作者：吴丹君律师 张振君律师助理

从《网络安全法》到《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》，从《数据安全管理办法（征求意见稿）》到《数据安全法（草案）》《个人信息保护法（草案）》，我国跨境数据流动制度构建之路正在逐步清晰。

一、跨境数据流动制度构建方向

2020年9月8日，国务委员兼外长王毅在“抓住数字机遇，共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义倡导公平正义携手合作共赢》的主旨讲话，提出《全球数据安全倡议》（以下简称“《倡议》”）。《倡议》指出，中国呼吁各国秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系。各国应致力于维护开放、公正、非歧视性的营商环境，推动实现互利共赢、共同发展。《倡议》呼吁各国应要求企业严格遵守所在国法律，不得要求本国企业将境外产生、获取的数据存储在境内。各国应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据。各国如因打击犯罪等执法需要跨境调取数据，应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议，不得侵犯第三国司法主权和数据安全。

王毅在主旨讲话中表示，希望中方发起的《全球数据安全倡议》能够为制定数字安全国际规则提供一个蓝本，开启一个全球进程。可见，《倡议》体现了我国对待数据安全问题的基本立场，将成为我国构建跨境数据流动制度的重要风向标。《数据安全法（草案）》与《个人信息保护法（草案）》中有关跨境数据流动的相关条款即充分贯彻了《倡议》中发展与安全并重的原则，力图保护涉及我国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全。

二、跨境数据流动保护之盾

2020年10月，《个人信息保护法（草案）》（以下简称“《草案》”）在中国人大网公布，首次在法律层面构建了相对全面的个人信息跨境流动制度。

与国家互联网信息办公室2019年发布的《个人信息出境安全评估办法（征求意见稿）》不同，《草案》不再要求所有个人信息跨境流动活动均以通过安全评估为前提，而是以分级分类管理思想设计了四种跨境个人信息流动条件：

（一）通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准；

（四）法律、行政法规或者国家网信部门规定的其他条件。

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者仍以“本地化存储”为原则，确需向境外提供的，则需先通过国家网信部门组织的安全评估。国家机关处理的个人信息亦需在中国境内存储，确需向境外提供的，需进行风险评估。结合《草案》第三十七条与第四十条，该国家机关被认定为关键信息基础设施运营者或处理个人信息达到国家网信部门规定数量的，还需经过安全评估。

针对其他个人信息处理者，其可选择按照国家网信部门的规定经专业机构进行个人信息保护认证或与境外接收方订立合同的方式来获得个人信息跨境流动的合法性基础。在《个人信息出境安全评估办法（征求意见稿）》中，与境外接收方订立合同是个人信息处理者通过安全评估的重要指标，而在《草案》中则成为了一般个人信息处理者进行个人信息跨境活动的合法性基础之一，可见《草案》设计了一个相对宽松的个人信息跨境流动制度。

《草案》还留下了“法律、行政法规或者国家网信部门规定的其他条件”的口子，为后续立法根据技术发展和社会变迁增加个人信息跨境流动合法性基础保留创新空间。

需注意的是，根据《草案》第三十九条与第五十四条，无论个人信息处理者基于何种合法性基础进行个人信息跨境流动活动，均需事先进行风险评估，记录与保存处理情况。但风险评估与安全评估间的关系，是否可合并进行，两者的具体操作流程与评估标准等等还有待后续的进一步明确。个人信息处理者向中国境外提供个人信息的，还应向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《草案》规定权利的方式等事项，并取得个人的单独同意。但这里存在一个疑问，个人信息跨境流动亦为个人信息处理方式之一，若个人信息处理者是根据《草案》第十三条中除“同意”以外的合法性基础决定进行跨境数据流动的，是否还需获取个人信息主体的同意？

《数据安全管理办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》《数据安全法（草案）》《个人信息保护法（草案）》的相继出台显示出我国将重要数据与个人信息分类监管的态度。个人信息跨境流动制度侧重数据隐私保护，而除个人信息以外的数据跨境流动制度则更强调数据安全保障，聚焦于重要数据的国家安全问题。

《数据安全管理办法（征求意见稿）》要求网络运营者发布、共享、交易或向境外提供重要数据前，应评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。《数据安全法（草案）》提出国家对影响或者可能影响国家安全的数据活动进行国家安全审查。若跨境数据流动活动影响或可能影响国家安全，亦需面临国家安全审查。《数据安全法（草案）》将与履行国际义务和维护国家安全相关的属于管制物项的数据纳入出口管制的范围。2020年10月17日通过的《出口管制法》承接这一立法精神，明确规定管制物项包括物项相关的技术资料等数据。

今后正式实施的《个人信息保护法》与《数据安全法》作为数据领域的基本法律，将构建起我国数据保护与利用的基本制度框架。但跨境数据流动制度在目前《数据安全法（草案）》中还存在空白，《个人信息保护法（草案）》的相关规定仍略显粗略，有待后续进一步完善。

三、跨境数据流动规制之矛

（一）域外适用效力

《网络安全法》适用于在中国境内建设、运营、维护和使用网络，以及网络安全的监督管理，将适用范围局限在境内网络运营者，而无域外适用效力。在后续立法过程中，中国开始逐步探索中国法律的域外适用效力。比如《数据安全法（草案）》提出，中国境外的组织、个人开展数据活动，损害中国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

