個(gè)人信息跨境提供的規(guī)范分析與理論反思
——以《個(gè)人信息保護(hù)法》第三十八、三十九條為視角

赫 然

隨著全球網(wǎng)絡(luò)信息技術(shù)和數(shù)字經(jīng)濟(jì)的不斷發(fā)展，個(gè)人信息數(shù)據(jù)跨境流動(dòng)變得越來越普遍。但是，個(gè)人信息跨境流動(dòng)會(huì)帶來數(shù)據(jù)控制主體、監(jiān)管場(chǎng)域、保護(hù)方式、法律適用等方面的重大變化，由此可能導(dǎo)致個(gè)人在信息跨境流動(dòng)中權(quán)益受損、保障不利等安全風(fēng)險(xiǎn)。有些個(gè)人信息數(shù)據(jù)屬于國家基礎(chǔ)性戰(zhàn)略資源，個(gè)人信息出境可能會(huì)對(duì)國家安全產(chǎn)生影響。為了強(qiáng)化對(duì)個(gè)人信息跨境流動(dòng)的規(guī)制和監(jiān)管，《個(gè)人信息保護(hù)法》第三章專門規(guī)定了個(gè)人信息跨境提供規(guī)則，對(duì)個(gè)人信息跨境提供行為予以規(guī)制和調(diào)整。其中，該章第三十八、三十九條分別規(guī)定了個(gè)人信息跨境提供的法定條件和合法性基礎(chǔ)，它們構(gòu)成了個(gè)人信息跨境流動(dòng)規(guī)則的主體和核心內(nèi)容。因此，本文擬以《個(gè)人信息保護(hù)法》第三十八、三十九條為視角，分析探討個(gè)人信息跨境提供的制度規(guī)則，以期為個(gè)人信息跨境提供的實(shí)踐運(yùn)行和規(guī)則完善提供理論借鑒。

一、跨境提供中的個(gè)人信息處理主體

個(gè)人信息跨境提供主體通常是個(gè)人信息處理者，而個(gè)人信息處理者區(qū)分為國家機(jī)關(guān)、國家機(jī)關(guān)以外其他的組織和個(gè)人。此兩類主體在個(gè)人信息跨境提供中的適用條件和運(yùn)行程序等方面都存在較大差異，并非所有類型主體的跨境個(gè)人信息提供行為都受到《個(gè)人信息保護(hù)法》第三十八、三十九條的調(diào)整和規(guī)制。

第一，國家機(jī)關(guān)。國家機(jī)關(guān)處理個(gè)人信息通常與其法定職責(zé)密不可分，為了履行其法定職責(zé)，國家機(jī)關(guān)可能需要海量收集、精準(zhǔn)處理個(gè)人信息。國家機(jī)關(guān)處理個(gè)人信息的數(shù)量規(guī)模、內(nèi)容質(zhì)量等方面，可能都遠(yuǎn)優(yōu)于一般個(gè)人信息者。(1)龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，北京：中國法制出版社，2021年，第167頁。國家機(jī)關(guān)處理的個(gè)人信息，既涉及個(gè)人人格權(quán)和信息自決權(quán)保護(hù)，也關(guān)涉社會(huì)秩序、經(jīng)濟(jì)安全、公共利益等，故對(duì)國家機(jī)關(guān)的個(gè)人信息跨境提供行為的合法性、合規(guī)性會(huì)有更為嚴(yán)格的要求，比如安全評(píng)估。《個(gè)人信息保護(hù)法》第三十六條將安全評(píng)估作為國家機(jī)關(guān)跨境提供個(gè)人信息的前置程序和必備要件。(2)《個(gè)人信息保護(hù)法》第三十六條：“國家機(jī)關(guān)處理的個(gè)人信息應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲(chǔ)；確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。安全評(píng)估可以要求有關(guān)部門提供支持與協(xié)助?！边@就意味國家機(jī)關(guān)跨境提供個(gè)人信息都必須事前開展安全評(píng)估。當(dāng)然，這里的“安全評(píng)估”與一般個(gè)人信息處理者跨境提供時(shí)安全評(píng)估的制度剛性、評(píng)估主體、運(yùn)行程度等方面都存在較大差異(后文將詳細(xì)論述)。國家機(jī)關(guān)跨境個(gè)人信息提供行為，通常與其法定職權(quán)存在關(guān)聯(lián)或本身就是履行法定職責(zé)的要求，比如公安機(jī)關(guān)為了打擊跨國犯罪、追逃追贓、司法協(xié)助等向境外司法機(jī)關(guān)提供相關(guān)個(gè)人信息。此時(shí)實(shí)施的個(gè)人信息跨境提供行為，則無須適用“知情—同意”規(guī)則，因?yàn)閲覚C(jī)關(guān)個(gè)人信息處理行為的合法性是建立在履行其法定職責(zé)基礎(chǔ)之上，而并不是建立在信息主體的有效“知情—同意”基礎(chǔ)之上。

