方面，規(guī)定了“同等保護水平”和“問責制”的要求。根據《個人信息保護法》第三十八條，向境外提供個人信息的，個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。這一要求體現了主要國家和地區(qū)立法中通用的“同等保護水平”的思路。當前，以GDPR為代表的多個國家和地區(qū)立法中均以本國的個人信息保護水平為基準，明確個人信息跨境流動要求，如GDPR規(guī)定只有歐盟委員會認為其他國家或地區(qū)的個人數據保護水平能夠達到歐盟的標準時才能被列入“充分性保護”白名單；日本、俄羅斯、韓國等國家的立法中也有類似規(guī)定。但是，與國外立法判斷其他國家制度是否達到“同等保護水平”要求不同，我國《個人信息保護法》中規(guī)定，應當達到我國個人信息保護標準的是境外接收方處理個人信息的活動。同時，《個人信息保護法》將確保境外接收方處理個人信息活動達到我國標準的義務施加于個人信息處理者（即境內傳輸方）之上，趨同于加拿大等國在跨境數據流動管理中采用的“問責制”原則，如加拿大《個人信息保護和電子文件法》規(guī)定，傳輸個人信息時，擁有或保管個人信息的機構應當對個人信息負責，包括已經轉移到第三方機構的情形。“問責制”原則的使用能在一定程度上提高個人信息傳輸方的審慎注意義務。

　　從個人信息處理者的角度說，在跨境提供個人信息過程中，應當考慮從以下方面完善相關的保障措施：事前，詳細了解境外接收方的數據保護能力，確保境外接收方未被國家網信部門列入“限制或禁止個人信息提供清單”；事中，嚴格監(jiān)督境外接收方是否按照合同約定的目的處理個人信息，是否將個人信息再次傳輸給其他方；事后，即合同目的達成后，應對個人信息進行刪除或其他合法處理，且在境外接收方發(fā)生侵害個人權益事件后，支持和幫助個人行使權利。

　　除了對一般個人信息處理者的個人信息跨境提供活動進行要求外，《個人信息保護法》還對國家機關處理的個人信息做出更嚴格的要求。根據第三十六條規(guī)定，國家機關處理的個人信息應當遵守本地化存儲的要求，確需向境外提供的，也只能通過安全評估這一種方式進行出境。