個人信息制就動制度的三重維度

編者按

木文將系統(tǒng)梳理我國多部法律法規(guī)與部門規(guī)章搭建的個人信息跨境流動的

規(guī)則體系，并深入討論個人信息跨境流動制度對我國數(shù)字經(jīng)濟國內(nèi)發(fā)展與國際博

弈雙重面向的影響。

目次

編者按.................................................................1

目次...................................................................1

前言..................................................................2

??清晰系統(tǒng)的個人信息跨境流動制度規(guī)則體系...........................3

??三大內(nèi)容板塊.................................................3

??有機制度架構(gòu).................................................4

????相關(guān)配套制度................................................5

2.全國人大常委會法二委：個人信息保護法規(guī)范個人信息跨境流動........5

3.專章立法，為個人信息跨境流動筑牢法治堤壩.........................7

3.1.前述..........................................................7

3.2.設(shè)立專章規(guī)范個人信息跨境流動................................7

3.3.保護與監(jiān)管并行構(gòu)建全面系統(tǒng)的跨境規(guī)則........................8

3.4.靈活、對等確保個人信息跨境流動安全..........................8

????個人信息跨境流動中的保護私權(quán)維度.................................9

????個人信息跨境流動中的企業(yè)合規(guī)維度................................11

????個人信息境內(nèi)存儲的強制要求................................11

????個人信息接收方的資質(zhì)標(biāo)準(zhǔn)..................................12

??????個人信息跨境流動的選擇性條件.............................13

????個人信息跨境流動的國際合作與斗爭維度............................15

????國際合作：數(shù)據(jù)治理話語體系的中國聲音......................15

????對外博弈：國外歧視性措施的回應(yīng)與反制......................18

????結(jié)語19

前言

《個人信息保護法》搭建了清晰系統(tǒng)的個人信息跨境流動制度框架，涵蓋了

個人信息的私權(quán)保護、企業(yè)合規(guī)以及我國對外合作與博弈三個維度。個人信息跨

境流動制度的構(gòu)建既“風(fēng)物長宜放眼量”為未來構(gòu)建中國引導(dǎo)的國際數(shù)據(jù)治理話

語體系預(yù)留了空間，也完成了近期內(nèi)迫切需求的個人信息跨境流動的規(guī)范體系建

設(shè)。相關(guān)制度設(shè)計既以平等互惠的開放懷抱積極參與全球數(shù)字經(jīng)濟深度合作，又

具備牙齒足夠反擊我國受到的不公正打壓與歧視。

2021年8月《個人信息保護法》公布，首次在法律層面構(gòu)建了相對全面的

個人信息跨境流動制度。同時，《個人信息保護法》的頒布補全了數(shù)據(jù)跨境流動

制度拼圖中最重要的一塊，至此我國數(shù)據(jù)跨境流動制度規(guī)則框架與體系基本搭建

完成。清晰系統(tǒng)的個人信息跨境流動制度與其他法律法規(guī)共同向世界展示了個人

信息跨境流動問題的中國方案。

《個人信息保護法》在私益保護、行政監(jiān)管、國家安全、國際合作等方面提

供了全方位立體化的個人信息保護框架，其中個人信息跨境流動制度尤其需兼顧

多重面向與利益。

一方面，個人信息跨境流動己經(jīng)成為我國數(shù)字經(jīng)濟發(fā)展的迫切要求。根據(jù)預(yù)

測，2025年我國數(shù)字經(jīng)濟規(guī)模有望躍居全球首位，可達(dá)人民幣6()萬億元。個人

信息跨境流動成為數(shù)字貿(mào)易之必需，數(shù)字產(chǎn)品或服務(wù)的供給、交付均需要清晰的

數(shù)據(jù)跨境制度指引。然而另一方面，地緣政治沖突加劇，世界數(shù)字大國間博弈，

不同經(jīng)濟體主導(dǎo)的數(shù)據(jù)流動框架競爭口趨激烈，數(shù)字貿(mào)易保護主義抬頭，導(dǎo)致數(shù)

字經(jīng)濟發(fā)展面臨的國際環(huán)境更加復(fù)雜。

在全球數(shù)字貿(mào)易快速發(fā)展、海量數(shù)據(jù)跨境流動的背景下，《個人信息保護法》

第三章六個條文為中國個人信息跨境流動方案確立了一條原則、兩個面向、三重

維度的基本框架，即以自由與安全作為個人信息跨境流動的基本原則，搭建對內(nèi)

合規(guī)與對外博弈兩個面向，涵蓋了個人信息保護、促進企業(yè)合規(guī)、國際合作與斗

爭三個維度。

本文將系統(tǒng)梳理我國多部法律法規(guī)與部門規(guī)章搭建的個人信息跨境流動的

規(guī)則體系，并深入討論個人信息跨境流動制度對我國數(shù)字經(jīng)濟國內(nèi)發(fā)展與國際博

弈雙重面向的影響：在對內(nèi)面向中，個人信息出境需求下如何保障個人信息安全,

如何應(yīng)對有跨境需求的企業(yè)面臨的個人信息出境合規(guī)體系要求；在對外面向中，

在國際合作和博弈維度間，如何保障我國國際話語體系構(gòu)建與國家數(shù)據(jù)主權(quán)。

清晰系統(tǒng)的個人信息跨境流動制度規(guī)則體系

《個人信息保護法》建立了我國個人信息跨境流動制度的頂層設(shè)計，改變了

個人信息跨境流動制度零散無體系且效力位階較低的情況，構(gòu)建了清時系統(tǒng)的制

度框架。個人信息跨境流動制度是數(shù)據(jù)跨境流動中最為重要的內(nèi)容之一。我國《個

人信息保護法》與《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等多部法律，與法

規(guī)、部門規(guī)章、行業(yè)和技術(shù)標(biāo)準(zhǔn)等共同構(gòu)成了我國個人信息跨境流動的法律制度

有機體系。至此，數(shù)據(jù)跨境流動制度框架構(gòu)建基本完成，未來制度構(gòu)建內(nèi)容則是

具體實施規(guī)則的充實。

三大內(nèi)容板塊

《個人信息保護法》第三章確定的跨境提供個人信息規(guī)則可劃分為三個內(nèi)容

板塊：

第一，明確了跨境提供個人信息的原則與依據(jù)。除以我國法律規(guī)定為主要依

據(jù)之外，第38條與第41條還確定，可以在平等互惠原則的基礎(chǔ)上，在有規(guī)定的

情況下，以締結(jié)、參與的國際條約、協(xié)定作為個人信息跨境流動的依據(jù)。

第二，明確了個人信息跨境提供的條件及要求。個人信息跨境提供的條件包

括選擇性條件和必要性條件。選擇性條件具備其中之一即可，即個人信息處理者

要通過國家網(wǎng)信部門組織的安全評估，或經(jīng)過專業(yè)機構(gòu)進行個人信息保護認(rèn)證，

按照標(biāo)準(zhǔn)合同與境外接收方訂立合同，或滿足法律、行政法規(guī)、網(wǎng)信部門規(guī)定的

其他條件（第38條）。必要性條件是個人信息處理者必須滿足的，即要取得個人

對于個人信息跨境事項的單獨同意（第39條），并且保障境外接收方處理活動達(dá)

