個人信息跨境提供中的企業合規

謝登科

(吉林大學 理論法學院研究中心，吉林長春 130012)

隨著信息技術和數字經濟的不斷發展，在國際數字貿易、金融投資等業務中不可避免地涉及個人信息境外流動。個人信息境外流動不僅涉及自然人個人信息權益保護，也涉及國家主權、公共安全等重大問題。企業在實施個人信息境外提供行為時，須建立完善的專項合規計劃，否則不僅無法完成正常跨境業務，還可能因違法違規而遭受行政監管處罰甚至刑事追訴。2021年7月，剛剛在美國掛牌上市的“滴滴出行”公司被國家網信辦予以安全審查，并通知應用商店下架該公司APP，主要原因就是個人信息跨境流動涉嫌違規。(1)參見張寧：《“滴滴被查”事件折射數據安全責任之重》，載《中國城鄉金融報》2021年7月23日，第A04版。對于處理個人信息的企業而言，個人信息保護專項合規不僅是其履行法定義務、避免處罰的重要手段，也是免受商譽損失、保障持續經營的重要途徑，因為違規經營將面臨罰款或罰金等處罰，更將面臨聲譽損失、特定經營的限制或剝奪。(2)參見陳瑞華：《企業合規基本理論》，法律出版社2021年版，第9頁。我國《個人信息保護法》已初步建立了個人信息跨境提供規則，這為規范企業個人信息跨境行為提供了依據。為了兼顧企業持續經營和個人信息保護，企業在個人信息境外提供中應遵循《個人信息保護法》的各項規則，否則就可能出現與“滴滴出行”公司類似的個人信息跨境流動合規風險。因此，本文擬以《個人信息保護法》的現有規定為視角探討個人信息跨境提供企業合規的四個要件。

一、境外提供的前提條件：個人信息的有效甄別

在個人信息境外提供中，企業首先需甄別跨境流動的數據是否屬于個人信息，這是其開展個人信息跨境提供專項合規計劃的前提條件。若企業將非個人信息的數據作為個人信息而納入專項合規計劃，則會不當提高企業實施跨境數據流動相關業務的成本；若將個人信息數據沒有納入個人信息而排除在專項合規計劃之外，則可能讓企業在個人信息跨境提供中面臨行政監管處罰風險。因此，個人信息有效甄別是企業開展專項合規計劃建設的重要前提。

我國《個人信息保護法》第4條對個人信息予以界定和明確，(3)《個人信息保護法》第4條第1款：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”但其并沒有采取“可識別性”的判斷標準，而是采取了“相關性+可識別性”的判斷標準，即只要是與已識別或可識別自然人相關的信息都屬于個人信息。從“可識別性”到“相關性”的轉變，不僅改變了個人信息的認定標準，也改變了個人信息的認定路徑和范圍。從個人信息的認定路徑來看，“可識別性”標準主要遵循“從信息到個人”的路徑，即根據現有信息能單獨識別或結合其他信息識別出特定自然人，該信息就屬于個人信息；若現有信息不能直接或間接識別出特定自然人，則不屬于個人信息。“相關性”主要遵循“從個人到信息”的路徑，只要與已識別或可識別自然人相關的信息，就都屬于個人信息；若與已識別或可識別自然人無關的信息，則不屬于個人信息。從“個人到信息”的認定路徑更符合個人信息生產的事實邏輯，在權利正當性方面也更具說服力。(4)參見曹博等：《個人信息保護案例評析》，上海人民出版社2021年版，第12頁。從個人信息的認定范圍來看，從“可識別性”標準到“相關性+可識別性”標準的轉變會導致個人信息范圍更加寬泛，因為某些信息雖然無法直接或間接識別出特定個人，但會因該信息與特定個人具有某種相關性而被認定為個人信息。在司法實踐中，按照“可識別性”標準可能無法被認定為個人信息的某些新型數據，也會因與特定自然人有關而被認定為個人信息。比如在朱某訴百度公司cookie隱私權糾紛案中，二審法院就主要依據“可識別性”標準，認為百度網站基于cookie所記錄的網頁瀏覽信息不屬于個人信息，因為依據此信息無法識別該網頁瀏覽器使用者的網絡用戶身份。(5)參見丁翔宇：《個人信息保護糾紛理論解釋與裁判實務》，中國法制出版社2021年版，第16-17頁。不過，按照“相關性”的認定標準，網頁瀏覽記錄顯然屬于個人信息，因為它是特定自然人瀏覽網頁中產生的行為信息，它與特定自然人具有關聯性，此種信息與其他信息結合也可以識別特定自然人。但是，“關聯性”標準較為注重自然人與信息之間的關系，可能會忽略個人信息的功能和作用，由此導致對個人信息認定范圍的擴大。

