跨境数据流动的法律风险与治理建议

内容提要：数字经济时代，数据的跨境流动在促进数字创新、提高经济增长效率、增进社会福祉等方面发挥着越来越重要的作用，各国亦日益重视，并采取了不同的数据跨境政策。但相应地，数据跨境流动问题频发，我国在这方面也面临诸多法律风险，主要集中于数据安全、隐私保护、企业违规等。本文从上述法律风险产生原因出发，探讨我国跨境数据流动治理中面临的主要问题，并结合浙江自贸区建设实际，探索我国跨境数据流动法律治理体系的完善路径，以及跨境贸易企业及平台在个人信息出境中的合规机制。

关键词：跨境数据流动 企业合规 个人信息出境 跨境电子商务

在全球化浪潮推动下，数据跨境流动的规模持续扩大，各国纷纷基于自身利益需求，探索规制路径，在数据安全和自由流动之间寻求平衡。我国作为互联网大国，亦高度重视数据资源价值，已初步形成数据治理的基本规制体系。

一、跨境数据流动的概况

（一）跨境数据流动的概念

在探讨跨境数据流动（Cross-Border Data Flows）的概念前，首先应明确数据的定义。通常而言，数据是指对客观事件进行记录并可以鉴别的抽象符号，是对客观事物的性质、状态及相互关系等进行记载的物理符号或物理符号的组合。在计算机科学中，数据是指所有能输入计算机并被计算机程序处理的符合介质的总称。其中，最简单的为数字，还可体现为具有一定意义的文字、图像、声音、视频等。数据具有可复制性、流动性、基础性。

关于跨境数据流动，经济合作与发展组织（Organization for Economic Co-operation and Development，OECD）在1980年发布的《隐私保护和个人数据跨境流动指南》中首次提出了跨境数据流动的概念。早期跨境数据流动的研究仅针对个人数据，随着数字经济和新型数字技术不断发展，越来越多的数据类型参与到跨境流动的大潮中。目前，国际上对跨境数据流动的概念界定还存在差异，尚未形成统一认知。综合比较可知，国际上对跨境数据流动的内涵与外延界定主要包括两类：一类是数据跨越国界的传输、处理与存储；另一类是尽管数据尚未跨越国界，但能够被第三国主体进行访问。参见张茉楠：《数字主权背景下的全球跨境数据流动动向与对策》，载《中国经贸导刊》2020年第18期。

关于数据治理，目前尚无统一定义。国际数据管理协会（Data Management Association International，DAMA）认为，数据治理是对数据资产管理行使权力和控制的活动集合。换言之，任何围绕提高数据质量、释放数据价值、保障数据安全开展的行为，都可以被纳入数据治理的范畴。当前数据主体多样、体量巨大、涉及诸多领域和环节，数据治理天然具有多学科、多维度、多层面的特征。参见刘乃贵：《个人信息、社会数据与立法选择——大数据时代数据治理的法治进路》，西南财经大学2020年博士学位论文。

（二）跨境数据流动的分类

1.个人数据

我国《信息安全技术 个人信息安全规范》将个人数据定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。国家市场监督管理总局、国家标准化管理委员会2020年3月6日发布的《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第3.1条。OECD发布《隐私保护和个人数据跨境流动指南》提出个人数据跨境流动的概念距今已有四十多年，其间个人数据跨境流动的规模、渠道及相关法律规制均发生了变化，呈现规模快速扩张、类型不断丰富的新趋势。一方面，跨境电商等新兴业态的发展壮大助推了个人数据跨境流动规模的持续扩张；另一方面，移动通信技术在硬件和软件领域的高速发展促进了当前以手机为主的移动网络应用平台的发展，借助相关新兴技术，跨境流动的个人数据类型日益丰富，位置信息、支付信息、社交网络信息等也成为跨境流动的个人信息的重要组成部分。个人数据在跨境流动中由单一逐渐走向丰富，体现了信息化和全球化浪潮给个人带来的巨大便利，也使个人隐私保护成为全球跨境数据流动治理中的一个重点领域。

2.组织数据

组织数据，是由组织采集、持有、使用的数据，其中占比最高、最具代表性的是企业数据。通常而言，企业数据是指所有与企业经营相关的信息、资料，包括公司概况、产品信息、经营数据、研究成果等。参见郑水生：《大数据背景下企业管理模式创新》，载《财经界》2019年第7期。在信息化、全球化进程高速发展的当下，很多企业借助数字技术，打破了地域、国境限制，结合自身优势进行全球布局。互联网企业作为全球范围内跨境数据流动的重要参与者和主要载体，享受着数据流动带来的资本、市场等方面的利益。一方面，跨境数据流动能支撑企业全球布局。以互联网企业为例，其开放互联的特性，以及业务线上化、运营国际化等现实需要，使跨境数据流动成为促进互联网企业在全球范围内发展和扩张的巨大动力。例如，以阿里巴巴、亚马逊为代表的电商平台，以抖音为代表的短视频平台，通过互联网采集、分析、处理并跨境传输数据，实现了其业务全球化的商业目标。另一方面，跨境数据流动能显著降低企业运营成本。企业既可以通过互联网以远程方式提供跨境服务，也可以在线签订商业协议、完成资金交付。数量众多的中小型企业在相关技术和平台的支撑下，得以尽享全球化和信息化浪潮的东风。

二、跨境数据流动的法律风险与治理困境

跨境数据流动给世界发展带来诸多好处，同时也蕴含着一定程度的风险。例如，个人生物识别信息、日常行程轨迹、账号密码等个人数据被恶意利用或出售，将造成个人隐私和财产安全隐患；企业运营数据、核心平台代码等商业数据若发生泄露或被不法分子窃取，将导致企业的商业机密和知识产权面临严重威胁。

（一）法律风险

1.数据安全

数据是否得到充分保护，直接关系数字经济运行的有效性。网络安全是发展数字经济的前提条件，而数据合规成为跨国企业需要解决的重要问题。我国企业自准备出海之日起，在熟悉地方法规、民俗文化的同时，也应提前考量数据公开带来的风险。如何兼顾维护用户利益与保障数据安全，是跨境数据流动议题中的难题。从国际社会对跨境数据流动网络安全的重视程度来看，大多数国家和地区基本都日益重视在网络安全领域进行立法，但仍有国家暂未对该领域进行立法保护，使数据安全成为薄弱环节。从企业的网络安全投入看，虽然较多企业意识到网络安全对于企业日常运营的重要性，但仍存在网络安全预算不足、专业技能人才短缺等问题，这在缺乏资源的中小企业中较为普遍。

