第四部分：數(shù)據(jù)跨境傳輸規(guī)則與要求

　　在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)是各國競(jìng)相爭(zhēng)奪的基礎(chǔ)性戰(zhàn)略資源，各國不斷出臺(tái)數(shù)據(jù)跨境傳輸規(guī)則與政策，強(qiáng)化本國對(duì)數(shù)據(jù)資源的掌控能力，以便在全球數(shù)字經(jīng)濟(jì)發(fā)展格局中占據(jù)有利地位。與此同時(shí)，數(shù)據(jù)只有流動(dòng)才能產(chǎn)生經(jīng)濟(jì)紅利，如何平衡跨境數(shù)據(jù)流動(dòng)為跨國合作帶來極大促進(jìn)作用的同時(shí)，也能更好地維護(hù)主權(quán)國家在個(gè)人隱私權(quán)、企業(yè)商業(yè)利益和國家安全的問題上，提出了法律規(guī)制上的全新挑戰(zhàn)。

　?。ㄒ唬┪覈鴤€(gè)人信息保護(hù)法解讀：

　　01  跨境提供個(gè)人信息的前置條件

　　我國個(gè)保法正式確立了我國個(gè)人信息跨境流動(dòng)的規(guī)則體系，規(guī)定個(gè)人信息以在境內(nèi)存儲(chǔ)為原則，并確定了需要在滿足法律規(guī)定的條件下可以向境外提供個(gè)人信息的規(guī)則。

　　可見，我國基于個(gè)人信息的跨境流動(dòng)將會(huì)影響到個(gè)人隱私安全、企業(yè)利益甚至國家安全，以及數(shù)據(jù)的跨境流動(dòng)具有不可逆的特性，采取了對(duì)個(gè)人信息跨境傳輸活動(dòng)進(jìn)行事前監(jiān)管的方式。

　　個(gè)保法第三十八條明確規(guī)定，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)至少具備下列一項(xiàng)條件：

　　01

　　照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估；

　　02

　　按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；

　　03

　　按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；

　　04

　　法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　我國締結(jié)或者參加的國際條約、協(xié)定對(duì)向境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　首先，從法條本義解析出發(fā)，至少滿足其中一項(xiàng)條件即可，但實(shí)踐中，如果能同時(shí)滿足其他條件，亦為更佳。

　　其次，需要注意的是，安全評(píng)估或個(gè)人信息保護(hù)認(rèn)證，并非企業(yè)自我評(píng)估或自我認(rèn)證就可以，而是兩者都需要由國家網(wǎng)信部門的安排與組織下進(jìn)行。根據(jù)2019網(wǎng)信辦發(fā)布的《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》，與安全評(píng)估的相關(guān)規(guī)則還處在征求意見階段，暫未見其他進(jìn)一步的強(qiáng)制規(guī)定與政策指南。

　　所以，盡管目前還沒有具體的由國家網(wǎng)信部門指定的標(biāo)準(zhǔn)合同，但相比前兩者來說，目前跨國企業(yè)在進(jìn)行個(gè)人信息跨境傳輸時(shí)較為可行的方式，是采取“與境外接收方訂立合同”的方式，通過要求提供方與接收方公司簽訂合同以約定雙方在個(gè)人信息處理和保護(hù)的權(quán)利和義務(wù)。

　　02 跨境提供個(gè)人信息的基礎(chǔ)要求

　　跨境傳輸是個(gè)人信息處理活動(dòng)的一種，因此，在滿足“前置條件”的情況下，企業(yè)在向境外提供個(gè)人信息的時(shí)候，仍需要繼續(xù)按照我國個(gè)保法的基礎(chǔ)要求進(jìn)行，主要包括：

　　01

　　數(shù)據(jù)主體告知境外接收方的身份和聯(lián)系方式，個(gè)人信息的處理目的、處理方式，個(gè)人信息的種類、數(shù)據(jù)主體對(duì)應(yīng)權(quán)利，以及保存期限（且應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間等）；

　　02

　　獲得數(shù)據(jù)主體的單獨(dú)同意；

　　03

　　進(jìn)行事先的個(gè)人信息保護(hù)影響評(píng)估（DPIA或PIA）

　　04

　　采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到個(gè)保法要求的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；

