個人信息跨境提供中的企業(yè)合規(guī)

謝登科

(吉林大學(xué) 理論法學(xué)院研究中心，吉林長春 130012)

隨著信息技術(shù)和數(shù)字經(jīng)濟的不斷發(fā)展，在國際數(shù)字貿(mào)易、金融投資等業(yè)務(wù)中不可避免地涉及個人信息境外流動。個人信息境外流動不僅涉及自然人個人信息權(quán)益保護(hù)，也涉及國家主權(quán)、公共安全等重大問題。企業(yè)在實施個人信息境外提供行為時，須建立完善的專項合規(guī)計劃，否則不僅無法完成正?？缇硺I(yè)務(wù)，還可能因違法違規(guī)而遭受行政監(jiān)管處罰甚至刑事追訴。2021年7月，剛剛在美國掛牌上市的“滴滴出行”公司被國家網(wǎng)信辦予以安全審查，并通知應(yīng)用商店下架該公司APP，主要原因就是個人信息跨境流動涉嫌違規(guī)。(1)參見張寧：《“滴滴被查”事件折射數(shù)據(jù)安全責(zé)任之重》，載《中國城鄉(xiāng)金融報》2021年7月23日，第A04版。對于處理個人信息的企業(yè)而言，個人信息保護(hù)專項合規(guī)不僅是其履行法定義務(wù)、避免處罰的重要手段，也是免受商譽損失、保障持續(xù)經(jīng)營的重要途徑，因為違規(guī)經(jīng)營將面臨罰款或罰金等處罰，更將面臨聲譽損失、特定經(jīng)營的限制或剝奪。(2)參見陳瑞華：《企業(yè)合規(guī)基本理論》，法律出版社2021年版，第9頁。我國《個人信息保護(hù)法》已初步建立了個人信息跨境提供規(guī)則，這為規(guī)范企業(yè)個人信息跨境行為提供了依據(jù)。為了兼顧企業(yè)持續(xù)經(jīng)營和個人信息保護(hù)，企業(yè)在個人信息境外提供中應(yīng)遵循《個人信息保護(hù)法》的各項規(guī)則，否則就可能出現(xiàn)與“滴滴出行”公司類似的個人信息跨境流動合規(guī)風(fēng)險。因此，本文擬以《個人信息保護(hù)法》的現(xiàn)有規(guī)定為視角探討個人信息跨境提供企業(yè)合規(guī)的四個要件。

一、境外提供的前提條件：個人信息的有效甄別

在個人信息境外提供中，企業(yè)首先需甄別跨境流動的數(shù)據(jù)是否屬于個人信息，這是其開展個人信息跨境提供專項合規(guī)計劃的前提條件。若企業(yè)將非個人信息的數(shù)據(jù)作為個人信息而納入專項合規(guī)計劃，則會不當(dāng)提高企業(yè)實施跨境數(shù)據(jù)流動相關(guān)業(yè)務(wù)的成本；若將個人信息數(shù)據(jù)沒有納入個人信息而排除在專項合規(guī)計劃之外，則可能讓企業(yè)在個人信息跨境提供中面臨行政監(jiān)管處罰風(fēng)險。因此，個人信息有效甄別是企業(yè)開展專項合規(guī)計劃建設(shè)的重要前提。

我國《個人信息保護(hù)法》第4條對個人信息予以界定和明確，(3)《個人信息保護(hù)法》第4條第1款：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！钡洳]有采取“可識別性”的判斷標(biāo)準(zhǔn)，而是采取了“相關(guān)性+可識別性”的判斷標(biāo)準(zhǔn)，即只要是與已識別或可識別自然人相關(guān)的信息都屬于個人信息。從“可識別性”到“相關(guān)性”的轉(zhuǎn)變，不僅改變了個人信息的認(rèn)定標(biāo)準(zhǔn)，也改變了個人信息的認(rèn)定路徑和范圍。從個人信息的認(rèn)定路徑來看，“可識別性”標(biāo)準(zhǔn)主要遵循“從信息到個人”的路徑，即根據(jù)現(xiàn)有信息能單獨識別或結(jié)合其他信息識別出特定自然人，該信息就屬于個人信息；若現(xiàn)有信息不能直接或間接識別出特定自然人，則不屬于個人信息。“相關(guān)性”主要遵循“從個人到信息”的路徑，只要與已識別或可識別自然人相關(guān)的信息，就都屬于個人信息；若與已識別或可識別自然人無關(guān)的信息，則不屬于個人信息。從“個人到信息”的認(rèn)定路徑更符合個人信息生產(chǎn)的事實邏輯，在權(quán)利正當(dāng)性方面也更具說服力。(4)參見曹博等：《個人信息保護(hù)案例評析》，上海人民出版社2021年版，第12頁。從個人信息的認(rèn)定范圍來看，從“可識別性”標(biāo)準(zhǔn)到“相關(guān)性+可識別性”標(biāo)準(zhǔn)的轉(zhuǎn)變會導(dǎo)致個人信息范圍更加寬泛，因為某些信息雖然無法直接或間接識別出特定個人，但會因該信息與特定個人具有某種相關(guān)性而被認(rèn)定為個人信息。在司法實踐中，按照“可識別性”標(biāo)準(zhǔn)可能無法被認(rèn)定為個人信息的某些新型數(shù)據(jù)，也會因與特定自然人有關(guān)而被認(rèn)定為個人信息。比如在朱某訴百度公司cookie隱私權(quán)糾紛案中，二審法院就主要依據(jù)“可識別性”標(biāo)準(zhǔn)，認(rèn)為百度網(wǎng)站基于cookie所記錄的網(wǎng)頁瀏覽信息不屬于個人信息，因為依據(jù)此信息無法識別該網(wǎng)頁瀏覽器使用者的網(wǎng)絡(luò)用戶身份。(5)參見丁翔宇：《個人信息保護(hù)糾紛理論解釋與裁判實務(wù)》，中國法制出版社2021年版，第16-17頁。不過，按照“相關(guān)性”的認(rèn)定標(biāo)準(zhǔn)，網(wǎng)頁瀏覽記錄顯然屬于個人信息，因為它是特定自然人瀏覽網(wǎng)頁中產(chǎn)生的行為信息，它與特定自然人具有關(guān)聯(lián)性，此種信息與其他信息結(jié)合也可以識別特定自然人。但是，“關(guān)聯(lián)性”標(biāo)準(zhǔn)較為注重自然人與信息之間的關(guān)系，可能會忽略個人信息的功能和作用，由此導(dǎo)致對個人信息認(rèn)定范圍的擴大。