2.隐私保护

平台经济的发展横跨电子商务、社交媒体和各类应用软件，在用户使用过程中产生的跨境数据多为个人数据。此类数据通过网络上的信息交互，产生的最直接诉求即为对个人信息的保护。在跨境数据流动背景下，就是要确保个人数据在境外依然能够得到与其在境内相同程度的隐私保护。此种保护主要涉及三方面：一是在境内隐私保护制度不完善的情况下，如何限制个人通过跨境数据流动来规避境内监管制度；二是在已有境内隐私保护制度的情况下，如何确保流至境外的个人数据不会发生隐私风险；三是在流至境外的个人数据发生隐私风险时，如何保证相关个人能够得到有效救济。

3.企业违规

为保障数据安全，国家相继出台多部法律法规，明确企业对个人数据、重要数据的保护要求，规定企业在数据存储、处理、出境等方面的责任和义务。但仍有部分企业违反法律规定，因数据泄露被惩处。2022年5月11日，我国首例涉及高铁运行安全的跨境数据泄露案件详情被披露。上海某信息科技公司接受一境外公司委托，在对方规定的北京、上海等16座城市及相应高铁线路上，采集了我国铁路信号信息（包括物联网、蜂窝和高铁移动通信专网敏感信号等数据），并在数据采集设备上为该境外公司开通了远程登录端口，方便境外公司实时获取对应的测试数据，严重威胁了国家安全。参见谭峻楠：《数据跨境流动相关法规及治理实践》，载微信公众号“CCIA数据安全工作委员会”，2023年11月7日。经检索发现，多起企业因未注重数据安全而导致数据存在泄露风险、数据被实际窃取并传输到境外，进而被行政处罚。这些案件都体现了企业在数据安全保障、跨境数据流动方面可能存在违反我国法律法规的行为。

（二）我国的相关法律法规

根据法律制定机关和效力等级的不同，我国从法律（含地方法）、行政法规、部门规章、司法解释和行业标准五个层级对跨境数据流动作出了不同层次的规定和要求。在法律方面，目前与跨境数据流动相关的法律是《网络安全法》《数据安全法》《个人信息保护法》。在行政法规方面，为保障关键信息基础设施安全和维护网络安全，国务院于2021年7月30日发布《关键信息基础设施安全保护条例》。在部门规章层面，工业和信息化部于2022年12月印发《工业和信息化领域数据安全管理办法（试行）》，以及国家互联网信息办公室（以下简称“国家网信办”）等先后发布《网络安全审查办法》《数据出境安全评估办法》《汽车数据安全管理若干规定（试行）》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等。2023年9月28日，国家网信办又发布关于《规范和促进数据跨境流动的规定（征求意见稿）》。为推动相关工作开展，深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过了《深圳经济特区数据条例》，这是我国数据领域首个基础性、综合性地方立法。此外，我国曾发布《数据安全管理办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》等文件。2023年6月29日，国家网信办与香港特别行政区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。签署公告中提到，各方将在国家数据跨境安全管理制度框架下，建立粤港澳大湾区数据跨境流动安全规则。上述合作备忘录的签署是数据跨境双边多边协议的开始，既有利于推动国内统一大市场和国际国内双循环经济格局的形成，也有利于打造大湾区内部紧密的数据要素流转利用生态。目前，其配套措施正在制定中。冯恋阁、张雅婷、尤为：《数据跨境迎重要进展，粤港澳大湾区数据跨境流动合作备忘录签署》，载微信公众号“广东粤港澳大湾区研究院”，2023年7月3日。

（三）跨境数据流动的治理困境

1.法律法规的层级不高

目前，跨境数据流动的保护与规制系统分散，各国的利益诉求、监管方法、数据理念各不相同，对数据如何使用和流动规定的措施差异很大。参见时业伟：《跨境数据流动中的国际贸易规则：规制、兼容与发展》，载《比较法研究》2020年第4期。就我国而言，分析上述颁布施行的法律法规可以发现，主要问题在于：一是我国跨境数据流动法律法规的层级较低，多为部门规章，部分法律法规内容不够清晰，部分规则措施有待进一步细化落实并应由有关机构作出详细解释说明；二是监管体系不够完善，数据跨境流动监管能力和保护水平尚存不足；三是参与跨境数据流动有关国际规则较少，国内监督体系与国际协议的高水平监管标准尚存差距。我国应及时有力输出国内经验，积极参与数据跨境流动双边、多边协议签署和国际规则制定，以更好地参与跨境数据流动国际监管体系的建立。

2.企业合规意识不强

随着企业跨境数据流动规模不断扩大、类型不断增加，跨境数据采集、传输、处理、应用等环节和场景的复杂化，企业在运营中涉及跨境数据流动的问题不断增多。大型企业已逐步建立了数据跨境传输的合规意识，但中小型企业囿于技术、财力等限制，仍未能建立有效的企业内部合规机制，可能面临大额的数据出境违规惩处措施。另外，企业在进行跨境数据流动合规审查的实际操作过程中，也面临诸多问题：一是对国内法律规定中的部分内容，如重要数据等概念、“单独同意”规则的适用情形等理解不清；二是各国发布的法律规定、标准合同条款等存在差异，加之企业对国外的合规要求并不明晰，导致企业经营无所适从，可能引发违规风险。为适应向不同国家或地区传输数据时履行不同的合规义务，增加了数据跨境传输合规管理的沟通协调成本。