對個人信息的甄別與判斷，需要從其四個構成要素予以分析：(1)自然人。個人信息的主體僅限于自然人，法人等組織的相關信息則不屬于個人信息，比如企業的生產數據、排污數據、企業微信公眾號閱讀次數等。個人信息保護立法主要是為了保護自然人的個人信息自決權和人格尊嚴，法人等組織并不存在人格尊嚴和人格自由。(6)參見程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第59-60頁。因此，法人等組織的相關信息并不屬于個人信息，對于此類信息的跨境提供并不屬于《個人信息保護法》調整范圍，其可能會受到《反不正當競爭法》《保密法》等法律法規的調整。(2)可識別性。“已識別”與“可識別”是依據特定自然人是否已經被識別而作的分類，前者是指特定自然人已經被識別出來，后者是具有識別特定自然人的可能性。相關信息若無法識別出特定自然人，則對此類信息的處理通常不會侵害或危及特定自然人權益。因此，個人信息應當具有可識別性。對于特定個人的識別，既可以是直接識別，也可以是間接識別。前者是單獨通過該信息就可以識別特定自然人，比如身份證號碼、指紋等信息。后者是單獨通過該信息無法識別特定自然人，須將該信息與其他信息結合才能識別特定自然人，比如性別、出生日期等信息，僅有上述信息無法單獨實現對特定自然人的識別，因為同性別、同出生日期的自然人很多，但這些信息與其他信息結合起來仍然可以識別特定自然人。可以直接識別或間接識別出特定自然人的信息，都具有可識別性。(3)相關性。“有關”意為關系到、涉及到，它通常是事實描述或判斷，而并不涉及對背后價值功能的判斷，當信息是關于某自然人的，則認為此信息與該自然人具有相關性，該信息可以從內容、目的、結果等方面呈現出相關性。(7)參見[荷]瑪農·奧斯特芬：《數據的邊界：隱私與個人信息保護》，曹博譯，上海人民出版社2020年版，第130頁。自然人有意識或無意識實施各種活動中產生的信息都與該自然人有關，但它們并非都屬于個人信息，只有該關聯信息能夠直接或間接識別特定自然人時才屬于個人信息。(4)形式要件。個人信息的載體可以是電子或其他形式。個人信息的載體形式相對靈活，既可以是電子數據記載的個人信息，也可以是傳統紙質文本記載的個人信息，還可以是圖片、音頻、視頻等方式記載的個人信息。

對于匿名化處理的個人信息，由于無法通過其來識別特定自然人，《個人信息保護法》對匿名化處理后的信息不予調整和保護，其中就包括對匿名化處理后個人信息的境外提供。作為規避《個人信息保護法》中現有個人信息跨境提供規則的方式之一，企業可以對個人信息作匿名處理后再向境外提供。但是，在匿名化處理中需注意兩個關鍵要素，即“無法識別”和“不能還原”，前者是指采取相關技術方法來“切割”信息與自然人的關聯性，使無法通過其來直接識別或間接識別特定自然人；后者是指匿名化處理需要維持其處于不可識別的狀態，且無法逆轉地改變此種狀態。(8)參見龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第17頁。在實踐運行中，較為常見的匿名化處理方法就是刪除姓名、身份證號等顯著性識別信息，通過數字或字母等符號予以替換，從而消除個人信息被暴露的風險。但是，匿名處理也比較脆弱，匿名化處理個人信息可能通過更多數據或更強大信息處理技術實現“去匿名化”，主要是通過將匿名處理后個人信息中含有的相關細節信息映射到其他數據源上從而實現對特定個人的識別。(9)參見[美]雪莉·大衛獨夫：《大數據泄露：隱私保護危機與數據安全機遇》，馬多賀等譯，機械工業出版社2021年版，第45頁。比如Google公司就曾利用其用戶檢索數據庫對某網絡購物的公共數據庫實現“去匿名化”處理，利用醫學術語檢索實現對公共健康數據的“去匿名化”處理。(10)參見[美]布魯斯·施奈爾：《數據與監控：信息安全的隱性之戰》，李先奇、黎秋敏譯，金城出版社2018年版，第57頁。匿名化處理后的個人信息被逆向采取“去匿名化”處理后，仍然有可能實現對特定自然人的識別。對于此種“去匿名化”的合規風險，企業需要在技術層面對個人信息予以有效匿名化處理，盡可能刪除與企業跨境業務無關的個人信息數據，防止殘留信息數據帶來的去匿名化處理風險；在法律層面，企業需要通過完善相關合同內容或條款來防范匿名化個人信息跨境提供中的“去匿名化”合規風險，在合同中設置專門條款禁止個人信息的境外接收方將匿名化個人信息映射到其他數據來識別特定自然人。

個人信息甄別具有較強的專業性，相關信息是否可以識別特定自然人和地域、技術水平、投入時間、信息數量等因素有關。(11)參見程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第63-64頁。在實踐運行中，很多新型、邊緣性信息是否屬于個人信息往往存在較大爭議。為保障個人信息數據境外提供的合規性，企業需設立個人信息保護負責人(Personal Information Protection Officer, PIPO)。雖然《個人信息保護法》第52條對個人信息保護負責人制度的適用條件和范圍予以限定，(12)《個人信息保護法》第52條：“處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式，并將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門”其僅要求處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人。但是，個人信息跨境提供涉及法律關系復雜、環節眾多，企業在個人信息跨境提供合規計劃中應當任命專門的個人信息保護負責人，將其納入企業合規管理部門。(13)參見陳瑞華：《企業合規基本理論》，法律出版社2021年版，第10頁。完善涉及個人信息處理的企業內部合規治理結構，個人信息保護負責人可以組織企業內部負責涉外業務的員工開展個人信息保護培訓，這將有利于個人信息有效甄別、保障個人信息跨境提供的合規性。

