2021年8月20日，我國(guó)《個(gè)人信息保護(hù)法》正式出臺(tái)，明確了個(gè)人信息處理規(guī)則、個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)等重要制度。其中，個(gè)人信息跨境流動(dòng)作為數(shù)據(jù)治理的重要問(wèn)題，《個(gè)人信息保護(hù)法》中做出了明確規(guī)定，回應(yīng)了產(chǎn)業(yè)實(shí)踐需求，為保障我國(guó)個(gè)人信息依法有序流動(dòng)完善了制度基礎(chǔ)。

　　跨境數(shù)據(jù)流動(dòng)是數(shù)據(jù)治理相關(guān)法律體系的關(guān)鍵議題，現(xiàn)行規(guī)定已經(jīng)做出了初步的制度設(shè)計(jì)?！毒W(wǎng)絡(luò)安全法》首次提出了安全評(píng)估的管理方式，第三十七條針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)明確了本地化存儲(chǔ)的原則，對(duì)于因業(yè)務(wù)需要，確需向境外提供的數(shù)據(jù)，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)進(jìn)行安全評(píng)估，安全評(píng)估的具體辦法由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定?！稊?shù)據(jù)安全法》第三十一條重申了《網(wǎng)絡(luò)安全法》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)的出境管理規(guī)定，同時(shí)規(guī)定其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。另外，我國(guó)汽車(chē)、金融、征信、醫(yī)療等有關(guān)行業(yè)領(lǐng)域的文件也針對(duì)行業(yè)數(shù)據(jù)的跨境流動(dòng)進(jìn)行了明確，如2021年8月20日公布的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》中規(guī)定“重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲(chǔ)，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)組織的安全評(píng)估。未列入重要數(shù)據(jù)的涉及個(gè)人信息數(shù)據(jù)的出境安全管理，適用法律、行政法規(guī)的有關(guān)規(guī)定”?？傮w來(lái)看，現(xiàn)行的數(shù)據(jù)跨境流動(dòng)制度以《網(wǎng)絡(luò)安全法》為主，明確了本地化和安全評(píng)估兩種管理舉措（僅針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的個(gè)人信息和重要數(shù)據(jù)），但是隨著數(shù)字經(jīng)濟(jì)全球化不斷加速推進(jìn)，數(shù)據(jù)的出境需求日益旺盛，出境場(chǎng)景不斷豐富，出境路徑需要在安全評(píng)估的基礎(chǔ)上進(jìn)一步拓展。

　　《個(gè)人信息保護(hù)法》進(jìn)一步完善了關(guān)于個(gè)人信息出境的管理規(guī)定，在《網(wǎng)絡(luò)安全法》基礎(chǔ)之上，增加了專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證、國(guó)家網(wǎng)信部門(mén)的標(biāo)準(zhǔn)合同等方式，個(gè)人信息出境的合法路徑日益便利。

　　一是安全評(píng)估。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估?！秱€(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》三部立法在跨境數(shù)據(jù)流動(dòng)方面形成了很好的銜接，側(cè)重從不同的角度對(duì)“安全評(píng)估”的適用范圍進(jìn)行了規(guī)定，《網(wǎng)絡(luò)安全法》側(cè)重從關(guān)鍵信息基礎(chǔ)設(shè)施的角度，明確了個(gè)人信息和重要數(shù)據(jù)的安全評(píng)估。2021年08月17日，國(guó)務(wù)院公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”的認(rèn)定標(biāo)準(zhǔn)也做出了進(jìn)一步的規(guī)定和細(xì)化；《數(shù)據(jù)安全法》側(cè)重從重要數(shù)據(jù)的角度，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)出境需要進(jìn)行安全評(píng)估，其他重要數(shù)據(jù)的出境管理規(guī)定另行制定；《個(gè)人信息保護(hù)法》側(cè)重從個(gè)人信息的角度，明確了關(guān)鍵信息基礎(chǔ)設(shè)施和處理個(gè)人信息達(dá)到一定數(shù)量的個(gè)人信息處理者，跨境提供個(gè)人信息需要進(jìn)行安全評(píng)估。當(dāng)前，安全評(píng)估的考量因素還有待進(jìn)一步明確?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》當(dāng)中均沒(méi)有明確規(guī)定進(jìn)行安全評(píng)估需要考量的因素，從個(gè)人信息合法權(quán)益保護(hù)的角度看，安全評(píng)估的考量因素可以包括傳輸個(gè)人數(shù)據(jù)的必要性、傳輸個(gè)人數(shù)據(jù)雙方的合同規(guī)定、境外接收方的個(gè)人數(shù)據(jù)保護(hù)能力、所在國(guó)的個(gè)人數(shù)據(jù)保護(hù)水平和相關(guān)立法等具體內(nèi)容，以期最大程度實(shí)現(xiàn)我國(guó)個(gè)人數(shù)據(jù)在傳到境外之后仍然能夠獲得足夠保護(hù)的目標(biāo)。另外，針對(duì)《個(gè)人信息保護(hù)法》中沒(méi)有規(guī)定應(yīng)當(dāng)進(jìn)行安全評(píng)估的主體，是否可以自愿申請(qǐng)進(jìn)行安全評(píng)估的情況，也有待相關(guān)立法進(jìn)一步明確。