3.跨境电商行业发展受制约

2014年，随着一系列促进政策和监管措施出台，我国跨境电商发展进入了爆发期。各大国内外品牌商、电商平台、传统零售企业纷纷涌入，天猫国际、网易考拉、小红书等一大批跨境电商零售进口平台和企业出现，我国网购市场规模在社会零售中保持稳中有升的趋势，进口交易在跨境进出口交易中的占比规模不断扩大。2015年，我国决定在跨境电商领域加大综合改革试验，3月杭州市成为全国首个获批设立跨境电子商务综合试验区的城市。其加快先行先试，从体制、机制和行业发展等方面引领全国跨境电商发展。一方面，跨境电商交易中涉及的数据类型繁多，在数据流动过程中需要满足实时、高效的要求；另一方面，随着数据规模不断扩大，对企业数据处理和分析的能力也提出了更高要求。得益于加快的全球化进程和蓬勃发展的互联网技术，数据跨境流动技术成本呈下降的态势，但为满足数据安全、个人信息隐私保护等不同的合规要求，企业必然会有大量的成本投入。如果过度强调有关秩序的建立和管制，可能在一定程度上制约跨境电商的发展；但如果监管过于宽泛，也容易引发跨境数据流动安全等问题。因此，如何科学合理地构建跨境电商数据流动秩序是亟待解决的难点。

三、跨境数据流动的治理建议

目前，世界各国对于跨境数据流动的法律规定主要有两种模式：美国模式和欧盟模式。美国认为，数据和信息的自由流动是数字经济下贸易协定的关键要素，其所推行的政策重点是鼓励数据自由流动，以便获取境外数据。国内制度方面，美国并未出台关于跨境数据流动的统一规则，主要是根据其贸易体系和规则的需要进行人员、机构和政策的安排。参见孙方江：《跨境数据流动：数字经济下的全球博弈与中国选择》，载《西南金融》2021年第1期。欧盟虽然也支持数据自由流动，但更重视个人数据保护，侧重以建构数据权利体系的方式对跨境数据流动作出限制。一方面，欧盟注重对个人基本权利的维护，其将个人数据权视为个人基本权利。如《欧盟基本权利宪章》第8条赋予个人具有保护个人数据的基本权利，强调对成员国监管机构的监管。《欧盟基本权利宪章》第8条规定：“1.每个人都有权利保护与其相关的个人数据。2.此类个人数据在接受处理时必须是基于特别目的，且经过个人允许或遵循相关法律要求。每个人都有权利访问那些被收集起来的、与其相关的数据，也有权利修改并撤销它们。3.应有独立的部门和机构来履行以上规则。”另一方面，为保证法律的权威性，其采用统一立法模式严格保护个人数据，将公共机构、私人机构均纳入调整范围，协调欧盟各成员国及所涉部门以充分保护个人数据，参见田晓萍：《贸易壁垒视角下的欧盟〈一般数据保护条例〉》，载《政法论丛》2019年第4期。出台了《108号公约》即《关于个人数据自动化处理的个人保护公约》，是欧洲委员会出台的全球第一个具有约束力的国际性数据保护条约，也是欧洲第一个针对跨境数据流动进行规制的区域性法律文件，于1981年1月28日对成员国及非成员国开放签署，1985年10月1日正式生效。《数据保护指令》即《关于保护个人数据处理和自由流动的第95/46/EC号指令》，欧洲议会和欧盟理事会于1995年10月24日出台，其效力终止于2018年5月24日《通用数据保护条例》正式生效前。《通用数据保护条例》（General Data Protection Regulation，GDPR）《通用数据保护条例》2016年4月27日获得通过，2018年5月24日正式生效，全面替代《数据保护指令》。GDPR不需成员国单独批准，在欧盟层面生效后，即视为在各成员国同时生效。其在继承《数据保护指令》重要内核的基础上，扩大了数据保护范围，旨在建立欧盟范围的统一协调机制，以降低数据跨境流动成本。等。根据GDPR的规定，其提供了直接适用于欧盟所有成员国的单套规则，确保在企业层面法律具有确定性、在公民个人层面于欧盟范围内具备统一的数据保护水平。在个人数据跨境传输方面确立了三个保障机制，包括“基于充分保护的数据转移”原则、有约束力的公司规则（适用于集团企业内部间的个人数据传输，须经监管机构批准）和标准合同条款（签订欧盟委员会制定的个人数据跨境传输标准合同）。基本的规则为授予欧盟委员会确立非欧盟国家是否具备充分保护数据水平的权力，即在一国国内个人数据保护的水平等同于欧盟内部保护水平时，个人数据可以从欧盟流向该国，无须进一步的保护措施。GDPR第45条对“基于充分保护的数据转移”原则进行规定，即“当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或多个特定部门、国家组织具有充分保护，可以将个人数据转移到第三国或国际组织，此类转移不需要特定的授权”。该条同时还对欧盟委员会评估保护程度是否具备充足性时应考虑的因素、具体实施性法案应具备的内容、补救或替代措施等进行了规定。同时，还规定了在没有获得充分保护的情况下，应当采取适当保障措施弥补数据保护水平不够的情况GDPR第46条规定，只有传输者能够提供适当的保障措施，确保充分的数据保护，并且在数据主体可获得其权利可强制执行和有效法律救济的条件下，数据才可从欧盟向不具备充分条件的第三国传输。该条还对无须监管机构特别授权的适当保护措施以及须经监管机构特别授权的适当保障措施进行了分别规定。及例外情形GDPR第49条对“可以依赖的跨境数据传输可豁免情形”进行了规定，包括已履行了告知缺乏充分性决议和适当性保障措施而仍获数据主体明确同意的传输、对于履行合同为必要的传输、出于重要公众利益的传输、对行使法律诉请为必要的传输，等等。。

由于国家间历史文化背景、国家发展理念、经济市场环境不同，我国在跨境数据流动规制方面不能照搬他国经验，而应结合国家实际和国际环境的变化，走出适合我国国情的道路。本文所作研究即坚持此种立论方法，主要系根据浙江自贸区建设实际，结合杭州互联网法院所作有关个人信息（数据）出境场景中的企业合规司法指引的调研情况，并根据国情实际和突出问题进行相应研究。

（一）健全完善我国跨境数据流动法律体系

就法律体系的完整性而言，数据跨境流动问题作为新型国家安全问题，需要完善的法律法规加以规制，但规则的制定既要保证秩序的建立，同时还要维护市场交易能够自由进行。因此，我国所制定之规则应统筹考量不同的利益和位阶诉求，确保规则具有可操作性，对跨境数据流动的类型、范畴、处理方式、保护措施、风险防范以及禁止和限制数据跨境流动的范围、标准等进行明确规定，从而增强企业和其他主体的可预见性，平衡国家安全和经济发展，做到既能保护国家、社会、个人之利益，又能实现数据依规合法跨境流动和分享，为国家对数据的跨境流动规制提供审查或执法依据，确保数据跨境流动的安全性。参见许多奇：《个人数据跨境流动规制的国际格局及中国应对》，载《法学论坛》2018年第3期。