若個(gè)人信息境外提供者是國家機(jī)關(guān)以外其他的組織和個(gè)人，但個(gè)人信息跨境流動(dòng)的接受方為境外國家機(jī)關(guān)，比如外國執(zhí)法機(jī)關(guān)或司法機(jī)關(guān)，則也不屬于《個(gè)人信息保護(hù)法》第三十八、三十九條的調(diào)整范圍。向境外國家機(jī)關(guān)提供個(gè)人信息涉及我國國家主權(quán)，個(gè)人信息處理者不得直接向境外司法或執(zhí)法機(jī)關(guān)提供存儲(chǔ)于我國境內(nèi)的個(gè)人信息。受制于國家主權(quán)范圍，境外國家機(jī)關(guān)無權(quán)直接調(diào)取或收集我國境內(nèi)存儲(chǔ)的個(gè)人信息，否則就侵犯我國國家主權(quán)。若境外執(zhí)法或司法機(jī)關(guān)需要向我國信息處理者調(diào)取、收集存儲(chǔ)于境內(nèi)的個(gè)人信息，則應(yīng)當(dāng)依據(jù)《個(gè)人信息保護(hù)法》第四十一條之規(guī)定向我國主管機(jī)關(guān)提出申請(qǐng)。(3)《個(gè)人信息保護(hù)法》第四十一條：“中華人民共和國主管機(jī)關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機(jī)構(gòu)關(guān)于提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求。非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn)，個(gè)人信息處理者不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的個(gè)人信息?！苯?jīng)我國主管機(jī)關(guān)批準(zhǔn)之后，個(gè)人信息處理者才可以向外國執(zhí)法或司法機(jī)構(gòu)提供境內(nèi)存儲(chǔ)的個(gè)人信息。對(duì)于未經(jīng)批準(zhǔn)而直接向外國執(zhí)法或司法機(jī)構(gòu)提供境內(nèi)存儲(chǔ)個(gè)人信息的違法行為，則可以對(duì)信息處理者給予相應(yīng)行政處罰。向境外國家機(jī)關(guān)提供個(gè)人信息應(yīng)遵循“申請(qǐng)+批準(zhǔn)”的法定條件，此法定條件既有利于跨境流動(dòng)中個(gè)人信息保護(hù)，也有利于維護(hù)國家主權(quán)和安全。因此，個(gè)人信息跨境流動(dòng)的接受方為境外執(zhí)法機(jī)關(guān)或司法機(jī)關(guān)，也不屬于《個(gè)人信息保護(hù)法》第三十八、三十九條之調(diào)整范圍，而屬于其他條款的適用范圍。

第二，自然人、企業(yè)或其他組織。國家機(jī)關(guān)以外的其他主體，比如自然人、企業(yè)或其他組織在實(shí)施個(gè)人信息境外提供行為時(shí)，需要符合《個(gè)人信息保護(hù)法》第三十八、三十九條之要求，這些主體向境外提供個(gè)人信息應(yīng)遵守《個(gè)人信息保護(hù)法》第三十八、三十九條之規(guī)定，否則要承擔(dān)相應(yīng)行政處罰或其他法律責(zé)任。關(guān)于個(gè)人信息保護(hù)法的調(diào)整對(duì)象，有學(xué)者認(rèn)為：個(gè)人信息保護(hù)不能泛化為針對(duì)任何不特定第三人，其需要以“持續(xù)不平等信息關(guān)系”為前提，適用范圍主要限于具有持續(xù)性不平等信息關(guān)系的主體之間，通過對(duì)信息處理者設(shè)置各種義務(wù)，實(shí)現(xiàn)個(gè)人信息保護(hù)和公平信息實(shí)踐。(4)丁曉東：《個(gè)人信息保護(hù)原理與實(shí)踐》，北京：法律出版社，2021年，第26-29頁。若按照“持續(xù)不平等信息關(guān)系說”的觀點(diǎn)，當(dāng)個(gè)人信息處理者為自然人時(shí)，其實(shí)施的個(gè)人信息處理行為不受《個(gè)人信息保護(hù)法》調(diào)整和規(guī)范。《個(gè)人信息保護(hù)法》雖然吸收了“持續(xù)不平等信息關(guān)系說”的觀點(diǎn)，比如《個(gè)人信息保護(hù)法》第七十二條在規(guī)定其適用除外范圍時(shí)，明確將自然人因個(gè)人事務(wù)或家庭事務(wù)而處理個(gè)人信息的行為排除在其適用范圍之外，(5)《個(gè)人信息保護(hù)法》第七十二條：“自然人因個(gè)人或者家庭事務(wù)處理個(gè)人信息的，不適用本法。法律對(duì)各級(jí)人民政府及其有關(guān)部門組織實(shí)施的統(tǒng)計(jì)、檔案管理活動(dòng)中的個(gè)人信息處理有規(guī)定的，適用其規(guī)定?！币?yàn)樘幚韨€(gè)人事務(wù)、家庭事務(wù)中的各方主體較為平等，自然人在處理個(gè)人事務(wù)或家庭事務(wù)時(shí)并不存在強(qiáng)勢(shì)地位，這些事務(wù)通常發(fā)生在自然人家庭成員等較為親密的群體之中，個(gè)人信息受侵風(fēng)險(xiǎn)較低。但是，《個(gè)人信息保護(hù)法》并未完全采取“持續(xù)不平等信息關(guān)系說”的觀點(diǎn)，這在其很多內(nèi)容中都得以體現(xiàn)，比如其對(duì)個(gè)人信息處理者的界定、個(gè)人信息處理行為的合法性基礎(chǔ)等。在個(gè)人信息跨境提供規(guī)則中，也同樣如此，并沒有完全采取“持續(xù)不平等信息關(guān)系說”的觀點(diǎn)。比如《個(gè)人信息保護(hù)法》第三十九條中個(gè)人信息跨境提供中的告知義務(wù)，要求告知“境外接受方的名稱或者姓名”。當(dāng)個(gè)人信息處理者是企業(yè)或其他組織時(shí)，則應(yīng)向個(gè)人告知名稱；當(dāng)個(gè)人信息處理者是自然人時(shí)，則應(yīng)向個(gè)人告知姓名。這就將自然人納入境外接收方范圍，在主體范圍上與國內(nèi)信息處理者保持一致。即便按照境外接收方當(dāng)?shù)氐姆煞ㄒ?guī)，自然人不屬于個(gè)人信息保護(hù)立法的義務(wù)主體，這也不影響我國要求境內(nèi)個(gè)人信息處理者對(duì)該境外接收方自然人姓名的告知義務(wù)。(6)龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，第184-185頁。自然人可以成為個(gè)人信息處理者，可跨境提供或接受個(gè)人信息，其對(duì)個(gè)人信息的跨境處理行為自然也應(yīng)受到《個(gè)人信息保護(hù)法》調(diào)整和規(guī)范。

