三 跨境数据流动的治理建议

目前，世界各国对于跨境数据流动的法律规定主要有两种模式：美国模式和欧盟模式。美国认为，数据和信息的自由流动是数字经济下贸易协定的关键要素，其所推行的政策重点是鼓励数据自由流动，以便获取境外数据。国内制度方面，美国并未出台关于跨境数据流动的统一规则，主要是根据其贸易体系和规则的需要进行人员、机构和政策的安排。欧盟虽然也支持数据自由流动，但更重视个人数据保护，侧重以建构数据权利体系的方式对跨境数据流动作出限制。一方面，欧盟注重对个人基本权利的维护，其将个人数据权视为个人基本权利。如《欧盟基本权利宪章》第8条赋予个人具有保护个人数据的基本权利，强调对成员国监管机构的监管。另一方面，为保证法律的权威性，其采用统一立法模式严格保护个人数据，将公共机构、私人机构均纳入调整范围，协调欧盟各成员国及所涉部门以充分保护个人数据，出台了《108号公约》《数据保护指令》《通用数据保护条例》(General Data Protection Regulation，GDPR)等。根据GDPR的规定，其提供了直接适用于欧盟所有成员国的单套规则，确保在企业层面法律具有确定性、在公民个人层面于欧盟范围内具备统一的数据保护水平。在个人数据跨境传输方面确立了三个保障机制，包括“基于充分保护的数据转移”原则、有约束力的公司规则(适用于集团企业内部间的个人数据传输，须经监管机构批准)和标准合同条款(签订欧盟委员会制定的个人数据跨境传输标准合同)。基本的规则为授予欧盟委员会确立非欧盟国家是否具备充分保护数据水平的权力，即在一国国内个人数据保护的水平等同于欧盟内部保护水平时，个人数据可以从欧盟流向该国，无须进一步的保护措施。同时，还规定了在没有获得充分保护的情况下，应当采取适当保障措施弥补数据保护水平不够的情况及例外情形。

由于国家间历史文化背景、国家发展理念、经济市场环境不同，我国在跨境数据流动规制方面不能照搬他国经验，而应结合国家实际和国际环境的变化，走出适合我国国情的道路。本文所作研究即坚持此种立论方法，主要系根据浙江自贸试验区建设实际，结合杭州互联网法院所作有关个人信息(数据)出境场景中的企业合规司法指引的调研情况，并根据国情实际和突出问题进行相应研究。

（一）健全完善我国跨境数据流动法律体系

就法律体系的完整性而言，数据跨境流动问题作为新型国家安全问题，需要完善的法律法规加以规制，但规则的制定既要保证秩序的建立，同时还要维护市场交易能够自由进行。因此，我国所制定之规则应统筹考量不同的利益和位阶诉求，确保规则具有可操作性，对跨境数据流动的类型、范畴、处理方式、保护措施、风险防范以及禁止和限制数据跨境流动的范围、标准等进行明确规定，从而增强企业和其他主体的可预见性，平衡国家安全和经济发展，做到既能保护国家、社会、个人之利益，又能实现数据依规合法跨境流动和分享，为国家对数据的跨境流动规制提供审查或执法依据，确保数据跨境流动的安全性。

目前跨境数据流动领域可能衍生出的纠纷类型，主要为境内外当事人之间的侵权责任纠纷、境内外围绕数据交易的合同纠纷、当事人与政府有关部门间围绕数据流动审查的行政纠纷。虽然《网络安全法》《数据安全法》《个人信息保护法》可对其进行专门规制，但分析上述可能涉及的纠纷类型，除有关的行政纠纷外，另外产生的侵权责任纠纷、合同纠纷可依据《民法典》的有关规定、精神加以规制。但在哪些情形下可作为判定一方是否存在侵权行为、违约行为的依据，需要依照具体的审查标准确定，而审查标准多是行政法规、部门规章，层级较低，法院审理案件时可能面临法律依据不足的情形。因此，先行制定与此相关的规章制度，在运行中发现问题并根据实际情况及时调整，逐步完善有关制度设计，有其必要性。

