個人信息出境的國內法規制路徑及體系化完善

摘要：數字化個人信息的大規模跨境傳輸使得個人權益、公共利益和國家安全利益受損的風險加劇，國際社會尚未達成統一法律規范予以應對。為維護國家數據主權、促進數據產業發展與保障個人信息安全，各國選擇以國內法規制的方式對個人信息出境予以監管，具體表現為國家專門立法、聯盟統一立法與國家分散立法。我國通過專門立法規制個人信息出境，形成了“硬性”與“軟性”兩軌監管機制，但存在分軌監管內容交叉、公私共治監管尚未形成的問題，阻礙個人信息的安全出境。在統籌推進國內法治和涉外法治的背景下，我國應以系統觀念加強個人信息出境監管建設，從主體上發揮公私體系的協同性，從規范上強化攻防體系的均衡性，從空間上增進內外體系的互動性，為促成個人信息跨境規制的多邊共識貢獻中國智慧。

關鍵詞：涉外法治；國家規制；數據跨境流動；個人信息出境；系統觀念

中圖分類號：D99文獻標志碼：A文章編號：1007-9092（2024）02-0123-018

隨著數字經濟全球化進程的持續推進，各國之間的經濟聯系愈發緊密，數據跨境流動成為數字經濟發展的必然規律。目前，全球個人信息（數據）保護標準不同且尚未達成國際共識。①隨著個人信息出境需求的增加，為促成個人信息跨境的安全自由流動和境內外一致保護，國家紛紛選擇通過國內法規制個人信息出境以維護國家主權、安全和發展利益。基于不同的利益考量和價值追求，各國采取了不同的個人信息保護立法模式。趙海樂：《數據主權視角下的個人信息保護國際法治沖突與對策》，《當代法學》，2022年第4期。（①個人信息與個人數據聯系緊密且難以區分，前者強調內容，后者強調數據化，個人信息跨境流動的內容多被納入數據立法之中，本文根據需要交替使用。程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第74-75頁。）

數據出境國通常會制定數據出境規范，規制個人信息是關鍵內容。接收個人信息的境外主體包含私主體，也包括公權力機關。針對數據出境國而言，一方面，個人信息的自由流動能夠實現數字經濟利益；另一方面，個人信息出境或將遭遇損害國家安全、公共利益和個人隱私權的原生風險。為控制原生風險，同時防范因規制措施欠缺合法性而產生的次生風險，彭德雷：《數字貿易的“風險二重性”與規制合作》，《比較法研究》，2019年第1期。國家在國內法中對個人信息出境活動予以規制。鑒于各國規制個人信息出境的立法范式不同，其規制措施的呈現方式也各有側重。

當前，有關數據跨境流動的研究聚焦于國際法對國內法的影響與國內法對國際法的銜接。在數據跨境流動背景下探討國際法對國內法影響的研究有：譚觀福：《數字貿易中跨境數據流動的國際法規制》，《比較法研究》，2022年第3期；張曉君、屈曉濛：《RCEP數據跨境流動例外條款與中國因應》，《政法論叢》，2022年第3期；張明：《國際貿易法視閾下數據本地化措施的邊界及其協調——以lt;個人信息保護法gt;為切入點》，《南大法學》，2021年第6期；馬光：《FTA數據跨境流動規制的三種例外選擇適用》，《政法論壇》，2021年第5期等。在數據跨境流動背景下探討國內法對國際法銜接的研究有：陳兵、馬賢茹：《系統觀念下數據跨境流動的治理困境與法治應對》，《安徽大學學報》（哲學社會科學版），2023年第2期；梅傲、李淮俊：《論lt;數據出境安全評估辦法gt;與DEPA中數據跨境流動規則的銜接》，《上海對外經貿大學學報》，2023年第2期；何波：《中國參與數據跨境流動國際規則的挑戰與因應》，《行政法學研究》，2022年第4期；趙海樂：《論我國數據本地化措施與FTA締約的協調》，《國際經濟法學刊》，2022年第2期等。也有研究在單一的國內法角度對數據出境制度進行討論。相關研究包括：蔡宇姬：《數據出境的界定及監管制度》，《中國政法大學學報》，2023年第3期；丁曉東：《數據跨境流動的法理反思與制度重構——兼評lt;數據出境安全評估辦法gt;》，《行政法學研究》，2023年第1期；金晶：《作為個人信息跨境傳輸監管工具的標準合同條款》，《法學研究》，2022年第5期；徐玉梅、王欣宇：《我國重要數據安全法律規制的現實路徑——基于國家安全視角》，《學術交流》，2022年第5期；趙精武：《數據跨境傳輸中標準化合同的構建基礎與監管轉型》，《法律科學》（西北政法大學學報），2022年第2期等。不過，這些研究均較少論及涉外法治聯結國內法治與國際法治的獨特重要性。我國的數據安全出境框架初成，但作為涉外法治建設重要內容的個人信息出境制度尚待完善。在百年未有之大變局下，個人信息出境規制呈現出國內法優先、國際法有限的狀態。因此，考察研究各國國內法規制個人信息出境的模式和特點，不僅有利于健全我國的個人信息出境監管體系、強化涉外數字法治建設，還有助于我國以國內法治經驗推動相關國際規則的發展。

一、國內法規制個人信息出境的生成邏輯

（一）國家規制個人信息出境的內在動因

第一，維護國家數據主權。在數字經濟全球化的背景下，科技發展對國家主權權力提出了與時俱進的要求，數據主權是傳統國家主權在數據領域的拓展。趙駿：《“一帶一路”數字經濟的發展圖景與法治路徑》，《中國法律評論》，2021年第2期。首先，任何國家都有權力在其領土范圍內對與數據有關的人和事進行管轄，包括制定法律和采取措施。數據本身兼具無形資產和物理資產兩大屬性，前者依靠數據所有權人連接著國家管轄權，后者為國家管轄權提供了法理基礎，個人信息傳輸活動至少受到數據出境國的管轄，數據出境國制定的個人信息出境的法律和措施均具備主權屬性。其次，國際社會尚未且短時間內難以達成規制個人信息跨境的規范共識，國家優選以國內法維護自身數據主權。在多邊層面，尚沒有專門針對個人信息跨境規制的多邊公約。個人信息跨境保護的相關規則以“碎片”的形式存在于多邊貿易體制內，如世界貿易組織《服務貿易總協定》第14條要求“保護與個人信息處理和傳播有關的個人隱私及保護個人記錄和賬戶的機密性”，但缺乏對國家數據主權的考慮。在區域層面，區域自由貿易協定的電子商務章節與數字經濟協定以不同方式要求成員方對跨境個人信息予以法律保護，數據主權規范的“碎片化”加劇。《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，RCEP）要求締約方“在可能的范圍內”保護跨境傳輸的個人信息，給予締約方充足的數據主權空間。Regional Comprehensive Economic Partnership， Article 12.8.《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership， CPTPP）要求締約方在保護電子商務用戶免受其管轄范圍內發生的個人信息保護侵害方面努力采取“非歧視做法”，Comprehensive and Progressive Agreement for Trans-Pacific Partnership， Article 14.8.《數字經濟伙伴關系協定》（Digital Economy Partnership Agreement， DEPA）則要求締約方“努力承認其他締約方的數據保護可信任標志”，Digital Economy Partnership Agreement， Article 4.2.二者對締約方數據主權作出了進一步的限制，但又存在差別。在雙邊層面，數據主權的博弈嚴峻，彭岳：《數據本地化措施的貿易規制問題研究》，《環球法律評論》，2018年第2期。逐漸顯現出個人信息跨境監管的“逐頂競爭”之勢。金晶：《歐盟的規則，全球的標準？ 數據跨境流動監管的“逐頂競爭”》，《中外法學》，2023年第1期。美國與歐盟的個人信息跨境合作歷經波折，先后達成《安全港框架協議》、《隱私盾框架協議》與《歐盟-美國數據隱私框架》，最終以美國限制情報部門訪問個人數據、設立數據保護審查法庭等制度性改變對歐盟作出了讓步。European Commission， Questions amp; Answers： EU-US Data Privacy Framework，Jul. 10th 2023， https：//ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752.