　　二是保護(hù)認(rèn)證。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，可以按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證之后，將個(gè)人信息跨境提供到境外。專業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證是在國(guó)家網(wǎng)信部門(mén)的統(tǒng)籌協(xié)調(diào)下開(kāi)展的第三方認(rèn)證，同時(shí)兼具專業(yè)性和中立性，能夠有效確保個(gè)人信息出境之后獲得足夠的保護(hù)。但并非所有的個(gè)人信息處理者都可以使用認(rèn)證方式，按照《個(gè)人信息保護(hù)法》的規(guī)定，必須通過(guò)安全評(píng)估才能跨境提供個(gè)人信息的主體則不能僅僅依賴認(rèn)證這一方式。同時(shí)，通過(guò)認(rèn)證方式跨境提供個(gè)人信息的情況還有很多要素需要后續(xù)的配套制度規(guī)定進(jìn)行明確，如專業(yè)認(rèn)證需要考慮的要素、認(rèn)證有效期限、認(rèn)證之后是否需要在監(jiān)管部門(mén)處進(jìn)行登記等內(nèi)容。

　　三是標(biāo)準(zhǔn)合同。根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，可以按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)之后，將個(gè)人信息跨境提供到境外。通過(guò)標(biāo)準(zhǔn)合同跨境傳輸數(shù)據(jù)的制度最早始于2001年，當(dāng)前最具代表性和典型性的是《通用數(shù)據(jù)保護(hù)條例》（GDPR）中的規(guī)定，明確把標(biāo)準(zhǔn)合同作為可以將歐盟公民個(gè)人數(shù)據(jù)傳輸?shù)骄惩獾闹饕绞街弧！秱€(gè)人信息保護(hù)法》對(duì)這一方式進(jìn)行了吸收借鑒。相比于安全評(píng)估和專業(yè)機(jī)構(gòu)認(rèn)證的方式來(lái)說(shuō)，標(biāo)準(zhǔn)合同所具有的指導(dǎo)性和便利性更加適應(yīng)實(shí)踐需要。一方面，標(biāo)準(zhǔn)合同由國(guó)家網(wǎng)信部門(mén)制定，在很大程度上體現(xiàn)出了國(guó)家對(duì)于跨境數(shù)據(jù)流動(dòng)的保護(hù)要求，依據(jù)標(biāo)準(zhǔn)合同可以實(shí)現(xiàn)對(duì)個(gè)人信息跨境的良好保護(hù)；另一方面，國(guó)家公布標(biāo)準(zhǔn)合同之后，符合要求的個(gè)人信息處理者在跨境傳輸個(gè)人信息之前，只要按照標(biāo)準(zhǔn)合同中的內(nèi)容與境外接收方訂立合同即可，效率更高。2021年6月，歐盟委員會(huì)發(fā)布了最新的《國(guó)際數(shù)據(jù)轉(zhuǎn)移標(biāo)準(zhǔn)合同條款》，根據(jù)不同場(chǎng)景明確了不同出境要求，強(qiáng)化了對(duì)跨境傳輸個(gè)人信息的保護(hù)力度，未來(lái)，國(guó)家網(wǎng)信部門(mén)在制定標(biāo)準(zhǔn)合同的過(guò)程中也可以對(duì)歐盟的標(biāo)準(zhǔn)合同進(jìn)行一定參考。同時(shí)，個(gè)人信息處理者需要注意的是，標(biāo)準(zhǔn)合同文本只是個(gè)人信息出境合同中的一部分，個(gè)人信息處理者可根據(jù)自身需求與境外接收者就權(quán)利義務(wù)關(guān)系簽訂更具體的合同，但不得修改標(biāo)準(zhǔn)合同文本的條款，不得減損標(biāo)準(zhǔn)合同中的保護(hù)水平，且增加條款亦不得與標(biāo)準(zhǔn)合同文本相抵觸。

　　此外，《個(gè)人信息保護(hù)法》中還規(guī)定了個(gè)人信息可以跨境提供的特殊方式，如法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定了其他的條件的，以及我國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定的對(duì)向境外提供個(gè)人信息的條件等有規(guī)定的，可以適用其他的規(guī)定。

