個人信息出境標準合同條款規制及其優化研究

摘 要：經濟迅速發展的今天，數據的重要性日益凸顯。個人信息作為數據的重要組成部分，如何在個人信息跨境自由流動 與保護個人信息安全方面找到一個平衡點是一大難題，標準合同制度在平衡二者關系上發揮了重要作用，但在具體適用方面 還需完善。相對于歐美國家的個人信息出境保護模式，我國在個人信息出境保護立法方面起步晚，實踐不足。本文以標準合 同的規制對象與適用范圍為研究對象，發現標準合同制度面臨著適用范圍存在局限性、與安全評估制度存在重疊、主體定義 模糊的問題。應立足我國特色，在實踐中不斷完善標準合同制度，通過擴大標準合同適用范圍，立足于頂層，體系化構建標 準合同條款；重新定義“數據處理者”，完善個人信息跨境模式等方式，優化標準合同制度。

關鍵詞：個人信息出境，標準合同條款，個人信息保護

DOI編碼：10.3969/j.issn.1002-5944.2024.06.006

0 引 言

2 0 22年7月29日，中國信息通信研究院發布 的《全球數字經濟白皮書（2022年）》[1]指出，數 字經濟為全球經濟發展注入了新的動能。總體而 言，2021年，全球47個國家數字經濟增加值為38.1萬億美元，同比增長15.6%，占全球GDP的比重為 45.0%。在規模方面，中國的數字經濟規模位居全 球第二，達到7.1萬億美元。在占比方面，德國、英國 和美國的數字經濟占其國內生產總值的比重位列前 三位，均超過65%。其中，數據跨境流動已經成為推 動數字經濟發展不可或缺的力量[2]。數據被譽為21 世紀“新石油”[3]，這凸顯了數據的重要性。和石油 不同的是，數據的價值在于其流動性，數據的流動 性對其價值有著顯著影響。數據需要在流通和共享 過程中才能充分發揮其價值，并且在跨境流動中能 夠創造新的價值。但是，數據跨境流動在促進經濟 發展的同時，也面臨著個人隱私保護、數據主權和 國家安全維護的壓力。然而，對數據流動的不合理 限制會妨礙經濟的發展，嚴重情況可能導致市場分 裂，降低數據服務提供者的服務質量和競爭力，尤 其在小規模企業上體現更加明顯[4]。由此可知，數 據本地化與數據跨境自由流動的矛盾日益嚴峻。如 何規制個人信息跨境流動，實現個人信息自由流動、 隱私保護和國家安全的平衡，這是學術界和實務界 一直在探討的問題。

個人信息跨境流動作為近年來國際社會的熱 點話題，其規制方法《個人信息跨境標準合同辦法》 （以下簡稱《標準合同辦法》）的出臺具有重要意 義。從理論層面看，完善個人信息跨境流動法律規 制不僅是國內法的完善，還會產生國際上的聯動效 應。從實踐意義看，該制度切身關系到每個人的利 益，隨著科技的發展，未來定是數據的世界。我國 作為新興的信息大國，龐大的人口數量必然產生巨 大的個人信息跨境需求，進而產生經濟價值。制定 標準合同已經成為各國規制個人信息跨境流動的重 要途徑。《標準合同辦法》是專門以“個人信息跨境 流動”為規制對象，通過國家預先設置標準合同， 由境內個人信息處理者與境外接收方訂立合同，約 定雙方的權利與義務的方式，來保護個人信息在跨 境流動過程中的安全。