第二，促進數據產業發展。首先，數字化的個人信息具有重要經濟價值。個人數據的跨境流動及商業利用是數字經濟全球化發展的核心，“數據跨境流動”最早出現在經濟合作與發展組織（OECD）1980年《隱私保護和個人數據跨境流動指南》第六章，當時就僅適用于個人數據。United Nations Conference on Trade and Development， “Digital Economy Report 2021： Cross-border Data Flows and Development： For Whom the Data Flow”， Sep. 29th 2021， p.51. 隨著數字經濟的發展，個人信息的內涵逐漸豐富。我國《個人信息保護法》第8條規定個人信息為“以電子或者其他方式記錄的與已識別或可識別的自然人有關的各種信息”，比《民法典》《網絡安全法》中的個人信息概念更為寬泛。丁曉東：《論個人信息概念的不確定性及其法律應對》，《比較法研究》，2022年第5期。數字化的個人信息易收集，能快速反映出一國人民社會生活的現象及規律，可以為平臺經濟提供商業判斷依據，具有巨大的財產價值與經濟利益。其次，合理利用跨境個人信息的經濟價值有助于推動數據產業的發展。個人信息涉及社會公共利益，如果因數據出境使某些謀取不正當競爭優勢的境外企業大規模濫用個人信息，將破壞市場的公平競爭機制，導致市場壟斷或扭曲，造成社會公共利益危機，甚至威脅國家利益。通過國內法規制個人信息的出境活動，能更好地保障國家數字市場的公平公正、激發數據產業的活力。

第三，保障個人信息安全。首先，國家負有保障個人信息跨境安全的義務。國家治理應然地包含對個人信息活動的規制和調整。吳偉光：《大數據技術下個人數據信息私權保護論批判》，《政治與法律》，2016年第7期。國家負有保護公民人格尊嚴和隱私、安寧的憲法義務，包括消極義務和積極義務。王錫鋅：《個人信息國家保護義務及展開》，《中國法學》，2021年第1期。在數字時代，國家不僅僅是超越利益關系的治理者，也是最大的個人信息收集、處理、儲存和利用者。張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》，2015年第3期。國家需要履行消極義務，保障個人信息不受國家的不當干預。同時，個人信息關乎個人隱私利益，個人信息權益與隱私權的區分暫無定論，至少二者聯系密切，但也存在區別。我國法律中的隱私權與美國法和德國法均不同。個人信息權益保護與隱私權的客體或有重疊但絕非重合。以隱私為標準，至少個人信息可以分為涉及個人隱私的個人信息（隱私信息或私密信息）和不涉及隱私的個人信息（其他個人信息）。程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第38-39頁。其在跨境傳輸時面臨著人格利益與財產利益受損的雙重風險。由于國家對出境后個人信息的管控能力有限，金晶：《作為個人信息跨境傳輸監管工具的標準合同條款》，《法學研究》，2022年第5期。國家必須履行積極義務，創造和維護有利于保護個人信息的出境前規制，預先防范個人信息跨境風險。其次，各國對個人信息保護的標準不同，數據出境國傾向于依靠出境監管實現跨境個人信息的境內外一致保護。目前，各國在個人信息保護上還存在有無標準可依的鴻溝。經聯合國貿易和發展會議統計，在194個國家中，有80%的國家已經或正在制定數據保護及隱私立法，20%的國家沒有相關數據立法，最不發達國家中僅有57%已經完成或正在進行相關立法，United Nations Conference on Trade and Development， Data Protection and Privacy Legislation Worldwide， Dec. 14th 2021， https：//unctad.org/page/data-protection-and-privacy-legislation-worldwide.缺乏數字技術及相應規則使得數字鴻溝嚴重。黃惠康：《中國特色大國外交與國際法》，法律出版社2019年版，第366-368頁。在已對個人信息及隱私實施法律保護的國家中，保護標準又存在差異與競爭。美國對個人信息的保護承襲了憲法中的隱私權，但聯邦與州之間對隱私權的界定尚存在爭議。歐盟則以基本人權來詮釋和保護個人數據，《通用數據保護條例》（General Data Protection Regulation， GDPR）的序言確立了自然人的個人數據基本權利。然而歐美在個人信息保護權利的具體適用上卻因價值分歧而頻繁互動競爭。

（二）國家規制個人信息出境的表現方式

國家規制個人信息出境的方式表現在限制措施上，按照措施的特點主要可以劃分為四類：本地化限制、評估限制、認證限制與標準合同限制。學者吳玄“依據數據跨境流動限制程度的強弱”將“國家的管理模式”劃分為“個人信息出境評估模式”“弱數據本地化模式”和“強數據本地化模式”。本文則依據國家數據跨境限制措施的特點進行分類，重點討論本地化限制、評估限制、認證限制與標準合同限制四種方式。吳玄：《數據主權視野下個人信息跨境規則的建構》，《清華法學》，2021年第3期。此外，歐盟的約束性企業規則（Binding Corporate Rules， BCR）、European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（b）.截止到2024年1月3日，獲得BCR批準的企業（不區分數據控制者和數據處理者）僅50家，See European Data Protection Board， Approved Binding Corporate Rules， https：//edpb.europa.eu/our-work-tools/accountability-tools/bcr_en.行為準則、European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（e）.美國的行業隱私指引等限制措施在國際社會并未被廣泛適用，在此不作討論。

第一，本地化限制。數據本地化措施內涵豐富，至少包含計算設施本地設置、數據本地存儲或處理和數據跨境禁止等要求。范嬰：《數據本地化的內涵分化與模式選擇》，《情報雜志》，2022年第6期。本地化限制具有經濟部門區別，多數國家會對與國民經濟、社會公共利益和國家安全相關的關鍵領域個人信息設置本地化限制，以防止造成國家安全威脅。俄羅斯2022年通過第266-FZ號聯邦法律修訂《個人數據保護法》，明確增加基于國家安全、國家國防、經濟和金融利益保護以及俄羅斯聯邦主權、安全與領土完整等可以禁止個人數據出境的規定。Omer Imran Malik， What Changes Do Russia's Latest Data Privacy Amendment Bring？Aug. 25th 2022， https：//securiti.ai/blog/russia-latest-data-privacy-amendment/.美國2018年《外國投資風險審查現代化法案》規定，涉及敏感個人數據的美國企業的任何其他投資都要受到美國外商投資委員會的審查。U.S. Department of the Treasury， Foreign Investment Risk Review Modernization Act of 2018， Section 1703 （a） （4） （D）.