但是，對(duì)于自然人范圍也需要予以適當(dāng)限定，不宜將處理自我個(gè)人信息的自然人納入個(gè)人信息境外提供規(guī)則的調(diào)整范圍。對(duì)于個(gè)人信息處理行為可以區(qū)分為“自我處理行為”和“他人處理行為”，前者是自然人對(duì)自我個(gè)人信息的處理行為，此種處理行為恰恰體現(xiàn)了自然人對(duì)個(gè)人信息的自決權(quán)；后者是自然人或組織對(duì)其他人個(gè)人信息的處理行為，此時(shí)涉及對(duì)他人個(gè)人信息的處理，此種處理行為應(yīng)當(dāng)尊重和保護(hù)他人的個(gè)人信息自決權(quán)，其需要遵循目的性、合法性、比例性等規(guī)則的限制和規(guī)范。《個(gè)人信息保護(hù)法》第七十三條第1項(xiàng)對(duì)個(gè)人信息處理者的界定(7)《個(gè)人信息保護(hù)法》第七十三條：“本法下列用語的含義：(一)個(gè)人信息處理者，是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。……”。，僅從字面表述來看其并未區(qū)分自我處理者和他人處理者，但將自然人對(duì)自我個(gè)人信息的處理行為排除在適用范圍之外具有合理性，因?yàn)樽匀蝗藢?duì)自我個(gè)人信息處理恰恰是其信息自決權(quán)的體現(xiàn)，其無須再遵循“告知—同意”等規(guī)則的限制?！秱€(gè)人信息保護(hù)法》第七十二條將自然人因個(gè)人事務(wù)或家庭事務(wù)的個(gè)人信息處理行為排除其適用范圍之外，其中包括跨境個(gè)人信息處理行為。在個(gè)人信息跨境提供中，自然人為個(gè)人事務(wù)或家庭事務(wù)將自我個(gè)人信息、家庭成員個(gè)人信息向境外組織或個(gè)人提供的行為，原則上不受《個(gè)人信息保護(hù)法》第三十八、三十九條規(guī)定調(diào)整和規(guī)范。比如自然人為了出國旅行、跨境網(wǎng)絡(luò)購物、跨境在線學(xué)習(xí)等而向境外組織或個(gè)人提供本人個(gè)人信息，則顯然不宜適用《個(gè)人信息保護(hù)法》第三十八、三十九條。若適用上述條款對(duì)此類個(gè)人信息跨境提供行為予以調(diào)整，則不僅會(huì)限制、減損了自然人個(gè)人信息自決權(quán)，也會(huì)給其正常生活、工作等帶來諸多障礙和不便。因此，自然人對(duì)自我個(gè)人信息或其家庭成員個(gè)人信息的境外提供行為不應(yīng)納入《個(gè)人信息保護(hù)法》第三十八、三十九條調(diào)整范圍之內(nèi)。

二、個(gè)人信息跨境提供的具體條件

個(gè)人信息跨境提供的法定條件是個(gè)人信息跨境提供規(guī)則的核心內(nèi)容，因?yàn)槠渲苯記Q定了個(gè)人信息能否跨境流動(dòng)，其背后也體現(xiàn)了個(gè)人信息跨境自由流動(dòng)和權(quán)利保障、公共安全、國家主權(quán)等法律價(jià)值之間的有效平衡。若條件設(shè)定過于苛刻，則不利于個(gè)人信息跨境自由流動(dòng)與合理使用，也不利于國際貿(mào)易和數(shù)字經(jīng)濟(jì)的有序發(fā)展；若條件設(shè)定過于寬松，則個(gè)人信息權(quán)益、公共安全、國家主權(quán)等可能在個(gè)人信息跨境流動(dòng)中受到損害或威脅。在個(gè)人信息跨境提供的條件設(shè)置中，既要保障個(gè)人信息自由、合理地跨境流動(dòng)和使用，也應(yīng)當(dāng)保障自然人的個(gè)人信息權(quán)益，維護(hù)公共安全和國家主權(quán)。《個(gè)人信息保護(hù)法》第三十八條要求個(gè)人信息跨境提供應(yīng)具備以下條件之一。

