個(gè)人信息出境的國內(nèi)法規(guī)制路徑及體系化完善

摘要：數(shù)字化個(gè)人信息的大規(guī)模跨境傳輸使得個(gè)人權(quán)益、公共利益和國家安全利益受損的風(fēng)險(xiǎn)加劇，國際社會(huì)尚未達(dá)成統(tǒng)一法律規(guī)范予以應(yīng)對(duì)。為維護(hù)國家數(shù)據(jù)主權(quán)、促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展與保障個(gè)人信息安全，各國選擇以國內(nèi)法規(guī)制的方式對(duì)個(gè)人信息出境予以監(jiān)管，具體表現(xiàn)為國家專門立法、聯(lián)盟統(tǒng)一立法與國家分散立法。我國通過專門立法規(guī)制個(gè)人信息出境，形成了“硬性”與“軟性”兩軌監(jiān)管機(jī)制，但存在分軌監(jiān)管內(nèi)容交叉、公私共治監(jiān)管尚未形成的問題，阻礙個(gè)人信息的安全出境。在統(tǒng)籌推進(jìn)國內(nèi)法治和涉外法治的背景下，我國應(yīng)以系統(tǒng)觀念加強(qiáng)個(gè)人信息出境監(jiān)管建設(shè)，從主體上發(fā)揮公私體系的協(xié)同性，從規(guī)范上強(qiáng)化攻防體系的均衡性，從空間上增進(jìn)內(nèi)外體系的互動(dòng)性，為促成個(gè)人信息跨境規(guī)制的多邊共識(shí)貢獻(xiàn)中國智慧。

關(guān)鍵詞：涉外法治；國家規(guī)制；數(shù)據(jù)跨境流動(dòng)；個(gè)人信息出境；系統(tǒng)觀念

中圖分類號(hào)：D99文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1007-9092（2024）02-0123-018

隨著數(shù)字經(jīng)濟(jì)全球化進(jìn)程的持續(xù)推進(jìn)，各國之間的經(jīng)濟(jì)聯(lián)系愈發(fā)緊密，數(shù)據(jù)跨境流動(dòng)成為數(shù)字經(jīng)濟(jì)發(fā)展的必然規(guī)律。目前，全球個(gè)人信息（數(shù)據(jù)）保護(hù)標(biāo)準(zhǔn)不同且尚未達(dá)成國際共識(shí)。①隨著個(gè)人信息出境需求的增加，為促成個(gè)人信息跨境的安全自由流動(dòng)和境內(nèi)外一致保護(hù)，國家紛紛選擇通過國內(nèi)法規(guī)制個(gè)人信息出境以維護(hù)國家主權(quán)、安全和發(fā)展利益。基于不同的利益考量和價(jià)值追求，各國采取了不同的個(gè)人信息保護(hù)立法模式。趙海樂：《數(shù)據(jù)主權(quán)視角下的個(gè)人信息保護(hù)國際法治沖突與對(duì)策》，《當(dāng)代法學(xué)》，2022年第4期。（①個(gè)人信息與個(gè)人數(shù)據(jù)聯(lián)系緊密且難以區(qū)分，前者強(qiáng)調(diào)內(nèi)容，后者強(qiáng)調(diào)數(shù)據(jù)化，個(gè)人信息跨境流動(dòng)的內(nèi)容多被納入數(shù)據(jù)立法之中，本文根據(jù)需要交替使用。程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第74-75頁。）

數(shù)據(jù)出境國通常會(huì)制定數(shù)據(jù)出境規(guī)范，規(guī)制個(gè)人信息是關(guān)鍵內(nèi)容。接收個(gè)人信息的境外主體包含私主體，也包括公權(quán)力機(jī)關(guān)。針對(duì)數(shù)據(jù)出境國而言，一方面，個(gè)人信息的自由流動(dòng)能夠?qū)崿F(xiàn)數(shù)字經(jīng)濟(jì)利益；另一方面，個(gè)人信息出境或?qū)⒃庥鰮p害國家安全、公共利益和個(gè)人隱私權(quán)的原生風(fēng)險(xiǎn)。為控制原生風(fēng)險(xiǎn)，同時(shí)防范因規(guī)制措施欠缺合法性而產(chǎn)生的次生風(fēng)險(xiǎn)，彭德雷：《數(shù)字貿(mào)易的“風(fēng)險(xiǎn)二重性”與規(guī)制合作》，《比較法研究》，2019年第1期。國家在國內(nèi)法中對(duì)個(gè)人信息出境活動(dòng)予以規(guī)制。鑒于各國規(guī)制個(gè)人信息出境的立法范式不同，其規(guī)制措施的呈現(xiàn)方式也各有側(cè)重。

當(dāng)前，有關(guān)數(shù)據(jù)跨境流動(dòng)的研究聚焦于國際法對(duì)國內(nèi)法的影響與國內(nèi)法對(duì)國際法的銜接。在數(shù)據(jù)跨境流動(dòng)背景下探討國際法對(duì)國內(nèi)法影響的研究有：譚觀福：《數(shù)字貿(mào)易中跨境數(shù)據(jù)流動(dòng)的國際法規(guī)制》，《比較法研究》，2022年第3期；張曉君、屈曉濛：《RCEP數(shù)據(jù)跨境流動(dòng)例外條款與中國因應(yīng)》，《政法論叢》，2022年第3期；張明：《國際貿(mào)易法視閾下數(shù)據(jù)本地化措施的邊界及其協(xié)調(diào)——以lt;個(gè)人信息保護(hù)法gt;為切入點(diǎn)》，《南大法學(xué)》，2021年第6期；馬光：《FTA數(shù)據(jù)跨境流動(dòng)規(guī)制的三種例外選擇適用》，《政法論壇》，2021年第5期等。在數(shù)據(jù)跨境流動(dòng)背景下探討國內(nèi)法對(duì)國際法銜接的研究有：陳兵、馬賢茹：《系統(tǒng)觀念下數(shù)據(jù)跨境流動(dòng)的治理困境與法治應(yīng)對(duì)》，《安徽大學(xué)學(xué)報(bào)》（哲學(xué)社會(huì)科學(xué)版），2023年第2期；梅傲、李淮俊：《論lt;數(shù)據(jù)出境安全評(píng)估辦法gt;與DEPA中數(shù)據(jù)跨境流動(dòng)規(guī)則的銜接》，《上海對(duì)外經(jīng)貿(mào)大學(xué)學(xué)報(bào)》，2023年第2期；何波：《中國參與數(shù)據(jù)跨境流動(dòng)國際規(guī)則的挑戰(zhàn)與因應(yīng)》，《行政法學(xué)研究》，2022年第4期；趙海樂：《論我國數(shù)據(jù)本地化措施與FTA締約的協(xié)調(diào)》，《國際經(jīng)濟(jì)法學(xué)刊》，2022年第2期等。也有研究在單一的國內(nèi)法角度對(duì)數(shù)據(jù)出境制度進(jìn)行討論。相關(guān)研究包括：蔡宇姬：《數(shù)據(jù)出境的界定及監(jiān)管制度》，《中國政法大學(xué)學(xué)報(bào)》，2023年第3期；丁曉東：《數(shù)據(jù)跨境流動(dòng)的法理反思與制度重構(gòu)——兼評(píng)lt;數(shù)據(jù)出境安全評(píng)估辦法gt;》，《行政法學(xué)研究》，2023年第1期；金晶：《作為個(gè)人信息跨境傳輸監(jiān)管工具的標(biāo)準(zhǔn)合同條款》，《法學(xué)研究》，2022年第5期；徐玉梅、王欣宇：《我國重要數(shù)據(jù)安全法律規(guī)制的現(xiàn)實(shí)路徑——基于國家安全視角》，《學(xué)術(shù)交流》，2022年第5期；趙精武：《數(shù)據(jù)跨境傳輸中標(biāo)準(zhǔn)化合同的構(gòu)建基礎(chǔ)與監(jiān)管轉(zhuǎn)型》，《法律科學(xué)》（西北政法大學(xué)學(xué)報(bào)），2022年第2期等。不過，這些研究均較少論及涉外法治聯(lián)結(jié)國內(nèi)法治與國際法治的獨(dú)特重要性。我國的數(shù)據(jù)安全出境框架初成，但作為涉外法治建設(shè)重要內(nèi)容的個(gè)人信息出境制度尚待完善。在百年未有之大變局下，個(gè)人信息出境規(guī)制呈現(xiàn)出國內(nèi)法優(yōu)先、國際法有限的狀態(tài)。因此，考察研究各國國內(nèi)法規(guī)制個(gè)人信息出境的模式和特點(diǎn)，不僅有利于健全我國的個(gè)人信息出境監(jiān)管體系、強(qiáng)化涉外數(shù)字法治建設(shè)，還有助于我國以國內(nèi)法治經(jīng)驗(yàn)推動(dòng)相關(guān)國際規(guī)則的發(fā)展。