目前跨境数据流动领域可能衍生出的纠纷类型，主要为境内外当事人之间的侵权责任纠纷、境内外围绕数据交易的合同纠纷、当事人与政府有关部门间围绕数据流动审查的行政纠纷。虽然《网络安全法》《数据安全法》《个人信息保护法》可对其进行专门规制，但分析上述可能涉及的纠纷类型，除有关的行政纠纷外，另外产生的侵权责任纠纷、合同纠纷可依据《民法典》的有关规定、精神加以规制。但在哪些情形下可作为判定一方是否存在侵权行为、违约行为的依据，需要依照具体的审查标准确定，而审查标准多是行政法规、部门规章，层级较低，法院审理案件时可能面临法律依据不足的情形。因此，先行制定与此相关的规章制度，在运行中发现问题并根据实际情况及时调整，逐步完善有关制度设计，有其必要性。

各国跨境数据流动方面的立法存在差异。我国应依据国情，在加紧建立健全我国跨境数据流动法律规则体系的同时，积极参与国际平台关于跨境数据流动规则的探讨和磋商，成为推动数据跨境流动国际监管协调的参与者，积极推行我国的数据跨境流动监管规则和监管标准，推动构建跨境数据流动多边协调机制。例如，加强与RCEPRCEP，全称Regional Comprehensive Economic Partnership，即《区域全面经济伙伴关系协定》，2020年11月15日由中国、日本、韩国、新西兰、澳大利亚和东盟十国正式签署。成员的内部合作。考虑到东盟不仅是RCEP的核心成员，也是我国“一带一路”倡议的重点合作伙伴，需尤其推动与东盟国家的共治共享。参见田原：《〈区域全面经济伙伴关系协定〉强化中国—东盟合作前景》，载《世界知识》2020年第16期。东盟已发布《东盟数据管理框架》《东盟跨境数据流动示范合同条款》等规定，我国可针对东盟已形成的认证手段和保障措施，推行相关规则和机制，确保在维护双方数据安全和数据权益的同时，实现数据有效互通。对发达国家成员国，可采取不同的措施。就同属于东亚地区的日本和韩国，我国应利用RCEP的发展契机与其搭建更为密切的东亚数字商贸圈，参见李鸿阶：《〈区域全面经济伙伴关系协定〉签署及中国的策略选择》，载《东北亚论坛》2020年第3期。并在相关自由贸易协定中纳入实质性的跨境数据流动与数据保护条款；就澳大利亚、新西兰和新加坡，因其同为RCEP与CPTPPCPTPP，全称Comprehensive and Progressive Agreement for Trans-Pacific Partnership，即《跨太平洋伙伴关系协定》，由澳大利亚、文莱、加拿大、智利、日本、马来西亚、墨西哥、新加坡、新西兰、秘鲁和越南签署的旨在推动经济合作和贸易自由化的贸易协定，其前身为《跨太平洋伙伴关系协定》（Trans-Pacific Partnership Agreement，TPP）。的成员国，我国可以借由向CPTPP电子商务规则靠拢的契机，逐步加强与三个国家在数据传输方面的深入合作。

（二）依法适用个人信息出境“单独同意”规则

在个人信息处理过程中，应遵循的一项重要原则为“告知—同意”原则，即在信息处理者收集和处理个人信息之前，应当先履行对信息主体的告知义务，再经过信息主体的“同意”授权。该规则的确立可以很大程度上保障个人对其信息自主决定的权利，体现了立法对人格权益与私人自治的尊重与保护。参见郑佳宁：《知情同意原则在信息采集中的适用与规则构建》，载《东方法学》2020年第2期。个人信息的使用涉及多元利益牵扯，对个人信息的保护应不同于对隐私权的绝对保护，关键在于构建个人信息保护与利用的良好合理秩序。参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。“告知—同意”规则是个人信息合法处理的一般性规则，应有例外情形以弥补该规则的不足。

《民法典》在第四编“人格权”中专章规定了“隐私权和个人信息保护”，其中第1035条规定，处理个人信息应当遵循合法、正当、必要的原则，且不得过度处理，并应征得自然人或其监护人同意，但法律、行政法规另有规定的除外。《民法典》第1035条规定：“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；（二）公开处理信息的规则；（三）明示处理信息的目的、方式和范围；（四）不违反法律、行政法规的规定和双方的约定。”《个人信息保护法》在此基础上进行了制度扩展，其框定了“告知—同意”的总体原则，同时将无须经同意即可收集和利用个人信息的合法途径予以列明。就个人信息主体的权利设置方面，《个人信息保护法》赋予个人“同意撤回权”，以使其具备撤销相应授权的权利。同时，规定了“删除权”，使个人信息主体在特定情形下可以完全阻断信息处理者对个人信息的接触。

就敏感信息的类别，《个人信息保护法》进行了扩充，列举了大部分国家都没有列举的金融账户、个人行踪等。在提升信息处理者的积极性方面，《个人信息保护法》第53条、第54条分别规定了特色鲜明的合规审计、风险评估制度。在行为规制方面，《个人信息保护法》规定，信息处理者在信息处理时应加强对个人信息的保护，同时规定应由国家网信部门统筹工作，负责具体规则、标准的制定以及新技术的研究，明确了政府监管的有关职能部门及其职责。概言之，《个人信息保护法》的制度设计是针对我国国情作出的个人信息保护制度设计。

就“告知—同意”规则的具体内容，《个人信息保护法》第39条规定，个人信息处理者在遵循公开、透明原则，明示处理目的、方式和范围的基础上，还应告知境外接收方名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使该法定权利的方式和程序等事项，并取得个人的单独同意。根据《个人信息保护法》的规定，单独同意制度适用于法律规定的特定的几种个人信息处理事项《个人信息保护法》第23条、第25条、第26条、第29条。，以及适用于跨境提供个人信息的场景。《个人信息保护法》第39条。但若个人信息处理者处理个人信息属于为“履行合同所必需”“实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为”，以及“处理个人自行公开或者其他已经合法公开的个人信息”等情形时，不需要取得个人的同意即可对其个人信息进行处理。《个人信息保护法》第13条。换言之，原则上应当优先保护个人的人格权益，只有取得个人同意才可以进行相应处理，但在少数情况下兼顾个人信息的利用价值，在有限列举的特定例外情形下不需要取得个人同意而处理其个人信息。参见李爱君、孙彦东：《论非基于个人同意的个人信息处理与单独同意规则的体系解释》，载《西北工业大学学报（社会科学版）》2023年第3期。

