2021年8月20日，我國《個人信息保護(hù)法》正式出臺，明確了個人信息處理規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)等重要制度。其中，個人信息跨境流動作為數(shù)據(jù)治理的重要問題，《個人信息保護(hù)法》中做出了明確規(guī)定，回應(yīng)了產(chǎn)業(yè)實踐需求，為保障我國個人信息依法有序流動完善了制度基礎(chǔ)。

　　跨境數(shù)據(jù)流動是數(shù)據(jù)治理相關(guān)法律體系的關(guān)鍵議題，現(xiàn)行規(guī)定已經(jīng)做出了初步的制度設(shè)計。《網(wǎng)絡(luò)安全法》首次提出了安全評估的管理方式，第三十七條針對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)明確了本地化存儲的原則，對于因業(yè)務(wù)需要，確需向境外提供的數(shù)據(jù)，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)進(jìn)行安全評估，安全評估的具體辦法由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?！稊?shù)據(jù)安全法》第三十一條重申了《網(wǎng)絡(luò)安全法》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)的出境管理規(guī)定，同時規(guī)定其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。另外，我國汽車、金融、征信、醫(yī)療等有關(guān)行業(yè)領(lǐng)域的文件也針對行業(yè)數(shù)據(jù)的跨境流動進(jìn)行了明確，如2021年8月20日公布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》中規(guī)定“重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估。未列入重要數(shù)據(jù)的涉及個人信息數(shù)據(jù)的出境安全管理，適用法律、行政法規(guī)的有關(guān)規(guī)定”?？傮w來看，現(xiàn)行的數(shù)據(jù)跨境流動制度以《網(wǎng)絡(luò)安全法》為主，明確了本地化和安全評估兩種管理舉措（僅針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的個人信息和重要數(shù)據(jù)），但是隨著數(shù)字經(jīng)濟(jì)全球化不斷加速推進(jìn)，數(shù)據(jù)的出境需求日益旺盛，出境場景不斷豐富，出境路徑需要在安全評估的基礎(chǔ)上進(jìn)一步拓展。

　　《個人信息保護(hù)法》進(jìn)一步完善了關(guān)于個人信息出境的管理規(guī)定，在《網(wǎng)絡(luò)安全法》基礎(chǔ)之上，增加了專業(yè)機(jī)構(gòu)的個人信息保護(hù)認(rèn)證、國家網(wǎng)信部門的標(biāo)準(zhǔn)合同等方式，個人信息出境的合法路徑日益便利。

　　一是安全評估。根據(jù)《個人信息保護(hù)法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估?！秱€人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》三部立法在跨境數(shù)據(jù)流動方面形成了很好的銜接，側(cè)重從不同的角度對“安全評估”的適用范圍進(jìn)行了規(guī)定，《網(wǎng)絡(luò)安全法》側(cè)重從關(guān)鍵信息基礎(chǔ)設(shè)施的角度，明確了個人信息和重要數(shù)據(jù)的安全評估。2021年08月17日，國務(wù)院公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中對“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定標(biāo)準(zhǔn)也做出了進(jìn)一步的規(guī)定和細(xì)化；《數(shù)據(jù)安全法》側(cè)重從重要數(shù)據(jù)的角度，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)出境需要進(jìn)行安全評估，其他重要數(shù)據(jù)的出境管理規(guī)定另行制定；《個人信息保護(hù)法》側(cè)重從個人信息的角度，明確了關(guān)鍵信息基礎(chǔ)設(shè)施和處理個人信息達(dá)到一定數(shù)量的個人信息處理者，跨境提供個人信息需要進(jìn)行安全評估。當(dāng)前，安全評估的考量因素還有待進(jìn)一步明確。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》當(dāng)中均沒有明確規(guī)定進(jìn)行安全評估需要考量的因素，從個人信息合法權(quán)益保護(hù)的角度看，安全評估的考量因素可以包括傳輸個人數(shù)據(jù)的必要性、傳輸個人數(shù)據(jù)雙方的合同規(guī)定、境外接收方的個人數(shù)據(jù)保護(hù)能力、所在國的個人數(shù)據(jù)保護(hù)水平和相關(guān)立法等具體內(nèi)容，以期最大程度實現(xiàn)我國個人數(shù)據(jù)在傳到境外之后仍然能夠獲得足夠保護(hù)的目標(biāo)。另外，針對《個人信息保護(hù)法》中沒有規(guī)定應(yīng)當(dāng)進(jìn)行安全評估的主體，是否可以自愿申請進(jìn)行安全評估的情況，也有待相關(guān)立法進(jìn)一步明確。