一、國內(nèi)法規(guī)制個(gè)人信息出境的生成邏輯

（一）國家規(guī)制個(gè)人信息出境的內(nèi)在動(dòng)因

第一，維護(hù)國家數(shù)據(jù)主權(quán)。在數(shù)字經(jīng)濟(jì)全球化的背景下，科技發(fā)展對(duì)國家主權(quán)權(quán)力提出了與時(shí)俱進(jìn)的要求，數(shù)據(jù)主權(quán)是傳統(tǒng)國家主權(quán)在數(shù)據(jù)領(lǐng)域的拓展。趙駿：《“一帶一路”數(shù)字經(jīng)濟(jì)的發(fā)展圖景與法治路徑》，《中國法律評(píng)論》，2021年第2期。首先，任何國家都有權(quán)力在其領(lǐng)土范圍內(nèi)對(duì)與數(shù)據(jù)有關(guān)的人和事進(jìn)行管轄，包括制定法律和采取措施。數(shù)據(jù)本身兼具無形資產(chǎn)和物理資產(chǎn)兩大屬性，前者依靠數(shù)據(jù)所有權(quán)人連接著國家管轄權(quán)，后者為國家管轄權(quán)提供了法理基礎(chǔ)，個(gè)人信息傳輸活動(dòng)至少受到數(shù)據(jù)出境國的管轄，數(shù)據(jù)出境國制定的個(gè)人信息出境的法律和措施均具備主權(quán)屬性。其次，國際社會(huì)尚未且短時(shí)間內(nèi)難以達(dá)成規(guī)制個(gè)人信息跨境的規(guī)范共識(shí)，國家優(yōu)選以國內(nèi)法維護(hù)自身數(shù)據(jù)主權(quán)。在多邊層面，尚沒有專門針對(duì)個(gè)人信息跨境規(guī)制的多邊公約。個(gè)人信息跨境保護(hù)的相關(guān)規(guī)則以“碎片”的形式存在于多邊貿(mào)易體制內(nèi)，如世界貿(mào)易組織《服務(wù)貿(mào)易總協(xié)定》第14條要求“保護(hù)與個(gè)人信息處理和傳播有關(guān)的個(gè)人隱私及保護(hù)個(gè)人記錄和賬戶的機(jī)密性”，但缺乏對(duì)國家數(shù)據(jù)主權(quán)的考慮。在區(qū)域?qū)用妫瑓^(qū)域自由貿(mào)易協(xié)定的電子商務(wù)章節(jié)與數(shù)字經(jīng)濟(jì)協(xié)定以不同方式要求成員方對(duì)跨境個(gè)人信息予以法律保護(hù)，數(shù)據(jù)主權(quán)規(guī)范的“碎片化”加劇。《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP）要求締約方“在可能的范圍內(nèi)”保護(hù)跨境傳輸?shù)膫€(gè)人信息，給予締約方充足的數(shù)據(jù)主權(quán)空間。Regional Comprehensive Economic Partnership， Article 12.8.《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership， CPTPP）要求締約方在保護(hù)電子商務(wù)用戶免受其管轄范圍內(nèi)發(fā)生的個(gè)人信息保護(hù)侵害方面努力采取“非歧視做法”，Comprehensive and Progressive Agreement for Trans-Pacific Partnership， Article 14.8.《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Digital Economy Partnership Agreement， DEPA）則要求締約方“努力承認(rèn)其他締約方的數(shù)據(jù)保護(hù)可信任標(biāo)志”，Digital Economy Partnership Agreement， Article 4.2.二者對(duì)締約方數(shù)據(jù)主權(quán)作出了進(jìn)一步的限制，但又存在差別。在雙邊層面，數(shù)據(jù)主權(quán)的博弈嚴(yán)峻，彭岳：《數(shù)據(jù)本地化措施的貿(mào)易規(guī)制問題研究》，《環(huán)球法律評(píng)論》，2018年第2期。逐漸顯現(xiàn)出個(gè)人信息跨境監(jiān)管的“逐頂競(jìng)爭”之勢(shì)。金晶：《歐盟的規(guī)則，全球的標(biāo)準(zhǔn)？ 數(shù)據(jù)跨境流動(dòng)監(jiān)管的“逐頂競(jìng)爭”》，《中外法學(xué)》，2023年第1期。美國與歐盟的個(gè)人信息跨境合作歷經(jīng)波折，先后達(dá)成《安全港框架協(xié)議》、《隱私盾框架協(xié)議》與《歐盟-美國數(shù)據(jù)隱私框架》，最終以美國限制情報(bào)部門訪問個(gè)人數(shù)據(jù)、設(shè)立數(shù)據(jù)保護(hù)審查法庭等制度性改變對(duì)歐盟作出了讓步。European Commission， Questions amp; Answers： EU-US Data Privacy Framework，Jul. 10th 2023， https：//ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752.

第二，促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展。首先，數(shù)字化的個(gè)人信息具有重要經(jīng)濟(jì)價(jià)值。個(gè)人數(shù)據(jù)的跨境流動(dòng)及商業(yè)利用是數(shù)字經(jīng)濟(jì)全球化發(fā)展的核心，“數(shù)據(jù)跨境流動(dòng)”最早出現(xiàn)在經(jīng)濟(jì)合作與發(fā)展組織（OECD）1980年《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》第六章，當(dāng)時(shí)就僅適用于個(gè)人數(shù)據(jù)。United Nations Conference on Trade and Development， “Digital Economy Report 2021： Cross-border Data Flows and Development： For Whom the Data Flow”， Sep. 29th 2021， p.51. 隨著數(shù)字經(jīng)濟(jì)的發(fā)展，個(gè)人信息的內(nèi)涵逐漸豐富。我國《個(gè)人信息保護(hù)法》第8條規(guī)定個(gè)人信息為“以電子或者其他方式記錄的與已識(shí)別或可識(shí)別的自然人有關(guān)的各種信息”，比《民法典》《網(wǎng)絡(luò)安全法》中的個(gè)人信息概念更為寬泛。丁曉東：《論個(gè)人信息概念的不確定性及其法律應(yīng)對(duì)》，《比較法研究》，2022年第5期。數(shù)字化的個(gè)人信息易收集，能快速反映出一國人民社會(huì)生活的現(xiàn)象及規(guī)律，可以為平臺(tái)經(jīng)濟(jì)提供商業(yè)判斷依據(jù)，具有巨大的財(cái)產(chǎn)價(jià)值與經(jīng)濟(jì)利益。其次，合理利用跨境個(gè)人信息的經(jīng)濟(jì)價(jià)值有助于推動(dòng)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。個(gè)人信息涉及社會(huì)公共利益，如果因數(shù)據(jù)出境使某些謀取不正當(dāng)競(jìng)爭優(yōu)勢(shì)的境外企業(yè)大規(guī)模濫用個(gè)人信息，將破壞市場(chǎng)的公平競(jìng)爭機(jī)制，導(dǎo)致市場(chǎng)壟斷或扭曲，造成社會(huì)公共利益危機(jī)，甚至威脅國家利益。通過國內(nèi)法規(guī)制個(gè)人信息的出境活動(dòng)，能更好地保障國家數(shù)字市場(chǎng)的公平公正、激發(fā)數(shù)據(jù)產(chǎn)業(yè)的活力。

第三，保障個(gè)人信息安全。首先，國家負(fù)有保障個(gè)人信息跨境安全的義務(wù)。國家治理應(yīng)然地包含對(duì)個(gè)人信息活動(dòng)的規(guī)制和調(diào)整。吳偉光：《大數(shù)據(jù)技術(shù)下個(gè)人數(shù)據(jù)信息私權(quán)保護(hù)論批判》，《政治與法律》，2016年第7期。國家負(fù)有保護(hù)公民人格尊嚴(yán)和隱私、安寧的憲法義務(wù)，包括消極義務(wù)和積極義務(wù)。王錫鋅：《個(gè)人信息國家保護(hù)義務(wù)及展開》，《中國法學(xué)》，2021年第1期。在數(shù)字時(shí)代，國家不僅僅是超越利益關(guān)系的治理者，也是最大的個(gè)人信息收集、處理、儲(chǔ)存和利用者。張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，《中國法學(xué)》，2015年第3期。國家需要履行消極義務(wù)，保障個(gè)人信息不受國家的不當(dāng)干預(yù)。同時(shí)，個(gè)人信息關(guān)乎個(gè)人隱私利益，個(gè)人信息權(quán)益與隱私權(quán)的區(qū)分暫無定論，至少二者聯(lián)系密切，但也存在區(qū)別。我國法律中的隱私權(quán)與美國法和德國法均不同。個(gè)人信息權(quán)益保護(hù)與隱私權(quán)的客體或有重疊但絕非重合。以隱私為標(biāo)準(zhǔn)，至少個(gè)人信息可以分為涉及個(gè)人隱私的個(gè)人信息（隱私信息或私密信息）和不涉及隱私的個(gè)人信息（其他個(gè)人信息）。程嘯：《個(gè)人信息保護(hù)法理解與適用》，中國法制出版社2021年版，第38-39頁。其在跨境傳輸時(shí)面臨著人格利益與財(cái)產(chǎn)利益受損的雙重風(fēng)險(xiǎn)。由于國家對(duì)出境后個(gè)人信息的管控能力有限，金晶：《作為個(gè)人信息跨境傳輸監(jiān)管工具的標(biāo)準(zhǔn)合同條款》，《法學(xué)研究》，2022年第5期。國家必須履行積極義務(wù)，創(chuàng)造和維護(hù)有利于保護(hù)個(gè)人信息的出境前規(guī)制，預(yù)先防范個(gè)人信息跨境風(fēng)險(xiǎn)。其次，各國對(duì)個(gè)人信息保護(hù)的標(biāo)準(zhǔn)不同，數(shù)據(jù)出境國傾向于依靠出境監(jiān)管實(shí)現(xiàn)跨境個(gè)人信息的境內(nèi)外一致保護(hù)。目前，各國在個(gè)人信息保護(hù)上還存在有無標(biāo)準(zhǔn)可依的鴻溝。經(jīng)聯(lián)合國貿(mào)易和發(fā)展會(huì)議統(tǒng)計(jì)，在194個(gè)國家中，有80%的國家已經(jīng)或正在制定數(shù)據(jù)保護(hù)及隱私立法，20%的國家沒有相關(guān)數(shù)據(jù)立法，最不發(fā)達(dá)國家中僅有57%已經(jīng)完成或正在進(jìn)行相關(guān)立法，United Nations Conference on Trade and Development， Data Protection and Privacy Legislation Worldwide， Dec. 14th 2021， https：//unctad.org/page/data-protection-and-privacy-legislation-worldwide.缺乏數(shù)字技術(shù)及相應(yīng)規(guī)則使得數(shù)字鴻溝嚴(yán)重。黃惠康：《中國特色大國外交與國際法》，法律出版社2019年版，第366-368頁。在已對(duì)個(gè)人信息及隱私實(shí)施法律保護(hù)的國家中，保護(hù)標(biāo)準(zhǔn)又存在差異與競(jìng)爭。美國對(duì)個(gè)人信息的保護(hù)承襲了憲法中的隱私權(quán)，但聯(lián)邦與州之間對(duì)隱私權(quán)的界定尚存在爭議。歐盟則以基本人權(quán)來詮釋和保護(hù)個(gè)人數(shù)據(jù)，《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation， GDPR）的序言確立了自然人的個(gè)人數(shù)據(jù)基本權(quán)利。然而歐美在個(gè)人信息保護(hù)權(quán)利的具體適用上卻因價(jià)值分歧而頻繁互動(dòng)競(jìng)爭。