在适用个人信息保护规则进行个人信息跨境流动过程中，企业于合规方面应注意以下三方面的问题。

1.单独同意采取的具体形式

单独同意是指个人信息处理者向境外提供个人信息时，应就一次单独的处理进行对应告知，并获得个人信息者的单独同意。因此，单独同意的获取必须保证同意的独立性，这意味着形式上不可通过一次性概括授权，或与其他授权、其他非必要服务捆绑的一揽子式，甚至是无感知收集方式（如人脸识别信息），且应当达到一定的明示标准。李占国等主编：《中华人民共和国个人信息保护法条文解读与法律适用》，中国法制出版社2021年版，第104-105页。实践中，有商家将“向境外提供个人信息”的知情同意条款纳入隐私政策等条款中，以一揽子方式获得用户同意，有违反单独同意要求之嫌。因此，从企业合规角度出发，建议企业或平台以单独弹窗方式将有关内容进行明确告知以取得用户的单独同意。

2.是否还须取得个人信息主体的同意

对于个人信息处理者依据《个人信息保护法》第13条第1款第2项至第7项规定《个人信息保护法》第13条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”场景获取的个人信息，如果涉及跨境流动，依照《个人信息保护法》第39条的规定，该跨境提供个人信息的场景应当取得个人信息主体的单独同意，且未设定例外情形。而《个人信息出境标准合同办法》附件《个人信息出境标准合同》第2条第3项中规定“基于个人同意向境外提供个人信息的，应当取得个人信息主体的单独同意”。此种规定内容与上述《个人信息保护法》第39条的规定稍有不同，更符合实际，但该规定仅为部门规章后附的标准合同模板，效力上有所欠缺。不过，若个人信息处理活动的合法性基础自始涵盖个人信息出境事宜，自然无须另行获得单独同意，如跨国公司依据劳动规章制度和集体合同进行跨境人事调动等人力资源管理行为。但如果“向境外提供个人信息”的处理目的并非自始包含于信息处理活动的合法性基础，个人信息处理者向境外提供个人信息时是否需要取得个人单独同意则存有疑问。而就此问题分析，实际系涉及个人信息主体就其个人自决事项与个人信息处理者依据法律规定的合法性运用间如何衡量的问题。参见万方：《个人信息处理中的“同意”与“同意撤回”》，载《中国法学》2021年第1期。理论界对此存在较大争议，从尽量减少企业合规风险的角度出发，考虑到《个人信息保护法》就出境场景下取得单独同意未规定例外情形，建议企业应从严把握，将取得个人信息主体的单独同意作为信息出境的基本原则。

3.同意撤回制度的应对

该制度是规定在给予信息处理者收集和使用信息的授权之后，个人信息主体可在任意情况下撤销此类授权，要求信息处理者立即终止相关信息活动。其实质是一种意思表示的撤销，但不具有自始无效性，而是此后无效，即禁止对已经收集的个人信息继续使用和禁止对其余个人信息继续收集。该制度实际系对“告知—同意”模式的补充和修正，使个人基于有限的认知所作信息处理的授权，可在使用情况发生变化或自身修正原来认知后进行补正，有利于平衡个人与信息处理者的不对等地位，彰显个人对其人格权益的自主支配，体现了法律对人的主体性和自主性的尊重。参见付新华：《个人信息权的权利证成》，载《法制与社会发展》2021年第5期。如果企业等个人信息处理者对个人信息处理的权利来源于法定授权，而非基于个人的授权同意，在涉及对个人信息的合理使用时，个人原则上不再享有撤回权。参见张新宝：《论个人信息权益的构造》，载《中外法学》2021年第5期。应注意的是，在个人可享有撤回权的情形下，同意撤回制度系基于个人的自决意识，而个人在作出相应决定时会受多种因素包括利益因素的影响，可能会作出不当撤回，影响其服务体验。因此，为使双方获益，建议企业事前对可能造成个人信息主体撤回的情形进行风险评估，并告知该撤回可能造成的不当效果，以挽留该主体，避免个人信息主体的不当撤回造成权益受损，同时保证企业市场运营的稳定性。

（三）企业依法依规开展个人信息出境

个人信息跨境流动涉及个人信息安全与国家安全，若放任其无序流动将导致不可控制的高风险，故《个人信息保护法》就个人信息处理者向境外提供个人信息提出了合规要求。同时，为促进个人信息有序自由流动，推动数字经济长效发展，《个人信息保护法》给予个人信息处理者可选择的四种合规途径，既满足保障个人信息权益和安全的客观要求，亦适应国际经贸往来的现实需求。

1.国家网信部门组织的安全评估

《个人信息保护法》第38条第1款第1项将“通过国家网信部门组织的安全评估”作为个人信息出境的机制之一。2022年7月7日，国家网信办公布正式版本的《数据出境安全评估办法》，明确数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息的安全评估适用该办法，《数据出境安全评估办法》第2条规定：“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。法律、行政法规另有规定的，依照其规定。”并提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。《数据出境安全评估办法》第3条规定：“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动。”该文件还规定了数据出境安全评估的范围、条件和程序，指引数据出境安全评估工作有序开展。

实践中，“通过国家网信部门组织的安全评估”的合规争议主要为该种评估方法适用的具体情形。《个人信息保护法》第38条第1款第1项将“通过国家网信部门组织的安全评估”的情形限定于该法第40条，即“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估”。该条文所规定的应“通过国家网信部门组织的安全评估”的具体情形，既可能导致该项安全评估适用范围过于狭窄，亦存在何为“达到国家网信部门规定数量”等规定不明的问题，导致实践中安全评估制度难以推行。对此，《数据出境安全评估办法》对何种情形应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估作出了明确规定，《数据出境安全评估办法》第4条规定：“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。”但具体标准衡量仍有待明确。另外，应注意“通过国家网信部门组织的安全评估”与“个人信息保护影响评估”的区别。一是二者在评估行为的实施主体方面存在不同。前者系由国家网信部门组织开展，后者系由企业安排内设责任部门等非公权力机关自行开展。二是二者在评估的适用情形上存在不同。前者适用于相关法律法规明确规定的特定情形，后者系所有“向境外提供个人信息”的个人信息处理者都应事先进行的评估环节。三是二者在适用上存在关联。《数据出境安全评估办法》规定数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，《数据出境安全评估办法》第5条。在重点评估事项方面二者的评估基本一致。