對個人信息的甄別與判斷，需要從其四個構(gòu)成要素予以分析：(1)自然人。個人信息的主體僅限于自然人，法人等組織的相關(guān)信息則不屬于個人信息，比如企業(yè)的生產(chǎn)數(shù)據(jù)、排污數(shù)據(jù)、企業(yè)微信公眾號閱讀次數(shù)等。個人信息保護(hù)立法主要是為了保護(hù)自然人的個人信息自決權(quán)和人格尊嚴(yán)，法人等組織并不存在人格尊嚴(yán)和人格自由。(6)參見程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第59-60頁。因此，法人等組織的相關(guān)信息并不屬于個人信息，對于此類信息的跨境提供并不屬于《個人信息保護(hù)法》調(diào)整范圍，其可能會受到《反不正當(dāng)競爭法》《保密法》等法律法規(guī)的調(diào)整。(2)可識別性?！耙炎R別”與“可識別”是依據(jù)特定自然人是否已經(jīng)被識別而作的分類，前者是指特定自然人已經(jīng)被識別出來，后者是具有識別特定自然人的可能性。相關(guān)信息若無法識別出特定自然人，則對此類信息的處理通常不會侵害或危及特定自然人權(quán)益。因此，個人信息應(yīng)當(dāng)具有可識別性。對于特定個人的識別，既可以是直接識別，也可以是間接識別。前者是單獨通過該信息就可以識別特定自然人，比如身份證號碼、指紋等信息。后者是單獨通過該信息無法識別特定自然人，須將該信息與其他信息結(jié)合才能識別特定自然人，比如性別、出生日期等信息，僅有上述信息無法單獨實現(xiàn)對特定自然人的識別，因為同性別、同出生日期的自然人很多，但這些信息與其他信息結(jié)合起來仍然可以識別特定自然人。可以直接識別或間接識別出特定自然人的信息，都具有可識別性。(3)相關(guān)性。“有關(guān)”意為關(guān)系到、涉及到，它通常是事實描述或判斷，而并不涉及對背后價值功能的判斷，當(dāng)信息是關(guān)于某自然人的，則認(rèn)為此信息與該自然人具有相關(guān)性，該信息可以從內(nèi)容、目的、結(jié)果等方面呈現(xiàn)出相關(guān)性。(7)參見[荷]瑪農(nóng)·奧斯特芬：《數(shù)據(jù)的邊界：隱私與個人信息保護(hù)》，曹博譯，上海人民出版社2020年版，第130頁。自然人有意識或無意識實施各種活動中產(chǎn)生的信息都與該自然人有關(guān)，但它們并非都屬于個人信息，只有該關(guān)聯(lián)信息能夠直接或間接識別特定自然人時才屬于個人信息。(4)形式要件。個人信息的載體可以是電子或其他形式。個人信息的載體形式相對靈活，既可以是電子數(shù)據(jù)記載的個人信息，也可以是傳統(tǒng)紙質(zhì)文本記載的個人信息，還可以是圖片、音頻、視頻等方式記載的個人信息。

對于匿名化處理的個人信息，由于無法通過其來識別特定自然人，《個人信息保護(hù)法》對匿名化處理后的信息不予調(diào)整和保護(hù)，其中就包括對匿名化處理后個人信息的境外提供。作為規(guī)避《個人信息保護(hù)法》中現(xiàn)有個人信息跨境提供規(guī)則的方式之一，企業(yè)可以對個人信息作匿名處理后再向境外提供。但是，在匿名化處理中需注意兩個關(guān)鍵要素，即“無法識別”和“不能還原”，前者是指采取相關(guān)技術(shù)方法來“切割”信息與自然人的關(guān)聯(lián)性，使無法通過其來直接識別或間接識別特定自然人；后者是指匿名化處理需要維持其處于不可識別的狀態(tài)，且無法逆轉(zhuǎn)地改變此種狀態(tài)。(8)參見龍衛(wèi)球主編：《中華人民共和國個人信息保護(hù)法釋義》，中國法制出版社2021年版，第17頁。在實踐運行中，較為常見的匿名化處理方法就是刪除姓名、身份證號等顯著性識別信息，通過數(shù)字或字母等符號予以替換，從而消除個人信息被暴露的風(fēng)險。但是，匿名處理也比較脆弱，匿名化處理個人信息可能通過更多數(shù)據(jù)或更強大信息處理技術(shù)實現(xiàn)“去匿名化”，主要是通過將匿名處理后個人信息中含有的相關(guān)細(xì)節(jié)信息映射到其他數(shù)據(jù)源上從而實現(xiàn)對特定個人的識別。(9)參見[美]雪莉·大衛(wèi)獨夫：《大數(shù)據(jù)泄露：隱私保護(hù)危機與數(shù)據(jù)安全機遇》，馬多賀等譯，機械工業(yè)出版社2021年版，第45頁。比如Google公司就曾利用其用戶檢索數(shù)據(jù)庫對某網(wǎng)絡(luò)購物的公共數(shù)據(jù)庫實現(xiàn)“去匿名化”處理，利用醫(yī)學(xué)術(shù)語檢索實現(xiàn)對公共健康數(shù)據(jù)的“去匿名化”處理。(10)參見[美]布魯斯·施奈爾：《數(shù)據(jù)與監(jiān)控：信息安全的隱性之戰(zhàn)》，李先奇、黎秋敏譯，金城出版社2018年版，第57頁。匿名化處理后的個人信息被逆向采取“去匿名化”處理后，仍然有可能實現(xiàn)對特定自然人的識別。對于此種“去匿名化”的合規(guī)風(fēng)險，企業(yè)需要在技術(shù)層面對個人信息予以有效匿名化處理，盡可能刪除與企業(yè)跨境業(yè)務(wù)無關(guān)的個人信息數(shù)據(jù)，防止殘留信息數(shù)據(jù)帶來的去匿名化處理風(fēng)險；在法律層面，企業(yè)需要通過完善相關(guān)合同內(nèi)容或條款來防范匿名化個人信息跨境提供中的“去匿名化”合規(guī)風(fēng)險，在合同中設(shè)置專門條款禁止個人信息的境外接收方將匿名化個人信息映射到其他數(shù)據(jù)來識別特定自然人。

個人信息甄別具有較強的專業(yè)性，相關(guān)信息是否可以識別特定自然人和地域、技術(shù)水平、投入時間、信息數(shù)量等因素有關(guān)。(11)參見程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第63-64頁。在實踐運行中，很多新型、邊緣性信息是否屬于個人信息往往存在較大爭議。為保障個人信息數(shù)據(jù)境外提供的合規(guī)性，企業(yè)需設(shè)立個人信息保護(hù)負(fù)責(zé)人(Personal Information Protection Officer, PIPO)。雖然《個人信息保護(hù)法》第52條對個人信息保護(hù)負(fù)責(zé)人制度的適用條件和范圍予以限定，(12)《個人信息保護(hù)法》第52條：“處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。個人信息處理者應(yīng)當(dāng)公開個人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式，并將個人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報送履行個人信息保護(hù)職責(zé)的部門”其僅要求處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人。但是，個人信息跨境提供涉及法律關(guān)系復(fù)雜、環(huán)節(jié)眾多，企業(yè)在個人信息跨境提供合規(guī)計劃中應(yīng)當(dāng)任命專門的個人信息保護(hù)負(fù)責(zé)人，將其納入企業(yè)合規(guī)管理部門。(13)參見陳瑞華：《企業(yè)合規(guī)基本理論》，法律出版社2021年版，第10頁。完善涉及個人信息處理的企業(yè)內(nèi)部合規(guī)治理結(jié)構(gòu)，個人信息保護(hù)負(fù)責(zé)人可以組織企業(yè)內(nèi)部負(fù)責(zé)涉外業(yè)務(wù)的員工開展個人信息保護(hù)培訓(xùn)，這將有利于個人信息有效甄別、保障個人信息跨境提供的合規(guī)性。