到境內(nèi)個人信息保護標(biāo)準(zhǔn)（第38條）。

第三，明確了個人信息跨境提供的限制條件。限制條件要求國家機關(guān)、關(guān)鍵

信息基礎(chǔ)設(shè)施運營者、處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理

者掌握的個人信息原則上在境內(nèi)存儲，確需向境外提供的，需經(jīng)過安全評估（第

36條、第40條）。

有機制度架構(gòu)

《個人信息保護法》與我國現(xiàn)行多部法律聯(lián)刃形成了保護公民個人信息權(quán)益

的架構(gòu)。

第一，《個人信息保護法》將《民法典》中保護平等主體個人信息的規(guī)定特

別化、具體化?！睹穹ǖ洹吩谖覈状蚊鞔_將個人信息權(quán)益作為法律保護的對象,

區(qū)分保護了隱私與個人信息。而《個人信息保護法》則進一步明確了個人信息的

概念和范疇，以“可識別性”作為判定個人信息范圍的標(biāo)準(zhǔn)。在未來的侵害個人信

息權(quán)益的案件中，如何判定加害人的行為是否侵害個人信息，應(yīng)本著特別法優(yōu)于

普通法的原則，將“可識別性”作為判定個人信息的標(biāo)準(zhǔn)?！秱€人信息保護法》也

為未來個人信息范圍的劃定預(yù)留了空間，因“可識別性”是一個隨著技術(shù)發(fā)展而動

態(tài)革新的概念。隨著數(shù)據(jù)分析范闈的擴大、數(shù)據(jù)分析技術(shù)的增強、可對比信息豐

富，個人信息被識別的可能性也在不斷增加。

第二，《個人信息保護法》與《網(wǎng)絡(luò)安全法》中第四章從不同角度強化了個

人信息的法律保護。2016年制定的《網(wǎng)絡(luò)安全法》將個人信息作為網(wǎng)絡(luò)安全的

重要內(nèi)容，主要從安全層面上規(guī)定了網(wǎng)絡(luò)運營者的安全保障義務(wù)、告知義務(wù)、保

密義務(wù)等。個人信息保護是一個公私聯(lián)動的重大工程?！秱€人信息保護法》屬于

新法，并且更加具休與細(xì)致，接過了我國個人信息保護的“接力棒”。尤其在關(guān)鍵

信息基礎(chǔ)設(shè)施運營者與個人信息處理者的義務(wù)中，《個人信息保護法》做出了覆

蓋個人信息全生命周期的安排。

第三，《個人信息保護法》與《數(shù)據(jù)安全法》互為補充?！稊?shù)據(jù)安全法》為

個人信息跨境流動制度確立了安全與自由的基本原則，規(guī)定“國家保護個人、組

織與數(shù)據(jù)有關(guān)的權(quán)益，鼓勵數(shù)據(jù)依法合理有效利用，保障數(shù)據(jù)依法有序自由流動,

促進以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟發(fā)展隨著數(shù)字經(jīng)濟的發(fā)展，業(yè)內(nèi)逐漸認(rèn)識

到不同數(shù)據(jù)所蘊含價值和主權(quán)屬性并不相同。它關(guān)系國家安全、公共利益與個人

隱私等重要價值，因此需對不同數(shù)據(jù)進行分級分類的保護，我國數(shù)據(jù)跆境流動立

法也以此作為主導(dǎo)思想。

第四，《個人信息保護法》與《電子商務(wù)法》《消費者權(quán)益保護法》《商業(yè)

銀行法》等專門性法律形成了一般法與特別法的關(guān)系。在涉及電商平臺用戶跨境

流動、消費者個人信息跨境存儲、銀行用戶個人金融等敏感信息跨境流動的具體

制度問題上，《個人信息保護法》提供了一般性規(guī)則，可有效為專門法律的未盡

事宜提供指導(dǎo)原則。

相關(guān)配套制度

與此同時，近三年來國內(nèi)密集起草制訂了多部法規(guī)、規(guī)章與規(guī)范性文件，為

個人信息跨境流動提供不同行業(yè)領(lǐng)域與場景的具體制度。

第一，規(guī)范文件和標(biāo)準(zhǔn)文件對具體制度的規(guī)定?！缎畔踩夹g(shù)個人信息安

全規(guī)范》（2020年）進行個人信息示例及個人敏感信息判定，規(guī)范了個人信息流轉(zhuǎn)

過程中的合法化要求、最小化要求、授權(quán)同意、明示同意和隱私政策內(nèi)容及發(fā)布;

《個人信息出境安全評估辦法（征求意見稿）》（2019年）則明確了個人數(shù)據(jù)出境評

估關(guān)鍵要素與評估方法。《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》（2017

年）進行了術(shù)語界定，明確了數(shù)據(jù)出境安全的總體評估流程，并且列舉了評估要

點，對數(shù)據(jù)接收方安全保護能力作出了規(guī)定。這卷對個人信息出境安全評估以及

數(shù)據(jù)接收方的要求等做出了更為明確和細(xì)致的指引。

第二，各個行業(yè)相關(guān)規(guī)范對不同場景個人信息流動的細(xì)分?！侗Ｊ貒颐孛?/p>

法》《征信業(yè)管理條例》等法律法規(guī)也對特定行業(yè)、特定領(lǐng)域的跨境數(shù)據(jù)流動作

了一些基本規(guī)定。中國人民銀行對個人金融信息數(shù)據(jù)，國家衛(wèi)健委對涉及人口健

康信息數(shù)據(jù)，交通運輸部、工信部等六部委頒布的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)