二、境外提供的目的條件：因合法業務所必需

個人信息處理者對個人信息處理行為應具有正當目的，對個人信息的境外提供亦不例外。《個人信息保護法》第6條確立了目的限定原則，(14)《個人信息保護法》第6條：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。”企業開展個人信息跨境提供合規建設也應遵循目的限定原則，這是企業實施個人信息跨境提供的目的條件；因缺乏特定目的而實施個人信息境外提供，很容易導致跨境流動中的個人信息被濫用而產生合規風險。《個人信息保護法》第38條將個人信息跨境提供的目的限定為“因業務等需要”。這就意味著企業僅能為了業務等需要而實施個人信息跨境提供。目的限定原則是《個人信息保護法》中的“帝王條款”，也是個人信息保護的重要基石和其他規則的首要條件。(15)參見程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第85頁。因為處理目的可以反映出信息主體對其個人信息處理狀況的合理期待，個人信息處理應當為信息主體所能夠合理預見，而不得超出其合理預期。(16)參見梁澤宇：《個人信息保護中目的限制原則的解釋與適用》，載《比較法研究》2018年第5期。企業在實施個人信息跨境提供時也應適用目的限定原則，其正當目的就是“因業務等需要”。在個人信息跨境提供專項合規計劃建設中，企業也應圍繞“因業務等需要”的目的限定原則來合理限定個人信息跨境流動范圍。

首先，企業實施個人信息跨境提供是為其業務所需要。開展與其設立宗旨相關的各種業務活動是企業得以存續的正當基礎，個人信息跨境提供自然也應與企業的業務相關，即為了更好保障企業各項業務的順利開展，或者個人信息境外提供本身就是跨境業務的主要內容。企業在運行過程中可能會開展各種業務，比如產品開發業務、市場推廣業務、行政管理業務等。企業的業務通常可分為內部業務和外部業務，前者比如跨國集團公司因人事、財務等內部管理而開展的各項業務，較為常見的是跨國集團公司因其內部人力資源管理，而對其員工個人信息實施跨境傳輸或提供；后者是企業與其他企業、組織或個人之間開展的各種交易或服務，比如企業為開展跨境金融、貿易等業務而向其他組織或個人實施的跨境個人信息提供。在實踐中，企業通常較為重視外部業務中的個人信息跨境提供專項合規建設，但企業內部業務所開展的個人信息跨境提供也可能會侵犯個人信息權益，此時也可能產生企業合規風險。比如在德國，H&M公司就曾因大范圍收集員工病假、就醫、診斷等個人信息，將家庭狀況、宗教信仰等個人信息作為員工考評任用的參考依據，而被德國數據保護部門開出3530萬歐元罰單。(17)參見王倩、顧雪瑩：《GDPR下涉歐企業的員工個人數據合規管理》，載《德國研究》2021年第2期。因為企業內部業務中的個人信息跨境提供，不僅涉及企業內部組織管理，也涉及其員工個人信息權益保護。我國《個人信息保護法》第38條并沒有區分內部業務和外部業務，現有規則對企業內部和外部業務中實施的個人信息跨境提供行為都應當適用。考慮到企業內部業務具有日常性、持續性等特點，對于此類業務中的個人信息跨境提供若采取標準合同，可能會大幅增加企業運營和管理成本，故可以考慮采取個人信息保護認證方式(后文將詳細闡述)。

其次，企業的業務需要本身應具有合法性。一般來說，境內企業在設立時會進行工商登記，工商部門對其業務范圍予以登記審查，從而保障其相關業務范圍的事前合法性。但是，在開展個人信息境外提供時，企業不僅需要關注個人信息跨境提供是否屬于自身業務范圍，也應考察境外接收方是否將個人信息用于合法業務范圍，否則也很容易產生個人信息跨境提供中的合規風險。這里的“合法業務”不僅要關注境外接受方利用個人信息開展的業務在其所在地區或國家是否具有合法性，也需要關注國內法律法規對該業務的合法性評價。比如英國咨詢機構劍橋分析公司(Cambridge Analytica)在獲取Facebook用戶個人信息數據后，將相關數據分析結果用于影響和操縱他國總統選舉，存在損害他國國家安全和國家主權之嫌。(18)參見謝登科：《論數據跨境流動的安全與自由原則》，載《中國信息安全》2021年第5期。該公司對個人信息數據處理和分析在英國當地可能具有合法性，但卻因損害了他國國家安全和公共利益而不具有合法性。又比如私人偵探、賞金獵人等業務在美國等國家屬于合法業務范圍，但我國現有法律法規則禁止私人偵探，若境內企業出于配合境外公司私人偵探業務而實施了個人信息境外提供行為，則仍然不屬于合法業務，此種個人信息境外提供行為也不具有合法性。為了保障目的正當性與合法性，企業在開展個人信息境外提供時也應關注接收方是否將個人信息用于合法業務；在與境外接收方簽訂合同時，應設置專門條款來限制接收方對跨境接收個人信息的用途和目的。