二、境外提供的目的條件：因合法業(yè)務(wù)所必需

個人信息處理者對個人信息處理行為應(yīng)具有正當(dāng)目的，對個人信息的境外提供亦不例外?！秱€人信息保護(hù)法》第6條確立了目的限定原則，(14)《個人信息保護(hù)法》第6條：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。”企業(yè)開展個人信息跨境提供合規(guī)建設(shè)也應(yīng)遵循目的限定原則，這是企業(yè)實施個人信息跨境提供的目的條件；因缺乏特定目的而實施個人信息境外提供，很容易導(dǎo)致跨境流動中的個人信息被濫用而產(chǎn)生合規(guī)風(fēng)險?！秱€人信息保護(hù)法》第38條將個人信息跨境提供的目的限定為“因業(yè)務(wù)等需要”。這就意味著企業(yè)僅能為了業(yè)務(wù)等需要而實施個人信息跨境提供。目的限定原則是《個人信息保護(hù)法》中的“帝王條款”，也是個人信息保護(hù)的重要基石和其他規(guī)則的首要條件。(15)參見程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第85頁。因為處理目的可以反映出信息主體對其個人信息處理狀況的合理期待，個人信息處理應(yīng)當(dāng)為信息主體所能夠合理預(yù)見，而不得超出其合理預(yù)期。(16)參見梁澤宇：《個人信息保護(hù)中目的限制原則的解釋與適用》，載《比較法研究》2018年第5期。企業(yè)在實施個人信息跨境提供時也應(yīng)適用目的限定原則，其正當(dāng)目的就是“因業(yè)務(wù)等需要”。在個人信息跨境提供專項合規(guī)計劃建設(shè)中，企業(yè)也應(yīng)圍繞“因業(yè)務(wù)等需要”的目的限定原則來合理限定個人信息跨境流動范圍。

首先，企業(yè)實施個人信息跨境提供是為其業(yè)務(wù)所需要。開展與其設(shè)立宗旨相關(guān)的各種業(yè)務(wù)活動是企業(yè)得以存續(xù)的正當(dāng)基礎(chǔ)，個人信息跨境提供自然也應(yīng)與企業(yè)的業(yè)務(wù)相關(guān)，即為了更好保障企業(yè)各項業(yè)務(wù)的順利開展，或者個人信息境外提供本身就是跨境業(yè)務(wù)的主要內(nèi)容。企業(yè)在運行過程中可能會開展各種業(yè)務(wù)，比如產(chǎn)品開發(fā)業(yè)務(wù)、市場推廣業(yè)務(wù)、行政管理業(yè)務(wù)等。企業(yè)的業(yè)務(wù)通?？煞譃閮?nèi)部業(yè)務(wù)和外部業(yè)務(wù)，前者比如跨國集團(tuán)公司因人事、財務(wù)等內(nèi)部管理而開展的各項業(yè)務(wù)，較為常見的是跨國集團(tuán)公司因其內(nèi)部人力資源管理，而對其員工個人信息實施跨境傳輸或提供；后者是企業(yè)與其他企業(yè)、組織或個人之間開展的各種交易或服務(wù)，比如企業(yè)為開展跨境金融、貿(mào)易等業(yè)務(wù)而向其他組織或個人實施的跨境個人信息提供。在實踐中，企業(yè)通常較為重視外部業(yè)務(wù)中的個人信息跨境提供專項合規(guī)建設(shè)，但企業(yè)內(nèi)部業(yè)務(wù)所開展的個人信息跨境提供也可能會侵犯個人信息權(quán)益，此時也可能產(chǎn)生企業(yè)合規(guī)風(fēng)險。比如在德國，H&M公司就曾因大范圍收集員工病假、就醫(yī)、診斷等個人信息，將家庭狀況、宗教信仰等個人信息作為員工考評任用的參考依據(jù)，而被德國數(shù)據(jù)保護(hù)部門開出3530萬歐元罰單。(17)參見王倩、顧雪瑩：《GDPR下涉歐企業(yè)的員工個人數(shù)據(jù)合規(guī)管理》，載《德國研究》2021年第2期。因為企業(yè)內(nèi)部業(yè)務(wù)中的個人信息跨境提供，不僅涉及企業(yè)內(nèi)部組織管理，也涉及其員工個人信息權(quán)益保護(hù)。我國《個人信息保護(hù)法》第38條并沒有區(qū)分內(nèi)部業(yè)務(wù)和外部業(yè)務(wù)，現(xiàn)有規(guī)則對企業(yè)內(nèi)部和外部業(yè)務(wù)中實施的個人信息跨境提供行為都應(yīng)當(dāng)適用。考慮到企業(yè)內(nèi)部業(yè)務(wù)具有日常性、持續(xù)性等特點，對于此類業(yè)務(wù)中的個人信息跨境提供若采取標(biāo)準(zhǔn)合同，可能會大幅增加企業(yè)運營和管理成本，故可以考慮采取個人信息保護(hù)認(rèn)證方式(后文將詳細(xì)闡述)。

其次，企業(yè)的業(yè)務(wù)需要本身應(yīng)具有合法性。一般來說，境內(nèi)企業(yè)在設(shè)立時會進(jìn)行工商登記，工商部門對其業(yè)務(wù)范圍予以登記審查，從而保障其相關(guān)業(yè)務(wù)范圍的事前合法性。但是，在開展個人信息境外提供時，企業(yè)不僅需要關(guān)注個人信息跨境提供是否屬于自身業(yè)務(wù)范圍，也應(yīng)考察境外接收方是否將個人信息用于合法業(yè)務(wù)范圍，否則也很容易產(chǎn)生個人信息跨境提供中的合規(guī)風(fēng)險。這里的“合法業(yè)務(wù)”不僅要關(guān)注境外接受方利用個人信息開展的業(yè)務(wù)在其所在地區(qū)或國家是否具有合法性，也需要關(guān)注國內(nèi)法律法規(guī)對該業(yè)務(wù)的合法性評價。比如英國咨詢機構(gòu)劍橋分析公司(Cambridge Analytica)在獲取Facebook用戶個人信息數(shù)據(jù)后，將相關(guān)數(shù)據(jù)分析結(jié)果用于影響和操縱他國總統(tǒng)選舉，存在損害他國國家安全和國家主權(quán)之嫌。(18)參見謝登科：《論數(shù)據(jù)跨境流動的安全與自由原則》，載《中國信息安全》2021年第5期。該公司對個人信息數(shù)據(jù)處理和分析在英國當(dāng)?shù)乜赡芫哂泻戏ㄐ?，但卻因損害了他國國家安全和公共利益而不具有合法性。又比如私人偵探、賞金獵人等業(yè)務(wù)在美國等國家屬于合法業(yè)務(wù)范圍，但我國現(xiàn)有法律法規(guī)則禁止私人偵探，若境內(nèi)企業(yè)出于配合境外公司私人偵探業(yè)務(wù)而實施了個人信息境外提供行為，則仍然不屬于合法業(yè)務(wù)，此種個人信息境外提供行為也不具有合法性。為了保障目的正當(dāng)性與合法性，企業(yè)在開展個人信息境外提供時也應(yīng)關(guān)注接收方是否將個人信息用于合法業(yè)務(wù)；在與境外接收方簽訂合同時，應(yīng)設(shè)置專門條款來限制接收方對跨境接收個人信息的用途和目的。