管理暫行辦法》（2019年修正）對網(wǎng)約車所采集的個人信息和生成的業(yè)務(wù)數(shù)據(jù)等，

都要求在中國境內(nèi)存儲。《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》在涉及智能駕駛

汽車的個人信息和數(shù)據(jù)跨境流動方面作出規(guī)定?？梢灶A(yù)見，隨著各個行業(yè)數(shù)字化

進程加深，個人信息跨境流動的行業(yè)和場景規(guī)范將更加豐富。

由此可見，《個人信息保護法》標(biāo)志著我國數(shù)據(jù)跨境流動制度基本建立完成。

毫無疑問，數(shù)據(jù)跨境流動的一般條款也適用于個人信息跨境流動。單一的數(shù)據(jù)本

地化和限制性出境管理模式已經(jīng)不能適應(yīng)我國數(shù)字經(jīng)濟全球化和國內(nèi)義部企業(yè)

出海的制度需求?！秱€人信息保護法》同多部法律法規(guī)與行業(yè)規(guī)范技術(shù)標(biāo)準(zhǔn)，共

同建立了我國包含數(shù)據(jù)本土化、數(shù)據(jù)出境合理限制、自由流動等多種監(jiān)管模式和

監(jiān)管機制相結(jié)合的個人信息跨境流動法律體系。

2.全國人大常委會法工委：個人信息保護法規(guī)范個人信息跨

境流動

十三屆全國人大常委會第三十次會議20日表決通過個人信息保護法。全國

人大常委會法工委經(jīng)濟法室副主任楊合慶表示，個人信息保護法構(gòu)建了一套清

晰、系統(tǒng)的個人信息跨境流動規(guī)則，規(guī)范了個人信息跨境流動。

當(dāng)前，個人信息的跨境流動日益頻繁，但由于遙遠(yuǎn)的地理距離以及不同國家

法律制度、保護水平之間的差異，個人信息跨境流動風(fēng)險更加難以控制。楊合慶

表示，個人信息保護法構(gòu)建了一套清晰、系統(tǒng)的個人信息跨境流動規(guī)則，以滿足

保障個人信息權(quán)益和安全的客觀要求，適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實需要。

他具體指出，一是明確：以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或者分

析、評估境內(nèi)自然人的行為等，在中國境外處理境內(nèi)自然人個人信息的活動適用

本法，并要求符合上述情形的境外個人信息處理者在中國境內(nèi)設(shè)立專門機構(gòu)或者

指定代表，負(fù)責(zé)個人信息保護相關(guān)事務(wù)。

二是明確向境外提供個人信息的途徑，包括通過國家網(wǎng)信部門組織的安全評

估、經(jīng)專業(yè)機構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同、按照中國締結(jié)或參加的國際條約和協(xié)定等。

三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達(dá)到本

法規(guī)定的保護標(biāo)準(zhǔn)。

四是對跨境提供個人信息的“告知一同意”作出更嚴(yán)格的要求，切實保障個

人的知情權(quán)、決定權(quán)等權(quán)利。

五是為維護國家主權(quán)、安全和發(fā)展利益，對跨境提供個人信息的安全評估、

向境外司法或執(zhí)法機構(gòu)提供個人信息、限制跨境提供個人信息的措施、對外國歧

視性措施的反制等作了規(guī)定。

此外，個人信息保護法還賦予大型網(wǎng)絡(luò)平臺個人信息保護特別義務(wù)。楊合慶

表示，互聯(lián)網(wǎng)平臺服務(wù)是數(shù)字經(jīng)濟區(qū)別于傳統(tǒng)經(jīng)濟的顯著特征。在個人信息處理

方面，互聯(lián)網(wǎng)平臺為平臺內(nèi)經(jīng)營者處理個人信息提供基礎(chǔ)技術(shù)服務(wù)、設(shè)定基本處

理規(guī)則，是個人信息保護的關(guān)鍵環(huán)節(jié)。

他指出，提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信

息處理者對平臺內(nèi)的交易和個人信息處理活動具有強大的控制力和支配力，為此

在個人信息保護方面應(yīng)當(dāng)承擔(dān)更多的法律義務(wù)。

據(jù)此，個人信息保護法對大型互聯(lián)網(wǎng)平臺設(shè)定了特別的個人信息保護義務(wù),

包括：按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員

組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；遵循公開、公平、公正的原則，

制定平臺規(guī)則；對嚴(yán)重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務(wù)提供者，停止提

供服務(wù)；定期發(fā)布個人信息保護社會責(zé)任報告，接受社會監(jiān)督。

3.專章立法，為個人信息跨境流動筑牢法治堤壩

3.1.前述

在信息化時代，個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利

益問題之一。8月20日，十三屆全國人大常委會第三十次會議表決通過了《中

華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”），將于2021年

11月1日起施行。出臺個人信息保護法有何意義？如何保障個人信息跨境流動

安全？對此，人民網(wǎng)《良法善治大家談》欄目推出系列報道，邀請法律專家進行

解讀。

近年來，隨著經(jīng)濟全球化和網(wǎng)絡(luò)科技的高速發(fā)展，個人信息的跨境流動n益

頻繁。但由于不同國家或地區(qū)針對個人信息保護的法律制度、保護水平和力度存

在差異，使得個人信息跨境風(fēng)險問題更加復(fù)雜。

如何在保護個人信息安全的同時，建立科學(xué)合理的個人信息跨境規(guī)制體系，

適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)實需要，促進數(shù)字經(jīng)濟發(fā)展，是當(dāng)今各國共同面對的問題。

對此，8月20日通過的個人信息保護法，立足國情，借鑒國際經(jīng)驗，構(gòu)建了一

套清晰、系統(tǒng)的個人信息跨境流動規(guī)則，為個人信息跨境流動筑牢法治堤壩。

3.2.設(shè)立專章規(guī)范個人信息跨境流動

隨著國際間的交流合作日漸緊密，個人信息數(shù)據(jù)的跨境流動在全球蓬勃發(fā)展

的數(shù)字經(jīng)濟中發(fā)揮著越來越重要的作用?；ヂ?lián)網(wǎng)技術(shù)的發(fā)展縮短了人與人之訶的

時空距離，同時也帶來了一定的安全風(fēng)險。

個人信息保護法明確，以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的，或者分析、

評估境內(nèi)自然人的行為等，在中國境外處理境內(nèi)自然人個人信息的活動適用本

法。

清華大學(xué)法學(xué)院副院長程嘯在接受人民網(wǎng)記者采訪時表示，一方面，個人信

息任意的跨境流動將不利于保護本國境內(nèi)的個人雙益，而且個人信息出境后，使

得個人在境外也很難行使個人信息權(quán)益；另一方面，個人信息與數(shù)據(jù)中關(guān)系到國

家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等的信息數(shù)據(jù)，如果隨意出境,

一旦為他國組織或個人非法處理和利用，勢必給本國的國家主權(quán)和國家安全帶來

很大風(fēng)險。

為此，個人信息保護法為個人信息跨境流動設(shè)立專門章節(jié)，確立個人信息處

理者向境外提供個人信息所具備的條件和要求，明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者和

處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)將在我國境內(nèi)