（二）國家規(guī)制個(gè)人信息出境的表現(xiàn)方式

國家規(guī)制個(gè)人信息出境的方式表現(xiàn)在限制措施上，按照措施的特點(diǎn)主要可以劃分為四類：本地化限制、評(píng)估限制、認(rèn)證限制與標(biāo)準(zhǔn)合同限制。學(xué)者吳玄“依據(jù)數(shù)據(jù)跨境流動(dòng)限制程度的強(qiáng)弱”將“國家的管理模式”劃分為“個(gè)人信息出境評(píng)估模式”“弱數(shù)據(jù)本地化模式”和“強(qiáng)數(shù)據(jù)本地化模式”。本文則依據(jù)國家數(shù)據(jù)跨境限制措施的特點(diǎn)進(jìn)行分類，重點(diǎn)討論本地化限制、評(píng)估限制、認(rèn)證限制與標(biāo)準(zhǔn)合同限制四種方式。吳玄：《數(shù)據(jù)主權(quán)視野下個(gè)人信息跨境規(guī)則的建構(gòu)》，《清華法學(xué)》，2021年第3期。此外，歐盟的約束性企業(yè)規(guī)則（Binding Corporate Rules， BCR）、European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（b）.截止到2024年1月3日，獲得BCR批準(zhǔn)的企業(yè)（不區(qū)分?jǐn)?shù)據(jù)控制者和數(shù)據(jù)處理者）僅50家，See European Data Protection Board， Approved Binding Corporate Rules， https：//edpb.europa.eu/our-work-tools/accountability-tools/bcr_en.行為準(zhǔn)則、European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（e）.美國的行業(yè)隱私指引等限制措施在國際社會(huì)并未被廣泛適用，在此不作討論。

第一，本地化限制。數(shù)據(jù)本地化措施內(nèi)涵豐富，至少包含計(jì)算設(shè)施本地設(shè)置、數(shù)據(jù)本地存儲(chǔ)或處理和數(shù)據(jù)跨境禁止等要求。范嬰：《數(shù)據(jù)本地化的內(nèi)涵分化與模式選擇》，《情報(bào)雜志》，2022年第6期。本地化限制具有經(jīng)濟(jì)部門區(qū)別，多數(shù)國家會(huì)對(duì)與國民經(jīng)濟(jì)、社會(huì)公共利益和國家安全相關(guān)的關(guān)鍵領(lǐng)域個(gè)人信息設(shè)置本地化限制，以防止造成國家安全威脅。俄羅斯2022年通過第266-FZ號(hào)聯(lián)邦法律修訂《個(gè)人數(shù)據(jù)保護(hù)法》，明確增加基于國家安全、國家國防、經(jīng)濟(jì)和金融利益保護(hù)以及俄羅斯聯(lián)邦主權(quán)、安全與領(lǐng)土完整等可以禁止個(gè)人數(shù)據(jù)出境的規(guī)定。Omer Imran Malik， What Changes Do Russia's Latest Data Privacy Amendment Bring？Aug. 25th 2022， https：//securiti.ai/blog/russia-latest-data-privacy-amendment/.美國2018年《外國投資風(fēng)險(xiǎn)審查現(xiàn)代化法案》規(guī)定，涉及敏感個(gè)人數(shù)據(jù)的美國企業(yè)的任何其他投資都要受到美國外商投資委員會(huì)的審查。U.S. Department of the Treasury， Foreign Investment Risk Review Modernization Act of 2018， Section 1703 （a） （4） （D）.

第二，評(píng)估限制。對(duì)個(gè)人數(shù)據(jù)設(shè)定評(píng)估限制的目的是為了確保個(gè)人數(shù)據(jù)在出境后獲得同等水平保護(hù)。歐盟GDPR規(guī)定個(gè)人數(shù)據(jù)接收方應(yīng)來自獲得歐盟委員會(huì)充分性認(rèn)定的第三國，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 45（1），本文簡稱“第三國、第三國一定區(qū)域或第三國內(nèi)的一個(gè)或多個(gè)特定領(lǐng)域”為“第三國”。如何解釋“充分性認(rèn)定”的因素只取決于歐盟單方，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679，" Article 45（2），歐盟委員會(huì)認(rèn)定“充分性”時(shí)會(huì)考慮“法治”“尊重人權(quán)與基本自由”“相關(guān)一般立法與部門立法（涉及公共安全、國防、國家安全、刑法以及公務(wù)機(jī)關(guān)對(duì)個(gè)人數(shù)據(jù)的訪問等）”等。目前通過歐盟評(píng)估的國家和地區(qū)較為有限。European Commission， Adequacy decisions： How the EU determines if a non-EU country has an adequate level of data protection， https：//commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.我國對(duì)個(gè)人信息出境有特定主體和特殊數(shù)量要求，即關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者需要通過安全評(píng)估，《網(wǎng)絡(luò)安全法》第37條；《個(gè)人信息保護(hù)法》第38條第1款、第40條。通過安全評(píng)估后，個(gè)人信息可以出境。與歐盟不同的是，我國安全評(píng)估的對(duì)象是境內(nèi)個(gè)人信息處理者，間接完成對(duì)境外接收方的評(píng)估。與歐盟相同的是，我國也要求境外接收方達(dá)到同等的個(gè)人信息保護(hù)水平或標(biāo)準(zhǔn)，《個(gè)人信息保護(hù)法》第38條。該同等保護(hù)標(biāo)準(zhǔn)也被新加坡等國家所采用。Parliament of Singapore， Personal Data Protection Act 2012， 2020 Revised Edition， Article 26.

第三，認(rèn)證限制。個(gè)人信息出境的認(rèn)證限制由第三方特定認(rèn)證機(jī)構(gòu)實(shí)施。GDPR明確規(guī)定，第三國若未獲得充分性認(rèn)定，數(shù)據(jù)處理者或控制者也可以通過歐盟個(gè)人信息保護(hù)認(rèn)證且作出有約束力的承諾來實(shí)現(xiàn)個(gè)人信息的出境。European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Articles 42 and 46（2）（f）.歐盟個(gè)人信息保護(hù)認(rèn)證包含國家認(rèn)證標(biāo)準(zhǔn)和歐洲數(shù)據(jù)保護(hù)印章兩類，數(shù)據(jù)處理者與控制者可以將認(rèn)證作為遵守GDPR的證明和實(shí)施跨境傳輸?shù)囊罁?jù)。我國個(gè)人信息保護(hù)認(rèn)證機(jī)制適用的前提是屬于非經(jīng)安全評(píng)估可出境的個(gè)人信息的情形。《個(gè)人信息保護(hù)法》第38條第2款。無論歐盟還是我國，認(rèn)證限制都輔以具有法律約束力且可執(zhí)行的承諾，以便提供合同救濟(jì)。美國的隱私認(rèn)證機(jī)制取決于企業(yè)自愿，以公司化模式針對(duì)全球不同數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)提供“點(diǎn)對(duì)點(diǎn)”認(rèn)證，比如針對(duì)亞太經(jīng)合組織跨境隱私規(guī)則（CBPRs）、GDPR等均有對(duì)應(yīng)認(rèn)證。新加坡的認(rèn)證限制表現(xiàn)為個(gè)人信息接收者需持有新加坡法律授予或承認(rèn)的認(rèn)證。Personal Data Protection Commission of Singapore， Personal Data Protection Regulations 2021， Article 12.

