委托跨境处理数据的治理困境

摘 要：数字化时代，数据跨境流动日益频繁，委托跨境处理数据成为企业开展跨国贸易、提高数据处理质量、减轻成本投入的一种业务选择，但委托跨境处理活动涉及角色多、委托类型杂、数据跨境场景多变等因素，给数据跨境治理带来挑战。研究委托跨境处理数据带来的治理困境，能为我国防范化解数据跨境的安全风险提供助益。文章通过总结当前我国法律法规对委托跨境处理数据的管理要求，结合具体跨境场景归纳3种典型委托跨境处理数据的场景，分析存在数据跨境合规申报、对境外委托方和受托方缺乏约束、层层外包难以管理的挑战，并提出对策建议。本文建议及时关注委托跨境处理数据存在的内在问题和风险挑战，强化对境外数据处理者的管理抓手，规范化管理委托处理活动，进一步明确委托活动中的合规问题，不断优化和完善数据跨境治理工作。

关键词：数据委托处理；数据跨境治理；数据出境安全；个人信息保护；数字经济

中图分类号：F742；G203；D920.4 文献标识码：A 文章编号：2096-0298（2024）07（b）--05

随着数字经济的高速发展，数据共享和个人信息的多方处理已经成为不可避免的趋势[1-2]，特别是信息技术颠覆式发展、数据跨境流动日益频繁、国际生产合作日益密切的背景下，企业可能因内部管理、业务开展等将数据的跨境处理活动委托给其他企业或个人，以减少企业信息化建设、维护等方面的成本投入，提高数据处理质量和效率。我国《个人信息保护法》《网络数据管理条例（征求意见稿）》等对数据委托活动进行了规定，但对于委托人、受托人的法律地位、法定义务和侵权责任存在一定的争论[2-4]。委托跨境处理数据的活动与常规数据委托活动不同，首先是涉及角色不同，除涉及数据处理者（委托方）、受托方，还涉及境外接收方；其次是跨境委托处理类型多样，由于委托方与受托方可能身处境内或境外，演化出不同委托类型。此外，由于受托方角色的加入，以及云服务的深入发展和广泛应用，数据跨境场景相比于常规数据跨境活动变得更加复杂。这些给数据跨境治理带来很大挑战。

本文归纳我国委托跨境处理数据的管理要求，深入剖析委托方、受托方、境外接收方的角色、责任等情况，总结委托跨境处理数据活动的三种委托类型和多种数据跨境场景，研究分析委托跨境处理带来的三大挑战，结合我国数据跨境治理的制度情况，提出破解委托跨境处理数据治理困境的对策建议。

1 委托跨境处理数据活动的角色界定

委托跨境处理数据的活动中主要涉及三类角色，分别是委托方、受托方、境外接收方。

1.1 数据处理者（委托方）界定

《个人信息保护法》第七十三条（一）规定“个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。因此，数据处理者强调在数据或个人信息处理活动中的自主权，能够决定数据的跨境处理是自己处理还是委托处理。根据《个人信息保护法》第二十一条，数据处理者在委托跨境处理个人信息的过程中应该与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的数据处理活动进行监督。委托人在委托跨境处理数据的过程中，应遵照《个人信息保护法》履行主体责任和义务。

1.2 受托方界定

根据《个人信息保护法》第二十一条，跨境处理数据的受托方应当按照委托约定的处理期限、处理方式、处理个人信息的种类等要求下开展。因此，受托方是由数据处理者决定受委托处理个人信息的，不具备自主决定权，在委托跨境处理数据的活动中不属于数据处理者。受托方在受托处理个人信息的同时，应当协助个人信息处理者履行个人信息保护的义务。

1.3 境外接收方界定

基于国家网信办发布的《个人信息出境标准合同办法》标准合同附件提供的定义，境外接收方“是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人”。由此可知，境外接收方位于境外，对于在境外接触的数据是由个人信息处理者提供的。因此，在委托跨境处理数据的活动中，境外接收方与受托方是平行概念，境外受托方在一些具体场景下可以作为境外接收方。

2 我国委托跨境处理数据的治理要求

2.1 数据出境合规要求

现阶段，我国已建立关于数据出境的合规路径和豁免情形的管理制度体系。首先，国家法律明确规定了数据跨境的基本规则。《网络安全法》《数据安全法》以及《个人信息保护法》等对关键信息基础设施运营者数据、重要数据、个人信息的出境进行了明确规定。其次，国家网信办出台的部门办法，确立了数据跨境合规的具体路径，分别为：申报数据出境安全评估、订立个人信息标准合同、通过个人信息保护认证，以及国家网信部门规定的其他情形。2022年以来，国家网信部门先后发布《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》《规范和促进数据跨境流动规定（征求意见稿）》，要求对于符合数据跨境规定情形的数据处理者应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证，规定了为订立、履行个人作为一方当事人的合同所必需等不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的豁免情形。