收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門

組織的安全評估，從而保障個人信息安全、自由流動，以適應(yīng)國際經(jīng)貿(mào)往來的現(xiàn)

實需要。

3.3.保護與監(jiān)管并行構(gòu)建全面系統(tǒng)的跨境規(guī)則

個人信息處理者因'巾務(wù)等需要，確需向境外提供個人信息的，個人信息保護

法在第三十八條中為信息處理者明確了所應(yīng)具備的條件。

上海交通大學(xué)凱原法學(xué)院副教授張陳果解釋，考慮到個人信息流通的不可逆

性，個人信息保護法而于個人信息跨境傳輸活動采用的是事前監(jiān)管模式。其中，

第三十八條就個人信息傳輸活動設(shè)置個人信息處理者需要滿足的前置性條件，采

取的是“列舉兜底”的規(guī)定。

同時，為了保護個人信息安全，該法第四十條對關(guān)鍵信息基礎(chǔ)設(shè)施運營者和

處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者也作出了規(guī)定。

對此，北京航空航天大學(xué)法學(xué)院院長龍衛(wèi)球認(rèn)為，個人信息保護法，對擴大

到一定規(guī)模的個人信息處理者進行了嚴(yán)格監(jiān)管。關(guān)鍵信息基礎(chǔ)設(shè)施運營者掌握的

個人信息屬于重要數(shù)據(jù)，為此采取了更加嚴(yán)格的跨境監(jiān)管。

龍衛(wèi)球表示，為了防止個人信息跨境提供損害個人權(quán)利和自由，該法第三十

九條對跨境輸出個人信息確立了更加嚴(yán)格的知情同意要求，對境外提供信息的個

人信息處理者履行嚴(yán)格的特定要求的告知義務(wù)和獲得個人的單獨同意，旨在使個

人信息跨境傳輸時能更好的保護個人信息。

由此可以看出，在堅持?jǐn)?shù)據(jù)跨境安全、自由流動原則的前提下，個人信息保

護法構(gòu)建了一套全面且系統(tǒng)的個人信息跨境流動規(guī)則。

3.4.靈活、對等確保個人信息跨境流動安全

近年來，經(jīng)濟全球化帶來的國際合作愈加頻繁。為了解決境外組織、個人侵

害我國個人信息權(quán)益、危害國家安全和公共利益的問題，個人信息保護法在第四

十二條中設(shè)置了“黑名單規(guī)則”。

“這是一條賦予國家網(wǎng)信部門直接掌握的彈性制度，具有顯著靈活性?！饼?/p>

衛(wèi)球說道。

不止如此，個人信息保護法第四十三條還規(guī)定了信息跨境傳輸?shù)摹皩Φ仍?/p>

則”。張陳果解釋，如果信息接收國家和地區(qū)在個人信息保護方面對我國采取歧

視性的禁止、限制或者其他類似措施，我國可以根據(jù)實際情況對該國家或者地區(qū)

對等采取措施，該國的個人信息跨境傳輸很可能就將受到限制。

“這也是國際條約和對外關(guān)系法律中常見的一條原則，是數(shù)據(jù)國際交往、國

家安全方面的重要原則?！睆堦惞f道。

跨境個人信息的有效保護，已逐漸成為各國面臨的時代性議題。權(quán)利與義務(wù)

并重，保護與監(jiān)管并行。個人信息保護法的出臺，為個人信息跨境流動提出了一

個風(fēng)險可控、平等互惠的法治框架，為數(shù)字化時代個人信息的跨境流動，提供了

堅實的法治保障。

??.個人信息跨境流動中的保護私權(quán)維度

《個人信息保護法》的要旨是對個人信息中所蘊含的隱私、人格利益等私益

進行合法保護。這使保護個人信息成為企業(yè)發(fā)展數(shù)字經(jīng)濟的前提要件，也充分彰

顯了《個人信息保護法》的價值取向。

合法收集個人信息的基礎(chǔ)一般是獲得個體同意。由于個人信息蘊含的巨大隱

私價值和商業(yè)利益，所以《個人信息保護法》第39條明確要求個人信息處理者

要就個人信息跨境事項取得個人的單獨知情同意。個體需要知情的內(nèi)容，包括“境

外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以

及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項“，并且需要就這些

事項“單獨同意”，這也與《個人信息保護法》第23條達(dá)成了內(nèi)部的協(xié)調(diào)。將個

人信息出境交給境外接收方也是一種數(shù)據(jù)處理行為，等同于將其交給第三方處

理，所以《個人信息保護法》第23條規(guī)定的告知“身份、聯(lián)系方式、處理目的、

處理方式和個人信息的種類”和"單獨同意'’的要求是一致的。

個人信息跨境流動的單獨知情同意，存在兩個問題需要明確。

第一，單獨同意應(yīng)該采取何種形式。毫無疑問，單獨同意是為了明確用戶對

于個人信息跨境這一事項的自決權(quán)，并增加了個人信息處理者的合規(guī)義務(wù)。請求

用戶知情同意的形式?jīng)Q定了企業(yè)的合規(guī)成本。其他的“單獨同意”還包括《個人信

息保護法》第29條規(guī)定的處理個人敏感信息，最高人民法院《關(guān)于審理使用人

臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》中針對人臉數(shù)

據(jù)的收集，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》中要求的汽車數(shù)據(jù)處理者處理