再次，個人信息跨境提供涉及的企業(yè)相關(guān)業(yè)務(wù)范圍應(yīng)當(dāng)明確、具體。目的限定原則要求在處理個人信息之前應(yīng)具有明確具體的目的，而不能是籠統(tǒng)性、概括性目的，否則也將不利于保護(hù)信息主體的合理預(yù)期。企業(yè)在設(shè)立和營運中通常都會有具體明確的經(jīng)營范圍，其實施的個人信息跨境提供行為通常也會在其經(jīng)營范圍之內(nèi)。企業(yè)在向自然人告知個人信息跨境提供的相關(guān)情況時，應(yīng)當(dāng)詳細(xì)告知個人信息跨境提供是為了實現(xiàn)本企業(yè)哪些具體業(yè)務(wù)。若對處理目的或相關(guān)業(yè)務(wù)的告知過于模糊或彈性，則會導(dǎo)致自然人對個人信息跨境流動中相關(guān)情況認(rèn)識和預(yù)期的不確定性。從行政監(jiān)管層面來看，若企業(yè)在實施個人信息跨境提供中，僅是籠統(tǒng)、概括地向自然人告知其所涉業(yè)務(wù)情況，行政監(jiān)管機構(gòu)會認(rèn)為企業(yè)對個人信息處理目的情況的告知缺乏透明性，則可能會對企業(yè)給予警告、罰款，甚至可能會給予責(zé)令暫停相關(guān)業(yè)務(wù)或停業(yè)整頓等處罰。2019年7月，F(xiàn)acebook公司與美國司法部、聯(lián)邦貿(mào)易委員會達(dá)成行政處罰和解協(xié)議，按照該協(xié)議Facebook公司需繳納50億美元罰款，主要原因就是其未向其用戶充分披露個人信息數(shù)據(jù)用途和風(fēng)險。(19)參見陳瑞華：《企業(yè)合規(guī)基本理論》，法律出版社2021年版，第173頁。為了防止因缺乏透明度而產(chǎn)生的合規(guī)風(fēng)險，企業(yè)在開展個人信息境外提供時，需要明確、具體告知相關(guān)個人信息將用于何種業(yè)務(wù)。

最后，個人信息跨境提供應(yīng)限于企業(yè)實現(xiàn)相關(guān)業(yè)務(wù)所需要的最小范圍。企業(yè)在實施個人信息境外提供時，僅能提供實現(xiàn)其業(yè)務(wù)所需提供個人信息的最小范圍，而不得跨境提供與其業(yè)務(wù)無關(guān)的個人信息，否則就存在過度提供個人信息之嫌。過度或超范圍的個人信息境外提供，不僅無助于提升企業(yè)跨境業(yè)務(wù)，也會讓其個人信息跨境提供行為喪失正當(dāng)性與必要性，損害自然人對其個人信息的自主權(quán)和控制權(quán)。因此，個人信息跨境提供也應(yīng)遵循目的限定原則中的最小范圍限制，企業(yè)跨境提供個人信息應(yīng)限于其開展業(yè)務(wù)所需的必要范圍之內(nèi)。對于目的限定原則中的最小范圍限制，企業(yè)在個人信息跨境提供中通常需遵循以下要求：(1)個人信息跨境提供應(yīng)當(dāng)與企業(yè)的相關(guān)業(yè)務(wù)具有直接關(guān)聯(lián)性，若缺乏個人信息的跨境提供，則企業(yè)相關(guān)業(yè)務(wù)可能就無法開展；(2)個人信息跨境提供的頻率應(yīng)當(dāng)限于實現(xiàn)企業(yè)正常業(yè)務(wù)的最小頻率，盡量減少對信息主體的侵?jǐn)_次數(shù)；(3)個人信息跨境提供的數(shù)據(jù)應(yīng)當(dāng)限于實現(xiàn)企業(yè)特定業(yè)務(wù)所必需的最小范圍。(20)參見龍衛(wèi)球主編：《中華人民共和國個人信息保護(hù)法釋義》，中國法制出版社2021年版，第25頁。企業(yè)在實施個人信息跨境提供中遵循目的限定原則所要求的最小范圍，需要全面權(quán)衡業(yè)務(wù)有效運營和個人信息權(quán)益保護(hù)，選擇對個人信息權(quán)益影響最小的方式來進(jìn)行個人信息跨境流動，將數(shù)據(jù)跨境流動對個人信息權(quán)益的影響降至最低。

三、境外提供的內(nèi)部條件：自然人“知情-同意”

個人信息涉及自然人人格尊嚴(yán)和自由，它是自然人人格利益的重要體現(xiàn)和載體。任何組織和個人在未經(jīng)自然人授權(quán)情況下原則上無權(quán)處理個人信息，這就要求企業(yè)對個人信息的處理應(yīng)遵循“知情-同意”規(guī)則。個人信息保護(hù)中的“知情-同意”規(guī)則，既是尊重和保障自然人個人信息自決權(quán)的核心內(nèi)容，也是企業(yè)在個人信息處理中最容易出現(xiàn)合規(guī)風(fēng)險的領(lǐng)域，比如未經(jīng)有效同意而處理個人信息、超范圍處理個人信息、告知不符合法定標(biāo)準(zhǔn)等。2019年1月，法國國家信息與自由委員會就依據(jù)《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)對Google公司處以5000萬歐元罰款，主要理由就是Google公司處理其用戶個人數(shù)據(jù)缺乏透明度、對用戶告知信息不充分、用戶缺乏有效同意等。(21)參見申曉雨、吳雅涵：《從谷歌被罰看GDPR數(shù)據(jù)隱私保護(hù)》，載《法人》2019年第4期。2021年11月，我國工信部通報了在個人信息保護(hù)方面存在各種違規(guī)問題的38款A(yù)PP名單，其中半數(shù)以上涉及超范圍收集個人信息、強制收集個人信息、信息告知不到位等問題。(22)參見吳斯旻：《APP違規(guī)收集個人信息為何屢禁不止》，載《第一財經(jīng)日報》2021年11月12日，第A07版。這些不合規(guī)問題主要都是違反個人信息保護(hù)中的“知情-同意”規(guī)則。個人信息跨境提供屬于個人信息處理行為之一，其自然也應(yīng)遵循“知情-同意”規(guī)則?！秱€人信息保護(hù)法》第39條確立了個人信息跨境提供中的“知情-同意”規(guī)則。(23)《個人信息保護(hù)法》第39條：“個人信息處理者向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)向個人告知境外接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式和程序等事項，并取得個人的單獨同意。”企業(yè)在實施個人信息跨境提供中應(yīng)遵循該規(guī)則，這是個人信息境外提供企業(yè)合規(guī)的內(nèi)部條件，因為該條件要求企業(yè)從自然人處取得對其個人信息向境外提供的有效授權(quán)，是企業(yè)實施個人信息境外提供行為的內(nèi)在合法性基礎(chǔ)。有學(xué)者將其稱為個人信息跨境的“必要性條件”。(24)參見張凌寒：《個人信息跨境流動制度的三重維度》，載《中國法律評論》2021年第5期。其實，個人信息境外提供的內(nèi)部條件和外部條件都屬于必要性條件，因為無論缺少內(nèi)部條件還是缺少外部條件，都將導(dǎo)致企業(yè)個人信息境外提供行為的不合規(guī)。相比于個人信息的一般處理行為，個人信息跨境流動對自然人權(quán)益影響更大，它會導(dǎo)致對個人信息的監(jiān)管場域、法律適用、維權(quán)成本等方面的巨大變化，會導(dǎo)致自然人對個人信息控制弱化、維權(quán)難度和成本上升等不利后果。因此，《個人信息保護(hù)法》對個人信息跨境提供中的“知情-同意”規(guī)則設(shè)置了更加嚴(yán)格的標(biāo)準(zhǔn)，這就對企業(yè)個人信息跨境提供提出了更高的合規(guī)要求：