第一，安全評(píng)估。該條件設(shè)置了針對(duì)特定主體實(shí)施個(gè)人信息跨境提供行為的事前行政審批制度，因?yàn)榘踩u(píng)估僅是手段或方法，其并非最終處理結(jié)果；主管單位需要審查特定主體將要實(shí)施的跨境個(gè)人信息是否符合安全標(biāo)準(zhǔn)，并在此基礎(chǔ)作出是否允許其實(shí)施個(gè)人信息跨境提供的決定。安全評(píng)估雖然有利于維護(hù)我國公共安全和國家主權(quán)，也有利于保護(hù)自然人個(gè)人信息權(quán)益，但可能會(huì)阻礙個(gè)人信息的跨境自由流動(dòng)。(8)許多奇：《個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國際格局及中國應(yīng)對(duì)》，《法學(xué)論壇》2018年第3期，第135頁。這就要求對(duì)安全評(píng)估適用范圍予以限定，并非所有的跨境個(gè)人信息提供都需要安全評(píng)估，其僅限于《個(gè)人信息保護(hù)法》第四十條規(guī)定的兩類：(1)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在境內(nèi)收集處理的個(gè)人信息。(2)理個(gè)人信息達(dá)到法定數(shù)量的個(gè)人信息處理者在境內(nèi)收集處理的個(gè)人信息。(9)《個(gè)人信息保護(hù)法》第四十條：“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評(píng)估的，從其規(guī)定?！薄瓣P(guān)鍵信息基礎(chǔ)設(shè)施”是公共通信、信息服務(wù)、能源、交通、水利、金融等重要行業(yè)和領(lǐng)域的信息基礎(chǔ)設(shè)施，其遭到破壞、喪失功能或數(shù)據(jù)泄露，便可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益。對(duì)于此兩類主體在個(gè)人信息處理上，除了要遵守《個(gè)人信息保護(hù)法》中個(gè)人信息處理者的一般義務(wù)之外，其亦應(yīng)當(dāng)遵守個(gè)人信息“本地化存儲(chǔ)”義務(wù)和境外提供“安全評(píng)估”義務(wù)。對(duì)于這兩類特定主體實(shí)施的個(gè)人信息跨境提供行為，原則上都應(yīng)當(dāng)經(jīng)過國家網(wǎng)信部門組織的安全評(píng)估；若法律、行政法規(guī)或國家網(wǎng)信部門明確規(guī)定這兩類主體可以不進(jìn)行安全評(píng)估，則從其規(guī)定。(10)程嘯：《個(gè)人信息保護(hù)法理解與適用》，北京：中國法制出版社，2021年，第309頁。這里的“安全評(píng)估”與《個(gè)人信息保護(hù)法》第三十六條要求國家機(jī)關(guān)跨境提供個(gè)人信息的“安全評(píng)估”并不完全相同：前者主要是外部評(píng)估，即網(wǎng)信部門對(duì)網(wǎng)絡(luò)運(yùn)營者的個(gè)人信息出境予以安全評(píng)估；后者是實(shí)施個(gè)人信息境外提供行為的國家機(jī)關(guān)事前開展的自我評(píng)估。當(dāng)然，在實(shí)施個(gè)人信息跨境提供過程中，為了保障其能順利通過網(wǎng)信管理部門組織的安全評(píng)估，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或處理個(gè)人信息達(dá)到法定數(shù)量的個(gè)人信息處理者也可以事前在其內(nèi)部開展自我安全評(píng)估。

第二，專業(yè)機(jī)構(gòu)認(rèn)證。個(gè)人信息保護(hù)認(rèn)證是指專門的認(rèn)證機(jī)構(gòu)以相關(guān)技術(shù)規(guī)范為標(biāo)準(zhǔn)或依據(jù)，對(duì)于信息處理者的管理體系、運(yùn)行狀況、產(chǎn)品服務(wù)等是否達(dá)到個(gè)人信息保護(hù)技術(shù)規(guī)范所要求標(biāo)準(zhǔn)而出具的意見。(11)個(gè)人信息保護(hù)認(rèn)證通過引入專業(yè)、中立的第三方評(píng)估認(rèn)定，可以消除信息主體和信息處理者之間的信息鴻溝和技術(shù)不對(duì)等，也有助于信息處理者之間的良性競(jìng)爭(zhēng)。雖然，歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)中也建立了“認(rèn)證制度”，但將認(rèn)證制度應(yīng)用于個(gè)人信息跨境提供則是我國《個(gè)人信息保護(hù)法》首創(chuàng)。(12)龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，第183頁、第290頁。在個(gè)人信息跨境流動(dòng)中，由于信息處理者的管理體系、運(yùn)行狀況、產(chǎn)品服務(wù)等情況，已經(jīng)由中立的第三方專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息保護(hù)合規(guī)情況予以審查認(rèn)定，其可以擔(dān)保和佐證相關(guān)企業(yè)或組織的個(gè)人信息跨境提供行為具有合規(guī)性。信息處理者在已經(jīng)獲得專業(yè)機(jī)構(gòu)出具的個(gè)人信息保護(hù)認(rèn)證情況下，可以實(shí)施個(gè)人信息跨境提供行為。2018年國家市場(chǎng)監(jiān)督總局下屬“中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心”曾有序開展了個(gè)人信息安全管理體系認(rèn)證，給支付寶、騰訊、百度等網(wǎng)絡(luò)信息公司頒發(fā)了認(rèn)證證書。(13)程嘯：《個(gè)人信息保護(hù)法理解與適用》，第309頁。為了保障專業(yè)機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)認(rèn)證的專業(yè)性和中立性，需要有相關(guān)法規(guī)對(duì)第三方認(rèn)證機(jī)構(gòu)的準(zhǔn)入資質(zhì)、運(yùn)行程序、法律后果等方面內(nèi)容予以明確和細(xì)化。