第四，標(biāo)準(zhǔn)合同限制。該模式指的是經(jīng)簽訂標(biāo)準(zhǔn)合同（條款）即可出境個(gè)人信息。歐盟標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款（Standard Data Protection Clauses， 與標(biāo)準(zhǔn)合同條款Standard Contractual Clauses指代相同）是典型代表，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46（2）（d）. 金晶：《個(gè)人數(shù)據(jù)跨境傳輸?shù)臍W盟標(biāo)準(zhǔn)——規(guī)則建構(gòu)、司法推動(dòng)與范式擴(kuò)張》，《歐洲研究》，2021年第4期。該模式將私主體的意思自治與政府的強(qiáng)制監(jiān)管結(jié)合適用。

二、專門立法規(guī)制范式下我國個(gè)人信息出境機(jī)制的檢視

（一）國家專門立法規(guī)制

為應(yīng)對(duì)數(shù)字技術(shù)應(yīng)用對(duì)個(gè)人信息保護(hù)的挑戰(zhàn)，部分國家嘗試建立全面系統(tǒng)的個(gè)人信息規(guī)制體系，綜合保障個(gè)人信息權(quán)益、社會(huì)公共利益和國家安全利益。1970年德國黑森州制定了《數(shù)據(jù)保護(hù)法》，三年后《瑞典數(shù)據(jù)法》問世，個(gè)人數(shù)據(jù)保護(hù)的專門立法陸續(xù)出現(xiàn)。梅夏英：《在分享和控制之間 數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，《中外法學(xué)》，2019年第4期。截至2021年12月14日，全球已有137個(gè)國家頒布了數(shù)據(jù)保護(hù)法、個(gè)人信息保護(hù)法或數(shù)據(jù)隱私保護(hù)法。United Conference on Trade and Development， Data Protection and Privacy Legislation Worldwide， Dec. 14th 2021， https：//unctad.org/page/data-protection-and-privacy-legislation-worldwide.在專門立法保護(hù)個(gè)人信息的國家中，個(gè)人信息出境規(guī)制被一脈相承地寫入，如《英國數(shù)據(jù)保護(hù)法》第17條和第18條、Parliament of the United Kingdom， Data Protection Act 2018， Article 17， Article 18. 《日本個(gè)人信息保護(hù)法》第28條、Ministry of Justice of Japan， Act on the Protection of Personal Information， Act No. 37 of 2021， Article 28. 《韓國個(gè)人信息保護(hù)法》第17條和第18條、Personal Information Protection Commission， Personal Information Protection Act， Act No.19234， Sep. 15th 2023， Article 17， Article 18.《印度個(gè)人數(shù)據(jù)保護(hù)法》第四章第16條和第17條、Indian Parliament， The Digital Personal Data Protection Bill （2023）， Bill No. 113 of 2023， Chapter 4.《中國個(gè)人信息保護(hù)法》第三章第38條至第43條等。國家專門立法模式能實(shí)現(xiàn)國家對(duì)個(gè)人信息的全面規(guī)制，在個(gè)人信息保護(hù)法等上位法之外，還可以借下位法細(xì)化補(bǔ)充，保障個(gè)人信息的綜合安全利益，有效應(yīng)對(duì)數(shù)據(jù)時(shí)代的域內(nèi)和境外風(fēng)險(xiǎn)。

國家專門立法規(guī)制模式的顯著特征是設(shè)立專門監(jiān)管機(jī)構(gòu)，尋求公私共治。在專門頒布個(gè)人信息保護(hù)法的多數(shù)國家中，個(gè)人信息出境的具體規(guī)則聚焦于數(shù)據(jù)（個(gè)人信息）處理者，一并規(guī)定政府權(quán)力機(jī)構(gòu)與私人主體在出境個(gè)人信息時(shí)的義務(wù)，義務(wù)區(qū)別主要體現(xiàn)在公私領(lǐng)域的出境限制不同。《韓國個(gè)人信息保護(hù)法》第15條至第18條規(guī)定，個(gè)人信息出境前需取得信息主體的同意，且向第三方提供的目的限制在收集個(gè)人信息的目的內(nèi)，公共機(jī)關(guān)則可在不侵犯信息實(shí)體或第三方利益的前提下因行使政府職能而直接將個(gè)人信息提供給第三方，如履行國際條約、執(zhí)行法院審判等。公私主體在個(gè)人信息保護(hù)上的區(qū)別使得部門的職責(zé)出現(xiàn)分化，以領(lǐng)域?yàn)榻绲姆稚⑹奖O(jiān)督難以實(shí)現(xiàn)個(gè)人信息監(jiān)管的協(xié)調(diào)有序，容易出現(xiàn)監(jiān)管空白和多頭監(jiān)管。因此，在已有專門立法區(qū)別規(guī)制公私主體的基礎(chǔ)上，國家通過設(shè)立專門的個(gè)人信息保護(hù)機(jī)構(gòu)進(jìn)行統(tǒng)一監(jiān)管執(zhí)法，以求整合公私部門職責(zé)，形成監(jiān)管合力。《日本個(gè)人信息保護(hù)法》第六章、《韓國個(gè)人信息保護(hù)法》第7條和第8條詳細(xì)規(guī)定了個(gè)人信息保護(hù)委員會(huì)及其職能，對(duì)公私主體作出統(tǒng)一規(guī)范，《新加坡個(gè)人數(shù)據(jù)保護(hù)法》第二章確認(rèn)了個(gè)人數(shù)據(jù)保護(hù)委員會(huì)的職能以及其與其他監(jiān)管部門之間的關(guān)系。Parliament of Singapore， Personal Data Protection Act 2012， 2020 Revised Edition， Part 2.相較而言，韓國個(gè)人信息保護(hù)委員會(huì)的監(jiān)管權(quán)更為集中，作為中央行政機(jī)關(guān)，其是各政府部門及相關(guān)轄域所有個(gè)人信息的監(jiān)管部門。

（二）我國個(gè)人信息出境的雙軌監(jiān)管機(jī)制

我國也是采取專門立法規(guī)制個(gè)人信息出境的國家。《個(gè)人信息保護(hù)法》第三章專門規(guī)定了個(gè)人信息出境的原則與依據(jù)。個(gè)人信息處理者只能因“業(yè)務(wù)等需要”出境個(gè)人信息，且境外接收方處理活動(dòng)應(yīng)達(dá)到境內(nèi)個(gè)人信息保護(hù)標(biāo)準(zhǔn)，另外，其還必須取得個(gè)人單獨(dú)同意，這是個(gè)人信息出境的必要性條件。張凌寒：《個(gè)人信息跨境流動(dòng)制度的三重維度》，《中國法律評(píng)論》，2021年第5期。在滿足個(gè)人信息出境的必要性條件后，數(shù)據(jù)處理者可以出境個(gè)人信息，但出境行為仍將受到監(jiān)管。我國數(shù)據(jù)出境的綜合安全利益強(qiáng)調(diào)國家安全，且對(duì)個(gè)人權(quán)利和社會(huì)公共利益均有吸納。許可：《自由與安全：數(shù)據(jù)跨境流動(dòng)的中國方案》，《環(huán)球法律評(píng)論》，2021年第1期。個(gè)人信息出境的突出規(guī)制目標(biāo)是實(shí)現(xiàn)個(gè)人信息的同等保護(hù)，即在境內(nèi)與境外對(duì)我國個(gè)人信息予以一致性保護(hù)。我國的單邊立法形成了以《個(gè)人信息保護(hù)法》為法律依據(jù)，《數(shù)據(jù)出境安全評(píng)估辦法》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》（以下簡稱“《認(rèn)證規(guī)則》”）《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V1.0》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》（以下簡稱“《安全認(rèn)證規(guī)范V2.0》”）等配套規(guī)定為實(shí)踐準(zhǔn)則的個(gè)人信息出境監(jiān)管框架，截止到2024年1月3日，《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V1.0》與《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》都是現(xiàn)行有效的部門工作文件，因后者規(guī)定更為詳細(xì)，本文主要援用后者相關(guān)規(guī)則。具體表現(xiàn)為“硬性”和“軟性”雙軌并行監(jiān)管機(jī)制，如圖1所示：

第一，“硬性”監(jiān)管為個(gè)人信息出境安全評(píng)估，監(jiān)管力度較大、監(jiān)管對(duì)象特定。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和“數(shù)量型”數(shù)據(jù)處理者在境內(nèi)收集和產(chǎn)生的個(gè)人信息至關(guān)重要，一旦被非法利用，將威脅國家安全。首先，關(guān)鍵信息基礎(chǔ)設(shè)施指公共通信和信息服務(wù)、能源、交通等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。“關(guān)鍵信息基礎(chǔ)設(shè)施”首次出現(xiàn)在《網(wǎng)絡(luò)安全法》第31條，但沒有具體定義。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第2條對(duì)其作出了詳細(xì)的定義。這些設(shè)施運(yùn)營者在境內(nèi)收集和產(chǎn)生的個(gè)人信息能夠直接反映出一國關(guān)鍵信息基礎(chǔ)設(shè)施的狀況。其次，“數(shù)量型”數(shù)據(jù)處理者，即處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的數(shù)據(jù)處理者，包括三類：“處理100萬人以上個(gè)人信息”“自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息”“自上年1月1日起累計(jì)向境外提供1萬人敏感個(gè)人信息”。《數(shù)據(jù)出境安全評(píng)估辦法》第4條。“數(shù)量型”數(shù)據(jù)處理者處理的個(gè)人信息數(shù)量龐大，一旦在出境后被他國或組織等非法利用，不僅會(huì)侵害個(gè)人合法權(quán)益，還會(huì)威脅社會(huì)公共利益甚至是國家安全。其中，要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和“處理100萬人以上個(gè)人信息”的數(shù)據(jù)處理者進(jìn)行安全評(píng)估不僅是為了保障個(gè)人信息出境安全，丁曉東：《數(shù)據(jù)跨境流動(dòng)的法理反思與制度重構(gòu)——兼評(píng)lt;數(shù)據(jù)出境安全評(píng)估辦法gt;》，《行政法學(xué)研究》，2023年第1期。也是對(duì)個(gè)人信息存儲(chǔ)設(shè)施安全需求的反映。個(gè)人信息出境安全評(píng)估監(jiān)管的“硬度”還體現(xiàn)在逐級(jí)遞進(jìn)的監(jiān)管模式上，個(gè)人信息處理者應(yīng)經(jīng)所在地的省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)，只有在國家網(wǎng)信部門受理后，才能組織國務(wù)院有關(guān)部門、省級(jí)網(wǎng)信部門、專業(yè)機(jī)構(gòu)等進(jìn)行評(píng)估。