　　根據(jù)《個(gè)人信息保護(hù)法》的規(guī)定，三種個(gè)人信息出境方式的適用存在一定關(guān)聯(lián)。一方面，個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)具備安全評(píng)估、專業(yè)認(rèn)證、標(biāo)準(zhǔn)合同中的任一條件，但需要注意的是，關(guān)鍵信息基礎(chǔ)設(shè)施的個(gè)人信息和處理個(gè)人信息達(dá)到一定數(shù)量的只能通過(guò)安全評(píng)估之后跨境提供個(gè)人信息，這是沒(méi)有變更空間的。除此之外，其他個(gè)人信息處理者可以根據(jù)國(guó)家網(wǎng)信部門(mén)的規(guī)定選擇適用專業(yè)認(rèn)證或標(biāo)準(zhǔn)合同的方式跨境提供個(gè)人信息。另一方面，三種出境方式并非互相排斥，而是可以疊加使用的，即所有個(gè)人信息處理者均可以選擇兩種或兩種以上的方式，如必須進(jìn)行安全評(píng)估的主體可以疊加選擇保護(hù)認(rèn)證或標(biāo)準(zhǔn)合同中的一種或兩種方式，其他主體可以同時(shí)選擇保護(hù)認(rèn)證和標(biāo)準(zhǔn)合同的方式。

　　針對(duì)個(gè)人信息出境，除了第三十八條規(guī)定的一般性條件外，《個(gè)人信息保護(hù)法》還明確了兩項(xiàng)特殊性要求。

　　一方面，規(guī)定了單獨(dú)同意的要求。根據(jù)《個(gè)人信息保護(hù)法》第三十九條，個(gè)人信息處理者向中華人民共和國(guó)境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意。另一方面，規(guī)定了“同等保護(hù)水平”和“問(wèn)責(zé)制”的要求。根據(jù)《個(gè)人信息保護(hù)法》第三十八條，向境外提供個(gè)人信息的，個(gè)人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)。這一要求體現(xiàn)了主要國(guó)家和地區(qū)立法中通用的“同等保護(hù)水平”的思路。當(dāng)前，以GDPR為代表的多個(gè)國(guó)家和地區(qū)立法中均以本國(guó)的個(gè)人信息保護(hù)水平為基準(zhǔn)，明確個(gè)人信息跨境流動(dòng)要求，如GDPR規(guī)定只有歐盟委員會(huì)認(rèn)為其他國(guó)家或地區(qū)的個(gè)人數(shù)據(jù)保護(hù)水平能夠達(dá)到歐盟的標(biāo)準(zhǔn)時(shí)才能被列入“充分性保護(hù)”白名單；日本、俄羅斯、韓國(guó)等國(guó)家的立法中也有類似規(guī)定。但是，與國(guó)外立法判斷其他國(guó)家制度是否達(dá)到“同等保護(hù)水平”要求不同，我國(guó)《個(gè)人信息保護(hù)法》中規(guī)定，應(yīng)當(dāng)達(dá)到我國(guó)個(gè)人信息保護(hù)標(biāo)準(zhǔn)的是境外接收方處理個(gè)人信息的活動(dòng)。同時(shí)，《個(gè)人信息保護(hù)法》將確保境外接收方處理個(gè)人信息活動(dòng)達(dá)到我國(guó)標(biāo)準(zhǔn)的義務(wù)施加于個(gè)人信息處理者（即境內(nèi)傳輸方）之上，趨同于加拿大等國(guó)在跨境數(shù)據(jù)流動(dòng)管理中采用的“問(wèn)責(zé)制”原則，如加拿大《個(gè)人信息保護(hù)和電子文件法》規(guī)定，傳輸個(gè)人信息時(shí)，擁有或保管個(gè)人信息的機(jī)構(gòu)應(yīng)當(dāng)對(duì)個(gè)人信息負(fù)責(zé)，包括已經(jīng)轉(zhuǎn)移到第三方機(jī)構(gòu)的情形?！皢?wèn)責(zé)制”原則的使用能在一定程度上提高個(gè)人信息傳輸方的審慎注意義務(wù)。

　　從個(gè)人信息處理者的角度說(shuō)，在跨境提供個(gè)人信息過(guò)程中，應(yīng)當(dāng)考慮從以下方面完善相關(guān)的保障措施：事前，詳細(xì)了解境外接收方的數(shù)據(jù)保護(hù)能力，確保境外接收方未被國(guó)家網(wǎng)信部門(mén)列入“限制或禁止個(gè)人信息提供清單”；事中，嚴(yán)格監(jiān)督境外接收方是否按照合同約定的目的處理個(gè)人信息，是否將個(gè)人信息再次傳輸給其他方；事后，即合同目的達(dá)成后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或其他合法處理，且在境外接收方發(fā)生侵害個(gè)人權(quán)益事件后，支持和幫助個(gè)人行使權(quán)利。

　　除了對(duì)一般個(gè)人信息處理者的個(gè)人信息跨境提供活動(dòng)進(jìn)行要求外，《個(gè)人信息保護(hù)法》還對(duì)國(guó)家機(jī)關(guān)處理的個(gè)人信息做出更嚴(yán)格的要求。根據(jù)第三十六條規(guī)定，國(guó)家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)遵守本地化存儲(chǔ)的要求，確需向境外提供的，也只能通過(guò)安全評(píng)估這一種方式進(jìn)行出境。