第三，標(biāo)準(zhǔn)合同。標(biāo)準(zhǔn)合同實(shí)際上也就是格式合同，它通常也是預(yù)先擬定的。但個(gè)人信息跨境提供中的標(biāo)準(zhǔn)合同，與普通格式合同也存在較大差別。從制定主體來看，標(biāo)準(zhǔn)合同的制定主體并非是合同一方或單方當(dāng)事人，而是國家網(wǎng)信部門。從合同內(nèi)容來看，由于標(biāo)準(zhǔn)合同制定主體是國家網(wǎng)信部門，其所具有超脫于當(dāng)事人的法律地位以及其所肩負(fù)國家管理職能，其內(nèi)容也更具公正性和客觀性；而普通格式合同制定主體通常是具有經(jīng)濟(jì)優(yōu)勢(shì)或壟斷地位的一方合同當(dāng)事人，其可能會(huì)利用此種優(yōu)勢(shì)地位免除自己的義務(wù)或加重對(duì)方的責(zé)任。因此，個(gè)人信息跨境提供中的標(biāo)準(zhǔn)合同并不完全等同于普通的格式合同。若個(gè)人信息跨境提供中，個(gè)人信息處理者已按國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接受方訂立合同、約定雙方權(quán)利義務(wù)，也可以保障個(gè)人信息出境后獲得同等保護(hù)。該種法定條件參照了歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR)中個(gè)人數(shù)據(jù)跨境流動(dòng)保障機(jī)制中的標(biāo)準(zhǔn)合同條款(Standard Contract Clauses, SCC)，《通用數(shù)據(jù)保護(hù)條例》要求通過標(biāo)準(zhǔn)合同來規(guī)范個(gè)人信息跨境提供者和接收者的行為，從而實(shí)現(xiàn)個(gè)人信息自由流動(dòng)和權(quán)利保障的有效平衡，它是企業(yè)開展歐盟數(shù)據(jù)跨境流動(dòng)的解決方案。(14)許多奇：《個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制的國際格局及中國應(yīng)對(duì)》，《法學(xué)論壇》2018年第3期。標(biāo)準(zhǔn)合同中通常包括個(gè)人信息出境目的、存儲(chǔ)地域、存儲(chǔ)期限、提供方和接收方的權(quán)利義務(wù)、管轄、準(zhǔn)據(jù)法等內(nèi)容，通過標(biāo)準(zhǔn)化條款設(shè)置可以將《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息跨境提供的具體規(guī)則和要求得到有效落實(shí)，從而倒逼個(gè)人信息跨境流動(dòng)雙方切實(shí)保障個(gè)人信息權(quán)益。(15)張新寶、葛鑫：《個(gè)人信息保護(hù)法(專家建議稿)及立法理由說明書》，北京：中國人民大學(xué)出版社，2021年，第171頁。標(biāo)準(zhǔn)合同規(guī)則旨在通過模板化、標(biāo)準(zhǔn)化的合同條款來設(shè)置提供方和接收方的權(quán)利義務(wù)，并要求境外接收方提供必要個(gè)人信息保護(hù)。由于標(biāo)準(zhǔn)合同具有較強(qiáng)的制度剛性，其在個(gè)人信息跨境流動(dòng)中僅能選擇“全有/全無”的適用方式，即個(gè)人信息跨境流動(dòng)的雙方主體只能選擇采用或者不采用標(biāo)準(zhǔn)合同來訂立協(xié)議，而不能僅選擇標(biāo)準(zhǔn)合同的部分條款，或者對(duì)標(biāo)準(zhǔn)合同條款予以修改、變更或增刪。標(biāo)準(zhǔn)合同實(shí)現(xiàn)了個(gè)人信息跨境流動(dòng)協(xié)議內(nèi)容和條款的剛性化和標(biāo)準(zhǔn)化，此種標(biāo)準(zhǔn)化雖然限定了合同訂立者之間的意思自由，但卻有利于保障自然人的個(gè)人信息權(quán)益。

第四，符合法律、行政法規(guī)或國家網(wǎng)信部門規(guī)定的其他條件。該條件是個(gè)人信息跨境提供的“兜底條件”?！秱€(gè)人信息保護(hù)法》作為保護(hù)自然人個(gè)人信息權(quán)益的基本法律，其只宜提供規(guī)范個(gè)人信息處理活動(dòng)的基本規(guī)則，而不宜詳細(xì)規(guī)定不同行業(yè)、不同領(lǐng)域中個(gè)人信息保護(hù)的具體標(biāo)準(zhǔn)和細(xì)則，它也無法窮盡個(gè)人信息處理活動(dòng)的各種條件和標(biāo)準(zhǔn)，其對(duì)個(gè)人信息跨境提供的調(diào)整和規(guī)范也是如此?？紤]到網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展和國際關(guān)系的發(fā)展變化，將來可能需要根據(jù)實(shí)踐情況為增設(shè)個(gè)人信息跨境提供的其他條件留下開放空間。另外，由于個(gè)人信息跨境提供規(guī)則具有很強(qiáng)的公共政策因素考慮，很多內(nèi)容需要授權(quán)國家網(wǎng)信部門針對(duì)不同情形下的個(gè)人信息跨境提供制定相應(yīng)條件。(16)程嘯：《個(gè)人信息保護(hù)法理解與適用》，第312頁。若我國法律、行政法規(guī)或國家網(wǎng)信部門規(guī)定了個(gè)人信息跨境提供的其他法定條件，則僅需要符合其他法定條件就可以實(shí)施個(gè)人信息跨境提供。