《个人信息保护法（草案）》第三条指出，该法适用于组织、个人在中国境内处理自然人个人信息的活动。该条明确域外适用效力，当中国境外个人信息处理者处理中国境内自然人个人信息的活动，具备下列情形之一时，亦适用《草案》：

（1）以向境内自然人提供产品或者服务为目的；

（2）为分析、评估境内自然人的行为；

（3）法律、行政法规规定的其他情形。”

上述规定与GDPR第三条的规定相似：“本条例适用于在欧盟领域内没有设立机构的数据控制者或数据处理者对欧盟内的数据主体的个人数据进行的与以下事项相关的处理活动：

（a）向欧盟内的数据主体提供商品或服务，无论是否需要该数据主体支付对价；或

（b）监控数据主体的行为，只要其行为发生在欧盟领域内。”

因此，如何理解“以向境内自然人提供产品或者服务为目的”与“为分析、评估境内自然人的行为”，可参考欧洲数据保护委员会（EDPB）在《关于GDPR的地域适用范围指南（第三条）》中的释明。（拓展阅读：《GDPR域外适用效力十二问——解读〈关于GDPR的地域适用范围指南（第三条）〉》）

参考上述文件内容，可列举部分“以向境内自然人提供产品或者服务为目的”可考量因素：

（1）境外个人信息处理者向搜索引擎运营商支付互联网服务费用，以便中国境内数据主体访问其网站；或境外个人信息处理者已经针对中国境内自然人发起了营销和广告活动；

（2）具有国际性质的有关活动，例如某些旅游活动；

（3）有中国公民可触达的专用地址或电话号码；

（4）境外个人信息处理者提供在中国境内的商品交付服务。

亦可列举部分“为分析、评估境内自然人的行为”的可考量因素：

（1）地理定位活动，特别是用于营销目的；

（2）通过使用cookie或其他跟踪技术（如指纹识别）进行在线跟踪；

（3）在线个性化饮食和健康分析服务；

（4）基于个人画像的市场调查和其他行为研究；

（5）监测或定期报告个人的健康状况。

针对前述境外个人信息处理者，《个人信息保护法（草案）》要求其应在中国境内设立专门机构或指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。但该专门机构或代表的资格、组织形式、所需承担的具体义务和责任还需在后续立法中予以明确。

（二）国际合作

数据流动到境外后无法获得与本国同等水平的保护，境内执法部门难以对流动到境外的数据及相关处理活动进行及时监管是目前跨境数据流动制度构建的两大难题。

《个人信息保护法（草案）》提出因国际司法协助或者行政执法协助，需向中国境外提供个人信息的，应依法申请有关主管部门批准。《数据安全法（草案）》亦规定，境外执法机构要求调取存储于中华人民共和国境内的数据的，有关组织、个人应当向有关主管机关报告，获得批准后方可提供。此举是对以美国《澄清域外合法使用数据法》（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act）为代表的相关法律的应对，充分贯彻《倡议》所提倡的“各国应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据”及“各国如因打击犯罪等执法需要跨境调取数据，应通过司法协助渠道或其他相关多双边协议解决”的相关精神。

各个国家和地区的法律制度不同、对待个人信息保护和数据安全的态度存在分歧，统一的全球性跨境数据流动制度构建在短期内难以实现。中国可依托“一带一路”建设，与沿线国家达成跨境数据流动合作协议入手，寻找制度的突破口。《个人信息保护法（草案）》与《数据安全法（草案）》明确，中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息有规定的，从其规定。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的，依照其规定。

三、行政处罚与对等原则

《个人信息保护法（草案）》第六十二条所规定的相对之前立法更为严厉的行政处罚吸引了个人信息处理者的目光。个人信息跨境流动亦属个人信息处理活动，个人信息处理者若违反相关规定对外提供个人信息，亦需面临相应惩罚。

《数据安全法（草案）》第二十四条规定，任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中国采取歧视性的禁止、限制或者其他类似措施的，中国可以根据实际情况对该国家或者地区采取相应的措施。《个人信息保护法（草案）》第四十三条与之相似，亦提出任何国家和地区在个人信息保护方面对中国采取歧视性的禁止、限制或者其他类似措施的，中国可以根据实际情况对该国家或者该地区采取相应措施。

《个人信息保护法（草案）》更进一步提出“黑名单”制度，境外的组织、个人从事损害中国公民的个人信息权益，或者危害中国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

四、结语

我国数据跨境流动法律体系尚未完善，《网络安全法》虽提出安全评估制度，但《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》均未落地，《数据安全法（草案）》《个人信息保护法（草案）》虽作出一定规定，但相应的配套措施、具有可操作性的跨境数据流动制度仍处于缺位状态。

然而，跨境数据流动制度的构建已成为目前的立法热点与重点，上海、海南、北京、浙江等多地自贸区或自贸港陆续发布方案计划开展的试点，《个人信息保护法（草案）》等立法活动所作的探索，均推动着我国在跨境数据流动制度构建之路上不断前进。