　　二是保護(hù)認(rèn)證。根據(jù)《個人信息保護(hù)法》的規(guī)定，個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，可以按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證之后，將個人信息跨境提供到境外。專業(yè)機(jī)構(gòu)的個人信息保護(hù)認(rèn)證是在國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)下開展的第三方認(rèn)證，同時兼具專業(yè)性和中立性，能夠有效確保個人信息出境之后獲得足夠的保護(hù)。但并非所有的個人信息處理者都可以使用認(rèn)證方式，按照《個人信息保護(hù)法》的規(guī)定，必須通過安全評估才能跨境提供個人信息的主體則不能僅僅依賴認(rèn)證這一方式。同時，通過認(rèn)證方式跨境提供個人信息的情況還有很多要素需要后續(xù)的配套制度規(guī)定進(jìn)行明確，如專業(yè)認(rèn)證需要考慮的要素、認(rèn)證有效期限、認(rèn)證之后是否需要在監(jiān)管部門處進(jìn)行登記等內(nèi)容。

　　三是標(biāo)準(zhǔn)合同。根據(jù)《個人信息保護(hù)法》的規(guī)定，個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，可以按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)之后，將個人信息跨境提供到境外。通過標(biāo)準(zhǔn)合同跨境傳輸數(shù)據(jù)的制度最早始于2001年，當(dāng)前最具代表性和典型性的是《通用數(shù)據(jù)保護(hù)條例》（GDPR）中的規(guī)定，明確把標(biāo)準(zhǔn)合同作為可以將歐盟公民個人數(shù)據(jù)傳輸?shù)骄惩獾闹饕绞街??！秱€人信息保護(hù)法》對這一方式進(jìn)行了吸收借鑒。相比于安全評估和專業(yè)機(jī)構(gòu)認(rèn)證的方式來說，標(biāo)準(zhǔn)合同所具有的指導(dǎo)性和便利性更加適應(yīng)實踐需要。一方面，標(biāo)準(zhǔn)合同由國家網(wǎng)信部門制定，在很大程度上體現(xiàn)出了國家對于跨境數(shù)據(jù)流動的保護(hù)要求，依據(jù)標(biāo)準(zhǔn)合同可以實現(xiàn)對個人信息跨境的良好保護(hù)；另一方面，國家公布標(biāo)準(zhǔn)合同之后，符合要求的個人信息處理者在跨境傳輸個人信息之前，只要按照標(biāo)準(zhǔn)合同中的內(nèi)容與境外接收方訂立合同即可，效率更高。2021年6月，歐盟委員會發(fā)布了最新的《國際數(shù)據(jù)轉(zhuǎn)移標(biāo)準(zhǔn)合同條款》，根據(jù)不同場景明確了不同出境要求，強(qiáng)化了對跨境傳輸個人信息的保護(hù)力度，未來，國家網(wǎng)信部門在制定標(biāo)準(zhǔn)合同的過程中也可以對歐盟的標(biāo)準(zhǔn)合同進(jìn)行一定參考。同時，個人信息處理者需要注意的是，標(biāo)準(zhǔn)合同文本只是個人信息出境合同中的一部分，個人信息處理者可根據(jù)自身需求與境外接收者就權(quán)利義務(wù)關(guān)系簽訂更具體的合同，但不得修改標(biāo)準(zhǔn)合同文本的條款，不得減損標(biāo)準(zhǔn)合同中的保護(hù)水平，且增加條款亦不得與標(biāo)準(zhǔn)合同文本相抵觸。

　　此外，《個人信息保護(hù)法》中還規(guī)定了個人信息可以跨境提供的特殊方式，如法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定了其他的條件的，以及我國締結(jié)或者參加的國際條約、協(xié)定的對向境外提供個人信息的條件等有規(guī)定的，可以適用其他的規(guī)定。

