第四部分：数据跨境传输规则与要求

　　在数字经济时代，数据是各国竞相争夺的基础性战略资源，各国不断出台数据跨境传输规则与政策，强化本国对数据资源的掌控能力，以便在全球数字经济发展格局中占据有利地位。与此同时，数据只有流动才能产生经济红利，如何平衡跨境数据流动为跨国合作带来极大促进作用的同时，也能更好地维护主权国家在个人隐私权、企业商业利益和国家安全的问题上，提出了法律规制上的全新挑战。

　　（一）我国个人信息保护法解读：

　　01  跨境提供个人信息的前置条件

　　我国个保法正式确立了我国个人信息跨境流动的规则体系，规定个人信息以在境内存储为原则，并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。

　　可见，我国基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全，以及数据的跨境流动具有不可逆的特性，采取了对个人信息跨境传输活动进行事前监管的方式。

　　个保法第三十八条明确规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：

　　01

　　照本法第四十条的规定通过国家网信部门组织的安全评估；

　　02

　　按照国家网信部门的规定经专业机构进行个人信息保护认证；

　　03

　　按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

　　04

　　法律、行政法规或者国家网信部门规定的其他条件。

　　我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。

　　首先，从法条本义解析出发，至少满足其中一项条件即可，但实践中，如果能同时满足其他条件，亦为更佳。

　　其次，需要注意的是，安全评估或个人信息保护认证，并非企业自我评估或自我认证就可以，而是两者都需要由国家网信部门的安排与组织下进行。根据2019网信办发布的《个人信息出境安全评估办法（征求意见稿）》，与安全评估的相关规则还处在征求意见阶段，暂未见其他进一步的强制规定与政策指南。

　　所以，尽管目前还没有具体的由国家网信部门指定的标准合同，但相比前两者来说，目前跨国企业在进行个人信息跨境传输时较为可行的方式，是采取“与境外接收方订立合同”的方式，通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。

　　02 跨境提供个人信息的基础要求

　　跨境传输是个人信息处理活动的一种，因此，在满足“前置条件”的情况下，企业在向境外提供个人信息的时候，仍需要继续按照我国个保法的基础要求进行，主要包括：

　　01

　　数据主体告知境外接收方的身份和联系方式，个人信息的处理目的、处理方式，个人信息的种类、数据主体对应权利，以及保存期限（且应当为实现处理目的所必要的最短时间等）；

　　02

　　获得数据主体的单独同意；

　　03

　　进行事先的个人信息保护影响评估（DPIA或PIA）

　　04

　　采取必要措施，保障境外接收方处理个人信息的活动达到个保法要求的个人信息保护标准；

　　05

　　确保境外接收方没有落入国家网信部门的黑名单（列入限制或者禁止提供个人信息的公告清单）。

　　03 跨境提供个人信息的对等要求

　　我国个保法确立了信息跨境传输的“对等原则”，即，如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施，则我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施。在这样的情况下，当个人信息是向该等国家或地区提供的时候，则会受到相应的限制，需要视情况而具体分析。

　　04 跨境提供个人信息的特殊要求

　　A

　　在向境外提供个人信息时候，还需要特别关注被传输的个人信息的性质，以及数量问题。

　　对于关键信息基础设施运营者，以及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当：

　　01

　　将在境内收集和产生的个人信息存储在境内；

　　02

　　确需向境外提供的，应当通过国家网信部门组织的安全评估；但法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

　　关于“关键信息基础设施”的认定，在刚刚生效的《关键信息基础设施安全保护条例》中有所体现，主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

　　关于“个人信息达到国家网信部门规定数量”的界定，可参考本年7月份网信办发布的《网络安全审查办法（修订草案征求意见稿）》，以及2017年网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》中的规定。

　　B

　　在协助境外司法执行方面的规定

　　我国个保法在这方面设置了非常高的门槛，明确规定了，对于存储在我国境内的个人信息，如果没有经过我国主管机关的批准，不得向外国司法或者执法机构进行提供。可见，我国对此情形下亦强调并采取了事前监管原则，即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不能成为可以向境外司法或执法机构提供的前置条件，而唯有获得中国主管机关的明确批准，才能流出境外。

　　（二） 海外主要个人信息保护法律对比：

　　总体来说

　　在数据跨境流动方面，可以看到，各国正在不断强化数据跨境传输的规则与限制要求，体现了主权国家对本国数据资源的管控意识。纵观各国在数据跨境流动的管理思路，主要以美国和欧盟为首的两种做法为主。

　　美国在数据流入方面主张“数据自由流动”，强调通过美国科技和数据资源上的优势，推动数字经济的发展；在数据流出方面，则通过出口管制手段来限制高科技、军民两用技术的数据出境。

　　欧盟则选择“欧盟境内松，欧盟境外紧”的数据跨境管理模式。在欧盟境内通过《非个人数据自由流动框架条例》促进欧盟内部数据的自由流动，同时通过《通用数据保护条例》（GDPR），确定欧盟数据保护的法律框架，增强了数据向境外流出的管控，并通过长臂管辖方式加大了对欧盟个人数据的保护力度。