1 作為監管工具的標準合同

1.1 標準合同制度的由來

標準合同制度是為了確保個人信息出境后享有 不低于本國標準的保護，同時將個人信息保護的相 關規定轉化為境內個人信息處理者與境外接收方 的合同責任。標準合同制度最早起源于歐盟，歐洲 作為數據立法的領軍地區，其中歐盟以《通用數據 保護條例》（以下簡稱GDPR）為基礎，制定“充分 性認證”、標準合同條款等數據跨境傳輸模式，搭 建起歐式個人數據跨境傳輸規則。根據GDPR第45 條第1款規定，充分性認證制度是指“當歐盟委員會 做出認定，認為相關第三國、第三國中的某個區域 或一個或多個特定部門或國際組織具有充分保護 水平，才可將個人數據轉移至該國家/地區。經認證 后無需特別授權”。是歐盟對第三國數據保護情況 的認可。截至目前，僅有日本、韓國、瑞士等15個國 家或地區通過歐盟的“充分性認證”。相較于嚴苛 的“充分性認證”，標準合同條款是從保障數據主 體權利的角度出發，雙方主體針對數據跨境傳輸這 一行為作出的約定，相較于“充分性認證”具有較 大的靈活性。

歐盟最早在1995年《歐共體數據保護指令》 （EUDPD）就規定了諸如標準合同條款的相關措 施，從2001年正式出版歐盟標準合同條款之后，又 經歷數次變更。為了適應時代的變化，更好地銜接 GDPR和調和商界與民間隱私保護組織的利益訴 求，保障數據安全的情況下更好地進行數據跨境 傳輸，在2021年2月新的數據跨境傳輸標準合同條 款（SCCs）應運而生。歐盟新款標準合同條款作為 除“充分性認證”最具代表性的個人信息數據跨境 傳輸制度，也被稱為“條款模式”。根據GDPR的規 定，一國在沒有獲得“充分性認證”的條件下，數據 控制者和數據處理者可以采取標準合同條款的方 式同歐盟成員國之間自由傳輸個人信息數據，以降 低在數據跨境流動過程中的風險。歐盟新款標準合同沿襲前三版標準合同條款中對基本數據的保護 原則，并在內容上進行了革新，在具體的個人信息 數據傳輸模式上，區分了“數據控制者-數據控制 者”“數據控制者-數據處理者”“數據處理者-數 據處理者”和“數據處理者-數據控制者”四種模 式（見圖1），并對其做出了詳細的規定，每一種數 據傳輸模式相應地對“數據控制者”與“數據處理 者”有不同的要求。新款標準合同條款適用于一切 受GDPR管轄的數據輸出方，即使其實體并未設在 歐盟。實際上是擴大了標準合同的適用范圍。新款 標準合同條款的出臺不僅有利于推動數據跨境領 域統一規則的形成，而且提升企業在此領域的合規 性，以此促進全球數字貿易的長足發展。

世界范圍內沒有形成統一的數據跨境立法，是 由各個國家在數據安全和數據出境的國內法完善 之后，而形成的國際上統一的認識。由于各國法律 文化、社會經濟、制度背景有諸多不同，延伸出對數 據的保護程度也不同，數據如何安全自由流動這一 根本性問題沒有達到共識。針對不同的數據跨境場 景，數據安全自由流動的實現方式也不只有一種模 式，應是設置多樣化的數據出境模式[5]。針對個人信 息出境這一場景，我國出臺《標準合同辦法》來進行 規制，以保證個人信息安全自由的流動。由個人信息 處理者和境外接收方訂立個人信息出境標準合同的 方式向中華人民共和國境外提供個人信息。相比數 據出境安全評估嚴格的適用條件和較高的門檻，個 人信息出境標準合同可適用于更廣泛的業務場景， 重要性不言而喻。但在實踐過程中，也遇到諸如適 用范圍小、主體定義模糊的挑戰。

1.2 標準合同的規制對象

我國目前已經形成以《個人信息保護法》《數據 安全法》和《網絡安全法》為基礎的全方位的數據 安全和個人信息保障體系。2023年2月24日，備受矚 目的《個人信息出境標準合同辦法》由國家互聯網 信息辦公室正式發布，附件部分公布了個人信息出 境標準合同（以下簡稱“標準合同”），并于同年6月 1日起施行。加上此前已發布的《數據出境安全評估 辦法》（以下簡稱《評估辦法》）、《網絡安全標準實 踐指南—個人信息跨境處理活動安全認證規范》， 《個人信息保護法》明確的三項個人信息出境條件 已全部具備明確的落地指引。