其一，告知事項的合規(guī)要求。在個人信息處理中，對相關(guān)事項的全面告知是自然人有效同意的重要基礎(chǔ)，若缺乏對個人信息處理事項的充分告知，則很難保障自然人作出的同意是其理性選擇。我國《個人信息保護(hù)法》對個人信息處理的重要環(huán)節(jié)和關(guān)鍵節(jié)點采取了“原則+一般規(guī)則+特殊規(guī)則”的三重告知規(guī)則，其在公開透明原則中要求明示個人信息處理的目的、方式和范圍；(25)《個人信息保護(hù)法》第7條：“處理個人信息應(yīng)當(dāng)遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍?！痹谝话阋?guī)則中對告知的方式、內(nèi)容、標(biāo)準(zhǔn)等予以規(guī)定。(26)《個人信息保護(hù)法》第17條：“個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知下列事項：(一)個人信息處理者的名稱或者姓名和聯(lián)系方式；(二)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；(三)個人行使本法規(guī)定權(quán)利的方式和程序；(四)法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項。前款規(guī)定事項發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個人。個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的，處理規(guī)則應(yīng)當(dāng)公開，并且便于查閱和保存?！倍鴤€人信息跨境提供就屬于個人信息處理的重要環(huán)節(jié)和關(guān)鍵節(jié)點，其除了需要遵循公開透明原則中對告知的原則性要求和一般告知規(guī)則的具體性要求之外，還需要遵守《個人信息保護(hù)法》第39條確定的特殊規(guī)則。在就個人信息境外提供的相關(guān)事項征得自然人同意之前，需要就個人信息跨境流動事項向自然人履行告知義務(wù)。告知的具體內(nèi)容包括境外接收方名稱或姓名、聯(lián)系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使法定權(quán)利的方式和程序等事項。特殊規(guī)則對告知內(nèi)容的擴大化，將更有利于保障個人知情權(quán)，也將有助于自然人行使其各項個人信息權(quán)利及發(fā)生信息安全事件后的有效維權(quán)，但這也給個人信息跨境提供中的企業(yè)合規(guī)提出了更高標(biāo)準(zhǔn)和要求。

為了防止個人信息跨境提供中的合規(guī)風(fēng)險，企業(yè)履行告知義務(wù)應(yīng)符合以下要求：(1)從告知時間上看，企業(yè)應(yīng)在實施個人信息跨境提供之前告知相關(guān)自然人，而不得在跨境提供行為完畢之后才告知。(2)從告知方式上看，企業(yè)應(yīng)當(dāng)采取顯著方式，使用清晰易懂的語言，真實、準(zhǔn)確、完整地向相關(guān)自然人告知個人信息跨境提供的情況。在實踐中，企業(yè)通常采取個人信息處理規(guī)則或政策的方式來履行其告知義務(wù)，即通過企業(yè)內(nèi)部制定的個人信息保護(hù)或隱私保護(hù)政策來告知。此種告知方式雖然比較快捷高效，但《個人信息保護(hù)法》在個人信息跨境提供中設(shè)置了“單獨同意”規(guī)則，即個人信息跨境提供應(yīng)取得個人的單獨同意，而“單獨同意”重在突出告知義務(wù)，強調(diào)企業(yè)應(yīng)在告知方式上引起個人重視；(27)參見龍衛(wèi)球主編：《中華人民共和國個人信息保護(hù)法釋義》，中國法制出版社2021年版，第66頁?！皢为毻狻币馕吨荒芡ㄟ^個人信息保護(hù)或隱私保護(hù)政策等蘊含的個人信息境外流動規(guī)則的方式來履行告知義務(wù)，因為基于個人信息保護(hù)或隱私保護(hù)政策的告知屬于概括性或綜合性告知，個人基于此種告知方式而作出的同意表示，會讓其對個人信息境外提供的同意喪失獨立性、單獨性，此種同意是依附于對個人信息其他處理事項內(nèi)容的同意。因此，個人信息跨境提供中的告知不應(yīng)采取隱私政策或個人信息處理政策方式告知。(3)從告知內(nèi)容上看，個人信息跨境提供的境內(nèi)企業(yè)，既需要告知企業(yè)名稱、負(fù)責(zé)人姓名、聯(lián)系方式等信息，也需要告知境外接收方名稱或姓名、聯(lián)系方式，還需要告知個人信息跨境提供的目的、處理方式、個人信息種類、保存期限、個人向境外接收方行使法定權(quán)利的方式和程序等內(nèi)容。

其二，同意方式的合規(guī)要求。個人信息跨境提供中的同意規(guī)則，是為了保護(hù)信息主體對其個人信息處理的選擇權(quán)或決定權(quán)。企業(yè)實施的個人信息跨境提供行為，在客觀上會干預(yù)或侵犯自然人個人信息權(quán)，其具有推定的非法性，而個人同意可以排除此種非法性，讓個人信息跨境提供行為獲得內(nèi)在的正當(dāng)性與合法性。我國《個人信息保護(hù)法》對個人信息處理中的同意采取“一般規(guī)則+特殊規(guī)則”的立法模式。在個人信息跨境提供中，企業(yè)除了要遵守《個人信息保護(hù)法》第14條規(guī)定的一般同意規(guī)則外，(28)《個人信息保護(hù)法》第14條：“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的，從其規(guī)定。個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意?！边€應(yīng)遵守《個人信息保護(hù)法》第39條確定的特殊規(guī)則。具體來說，個人信息跨境提供中個人同意主要應(yīng)符合以下要件：(1)同意的自愿性。自由選擇是同意規(guī)則的核心內(nèi)容，這要求自然人具有自由選擇是否同意的可能性。企業(yè)不得以拒絕服務(wù)或其他不合理條件來限制自然人的選擇權(quán)，只有自然人在拒絕對其個人信息處理而仍可獲得相關(guān)服務(wù)的情況下，其作出同意的選擇決定才具有自愿性。同意的自愿性，要求企業(yè)在個人信息跨境提供中不能通過欺詐、脅迫或誤導(dǎo)等方式取得自然人同意。(2)同意的明確性。從理論上看，同意可以分為“明示同意”和“默示同意”?！秱€人信息保護(hù)法》中“知情-同意”規(guī)則要求處理個人信息須取得個人明確同意，不得以默示方式推定個人同意。明確同意要求信息主體通過肯定性動作對其個人信息處理作出明確的授權(quán)行為。在個人信息跨境提供上，企業(yè)也應(yīng)取得自然人明確同意，此種明確同意可以通過書面同意、主動勾選、主動點擊等方式作出。(3)同意的單獨性。個人信息處理者向境外提供個人信息時，須征得個人“單獨同意”，即個人信息處理者應(yīng)采取“一對一”方式取得個人同意。單獨同意更容易引起自然人對其個人信息處理行為的警惕和重視，可以強化其個人信息保護(hù)意識，讓其在作出是否“同意”的選擇時更加謹(jǐn)慎、理性。(29)參見丁曉東：《個人信息保護(hù)原理與實踐》，法律出版社2021年版，第92-93頁。對于“單獨同意”的表示形式則相對靈活，既可以采取書面同意，也可以口頭同意或電子數(shù)文式同意。實踐中一般采取單獨彈窗、單獨協(xié)議等方式告知，個人可以通過在線勾選、點擊確認(rèn)等方式表示單獨同意。