2.2 委托处理数据的要求

第一，《个人信息保护法》对委托处理个人信息进行规定，具体包括：一是对委托处理活动和委托责任进行了规定，要求委托方“应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督”；二是规定受托方处理个人信息的活动不得超出委托约定；三是规定转委托必须经委托方同意；四是规定受托方应当保障处理个人信息的安全，并协助个人信息处理者履行相应义务。

第二，《网络数据安全管理条例（征求意见稿）》对重要数据的委托处理进行了规定：一是要通过合同等形式明确双方的数据安全责任义务，不得超出约定的目的、范围、处理方式处理重要数据，数据处理者要对数据处理活动进行监督；二是要求留存委托处理重要数据的审批记录、日志记录。

第三，国家网信部门发布的《个人信息出境标准合同办法》《个人信息出境标准合同备案指南》在个人信息处理者与境外接收方订立的个人信息出境标准合同的相关条款中，对委托处理的范围、受托方转委托等约定进行了标准化。

2.3 境外数据处理者处理境内数据的要求

《个人信息保护法》和《网络数据管理条例（征求意见稿）》分别对境外数据处理者处理境内数据的法律适用进行了规定。《个人信息保护法》五十三条规定，境外处理境内个人信息的处理者应当在我国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务。

2.4 委托跨境处理数据治理的不足

总的来看，我国法律法规等对数据出境规则、委托数据处理、对境外处理我国境内个人信息等进行了相应规定。但相比委托跨境处理数据的复杂性、特殊性而言，治理要求和具体实践还需要通过司法解释等进一步明确。第一，对其中跨境委托处理的合规申报要求、委托与受托之间的约定细则未作明确，对于委托人和受托人的数据安全和个人信息保护的具体义务还未理清[5]，如告知义务、合理审查义务[6]。委托人和受托人的责任划分不清晰，容易构成法律漏洞[7-8]。第二，对数据保护的域外管辖治理的代表制度方面，还需要细化和完善。对于个人信息处理者在境内设置专门机构和指定代表、委托处理等要求相对清晰，但对数据的委托处理的机构设置、约定合同等要求还不明确。第三，现有的跨境数据治理制度中还存在一定不明确的地方，如数据分类分级规则、数据识别模糊等问题[9]。此外，现有的个人信息出境标准合同主要用于个人信息处理和境外接收方的法律约定，有学者认为外包链的合同关系复杂，委托方和单个受托方之间的个别型委托处理条款滞后于实践进展[10]，尚未明确数据再转移的规则[11]。因此，个人信息出境标准合同不能完全覆盖委托跨境处理数据的活动。

3 跨境处理数据的委托类型

委托跨境处理数据的活动共涉及委托方、受托方、境外接收方，但由于委托方、受托方因所在境内外不同导致数据处理活动存在明显差异，因此本文以委托方、受托方的境内境外作为划分准则，总结委托跨境处理个人信息共有3种类型。

3.1 委托类型一

委托类型一为跨境处理数据的委托方在境外，受托方在我国境内，受托方处理数据的来源既可以来自境外委托方，也可以直接受托在境内收集。《个人信息保护法》《数据安全法》等规定数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、删除等，因此类型一的委托处理活动的数据，可以由受托方在境内帮助委托方直接收集境内自然人的个人信息或重要数据。此类型的数据跨境场景主要存在两种：（1）受托方处理完毕后跨境传输给境外委托人。例如，人工智能数据标注工作，境外企业会将涉及人脸、语音等个人信息的人工智能训练数据委托境内企业进行标注，境内企业标注完毕后再返还境外企业。这种场景中对于处理数据来源于境外委托方的情况，称为数据的“两头在外”。（2）受托方对处理完毕数据后直接跨境传输给境外第三方企业。例如，跨国公司子公司将财务报表外包给第三方财务公司处理后，再将报表数据直接传输给母公司。

3.2 委托类型二

委托类型二为数据处理的委托方在我国境内，受托方在境外，受托方处理的个人信息来源于境内委托方。此类型的数据跨境场景主要存在3种：（1）委托处理的数据由受托方在境外保存；（2）受托方处理数据后返还给境内委托方，这种场景称为数据的“两头在内”；（3）按照委托约定，受托方处理后向境外第三方企业提供。例如，我国境内企业为方便跨国贸易，选择将涉及个人信息的贸易数据托管至微软、亚马逊等境外云服务，数据实际存储在境外，境内企业可以通过远程访问、调取查询，如果因业务需要也可通过境外云服务的线上系统直接提供给境外的其他合作伙伴或者个人。