個人敏感信息。

所謂單獨同意，即要求個人信息處理者在以知情同意作為信息處理的合法性

基礎(chǔ)時，不得以“一攬子''的方式取得個人同意，這是在《民法典》第1035條基

礎(chǔ)上對個人信息保護方式作出的細(xì)化要求。單獨同意的效力是指如果個體針對此

事項未作出同意，并不影響其他產(chǎn)品或服務(wù)的使用。單獨同意在服務(wù)與產(chǎn)品設(shè)計

中應(yīng)獨立體現(xiàn)，需要產(chǎn)品或服務(wù)以勾選、彈窗、單獨點擊等方式獲取關(guān)于個人信

息跨境的單獨同意。

第二，如果個人信息處理者是根據(jù)知情同意之外的條件取得個人信息處理的

合法性基礎(chǔ)的，當(dāng)其決定將個人信息出境時，是否還需要取得個人信息主體的單

獨同意？這個問題的本質(zhì)需要單獨考察《個人信息保護法》第13條規(guī)定個人信

息處理的知情同意能否成為個人信息出境的合法性基礎(chǔ)。如果原來取得個人信息

處理的合法性基礎(chǔ)能夠涵蓋個人信息出境事宜，則無須再取得個體的單獨同意。

因此，需要區(qū)分不同場景，標(biāo)準(zhǔn)則是個人信息處理者取得合法性基礎(chǔ)依據(jù)的

利益與個體信息自決的利益之間的衡量?！秱€人信息保護法》第13條規(guī)定個人

信息處理合法性基礎(chǔ)除知情同意之外還包括：合同必需、人力資源管理必需；履

行法定職責(zé)或者法定義務(wù)所必需；為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為

保護白然人的牛命健康和財產(chǎn)安全所必需：為公共利益實施新聞報道、輿論監(jiān)督

等行為，在合理的范圍內(nèi)處理個人信息；合理的范圍內(nèi)處理個人自行公開或者其

他已經(jīng)合法公開的個人信息等多種情況。

當(dāng)個人信息的跨境包含在取得個人同意時的處理目的內(nèi)則無須單獨同意。舉

例而言，當(dāng)跨國公司收集個人信息以人力資源管理獲得合法性基礎(chǔ)時，將勞動者

的個人信息再次出境進行處理，符合當(dāng)初收集的正當(dāng)目的，無須再次單獨同意。

當(dāng)為了應(yīng)對突發(fā)公共衛(wèi)生事件而需展開國際防疫的合作交流，具備充分的合法性

基礎(chǔ)，也無須取得個體的單獨知情同意。但是如果個人信息并無出境的必要，則

即使基于公共衛(wèi)生的必須取得了處理個人信息的雙限，也并不當(dāng)然具有個人信息

出境的合法性基礎(chǔ)。這需要監(jiān)管部門在實踐中對具體場景作進一步衡量把握。

??.個人信息跨境流動中的企業(yè)合規(guī)維度

《個人信息保護法》對需要將個人信息出境的企業(yè)提出了明確的合規(guī)要求，

即需符合必要性條件與選擇性條件。對外設(shè)置一定的數(shù)據(jù)跨境流動門檻并非為了

給企業(yè)加設(shè)障礙，而是以保障個體的個人信息安全與隱私等作為基本標(biāo)準(zhǔn)。這既

體現(xiàn)了我國鼓勵數(shù)據(jù)自由流動、發(fā)展數(shù)字經(jīng)濟的政策導(dǎo)向，也為企業(yè)指明了對內(nèi)

合規(guī)、雙向合規(guī)和未來全球合規(guī)的發(fā)展路徑。

??.1.個人信息境內(nèi)存儲的強制要求

《個人信息保護法》第40條強制要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者和達(dá)到規(guī)定

數(shù)量的個人信息處理者將數(shù)據(jù)本地化存儲，出境需要經(jīng)過網(wǎng)信部門的出境安全評

估。

在這一條款中，存在需要厘清的問題。網(wǎng)信部門規(guī)定“處理個人信息達(dá)到規(guī)

定數(shù)量的個人信息處理者需本地化存儲”，“處理個人信息達(dá)到規(guī)定數(shù)量的個人信

息處理者”應(yīng)如何理解？

其一，如果將個人信息的量作為衡量標(biāo)準(zhǔn)，《個人信息和重要數(shù)據(jù)出境安全

評估辦法（征求意見稿）》（2017年）第9條第1款規(guī)定，含有或累計含有50萬人以

上的個人信息或數(shù)據(jù)量超過1000GB的網(wǎng)絡(luò)運營者應(yīng)進行出境評估，可為“規(guī)定

數(shù)量''提供參考標(biāo)準(zhǔn)。

其二，”處理個人信息達(dá)到規(guī)定數(shù)量''如果作為個人信息處理者的定語，是指

較大規(guī)模的個人信息處理者。那么當(dāng)這些大型企業(yè)出境的個人信息數(shù)量尚未達(dá)到

國家的數(shù)量標(biāo)準(zhǔn)時，是否需要進行出境安全評估呢？例如，某網(wǎng)約車平臺處理個

人信息達(dá)到規(guī)定數(shù)量，但其只需要將少量的某類特定個人信息出境。

其三，毫無疑問，這一規(guī)定與國家安全相關(guān)，但顯然僅僅從數(shù)量界定需要本

地化存儲的個人信息并不能完全滿足國家安全的需要。例如，美國美軍某款健身

APP被發(fā)現(xiàn)可保留使用者日常鍛煉的記錄，包括其在軍事場所和家中進行鍛煉的

心率、路線、日期、持續(xù)時間和步速。一家媒體曾通過它準(zhǔn)確找到了美國特工處、

美國國家安全局、英國軍情六處及眾多國際秘密組織成員的準(zhǔn)確活動地點。因此,

數(shù)據(jù)境內(nèi)存儲的個人信息既需從數(shù)量上把握，也需要加入“質(zhì)量”的考量。

所以，《個人信息保護法》第40條的解釋，究竟是基于個人信息的數(shù)量、

企業(yè)規(guī)模還是個人信息關(guān)系的國家安全，尚需在實踐中進一步厘清。

《個人信息保護法》從數(shù)量方面界定，是因為行業(yè)中具備一定規(guī)模的企業(yè)，

其處理的海量個人信息可能承載了公共利益，并可通過數(shù)據(jù)分析獲得一定重要信

息。但顯然在實踐中是否仍要依據(jù)企業(yè)規(guī)模和個人信息具體內(nèi)容進行出境安全評

估，仍是企業(yè)合規(guī)的重大問題。

??.2.個人信息接收方的資質(zhì)標(biāo)準(zhǔn)

個人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達(dá)

到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)。這是出于保護個人信息權(quán)益的制度要求，避免

我國公民個人信息流向“保護注地”。如何考察數(shù)據(jù)接收方處理個人信息活動的標(biāo)

準(zhǔn)達(dá)到《個人信息保護法》的保護標(biāo)準(zhǔn)？這實質(zhì)是個人數(shù)據(jù)處理者對第三方數(shù)據(jù)

處理標(biāo)準(zhǔn)的評估制度。在我國《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》中