第二，評估限制。對個人數據設定評估限制的目的是為了確保個人數據在出境后獲得同等水平保護。歐盟GDPR規定個人數據接收方應來自獲得歐盟委員會充分性認定的第三國，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 45（1），本文簡稱“第三國、第三國一定區域或第三國內的一個或多個特定領域”為“第三國”。如何解釋“充分性認定”的因素只取決于歐盟單方，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679，" Article 45（2），歐盟委員會認定“充分性”時會考慮“法治”“尊重人權與基本自由”“相關一般立法與部門立法（涉及公共安全、國防、國家安全、刑法以及公務機關對個人數據的訪問等）”等。目前通過歐盟評估的國家和地區較為有限。European Commission， Adequacy decisions： How the EU determines if a non-EU country has an adequate level of data protection， https：//commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.我國對個人信息出境有特定主體和特殊數量要求，即關鍵信息基礎設施運營者和達到國家網信部門規定數量的個人信息處理者需要通過安全評估，《網絡安全法》第37條；《個人信息保護法》第38條第1款、第40條。通過安全評估后，個人信息可以出境。與歐盟不同的是，我國安全評估的對象是境內個人信息處理者，間接完成對境外接收方的評估。與歐盟相同的是，我國也要求境外接收方達到同等的個人信息保護水平或標準，《個人信息保護法》第38條。該同等保護標準也被新加坡等國家所采用。Parliament of Singapore， Personal Data Protection Act 2012， 2020 Revised Edition， Article 26.

第三，認證限制。個人信息出境的認證限制由第三方特定認證機構實施。GDPR明確規定，第三國若未獲得充分性認定，數據處理者或控制者也可以通過歐盟個人信息保護認證且作出有約束力的承諾來實現個人信息的出境。European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Articles 42 and 46（2）（f）.歐盟個人信息保護認證包含國家認證標準和歐洲數據保護印章兩類，數據處理者與控制者可以將認證作為遵守GDPR的證明和實施跨境傳輸的依據。我國個人信息保護認證機制適用的前提是屬于非經安全評估可出境的個人信息的情形。《個人信息保護法》第38條第2款。無論歐盟還是我國，認證限制都輔以具有法律約束力且可執行的承諾，以便提供合同救濟。美國的隱私認證機制取決于企業自愿，以公司化模式針對全球不同數據保護標準提供“點對點”認證，比如針對亞太經合組織跨境隱私規則（CBPRs）、GDPR等均有對應認證。新加坡的認證限制表現為個人信息接收者需持有新加坡法律授予或承認的認證。Personal Data Protection Commission of Singapore， Personal Data Protection Regulations 2021， Article 12.

第四，標準合同限制。該模式指的是經簽訂標準合同（條款）即可出境個人信息。歐盟標準數據保護條款（Standard Data Protection Clauses， 與標準合同條款Standard Contractual Clauses指代相同）是典型代表，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（d）. 金晶：《個人數據跨境傳輸的歐盟標準——規則建構、司法推動與范式擴張》，《歐洲研究》，2021年第4期。該模式將私主體的意思自治與政府的強制監管結合適用。

二、專門立法規制范式下我國個人信息出境機制的檢視

（一）國家專門立法規制

為應對數字技術應用對個人信息保護的挑戰，部分國家嘗試建立全面系統的個人信息規制體系，綜合保障個人信息權益、社會公共利益和國家安全利益。1970年德國黑森州制定了《數據保護法》，三年后《瑞典數據法》問世，個人數據保護的專門立法陸續出現。梅夏英：《在分享和控制之間 數據保護的私法局限和公共秩序構建》，《中外法學》，2019年第4期。截至2021年12月14日，全球已有137個國家頒布了數據保護法、個人信息保護法或數據隱私保護法。United Conference on Trade and Development， Data Protection and Privacy Legislation Worldwide， Dec. 14th 2021， https：//unctad.org/page/data-protection-and-privacy-legislation-worldwide.在專門立法保護個人信息的國家中，個人信息出境規制被一脈相承地寫入，如《英國數據保護法》第17條和第18條、Parliament of the United Kingdom， Data Protection Act 2018， Article 17， Article 18. 《日本個人信息保護法》第28條、Ministry of Justice of Japan， Act on the Protection of Personal Information， Act No. 37 of 2021， Article 28. 《韓國個人信息保護法》第17條和第18條、Personal Information Protection Commission， Personal Information Protection Act， Act No.19234， Sep. 15th 2023， Article 17， Article 18.《印度個人數據保護法》第四章第16條和第17條、Indian Parliament， The Digital Personal Data Protection Bill （2023）， Bill No. 113 of 2023， Chapter 4.《中國個人信息保護法》第三章第38條至第43條等。國家專門立法模式能實現國家對個人信息的全面規制，在個人信息保護法等上位法之外，還可以借下位法細化補充，保障個人信息的綜合安全利益，有效應對數據時代的域內和境外風險。

國家專門立法規制模式的顯著特征是設立專門監管機構，尋求公私共治。在專門頒布個人信息保護法的多數國家中，個人信息出境的具體規則聚焦于數據（個人信息）處理者，一并規定政府權力機構與私人主體在出境個人信息時的義務，義務區別主要體現在公私領域的出境限制不同。《韓國個人信息保護法》第15條至第18條規定，個人信息出境前需取得信息主體的同意，且向第三方提供的目的限制在收集個人信息的目的內，公共機關則可在不侵犯信息實體或第三方利益的前提下因行使政府職能而直接將個人信息提供給第三方，如履行國際條約、執行法院審判等。公私主體在個人信息保護上的區別使得部門的職責出現分化，以領域為界的分散式監督難以實現個人信息監管的協調有序，容易出現監管空白和多頭監管。因此，在已有專門立法區別規制公私主體的基礎上，國家通過設立專門的個人信息保護機構進行統一監管執法，以求整合公私部門職責，形成監管合力。《日本個人信息保護法》第六章、《韓國個人信息保護法》第7條和第8條詳細規定了個人信息保護委員會及其職能，對公私主體作出統一規范，《新加坡個人數據保護法》第二章確認了個人數據保護委員會的職能以及其與其他監管部門之間的關系。Parliament of Singapore， Personal Data Protection Act 2012， 2020 Revised Edition， Part 2.相較而言，韓國個人信息保護委員會的監管權更為集中，作為中央行政機關，其是各政府部門及相關轄域所有個人信息的監管部門。