企業(yè)在個人信息跨境提供中應(yīng)遵循“知情-同意”規(guī)則，這是該行為內(nèi)在合法性的重要基礎(chǔ)。需要注意的是，在個人信息跨境提供中，企業(yè)僅能依據(jù)自然人“知情-同意”獲得內(nèi)在合法性基礎(chǔ)，這與企業(yè)在境內(nèi)對個人信息處理行為的合法性基礎(chǔ)存在較大差別。對于個人信息的境內(nèi)處理行為，《個人信息保護(hù)法》第13條規(guī)定了多元化合法性基礎(chǔ)，(30)《個人信息保護(hù)法》第13條：“符合下列情形之一的，個人信息處理者方可處理個人信息：(一)取得個人的同意；(二)為訂立、履行個人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；(三)為履行法定職責(zé)或者法定義務(wù)所必需；(四)為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財產(chǎn)安全所必需；(五)為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息；(六)依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；(七)法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意?！辈⒎侵荒芤罁?jù)個人“知情-同意”獲得合法性。比如企業(yè)為訂立履行合同、新冠疫情防控等原因而收集處理必要的個人信息，就無需取得個人同意。但是，個人信息跨境提供行為的合法性基礎(chǔ)具有唯一性，其僅能基于自然人“知情-同意”而獲得合法性。此種單一合法性基礎(chǔ)體現(xiàn)了我國立法者對個人信息跨境流動的審慎態(tài)度。(31)參見龍衛(wèi)球主編：《中華人民共和國個人信息保護(hù)法釋義》，中國法制出版社2021年版，第186頁。這就決定了企業(yè)無論基于何種目的或業(yè)務(wù)而實施個人信息跨境提供行為都必須征得個人單獨、明確同意，否則就可能會產(chǎn)生合規(guī)風(fēng)險。

四、境外提供的外部條件：個人信息保護(hù)的多元價值

企業(yè)開展個人信息數(shù)據(jù)境外提供時，除了需征得自然人同意授權(quán)外，還應(yīng)遵守《個人信息保護(hù)法》設(shè)立的外部條件。這些外部條件通常不屬于自然人個人信息自決權(quán)范疇，是自然人“知情-同意”以外的其他法定條件。這些外部條件有些間接關(guān)涉自然人個人信息權(quán)益保護(hù)，比如個人信息保護(hù)認(rèn)證，有些是為了實現(xiàn)個人信息權(quán)益保護(hù)以外的其他法律價值，比如安全評估中所承載的國家安全、公共利益等法律價值。《個人信息保護(hù)法》第38條第1款設(shè)置了個人信息跨境提供的外部條件。(32)《個人信息保護(hù)法》第38條第1款：“個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一：(一)依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證；(三)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件?！边@些外部條件體現(xiàn)了對個人信息保護(hù)、國家主權(quán)和安全等因素的考慮，企業(yè)開展個人信息數(shù)據(jù)境外提供時，也必須符合這些法定外部條件，否則就可能因損害個人信息權(quán)益、國家安全、公共利益等而產(chǎn)生合規(guī)風(fēng)險。具體來說，企業(yè)開展個人信息數(shù)據(jù)境外提供時，應(yīng)符合下列條件之一：

第一，安全評估。所謂“安全評估”是對個人信息跨境提供是否存在損害個人信息權(quán)益、危害國家安全和公共利益等情況所作的分析和評判。在個人信息跨境流動中，一國可能利用大數(shù)據(jù)分析技術(shù)和海量個人信息對他國社會狀況予以精準(zhǔn)畫像，從而實施危害他國國家安全和國家主權(quán)的活動。(33)參見馬光：《FTA數(shù)據(jù)跨境流動規(guī)制的三種例外選擇適用》，載《政法論壇》2021年第5期。因此，安全評估成為個人信息跨境提供中的法定外部要件之一。這意味著若無法通過安全評估，則不能實施個人信息跨境提供。安全評估雖然有利于維護(hù)國家安全和公共利益，但可能會阻礙個人信息跨境自由流動。(34)參見許多奇：《個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對》，載《法學(xué)論壇》2018年第3期。為平衡國家安全利益和個人信息合理流動，就需要對安全評估的適用范圍予以適當(dāng)限定。我國《個人信息保護(hù)法》對安全評估適用的限定主要有以下方面：(1)適用對象特定化。安全評估僅適用于兩類特定主體實施的個人信息跨境提供行為，即關(guān)鍵信息基礎(chǔ)設(shè)施運營企業(yè)和處理個人信息達(dá)到法定數(shù)量的企業(yè)。前者是公共通信、信息服務(wù)、能源、交通、水利、金融等重要行業(yè)和領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的運營企業(yè)，后者是處理個人信息達(dá)到一百萬人的企業(yè)，累計向境外提供超過十萬人以上個人信息或一萬人以上敏感個人信息的企業(yè)。(35)《數(shù)據(jù)出境安全評估辦法(征求意見稿)》第4條：“數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。(一)關(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)；(二)出境數(shù)據(jù)中包含重要數(shù)據(jù)；(三)處理個人信息達(dá)到一百萬人的個人信息處理者向境外提供個人信息；(四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；(五)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。”比如前文所提“滴滴公司”就屬于后者，其向境外提供個人信息時就應(yīng)當(dāng)予以安全評估。(2)適用方式強制性。前述兩類特定主體實施的個人信息跨境提供行為，只能通過安全評估方式來滿足外部條件的要求，它們無法通過個人信息保護(hù)認(rèn)證、訂立標(biāo)準(zhǔn)合同等方式來替代安全評估。因此，安全評估的適用對此兩類特定主體而言具有法定性。因為此兩類特定主體的個人信息境外提供行為會對國家安全、公共利益等產(chǎn)生較大的影響，它們實施個人信息跨境提供行為必須經(jīng)過安全評估，除非相關(guān)法律、行政法規(guī)或國家網(wǎng)信部門另有規(guī)定其可以不用安全評估。(36)《個人信息保護(hù)法》第40條：“關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的，從其規(guī)定?！卑踩u估適用方式的法定性和強制性，有利于防范個人信息跨境提供中出現(xiàn)危害國家安全、公共利益等風(fēng)險。