從《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息跨境提供的條件設(shè)置來看，其主要具有以下特點(diǎn)：首先，體現(xiàn)了個(gè)人信息分類保護(hù)和處理的理念。雖然該規(guī)定對(duì)個(gè)人信息跨境提供的法定條件采取了“選擇式”立法表述，即只要滿足上述四個(gè)條件之一，就符合個(gè)人信息跨境流動(dòng)的基本條件，但并非所有類型的個(gè)人信息處理者都可以自由選擇其中一種方式。有兩類個(gè)人信息處理者只能采取“安全評(píng)估”方式，即關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和達(dá)到法定數(shù)量個(gè)人信息者，這些主體主要處理“重要數(shù)據(jù)的個(gè)人信息”。重要數(shù)據(jù)是直接影響國家安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定等方面的數(shù)據(jù)，其中就包括重要數(shù)據(jù)的個(gè)人信息。(17)何淵主編：《數(shù)據(jù)法學(xué)》，北京：北京大學(xué)出版社，2020年，第55頁。作為重要數(shù)據(jù)的個(gè)人信息包括敏感個(gè)人信息，但并不完全等同于后者。敏感個(gè)人信息與非敏感個(gè)人信息主要著眼于個(gè)人信息內(nèi)容對(duì)自然人人格尊嚴(yán)等方面產(chǎn)生影響程度所作的分類；重要數(shù)據(jù)主要并不是著眼于數(shù)據(jù)對(duì)自然人個(gè)體的影響程度，而是著眼于數(shù)據(jù)對(duì)國家安全和社會(huì)公共利益的影響程度。因此，對(duì)于此兩類主體只能采取“安全評(píng)估”方式。其次，體現(xiàn)了個(gè)人信息合理流動(dòng)的理念。信息在流動(dòng)、使用中才能產(chǎn)生價(jià)值，個(gè)人信息亦不例外。從現(xiàn)有個(gè)人信息境外提供的法定條件設(shè)置來看，其體現(xiàn)了鼓勵(lì)個(gè)人信息合理使用和流動(dòng)的理念，除了兩類特殊信息處理主體之外，并沒有為個(gè)人信息跨境流動(dòng)設(shè)置過高的門檻，且僅需要選擇性滿足其中一項(xiàng)即可。再次，援引性色彩較濃。該條在創(chuàng)設(shè)個(gè)人信息跨境提供的法定條件時(shí)，都采取了援引性規(guī)定的立法模式，其僅要求“安全評(píng)估”“第三方評(píng)估”“標(biāo)準(zhǔn)合同”等，其各自具體標(biāo)準(zhǔn)則有待其他相關(guān)法律或標(biāo)準(zhǔn)予以具體明確，這就為不同行業(yè)、不同部分在各自領(lǐng)域探索個(gè)人信息跨境提供的具體標(biāo)準(zhǔn)和細(xì)則提供了探索空間。

我國個(gè)人信息跨境提供規(guī)則雖然已建立了初步的分類處理機(jī)制，但其標(biāo)準(zhǔn)相對(duì)單一，且主要依據(jù)個(gè)人信息處理者的具體類型，而并非著眼于個(gè)人信息自身分級(jí)分類基礎(chǔ)之上。這就可能導(dǎo)致對(duì)普通信息處理主體處理的敏感個(gè)人信息跨境提供條件過于寬松。前者可能不利于個(gè)人信息的跨境合理流動(dòng)，而后者可能不利個(gè)人信息保護(hù)。上述困境的根源就在于個(gè)人信息跨境類型化處理的分類基點(diǎn)不盡科學(xué)。在個(gè)人信息跨境流動(dòng)上，需要考慮建立多元化分類機(jī)制，并以此為基礎(chǔ)建立不同的跨境提供適用條件，比如“特定主體+敏感個(gè)人信息”的分類標(biāo)準(zhǔn)。對(duì)于前述兩類特定主體，他們處理的個(gè)人信息直接影響到國家安全與社會(huì)穩(wěn)定，故其開展的個(gè)人信息跨境提供應(yīng)經(jīng)“安全評(píng)估”并取得批準(zhǔn)。對(duì)于敏感個(gè)人信息，由于此類個(gè)人信息與個(gè)人私生活緊密相關(guān)，侵犯或干預(yù)后產(chǎn)生的消極后果較為嚴(yán)重，需要國家給予更為周延的保護(hù)(18)吳玄：《數(shù)據(jù)主權(quán)視野下個(gè)人信息跨境規(guī)則的建構(gòu)》，《清華法學(xué)》2021年第3期。，故對(duì)此類個(gè)人信息也應(yīng)納入行政審批范圍之內(nèi)。另外，在個(gè)人信息跨境提供的實(shí)踐探索中，也考慮引入其他標(biāo)準(zhǔn)的分類處理機(jī)制，比如地域標(biāo)準(zhǔn)，可以嘗試在上海、海南等自由貿(mào)易試驗(yàn)區(qū)內(nèi)對(duì)一般個(gè)人信息的跨境提供設(shè)置更為寬松的條件。

三、個(gè)人信息跨境提供的“知情—同意”

在個(gè)人信息跨境提供中也應(yīng)遵守“知情—同意”規(guī)則，這在《個(gè)人信息保護(hù)法》第三十九條中予以明確要求。(19)《個(gè)人信息保護(hù)法》第三十九條：“個(gè)人信息處理者向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)，并取得個(gè)人的單獨(dú)同意?！眰€(gè)人信息是自然人人格利益的重要體現(xiàn)和載體，在未取得自然人同意的情況下原則上不得隨意處理其個(gè)人信息，這就要求在個(gè)人信息處理中遵循“知情—同意”規(guī)則，在個(gè)人信息跨境提供中亦不例外。相比于對(duì)個(gè)人信息的一般處理行為，個(gè)人信息跨境提供行為對(duì)自然人權(quán)益的影響更大，因?yàn)榇朔N處理行為會(huì)帶來監(jiān)管場(chǎng)域、保護(hù)方式、法律適用等方面的變化，由此將帶來自然人對(duì)其個(gè)人信息控制弱化和權(quán)益保護(hù)難度提升的不利后果。為了確保自然人個(gè)人信息權(quán)益不因跨境流動(dòng)而減損，就有必要對(duì)“知情—同意”規(guī)則設(shè)置更為嚴(yán)厲的標(biāo)準(zhǔn)，這主要體現(xiàn)在以下三方面。