（二）我國個人信息出境的雙軌監管機制

我國也是采取專門立法規制個人信息出境的國家。《個人信息保護法》第三章專門規定了個人信息出境的原則與依據。個人信息處理者只能因“業務等需要”出境個人信息，且境外接收方處理活動應達到境內個人信息保護標準，另外，其還必須取得個人單獨同意，這是個人信息出境的必要性條件。張凌寒：《個人信息跨境流動制度的三重維度》，《中國法律評論》，2021年第5期。在滿足個人信息出境的必要性條件后，數據處理者可以出境個人信息，但出境行為仍將受到監管。我國數據出境的綜合安全利益強調國家安全，且對個人權利和社會公共利益均有吸納。許可：《自由與安全：數據跨境流動的中國方案》，《環球法律評論》，2021年第1期。個人信息出境的突出規制目標是實現個人信息的同等保護，即在境內與境外對我國個人信息予以一致性保護。我國的單邊立法形成了以《個人信息保護法》為法律依據，《數據出境安全評估辦法》《個人信息出境標準合同辦法》《數據出境安全評估申報指南（第一版）》《個人信息保護認證實施規則》（以下簡稱“《認證規則》”）《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V1.0》《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V2.0》（以下簡稱“《安全認證規范V2.0》”）等配套規定為實踐準則的個人信息出境監管框架，截止到2024年1月3日，《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V1.0》與《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V2.0》都是現行有效的部門工作文件，因后者規定更為詳細，本文主要援用后者相關規則。具體表現為“硬性”和“軟性”雙軌并行監管機制，如圖1所示：

第一，“硬性”監管為個人信息出境安全評估，監管力度較大、監管對象特定。關鍵信息基礎設施運營者和“數量型”數據處理者在境內收集和產生的個人信息至關重要，一旦被非法利用，將威脅國家安全。首先，關鍵信息基礎設施指公共通信和信息服務、能源、交通等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露可能危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。“關鍵信息基礎設施”首次出現在《網絡安全法》第31條，但沒有具體定義。《關鍵信息基礎設施安全保護條例》第2條對其作出了詳細的定義。這些設施運營者在境內收集和產生的個人信息能夠直接反映出一國關鍵信息基礎設施的狀況。其次，“數量型”數據處理者，即處理個人信息達到國家網信部門規定數量的數據處理者，包括三類：“處理100萬人以上個人信息”“自上年1月1日起累計向境外提供10萬人個人信息”“自上年1月1日起累計向境外提供1萬人敏感個人信息”。《數據出境安全評估辦法》第4條。“數量型”數據處理者處理的個人信息數量龐大，一旦在出境后被他國或組織等非法利用，不僅會侵害個人合法權益，還會威脅社會公共利益甚至是國家安全。其中，要求關鍵信息基礎設施運營者和“處理100萬人以上個人信息”的數據處理者進行安全評估不僅是為了保障個人信息出境安全，丁曉東：《數據跨境流動的法理反思與制度重構——兼評lt;數據出境安全評估辦法gt;》，《行政法學研究》，2023年第1期。也是對個人信息存儲設施安全需求的反映。個人信息出境安全評估監管的“硬度”還體現在逐級遞進的監管模式上，個人信息處理者應經所在地的省級網信部門向國家網信部門申報，只有在國家網信部門受理后，才能組織國務院有關部門、省級網信部門、專業機構等進行評估。

第二，“軟性”監管表現為兩種可擇性個人信息出境方式：一是“經專業機構個人信息保護認證”，二是“與境外接收方訂立標準合同”。個人信息保護認證是指專業機構證明個人信息處理者的個人信息保護和安全管理體系符合相關法律規范、技術標準與行業準則要求的評定活動，該定義借鑒了劉權對數據安全認證的定義。劉權：《數據安全認證：個人信息保護的第三方規制》，《法學評論》，2022年第1期。評定合格者可以出境個人信息。個人信息保護認證意在克服市場和政府的“雙重失靈”，屬于區別于政府規制與自我規制的第三方規制。劉權：《數據安全認證：個人信息保護的第三方規制》，《法學評論》，2022年第1期。《認證規則》統籌規范了跨境情況下的個人信息保護認證（《個人信息保護法》第38條第1款第2項）和一般的個人信息保護認證（《個人信息保護法》第62條第1款第4項）。

標準合同指個人信息處理者在出境個人信息前，需要“按照國家網信部門制定的標準合同與境外接收方訂立合同”。標準合同采用合同形式，但載有國家網信部門的規定，個人信息處理者與境外接收方的意思自治僅限是否采用，而無法變更。標準合同機制將公法層面的數據安全保護義務納入到私法層面的合同義務中，強制要求個人信息處理者進行自我規制，發揮著個人信息出境的監管功能。《個人信息出境標準合同辦法》規定，除須進行安全評估的4種情形以外，且不得以“數量拆分”等手段規避安全評估的，可以經標準合同出境個人信息。《個人信息出境標準合同辦法》第4條，4種情形包括：（1）非關鍵信息基礎設施運營者；（2）處理個人信息不滿100萬人的；（3）自上年1月1日起累計向境外提供個人信息不滿10萬人的；（4）自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。《個人信息出境標準合同辦法》將個人信息出境標準合同作為附件公布，明確了個人信息處理者和境外接收方的基本信息和權利義務、個人信息出境的目的范圍等基本事項，同時對境外接收方所在國家或地區的個人信息保護政策法規、保障個人信息主體權利的途徑進行了預先規定，詳見《個人信息出境標準合同辦法》所附件——個人信息出境標準合同。在《個人信息出境標準合同辦法》中，對于標準合同的主要內容不再依照《個人信息出境標準合同規定（征求意見稿）》第6條的規定作出列舉，而是以完整合同結構的合同范本對外公開以供個人信息處理者使用，一定程度上強化了個人信息標準合同出境的政府預先監管。監管功能得以凸顯。為提高個人信息經標準合同出境的效率和可控程度，在標準合同生效后個人信息即可出境，但在生效之日起的10個工作日內需要向所在地省級網信部門備案。《個人信息出境標準合同辦法》第7條。