第二，個人信息保護(hù)認(rèn)證。個人信息保護(hù)認(rèn)證是由專門的認(rèn)證機構(gòu)以相關(guān)技術(shù)標(biāo)準(zhǔn)為依據(jù)，對信息處理者的管理體系、運行狀況、產(chǎn)品服務(wù)等是否達(dá)到個人信息保護(hù)標(biāo)準(zhǔn)要求而出具的意見。(37)參見龍衛(wèi)球主編：《中華人民共和國個人信息保護(hù)法釋義》，中國法制出版社2021年版，第183頁。與安全評估相比，它們兩者雖然都是由相關(guān)部門或機構(gòu)經(jīng)審查后出具的意見材料，但二者也存在本質(zhì)差別：(1)從功能上看，安全評估雖然客觀上也具有保護(hù)個人信息權(quán)益的功能，但其主要目的是防止個人信息跨境提供中出現(xiàn)危害國家安全、公共利益的風(fēng)險；在個人信息保護(hù)認(rèn)證中，雖然也會考察個人信息處理行為中危害國家安全的風(fēng)險，但其主要是通過第三方機構(gòu)的專業(yè)審查認(rèn)定來消除信息主體和信息處理者之間的信息鴻溝，從而更好地實現(xiàn)對個人信息的有效保護(hù)。(2)從內(nèi)容上看，安全評估具有專項性特征，即其主要考察、評估個人信息跨境提供中危害國家安全、公共利益的風(fēng)險；個人信息保護(hù)認(rèn)證則具有綜合性特征，其需要對個人信息處理者是否達(dá)到個人信息保護(hù)技術(shù)標(biāo)準(zhǔn)和法律法規(guī)的要求予以全面、綜合審查認(rèn)定。(3)從主體上看，安全評估的受理審查主體比較單一，它是由國家網(wǎng)信部門受理，組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進(jìn)行安全評估。(38)《數(shù)據(jù)出境安全評估辦法(征求意見稿)》第10條：“國家網(wǎng)信部門受理申報后，組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進(jìn)行安全評估。涉及重要數(shù)據(jù)出境的，國家網(wǎng)信部門征求相關(guān)行業(yè)主管部門意見?！痹u估之后，由國家網(wǎng)信部門出具通過或不通過的評估結(jié)果。個人信息保護(hù)認(rèn)證的主體則相對多元，其可以是任何具有個人信息保護(hù)認(rèn)證資質(zhì)的第三方專業(yè)機構(gòu)。比如2018年國家市場監(jiān)督總局下屬“中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心”曾開展個人信息安全認(rèn)證，給支付寶、騰訊、百度等公司頒發(fā)認(rèn)證書。(39)參見程嘯：《個人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第309頁。(4)從適用方式來看，安全評估的適用具有法定性和強制性，上述兩類特定企業(yè)實施個人信息跨境提供時，都必須事前申請安全評估，否則將面臨行政監(jiān)管責(zé)任或刑事追訴風(fēng)險；個人信息保護(hù)認(rèn)證的適用則具有自愿性和選擇性，上述兩類特定主體以外的企業(yè)在實施個人信息跨境提供時，可以選擇申請個人信息保護(hù)認(rèn)證，也可以選擇訂立標(biāo)準(zhǔn)合同或符合法律、行政法規(guī)規(guī)定的其他條件。當(dāng)然，個人信息保護(hù)認(rèn)證并不能免除或減少個人信息處理者的義務(wù)和責(zé)任，(40)參見原浩：《網(wǎng)絡(luò)安全法律解析2020》，華中科技大學(xué)出版社2020年版，第53頁。企業(yè)在個人信息跨境提供中仍然需要履行法定義務(wù)；若在個人信息跨境提供過程中，違反了個人信息保護(hù)法規(guī)，國家網(wǎng)信部門仍然可以給予行政制裁。

第三，訂立標(biāo)準(zhǔn)合同。標(biāo)準(zhǔn)合同是從提供者與接收者之間的契約關(guān)系來實現(xiàn)跨境流動中的個人信息權(quán)益保護(hù)。在個人信息跨境提供中，個人信息主體并不參與個人信息跨境流動合同的協(xié)商訂立，通常是由個人信息跨境提供者與接收者來協(xié)商訂立，但合同處理對象并非合同訂立者自己的個人信息，而是其他主體的個人信息，這就很容易出現(xiàn)規(guī)避法律條款、侵犯個人信息權(quán)益等違法情形。標(biāo)準(zhǔn)合同是將《個人信息保護(hù)法》對個人信息保護(hù)的法定義務(wù)轉(zhuǎn)化為相關(guān)合同條款，通過對合同中權(quán)利義務(wù)內(nèi)容的標(biāo)準(zhǔn)化、固定化來實現(xiàn)跨境流動中的個人信息保護(hù)。從法律性質(zhì)上看，標(biāo)準(zhǔn)合同本質(zhì)上也是一種格式合同，但其與普通格式合同存在重大差別。普通格式合同通常是由合同一方或單方主體所預(yù)先制定，該方主體可能會利用其經(jīng)濟優(yōu)勢、壟斷地位來免除己方義務(wù)或加重對方責(zé)任。標(biāo)準(zhǔn)合同則是由國家網(wǎng)信部門制定，其所具有的超然地位和監(jiān)管職責(zé)決定了標(biāo)準(zhǔn)合同更具公正性和權(quán)威性，也有利于在合同條款中貫徹個人信息保護(hù)、國家安全、公共利益等法律價值。個人信息跨境流動的標(biāo)準(zhǔn)合同，主要包括個人信息出境目的、存儲地區(qū)或國家、提供方和接收方權(quán)利義務(wù)、準(zhǔn)據(jù)法等內(nèi)容。通過對標(biāo)準(zhǔn)化條款設(shè)置可以讓個人信息跨境提供規(guī)則得到有效落實和執(zhí)行，也可以倒逼個人信息跨境流動雙方保障個人信息權(quán)益。(41)參見張新寶、葛鑫：《個人信息保護(hù)法(專家建議稿)及立法理由說明書》，中國人民大學(xué)出版社2021年版，第171頁。標(biāo)準(zhǔn)合同比較適合企業(yè)外部經(jīng)營業(yè)務(wù)的個人信息跨境提供，比如在國際貨物或服務(wù)貿(mào)易中訂立個人信息保護(hù)的標(biāo)準(zhǔn)合同。對于跨國集團(tuán)公司的日常性、持續(xù)性內(nèi)部業(yè)務(wù)，由于會涉及頻繁、大量個人信息境外提供，若每次個人信息的境外提供都訂立標(biāo)準(zhǔn)合同，則會導(dǎo)致公司營運成本上升，增加跨國集團(tuán)公司負(fù)擔(dān)。另外，標(biāo)準(zhǔn)合同義務(wù)的履行狀況，不僅受到合同訂立方的日常監(jiān)管，也會受到國家網(wǎng)信部門的持續(xù)監(jiān)管，相關(guān)信息主體都可以申請國家網(wǎng)信部門對標(biāo)準(zhǔn)合同義務(wù)履行情況予以審查和監(jiān)督，這將導(dǎo)致企業(yè)在個人信息跨境提供中面臨很多不確定性風(fēng)險。因此，跨國集團(tuán)公司日常性、持續(xù)性內(nèi)部業(yè)務(wù)并不適合選擇訂立標(biāo)準(zhǔn)合同來實現(xiàn)個人信息跨境提供的外部要件。此時，跨國集團(tuán)公司可以通過制定符合個人信息保護(hù)的專項合規(guī)計劃，在符合法定標(biāo)準(zhǔn)和要求的情況下申請個人信息保護(hù)認(rèn)證。在取得第三方機構(gòu)認(rèn)證后，跨國集團(tuán)公司向其境外公司直接傳輸個人信息就可以無需訂立標(biāo)準(zhǔn)合同，這降低了跨國集團(tuán)公司的營運成本。對于單獨性、臨時性跨境業(yè)務(wù)而言，企業(yè)通過訂立標(biāo)準(zhǔn)合同來實施個人信息跨境提供的成本更低、時間更短。但是，企業(yè)在訂立標(biāo)準(zhǔn)合同之后，須嚴(yán)格遵守標(biāo)準(zhǔn)合同的各項條款，尤其是定期或不定期檢查督促境外接收方恪守標(biāo)準(zhǔn)合同義務(wù)，審查監(jiān)督接收方是否按標(biāo)準(zhǔn)合同充分履行其個人信息保護(hù)義務(wù)，否則也很容易出現(xiàn)個人信息跨境提供中的合規(guī)風(fēng)險。