各国跨境数据流动方面的立法存在差异。我国应依据国情，在加紧建立健全我国跨境数据流动法律规则体系的同时，积极参与国际平台关于跨境数据流动规则的探讨和磋商，成为推动数据跨境流动国际监管协调的参与者，积极推行我国的数据跨境流动监管规则和监管标准，推动构建跨境数据流动多边协调机制。例如，加强与RCEP成员的内部合作。考虑到东盟不仅是RCEP的核心成员，也是我国“一带一路”倡议的重点合作伙伴，需尤其推动与东盟国家的共治共享。东盟已发布《东盟数据管理框架》《东盟跨境数据流动示范合同条款》等规定，我国可针对东盟已形成的认证手段和保障措施，推行相关规则和机制，确保在维护双方数据安全和数据权益的同时，实现数据有效互通。对发达国家成员国，可采取不同的措施。就同属于东亚地区的日本和韩国，我国应利用RCEP的发展契机与其搭建更为密切的东亚数字商贸圈，并在相关自由贸易协定中纳入实质性的跨境数据流动与数据保护条款；就澳大利亚、新西兰和新加坡，因其同为RCEP与CPTPP的成员国，我国可以借由向CPTPP电子商务规则靠拢的契机，逐步加强与三个国家在数据传输方面的深入合作。

（二）依法适用个人信息出境“单独同意”规则

在个人信息处理过程中，应遵循的一项重要原则为“告知—同意”原则，即在信息处理者收集和处理个人信息之前，应当先履行对信息主体的告知义务，再经过信息主体的“同意”授权。该规则的确立可以很大程度上保障个人对其信息自主决定的权利，体现了立法对人格权益与私人自治的尊重与保护。个人信息的使用涉及多元利益牵扯，对个人信息的保护应不同于对隐私权的绝对保护，关键在于构建个人信息保护与利用的良好合理秩序。“告知—同意”规则是个人信息合法处理的一般性规则，应有例外情形以弥补该规则的不足。

《民法典》在第四编“人格权”中专章规定了“隐私权和个人信息保护”，其中第1035条规定，处理个人信息应当遵循合法、正当、必要的原则，且不得过度处理，并应征得自然人或其监护人同意，但法律、行政法规另有规定的除外。《个人信息保护法》在此基础上进行了制度扩展，其框定了“告知—同意”的总体原则，同时将无须经同意即可收集和利用个人信息的合法途径予以列明。就个人信息主体的权利设置方面，《个人信息保护法》赋予个人“同意撤回权”，以使其具备撤销相应授权的权利。同时，规定了“删除权”，使个人信息主体在特定情形下可以完全阻断信息处理者对个人信息的接触。

就敏感信息的类别，《个人信息保护法》进行了扩充，列举了大部分国家都没有列举的金融账户、个人行踪等。在提升信息处理者的积极性方面，《个人信息保护法》第53条、第54条分别规定了特色鲜明的合规审计、风险评估制度。在行为规制方面，《个人信息保护法》规定，信息处理者在信息处理时应加强对个人信息的保护，同时规定应由国家网信部门统筹工作，负责具体规则、标准的制定以及新技术的研究，明确了政府监管的有关职能部门及其职责。概言之，《个人信息保护法》的制度设计是针对我国国情作出的个人信息保护制度设计。

就“告知—同意”规则的具体内容，《个人信息保护法》第39条规定，个人信息处理者在遵循公开、透明原则，明示处理目的、方式和范围的基础上，还应告知境外接收方名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使该法定权利的方式和程序等事项，并取得个人的单独同意。根据《个人信息保护法》的规定，单独同意制度适用于法律规定的特定的几种个人信息处理事项，以及适用于跨境提供个人信息的场景。但若个人信息处理者处理个人信息属于为“履行合同所必需”“实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为”，以及“处理个人自行公开或者其他已经合法公开的个人信息”等情形时，不需要取得个人的同意即可对其个人信息进行处理。换言之，原则上应当优先保护个人的人格权益，只有取得个人同意才可以进行相应处理，但在少数情况下兼顾个人信息的利用价值，在有限列举的特定例外情形下不需要取得个人同意而处理其个人信息。

