第四部分：數(shù)據(jù)跨境傳輸規(guī)則與要求

　　在數(shù)字經(jīng)濟時代,，數(shù)據(jù)是各國競相爭奪的基礎(chǔ)性戰(zhàn)略資源，各國不斷出臺數(shù)據(jù)跨境傳輸規(guī)則與政策，強化本國對數(shù)據(jù)資源的掌控能力,，以便在全球數(shù)字經(jīng)濟發(fā)展格局中占據(jù)有利地位,。與此同時,，數(shù)據(jù)只有流動才能產(chǎn)生經(jīng)濟紅利,，如何平衡跨境數(shù)據(jù)流動為跨國合作帶來極大促進(jìn)作用的同時，也能更好地維護(hù)主權(quán)國家在個人隱私權(quán),、企業(yè)商業(yè)利益和國家安全的問題上,，提出了法律規(guī)制上的全新挑戰(zhàn)。

　?。ㄒ唬┪覈鴤€人信息保護(hù)法解讀：

　　01  跨境提供個人信息的前置條件

　　我國個保法正式確立了我國個人信息跨境流動的規(guī)則體系,，規(guī)定個人信息以在境內(nèi)存儲為原則，并確定了需要在滿足法律規(guī)定的條件下可以向境外提供個人信息的規(guī)則,。

　　可見,，我國基于個人信息的跨境流動將會影響到個人隱私安全、企業(yè)利益甚至國家安全,，以及數(shù)據(jù)的跨境流動具有不可逆的特性,，采取了對個人信息跨境傳輸活動進(jìn)行事前監(jiān)管的方式。

　　個保法第三十八條明確規(guī)定,，個人信息處理者因業(yè)務(wù)等需要,，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)至少具備下列一項條件：

　　01

　　照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估,；

　　02

　　按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證,；

　　03

　　按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù),；

　　04

　　法律,、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　我國締結(jié)或者參加的國際條約,、協(xié)定對向境外提供個人信息的條件等有規(guī)定的,，可以按照其規(guī)定執(zhí)行。

　　首先,，從法條本義解析出發(fā),，至少滿足其中一項條件即可，但實踐中,，如果能同時滿足其他條件,，亦為更佳。

　　其次，需要注意的是,，安全評估或個人信息保護(hù)認(rèn)證,，并非企業(yè)自我評估或自我認(rèn)證就可以，而是兩者都需要由國家網(wǎng)信部門的安排與組織下進(jìn)行,。根據(jù)2019網(wǎng)信辦發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》,，與安全評估的相關(guān)規(guī)則還處在征求意見階段，暫未見其他進(jìn)一步的強制規(guī)定與政策指南,。

　　所以，盡管目前還沒有具體的由國家網(wǎng)信部門指定的標(biāo)準(zhǔn)合同,，但相比前兩者來說,，目前跨國企業(yè)在進(jìn)行個人信息跨境傳輸時較為可行的方式，是采取“與境外接收方訂立合同”的方式,，通過要求提供方與接收方公司簽訂合同以約定雙方在個人信息處理和保護(hù)的權(quán)利和義務(wù),。

　　02 跨境提供個人信息的基礎(chǔ)要求

　　跨境傳輸是個人信息處理活動的一種，因此,，在滿足“前置條件”的情況下,，企業(yè)在向境外提供個人信息的時候，仍需要繼續(xù)按照我國個保法的基礎(chǔ)要求進(jìn)行,，主要包括：

　　01

　　數(shù)據(jù)主體告知境外接收方的身份和聯(lián)系方式,，個人信息的處理目的、處理方式,，個人信息的種類,、數(shù)據(jù)主體對應(yīng)權(quán)利，以及保存期限（且應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間等）,；