第二，“軟性”監(jiān)管表現(xiàn)為兩種可擇性個(gè)人信息出境方式：一是“經(jīng)專業(yè)機(jī)構(gòu)個(gè)人信息保護(hù)認(rèn)證”，二是“與境外接收方訂立標(biāo)準(zhǔn)合同”。個(gè)人信息保護(hù)認(rèn)證是指專業(yè)機(jī)構(gòu)證明個(gè)人信息處理者的個(gè)人信息保護(hù)和安全管理體系符合相關(guān)法律規(guī)范、技術(shù)標(biāo)準(zhǔn)與行業(yè)準(zhǔn)則要求的評(píng)定活動(dòng)，該定義借鑒了劉權(quán)對(duì)數(shù)據(jù)安全認(rèn)證的定義。劉權(quán)：《數(shù)據(jù)安全認(rèn)證：個(gè)人信息保護(hù)的第三方規(guī)制》，《法學(xué)評(píng)論》，2022年第1期。評(píng)定合格者可以出境個(gè)人信息。個(gè)人信息保護(hù)認(rèn)證意在克服市場(chǎng)和政府的“雙重失靈”，屬于區(qū)別于政府規(guī)制與自我規(guī)制的第三方規(guī)制。劉權(quán)：《數(shù)據(jù)安全認(rèn)證：個(gè)人信息保護(hù)的第三方規(guī)制》，《法學(xué)評(píng)論》，2022年第1期。《認(rèn)證規(guī)則》統(tǒng)籌規(guī)范了跨境情況下的個(gè)人信息保護(hù)認(rèn)證（《個(gè)人信息保護(hù)法》第38條第1款第2項(xiàng)）和一般的個(gè)人信息保護(hù)認(rèn)證（《個(gè)人信息保護(hù)法》第62條第1款第4項(xiàng)）。

標(biāo)準(zhǔn)合同指?jìng)€(gè)人信息處理者在出境個(gè)人信息前，需要“按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同”。標(biāo)準(zhǔn)合同采用合同形式，但載有國家網(wǎng)信部門的規(guī)定，個(gè)人信息處理者與境外接收方的意思自治僅限是否采用，而無法變更。標(biāo)準(zhǔn)合同機(jī)制將公法層面的數(shù)據(jù)安全保護(hù)義務(wù)納入到私法層面的合同義務(wù)中，強(qiáng)制要求個(gè)人信息處理者進(jìn)行自我規(guī)制，發(fā)揮著個(gè)人信息出境的監(jiān)管功能。《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》規(guī)定，除須進(jìn)行安全評(píng)估的4種情形以外，且不得以“數(shù)量拆分”等手段規(guī)避安全評(píng)估的，可以經(jīng)標(biāo)準(zhǔn)合同出境個(gè)人信息。《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》第4條，4種情形包括：（1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者；（2）處理個(gè)人信息不滿100萬人的；（3）自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的；（4）自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》將個(gè)人信息出境標(biāo)準(zhǔn)合同作為附件公布，明確了個(gè)人信息處理者和境外接收方的基本信息和權(quán)利義務(wù)、個(gè)人信息出境的目的范圍等基本事項(xiàng)，同時(shí)對(duì)境外接收方所在國家或地區(qū)的個(gè)人信息保護(hù)政策法規(guī)、保障個(gè)人信息主體權(quán)利的途徑進(jìn)行了預(yù)先規(guī)定，詳見《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》所附件——個(gè)人信息出境標(biāo)準(zhǔn)合同。在《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》中，對(duì)于標(biāo)準(zhǔn)合同的主要內(nèi)容不再依照《個(gè)人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》第6條的規(guī)定作出列舉，而是以完整合同結(jié)構(gòu)的合同范本對(duì)外公開以供個(gè)人信息處理者使用，一定程度上強(qiáng)化了個(gè)人信息標(biāo)準(zhǔn)合同出境的政府預(yù)先監(jiān)管。監(jiān)管功能得以凸顯。為提高個(gè)人信息經(jīng)標(biāo)準(zhǔn)合同出境的效率和可控程度，在標(biāo)準(zhǔn)合同生效后個(gè)人信息即可出境，但在生效之日起的10個(gè)工作日內(nèi)需要向所在地省級(jí)網(wǎng)信部門備案。《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》第7條。

（三）個(gè)人信息出境雙軌監(jiān)管機(jī)制的困境

第一，硬軟兩軌監(jiān)管內(nèi)容交疊，企業(yè)合規(guī)成本增加，可能阻礙數(shù)據(jù)產(chǎn)業(yè)發(fā)展。首先，個(gè)人信息出境安全評(píng)估這一“硬性”監(jiān)管作為基礎(chǔ)性制度的適用范圍廣泛，能夠覆蓋多數(shù)企業(yè)出境個(gè)人信息的情況，采用保護(hù)認(rèn)證與標(biāo)準(zhǔn)合同出境個(gè)人信息的場(chǎng)景被擠壓。趙精武：《論數(shù)據(jù)出境評(píng)估、合同與認(rèn)證規(guī)則的體系化》，《行政法學(xué)研究》，2023年第1期。個(gè)人信息安全評(píng)估內(nèi)容不只關(guān)注國家層面的宏觀安全，還將個(gè)人信息處理者、境外接收方作為具體審查對(duì)象，這與個(gè)人信息保護(hù)認(rèn)證的要求重復(fù)。在這種情況下，個(gè)人信息處理者或?qū)⒅苯舆x擇監(jiān)管效果最強(qiáng)的安全評(píng)估以實(shí)現(xiàn)“一勞永逸”，因而可能出現(xiàn)“硬性”監(jiān)管泛化、“軟性”監(jiān)管閑置的情況。其次，因《個(gè)人信息保護(hù)法》等相關(guān)法律規(guī)范沒有明確兩軌監(jiān)管中三種方式的關(guān)系，很有可能出現(xiàn)多重規(guī)制的困境。以關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者為例，其在滿足安全評(píng)估要求后，如果還需要進(jìn)行個(gè)人信息認(rèn)證，多重監(jiān)管的重負(fù)會(huì)使得此類個(gè)人信息出境難度攀升。另外，“掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營者”須經(jīng)網(wǎng)絡(luò)安全審查后才能在國外上市，《網(wǎng)絡(luò)安全審查辦法》第7條。該類平臺(tái)運(yùn)營者若為上市而出境個(gè)人信息，同樣適用安全評(píng)估的要求，到底是“二選一”還是“全都要”，也不明確。張凌寒：《論數(shù)據(jù)出境安全評(píng)估的法律性質(zhì)與救濟(jì)路徑》，《行政法學(xué)研究》，2023年第1期。再次，在“軟性”監(jiān)管中，個(gè)人信息保護(hù)認(rèn)證與標(biāo)準(zhǔn)合同在具體適用對(duì)象上采取的標(biāo)準(zhǔn)不同，前者采取列舉式規(guī)定，如《安全認(rèn)證規(guī)范V2.0》第2條規(guī)定的兩項(xiàng)認(rèn)證情形：“跨國公司或者同一經(jīng)濟(jì)、事業(yè)實(shí)體下屬子公司或關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)”“《個(gè)人信息保護(hù)法》第3條第2款適用的個(gè)人信息處理活動(dòng)”，后者采取排除式規(guī)定，如《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》第4條的規(guī)定意味著標(biāo)準(zhǔn)合同可以在除安全評(píng)估外的所有情形適用。然而，符合保護(hù)認(rèn)證的情形也會(huì)符合除安全評(píng)估外的適用標(biāo)準(zhǔn)合同的情形，容易出現(xiàn)交叉監(jiān)管。個(gè)人信息保護(hù)認(rèn)證與標(biāo)準(zhǔn)合同在要求“個(gè)人信息保護(hù)影響評(píng)估”時(shí)也呈現(xiàn)出高重合度，《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范V2.0》第5.4條；《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》第5條。而這項(xiàng)評(píng)估的內(nèi)容又與“硬性”監(jiān)管安全評(píng)估中風(fēng)險(xiǎn)自評(píng)估的要求極度相似。三種個(gè)人信息出境監(jiān)管對(duì)個(gè)人信息保護(hù)影響（風(fēng)險(xiǎn)）的評(píng)估都提出了共同要求，但風(fēng)險(xiǎn)自評(píng)估制度還缺乏對(duì)評(píng)估程序、評(píng)估報(bào)告的形式與內(nèi)容、評(píng)估結(jié)果的真實(shí)性與準(zhǔn)確性等實(shí)質(zhì)性問題設(shè)定規(guī)則。為順利完成風(fēng)險(xiǎn)自評(píng)估，企業(yè)通常需要對(duì)以上內(nèi)容提前進(jìn)行詳盡考量，使合規(guī)成本加大。歐盟采用標(biāo)準(zhǔn)合同出境個(gè)人信息以未達(dá)到“充分性保護(hù)”為前提，而且“充分性保護(hù)”只關(guān)注第三國的立法和執(zhí)法概況，不涉及具體數(shù)據(jù)處理者出境個(gè)人信息的境外接收方的相關(guān)文件審查。我國數(shù)據(jù)出境安全評(píng)估的內(nèi)容較歐盟“充分性保護(hù)”更為寬泛，再輔之以“軟性”監(jiān)管可能會(huì)導(dǎo)致重復(fù)監(jiān)管。