在适用个人信息保护规则进行个人信息跨境流动过程中，企业于合规方面应注意以下三方面的问题。

1．单独同意采取的具体形式

单独同意是指个人信息处理者向境外提供个人信息时，应就一次单独的处理进行对应告知，并获得个人信息者的单独同意。因此，单独同意的获取必须保证同意的独立性，这意味着形式上不可通过一次性概括授权，或与其他授权、其他非必要服务捆绑的一揽子方式，甚至是无感知收集方式(如人脸识别信息)，且应当达到一定的明示标准。实践中，有商家将“向境外提供个人信息”的知情同意条款纳入隐私政策等条款中，以一揽子方式获得用户同意，有违反单独同意要求之嫌。因此，从企业合规角度出发，建议企业或平台以单独弹窗方式将有关内容进行明确告知以取得用户的单独同意。

2．是否还须取得个人信息主体的同意

对于个人信息处理者依据《个人信息保护法》第13条第1款第2项至第7项规定场景获取的个人信息，如果涉及跨境流动，依照《个人信息保护法》第39条的规定，该跨境提供个人信息的场景应当取得个人信息主体的单独同意，且未设定例外情形。而《个人信息出境标准合同办法》附件《个人信息出境标准合同》第2条第3项中规定“基于个人同意向境外提供个人信息的，应当取得个人信息主体的单独同意”。此种规定内容与上述《个人信息保护法》第39条的规定稍有不同，更符合实际，但该规定仅为部门规章后附的标准合同模板，效力上有所欠缺。不过，若个人信息处理活动的合法性基础自始涵盖个人信息出境事宜，自然无须另行获得单独同意，如跨国公司依据劳动规章制度和集体合同进行跨境人事调动等人力资源管理行为。但如果“向境外提供个人信息”的处理目的并非自始包含于信息处理活动的合法性基础，个人信息处理者向境外提供个人信息时是否需要取得个人单独同意则存有疑问。而就此问题分析，实际系涉及个人信息主体就其个人自决事项与个人信息处理者依据法律规定的合法性运用间如何衡量的问题。理论界对此存在较大争议，从尽量减少企业合规风险的角度出发，考虑到《个人信息保护法》就出境场景下取得单独同意未规定例外情形，建议企业应从严把握，将取得个人信息主体的单独同意作为信息出境的基本原则。

3．同意撤回制度的应对

该制度是规定在给予信息处理者收集和使用信息的授权之后，个人信息主体可在任意情况下撤销此类授权，要求信息处理者立即终止相关信息活动。其实质是一种意思表示的撤销，但不具有自始无效性，而是此后无效，即禁止对已经收集的个人信息继续使用和禁止对其余个人信息继续收集。该制度实际系对“告知—同意”模式的补充和修正，使个人基于有限的认知所作信息处理的授权，可在使用情况发生变化或自身修正原来认知后进行补正，有利于平衡个人与信息处理者的不对等地位，彰显个人对其人格权益的自主支配，体现了法律对人的主体性和自主性的尊重。如果企业等个人信息处理者对个人信息处理的权利来源于法定授权，而非基于个人的授权同意，在涉及对个人信息的合理使用时，个人原则上不再享有撤回权。应注意的是，在个人可享有撤回权的情形下，同意撤回制度系基于个人的自决意识，而个人在作出相应决定时会受多种因素包括利益因素的影响，可能会作出不当撤回，影响其服务体验。因此，为使双方获益，建议企业事前对可能造成个人信息主体撤回的情形进行风险评估，并告知该撤回可能造成的不当效果，以挽留该主体，避免个人信息主体的不当撤回造成权益受损，同时保证企业市场运营的稳定性。

（三）企业依法依规开展个人信息出境

个人信息跨境流动涉及个人信息安全与国家安全，若放任其无序流动将导致不可控制的高风险，故《个人信息保护法》就个人信息处理者向境外提供个人信息提出了合规要求。同时，为促进个人信息有序自由流动，推动数字经济长效发展，《个人信息保护法》给予个人信息处理者可选择的四种合规途径，既满足保障个人信息权益和安全的客观要求，亦适应国际经贸往来的现实需求。