詳細(xì)規(guī)定了對數(shù)據(jù)接收方的安全保護能力、所在國家或地區(qū)的政治法律環(huán)境評估

的多項指標(biāo)。

此時需討論，何為，個人信息處理者應(yīng)當(dāng)采取必要措施”，《個人信息保護法》

第38條第3款與第38條第1款第4項的關(guān)系應(yīng)當(dāng)如何處理？有兩個可能的解釋：

其一，個人信息處理者為了使境外接收方達(dá)到個人信息保護標(biāo)準(zhǔn)所采取1勺必

要措施（第38條第3款），包含在第38條第1款第4項的兜底條款中；其二，必

要措施是《個人信息保護法》對其個人信息處理者在第38條第1款之外施加的

額外義務(wù)。此條的模糊性使“必要措施”的范圍并不確定。

以歐盟為例，2021年7月，歐盟委員會通過了個人數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同

條款（StandardsContractualClauses,以下簡稱“跨境傳輸SCCs”）,將2020年7月

SchremsII案的判決納入考量。歐盟不僅要求個人信息處理者簽訂跨境傳輸

SCCs,還提出一系列補充措施，如數(shù)據(jù)傳輸方要進行個案審查，評估數(shù)據(jù)接收

方所在國的法律變化，以及考量數(shù)據(jù)接收方應(yīng)所在國法律規(guī)定的披露個人數(shù)據(jù)的

情形，對數(shù)據(jù)傳輸各方提出了更為嚴(yán)格的實質(zhì)審核和安全保證要求。

如果我國《個人信息保護法》將后續(xù)意料之外的要求作為境外接收方采取的

“必要措施”，顯然并不涵蓋在第1款的4項要求之內(nèi)。所以“必要措施”的模糊規(guī)

定以及其與第38條第1款的關(guān)系，為應(yīng)對日后可能的局面留下了足夠的空間。

但這也同樣加重了企業(yè)的合規(guī)風(fēng)險，企業(yè)有可能因為隨時發(fā)生的復(fù)雜變化而喪失

向境外傳輸個人信息的資格。

與此同時，要求數(shù)據(jù)接收方具備相同的個人信息保護標(biāo)準(zhǔn)，也是我國構(gòu)建中

國個人信息話語體系的需要。

以歐盟為例，在世界范圍內(nèi)，歐盟一直處于個人信息保護的較高水平，歐盟

《通用數(shù)據(jù)保護條例》（GDPR）第45條規(guī)定，對數(shù)據(jù)接收國或者國際組織的個人

隱私信息保護力度要進行充分的考察。盡管歐盟規(guī)定了允許個人數(shù)據(jù)轉(zhuǎn)移的兩種

基本場景和八種例外情況，但歐盟個人數(shù)據(jù)向外流動主要依賴于充分性認(rèn)定機

制，這要求第三國的數(shù)據(jù)保護水平達(dá)到與歐盟法“實質(zhì)等同”（essentiallyequivalent）

的程度。

然而，鑒于歐盟數(shù)據(jù)保護的高標(biāo)準(zhǔn)和高門檻，能夠得到“充分性認(rèn)定''的國家

并不多。因此，歐盟展開了與其他國家的積極磋商，非獲認(rèn)定地區(qū)的各類組織和

企業(yè)可以根據(jù)歐盟認(rèn)可.的標(biāo)準(zhǔn)合同條款、約束性公司規(guī)則、行為規(guī)范、認(rèn)證機制，

或者獲得歐盟數(shù)據(jù)主體的明確同意等特定減損情形，作為個人數(shù)據(jù)流出歐盟的合

法依據(jù)。在此過程中，其他國家與地區(qū)的組織為了在歐盟開展業(yè)務(wù)或獲取歐盟出

境的個人信息，都積極展開協(xié)商并向歐盟數(shù)據(jù)保丁?標(biāo)準(zhǔn)靠攏。

??.3.個人信息跨境流動的選擇性條件

我國現(xiàn)有的豐富機制可使企業(yè)在可預(yù)期的穩(wěn)定法律框架內(nèi)，根據(jù)自身跨境需

求選擇個人信息跨境流動的有效合法渠道。在保證數(shù)據(jù)跨境流動安全的同時，實

現(xiàn)監(jiān)管設(shè)定的用戶隱私保護的目標(biāo)。

我國《個人信息保護法》在個人信息出境的要求上，修改了2019年發(fā)布的

《個人信息出境安全評估辦法（征求意見稿）》的相關(guān)規(guī)定，不再要求所有個人信

息跨境流動活動均以通過安全評估為前提，而是以分級分類管理思路設(shè)計了四種

個人信息出境的條件：（1）通過國家網(wǎng)信部門組織的安全評估；（2）按照國家網(wǎng)信

部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證；（3）與境外接收方訂立合同，約

定雙方的權(quán)利和義務(wù)，并監(jiān)督其個人信息處理活動達(dá)到本法規(guī)定的個人信息保護

標(biāo)準(zhǔn)；（4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

個人信息處理者因為業(yè)務(wù)等需要，確需向境外提供個人信息的，只要具備以

上條件之一即滿足了合規(guī)要求。與此同時，《個人信息保護法》還留下了“法律、

行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件”的開放性條款，為后續(xù)立法根據(jù)技

術(shù)發(fā)展和社會變遷增加個人信息跨境流動合法性基礎(chǔ)保留創(chuàng)新空間。這種選擇性

條件的立法形式為合理有序的數(shù)據(jù)流動提供了盡可能豐富的渠道，但仍可能存在

以下需要在實踐中明確之處：

其一，個人信息安全評估與出境評估關(guān)系?！秱€人信息保護法》第38條與

第55條都涉及個人信息處理活動評估制度。第55條規(guī)定高風(fēng)險處理活動，包括

處理敏感個人信息、委托處理、向第三方共享、數(shù)據(jù)出境、自動化決策、公開個

人信息等，都需要開展個人數(shù)據(jù)保護影響評估。第38條則規(guī)定個人信息出境需

“依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估需要明確的是，

兩類評估因其性質(zhì)不同而不具有重合性。影響評估主要針對個人信息處理活動對

于個人權(quán)益的影響，而安全評估關(guān)注的是數(shù)據(jù)安全與國家安全。除了第38條規(guī)