“国家网信部门组织的安全评估”虽为企业向境外提供个人信息的合规路径之一，但从相关法律法规中可发现，该项安全评估系特定个人信息处理者向境外提供个人信息必须申报的。因此，实践中，企业应就其是否属于关键信息基础设施运营者、处理个人信息达到规定数量的个人信息处理者等特定主体进行充分认证，以满足相关合规要求。根据《数据出境安全评估办法》的主要修订内容及相关整改时限要求，对企业合规提出如下建议：第一，优先履行安全审查申报义务。违反安全审查申报义务将面临行政责任乃至刑事责任，建议个人信息处理者通过对数据的属性、数据传输行为特征和数据接收方利用及再利用等因素的判断，有效识别需要进行安全评估申报的数据。第二，在法定时限内完成相应整改要求。个人信息处理者应立足所处行业及个人信息传输实践，参照新规要求，充分利用6个月整改期，积极进行业务调整，保障现有业务的连续性，避免重要数据和过量个人信息出境。第三，整合相近评估流程。现有法律文件规定有安全评估、保护影响评估、安全评估申报等多项评估机制，且评估内容具有一定的相似性。从节约合规资源的角度，企业可就上述评估流程进行有效整合。具言之，企业可将评估内容及形式较为灵活的个人信息保护影响评估作为基础，在自评估阶段加入安全评估的特殊要求，在此基础上形成全面评估清单。

2.个人信息保护认证

《个人信息保护法》第38条第1款第2项将“按照国家网信部门的规定经专业机构进行个人信息保护认证”作为个人信息出境的机制之一。但是，该项个人信息保护认证规定对于可适用的个人信息出境的具体场景，以及如何进行认证、由何种专业机构进行认证等问题，均未予以明确。对此，2022年6月24日，全国信息安全标准化技术委员会发布《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》（TC260-PG-20222A）。该文件从适用情形、认证主体、基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面进行了规范，为认证机构实施个人信息跨境处理活动认证提供依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。在域外法律中，较少有对个人信息跨境处理保护认证的直接规定，但有类似功能规则的规定，如欧盟GDPR规定的“约束性公司规则”约束性公司规则（Binding Corporate Rules，BCRs），规定于GDPR第47条，是在跨境数据传输情形下为适用数据保护国际政策而在企业或国际机构间规定的一种内部公司规则。与“白名单”带来的广泛性自由传输不同，BCRs是一种内部数据传输规则，即只有在特定的企业集团、国际组织范围内是自由、安全的。同时，有效的BCRs建立在有权机关的批准基础上，欧盟委员会及各成员国的数据保护机构会将已授权BCRs的企业公示，花旗银行、GE、爱马仕等跨国公司都在公示名单上。“行为准则”行为准则（Code of Conduct），规定于GDPR第46条，数据控制者可以成立协会并提出遵守GDPR的详细行为准则，主要针对不适用于GDPR但从欧盟接收数据的主体。，以为集团内部多方主体间跨境传输个人信息提供便利及兼顾为境外主体在境外处理境内个人信息的活动提供合规路径。参见崔静：《欧美数据跨境流动监管的经验做法及我国的策略选择》，载《经济体制改革》2021年第2期。

第一，关于个人信息保护认证制度的适用情形。上述文件对此规定为：一是跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动；二是《个人信息保护法》第3条第2款适用的个人信息处理活动。该适用范围未对认证对象的组织类型、公司规模、服务性质、所处地域等作具体限定，使个人信息保护认证制度成为个人信息出境的通用途径。但是，保护认证制度是否涵盖以及如何涵盖境外接收方仍有待明确。

第二，关于法律约束条款。参与个人信息跨境处理的相关方之间需要签署具有法律约束力和执行力的文件，以确保个人信息主体权益得到充分保障。文件应包括：开展个人信息跨境处理活动的个人信息处理者和境外接收方、跨境处理个人信息的目的、个人信息的类别及范围、个人信息主体权益保护措施、境外接收方承诺接受认证机构监督、明确在我国境内承担法律责任的组织等内容。另应注意，安全认证场景下的法律约束文件并不等同于个人信息出境的标准合同，《个人信息保护法》第38条将安全认证作为与个人信息出境标准合同并列的个人信息出境机制加以规定。

第三，关于开展个人信息保护认证的相关主体。上述规范对个人信息保护负责人、个人信息保护机构的职责范围作出规定，从而明确企业就个人信息出境相关事宜的组织管理架构。但是，对于《个人信息保护法》第38条第1款第2项中规定的进行个人信息保护认证的专业机构则未作规定，仅明确了个人信息保护机构对相关方作出的承诺进行监督等职责。

需要明确的是，个人信息保护认证无法替代政府安全评估要求。《个人信息保护法》第40条规定的关键信息基础设施运营者或处理个人信息达到网信部门规定数量的个人信息处理者向境外提供个人信息依然应当通过国家网信部门组织的安全评估，但在无类似强制性合规要求的情况下，个人信息保护认证几乎可适用于各场景下的个人信息出境活动。对企业合规的具体建议为：一是科学确定协议内容，结合特定场景下个人信息出境的具体风险情形，可将该协议作为标准合同条款的补充，以全面规避合规风险；二是推进组织管理建设，企业应充分把握个人信息保护认证机制对组织管理层面的要求，合理设置个人信息保护负责人、个人信息保护机构，并根据相关文件限定的职责范围做好内设个人信息保护责任部门的统筹建设。

3.国家网信部门制定的标准合同

《个人信息保护法》第38条第1款第3项将“按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务”作为个人信息出境的机制之一。先后发布的《个人信息出境安全评估办法（征求意见稿）》《数据出境安全评估办法（征求意见稿）》就个人信息跨境流动的标准合同内容及合同所涉主体的责任义务作出了探索。2023年2月22日，国家网信办发布《个人信息出境标准合同办法》，自2023年6月1日起施行。