3.3 委托类型三

如图1所示，委托类型三为数据处理的委托方、受托方均在我国境内，但委托的数据处理活动涉及跨境传输。此类型的数据跨境场景主要存在3种：（1）由受托方在境内存储，但境外可以访问。例如，境内企业将网站托管给境内网站运营维护公司，但网站服务为全球性服务，境外的企业、个人可以通过公共互联网直接访问，因此也涉及个人信息的跨境处理。（2）数据在境外处理后再返还给境内委托方，这种场景也属于数据“两头在内”的情况。（3）委托的数据处理活动是向境外其他公司提供。例如，我国境内企业可以委托具有跨境传输能力的企业帮助其将数据传输至境外，方便境外客户使用。

4 委托跨境处理数据的治理挑战

委托跨境处理数据因委托处理类型不同，数据跨境场景形式多样，给数据出境的合规申报、对境外委托方和受托方的约束、委托方层层外包管理等方面带来挑战。

4.1 数据出境的合规申报

根据我国数据出境管理要求，对于符合情形的个人信息或重要数据的出境活动应当申报数据出境安全评估、个人信息保护认证等数据出境安全管理程序。但在委托跨境处理数据的活动中，从原本数据跨境活动的数据处理者和境外接收方两种角色，增加了受托方角色，且受托方、委托方以及数据处理活动所在境内外的位置不同，使得企业数据跨境合规更加复杂，需要进一步通过相应规定的司法解释明确具体申报细节。

第一，需要通过司法解释明确委托活动申报主体。对于委托跨境处理数据的委托类型一、委托类型三，境内受托方处理完数据后按照委托方要求将数据跨境传输给境外其他公司的场景中，应由受托方还是由实际委托人来申报我国数据出境安全管理的相关程序，尚未形成统一要求。首先对于委托类型一，数据出境合规工作存在一定成本，境外委托方可能不愿意额外增加成本申报合规程序。其次对于委托类型三，虽然委托方和受托方均在境内，但仍存在申报不明确。若由委托方申报，委托方未必清楚处理活动的细节，使得委托方对新产生的个人信息的种类、规模、范围等不尽完全掌握，存在对个人信息的合规出境的“盲区”。例如，云服务中产生的可识别信息，包括用户ID、访问审计日志等。若由境内受托方申报相关程序，但实际的数据跨境提供活动是由数据处理者（委托人）和境外其他公司进行约定的，受托方与境外接收方就数据保护签订相关法律文件或者请境外接收方配合申报我国数据出境相关管理程序存在较大难度，致使申报程序无法实际开展。

第二，需要通过司法解释明确委托活动的境外接收方。首先，对于委托类型一，境内受托方处理完数据后传输给境外委托方，但委托方可能会再次提供给境外其他公司，这个过程应算作向境外提供还是算作提供后再转移尚不明确，无法确定境外接收方应为委托方还是境外其他公司，且《个人信息保护法》等法律中并未明确委托方也应协助或配合受托方保障我国个人信息权益或数据安全。其次，对于委托类型二，由于受托方在境外从境内委托方处接收数据，但数据出境后又由受托方按约定提供给境外其他公司，这种场景下，无法判断境外接收方应为受托方还是真实接收数据的境外企业。例如境内企业数据境外上“云”的过程。

第三，对于部分出境场景存在是否需要申报数据出境合规程序需要进一步司法解释。对于“两头在外”或者“两头在内”场景，是否需要申报我国数据出境安全管理相关程序存在不明确。“两头在外”或者“两头在内”是指，委托类型一、委托类型三数据来源于境外或境内委托方，境内受托方按照委托要求跨境处理数据完毕后又提供给境外或境内委托方的场景。首先，对于委托类型三“两头在内”受托处理个人信息的过程中，数据最终流回我国境内，数据跨境处理过程是否算作数据出境。其次，对于委托类型一“两头在外”的场景，未引入新的个人信息情况下，如果要求境内受托方申报数据出境相关程序，就会引发境外委托方的反感，不利于我国构造良好的跨境贸易环境，影响我国企业数字贸易服务的出口。