個人信息作為數據的重要組成部分，研究數 據跨境流動這一問題時，必然涉及對個人信息的研 究[6]。在針對個人信息跨境流動問題中，首先應判 定哪些數據屬于個人信息[7]。我國《個人信息保護 法》第4條對個人信息的定義做出界定：“個人信息是以電子或者其他方式記錄的與已識別或者可識 別的自然人有關的各種信息，不包括匿名化處理 后的信息。”即只要是與已識別或可識別自然人相 關的信息都屬于個人信息，采用了“相關性+可識 別性”的判斷標準。此外，《個人信息保護法》第28 條又細分了敏感個人信息。其次是準確界定“跨境 流動”的含義，《新華社新聞信息報道中的禁用詞 和慎用詞》第40條對“境外”的定義為：指中華人 民共和國領域以外或者領域內未實施行政管轄的 地域，即包括港澳臺。因此中國大陸與港澳臺之間 的個人信息傳輸也屬于個人信息跨境流動。但對于 “個人信息跨境流動”的確切定義，學術界和實務 界目前尚未達成共識[8]。最早正式提出這一概念 的是經合組織（OECD）在1980年發布的《關于隱 私保護與個人數據跨境流動的指南》中，第1條第3 款將“個人信息跨境流動”定義為個人信息跨越邊 境進行傳輸[9]。各個國家或地區在立法層面，未對 “個人信息跨境流動”作出其他的定義。本文亦不 對“個人信息跨境流動”做定義，直接將其作為既 定事實，研究個人信息跨境流動的法律規制問題。

1.3 標準合同的適用面臨的挑戰

1.3.1 適用范圍存在局限性

《標準合同辦法》第4條明確了標準合同的適 用范圍，同時符合四種情況的個人信息處理者可 以通過訂立標準合同的方式向境外提供個人信息： （1）非關鍵信息基礎設施運營者；（2）處理個人信 息不滿100萬人的；（3）自上年1月1日起累計向境外 提供個人信息不滿10萬人的；（4）自上年1月1日起累 計向境外提供敏感個人信息不滿1萬人的。對比《評 估辦法》可以看出，兩者之間是一種銜接關系。非 關鍵信息基礎設施運營者處理的少量個人信息出 境適用個人信息出境標準合同，而關鍵信息基礎設 施運營者處理的個人信息、向境外提供重要數據或 數量較多的個人信息出境則需要通過所在地省級網 信部門向國家網信部門申報數據出境安全評估。

從個人信息認定的范圍來看，“相關性＋可識 別性”標準可能會導致個人信息的范圍寬泛。在實 際的跨境活動中，許多新興和邊緣信息是否被視為 個人信息存在較大的爭議。此外，中國龐大的人口 規模必然會產生大量的個人信息數據，這也是一個 不容忽視的問題。絕大多數情況下，個人信息處理 者與境外機構商業層面的個人信息數據流動規模較 大，很容易超出《標準合同辦法》規定的范圍，可能 會導致適用標準合同的場合少之又少。

1.3.2 與安全評估制度存在“重疊”

從法律體系上看，《標準合同辦法》與《評估辦 法》應該是一種相銜接的關系。《標準合同辦法》 適用于安全評估強制申報以外的個人信息出境。但 在具體適用上，適用標準合同并不意味著是評估義 務的豁免，根據《標準合同辦法》第5條“個人信息 處理者向境外提供個人信息前，應當事前開展個人 信息保護影響評估”。個人信息保護影響評估屬于 受強制的自我規制[10]，其評估內容與《評估辦法》 第5條有明顯相似性。這樣設置的目的是保障兩種 數據出境制度均能達到同等水平的安全保護效果， 但目的與實際效用是否相悖？在適用方式上，《標 準合同辦法》采取了自主締約與備案相結合的措 施，標準合同不以備案為生效的條件，《標準合同 辦法》第7條規定“個人信息處理者應當在標準合同 生效之日起10個工作日內向所在地省級網信部門備 案”。備案的內容為標準合同文本和個人信息保護 影響評估報告。按照規定，在標準合同生效后即可 以開展個人信息出境活動，不用等待完成備案。結 合第2款：“個人信息處理者應當對所備案材料的真 實性負責。”可見，省級網信部門主要對備案材料的 形式要件進行審查。而《評估辦法》中第4條和第6 條要求數據處理者在向所在地省級部門申報時提 供一系列安全評估的材料。雖然備案與申報的法律 效力不同，但從條款設置上來看，兩者的差異性并 不顯著[5]。