（三）個人信息出境雙軌監管機制的困境

第一，硬軟兩軌監管內容交疊，企業合規成本增加，可能阻礙數據產業發展。首先，個人信息出境安全評估這一“硬性”監管作為基礎性制度的適用范圍廣泛，能夠覆蓋多數企業出境個人信息的情況，采用保護認證與標準合同出境個人信息的場景被擠壓。趙精武：《論數據出境評估、合同與認證規則的體系化》，《行政法學研究》，2023年第1期。個人信息安全評估內容不只關注國家層面的宏觀安全，還將個人信息處理者、境外接收方作為具體審查對象，這與個人信息保護認證的要求重復。在這種情況下，個人信息處理者或將直接選擇監管效果最強的安全評估以實現“一勞永逸”，因而可能出現“硬性”監管泛化、“軟性”監管閑置的情況。其次，因《個人信息保護法》等相關法律規范沒有明確兩軌監管中三種方式的關系，很有可能出現多重規制的困境。以關鍵信息基礎設施運營者為例，其在滿足安全評估要求后，如果還需要進行個人信息認證，多重監管的重負會使得此類個人信息出境難度攀升。另外，“掌握超過100萬用戶個人信息的網絡平臺運營者”須經網絡安全審查后才能在國外上市，《網絡安全審查辦法》第7條。該類平臺運營者若為上市而出境個人信息，同樣適用安全評估的要求，到底是“二選一”還是“全都要”，也不明確。張凌寒：《論數據出境安全評估的法律性質與救濟路徑》，《行政法學研究》，2023年第1期。再次，在“軟性”監管中，個人信息保護認證與標準合同在具體適用對象上采取的標準不同，前者采取列舉式規定，如《安全認證規范V2.0》第2條規定的兩項認證情形：“跨國公司或者同一經濟、事業實體下屬子公司或關聯公司之間的個人信息跨境處理活動”“《個人信息保護法》第3條第2款適用的個人信息處理活動”，后者采取排除式規定，如《個人信息出境標準合同辦法》第4條的規定意味著標準合同可以在除安全評估外的所有情形適用。然而，符合保護認證的情形也會符合除安全評估外的適用標準合同的情形，容易出現交叉監管。個人信息保護認證與標準合同在要求“個人信息保護影響評估”時也呈現出高重合度，《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范V2.0》第5.4條；《個人信息出境標準合同辦法》第5條。而這項評估的內容又與“硬性”監管安全評估中風險自評估的要求極度相似。三種個人信息出境監管對個人信息保護影響（風險）的評估都提出了共同要求，但風險自評估制度還缺乏對評估程序、評估報告的形式與內容、評估結果的真實性與準確性等實質性問題設定規則。為順利完成風險自評估，企業通常需要對以上內容提前進行詳盡考量，使合規成本加大。歐盟采用標準合同出境個人信息以未達到“充分性保護”為前提，而且“充分性保護”只關注第三國的立法和執法概況，不涉及具體數據處理者出境個人信息的境外接收方的相關文件審查。我國數據出境安全評估的內容較歐盟“充分性保護”更為寬泛，再輔之以“軟性”監管可能會導致重復監管。

第二，公私共治監管尚未形成，國家監管負擔重，私法自治效果有限。首先，個人信息出境監管以國家管制為主。我國當前的個人信息出境監管重點為“安全”，體現為政府主導，只是強弱效果有所變化。個人信息安全評估由國家網信辦負責，個人信息保護認證的認證機構須經批準且按照《認證規則》經過“技術驗證”“現場審核”“獲證后監督”來完成，標準合同中又納入了國家強制性的“格式條款”，不容合同雙方變更。個人信息出境監管權雖多聚集在政府，但在內部又呈現出混雜監管的狀態。與日本、新加坡、韓國等國家不同，我國并未設置專門的個人信息監管機構來規制個人信息出境。國家網信部門負責數據出境的安全評估以及相應的網絡安全審查，個人信息出境活動只是其一內容，也可能因職權分散而對個人信息出境的監管不到位、不全面。其次，個人信息出境監管中的私法規制空間不足。私法規制效果不佳至少有兩方面原因，一是政府單方監管效力強、范圍廣。以數據出境安全評估為代表的政府單邊監管措施已經涵蓋了廣泛的個人信息處理者的出境情形，承擔個人信息出境合規評估的主要義務。在政府集中監管個人信息出境的背景下，我國相關行業、企業主要為義務的接收者，行業自律與企業責任的討論尚不充分。二是行業自律以及企業自覺選用的監管工具有限且效力受限。我國具有《網絡數據和用戶個人信息收集、使用自律公約》等行業自律規范，但諸規范不具有法律效力，也缺乏對未滿足自律規范行為的問責保障。目前的“軟性”監管雖然可以自選，但監管效果還未呈現。以歐盟對標準合同的域外實踐為例，其雖可以節省締約成本，但對個人信息的保護標準為強制性要求，個人信息處理者無法根據不同企業的需求作出個性化與靈活化的調整。Paul Voigt， Axel von dem Bussche， The EU General Data Protection Regulation （GDPR）： A Practical Guide， Switzerland： Springer， 2017， p. 122.

三、不同國內法范式規制個人信息出境的考據

（一）聯盟統一立法規制

本文的“聯盟統一立法”僅指與數據保護有關的聯盟法律，不包含條約法律。歐盟與東盟的聯盟立法雖由超國家組織制定，但從適用方式與立法目的上看，其與為國際社會成員所普遍承認的國際法不同。在個人信息出境方面，歐盟的統一立法為“硬法”，而東盟則為“軟法”。歐盟缺乏數字巨頭企業但具有廣闊的數字市場，為了實現個人數據的安全出境，統一發布了包含個人數據出境活動規制的GDPR。GDPR屬于歐盟條例（Regulation），其一旦生效，成員國無需經國內立法批準等程序便可直接適用并受其約束。其次，東盟的個人數據保護聯盟法律，考慮到成員國在文化、宗教、發展水平等諸方面的顯著差異，貫徹了《東盟憲章》所指的對“共同價值”的追求，Association of Southeast Asian Nations， The ASEAN Charter， Article 2（2）（l）.而非依賴法律約束力。東盟發布了多項涉及個人數據出境的框架，本質上是不產生任何法律義務的“軟法”，甚至明確規定只構成對成員國個人數據保護立法目的與宗旨的統一表達，如2016年的《東盟個人數據保護框架》。Association of Southeast Asian Nations， ASEAN Framework on Personal Data Protection， Article 2.因此，東盟個人數據保護聯盟立法的目的便是為成員國國內法提供在價值、目標上的指導，從屬于成員國國內法，沒有后者的采用，前者本身沒有法律效力。

無論是歐盟還是東盟，其統一立法的目的均為謀求區域數字市場的發展。GDPR明確規定其適用對象僅為“個人數據”，規范的內容包括“對個人數據處理方面的自然人保護”和“個人數據的自由流通”，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 1.不進行公法和私法的兩分規制。在歐盟內部，因個人數據保護的法律標準相同，成員國間形成了單一數字市場，個人數據在歐盟內部市場經濟體間可以自由流動，能最大程度發揮數據的價值。同為歐盟條例的《數字市場法》還為大型數字平臺對歐盟個人數據的處理活動設定規則，以維護數字市場秩序。東盟內各成員數字經濟發展不均衡，以優先實現區域內數字經濟穩步增長和加強區域內個人數據的安全保護為一致目標。借助統一的框架標準，東盟試圖先完善域內成員國的數據治理環境，打通聯盟內部數字市場。東盟還注重與歐盟個人數據傳輸規則的銜接，加強域內治理和域外合規，實現東盟數字市場的內外銜接，穩固市場利益。吳希賢：《東盟數據治理：全球背景、規制框架與中國合作》，《亞太經濟》，2022年第4期。