1．国家网信部门组织的安全评估

《个人信息保护法》第38条第1款第1项将“通过国家网信部门组织的安全评估”作为个人信息出境的机制之一。2022年7月7日，国家网信办公布正式版本的《数据出境安全评估办法》，明确数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息的安全评估适用该办法，并提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。该文件还规定了数据出境安全评估的范围、条件和程序，指引数据出境安全评估工作有序开展。

实践中，“通过国家网信部门组织的安全评估”的合规争议主要为该种评估方法适用的具体情形。《个人信息保护法》第38条第1款第1项将“通过国家网信部门组织的安全评估”的情形限定于该法第40条，即“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估”。该条文所规定的应“通过国家网信部门组织的安全评估”的具体情形，既可能导致该项安全评估适用范围过于狭窄，亦存在何为“达到国家网信部门规定数量”等规定不明的问题，导致实践中安全评估制度难以推行。对此，《数据出境安全评估办法》对何种情形应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估作出了明确规定，但具体标准衡量仍有待明确。另外，应注意“通过国家网信部门组织的安全评估”与“个人信息保护影响评估”的区别。一是二者在评估行为的实施主体方面存在不同。前者系由国家网信部门组织开展，后者系由企业安排内设责任部门等非公权力机关自行开展。二是二者在评估的适用情形上存在不同。前者适用于相关法律法规明确规定的特定情形，后者系所有“向境外提供个人信息”的个人信息处理者都应事先进行的评估环节。三是二者在适用上存在关联。《数据出境安全评估办法》规定数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，在重点评估事项方面二者的评估基本一致。

“国家网信部门组织的安全评估”虽为企业向境外提供个人信息的合规路径之一，但从相关法律法规中可发现，该项安全评估系特定个人信息处理者向境外提供个人信息必须申报的。因此，实践中，企业应就其是否属于关键信息基础设施运营者、处理个人信息达到规定数量的个人信息处理者等特定主体进行充分认证，以满足相关合规要求。根据《数据出境安全评估办法》的主要修订内容及相关整改时限要求，对企业合规提出如下建议：第一，优先履行安全审查申报义务。违反安全审查申报义务将面临行政责任乃至刑事责任，建议个人信息处理者通过对数据的属性、数据传输行为特征和数据接收方利用及再利用等因素的判断，有效识别需要进行安全评估申报的数据。第二，在法定时限内完成相应整改要求。个人信息处理者应立足所处行业及个人信息传输实践，参照新规要求，充分利用6个月整改期，积极进行业务调整，保障现有业务的连续性，避免重要数据和过量个人信息出境。第三，整合相近评估流程。现有法律文件规定有安全评估、保护影响评估、安全评估申报等多项评估机制，且评估内容具有一定的相似性。从节约合规资源的角度，企业可就上述评估流程进行有效整合。具言之，企业可将评估内容及形式较为灵活的个人信息保护影响评估作为基础，在自评估阶段加入安全评估的特殊要求，在此基础上形成全面评估清单。

2．个人信息保护认证

《个人信息保护法》第38条第1款第2项将“按照国家网信部门的规定经专业机构进行个人信息保护认证”作为个人信息出境的机制之一。但是，该项个人信息保护认证规定对于可适用的个人信息出境的具体场景，以及如何进行认证、由何种专业机构进行认证等问题，均未予以明确。对此，2022年6月24日，全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(TC260－PG－20222A)。该文件从适用情形、认证主体、基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面进行了规范，为认证机构实施个人信息跨境处理活动认证提供依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。在域外法律中，较少有对个人信息跨境处理保护认证的直接规定，但有类似功能规则的规定，如欧盟GDPR规定的“约束性公司规则” “行为准则”，以为集团内部多方主体间跨境传输个人信息提供便利及兼顾为境外主体在境外处理境内个人信息的活动提供合规路径。

第一，关于个人信息保护认证制度的适用情形。上述文件对此规定为：一是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；二是《个人信息保护法》第3条第2款适用的个人信息处理活动。该适用范围未对认证对象的组织类型、公司规模、服务性质、所处地域等作具体限定，使个人信息保护认证制度成为个人信息出境的通用途径。但是，保护认证制度是否涵盖以及如何涵盖境外接收方仍有待明确。