　　02

　　獲得數(shù)據(jù)主體的單獨同意,；

　　03

　　進(jìn)行事先的個人信息保護(hù)影響評估（DPIA或PIA）

　　04

　　采取必要措施，保障境外接收方處理個人信息的活動達(dá)到個保法要求的個人信息保護(hù)標(biāo)準(zhǔn),；

　　05

　　確保境外接收方?jīng)]有落入國家網(wǎng)信部門的黑名單（列入限制或者禁止提供個人信息的公告清單）,。

　　03 跨境提供個人信息的對等要求

　　我國個保法確立了信息跨境傳輸?shù)摹皩Φ仍瓌t”，即,，如果信息接收國家和地區(qū)在個人信息保護(hù)方面對我國采取歧視性的禁止,、限制或者其他類似措施，則我國可以根據(jù)實際情況對該國家或者地區(qū)采取對等的禁止,、限制或其他類似的措施,。在這樣的情況下，當(dāng)個人信息是向該等國家或地區(qū)提供的時候,，則會受到相應(yīng)的限制,，需要視情況而具體分析。

　　04 跨境提供個人信息的特殊要求

　　A

　　在向境外提供個人信息時候，還需要特別關(guān)注被傳輸?shù)膫€人信息的性質(zhì),，以及數(shù)量問題,。

　　對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者，以及處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,，應(yīng)當(dāng)：

　　01

　　將在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi),；

　　02

　　確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估,；但法律,、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的，從其規(guī)定,。

　　關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定,，在剛剛生效的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中有所體現(xiàn)，主要是指公共通信和信息服務(wù),、能源,、交通、水利,、金融,、公共服務(wù)、電子政務(wù),、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,，可能嚴(yán)重危害國家安全,、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施,、信息系統(tǒng)等,。

　　關(guān)于“個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量”的界定，可參考本年7月份網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》,，以及2017年網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》中的規(guī)定,。

　　B

　　在協(xié)助境外司法執(zhí)行方面的規(guī)定

　　我國個保法在這方面設(shè)置了非常高的門檻，明確規(guī)定了,，對于存儲在我國境內(nèi)的個人信息,，如果沒有經(jīng)過我國主管機關(guān)的批準(zhǔn)，不得向外國司法或者執(zhí)法機構(gòu)進(jìn)行提供,?？梢姡覈鴮Υ饲樾蜗乱鄰娬{(diào)并采取了事前監(jiān)管原則,，即便進(jìn)行了各種安全評估,、獲得數(shù)據(jù)主體同意,、進(jìn)行個人信息保護(hù)認(rèn)證等方式也不能成為可以向境外司法或執(zhí)法機構(gòu)提供的前置條件，而唯有獲得中國主管機關(guān)的明確批準(zhǔn),，才能流出境外,。

　　（二） 海外主要個人信息保護(hù)法律對比：

　　總體來說

　　在數(shù)據(jù)跨境流動方面,，可以看到,，各國正在不斷強化數(shù)據(jù)跨境傳輸?shù)囊?guī)則與限制要求，體現(xiàn)了主權(quán)國家對本國數(shù)據(jù)資源的管控意識,?？v觀各國在數(shù)據(jù)跨境流動的管理思路，主要以美國和歐盟為首的兩種做法為主,。

　　美國在數(shù)據(jù)流入方面主張“數(shù)據(jù)自由流動”,，強調(diào)通過美國科技和數(shù)據(jù)資源上的優(yōu)勢，推動數(shù)字經(jīng)濟的發(fā)展,；在數(shù)據(jù)流出方面，則通過出口管制手段來限制高科技,、軍民兩用技術(shù)的數(shù)據(jù)出境,。

　　歐盟則選擇“歐盟境內(nèi)松，歐盟境外緊”的數(shù)據(jù)跨境管理模式,。在歐盟境內(nèi)通過《非個人數(shù)據(jù)自由流動框架條例》促進(jìn)歐盟內(nèi)部數(shù)據(jù)的自由流動,，同時通過《通用數(shù)據(jù)保護(hù)條例》（GDPR），確定歐盟數(shù)據(jù)保護(hù)的法律框架,，增強了數(shù)據(jù)向境外流出的管控,，并通過長臂管轄方式加大了對歐盟個人數(shù)據(jù)的保護(hù)力度。