第二，公私共治監(jiān)管尚未形成，國家監(jiān)管負(fù)擔(dān)重，私法自治效果有限。首先，個(gè)人信息出境監(jiān)管以國家管制為主。我國當(dāng)前的個(gè)人信息出境監(jiān)管重點(diǎn)為“安全”，體現(xiàn)為政府主導(dǎo)，只是強(qiáng)弱效果有所變化。個(gè)人信息安全評(píng)估由國家網(wǎng)信辦負(fù)責(zé)，個(gè)人信息保護(hù)認(rèn)證的認(rèn)證機(jī)構(gòu)須經(jīng)批準(zhǔn)且按照《認(rèn)證規(guī)則》經(jīng)過“技術(shù)驗(yàn)證”“現(xiàn)場(chǎng)審核”“獲證后監(jiān)督”來完成，標(biāo)準(zhǔn)合同中又納入了國家強(qiáng)制性的“格式條款”，不容合同雙方變更。個(gè)人信息出境監(jiān)管權(quán)雖多聚集在政府，但在內(nèi)部又呈現(xiàn)出混雜監(jiān)管的狀態(tài)。與日本、新加坡、韓國等國家不同，我國并未設(shè)置專門的個(gè)人信息監(jiān)管機(jī)構(gòu)來規(guī)制個(gè)人信息出境。國家網(wǎng)信部門負(fù)責(zé)數(shù)據(jù)出境的安全評(píng)估以及相應(yīng)的網(wǎng)絡(luò)安全審查，個(gè)人信息出境活動(dòng)只是其一內(nèi)容，也可能因職權(quán)分散而對(duì)個(gè)人信息出境的監(jiān)管不到位、不全面。其次，個(gè)人信息出境監(jiān)管中的私法規(guī)制空間不足。私法規(guī)制效果不佳至少有兩方面原因，一是政府單方監(jiān)管效力強(qiáng)、范圍廣。以數(shù)據(jù)出境安全評(píng)估為代表的政府單邊監(jiān)管措施已經(jīng)涵蓋了廣泛的個(gè)人信息處理者的出境情形，承擔(dān)個(gè)人信息出境合規(guī)評(píng)估的主要義務(wù)。在政府集中監(jiān)管個(gè)人信息出境的背景下，我國相關(guān)行業(yè)、企業(yè)主要為義務(wù)的接收者，行業(yè)自律與企業(yè)責(zé)任的討論尚不充分。二是行業(yè)自律以及企業(yè)自覺選用的監(jiān)管工具有限且效力受限。我國具有《網(wǎng)絡(luò)數(shù)據(jù)和用戶個(gè)人信息收集、使用自律公約》等行業(yè)自律規(guī)范，但諸規(guī)范不具有法律效力，也缺乏對(duì)未滿足自律規(guī)范行為的問責(zé)保障。目前的“軟性”監(jiān)管雖然可以自選，但監(jiān)管效果還未呈現(xiàn)。以歐盟對(duì)標(biāo)準(zhǔn)合同的域外實(shí)踐為例，其雖可以節(jié)省締約成本，但對(duì)個(gè)人信息的保護(hù)標(biāo)準(zhǔn)為強(qiáng)制性要求，個(gè)人信息處理者無法根據(jù)不同企業(yè)的需求作出個(gè)性化與靈活化的調(diào)整。Paul Voigt， Axel von dem Bussche， The EU General Data Protection Regulation （GDPR）： A Practical Guide， Switzerland： Springer， 2017， p. 122.

三、不同國內(nèi)法范式規(guī)制個(gè)人信息出境的考據(jù)

（一）聯(lián)盟統(tǒng)一立法規(guī)制

本文的“聯(lián)盟統(tǒng)一立法”僅指與數(shù)據(jù)保護(hù)有關(guān)的聯(lián)盟法律，不包含條約法律。歐盟與東盟的聯(lián)盟立法雖由超國家組織制定，但從適用方式與立法目的上看，其與為國際社會(huì)成員所普遍承認(rèn)的國際法不同。在個(gè)人信息出境方面，歐盟的統(tǒng)一立法為“硬法”，而東盟則為“軟法”。歐盟缺乏數(shù)字巨頭企業(yè)但具有廣闊的數(shù)字市場(chǎng)，為了實(shí)現(xiàn)個(gè)人數(shù)據(jù)的安全出境，統(tǒng)一發(fā)布了包含個(gè)人數(shù)據(jù)出境活動(dòng)規(guī)制的GDPR。GDPR屬于歐盟條例（Regulation），其一旦生效，成員國無需經(jīng)國內(nèi)立法批準(zhǔn)等程序便可直接適用并受其約束。其次，東盟的個(gè)人數(shù)據(jù)保護(hù)聯(lián)盟法律，考慮到成員國在文化、宗教、發(fā)展水平等諸方面的顯著差異，貫徹了《東盟憲章》所指的對(duì)“共同價(jià)值”的追求，Association of Southeast Asian Nations， The ASEAN Charter， Article 2（2）（l）.而非依賴法律約束力。東盟發(fā)布了多項(xiàng)涉及個(gè)人數(shù)據(jù)出境的框架，本質(zhì)上是不產(chǎn)生任何法律義務(wù)的“軟法”，甚至明確規(guī)定只構(gòu)成對(duì)成員國個(gè)人數(shù)據(jù)保護(hù)立法目的與宗旨的統(tǒng)一表達(dá)，如2016年的《東盟個(gè)人數(shù)據(jù)保護(hù)框架》。Association of Southeast Asian Nations， ASEAN Framework on Personal Data Protection， Article 2.因此，東盟個(gè)人數(shù)據(jù)保護(hù)聯(lián)盟立法的目的便是為成員國國內(nèi)法提供在價(jià)值、目標(biāo)上的指導(dǎo)，從屬于成員國國內(nèi)法，沒有后者的采用，前者本身沒有法律效力。

無論是歐盟還是東盟，其統(tǒng)一立法的目的均為謀求區(qū)域數(shù)字市場(chǎng)的發(fā)展。GDPR明確規(guī)定其適用對(duì)象僅為“個(gè)人數(shù)據(jù)”，規(guī)范的內(nèi)容包括“對(duì)個(gè)人數(shù)據(jù)處理方面的自然人保護(hù)”和“個(gè)人數(shù)據(jù)的自由流通”，European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 1.不進(jìn)行公法和私法的兩分規(guī)制。在歐盟內(nèi)部，因個(gè)人數(shù)據(jù)保護(hù)的法律標(biāo)準(zhǔn)相同，成員國間形成了單一數(shù)字市場(chǎng)，個(gè)人數(shù)據(jù)在歐盟內(nèi)部市場(chǎng)經(jīng)濟(jì)體間可以自由流動(dòng)，能最大程度發(fā)揮數(shù)據(jù)的價(jià)值。同為歐盟條例的《數(shù)字市場(chǎng)法》還為大型數(shù)字平臺(tái)對(duì)歐盟個(gè)人數(shù)據(jù)的處理活動(dòng)設(shè)定規(guī)則，以維護(hù)數(shù)字市場(chǎng)秩序。東盟內(nèi)各成員數(shù)字經(jīng)濟(jì)發(fā)展不均衡，以優(yōu)先實(shí)現(xiàn)區(qū)域內(nèi)數(shù)字經(jīng)濟(jì)穩(wěn)步增長和加強(qiáng)區(qū)域內(nèi)個(gè)人數(shù)據(jù)的安全保護(hù)為一致目標(biāo)。借助統(tǒng)一的框架標(biāo)準(zhǔn)，東盟試圖先完善域內(nèi)成員國的數(shù)據(jù)治理環(huán)境，打通聯(lián)盟內(nèi)部數(shù)字市場(chǎng)。東盟還注重與歐盟個(gè)人數(shù)據(jù)傳輸規(guī)則的銜接，加強(qiáng)域內(nèi)治理和域外合規(guī)，實(shí)現(xiàn)東盟數(shù)字市場(chǎng)的內(nèi)外銜接，穩(wěn)固市場(chǎng)利益。吳希賢：《東盟數(shù)據(jù)治理：全球背景、規(guī)制框架與中國合作》，《亞太經(jīng)濟(jì)》，2022年第4期。