第二，关于法律约束条款。参与个人信息跨境处理的相关方之间需要签署具有法律约束力和执行力的文件，以确保个人信息主体权益得到充分保障。文件应包括：开展个人信息跨境处理活动的个人信息处理者和境外接收方、跨境处理个人信息的目的、个人信息的类别及范围、个人信息主体权益保护措施、境外接收方承诺接受认证机构监督、明确在我国境内承担法律责任的组织等内容。另应注意，安全认证场景下的法律约束文件并不等同于个人信息出境的标准合同，《个人信息保护法》第38条将安全认证作为与个人信息出境标准合同并列的个人信息出境机制加以规定。

第三，关于开展个人信息保护认证的相关主体。上述规范对个人信息保护负责人、个人信息保护机构的职责范围作出规定，从而明确企业就个人信息出境相关事宜的组织管理架构。但是，对于《个人信息保护法》第38条第1款第2项中规定的进行个人信息保护认证的专业机构则未作规定，仅明确了个人信息保护机构对相关方作出的承诺进行监督等职责。

需要明确的是，个人信息保护认证无法替代政府安全评估要求。《个人信息保护法》第40条规定的关键信息基础设施运营者或处理个人信息达到网信部门规定数量的个人信息处理者向境外提供个人信息依然应当通过国家网信部门组织的安全评估，但在无类似强制性合规要求的情况下，个人信息保护认证几乎可适用于各场景下的个人信息出境活动。对企业合规的具体建议为：一是科学确定协议内容，结合特定场景下个人信息出境的具体风险情形，可将该协议作为标准合同条款的补充，以全面规避合规风险；二是推进组织管理建设，企业应充分把握个人信息保护认证机制对组织管理层面的要求，合理设置个人信息保护负责人、个人信息保护机构，并根据相关文件限定的职责范围做好内设个人信息保护责任部门的统筹建设。

3．国家网信部门制定的标准合同

《个人信息保护法》第38条第1款第3项将“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务”作为个人信息出境的机制之一。先后发布的《个人信息出境安全评估办法(征求意见稿)》《数据出境安全评估办法(征求意见稿)》就个人信息跨境流动的标准合同内容及合同所涉主体的责任义务作出了探索。2023年2月22日，国家网信办发布《个人信息出境标准合同办法》，自2023年6月1日起施行。

以标准合同条款规范数据跨境传输是各国的普遍做法，在欧盟法院Schrems Ⅱ判决的影响下，欧盟委员会于2021年6月4日颁布了两套新版数据跨境传输标准合同条款，其中一套适用于数据控制者和处理者之间，另一套适用于向第三国传输个人数据。两套新版标准合同条款主要由通用条款、数据传输双方义务条款、最后条款以及包含当事人名单、处理说明和技术与组织措施的三个附件组成，其中用于规范个人数据向第三方国家转移过程的标准合同条款还在数据传输双方义务条款和最后条款之间增加了针对政府请求访问数据的义务条款。

作为在国际范围内备受认可的数据跨境流动规则，标准合同在我国规则框架下一度仅散见于数据出境的相关征求意见稿中。在《个人信息出境标准合同办法》中，对标准合同的签订场景、签订双方责任义务、应予重新签订的情形等作出具体规定，并于附件中公布了个人信息出境标准合同的样本，对于原本较为模糊的标准合同条款结构、内容类型等予以明确。但是，目前《个人信息出境标准合同办法》仍有部分规定不明确的内容。具言之，该办法存在以下可能的合规重点。

第一，关于标准合同签订各方的责任义务问题。在《个人信息出境标准合同办法》中，通过后附标准合同条款第2条、第3条对前述个人信息处理者的义务、境外接收方的义务进行细化列举。值得注意的是，在个人信息处理者的义务中，标准合同条款明确包含了开展个人信息保护影响评估，并罗列了评估应考虑的事项，以及要求将评估报告与标准合同一同进行备案。