兩處制度的相似是為了確保，無論從哪種方 式進行個人信息數據出境，都能保證個人信息在此過程的安全性。但這也使得《標準合同辦法》與 《評估辦法》的區分程度不明顯。兩者是不同的制 度，卻有類似的評估內容，不利于法律制度的體系 化進程。

1.3.3 標準合同主體定義模糊

我國標準合同的主體為個人信息處理者和境 外接收方，僅一種數據傳輸模式，且不區分“數據 控制者”與“數據處理者”。歐盟標準合同條款經 過二十多年的發展完善，在適用過程中能夠覆蓋多 種場景。對比歐盟最新版本的標準合同條款，分為 兩個締約主體，定義了“數據控制者”與“數據處 理者”的區別。并采取“模塊化”條款，使得標準合 同能覆蓋更多場景的數據跨境模式，具體分為“數 據控制者-數據控制者”“數據控制者-數據處理 者”“數據處理者-數據處理者”和“數據處理者- 數據控制者”四種模式，對四種個人信息數據跨境 傳輸模式分別作了詳細規定。并且不同的數據傳輸 模式有不同的要求，使標準合同條款能夠適用于各 種場景。

我國從《個人信息保護法》開始，定義中就未 區分“數據處理者”與“數據控制者”的概念。而 是將其統稱為“個人信息處理者”，即自主決定處 理目的、處理方式等個人信息處理事項的組織、個 人。對比GDPR可知，與其“數據控制者”的定義相 似，即單獨或共同決定個人數據處理目的與方式的 自然人、法人或其他實體。目前實務界與學術界的 共識是應當在法律語言上注意區分“數據控制者” 與“數據處理者”的概念[11]。面對復雜的個人信息 跨境活動場景，不同的角色意味著不同的責任和義 務，將兩種角色統稱為“個人信息處理者”，不利于 責任的劃分及事后救濟的開展。

2 問題的成因及優化方式

本文運用文本分析、比較研究等方法，分析問 題的成因及提出相應優化方式。合理擴大標準合同 的適用范圍、在構建標準合同制度體系化方面還需 加強、合理定義“數據處理者”，完善個人信息跨境 的模式。提高標準合同的實用性，找到個人信息自 由流動與個人信息保護的平衡點。

2.1 擴大標準合同適用范圍

2019年《個人信息出境安全評估辦法（征求意 見稿）》第3條規定：“個人信息出境前，網絡運營者 應當向所在地省級網信部門申報個人信息出境安 全評估。”該征求意見稿中未設置人數標準，意味 著只要向境外提供個人信息就需要進行安全評估， 即通過安全評估是個人信息出境的唯一方式。此種 方式不僅增加網信部門的工作量，也不利于企業的 經濟發展。2022年發布的《個人信息出境標準合同 規定（征求意見稿）》其設置了門檻，此次《標準合 同辦法》與之保持一致，對標準合同也設置了相應 的適用范圍。從《標準合同辦法》第4條的適用范圍 和立法沿革及實踐來看，標準合同更適用于中小企 業，減輕中小企業個人信息出境業務的負擔。