4.2 对境外委托方和境外受托方的约束

现阶段，委托数据跨境活动的境外数据处理者、受托方等可能未在我国设立分支机构。首先，我国法律未明确要求数据处理者对个人信息外的数据处理也应在境内设置专门机构或指定代表。其次，由于在境内设置专门机构或指定代表还不够细化[12]，存在境外数据处理者、受托方未落实我国《个人信息保护法》的有关要求。这使得对委托跨境处理数据的管理工作中，缺乏对境外数据处理者、境外受托方的约束、监督手段，可能无法做到全链条跟踪监督，数据出境后若出现安全事件可能会导致追责困难。

第一，委托跨境处理数据的活动可能存在不合规、不合法的情况，受托方难以衡量跨境处理活动的合法性、正当性、必要性。例如对于委托类型一，境外企业借助境内企业的收集个人信息的便利，将境内个人信息的收集活动委托给境内企业，境内委托方仅负责个人信息收集活动，不清楚、不了解境外委托方收集目的，存在数据出境后的安全隐患，给我国公民个人信息权益保护带来潜在威胁。第二，对于境外委托方的委托处理活动缺乏监督。例如，对于委托类型二，境外受托方若未完全按照委托约定处理数据，擅自存储、利用委托方提供的数据，可能造成数据泄露或非法转移的风险。第三，2018年美国通过《澄清域外合法使用数据法》（CLOUD法案）强调对数据的域外法权，在各国不断以国内立法的方式扩展本国域外管辖范围的背景下[13]，由于境外大型受托方技术垄断、资源垄断且具有价格优势，受托跨境处理活动变得更加集中，存在多方委托数据汇聚到少量受托方手中的可能，使得来源于我国的数据出境后的安全性缺乏保障。

4.3 受托方层层外包的法定义务履行

《个人信息保护法》第二十一条第三款规定，“未经个人信息处理者同意，受托人不得转委托他人处理个人信息”。但实际情况在委托跨境处理活动中存在履行法定义务困难的情况。第一，大型服务商的第三方服务商较多，难以逐一列举。以云服务为例，云服务的第三方厂商众多，包含运维、运营、软硬件供应商等，全部列举较为困难。第二，对于转委托的准确定义、颗粒度难以把握。例如，委托云服务商做数据的境外存储的数据跨境场景中，云服务商的硬盘供应商、维护商等第三方企业是否算作转委托难以衡量和判断，过度要求云服务第三方供应链透明化与现有的云服务的便捷化、轻量化、无感化的服务优势存在一定矛盾。第三，大型服务商利用垄断优势，成为跨境委托处理的强势方。例如对于委托类型二，境外云服务商微软、谷歌、亚马逊等为境内委托方提供公共云服务时，由于境外公共云是已有形态，往往委托方难以强加约束，境内委托方与境外云服务商签订的法律文件通常是境外云服务商提供的模板，委托方为相对弱势方，较难约束境外云服务商履行《个人信息保护法》相关要求。第四，受托方可能存在层层委托、层层转移的情况，多层委托处理监督难度加大，难以保证数据跨境传输过程中我国公民的个人信息权益不被侵害。

5 对委托跨境处理数据的治理建议

5.1 明确专门机构和指定代表要求

制定数据保护的域外管辖规则已成为各国立法的共识[12]。对处理我国数据的境外数据处理者要求境内设置专门机构和指定代表是数据保护域外规则的一种重要手段，在数据保护的域外管辖中扮演着极其重要的信息交通枢纽角色[9]。委托跨境处理我国个人信息的境外委托方、境外受托方，在我国境内设置专门机构和指定代表处理个人信息保护相关事务是《个人信息保护法》的内在要求。而对于委托跨境处理我国数据的境外委托方、境外受托方应参照《个人信息保护法》的要求在境内设置专门机构和指定代表。具体建议包括：第一，进一步明确专门机构和指定代表设置条件和管理要求。第二，将企业或个人在我国设置专门机构和指定代表，作为跨境委托处理、受托处理我国个人信息的活动的必需条件，强化对境外委托方、接受方的管理抓手。第三，进一步明确我国个人信息保护和数据安全的跨境司法、执法的规定，要求委托方、受托方以及境外接收方应对个人信息保护跨境司法、执法予以配合。第四，加强数据安全和个人信息保护的国际协商与合作，畅通个人信息安全事件的事后追责途径。