第一，告知內(nèi)容擴(kuò)大化。個(gè)人信息處理者向境外提供個(gè)人信息時(shí)，應(yīng)當(dāng)向信息主體履行告知義務(wù)以保障其知情權(quán)。有效告知是理性選擇的前提，若缺乏對(duì)個(gè)人信息處理相關(guān)的全面告知，自然人所作選擇僅是一種盲目化、形式化的選擇。在就個(gè)人信息境外提供事項(xiàng)征得自然人同意之前，也需要就個(gè)人信息跨境流動(dòng)事項(xiàng)向自然人履行告知義務(wù)。告知的具體內(nèi)容包括境外接收方名稱或姓名、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項(xiàng)。這可以更好地保障自然人在個(gè)人信息跨境提供中行使查詢復(fù)制權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)等權(quán)利。(20)程嘯：《個(gè)人信息保護(hù)法理解與適用》，第314頁。《個(gè)人信息保護(hù)法》第三十九條對(duì)告知內(nèi)容的規(guī)定采取了“列舉+兜底”方式，其中的“等”應(yīng)理解為“等外等”，即列舉未盡之義，既包括對(duì)所列之事項(xiàng)的告知，也包括對(duì)其他沒有列出但涉及個(gè)人信息境外提供中權(quán)利保障或救濟(jì)的事項(xiàng)。與《個(gè)人信息保護(hù)法》第十七條中的告知義務(wù)相比(21)《個(gè)人信息保護(hù)法》第十七條第1款：“個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：(一)個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；(二)個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；(三)個(gè)人行使本法規(guī)定權(quán)利的方式和程序；(四)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)?！?，個(gè)人信息跨境提供中的告知義務(wù)內(nèi)容要更多。除了需要個(gè)人信息處理者自身的名稱或者姓名和聯(lián)系方式等事項(xiàng)之外，個(gè)人信息處理者還需要告知境外接收方的名稱或者姓名、聯(lián)系方式等事項(xiàng)。告知內(nèi)容擴(kuò)大化，將更有利于保障個(gè)人知情權(quán)，也將有助于自然人行使其各項(xiàng)個(gè)人信息權(quán)利及發(fā)生個(gè)人信息安全事件后的有效維權(quán)。

第二，同意方式法定化。個(gè)人信息處理者向境外提供個(gè)人信息時(shí)，須征得個(gè)人“單獨(dú)同意”，即個(gè)人信息處理者應(yīng)當(dāng)采取“一對(duì)一”方式取得個(gè)人同意。單獨(dú)同意更容易引起自然人警惕和重視，可以強(qiáng)化其個(gè)人信息保護(hù)意識(shí)，讓其在作出是否“同意”的選擇時(shí)更加謹(jǐn)慎、理性。(22)丁曉東：《個(gè)人信息保護(hù)原理與實(shí)踐》，第92-93頁。“單獨(dú)同意”制度是我國《個(gè)人信息保護(hù)法》的首創(chuàng)制度，其在國外并沒有完全相同的制度，其強(qiáng)調(diào)獲得同意的明確性、充分保障個(gè)人知情權(quán)和程序權(quán)。(23)龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，第185-186頁。從與其他告知事項(xiàng)的關(guān)系上看，“單獨(dú)同意”意味著不能僅僅通過個(gè)人信息保護(hù)或隱私政策等中設(shè)置或蘊(yùn)含的境外流動(dòng)款項(xiàng)方式來予以告知，因?yàn)閭€(gè)人基于此種概括性或綜合性告知而作出的同意表示，其個(gè)人信息境外提供的同意將喪失獨(dú)立性，此種同意將依附于對(duì)其他處理事項(xiàng)內(nèi)容的同意。這與《個(gè)人信息保護(hù)法》第十四條規(guī)定的“同意”規(guī)則不同(24)《個(gè)人信息保護(hù)法》第十四條：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意?！?，后者原則上并不限于單獨(dú)同意。當(dāng)然，信息主體的“單獨(dú)同意”也應(yīng)遵循知情、自愿、明確等要求，沉默或者概括性同意均不能構(gòu)成有效的單獨(dú)同意。對(duì)于“單獨(dú)同意”的表示形式并未作出具體要求，既可以采取書面同意，也可以口頭同意或電子化同意。在實(shí)踐中一般采取“單獨(dú)彈窗”“單獨(dú)協(xié)議”方式告知，個(gè)人可以通過在線勾選、點(diǎn)擊確認(rèn)等方式表示同意。(25)劉新宇：《中華人民共和國個(gè)人信息保護(hù)法重點(diǎn)解讀與案例解析》，北京：中國法制出版社，2021年，第102頁。單獨(dú)同意雖然有利于保障個(gè)人信息自決權(quán)，但也會(huì)加重個(gè)人信息處理者的義務(wù)和負(fù)擔(dān)，可能會(huì)增加個(gè)人信息跨境提供的難度和成本。在個(gè)人信息跨境提供規(guī)則中，立法者通過“告知內(nèi)容擴(kuò)大化”和“同意方式法定化”來加強(qiáng)對(duì)自然人個(gè)人信息權(quán)益的保護(hù)，但這也可能導(dǎo)致告知內(nèi)容冗長(zhǎng)復(fù)雜，個(gè)人可能要花費(fèi)很大的時(shí)間和精力來對(duì)其個(gè)人信息跨境流動(dòng)事項(xiàng)作出十余項(xiàng)甚至數(shù)十項(xiàng)選擇，此時(shí)同意權(quán)可能演變?yōu)槠洳粍倨鋽_的選擇負(fù)擔(dān)，由此其實(shí)踐運(yùn)行可能會(huì)背離立法者初衷。