再次，個人信息跨境提供涉及的企業相關業務范圍應當明確、具體。目的限定原則要求在處理個人信息之前應具有明確具體的目的，而不能是籠統性、概括性目的，否則也將不利于保護信息主體的合理預期。企業在設立和營運中通常都會有具體明確的經營范圍，其實施的個人信息跨境提供行為通常也會在其經營范圍之內。企業在向自然人告知個人信息跨境提供的相關情況時，應當詳細告知個人信息跨境提供是為了實現本企業哪些具體業務。若對處理目的或相關業務的告知過于模糊或彈性，則會導致自然人對個人信息跨境流動中相關情況認識和預期的不確定性。從行政監管層面來看，若企業在實施個人信息跨境提供中，僅是籠統、概括地向自然人告知其所涉業務情況，行政監管機構會認為企業對個人信息處理目的情況的告知缺乏透明性，則可能會對企業給予警告、罰款，甚至可能會給予責令暫停相關業務或停業整頓等處罰。2019年7月，Facebook公司與美國司法部、聯邦貿易委員會達成行政處罰和解協議，按照該協議Facebook公司需繳納50億美元罰款，主要原因就是其未向其用戶充分披露個人信息數據用途和風險。(19)參見陳瑞華：《企業合規基本理論》，法律出版社2021年版，第173頁。為了防止因缺乏透明度而產生的合規風險，企業在開展個人信息境外提供時，需要明確、具體告知相關個人信息將用于何種業務。

最后，個人信息跨境提供應限于企業實現相關業務所需要的最小范圍。企業在實施個人信息境外提供時，僅能提供實現其業務所需提供個人信息的最小范圍，而不得跨境提供與其業務無關的個人信息，否則就存在過度提供個人信息之嫌。過度或超范圍的個人信息境外提供，不僅無助于提升企業跨境業務，也會讓其個人信息跨境提供行為喪失正當性與必要性，損害自然人對其個人信息的自主權和控制權。因此，個人信息跨境提供也應遵循目的限定原則中的最小范圍限制，企業跨境提供個人信息應限于其開展業務所需的必要范圍之內。對于目的限定原則中的最小范圍限制，企業在個人信息跨境提供中通常需遵循以下要求：(1)個人信息跨境提供應當與企業的相關業務具有直接關聯性，若缺乏個人信息的跨境提供，則企業相關業務可能就無法開展；(2)個人信息跨境提供的頻率應當限于實現企業正常業務的最小頻率，盡量減少對信息主體的侵擾次數；(3)個人信息跨境提供的數據應當限于實現企業特定業務所必需的最小范圍。(20)參見龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第25頁。企業在實施個人信息跨境提供中遵循目的限定原則所要求的最小范圍，需要全面權衡業務有效運營和個人信息權益保護，選擇對個人信息權益影響最小的方式來進行個人信息跨境流動，將數據跨境流動對個人信息權益的影響降至最低。

三、境外提供的內部條件：自然人“知情-同意”

個人信息涉及自然人人格尊嚴和自由，它是自然人人格利益的重要體現和載體。任何組織和個人在未經自然人授權情況下原則上無權處理個人信息，這就要求企業對個人信息的處理應遵循“知情-同意”規則。個人信息保護中的“知情-同意”規則，既是尊重和保障自然人個人信息自決權的核心內容，也是企業在個人信息處理中最容易出現合規風險的領域，比如未經有效同意而處理個人信息、超范圍處理個人信息、告知不符合法定標準等。2019年1月，法國國家信息與自由委員會就依據《通用數據保護條例》(General Data Protection Regulation，GDPR)對Google公司處以5000萬歐元罰款，主要理由就是Google公司處理其用戶個人數據缺乏透明度、對用戶告知信息不充分、用戶缺乏有效同意等。(21)參見申曉雨、吳雅涵：《從谷歌被罰看GDPR數據隱私保護》，載《法人》2019年第4期。2021年11月，我國工信部通報了在個人信息保護方面存在各種違規問題的38款APP名單，其中半數以上涉及超范圍收集個人信息、強制收集個人信息、信息告知不到位等問題。(22)參見吳斯旻：《APP違規收集個人信息為何屢禁不止》，載《第一財經日報》2021年11月12日，第A07版。這些不合規問題主要都是違反個人信息保護中的“知情-同意”規則。個人信息跨境提供屬于個人信息處理行為之一，其自然也應遵循“知情-同意”規則。《個人信息保護法》第39條確立了個人信息跨境提供中的“知情-同意”規則。(23)《個人信息保護法》第39條：“個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，并取得個人的單獨同意。”企業在實施個人信息跨境提供中應遵循該規則，這是個人信息境外提供企業合規的內部條件，因為該條件要求企業從自然人處取得對其個人信息向境外提供的有效授權，是企業實施個人信息境外提供行為的內在合法性基礎。有學者將其稱為個人信息跨境的“必要性條件”。(24)參見張凌寒：《個人信息跨境流動制度的三重維度》，載《中國法律評論》2021年第5期。其實，個人信息境外提供的內部條件和外部條件都屬于必要性條件，因為無論缺少內部條件還是缺少外部條件，都將導致企業個人信息境外提供行為的不合規。相比于個人信息的一般處理行為，個人信息跨境流動對自然人權益影響更大，它會導致對個人信息的監管場域、法律適用、維權成本等方面的巨大變化，會導致自然人對個人信息控制弱化、維權難度和成本上升等不利后果。因此，《個人信息保護法》對個人信息跨境提供中的“知情-同意”規則設置了更加嚴格的標準，這就對企業個人信息跨境提供提出了更高的合規要求：