第二，关于“第三方受益人”条款。“第三方受益人”在我国立法中并无对应的概念，是借鉴了欧盟标准合同条款的制度设计。该条款突破了合同相对性，让个人信息主体无须在合同上签字即可据此对个人信息处理者或境外数据接收方主张权利、寻求救济，甚至在特定情形下解除合同。因此，企业应就如何保障信息主体作为“第三方受益人”的权益作全面考量，进行相应的内设机构与人员布局。

第三，个人信息出境标准合同存在多种例外场景。一是境内个人信息处理者是基于合同履行必要性而将个人信息向境外接收方传输的，如跨境电商领域需要提供境内用户的物流地址用于发货，属于签署合同所必需，此时无签署标准合同的必要；二是境内个人信息处理者向境外的“自己”跨境提供数据，如自己的服务器，则个人信息处理者不用和“自己”签署合同；三是必须通过认证或评估方式实施，而不允许通过签订标准合同的方式实现数据跨境的场景。

结合我国相关规定及域外司法实践，标准合同的功能不在于对个人信息处理者形成直接监管，而是通过合规成本较低的缔约形式明确处理者与接收方的个人信息安全保护责任和义务，以建构个人信息跨境流动的可信任状态，从而协调个人信息自由流动与安全流动之间的价值冲突。标准合同低成本、高效率的特点决定了其应用的广泛性，非法定须进行安全评估的企业可将标准合同作为个人信息出境的主要途径。同时，标准合同的格式化特征决定了其难以涵盖各领域个人信息出境的应尽事项，企业仅依据标准合同可能无法达成相应合规要求。对此，《个人信息保护法》第38条第3款规定了“个人信息处理者应当采取必要措施”以使境外接收方达到“同等保护水平”要求，即企业通过“标准合同＋必要措施”满足跨境提供个人信息的合规要求。据此提出的企业合规具体建议为：一是可将标准合同作为个人信息出境的常规途径，因其合规成本与安全风险均较低，以及标准合同的高效率优势，能满足规模化数据快速转移的市场需求；二是积极补足标准合同的合规效能，通过开展事前保护影响评估、与境外接收方进一步缔结具有法律约束力的协议等方式达到“同等保护水平”的要求。

4．协助境外司法和执法机构跨境调取个人信息的硬性规则

关于向外国司法或执法机构提供个人信息，我国《个人信息保护法》第41条设定了严格的门槛，规定个人信息处理者非经我国主管机关批准，不得向外国司法或执法机构提供存储于我国境内的个人信息。我国主管机关应根据有关法律和我国缔结或参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或执法机构关于提供存储于境内个人信息的请求。我国《数据安全法》第36条亦有类似表述，规定境外执法机构要求调取存储于我国境内数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。

域外多国的个人信息法律法规亦对相关问题作出规定。美国《澄清域外合法使用数据法案》确立了调取其境内服务商储存在域外服务器数据的合法性，对美国机构获取域外个人信息和外国机构获取美国境内个人信息都作出了规定。该法案采取数据控制者标准，即授权美国法院向受管辖的科技公司发出法律命令，以取得该公司拥有、保管或控制的数据，而不论数据存储于何处。对于此种不经数据存储国同意而直接向企业索要境外数据的长臂管辖单边跨境调取数据的行为，各国纷纷出台“阻断法”，以阻断外国从本国企业直接调取相关数据的行为，维护自身的数据主权。高度重视数据安全的俄罗斯在《个人数据法》中明确要求俄罗斯公民的个人信息必须存储在境内服务器上，仅对《关于个人数据自动化处理的个人保护公约》的缔约国和俄罗斯官方认可的“白名单”国家，许可个人信息的自由流动。