第三，合法性基礎(chǔ)的單一化。信息處理者向境外提供個(gè)人信息，其僅能依據(jù)個(gè)人“知情—同意”來取得合法性基礎(chǔ)?！秱€(gè)人信息保護(hù)法》第十三條規(guī)定了個(gè)人信息境內(nèi)處理行為的多元化合法性基礎(chǔ)(26)《個(gè)人信息保護(hù)法》第十三條：“符合下列情形之一的，個(gè)人信息處理者方可處理個(gè)人信息：(一)取得個(gè)人的同意；(二)為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需；(三)為履行法定職責(zé)或者法定義務(wù)所必需；(四)為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；(五)為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；(六)依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；(七)法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關(guān)規(guī)定，處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人同意，但是有前款第二項(xiàng)至第七項(xiàng)規(guī)定情形的，不需取得個(gè)人同意。”，而個(gè)人信息跨境提供行為的合法性基礎(chǔ)則相對(duì)單一，其只能基于“知情—同意”規(guī)則獲得合法性基礎(chǔ)。此種單一合法性基礎(chǔ)體現(xiàn)了我國立法者對(duì)個(gè)人信息跨境流動(dòng)采取了更為審慎的態(tài)度(27)龍衛(wèi)球主編：《中華人民共和國個(gè)人信息保護(hù)法釋義》，第186頁。，有利于更加充分地保障個(gè)人的信息自決權(quán)，但也存在較多弊端：其一，可能無法有效應(yīng)對(duì)緊急情況的個(gè)人信息跨境提供。比如對(duì)于跨國公司內(nèi)部雇員個(gè)人信息的跨境提供和管理，若都要求征得自然人同意，不僅會(huì)加大企業(yè)內(nèi)部管理和運(yùn)營成本，也會(huì)給員工本人帶來較多麻煩；又比如因疫情防控或公共衛(wèi)生等原因，需要緊急向境外提供相關(guān)人員的個(gè)人信息。個(gè)人信息跨境提供合法性基礎(chǔ)的設(shè)置，本身就涉及人權(quán)保障和信息自由的沖突平衡，在利益平衡背后需要兼顧多元價(jià)值需求，單方面追求個(gè)人信息自決權(quán)則可能阻礙某些極端情形下個(gè)人信息跨境需求的有效實(shí)現(xiàn)。其二，可能會(huì)遭遇他國在個(gè)人信息流動(dòng)中的對(duì)等反制措施。個(gè)人信息跨境流動(dòng)不僅涉及對(duì)個(gè)人信息權(quán)益保護(hù)，也會(huì)涉及貿(mào)易壁壘、外交政策、國際關(guān)系等重大問題，而在國際關(guān)系中應(yīng)遵循平等互利的基本原則。(28)謝登科：《論數(shù)據(jù)跨境流動(dòng)的安全與自由原則》，《中國信息安全》2021年第5期。我國《個(gè)人信息保護(hù)法》中個(gè)人信息跨境提供行為的合法性基礎(chǔ)則相對(duì)單一，由此就導(dǎo)致個(gè)人信息跨境提供的條件嚴(yán)苛、門檻較高。當(dāng)其他國家向我國輸入其本國國民個(gè)人信息時(shí)就可能會(huì)采取對(duì)等原則，提高個(gè)人信息輸出條件，這可能會(huì)讓我國企業(yè)在國際貿(mào)易中處于競(jìng)爭(zhēng)劣勢(shì)。其三，單獨(dú)同意可能會(huì)增加信息主體的負(fù)擔(dān)。限制性更強(qiáng)的個(gè)人信息跨境提供規(guī)則，可能并不總會(huì)為信息主體帶來更充分的保護(hù)，海量的告知可能會(huì)讓信息主體不勝其煩。(29)李萬強(qiáng)、賀溦：《自貿(mào)試驗(yàn)區(qū)推進(jìn)個(gè)人信息跨境制度開放研究》 ，《國際貿(mào)易》2021年第8期。比如某些人已經(jīng)在網(wǎng)絡(luò)上公開的個(gè)人信息，其公開的目的可能是為了便于全球查閱，此時(shí)境外組織或個(gè)人通過瀏覽網(wǎng)頁就可以獲取，若對(duì)此類公開個(gè)人信息的境外提供仍然要求“知情—同意”，就可能有悖于其信息自決公開的初衷，也會(huì)給信息主體帶來諸多不便。有學(xué)者主張以“信義規(guī)則”為基礎(chǔ)，在個(gè)人信息跨境提供上確立“以企業(yè)滿足客觀保護(hù)要件為原則，以個(gè)人單獨(dú)同意為例外”制度方案。(30)許可：《自由與安全：數(shù)據(jù)跨境流動(dòng)的中國方案》，《環(huán)球法律評(píng)論》2021年第1期。該方案雖然注意到應(yīng)建立個(gè)人信息跨境提供行為的多元化合法性基礎(chǔ)，但卻將“個(gè)人單獨(dú)同意”作為合法性例外規(guī)則，可能存在本末倒置而導(dǎo)致對(duì)個(gè)人信息自決權(quán)保障不足的問題，也將導(dǎo)致個(gè)人信息跨境提供合法性基礎(chǔ)規(guī)則與個(gè)人信息處理行為合法性基礎(chǔ)規(guī)則之間的不協(xié)調(diào)。比較合理的解決方案，可能是需要以個(gè)人信息數(shù)據(jù)的分級(jí)分類為基礎(chǔ)，結(jié)合個(gè)人信息跨境提供的具體事由和具體情景，嘗試探索個(gè)人信息跨境提供行為的多元化合法性基礎(chǔ)。在跨境提供行為的多元化合法性基礎(chǔ)上仍然需要以“個(gè)人單獨(dú)同意”為原則，而以其他合法性事由為例外，這樣才能與境內(nèi)個(gè)人信息處理行為合法性基礎(chǔ)規(guī)則相協(xié)調(diào)。