歐盟個人信息數據跨境傳輸的核心觀念是最大 限度保護人權[12]，只有參與數據跨境傳輸的各方能 夠充分保障個人信息數據的安全，個人信息數據才 得以自由流動。由于GDPR所要求的“充分性認定” 難度較大，所以企業更愿意采用標準合同條款的 方式進行數據跨境傳輸[13]。從歷史沿革來看，標準 合同適用范圍逐步擴大，正在成為歐洲監管部門最 有效的監管工具[14]。從實踐中看，標準合同條款作 為“個人數據跨境傳輸工具”，使未取得歐盟“充分 性認證”的國家或地區也能與之進行數據跨境傳輸 活動，逐漸成為歐洲監管部門監管個人數據跨境流 動的重要方式。

隨著全球化的發展，各國法律的趨勢也是一致 的，都把標準合同當作企業之間進行個人信息數據 跨境傳輸的一個重要方式。而標準合同的適用范圍 小，導致其束之高閣并不是立法的初衷。在適用上 與《評估辦法》相聯系，從整體法律體系出發，擴大 《標準合同》適用范圍，提高《評估辦法》適用門檻，完善整個數據出境法律體系。達到個人信息數 據安全與自由流動之間的平衡。

2.2 體系化構建標準合同

標準合同和安全評估辦法的“重疊”，究其原 因是忽視了兩種制度的內在邏輯差異性，《標準合 同辦法》的法理基礎是在個人信息出境過程中對第 三人利益的保護和救濟，合同條款應側重合同義務 的履行方式及違約責任的承擔方面。其實質是以合 同意定的法律責任，預防合同雙方當事人違約并提 出具體救濟方式。而《評估辦法》的法理基礎是預 防數據出境對國家安全和社會公共利益造成難以彌 補的損害，在此種情況下對數據安全風險進行預防 和緩解，因此評估的事項和內容應嚴于少量個人信 息和一般數據出境[5]。其實質是，對數據處理者設 置法定的義務來保障數據安全。針對不同的法理基 礎，應對個人信息數據設置不同程度的規制要求。

以《標準合同辦法》為基礎的標準合同條款， 應當有兩個側重點，在事前階段，通過設置個人信 息處理者對境外接收方充分的考察的義務；在事 后階段，境外接收方獲得個人信息數據之后存在的 違約行為及救濟方式。明確個人信息保護影響評估 與風險自評估之間的差別，在第5條的用語上，可 將“重點評估以下內容”調整為“重點評估風險事 項”。來突出標準合同影響評估遵循的是風險自評 估，由數據處理者判斷個人信息出境后可能帶來的 風險及危害結果。提高個人信息權利人權利救濟的 便捷性與可能性，個人信息權利人在面對境外接收 者違反合同約定而受到損失時，在維權過程中有諸 多困難，可以要求個人信息處理者承擔連帶責任。 以更好保護個人信息權利人的利益。

2.3 合理定義“數據處理者”

有學者認為無需給“數據處理者”一個獨立的 法律地位，理由是數據處理者代表數據控制者，其 結果由數據控制者負責，數據控制者有義務選擇一 個有能力勝任的數據處理者。數據處理者與數據控 制者有內部的聯系，這種內部聯系與個人信息主體無 關，因此對外承擔責任無需區分[15]。以Facebook被罰 50億為例，Facebook公司控制了大量的用戶數據，擔 任“數據控制者”角色。而其與劍橋分析公司不當分 享8700萬用戶的個人信息，劍橋分析公司對這些個人 信息進行分析，擔任“數據處理者”的角色。由此可 見，在劃分責任時，有必要區分每一行為的性質，對 其行為進行定性、歸責。我國在立法上應完善，區分 兩個主體，劃分四種傳輸行為是有必要的。

合理定義“數據處理者”，區分“數據控制者” 與“數據處理者”不同的法律地位，利于在具體實 踐中明確責任，劃分義務。并以此為基礎，建立多種 個人信息跨境傳輸模式。立法應具有前瞻性，預見 未來數據的發展。