　　根據(jù)《個人信息保護(hù)法》的規(guī)定，三種個人信息出境方式的適用存在一定關(guān)聯(lián)。一方面，個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備安全評估、專業(yè)認(rèn)證、標(biāo)準(zhǔn)合同中的任一條件，但需要注意的是，關(guān)鍵信息基礎(chǔ)設(shè)施的個人信息和處理個人信息達(dá)到一定數(shù)量的只能通過安全評估之后跨境提供個人信息，這是沒有變更空間的。除此之外，其他個人信息處理者可以根據(jù)國家網(wǎng)信部門的規(guī)定選擇適用專業(yè)認(rèn)證或標(biāo)準(zhǔn)合同的方式跨境提供個人信息。另一方面，三種出境方式并非互相排斥，而是可以疊加使用的，即所有個人信息處理者均可以選擇兩種或兩種以上的方式，如必須進(jìn)行安全評估的主體可以疊加選擇保護(hù)認(rèn)證或標(biāo)準(zhǔn)合同中的一種或兩種方式，其他主體可以同時選擇保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同的方式。

　　針對個人信息出境，除了第三十八條規(guī)定的一般性條件外，《個人信息保護(hù)法》還明確了兩項特殊性要求。

　　一方面，規(guī)定了單獨同意的要求。根據(jù)《個人信息保護(hù)法》第三十九條，個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。另一方面，規(guī)定了“同等保護(hù)水平”和“問責(zé)制”的要求。根據(jù)《個人信息保護(hù)法》第三十八條，向境外提供個人信息的，個人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達(dá)到本法規(guī)定的個人信息保護(hù)標(biāo)準(zhǔn)。這一要求體現(xiàn)了主要國家和地區(qū)立法中通用的“同等保護(hù)水平”的思路。當(dāng)前，以GDPR為代表的多個國家和地區(qū)立法中均以本國的個人信息保護(hù)水平為基準(zhǔn)，明確個人信息跨境流動要求，如GDPR規(guī)定只有歐盟委員會認(rèn)為其他國家或地區(qū)的個人數(shù)據(jù)保護(hù)水平能夠達(dá)到歐盟的標(biāo)準(zhǔn)時才能被列入“充分性保護(hù)”白名單；日本、俄羅斯、韓國等國家的立法中也有類似規(guī)定。但是，與國外立法判斷其他國家制度是否達(dá)到“同等保護(hù)水平”要求不同，我國《個人信息保護(hù)法》中規(guī)定，應(yīng)當(dāng)達(dá)到我國個人信息保護(hù)標(biāo)準(zhǔn)的是境外接收方處理個人信息的活動。同時，《個人信息保護(hù)法》將確保境外接收方處理個人信息活動達(dá)到我國標(biāo)準(zhǔn)的義務(wù)施加于個人信息處理者（即境內(nèi)傳輸方）之上，趨同于加拿大等國在跨境數(shù)據(jù)流動管理中采用的“問責(zé)制”原則，如加拿大《個人信息保護(hù)和電子文件法》規(guī)定，傳輸個人信息時，擁有或保管個人信息的機(jī)構(gòu)應(yīng)當(dāng)對個人信息負(fù)責(zé)，包括已經(jīng)轉(zhuǎn)移到第三方機(jī)構(gòu)的情形?！皢栘?zé)制”原則的使用能在一定程度上提高個人信息傳輸方的審慎注意義務(wù)。

　　從個人信息處理者的角度說，在跨境提供個人信息過程中，應(yīng)當(dāng)考慮從以下方面完善相關(guān)的保障措施：事前，詳細(xì)了解境外接收方的數(shù)據(jù)保護(hù)能力，確保境外接收方未被國家網(wǎng)信部門列入“限制或禁止個人信息提供清單”；事中，嚴(yán)格監(jiān)督境外接收方是否按照合同約定的目的處理個人信息，是否將個人信息再次傳輸給其他方；事后，即合同目的達(dá)成后，應(yīng)對個人信息進(jìn)行刪除或其他合法處理，且在境外接收方發(fā)生侵害個人權(quán)益事件后，支持和幫助個人行使權(quán)利。

　　除了對一般個人信息處理者的個人信息跨境提供活動進(jìn)行要求外，《個人信息保護(hù)法》還對國家機(jī)關(guān)處理的個人信息做出更嚴(yán)格的要求。根據(jù)第三十六條規(guī)定，國家機(jī)關(guān)處理的個人信息應(yīng)當(dāng)遵守本地化存儲的要求，確需向境外提供的，也只能通過安全評估這一種方式進(jìn)行出境。