聯盟統一立法規制的特點是聯盟內部與外部的兩分區別監管。在內部監管上，歐盟與東盟均優先在聯盟內部成員間建立數字信任，促進個人數據的域內自由流通，以內部市場規制模式聯結部分達標的外部市場。在外部監管上，有效的個人數據出境監管工具成為歐盟實現全球數字市場一體化的重要途徑。趙精武：《數據跨境傳輸中標準化合同的構建基礎與監管轉型》，《法律科學》（西北政法大學學報），2022年第2期。歐盟依據充分性認定在聯盟外部劃分出“類”聯盟市場，確保個人數據在出境后也能得到高水平保護。此外，個人數據的聯盟外出境還可以通過提供“適當保障措施”和符合“特定例外情形”實現。European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46， Article 49.東盟個人數據的聯盟外出境也建立在內部監管之上，但相關框架協議的非強制約束性賦予成員國充分的自主選擇權。東盟第一屆數字部長會議于2021年批準了《東盟數據管理框架》（ASEAN Data Management Framework， DMF）和《東盟跨境數據流動的示范合同條款》（ASEAN Model Contractual Clauses for Cross Border Data Flows， MCCs）。DMF指出，其內容不構成法律意見，也不應被視為是任何法律法規的合規工具。Association of Southeast Asian Nations， “ASEAN Data Management Framework： Data Governance and Protection throughout the Data Lifecycle”，Jan. 2021， pp.6-8.MCCs則為東盟成員國間的個人數據傳輸方提供了自擇性的法律約束性協議，也允許對部分條款修訂后向非東盟國家出境個人數據。Association of Southeast Asian Nations， “ASEAN Model Contractual Clauses for Cross Border Data Flows”， Jan. 2021， p.4.東盟統一“軟性”立法以聯盟內部個人數據規制為切入點，形成了優先推動聯盟內規制、自擇推行聯盟外規制的區別監管。

（二）國家分散立法規制

國家分散立法規制模式有利于穩固國家數字經濟優勢地位。美國規制個人信息的首要目標是保證市場中的數據自由流通，維持眾多數字企業利用他國個人信息攫取經濟利益的競爭力。為保證國家司法實踐的連貫性，美國對隱私權之內涵進行了擴張，按照電信網絡、金融、健康、教育等行業進行部門分治，以應對數字經濟時代對個人信息保護產生的挑戰。彭岳：《數據隱私規制模式及其貿易法表達》，《法商研究》，2022年第5期。由于美國聯邦和各州規制個人信息的權限不同，聯邦層面采取行業分散式立法，規制個人信息出境的國家安全要求僅在特殊行業領域有所體現，如出口管制、外商投資和國際司法協助，魏寧：《美國數據出境管理體制及中國因應》，《國際經濟法學刊》，2022年第4期。其他具體領域的立法放權于各州。政府部門、金融和健康信息等特殊商業領域以及一般商業領域擁有了自主監管權，最大限度的貿易自由化主張得到了順應，美國得以借助靈活寬松的監管制度維持數字企業優勢。孟令浩：《全球數字治理規則的發展趨向及中國方案》，《學習與實踐》，2023年第3期。

國家分散立法規制模式具有行業自律要求和政府監管措施并行的特點。美國數字企業可以自愿申請隱私認證，通過隱私認證企業TRUSTe和BBBOnline頒發認證標志后就可以獲得處理個人信息的資格，也代表其遵守個人信息保護的法律要求。根據1988年美國商務部發布的《有效保護隱私權的自律規范》和1995年《個人隱私和國家信息基礎設施：個人信息的使用和提供原則》等系列自律規范，美國數字企業間須制定保護個人隱私的行業規范并互相監督。若因未滿足上述要求而侵犯個人信息權益，相關企業將受到問責。

在政府監管中，美國聯邦貿易委員會（FTC）為主要隱私保護執法機構，聯邦通信委員會（FCC）主要監管電信行業中的個人信息違法行為，各州根據隱私立法中的監管規定實行監督，如加利福尼亞州規定數據主體具有私人訴權，California Consumer Privacy Act of 2018， California Civil Code Section 1798.150.隱私保護局可以進行行政執法，California Privacy Rights Act of 2020， California Civil Code Section 1798.155.弗吉尼亞州則將訴權授予總檢察長。Virginia Consumer Data Protection Act of 2021， Code of Virginia Section 59.1-580.美國“寬進嚴出”的監管方式既滿足了數字企業對全球個人信息的需求，也保障了本國個人信息權益和國家安全利益。不過，美國各州執法以訴訟為主，容易增加司法負擔，賦予私人的訴權小，私主體訴訟機會成本較高。

四、系統觀念下我國個人信息出境法律規制的體系化完善

系統觀念始終貫穿于習近平法治思想之中，堅持統籌推進國內法治和涉外法治就是其一體現。張文顯：《習近平法治思想的系統觀念》，《中國法律評論》，2021年第3期。在系統觀念下，習近平法治思想從主體、方式、領域、規范體系、人才培養、空間方面全面指導著法治實踐。張龑：《習近平法治思想中的法治觀》，《新疆師范大學學報》（哲學社會科學版），2022年第2期。涉外法治是國內法治的涉外拓展與延伸，何志鵬：《涉外法治：開放發展的規范導向》，《政法論壇》，2021年第5期。與國家主權、安全與發展利益的聯系更為直接和緊密。韓立余：《涉外關系治理的法律化與中國涉外法律實施》，《吉林大學社會科學學報》，2022年第2期。個人信息出境作為涉外法治建設的重要內容，聯系著國內國際兩個大局、兩大市場、兩套規則，完善個人信息出境監管體系離不開系統觀念在全面性上的指引。因此，在不改變我國個人信息出境監管機制劃分為硬軟兩軌分而治之的前提下，應依循系統觀念，參考不同國內法范式經驗，從主體、規范、空間三個維度出發，構建公私、攻防與內外三大體系，更好地保障個人信息出境。

（一）主體維度上，發揮公私體系的協同性

我國個人信息出境的雙軌監管規則體現出明顯的公法規制效果。然而，在實踐中，國家單向監管的公法治理模式無法完全滿足多數民商事活動中“意思自治”的現實需要。因此，以系統觀念完善個人信息出境監管機制，就需要推進公私多元主體的協同治理。

第一，完善公私領域的分別規制。一方面，個人信息出境的公法規制不可或缺。個人信息出境活動面臨著超越合同約束與技術措施有效性邊界的風險，私法主體在風險判斷上缺乏經驗，公法規制仍是可行且有效的選擇。陳越峰：《超越數據界權：數據處理的雙重公法構造》，《華東政法大學學報》，2022年第1期。我國已組建國家數據局，并在多地設立省級大數據管理機構，以期便利各省和全國數據管理工作，促進數據利用，加強數據安全保護。黃璜、孫學智：《中國地方政府數據治理機構的初步研究：現狀與模式》，《中國行政管理》，2018年第12期。然而大數據管理機構職權廣泛，未將個人信息作為特殊數據進行監管。因此，建議專設個人信息保護機構對個人信息出境活動進行全域與全時的監督。同時，應當對個人信息保護機構與大數據管理機構、國家網信部門等的監管聯動予以規定，避免監管空白與重復監管。另一方面，個人信息出境的私法規制亟待發揮作用。相較《民法典》和《網絡安全法》，《個人信息保護法》對個人信息的保護范圍擴大，但個人信息仍處于“利益”的法律地位。若想加強私法規制效果，可以考慮對個人信息的法律屬性作出更有效的規定，如“個人信息權”，賦予個人信息主體權利基礎。此外，個人信息出境活動涉及個人信息人格利益和財產權益的侵害風險，應明確個人信息主體可以對此類侵害發起侵權或違約救濟，金耀：《個人信息私法規制路徑的反思與轉進》，《華東政法大學學報》，2020年第5期。防止因私人訴權過小，而導致個人信息糾紛解決的主動性受限，使得公法救濟負擔過重。針對侵權救濟，可以引入“未來損害”的概念，達到風險防范及損害賠償的雙重目的。謝鴻飛：《個人信息泄露侵權責任構成中的“損害”——兼論風險社會中損害的觀念化》，《國家檢察官學院學報》，2021年第5期。