3 結 語

大量的實踐已經證明，絕對化的數據無國界與 當今經濟全球化發展相悖，絕對化的數據主權阻礙 市場經濟的發展。以美國為代表的數據自由貿易雖 具有一定的合理性，可以提高全球的合作效率，全 球范圍內增加財富，但也要防范某些國家以自由之 名對其他國家的個人數據與國家安全造成威脅。以 歐盟為代表的數據人權立場，在充分保護個人數據 安全的同時，實際上是一種“軟數據本地化”，導致 單邊主義與長臂管轄的風險[16]。

數據具有非競爭性、非排他性等特征[17]。數據 在無限復制的過程中，不僅不會損害數據的價值， 還會在此過程中產生新的價值。同時需要平衡好個 人信息跨境流動安全與經濟利益的關系。我國《標 準合同》已經發布生效，但現實生活不是一成不變 的，法律在適用過程中具有滯后性。在具體適用過 程中，合理擴大標準合同的適用范圍，讓標準合同 能夠真正地適用各種場景；從整體上構建標準合同 制度體系化；最后合理定義“數據處理者”，完善個 人信息跨境的模式。找到個人信息自由流動與個人 信息保護的平衡點。

參考文獻

中國信息通信研究院《全球數字經濟白皮書（2022）》 [EB/OL].（2022-12-07）[2023-11-04].http：//www.caict. ac.cn/kxyj/qwfb/bps/202212/P020221207397428021671. pdf.

Center for Strategic and International Studies （CSIS）. Governing Data in the Asia－Pacific[EB/OL].（2021- 04-21）[2023-11-04].https//www.jstor.org/stable/ resrep31139？seq=1#metadata_info_contents.

LAUREN H S.Big Data Is Not Big Oil： The Role of Analogy in the Law of New Technologies[J]. Tennessee Law Review， 2019（4）： 863-892.

European Commission．Communication on Building a European Data Economy[EB/OL].（2017-04-10）[2023-11- 04].http：//ec.europa.eu/newsroom/dae/document.cfm？doc_ id=41205%0D.

趙精武.論數據出境評估、合同與認證規則的體系化[J]. 行政法學研究，2023（1）：78-94.

黃秋紅，李雅頓.對接CPTPP數據跨境流動規則研究[J]. 南海法學，2022（1）：115-124.

謝登科.個人信息跨境提 供中的企業合規[J ].法學論 壇，2023（1）：85-94.

United Nations. Cross-Border Data Flows and Development： For Whom the Data Flow[EB/OL].（2021-11-16）[2023- 11-04].https：//unctad.org/system/files/official-document/ der2021_en.pdf.

OCDE. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[M].OECD Publishing：2002.

劉權.論個人信息保護影響評估—以《個人信息保護法》 第55、56條為中心[J].上海交通大學學報（哲學社會科學 版），2022（5）：39-50.

程嘯.侵害個人信息權 益的侵權責任[J ].中國法律 評 論，2021（5）：59-69.

蔡翠紅，張若揚.“技術主權”和“數字主權”話語下歐盟 數字化轉型戰略[J].國際政治研究，2022（1）：9-37.

李默絲.中美歐博弈背景下的中歐跨境數據流動合作[J]. 歐洲研究，2021（6）：1-24.

梅傲，張涵鑫.從SCCs到IDTA：歐洲個人數據跨境傳輸規 則調整及中國應對[J].中國行政管理，2023（2）：135-144.

PETER B .Controller and processor： is there a risk of confusion？[J]. International Data Privacy Law， 2013（2）： 140-145.

丁曉 東.數 據跨境流動的 法理 反 思與制度 重 構 —— 兼 評《 數 據出 境 安 全 評 估 辦 法》[ J ] . 行 政 法 學 研 究，2023（1）：62-77.

SILVEIRA D J F M J， KENNETH J. Arrow - Economic Welfare and the Allocation of Resources for Invention[J]. Revista Brasileira de Inova??o， 2008（2）： 261-286.

作者簡介

趙薇，碩士研究生，研究方向為國際法學、數據法學。

（責任編輯：張瑞洋）