從《個人信息保護(hù)法》第38條第1款對個人信息數(shù)據(jù)境外提供外部條件的現(xiàn)有設(shè)置和立法表述來看，其采取了可供信息處理者選擇的多元化機制，即信息處理者只要符合上述外部條件之一，且在符合其他法定條件基礎(chǔ)上，就可以向境外提供個人信息。有學(xué)者將這些外部條件稱為“選擇性條件”，(42)參見張凌寒：《個人信息跨境流動制度的三重維度》，載《中國法律評論》2021年第5期。但這不意味著所有類型的企業(yè)在實施個人信息境外提供中都有選擇的權(quán)利和空間，因為該條款針對信息處理者的不同類型設(shè)置了不同外部條件，由此就限制了特定企業(yè)的選擇空間。在個人信息跨境提供中，作為個人信息處理者的企業(yè)都應(yīng)遵循“目的限定”“知情-同意”等其他條件，但在外部條件的選擇和適用上則可能存在差異：(1)基于企業(yè)類型的外部條件合規(guī)選擇。企業(yè)需要結(jié)合自身類型或狀況來選擇適用何種外部條件。對于關(guān)鍵信息基礎(chǔ)設(shè)施運營的企業(yè)和處理個人信息超過法定數(shù)量的企業(yè)，只能選擇通過安全評估方式來符合外部條件，若此兩類企業(yè)選擇訂立標(biāo)準(zhǔn)合同或個人信息保護(hù)認(rèn)證，則會產(chǎn)生合規(guī)風(fēng)險。對于上述兩類特定主體之外的其他企業(yè)，則可以根據(jù)業(yè)務(wù)類型或個人信息類型選擇訂立標(biāo)準(zhǔn)合同或第三方認(rèn)證來滿足個人信息境外提供的外部條件。(2)基于業(yè)務(wù)類型的外部條件合規(guī)選擇。對于上述兩類特定主體以外的其他企業(yè)，雖然可以選擇訂立標(biāo)準(zhǔn)合同或第三方認(rèn)證，但實現(xiàn)不同外部條件的成本并不相同，其可以根據(jù)自身業(yè)務(wù)類型來選擇適用何種外部條件。對于日常性、持續(xù)性涉外業(yè)務(wù)，企業(yè)可以選擇保護(hù)認(rèn)證方式來滿足外部條件要求；而對于單一性涉外義務(wù)，企業(yè)可以通過訂立標(biāo)準(zhǔn)合同方式來實施個人信息跨境提供。(3)基于個人信息類型的外部條件合規(guī)選擇。有些企業(yè)雖然本身不屬于上述兩類特定企業(yè)，但其對境外提供的個人信息比較敏感或重要，這些個人信息可能會間接涉及國家安全，則仍然需要通過安全評估來滿足外部條件的要求。比如美軍使用某健身APP被發(fā)現(xiàn)可保留使用者日常鍛煉記錄，包括其鍛煉路線、位置、日期、時間等信息，而這些信息可以準(zhǔn)確找到美國特工處、國家安全局等組織成員活動地點而存在危害國防安全的較大風(fēng)險。(43)參見魏岳江、丁莉莎：《防止因泄露位置信息對部隊安全構(gòu)成威脅，美軍禁用手機地理定位功能》，載《解放軍報》2019年2月1日，第11版。對于此類個人信息的境外提供，企業(yè)仍然需要取得安全評估。因此，對于個人信息境外提供的外部條件，需要結(jié)合企業(yè)狀況、業(yè)務(wù)類型、個人信息類型等因素予以選擇。

結(jié)語

我國《個人信息保護(hù)法》已初步建立了個人信息跨境提供規(guī)則，這為規(guī)范企業(yè)涉外業(yè)務(wù)中的個人信息跨境提供行為提供了依據(jù)，也要求企業(yè)建立個人信息跨境提供的專項合規(guī)計劃。企業(yè)合規(guī)不僅僅是企業(yè)在經(jīng)營過程中遵循相關(guān)法律法規(guī)，其更是需要通過建立識別、防范和應(yīng)對違法違規(guī)行為的企業(yè)內(nèi)部治理結(jié)構(gòu)，在企業(yè)內(nèi)部形成依法經(jīng)營的自我監(jiān)管機制和文化。(44)參見陳瑞華：《企業(yè)合規(guī)基本理論》，法律出版社2021年版，第19頁。對于相關(guān)業(yè)務(wù)涉及個人信息跨境流動的企業(yè)而言，需要在其公司治理結(jié)構(gòu)中建立合規(guī)組織體系，將現(xiàn)有個人信息跨境提供規(guī)則轉(zhuǎn)化為其內(nèi)部商業(yè)行為準(zhǔn)則。企業(yè)需要以前提條件、目的條件、內(nèi)部條件和外部條件四個方面為主體內(nèi)容，來構(gòu)建企業(yè)個人信息跨境提供的企業(yè)專項合規(guī)計劃，將其納入企業(yè)數(shù)據(jù)保護(hù)合規(guī)計劃之中。設(shè)置個人信息保護(hù)負(fù)責(zé)人(PIPO)，將其納入企業(yè)合規(guī)管理部門。個人信息保護(hù)負(fù)責(zé)人可以組織企業(yè)內(nèi)部負(fù)責(zé)涉外業(yè)務(wù)的員工開展個人信息保護(hù)培訓(xùn)，制定個人信息跨境流動的企業(yè)政策和規(guī)則，監(jiān)督企業(yè)員工和境外接受方在個人信息跨境提供活動的合規(guī)性。