其一，告知事項的合規要求。在個人信息處理中，對相關事項的全面告知是自然人有效同意的重要基礎，若缺乏對個人信息處理事項的充分告知，則很難保障自然人作出的同意是其理性選擇。我國《個人信息保護法》對個人信息處理的重要環節和關鍵節點采取了“原則+一般規則+特殊規則”的三重告知規則，其在公開透明原則中要求明示個人信息處理的目的、方式和范圍；(25)《個人信息保護法》第7條：“處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。”在一般規則中對告知的方式、內容、標準等予以規定。(26)《個人信息保護法》第17條：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：(一)個人信息處理者的名稱或者姓名和聯系方式；(二)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；(三)個人行使本法規定權利的方式和程序；(四)法律、行政法規規定應當告知的其他事項。前款規定事項發生變更的，應當將變更部分告知個人。個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，并且便于查閱和保存。”而個人信息跨境提供就屬于個人信息處理的重要環節和關鍵節點，其除了需要遵循公開透明原則中對告知的原則性要求和一般告知規則的具體性要求之外，還需要遵守《個人信息保護法》第39條確定的特殊規則。在就個人信息境外提供的相關事項征得自然人同意之前，需要就個人信息跨境流動事項向自然人履行告知義務。告知的具體內容包括境外接收方名稱或姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使法定權利的方式和程序等事項。特殊規則對告知內容的擴大化，將更有利于保障個人知情權，也將有助于自然人行使其各項個人信息權利及發生信息安全事件后的有效維權，但這也給個人信息跨境提供中的企業合規提出了更高標準和要求。

為了防止個人信息跨境提供中的合規風險，企業履行告知義務應符合以下要求：(1)從告知時間上看，企業應在實施個人信息跨境提供之前告知相關自然人，而不得在跨境提供行為完畢之后才告知。(2)從告知方式上看，企業應當采取顯著方式，使用清晰易懂的語言，真實、準確、完整地向相關自然人告知個人信息跨境提供的情況。在實踐中，企業通常采取個人信息處理規則或政策的方式來履行其告知義務，即通過企業內部制定的個人信息保護或隱私保護政策來告知。此種告知方式雖然比較快捷高效，但《個人信息保護法》在個人信息跨境提供中設置了“單獨同意”規則，即個人信息跨境提供應取得個人的單獨同意，而“單獨同意”重在突出告知義務，強調企業應在告知方式上引起個人重視；(27)參見龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第66頁。“單獨同意”意味著不能通過個人信息保護或隱私保護政策等蘊含的個人信息境外流動規則的方式來履行告知義務，因為基于個人信息保護或隱私保護政策的告知屬于概括性或綜合性告知，個人基于此種告知方式而作出的同意表示，會讓其對個人信息境外提供的同意喪失獨立性、單獨性，此種同意是依附于對個人信息其他處理事項內容的同意。因此，個人信息跨境提供中的告知不應采取隱私政策或個人信息處理政策方式告知。(3)從告知內容上看，個人信息跨境提供的境內企業，既需要告知企業名稱、負責人姓名、聯系方式等信息，也需要告知境外接收方名稱或姓名、聯系方式，還需要告知個人信息跨境提供的目的、處理方式、個人信息種類、保存期限、個人向境外接收方行使法定權利的方式和程序等內容。

其二，同意方式的合規要求。個人信息跨境提供中的同意規則，是為了保護信息主體對其個人信息處理的選擇權或決定權。企業實施的個人信息跨境提供行為，在客觀上會干預或侵犯自然人個人信息權，其具有推定的非法性，而個人同意可以排除此種非法性，讓個人信息跨境提供行為獲得內在的正當性與合法性。我國《個人信息保護法》對個人信息處理中的同意采取“一般規則+特殊規則”的立法模式。在個人信息跨境提供中，企業除了要遵守《個人信息保護法》第14條規定的一般同意規則外，(28)《個人信息保護法》第14條：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。”還應遵守《個人信息保護法》第39條確定的特殊規則。具體來說，個人信息跨境提供中個人同意主要應符合以下要件：(1)同意的自愿性。自由選擇是同意規則的核心內容，這要求自然人具有自由選擇是否同意的可能性。企業不得以拒絕服務或其他不合理條件來限制自然人的選擇權，只有自然人在拒絕對其個人信息處理而仍可獲得相關服務的情況下，其作出同意的選擇決定才具有自愿性。同意的自愿性，要求企業在個人信息跨境提供中不能通過欺詐、脅迫或誤導等方式取得自然人同意。(2)同意的明確性。從理論上看，同意可以分為“明示同意”和“默示同意”。《個人信息保護法》中“知情-同意”規則要求處理個人信息須取得個人明確同意，不得以默示方式推定個人同意。明確同意要求信息主體通過肯定性動作對其個人信息處理作出明確的授權行為。在個人信息跨境提供上，企業也應取得自然人明確同意，此種明確同意可以通過書面同意、主動勾選、主動點擊等方式作出。(3)同意的單獨性。個人信息處理者向境外提供個人信息時，須征得個人“單獨同意”，即個人信息處理者應采取“一對一”方式取得個人同意。單獨同意更容易引起自然人對其個人信息處理行為的警惕和重視，可以強化其個人信息保護意識，讓其在作出是否“同意”的選擇時更加謹慎、理性。(29)參見丁曉東：《個人信息保護原理與實踐》，法律出版社2021年版，第92-93頁。對于“單獨同意”的表示形式則相對靈活，既可以采取書面同意，也可以口頭同意或電子數文式同意。實踐中一般采取單獨彈窗、單獨協議等方式告知，個人可以通過在線勾選、點擊確認等方式表示單獨同意。