定的安全評估，第36條也規(guī)定了國家機關(guān)的個人信息安全評估，其評估的內(nèi)容

要大于個人權(quán)益影響評估的范圍，因此并不具有重復(fù)性。

其二，與境外接收方訂立合同，獨立成為個人信息出境的合法性基礎(chǔ)。在《個

人信息出境安全評估辦法（征求意見稿）》中，與境外接收方訂立合同是個人信息

處理者通過安全評估的重要指標(biāo)，但在《個人信息保護法》中則獨立成為個人信

息出境的合法性基礎(chǔ)。其中標(biāo)準(zhǔn)合同的規(guī)定于二審稿中添加，相較于安全評估或

專業(yè)機構(gòu)認(rèn)證，標(biāo)準(zhǔn)合同的指導(dǎo)性和便利性更適應(yīng)實踐需要。標(biāo)準(zhǔn)合同這一方式

在GDPR第28條中亦有類似規(guī)定，其將標(biāo)準(zhǔn)合同作為可以將歐盟公民個人數(shù)據(jù)

傳輸?shù)骄惩獾闹饕绞街??！秱€人信息出境安全評估辦法（征求意見稿）》要求

與境外接收方訂立的合同應(yīng)該明確網(wǎng)絡(luò)運營者、接收者承擔(dān)的義務(wù)和責(zé)任，并且

要明確不得將接收到的個人信息傳輸給第三方。個人信息出境合同的履行情況，

也是網(wǎng)信部門檢查的重點內(nèi)容，但標(biāo)準(zhǔn)合同范本尚待網(wǎng)信部門制定發(fā)布。

近三年，世界范圍內(nèi)的個人信息與數(shù)據(jù)保護立法密集出臺，各國的個人信息

保護與數(shù)據(jù)跨境流動制度都在激烈的博弈中。個別國家以政治為導(dǎo)向，超越法律

精神，企業(yè)往往在夾縫中生存，被以個人信息保批為由而制裁。2020年TikTok

在美國和印度等國家面臨的困境充分表明這并非臆想。我國互聯(lián)網(wǎng)企業(yè)面對全球

競爭，既要符合國內(nèi)合規(guī)的基本要求，也要積極籌謀“雙向合規(guī)”，即在本國與個

人信息接收方國家同樣合規(guī)，甚至為了企業(yè)未來全球布局做好“全球合規(guī)

??.個人信息跨境流動的國際合作與斗爭維度

《個人信息保護法》是網(wǎng)絡(luò)空間的基本法，個人信息在國際范圍內(nèi)不斷流動,

無論是個人信息跨境提供，還是個人信息的境外處理，都需要個人信息跨境流動

制度在國際視野下，統(tǒng)籌國內(nèi)大局做出制度構(gòu)建。各個國家和地區(qū)的法律制度不

同，對待個人信息保護和數(shù)據(jù)安全的態(tài)度存在分歧，統(tǒng)一的全球性跨境數(shù)據(jù)流動

制度構(gòu)建在短期內(nèi)難以實現(xiàn)。

這就使得個人信息畤境流動制度的構(gòu)建既需要“風(fēng)物長宜放眼量”，為未來構(gòu)

建中國引導(dǎo)的數(shù)據(jù)治理話語體系預(yù)留空間，又要為近期內(nèi)迫切的個人信息跨境流

動建立合作的機動機制；既要以平等互惠的開放胸懷積極參與制定國際條約與協(xié)

定，又要具備足夠能力以反擊我國受到的不公正打壓與歧視。

??.1.國際合作：數(shù)據(jù)治理話語體系的中國聲音

全球范圍內(nèi)的數(shù)據(jù)跨境國際合作與體系建設(shè)是大勢所趨，我國《個人信息保

護法》與《數(shù)據(jù)安全法》共同對此作出了回應(yīng)。我國積極參與國際規(guī)則的制定與

國際交流合作，以平等互惠作為基本原則。《個人信息保護法》第38條第2款

與第3款規(guī)定，中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共

和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。個人信息處理

者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達(dá)到本法規(guī)定的個人

信息保護標(biāo)準(zhǔn)。第38條第2款內(nèi)容為正式稿中首次添加，以國際條約作為個人

信息出境的合法性基礎(chǔ)，但個人信息處理者負(fù)有義務(wù)采取必要措施保障個人信息

在境內(nèi)外獲得同等保護。

但何為“必要措施”與“同等保護”，尚需其他規(guī)則或規(guī)定予以明確。這與《數(shù)

據(jù)安全法》中的規(guī)定遙相呼應(yīng)：”國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等

領(lǐng)域的國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定，促進數(shù)據(jù)跨

境安全、自由流動?！薄秱€人信息保護法》傾向于積極參與國際條約與協(xié)定的制

定，使得未來跨境提供個人信息無須受制于《個人信息保護法》，從而為《區(qū)域

全面經(jīng)濟伙伴關(guān)系協(xié)定》(RCEP)和未來《全面與進步跨太平洋伙伴關(guān)系協(xié)定》

(CPTPP)簽署預(yù)留了空訶。

數(shù)據(jù)跨境流動規(guī)則體系的博弈從進入數(shù)據(jù)時，弋以來就從未停止。

在過去的實踐中，西方國家主導(dǎo)和制定了數(shù)據(jù)跨境流動的國際合作協(xié)議。

經(jīng)濟合作與發(fā)展組織(OECD)于1980年和1993年制定了《隱私保護和個人

數(shù)據(jù)跨境流動的指南》(OECDGuidelinesontheProtectionofPrivacyand

TransborderFlowsofPersonalData1980),聯(lián)合國大會在1990年通過了《計算機

處理的個人數(shù)據(jù)文檔規(guī)范指南》(GuidelinesfortheRegulationofComputerized

PersonalDataFiles),亞太經(jīng)合組織(APEC)在2005年通過了《隱私保護框架》(2015

年修訂"PrivacyFramework)o

隨著數(shù)字經(jīng)濟發(fā)展格局初步奠定，歐盟和美國分別主導(dǎo)建設(shè)自己的數(shù)據(jù)跨境

流動制度體系，爭奪數(shù)字經(jīng)濟話語體系的主導(dǎo)地位。美國積極推進跨境隱私規(guī)則

體制(CrossBorderPrivacyRulesSystem,CBPRs)主導(dǎo)的數(shù)據(jù)跨境流動體系建設(shè)，

該體系雖然在2012年正式啟動，向APEC經(jīng)濟體開放，但近十年的經(jīng)營只有數(shù)