以标准合同条款规范数据跨境传输是各国的普遍做法，在欧盟法院Schrems Ⅱ判决2020年7月16日，欧盟法院公布了其对数据保护专员诉脸书爱尔兰有限公司Maximilian Schrems案（C-311/18）的判决。欧盟法院在其判决中宣布欧盟-美国隐私盾无效（该盾是欧盟和美国组织之间数据安全自由流动的主要数据传输机制之一）。根据该判决，其确实支持使用标准合同条款，但它对这种在欧盟以外传输个人数据的方法产生了一些怀疑。判决的结果让许多组织重新思考处理个人数据传输的方式，以及现有的传输机制是否符合欧盟数据保护法。的影响下，欧盟委员会于2021年6月4日颁布了两套新版数据跨境传输标准合同条款，其中一套适用于数据控制者和处理者之间，另一套适用于向第三国传输个人数据。两套新版标准合同条款主要由通用条款、数据传输双方义务条款、最后条款以及包含当事人名单、处理说明和技术与组织措施的三个附件组成，其中用于规范个人数据向第三方国家转移过程的标准合同条款还在数据传输双方义务条款和最后条款之间增加了针对政府请求访问数据的义务条款。参见单文华、邓娜：《欧美跨境数据流动规制：冲突、协调与借鉴——基于欧盟法院“隐私盾”无效案的考察》，载《西安交通大学学报（社会科学版）》2021年第5期。

作为在国际范围内备受认可的数据跨境流动规则，标准合同在我国规则框架下一度仅散见于数据出境的相关征求意见稿中。在《个人信息出境标准合同办法》中，对标准合同的签订场景、签订双方责任义务、应予重新签订的情形等作出具体规定，并于附件中公布了个人信息出境标准合同的样本，对于原本较为模糊的标准合同条款结构、内容类型等予以明确。但是，目前《个人信息出境标准合同办法》仍有部分规定不明确的内容。具言之，该办法存在以下可能的合规重点。

第一，关于标准合同签订各方的责任义务问题。在《个人信息出境标准合同办法》中，通过后附标准合同条款第2条、第3条对前述个人信息处理者的义务、境外接收方的义务进行细化列举。值得注意的是，在个人信息处理者的义务中，标准合同条款明确包含了开展个人信息保护影响评估，并罗列了评估应考虑的事项，以及要求将评估报告与标准合同一同进行备案。

第二，关于“第三方受益人”条款。“第三方受益人”在我国立法中并无对应的概念，是借鉴了欧盟标准合同条款的制度设计。该条款突破了合同相对性，让个人信息主体无须在合同上签字即可据此对个人信息处理者或境外数据接收方主张权利、寻求救济，甚至在特定情形下解除合同。因此，企业应就如何保障信息主体作为“第三方受益人”的权益作全面考量，进行相应的内设机构与人员布局。

第三，个人信息出境标准合同存在多种例外场景。一是境内个人信息处理者是基于合同履行必要性而将个人信息向境外接收方传输的，如跨境电商领域需要提供境内用户的物流地址用于发货，属于签署合同所必需，此时无签署标准合同的必要；二是境内个人信息处理者向境外的“自己”跨境提供数据，如自己的服务器，则个人信息处理者不用和“自己”签署合同；三是必须通过认证或评估方式实施，而不允许通过签订标准合同的方式实现数据跨境的场景。

结合我国相关规定及域外司法实践，标准合同的功能不在于对个人信息处理者形成直接监管，而是通过合规成本较低的缔约形式明确处理者与接收方的个人信息安全保护责任和义务，以建构个人信息跨境流动的可信任状态，从而协调个人信息自由流动与安全流动之间的价值冲突。标准合同低成本、高效率的特点决定了其应用的广泛性，非法定须进行安全评估的企业可将标准合同作为个人信息出境的主要途径。同时，标准合同的格式化特征决定了其难以涵盖各领域个人信息出境的应尽事项，企业仅依据标准合同可能无法达成相应合规要求。对此，《个人信息保护法》第38条第3款规定了“个人信息处理者应当采取必要措施”以使境外接收方达到“同等保护水平”要求，即企业通过“标准合同+必要措施”满足跨境提供个人信息的合规要求。据此提出的企业合规具体建议为：一是可将标准合同作为个人信息出境的常规途径，因其合规成本与安全风险均较低，以及标准合同的高效率优势，能满足规模化数据快速转移的市场需求；二是积极补足标准合同的合规效能，通过开展事前保护影响评估、与境外接收方进一步缔结具有法律约束力的协议等方式达到“同等保护水平”的要求。

4.协助境外司法和执法机构跨境调取个人信息的硬性规则

关于向外国司法或执法机构提供个人信息，我国《个人信息保护法》第41条设定了严格的门槛，规定个人信息处理者非经我国主管机关批准，不得向外国司法或执法机构提供存储于我国境内的个人信息。我国主管机关应根据有关法律和我国缔结或参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或执法机构关于提供存储于境内个人信息的请求。我国《数据安全法》第36条亦有类似表述，规定境外执法机构要求调取存储于我国境内数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。

域外多国的个人信息法律法规亦对相关问题作出规定。美国《澄清域外合法使用数据法案》确立了调取其境内服务商储存在域外服务器数据的合法性，对美国机构获取域外个人信息和外国机构获取美国境内个人信息都作出了规定。该法案采取数据控制者标准，即授权美国法院向受管辖的科技公司发出法律命令，以取得该公司拥有、保管或控制的数据，而不论数据存储于何处。参见冯镇波：《多重风险下数据跨境流动的法律规制》，载《法治论坛》2021年第3期。对于此种不经数据存储国同意而直接向企业索要境外数据的长臂管辖单边跨境调取数据的行为，各国纷纷出台“阻断法”，以阻断外国从本国企业直接调取相关数据的行为，维护自身的数据主权。参见张鹏：《司法和执法数据跨境调取的国际规则发展与应对实践》，载《中国信息安全》2022年第3期。高度重视数据安全的俄罗斯在《个人数据法》中明确要求俄罗斯公民的个人信息必须存储在境内服务器上，仅对《关于个人数据自动化处理的个人保护公约》的缔约国和俄罗斯官方认可的“白名单”国家，许可个人信息的自由流动。参见何波：《俄罗斯跨境数据流动立法规则与执法实践》，载《大数据》2016年第6期。