企業在個人信息跨境提供中應遵循“知情-同意”規則，這是該行為內在合法性的重要基礎。需要注意的是，在個人信息跨境提供中，企業僅能依據自然人“知情-同意”獲得內在合法性基礎，這與企業在境內對個人信息處理行為的合法性基礎存在較大差別。對于個人信息的境內處理行為，《個人信息保護法》第13條規定了多元化合法性基礎，(30)《個人信息保護法》第13條：“符合下列情形之一的，個人信息處理者方可處理個人信息：(一)取得個人的同意；(二)為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；(三)為履行法定職責或者法定義務所必需；(四)為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；(五)為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；(七)法律、行政法規規定的其他情形。依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。”并非只能依據個人“知情-同意”獲得合法性。比如企業為訂立履行合同、新冠疫情防控等原因而收集處理必要的個人信息，就無需取得個人同意。但是，個人信息跨境提供行為的合法性基礎具有唯一性，其僅能基于自然人“知情-同意”而獲得合法性。此種單一合法性基礎體現了我國立法者對個人信息跨境流動的審慎態度。(31)參見龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第186頁。這就決定了企業無論基于何種目的或業務而實施個人信息跨境提供行為都必須征得個人單獨、明確同意，否則就可能會產生合規風險。

四、境外提供的外部條件：個人信息保護的多元價值

企業開展個人信息數據境外提供時，除了需征得自然人同意授權外，還應遵守《個人信息保護法》設立的外部條件。這些外部條件通常不屬于自然人個人信息自決權范疇，是自然人“知情-同意”以外的其他法定條件。這些外部條件有些間接關涉自然人個人信息權益保護，比如個人信息保護認證，有些是為了實現個人信息權益保護以外的其他法律價值，比如安全評估中所承載的國家安全、公共利益等法律價值。《個人信息保護法》第38條第1款設置了個人信息跨境提供的外部條件。(32)《個人信息保護法》第38條第1款：“個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：(一)依照本法第四十條的規定通過國家網信部門組織的安全評估；(二)按照國家網信部門的規定經專業機構進行個人信息保護認證；(三)按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；(四)法律、行政法規或者國家網信部門規定的其他條件。”這些外部條件體現了對個人信息保護、國家主權和安全等因素的考慮，企業開展個人信息數據境外提供時，也必須符合這些法定外部條件，否則就可能因損害個人信息權益、國家安全、公共利益等而產生合規風險。具體來說，企業開展個人信息數據境外提供時，應符合下列條件之一：

第一，安全評估。所謂“安全評估”是對個人信息跨境提供是否存在損害個人信息權益、危害國家安全和公共利益等情況所作的分析和評判。在個人信息跨境流動中，一國可能利用大數據分析技術和海量個人信息對他國社會狀況予以精準畫像，從而實施危害他國國家安全和國家主權的活動。(33)參見馬光：《FTA數據跨境流動規制的三種例外選擇適用》，載《政法論壇》2021年第5期。因此，安全評估成為個人信息跨境提供中的法定外部要件之一。這意味著若無法通過安全評估，則不能實施個人信息跨境提供。安全評估雖然有利于維護國家安全和公共利益，但可能會阻礙個人信息跨境自由流動。(34)參見許多奇：《個人數據跨境流動規制的國際格局及中國應對》，載《法學論壇》2018年第3期。為平衡國家安全利益和個人信息合理流動，就需要對安全評估的適用范圍予以適當限定。我國《個人信息保護法》對安全評估適用的限定主要有以下方面：(1)適用對象特定化。安全評估僅適用于兩類特定主體實施的個人信息跨境提供行為，即關鍵信息基礎設施運營企業和處理個人信息達到法定數量的企業。前者是公共通信、信息服務、能源、交通、水利、金融等重要行業和領域關鍵信息基礎設施的運營企業，后者是處理個人信息達到一百萬人的企業，累計向境外提供超過十萬人以上個人信息或一萬人以上敏感個人信息的企業。(35)《數據出境安全評估辦法(征求意見稿)》第4條：“數據處理者向境外提供數據，符合以下情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。(一)關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據；(二)出境數據中包含重要數據；(三)處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；(四)累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；(五)國家網信部門規定的其他需要申報數據出境安全評估的情形。”比如前文所提“滴滴公司”就屬于后者，其向境外提供個人信息時就應當予以安全評估。(2)適用方式強制性。前述兩類特定主體實施的個人信息跨境提供行為，只能通過安全評估方式來滿足外部條件的要求，它們無法通過個人信息保護認證、訂立標準合同等方式來替代安全評估。因此，安全評估的適用對此兩類特定主體而言具有法定性。因為此兩類特定主體的個人信息境外提供行為會對國家安全、公共利益等產生較大的影響，它們實施個人信息跨境提供行為必須經過安全評估，除非相關法律、行政法規或國家網信部門另有規定其可以不用安全評估。(36)《個人信息保護法》第40條：“關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。”安全評估適用方式的法定性和強制性，有利于防范個人信息跨境提供中出現危害國家安全、公共利益等風險。