聯(lián)盟統(tǒng)一立法規(guī)制的特點(diǎn)是聯(lián)盟內(nèi)部與外部的兩分區(qū)別監(jiān)管。在內(nèi)部監(jiān)管上，歐盟與東盟均優(yōu)先在聯(lián)盟內(nèi)部成員間建立數(shù)字信任，促進(jìn)個(gè)人數(shù)據(jù)的域內(nèi)自由流通，以內(nèi)部市場(chǎng)規(guī)制模式聯(lián)結(jié)部分達(dá)標(biāo)的外部市場(chǎng)。在外部監(jiān)管上，有效的個(gè)人數(shù)據(jù)出境監(jiān)管工具成為歐盟實(shí)現(xiàn)全球數(shù)字市場(chǎng)一體化的重要途徑。趙精武：《數(shù)據(jù)跨境傳輸中標(biāo)準(zhǔn)化合同的構(gòu)建基礎(chǔ)與監(jiān)管轉(zhuǎn)型》，《法律科學(xué)》（西北政法大學(xué)學(xué)報(bào)），2022年第2期。歐盟依據(jù)充分性認(rèn)定在聯(lián)盟外部劃分出“類”聯(lián)盟市場(chǎng)，確保個(gè)人數(shù)據(jù)在出境后也能得到高水平保護(hù)。此外，個(gè)人數(shù)據(jù)的聯(lián)盟外出境還可以通過提供“適當(dāng)保障措施”和符合“特定例外情形”實(shí)現(xiàn)。European Parliament and European Council， General Data Protection Regulation， Regulation （EU） 2016/679， Article 46， Article 49.東盟個(gè)人數(shù)據(jù)的聯(lián)盟外出境也建立在內(nèi)部監(jiān)管之上，但相關(guān)框架協(xié)議的非強(qiáng)制約束性賦予成員國充分的自主選擇權(quán)。東盟第一屆數(shù)字部長會(huì)議于2021年批準(zhǔn)了《東盟數(shù)據(jù)管理框架》（ASEAN Data Management Framework， DMF）和《東盟跨境數(shù)據(jù)流動(dòng)的示范合同條款》（ASEAN Model Contractual Clauses for Cross Border Data Flows， MCCs）。DMF指出，其內(nèi)容不構(gòu)成法律意見，也不應(yīng)被視為是任何法律法規(guī)的合規(guī)工具。Association of Southeast Asian Nations， “ASEAN Data Management Framework： Data Governance and Protection throughout the Data Lifecycle”，Jan. 2021， pp.6-8.MCCs則為東盟成員國間的個(gè)人數(shù)據(jù)傳輸方提供了自擇性的法律約束性協(xié)議，也允許對(duì)部分條款修訂后向非東盟國家出境個(gè)人數(shù)據(jù)。Association of Southeast Asian Nations， “ASEAN Model Contractual Clauses for Cross Border Data Flows”， Jan. 2021， p.4.東盟統(tǒng)一“軟性”立法以聯(lián)盟內(nèi)部個(gè)人數(shù)據(jù)規(guī)制為切入點(diǎn)，形成了優(yōu)先推動(dòng)聯(lián)盟內(nèi)規(guī)制、自擇推行聯(lián)盟外規(guī)制的區(qū)別監(jiān)管。

（二）國家分散立法規(guī)制

國家分散立法規(guī)制模式有利于穩(wěn)固國家數(shù)字經(jīng)濟(jì)優(yōu)勢(shì)地位。美國規(guī)制個(gè)人信息的首要目標(biāo)是保證市場(chǎng)中的數(shù)據(jù)自由流通，維持眾多數(shù)字企業(yè)利用他國個(gè)人信息攫取經(jīng)濟(jì)利益的競(jìng)爭力。為保證國家司法實(shí)踐的連貫性，美國對(duì)隱私權(quán)之內(nèi)涵進(jìn)行了擴(kuò)張，按照電信網(wǎng)絡(luò)、金融、健康、教育等行業(yè)進(jìn)行部門分治，以應(yīng)對(duì)數(shù)字經(jīng)濟(jì)時(shí)代對(duì)個(gè)人信息保護(hù)產(chǎn)生的挑戰(zhàn)。彭岳：《數(shù)據(jù)隱私規(guī)制模式及其貿(mào)易法表達(dá)》，《法商研究》，2022年第5期。由于美國聯(lián)邦和各州規(guī)制個(gè)人信息的權(quán)限不同，聯(lián)邦層面采取行業(yè)分散式立法，規(guī)制個(gè)人信息出境的國家安全要求僅在特殊行業(yè)領(lǐng)域有所體現(xiàn)，如出口管制、外商投資和國際司法協(xié)助，魏寧：《美國數(shù)據(jù)出境管理體制及中國因應(yīng)》，《國際經(jīng)濟(jì)法學(xué)刊》，2022年第4期。其他具體領(lǐng)域的立法放權(quán)于各州。政府部門、金融和健康信息等特殊商業(yè)領(lǐng)域以及一般商業(yè)領(lǐng)域擁有了自主監(jiān)管權(quán)，最大限度的貿(mào)易自由化主張得到了順應(yīng)，美國得以借助靈活寬松的監(jiān)管制度維持?jǐn)?shù)字企業(yè)優(yōu)勢(shì)。孟令浩：《全球數(shù)字治理規(guī)則的發(fā)展趨向及中國方案》，《學(xué)習(xí)與實(shí)踐》，2023年第3期。

國家分散立法規(guī)制模式具有行業(yè)自律要求和政府監(jiān)管措施并行的特點(diǎn)。美國數(shù)字企業(yè)可以自愿申請(qǐng)隱私認(rèn)證，通過隱私認(rèn)證企業(yè)TRUSTe和BBBOnline頒發(fā)認(rèn)證標(biāo)志后就可以獲得處理個(gè)人信息的資格，也代表其遵守個(gè)人信息保護(hù)的法律要求。根據(jù)1988年美國商務(wù)部發(fā)布的《有效保護(hù)隱私權(quán)的自律規(guī)范》和1995年《個(gè)人隱私和國家信息基礎(chǔ)設(shè)施：個(gè)人信息的使用和提供原則》等系列自律規(guī)范，美國數(shù)字企業(yè)間須制定保護(hù)個(gè)人隱私的行業(yè)規(guī)范并互相監(jiān)督。若因未滿足上述要求而侵犯?jìng)€(gè)人信息權(quán)益，相關(guān)企業(yè)將受到問責(zé)。

在政府監(jiān)管中，美國聯(lián)邦貿(mào)易委員會(huì)（FTC）為主要隱私保護(hù)執(zhí)法機(jī)構(gòu)，聯(lián)邦通信委員會(huì)（FCC）主要監(jiān)管電信行業(yè)中的個(gè)人信息違法行為，各州根據(jù)隱私立法中的監(jiān)管規(guī)定實(shí)行監(jiān)督，如加利福尼亞州規(guī)定數(shù)據(jù)主體具有私人訴權(quán)，California Consumer Privacy Act of 2018， California Civil Code Section 1798.150.隱私保護(hù)局可以進(jìn)行行政執(zhí)法，California Privacy Rights Act of 2020， California Civil Code Section 1798.155.弗吉尼亞州則將訴權(quán)授予總檢察長。Virginia Consumer Data Protection Act of 2021， Code of Virginia Section 59.1-580.美國“寬進(jìn)嚴(yán)出”的監(jiān)管方式既滿足了數(shù)字企業(yè)對(duì)全球個(gè)人信息的需求，也保障了本國個(gè)人信息權(quán)益和國家安全利益。不過，美國各州執(zhí)法以訴訟為主，容易增加司法負(fù)擔(dān)，賦予私人的訴權(quán)小，私主體訴訟機(jī)會(huì)成本較高。

四、系統(tǒng)觀念下我國個(gè)人信息出境法律規(guī)制的體系化完善

系統(tǒng)觀念始終貫穿于習(xí)近平法治思想之中，堅(jiān)持統(tǒng)籌推進(jìn)國內(nèi)法治和涉外法治就是其一體現(xiàn)。張文顯：《習(xí)近平法治思想的系統(tǒng)觀念》，《中國法律評(píng)論》，2021年第3期。在系統(tǒng)觀念下，習(xí)近平法治思想從主體、方式、領(lǐng)域、規(guī)范體系、人才培養(yǎng)、空間方面全面指導(dǎo)著法治實(shí)踐。張龑：《習(xí)近平法治思想中的法治觀》，《新疆師范大學(xué)學(xué)報(bào)》（哲學(xué)社會(huì)科學(xué)版），2022年第2期。涉外法治是國內(nèi)法治的涉外拓展與延伸，何志鵬：《涉外法治：開放發(fā)展的規(guī)范導(dǎo)向》，《政法論壇》，2021年第5期。與國家主權(quán)、安全與發(fā)展利益的聯(lián)系更為直接和緊密。韓立余：《涉外關(guān)系治理的法律化與中國涉外法律實(shí)施》，《吉林大學(xué)社會(huì)科學(xué)學(xué)報(bào)》，2022年第2期。個(gè)人信息出境作為涉外法治建設(shè)的重要內(nèi)容，聯(lián)系著國內(nèi)國際兩個(gè)大局、兩大市場(chǎng)、兩套規(guī)則，完善個(gè)人信息出境監(jiān)管體系離不開系統(tǒng)觀念在全面性上的指引。因此，在不改變我國個(gè)人信息出境監(jiān)管機(jī)制劃分為硬軟兩軌分而治之的前提下，應(yīng)依循系統(tǒng)觀念，參考不同國內(nèi)法范式經(jīng)驗(yàn)，從主體、規(guī)范、空間三個(gè)維度出發(fā)，構(gòu)建公私、攻防與內(nèi)外三大體系，更好地保障個(gè)人信息出境。