5.2 跨境处理委托活动可考虑订立制式合同

制式合同也称标准合同，是合同条款、内容是国家预先决定并强制纳入，其兼具个别规范和国家规范的双重属性[7]。建议有关部门制定标准化跨境处理数据的委托合同，对不同责任主体的侵权行为如何进行责任分配与责任承担进行梳理[14]，要求委托跨境处理数据的活动委托方、受托方应签订数据保护合同。第一，合同中应说明委托跨境处理数据活动的合法性、正当性、必要性。第二，合同应约定委托跨境处理数据的委托方和受托方义务。受托方应协助数据处理者申报我国数据出境相关管理程序、开展个人信息保护影响评估、告知并征得个人同意等，以及自身保护个人信息和保障数据安全的义务。委托方应配合受托方开展数据安全和个人信息保护的活动，以及对数据处理活动进行监督的义务。第三，合同应明确委托方、受托方的责任，特别是关于违反我国个人信息保护相关法律法规的行为和双方约定义务的行为应承担的责任。第四，要求双方设立个人信息权益保护的渠道，并向个人信息的持有者公开公告。第五，对多层、多级再委托的责任进行分类分级。委托方应为个人信息保护的第一责任人，对于受托方多层委托的难以逐一列举的情况在经委托方同意的前提下，受托方应对多层、多级再委托的个人信息保护负有直接责任。

5.3 分类明确数据跨境委托的申报要求

对于符合需要我国数据出境安全管理要求的委托跨境处理数据活动：第一，境外受托方经与委托方协商同意，可以作为境外接收方申报我国数据出境相关程序；第二，鼓励委托方、受托方联合申报数据出境安全评估等数据出境相关程序，数据处理过程中加工、产生的全量个人信息均需按要求申报；第三，根据国家网信办发布的《规范和促进数据跨境流动规定（征求意见稿）》明确促进数据有序流动的要求，对于符合豁免情形的也应在数据跨境活动开始前履行开展个人信息保护影响评估、告知并征得单独同意等法定义务，以及应落实网络安全、数据安全的管理和技术保障；第四，建议对“两头在内”的跨境处理、少量个人跨境远程访问等情形，不在境外存储的，可以考虑豁免申报我国数据出境管理相关程序。

6 结语

数据作为数字经济深入发展的核心引擎，正在成为重组全球要素资源、改变全球经济结构的关键[15]。在此背景下，随着数据处理的精细化、专业化发展，委托跨境处理数据的活动将更加普遍化。然而委托跨境处理数据活动，涉及角色多、委托类型杂、数据跨境场景多样，我国数据跨境、数据委托等的治理实践中存在缺乏衔接、落实困难的情况，致使我国数据出境后存在数据安全和个人信息权益受到侵害的风险，给我国数据跨境治理带来挑战。我国应及时关注委托跨境处理数据存在的治理困境，强化对境外数据处理者的管理抓手，规范化管理委托处理活动，进一步解决委托活动中的合规治理问题，防范和化解数据出境安全风险。

参考文献

王利明.数据共享与个人信息保护[J].现代法学，2019，41（1）：45-57.

阮神裕.个人信息委托处理中受托人的地位、义务与责任[J].当代法学，2022，36（5）：110-119.

杨合庆.中华人民共和国个人保护法释义[M].北京： 法律出版社，2022.

程啸.个人信息保护法理解与适用[M].北京： 中国法制出版社，2021.

王希琛.委托处理个人信息侵权责任的认定困境与纾解路径[J].吉林省教育学院学报，2023，39（11）：181-186.

周光权.委托处理个人信息与侵犯公民个人信息罪： 结合《个人信息保护法》第21条的分析[J].环球法律评论，2021，43（6）：23-39.

曹明德，赵峰.委托处理个人信息的私法规制[J].重庆大学学报（社会科学版），2022，28（4）：203-215.

王希琛.委托处理个人信息侵权责任的认定困境与纾解路径[J].吉林省教育学院学报，2023，39（11）：181-186.

梅傲，潘子俊.企业跨境数据合规的治理模式、难题审视及合规进路[J/OL].情报理论与实践：1-9[2024-02-14].http：//kns.cnki.net/kcms/detail/11.1762.G3.20240112.1248.002.html.

金晶.作为个人信息跨境传输监管工具的标准合同条款[J].法学研究，，2022，44（5）：19-3.

李仁真，罗琳娜.欧盟数据跨境传输标准合同条款新发展及启示[J].情报杂志，2022，41（5）：146-153.

刘业.域外管辖规则下的代表制度： 欧盟GDPR的实践与启示[J].武大国际法评论，2023，7（6）：76-95.

万方，赵琳琳.数据域外管辖趋势及我国的立法应对[J].图书情报知识，2021，38（4）：136-145.

陈龙江，郑淑琳.论个人信息委托处理的私法规制[J/OL].海南大学学报（人文社会科学版）：1-11[2024-03-03].https：//doi.org/10.15886/j.cnki.hnus.202206.0103.

陈胜，王可心.数字经济时代个人信息跨境流动规制问题研究[J].中国商论，2023（24）：44-47.