第二，個人信息保護認證。個人信息保護認證是由專門的認證機構以相關技術標準為依據，對信息處理者的管理體系、運行狀況、產品服務等是否達到個人信息保護標準要求而出具的意見。(37)參見龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第183頁。與安全評估相比，它們兩者雖然都是由相關部門或機構經審查后出具的意見材料，但二者也存在本質差別：(1)從功能上看，安全評估雖然客觀上也具有保護個人信息權益的功能，但其主要目的是防止個人信息跨境提供中出現危害國家安全、公共利益的風險；在個人信息保護認證中，雖然也會考察個人信息處理行為中危害國家安全的風險，但其主要是通過第三方機構的專業審查認定來消除信息主體和信息處理者之間的信息鴻溝，從而更好地實現對個人信息的有效保護。(2)從內容上看，安全評估具有專項性特征，即其主要考察、評估個人信息跨境提供中危害國家安全、公共利益的風險；個人信息保護認證則具有綜合性特征，其需要對個人信息處理者是否達到個人信息保護技術標準和法律法規的要求予以全面、綜合審查認定。(3)從主體上看，安全評估的受理審查主體比較單一，它是由國家網信部門受理，組織行業主管部門、國務院有關部門、省級網信部門、專門機構等進行安全評估。(38)《數據出境安全評估辦法(征求意見稿)》第10條：“國家網信部門受理申報后，組織行業主管部門、國務院有關部門、省級網信部門、專門機構等進行安全評估。涉及重要數據出境的，國家網信部門征求相關行業主管部門意見。”評估之后，由國家網信部門出具通過或不通過的評估結果。個人信息保護認證的主體則相對多元，其可以是任何具有個人信息保護認證資質的第三方專業機構。比如2018年國家市場監督總局下屬“中國網絡安全審查技術與認證中心”曾開展個人信息安全認證，給支付寶、騰訊、百度等公司頒發認證書。(39)參見程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第309頁。(4)從適用方式來看，安全評估的適用具有法定性和強制性，上述兩類特定企業實施個人信息跨境提供時，都必須事前申請安全評估，否則將面臨行政監管責任或刑事追訴風險；個人信息保護認證的適用則具有自愿性和選擇性，上述兩類特定主體以外的企業在實施個人信息跨境提供時，可以選擇申請個人信息保護認證，也可以選擇訂立標準合同或符合法律、行政法規規定的其他條件。當然，個人信息保護認證并不能免除或減少個人信息處理者的義務和責任，(40)參見原浩：《網絡安全法律解析2020》，華中科技大學出版社2020年版，第53頁。企業在個人信息跨境提供中仍然需要履行法定義務；若在個人信息跨境提供過程中，違反了個人信息保護法規，國家網信部門仍然可以給予行政制裁。

第三，訂立標準合同。標準合同是從提供者與接收者之間的契約關系來實現跨境流動中的個人信息權益保護。在個人信息跨境提供中，個人信息主體并不參與個人信息跨境流動合同的協商訂立，通常是由個人信息跨境提供者與接收者來協商訂立，但合同處理對象并非合同訂立者自己的個人信息，而是其他主體的個人信息，這就很容易出現規避法律條款、侵犯個人信息權益等違法情形。標準合同是將《個人信息保護法》對個人信息保護的法定義務轉化為相關合同條款，通過對合同中權利義務內容的標準化、固定化來實現跨境流動中的個人信息保護。從法律性質上看，標準合同本質上也是一種格式合同，但其與普通格式合同存在重大差別。普通格式合同通常是由合同一方或單方主體所預先制定，該方主體可能會利用其經濟優勢、壟斷地位來免除己方義務或加重對方責任。標準合同則是由國家網信部門制定，其所具有的超然地位和監管職責決定了標準合同更具公正性和權威性，也有利于在合同條款中貫徹個人信息保護、國家安全、公共利益等法律價值。個人信息跨境流動的標準合同，主要包括個人信息出境目的、存儲地區或國家、提供方和接收方權利義務、準據法等內容。通過對標準化條款設置可以讓個人信息跨境提供規則得到有效落實和執行，也可以倒逼個人信息跨境流動雙方保障個人信息權益。(41)參見張新寶、葛鑫：《個人信息保護法(專家建議稿)及立法理由說明書》，中國人民大學出版社2021年版，第171頁。標準合同比較適合企業外部經營業務的個人信息跨境提供，比如在國際貨物或服務貿易中訂立個人信息保護的標準合同。對于跨國集團公司的日常性、持續性內部業務，由于會涉及頻繁、大量個人信息境外提供，若每次個人信息的境外提供都訂立標準合同，則會導致公司營運成本上升，增加跨國集團公司負擔。另外，標準合同義務的履行狀況，不僅受到合同訂立方的日常監管，也會受到國家網信部門的持續監管，相關信息主體都可以申請國家網信部門對標準合同義務履行情況予以審查和監督，這將導致企業在個人信息跨境提供中面臨很多不確定性風險。因此，跨國集團公司日常性、持續性內部業務并不適合選擇訂立標準合同來實現個人信息跨境提供的外部要件。此時，跨國集團公司可以通過制定符合個人信息保護的專項合規計劃，在符合法定標準和要求的情況下申請個人信息保護認證。在取得第三方機構認證后，跨國集團公司向其境外公司直接傳輸個人信息就可以無需訂立標準合同，這降低了跨國集團公司的營運成本。對于單獨性、臨時性跨境業務而言，企業通過訂立標準合同來實施個人信息跨境提供的成本更低、時間更短。但是，企業在訂立標準合同之后，須嚴格遵守標準合同的各項條款，尤其是定期或不定期檢查督促境外接收方恪守標準合同義務，審查監督接收方是否按標準合同充分履行其個人信息保護義務，否則也很容易出現個人信息跨境提供中的合規風險。