在向外国司法或执法机构提供存储于我国境内的个人信息问题上，企业有且仅有经我国主管机关批准这一条合规路径。从《个人信息保护法》相关条文看，首先，提出获取个人信息请求的主体应为“外国司法或执法机构”；其次，请求提供的内容为“存储于我国境内的个人信息”，即任何主体在我国境内产生或收集并存储于我国境内的个人信息；最后，必须经由我国主管机关批准。需要注意的是，在该情形下企业或相关主管机关是否仍需向信息主体履行“告知—同意”义务？我国《个人信息保护法》《数据安全法》采取的协助境外司法或执法机构跨境调取个人信息模式，是在尊重国家主权基础上通过国际司法协助框架调取数据，对外进行协助的主体是我国相关主管部门，而非掌握数据的企业。协助国际司法、执法而跨境提供个人信息的行为在性质上应属于国家机关处理个人信息的行为，应由相关主管部门以指示个人信息存储企业向信息主体进行告知的方式履行告知义务，保障信息主体的知情权。特殊情况下，应寻求协助的国际司法或执法机构请求，如告知将妨碍履行法定职责的，或存在我国法律、行政法规规定应当保密或者不需要告知的情形，可以免除告知义务。

目前，国际上对于协助国际司法或执法机构跨境调取存储于他国的数据，主要有两种模式：一是西方国家和地区通过长臂管辖规则直接向他国企业发出指令跨境调取数据；二是发展中国家主张通过国际司法协助渠道调取数据，协助调取请求的对象不是他国数据存储企业，而是协议或条约约定的他国相关主管机构。个人信息跨境流动不仅是经济问题，亦涉及政治、军事、国家安全等多个领域，而向外国司法或执法机构提供我国境内的个人信息更是关乎数据主权的重大问题。对此，我国境内企业或在我国境内存储个人信息的企业，收到国际司法或执法机构的跨境调取数据要求时，应明确告知其按照国际司法协助程序或通过外交途径向我国政府提出请求。在任何情况下，非经我国主管机关批准，个人信息处理者不得向外国司法或执法机构提供存储于我国境内的个人信息。

（四）明确跨境电商数据流动的监管导向

相较实体贸易，跨境电子商务交易中的数据流动隐蔽性更强，在交往互动中涉及多方参与，这增加了对数据跨境流动监管的难度，且海量数据汇集涉及多方领域，提升数据分类分级的难度。随着数据价值攀升，以数据为目标的跨境攻击也更加频繁。目前我国主要通过数据本地化政策进行监管，尚未有机构对数据跨境流动进行全局性、系统性、战略性谋划。就此问题，一方面，应由国家跨境数据监管机构统一协调行使跨境数据的审核权和确认权，统一进行事前评估和持续监督；另一方面，应从完善跨境数据分类审核机制、跨境数据安全评估机制、跨境数据安全风险协同防控机制等角度，推动跨境数据安全监管机制建立。

2023年9月28日，国家网信办发布了《规范和促进数据跨境流动规定(征求意见稿)》，其中第4条列举了豁免“数据出境保障性措施”的场景，包括“为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的”，可不需申报数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证。这对跨境电商的发展有极大的促进作用。2024年3月22日，《促进和规范数据跨境流动规定》顺利出台，将大幅降低相关企业跨境数据流动的成本，提高数据出境效率，促进跨境数字贸易和跨境金融活动的高效运营，优化数据资源的全球化配置，有利于我国进一步融入DEPA。

上述规定体现了我国对数据跨境流动整体监管逻辑的变化，即将对个人信息处理者的监管由强调事前监管转为事前监管、事中监管、事后监管并重，从普遍式监管转为选择性事前监管。但应注意的是，监管模式的转变并不意味着企业合规义务的豁免，其实际对数据出境后的管控提出了更高要求。同时，其对自贸区的有关政策制定设置了“高地”，规定自贸区可自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单)，经省级网络安全和信息化委员会批准后，报国家网信部门备案。首次提出负面清单制度，有利于自贸区开展先行先试。但对制定负面清单的主体、数据处理活动发生地、相关服务器不处于自贸区时是否也可适用该情形等并未作出细化规定，有待进一步明确。

来源：中国信通院知产与创新中心

作者：池海江 浙江省杭州市中级人民法院副院长；

沈励 浙江省杭州市中级人民法院民四庭(杭州国际商事法庭)庭长；

李洁瑜 浙江省杭州市中级人民法院民四庭(杭州国际商事法庭)审判员

文章仅代表作者观点 不代表广仲立场