個國家開始了CBPRs的實際認(rèn)證運營。究其原因，CBPRs只提供了個人信息的

低水平保護，意在推行美國數(shù)字霸權(quán)引導(dǎo)數(shù)據(jù)向美國流動，并不符合其他國家的

利益。

2020年2月，歐盟委員會同時發(fā)布了三份重要的數(shù)字戰(zhàn)略文件，分別是《塑

造歐洲的數(shù)字未來》《人工智能白皮書》《歐洲數(shù)據(jù)戰(zhàn)略》，三份戰(zhàn)略文件的一

個核心概念就是歐盟必須重新奪回自己的“技術(shù)主權(quán):歐盟仍在積極推進GDPR

主導(dǎo)下的數(shù)據(jù)跨境流動制度，要求出境方國家和企業(yè)接受歐盟的“充分性認(rèn)證”

和“有約束力的公司準(zhǔn)則''的個人信息保護標(biāo)準(zhǔn)。但與此同時，數(shù)據(jù)跨境流動的客

觀需要又迫使歐盟與美國合作與妥協(xié)，歐美雙方試圖以協(xié)議方式為歐盟公民數(shù)據(jù)

向美國的自由流動創(chuàng)造便利條件。

雙方于2000年達(dá)成《安全港協(xié)議》，借此美國得到了歐盟“局部性”的充分

性認(rèn)定，美國是唯一沒有綜合性隱私法律卻仍然享受了歐盟充分性認(rèn)定待遇的國

家。在2013年斯諾登事件后《安全港協(xié)議》被判無效，取而代之的是緊急磋商

后達(dá)成的《隱私盾協(xié)議》o2020年7月，《隱私盾協(xié)議》又一次被歐盟法院判

定無效。

在世界范圍內(nèi)，各國在尚無法達(dá)成統(tǒng)一國際條約的情況下，仍在積極推動區(qū)

域性合作。

2019年1月，76個世界貿(mào)易組織(WT0)成員方簽署《電子商務(wù)聯(lián)合聲明》

(JointStatementonElectronicCommerce),確認(rèn)啟動制定新的電子商務(wù)規(guī)則談判。

RCEP第12章“電子商務(wù)”中，要求締約方為電子商務(wù)創(chuàng)造有利環(huán)境，保護電子

商務(wù)用戶的個人信息，為在線消費者提供保護，方針對非應(yīng)邀商業(yè)電子信息加強

監(jiān)管和合作。

東盟為推動區(qū)域一體化與合作，發(fā)布了《東盟數(shù)據(jù)管理框架》(ASEANData

ManagementFramework,DMF)以及《東盟跨境數(shù)據(jù)流動示范合同條款》(ASEAN

ModelContractualClausesforCrossBorderDataFlows,MCCs)以促成個人數(shù)據(jù)在

東盟成員國之間自由流動，建設(shè)安全、可持續(xù)、轉(zhuǎn)型升級的數(shù)字經(jīng)濟。我國將推

動RCEP在未來早日生效實施，加快推動中日韓、中國與海合會等自貿(mào)協(xié)定談判

進程，2021年9月，中國已申請。

我國作為世界數(shù)字經(jīng)濟大國，必然需要在數(shù)據(jù)跨境流動領(lǐng)域發(fā)出中國聲音。

2020年9月8日，國務(wù)委員兼外交部長王毅在“抓住數(shù)字機遇，共謀合作發(fā)展”

國際研討會高級別會議上發(fā)表題為《堅守多邊主義倡導(dǎo)公平正義攜手合作共贏》

的主旨講話，提出《全球數(shù)據(jù)安全倡議》，呼吁各國應(yīng)要求企業(yè)嚴(yán)格遵守所在國

法律，不得要求本國企業(yè)將境外產(chǎn)生、獲取的數(shù)據(jù)存儲在境內(nèi)；各國應(yīng)尊重他國

主權(quán)、司法管轄權(quán)和對數(shù)據(jù)的安全管理權(quán)，未經(jīng)他國法律允許不得直接向企業(yè)或

個人調(diào)取位于他國的數(shù)據(jù)；各國如因打擊犯罪等執(zhí)法需要跨境調(diào)取數(shù)據(jù)，應(yīng)通過

司法協(xié)助渠道或其他相關(guān)多雙邊協(xié)議解決；國家間締結(jié)跨境調(diào)取數(shù)據(jù)雙邊協(xié)議，

不得侵犯第三國司法主權(quán)和數(shù)據(jù)安全。

這為中國參與和制定國際數(shù)據(jù)跨境流動規(guī)則奠定了基調(diào)，即平等互惠原則下

的對等規(guī)則。我國《個人信息保護法》也對跨境提供個人信息作出相應(yīng)的安排，

第41條規(guī)定：“中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或

者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)

關(guān)于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)，個人

信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個

人信息?！?/p>

《數(shù)據(jù)安全法》亦規(guī)定，境外執(zhí)法機構(gòu)要求調(diào)取存儲于中華人民共和國境內(nèi)

的數(shù)據(jù)的，有關(guān)組織、個人應(yīng)當(dāng)向有關(guān)主管機關(guān)報告，獲得批準(zhǔn)后方可提供。此

舉是對以美國《澄清域外合法使用數(shù)據(jù)法》(CloudAci)為代表的相關(guān)法律的應(yīng)對，

充分貫徹了《全球數(shù)據(jù)安全倡議》所提倡的“各國應(yīng)尊重他國主權(quán)、司法管轄權(quán)

和對數(shù)據(jù)的安全管理權(quán)，未經(jīng)他國法律允許不得直接向企業(yè)或個人調(diào)取位于他國

的數(shù)據(jù)''及"各國如因打擊犯罪等執(zhí)法需要跨境調(diào)取數(shù)據(jù)，應(yīng)通過司法協(xié)助渠道或

其他相關(guān)多雙邊協(xié)議解決”的相關(guān)精神。

雖然歐美在數(shù)據(jù)跨境領(lǐng)域的話語體系建設(shè)己經(jīng)延續(xù)多年，并占據(jù)了國際規(guī)則

制定中的先發(fā)位置，但中國仍有創(chuàng)建和發(fā)展自身話語體系的巨大空間?！秱€人信

息保護法》在維護國家主權(quán)、安全和發(fā)展利益的基礎(chǔ)上進行了境外調(diào)取個人信息

的限制，又以平等開放的姿態(tài)為未來的國際合作留足了空間。我國以平等互惠的

態(tài)度倡導(dǎo)全球議題，制度設(shè)計考量大量發(fā)展中國家和落后國家的利益與訴求，為

建設(shè)中國引領(lǐng)的國際數(shù)據(jù)跨境流動體系奠定了基礎(chǔ)。

?