第二，強化公私領域的協同規制。首先，適當將監管權下放至各行業，最大程度發揮個人信息保護認證的第三方規制效力。《認證規則》由國家市場監督管理總局和國家互聯網信息辦公室共同發布。其中，前者負責管理綜合協調全國認證認可工作的主管機構——國家認證認可監督管理委員會與負責個人信息保護認證具體實施工作的第三方認證機構——中國網絡安全審查技術與認證中心。考慮到機構設置的特殊性，建議統籌協調國家認證認可監督管理委員會與中國網絡安全審查技術與認證中心的職能劃分，盡可能增加認證機構的數量，強化私法規制的有效性。此外，行業自律能夠對市場結構產生刺激，在企業與產業層面高效且專業地對個人信息出境監管作出回應，敖海靜：《數據保護的國際軟法之道》，《法商研究》，2022年第2期。能避免政府單方規制的滯后性。通過借鑒美國隱私認證的實踐經驗，我國應緊密結合個人信息保護認證這一出境監管方式適用行業自律模式，對境內個人信息處理者和境外接收者的數據跨境實現點對點的監管。當第三方認證機構的監督效果不力時，政府監管應及時補位。同時，我國應明確行業自律規范的法定約束力，避免司法機構怠于承認自律規范的約束力。趙海樂：《數字貿易談判背景下的個人信息保護行業自律規范構建研究》，《國際經貿探索》，2021年第12期。其次，發揮企業自治的效力。將個人信息處理者設立的個人信息保護機構定位為監事會中的專業委員會，楊淦：《個人信息保護社會責任的法律內涵及其實現》，《上海大學學報》（社會科學版），2023年第1期。在開展個人信息保護影響評估時，要求其盡可能地權衡個人、社會和國家三方風險。此外，個人信息處理者中的大型數字平臺具有較強的數據合規能力，應以行業自律的方式鼓勵并督促其發揮數字技術優勢和市場規模優勢，主動識別個人信息出境中的潛在風險，建立企業內部的個人信息保護部門與政府個人信息保護機構的良性溝通，便利個人信息出境的風險識別與監管。

（二）規范維度上，強化攻防體系的均衡性

在國際條約和習慣國際法缺位的背景下，通過強化個人信息出境相關涉外立法是維護本國利益的最優途徑，張哲、齊愛民：《論我國個人信息保護法域外效力制度的構建》，《重慶大學學報》（社會科學版），2022年第5期。我國在個人信息出境層面的規制呈現出穩固本國數據保護的防御狀態。在系統觀念視域下，我國應在改善已有防御規則的基礎上，注重優化對外主權保護機制，形成均衡的攻防體系。

第一，細化個人信息出境的標準及方式。個人信息出境的雙軌規制建立在對個人信息處理者作出的單一類型化劃分標準之上，如關鍵信息基礎設施運營者和“數量型”數據處理者適用“硬性”監管，其他個人信息處理者適用“軟性”監管。個人信息處理者的單一類型化劃分標準雖然便于規制，但隨著個人信息出境活動復雜性的增加，在實踐中不能機械適用，應相應結合其他標準。比如，適當考慮實際實施中的個人信息出境行為類型、個人信息境外接收方類型，并相應補充規定免于監管的具體情形。2023年9月28日，國家互聯網信息辦公室發布的《規范和促進數據跨境流動規定（征求意見稿）》第4條列舉了僅有的3項豁免個人信息出境監管的情形，包括：（1）為訂立、履行個人作為一方當事人的合同所必需；（2）按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理，必須向境外提供內部員工個人信息的；（3）緊急情況下為保護自然人的生命健康和財產安全等，必須向境外提供個人信息的。具體適用上，應厘清個人信息出境安全評估、保護認證與標準合同三種方式的監管定位并細化具體規則。首先，針對個人信息出境安全評估，對“數量型”數據處理者的規制雖看重個人信息的量級安全，但“10萬人個人信息”“1萬人敏感個人信息”的量級劃分門檻還有待檢驗，應定期對該量級作出檢視，確保其設定不過高導致安全評估虛設，不過低造成安全評估泛化。考慮到安全評估的時間，數據處理者應在個人信息出境前申報且通過安全評估，而后再簽訂出境合同或其他具有法律效力的文件。戴龍主編：《數字貿易法通論》，中國政法大學出版社2022年版，第214頁。其次，針對個人信息保護認證與標準合同兩種監管方式，應明確無先后適用順序。因此，應當繼續明晰保護認證的適用范圍，尤其是對《個人信息保護法》第3條第2款的具體情況進行細化并將其與標準合同的適用進行區分。標準合同發揮著動態監管個人信息處理者與接收者的功能，是管控個人信息出境后活動風險的利器，條款固定不變則不利于其靈活適用。因此，建議細化標準合同模板，針對特定國家發布對應標準合同，比如與我國存在大量個人信息跨境需求的美國、歐盟與東盟等，降低企業的多方合規成本。

第二，加強個人信息出境規則的域外效力。為保障個人信息利益的域外安全，在個人信息出境前，我國應明確且細化法律規范的域外效力，盡早為相關爭議解決提供法律依據。《個人信息保護法》第3條第2款指明適用范圍限于境內個人信息的境外處理活動，其實際上以個人信息已經出境為前提，旨在規范數據出境后的數據處理活動，體現的是國內法的域外效力，以個人信息出境后監管為目標。因此，我國應對個人信息出境后監管補充更為詳細的程序性和實體性域外效力條款。在程序上，應細化管轄權依據，依據屬地管轄、屬人管轄、保護性管轄和普遍管轄全面維護個人信息相關應然利益。我國個人信息規制應以具有合理且密切聯系的域外行為或事項為前提，以國際法所認可的管轄原則為法律依據，且不應違反國際法規定的禁止性規定。霍政欣：《域外管轄、“長臂管轄”與我國法域外適用：概念厘定與體系構建》，《新疆師范大學學報》（哲學社會科學版），2023年第2期。在實體上，對《個人信息保護法》第3條第2款中“分析”“評估”等概念進行明確，并妥善納入個人信息境外接收方的間接義務。同時，為應對美歐等發達國家對濫用“長臂管轄”調取我國域內個人信息的行為，我國還應強化對應的阻斷和反制措施。《個人信息保護法》創新設置了黑名單制度，將制定“限制或者禁止個人信息提供清單”，《個人信息保護法》第42條。對“采取歧視性的禁止、限制或者其他類似措施”的任何國家或地區“對等采取措施”。《個人信息保護法》第43條。后續，建議緊密結合《阻斷外國法律與措施不當域外適用辦法》《反制裁法》，在黑名單之外，補充其他便利阻遏他國不當執法的具體措施。