　　05

　　確保境外接收方?jīng)]有落入國家網(wǎng)信部門的黑名單（列入限制或者禁止提供個(gè)人信息的公告清單）。

　　03 跨境提供個(gè)人信息的對(duì)等要求

　　我國個(gè)保法確立了信息跨境傳輸?shù)摹皩?duì)等原則”，即，如果信息接收國家和地區(qū)在個(gè)人信息保護(hù)方面對(duì)我國采取歧視性的禁止、限制或者其他類似措施，則我國可以根據(jù)實(shí)際情況對(duì)該國家或者地區(qū)采取對(duì)等的禁止、限制或其他類似的措施。在這樣的情況下，當(dāng)個(gè)人信息是向該等國家或地區(qū)提供的時(shí)候，則會(huì)受到相應(yīng)的限制，需要視情況而具體分析。

　　04 跨境提供個(gè)人信息的特殊要求

　　A

　　在向境外提供個(gè)人信息時(shí)候，還需要特別關(guān)注被傳輸?shù)膫€(gè)人信息的性質(zhì)，以及數(shù)量問題。

　　對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，以及處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)：

　　01

　　將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)；

　　02

　　確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估；但法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定。

　　關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定，在剛剛生效的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中有所體現(xiàn)，主要是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

　　關(guān)于“個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量”的界定，可參考本年7月份網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，以及2017年網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》中的規(guī)定。

　　B

　　在協(xié)助境外司法執(zhí)行方面的規(guī)定

　　我國個(gè)保法在這方面設(shè)置了非常高的門檻，明確規(guī)定了，對(duì)于存儲(chǔ)在我國境內(nèi)的個(gè)人信息，如果沒有經(jīng)過我國主管機(jī)關(guān)的批準(zhǔn)，不得向外國司法或者執(zhí)法機(jī)構(gòu)進(jìn)行提供。可見，我國對(duì)此情形下亦強(qiáng)調(diào)并采取了事前監(jiān)管原則，即便進(jìn)行了各種安全評(píng)估、獲得數(shù)據(jù)主體同意、進(jìn)行個(gè)人信息保護(hù)認(rèn)證等方式也不能成為可以向境外司法或執(zhí)法機(jī)構(gòu)提供的前置條件，而唯有獲得中國主管機(jī)關(guān)的明確批準(zhǔn)，才能流出境外。

　?。ǘ?海外主要個(gè)人信息保護(hù)法律對(duì)比：

　　總體來說

　　在數(shù)據(jù)跨境流動(dòng)方面，可以看到，各國正在不斷強(qiáng)化數(shù)據(jù)跨境傳輸?shù)囊?guī)則與限制要求，體現(xiàn)了主權(quán)國家對(duì)本國數(shù)據(jù)資源的管控意識(shí)?？v觀各國在數(shù)據(jù)跨境流動(dòng)的管理思路，主要以美國和歐盟為首的兩種做法為主。

　　美國在數(shù)據(jù)流入方面主張“數(shù)據(jù)自由流動(dòng)”，強(qiáng)調(diào)通過美國科技和數(shù)據(jù)資源上的優(yōu)勢(shì)，推動(dòng)數(shù)字經(jīng)濟(jì)的發(fā)展；在數(shù)據(jù)流出方面，則通過出口管制手段來限制高科技、軍民兩用技術(shù)的數(shù)據(jù)出境。

　　歐盟則選擇“歐盟境內(nèi)松，歐盟境外緊”的數(shù)據(jù)跨境管理模式。在歐盟境內(nèi)通過《非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例》促進(jìn)歐盟內(nèi)部數(shù)據(jù)的自由流動(dòng)，同時(shí)通過《通用數(shù)據(jù)保護(hù)條例》（GDPR），確定歐盟數(shù)據(jù)保護(hù)的法律框架，增強(qiáng)了數(shù)據(jù)向境外流出的管控，并通過長(zhǎng)臂管轄方式加大了對(duì)歐盟個(gè)人數(shù)據(jù)的保護(hù)力度。