在向外国司法或执法机构提供存储于我国境内的个人信息问题上，企业有且仅有经我国主管机关批准这一条合规路径。从《个人信息保护法》相关条文看，首先，提出获取个人信息请求的主体应为“外国司法或执法机构”；其次，请求提供的内容为“存储于我国境内的个人信息”，即任何主体在我国境内产生或收集并存储于我国境内的个人信息；最后，必须经由我国主管机关批准。需要注意的是，在该情形下企业或相关主管机关是否仍需向信息主体履行“告知—同意”义务？我国《个人信息保护法》《数据安全法》采取的协助境外司法或执法机构跨境调取个人信息模式，是在尊重国家主权基础上通过国际司法协助框架调取数据，对外进行协助的主体是我国相关主管部门，而非掌握数据的企业。协助国际司法、执法而跨境提供个人信息的行为在性质上应属于国家机关处理个人信息的行为，应由相关主管部门以指示个人信息存储企业向信息主体进行告知的方式履行告知义务，保障信息主体的知情权。特殊情况下，应寻求协助的国际司法或执法机构请求，如告知将妨碍履行法定职责的，或存在我国法律、行政法规规定应当保密或者不需要告知的情形，可以免除告知义务。

目前，国际上对于协助国际司法或执法机构跨境调取存储于他国的数据，主要有两种模式：一是西方国家和地区通过长臂管辖规则直接向他国企业发出指令跨境调取数据；二是发展中国家主张通过国际司法协助渠道调取数据，协助调取请求的对象不是他国数据存储企业，而是协议或条约约定的他国相关主管机构。个人信息跨境流动不仅是经济问题，亦涉及政治、军事、国家安全等多个领域，而向外国司法或执法机构提供我国境内的个人信息更是关乎数据主权的重大问题。对此，我国境内企业或在我国境内存储个人信息的企业，收到国际司法或执法机构的跨境调取数据要求时，应明确告知其按照国际司法协助程序或通过外交途径向我国政府提出请求。在任何情况下，非经我国主管机关批准，个人信息处理者不得向外国司法或执法机构提供存储于我国境内的个人信息。

（四）明确跨境电商数据流动的监管导向

相较实体贸易，跨境电子商务交易中的数据流动隐蔽性更强，在交往互动中涉及多方参与，这增加了对数据跨境流动监管的难度，且海量数据汇集涉及多方领域，提升数据分类分级的难度。随着数据价值攀升，以数据为目标的跨境攻击也更加频繁。目前我国主要通过数据本地化政策进行监管，尚未有机构对数据跨境流动进行全局性、系统性、战略性谋划。参见王伟玲：《数据跨境流动系统性风险：成因、发展与监管》，载《国际商务》2022年第7期。就此问题，一方面，应由国家跨境数据监管机构统一协调行使跨境数据的审核权和确认权，统一进行事前评估和持续监督；另一方面，应从完善跨境数据分类审核机制、跨境数据安全评估机制、跨境数据安全风险协同防控机制等角度，推动跨境数据安全监管机制建立。参见陈思、马其家：《数据跨境流动监管协调的中国路径》，载《中国流通经济》2022年第9期。

2023年9月28日，国家网信办发布了《规范和促进数据跨境流动规定（征求意见稿）》，其中第4条列举了豁免“数据出境保障性措施”的场景，包括“为订立、履行个人作为一方当事人的合同所必需，如跨境购物、跨境汇款、机票酒店预订、签证办理等，必须向境外提供个人信息的”，可不需申报数据出境安全评估、订立个人信息出境标准合同和通过个人信息保护认证。这对跨境电商的发展有极大的促进作用。2024年3月22日，《促进和规范数据跨境流动规定》顺利出台，将大幅降低相关企业跨境数据流动的成本，提高数据出境效率，促进跨境数字贸易和跨境金融活动的高效运营，优化数据资源的全球化配置，有利于我国进一步融入DEPADEPA，全称Digital Economy Partnership Agreement，即《数字经济伙伴关系协定》。该协定是由新加坡、新西兰、智利于2020年6月签署的数字贸易协定，意在加强成员国间在数字经济和数字贸易方面的合作。协议于2021年1月7日生效，中国在2021年10月31日的二十国集团领导人峰会上决定加入，随后正式提出申请。。

上述规定体现了我国对数据跨境流动整体监管逻辑的变化，即将对个人信息处理者的监管由强调事前监管转为事前监管、事中监管、事后监管并重，从普遍式监管转为选择性事前监管。但应注意的是，监管模式的转变并不意味着企业合规义务的豁免，其实际对数据出境后的管控提出了更高要求。同时，其对自贸区的有关政策制定设置了“高地”，规定自贸区可自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门备案。首次提出负面清单制度，有利于自贸区开展先行先试。但对制定负面清单的主体、数据处理活动发生地、相关服务器不处于自贸区时是否也可适用该情形等并未作出细化规定，有待进一步明确。

四、结语

数据是数字经济时代的核心生产要素，其在各行各业已被广泛使用，成为助力企业数字化转型的重要因素，对于国家经济发展、国家安全和战略布局等方面均有重大影响。一方面，国家需加强有关法律法规建设，明晰法律细节，提供有力指导和有效监管；另一方面，企业也应主动落实数据出境安全评估、个人信息标准合同备案等程序要求，保证数据合规出境，保护个人信息权益不受侵犯，维护我国的国家安全和数据主权。

Abstract：In the era of the digital economy， the cross-border data flows are playing a more and more important role in promoting digital innovation， improving the efficiency of economic growth， and enhancing social well-being. Countries also pay more attention to it and adopt different cross-border data policies. However， correspondingly， issues of cross-border data flows occur frequently， and China also faces many legal risks in terms of cross-border data flows， mainly focusing on data security， privacy protection， enterprise violations， and so on. Based on the causes of the above legal risks， this paper discusses the main problems in the governance of cross-border data flows in China， and combines the reality of the construction of Zhejiang Free Trade Zone， to explore the improvement path of Chinas legal governance system for cross-border data flows， as well as the compliance mechanism of cross-border trade enterprises and platforms in outbound transmission of personal information．

［责任编辑 周 敏］