我國還應當積極主動對個人信息出境后的涉外執法作出規定，補充個人信息出境后的執法依據。《個人信息保護法》第41條僅僅關注到個人信息出境的程序性限制，要求國家主管機關批準后，境內個人信息才能向外國司法或執法機構提供。建議對個人信息跨境調取規則進行補充，同時加緊與個人信息跨境傳輸頻繁的國家或地區達成數據交換協議，一方面滿足跨境司法執法需要，另一方面減少本國法域外適用的不必要爭議。王燕：《數據法域外適用及其沖突與應對——以歐盟lt;通用數據保護條例gt;與美國lt;澄清域外合法使用數據法gt;為例》，《比較法研究》，2023年第1期。另外，《個人信息保護法》第41條具有明顯的“主體導向”，強調個人信息處理者（企業）具有經國內審批的前提義務。黃炎：《跨境數據治理體系的多維變革及因應之策》，《太平洋學報》，2022年第4期。一旦出海企業在境外面臨訴訟，該程序或將延長其在境外應訴的時間，從而承擔逾期提交證據的不利后果，因而建議盡量依據個案的司法程序時間設定審批程序的時限，保障企業的實際利益。

（三）空間維度上，增進內外體系的互動性

數據的跨境流動不受國家邊界限制，個人信息出境涉及域內域外兩個空間。系統觀念的運用場域包括國內治理與國際治理，這就指引著我國通過個人信息跨境規制問題，加強并深化國內與域外的合作與互動，推動形成空間維度上的規制共識，為個人信息跨境活動提供更加充分的法治保障。

第一，以區域性合作為先，促成個人信息跨境的規制合作。為規制個人信息跨境，各國國內規則分治，隱私合規成本累積致使貿易受阻。因此，應積極拓寬與區域性組織的數據跨境合作，為個人信息出境提供更大的合法性范圍。在這之中，聯盟統一數據立法的優勢凸顯出來，不僅能為區域層面的統一性規制提供基礎，還能天然地契合數據的無界性。聯合國提議制定《全球數字契約》時特別強調了《非洲聯盟馬拉博公約》與GDPR在數據保護方面的基礎性地位，建議聯合國成員和區域性組織應以此兩聯盟規則為基礎制定保護個人數據與隱私的法律。United Nations Executive Office of the Secretary-General， “Our Common Agenda Policy Brief 5： A Global Digital Compact-an Open， Free and Secure Digital Future for All”， May 2023， p.16.首先，我國可以推動與東盟國家在個人信息跨境規制的合作。東盟國家在“一帶一路”倡議中具有重要地位，我國可以優先與東盟國家開展雙邊合作，簽署諒解備忘錄，設置相應的個人信息跨境認證標準等法律工具。洪延青：《推進“一帶一路”數據跨境流動的中國方案——以美歐范式為背景的展開》，《中國法律評論》，2021年第2期。借助我國與東盟國家在個人信息跨境層面的地域優勢和合作機制，我國后續與歐盟合作規制個人信息跨境的機會和效果或將顯增。其次，可以嘗試以共建“一帶一路”的國家（地區）為目標對象，建立采取統一的數據傳輸格式和標準的“白名單”，提升個人信息出境的可溯性和互操性，確保個人信息的傳輸信任，提升我國個人信息出境規制的影響力。齊鵬：《數字經濟背景下“一帶一路”跨境數據傳輸的法律規制》，《法學評論》，2022年第6期。可以優先在數據跨境傳輸安全管理試點實施“白名單”，總結北京、上海、海南、雄安新區針對個人信息出境監管的法治經驗，以便在全國推行。再次，涉外企業具有跨境數據合規的現實需求，我國可以率先制定個人信息保護承諾書模板，鼓勵目標國家企業以私主體身份進行主動合規。

第二，借助國際組織，推動構建個人信息跨境救濟制度。目前，無論是各國還是國際組織正在構建的個人信息跨境合作機制中，都缺少具有約束力的統一的爭議解決機制。鄭淑鳳：《數字經濟視角下數據跨境規則的困境與回應》，《國際貿易》，2022年第5期。個人信息出境活動關涉至少兩個國家的管轄，對個人信息的司法跨境保護依賴于數據接收國及組織對個人信息的持續保護。不同國家對個人信息的司法保護程度不同，除達成雙邊司法合作外，國際社會沒有建立起跨境司法保護的系統。沈俊翔：《數字經濟時代個人信息跨境保護的機制研究——兼論CPTPP視野下人民法院參與全球數據治理的新型路徑》，《法律適用》，2022年第6期。一旦產生個人信息跨境糾紛，就需要選取合適的地點和機構進行解決。因此，數據出境后的規制合作應重點關注構建個人信息保護的救濟制度。針對最易發生的個人信息跨境民商事糾紛，可以考慮在已有國內政府行政監管和個人信息主體訴訟的基礎上，為便利國際商事爭議解決，創新適用仲裁與調解。在選擇推行個人信息跨境救濟制度的平臺時，我國可以借助金磚國家、上海合作組織等以發展中國家為主的國際組織，凝聚各國對個人信息跨境中保護國家安全、公共利益和個人權益的共識，利用組織平臺促成談判。在談判過程中，可以嘗試推動建立個人信息跨境救濟的程序性安排，而后在爭議解決實踐中明確各國個人信息跨境規制分歧并予以回應。

五、結語

在數字經濟全球化時代，數據跨境流動為國內與國際兩級治理提出了挑戰。以個人信息跨境為例，因缺乏國際法統一規范，各國為平衡數據利用與數據安全的二元矛盾，維護個人信息權益、社會公共利益和國家安全利益，首選國內法規制。由于意識形態和國家利益的差異，個人信息跨境國內法規制的各方范式已經呈現出爭奪國際數字秩序理念和話語權的深層邏輯。在全球格局“東升西降”的趨勢下，我國應當積極把握在國際層面制定數字經濟規則的主導權，在國內層面，對個人信息出境法律規制進行體系化完善，以此推動國內數據治理形成先進的涉外法治經驗。在積累法治經驗后，我國可以在國家、國際組織間形成更廣泛的合作，為全球數字治理貢獻中國智慧。

（責任編輯：蘇騰飛）

收稿日期：2023-09-12

作者簡介：趙駿，法律博士，浙江大學光華法學院教授、博士生導師；姚若楠，浙江大學光華法學院博士研究生。

基金項目：教育部哲學社會科學研究重大課題攻關項目“堅持統籌推進國內法治和涉外法治重大問題研究”（編號：21JZD031）。