從《個人信息保護法》第38條第1款對個人信息數據境外提供外部條件的現有設置和立法表述來看，其采取了可供信息處理者選擇的多元化機制，即信息處理者只要符合上述外部條件之一，且在符合其他法定條件基礎上，就可以向境外提供個人信息。有學者將這些外部條件稱為“選擇性條件”，(42)參見張凌寒：《個人信息跨境流動制度的三重維度》，載《中國法律評論》2021年第5期。但這不意味著所有類型的企業在實施個人信息境外提供中都有選擇的權利和空間，因為該條款針對信息處理者的不同類型設置了不同外部條件，由此就限制了特定企業的選擇空間。在個人信息跨境提供中，作為個人信息處理者的企業都應遵循“目的限定”“知情-同意”等其他條件，但在外部條件的選擇和適用上則可能存在差異：(1)基于企業類型的外部條件合規選擇。企業需要結合自身類型或狀況來選擇適用何種外部條件。對于關鍵信息基礎設施運營的企業和處理個人信息超過法定數量的企業，只能選擇通過安全評估方式來符合外部條件，若此兩類企業選擇訂立標準合同或個人信息保護認證，則會產生合規風險。對于上述兩類特定主體之外的其他企業，則可以根據業務類型或個人信息類型選擇訂立標準合同或第三方認證來滿足個人信息境外提供的外部條件。(2)基于業務類型的外部條件合規選擇。對于上述兩類特定主體以外的其他企業，雖然可以選擇訂立標準合同或第三方認證，但實現不同外部條件的成本并不相同，其可以根據自身業務類型來選擇適用何種外部條件。對于日常性、持續性涉外業務，企業可以選擇保護認證方式來滿足外部條件要求；而對于單一性涉外義務，企業可以通過訂立標準合同方式來實施個人信息跨境提供。(3)基于個人信息類型的外部條件合規選擇。有些企業雖然本身不屬于上述兩類特定企業，但其對境外提供的個人信息比較敏感或重要，這些個人信息可能會間接涉及國家安全，則仍然需要通過安全評估來滿足外部條件的要求。比如美軍使用某健身APP被發現可保留使用者日常鍛煉記錄，包括其鍛煉路線、位置、日期、時間等信息，而這些信息可以準確找到美國特工處、國家安全局等組織成員活動地點而存在危害國防安全的較大風險。(43)參見魏岳江、丁莉莎：《防止因泄露位置信息對部隊安全構成威脅，美軍禁用手機地理定位功能》，載《解放軍報》2019年2月1日，第11版。對于此類個人信息的境外提供，企業仍然需要取得安全評估。因此，對于個人信息境外提供的外部條件，需要結合企業狀況、業務類型、個人信息類型等因素予以選擇。

結語

我國《個人信息保護法》已初步建立了個人信息跨境提供規則，這為規范企業涉外業務中的個人信息跨境提供行為提供了依據，也要求企業建立個人信息跨境提供的專項合規計劃。企業合規不僅僅是企業在經營過程中遵循相關法律法規，其更是需要通過建立識別、防范和應對違法違規行為的企業內部治理結構，在企業內部形成依法經營的自我監管機制和文化。(44)參見陳瑞華：《企業合規基本理論》，法律出版社2021年版，第19頁。對于相關業務涉及個人信息跨境流動的企業而言，需要在其公司治理結構中建立合規組織體系，將現有個人信息跨境提供規則轉化為其內部商業行為準則。企業需要以前提條件、目的條件、內部條件和外部條件四個方面為主體內容，來構建企業個人信息跨境提供的企業專項合規計劃，將其納入企業數據保護合規計劃之中。設置個人信息保護負責人(PIPO)，將其納入企業合規管理部門。個人信息保護負責人可以組織企業內部負責涉外業務的員工開展個人信息保護培訓，制定個人信息跨境流動的企業政策和規則，監督企業員工和境外接受方在個人信息跨境提供活動的合規性。