（一）主體維度上，發(fā)揮公私體系的協(xié)同性

我國個(gè)人信息出境的雙軌監(jiān)管規(guī)則體現(xiàn)出明顯的公法規(guī)制效果。然而，在實(shí)踐中，國家單向監(jiān)管的公法治理模式無法完全滿足多數(shù)民商事活動(dòng)中“意思自治”的現(xiàn)實(shí)需要。因此，以系統(tǒng)觀念完善個(gè)人信息出境監(jiān)管機(jī)制，就需要推進(jìn)公私多元主體的協(xié)同治理。

第一，完善公私領(lǐng)域的分別規(guī)制。一方面，個(gè)人信息出境的公法規(guī)制不可或缺。個(gè)人信息出境活動(dòng)面臨著超越合同約束與技術(shù)措施有效性邊界的風(fēng)險(xiǎn)，私法主體在風(fēng)險(xiǎn)判斷上缺乏經(jīng)驗(yàn)，公法規(guī)制仍是可行且有效的選擇。陳越峰：《超越數(shù)據(jù)界權(quán)：數(shù)據(jù)處理的雙重公法構(gòu)造》，《華東政法大學(xué)學(xué)報(bào)》，2022年第1期。我國已組建國家數(shù)據(jù)局，并在多地設(shè)立省級(jí)大數(shù)據(jù)管理機(jī)構(gòu)，以期便利各省和全國數(shù)據(jù)管理工作，促進(jìn)數(shù)據(jù)利用，加強(qiáng)數(shù)據(jù)安全保護(hù)。黃璜、孫學(xué)智：《中國地方政府?dāng)?shù)據(jù)治理機(jī)構(gòu)的初步研究：現(xiàn)狀與模式》，《中國行政管理》，2018年第12期。然而大數(shù)據(jù)管理機(jī)構(gòu)職權(quán)廣泛，未將個(gè)人信息作為特殊數(shù)據(jù)進(jìn)行監(jiān)管。因此，建議專設(shè)個(gè)人信息保護(hù)機(jī)構(gòu)對(duì)個(gè)人信息出境活動(dòng)進(jìn)行全域與全時(shí)的監(jiān)督。同時(shí)，應(yīng)當(dāng)對(duì)個(gè)人信息保護(hù)機(jī)構(gòu)與大數(shù)據(jù)管理機(jī)構(gòu)、國家網(wǎng)信部門等的監(jiān)管聯(lián)動(dòng)予以規(guī)定，避免監(jiān)管空白與重復(fù)監(jiān)管。另一方面，個(gè)人信息出境的私法規(guī)制亟待發(fā)揮作用。相較《民法典》和《網(wǎng)絡(luò)安全法》，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的保護(hù)范圍擴(kuò)大，但個(gè)人信息仍處于“利益”的法律地位。若想加強(qiáng)私法規(guī)制效果，可以考慮對(duì)個(gè)人信息的法律屬性作出更有效的規(guī)定，如“個(gè)人信息權(quán)”，賦予個(gè)人信息主體權(quán)利基礎(chǔ)。此外，個(gè)人信息出境活動(dòng)涉及個(gè)人信息人格利益和財(cái)產(chǎn)權(quán)益的侵害風(fēng)險(xiǎn)，應(yīng)明確個(gè)人信息主體可以對(duì)此類侵害發(fā)起侵權(quán)或違約救濟(jì)，金耀：《個(gè)人信息私法規(guī)制路徑的反思與轉(zhuǎn)進(jìn)》，《華東政法大學(xué)學(xué)報(bào)》，2020年第5期。防止因私人訴權(quán)過小，而導(dǎo)致個(gè)人信息糾紛解決的主動(dòng)性受限，使得公法救濟(jì)負(fù)擔(dān)過重。針對(duì)侵權(quán)救濟(jì)，可以引入“未來損害”的概念，達(dá)到風(fēng)險(xiǎn)防范及損害賠償?shù)碾p重目的。謝鴻飛：《個(gè)人信息泄露侵權(quán)責(zé)任構(gòu)成中的“損害”——兼論風(fēng)險(xiǎn)社會(huì)中損害的觀念化》，《國家檢察官學(xué)院學(xué)報(bào)》，2021年第5期。

第二，強(qiáng)化公私領(lǐng)域的協(xié)同規(guī)制。首先，適當(dāng)將監(jiān)管權(quán)下放至各行業(yè)，最大程度發(fā)揮個(gè)人信息保護(hù)認(rèn)證的第三方規(guī)制效力。《認(rèn)證規(guī)則》由國家市場(chǎng)監(jiān)督管理總局和國家互聯(lián)網(wǎng)信息辦公室共同發(fā)布。其中，前者負(fù)責(zé)管理綜合協(xié)調(diào)全國認(rèn)證認(rèn)可工作的主管機(jī)構(gòu)——國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)與負(fù)責(zé)個(gè)人信息保護(hù)認(rèn)證具體實(shí)施工作的第三方認(rèn)證機(jī)構(gòu)——中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心。考慮到機(jī)構(gòu)設(shè)置的特殊性，建議統(tǒng)籌協(xié)調(diào)國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)與中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的職能劃分，盡可能增加認(rèn)證機(jī)構(gòu)的數(shù)量，強(qiáng)化私法規(guī)制的有效性。此外，行業(yè)自律能夠?qū)κ袌?chǎng)結(jié)構(gòu)產(chǎn)生刺激，在企業(yè)與產(chǎn)業(yè)層面高效且專業(yè)地對(duì)個(gè)人信息出境監(jiān)管作出回應(yīng)，敖海靜：《數(shù)據(jù)保護(hù)的國際軟法之道》，《法商研究》，2022年第2期。能避免政府單方規(guī)制的滯后性。通過借鑒美國隱私認(rèn)證的實(shí)踐經(jīng)驗(yàn)，我國應(yīng)緊密結(jié)合個(gè)人信息保護(hù)認(rèn)證這一出境監(jiān)管方式適用行業(yè)自律模式，對(duì)境內(nèi)個(gè)人信息處理者和境外接收者的數(shù)據(jù)跨境實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的監(jiān)管。當(dāng)?shù)谌秸J(rèn)證機(jī)構(gòu)的監(jiān)督效果不力時(shí)，政府監(jiān)管應(yīng)及時(shí)補(bǔ)位。同時(shí)，我國應(yīng)明確行業(yè)自律規(guī)范的法定約束力，避免司法機(jī)構(gòu)怠于承認(rèn)自律規(guī)范的約束力。趙海樂：《數(shù)字貿(mào)易談判背景下的個(gè)人信息保護(hù)行業(yè)自律規(guī)范構(gòu)建研究》，《國際經(jīng)貿(mào)探索》，2021年第12期。其次，發(fā)揮企業(yè)自治的效力。將個(gè)人信息處理者設(shè)立的個(gè)人信息保護(hù)機(jī)構(gòu)定位為監(jiān)事會(huì)中的專業(yè)委員會(huì)，楊淦：《個(gè)人信息保護(hù)社會(huì)責(zé)任的法律內(nèi)涵及其實(shí)現(xiàn)》，《上海大學(xué)學(xué)報(bào)》（社會(huì)科學(xué)版），2023年第1期。在開展個(gè)人信息保護(hù)影響評(píng)估時(shí)，要求其盡可能地權(quán)衡個(gè)人、社會(huì)和國家三方風(fēng)險(xiǎn)。此外，個(gè)人信息處理者中的大型數(shù)字平臺(tái)具有較強(qiáng)的數(shù)據(jù)合規(guī)能力，應(yīng)以行業(yè)自律的方式鼓勵(lì)并督促其發(fā)揮數(shù)字技術(shù)優(yōu)勢(shì)和市場(chǎng)規(guī)模優(yōu)勢(shì)，主動(dòng)識(shí)別個(gè)人信息出境中的潛在風(fēng)險(xiǎn)，建立企業(yè)內(nèi)部的個(gè)人信息保護(hù)部門與政府個(gè)人信息保護(hù)機(jī)構(gòu)的良性溝通，便利個(gè)人信息出境的風(fēng)險(xiǎn)識(shí)別與監(jiān)管。

（二）規(guī)范維度上，強(qiáng)化攻防體系的均衡性

在國際條約和習(xí)慣國際法缺位的背景下，通過強(qiáng)化個(gè)人信息出境相關(guān)涉外立法是維護(hù)本國利益的最優(yōu)途徑，張哲、齊愛民：《論我國個(gè)人信息保護(hù)法域外效力制度的構(gòu)建》，《重慶大學(xué)學(xué)報(bào)》（社會(huì)科學(xué)版），2022年第5期。我國在個(gè)人信息出境層面的規(guī)制呈現(xiàn)出穩(wěn)固本國數(shù)據(jù)保護(hù)的防御狀態(tài)。在系統(tǒng)觀念視域下，我國應(yīng)在改善已有防御規(guī)則的基礎(chǔ)上，注重優(yōu)化對(duì)外主權(quán)保護(hù)機(jī)制，形成均衡的攻防體系。

第一，細(xì)化個(gè)人信息出境的標(biāo)準(zhǔn)及方式。個(gè)人信息出境的雙軌規(guī)制建立在對(duì)個(gè)人信息處理者作出的單一類型化劃分標(biāo)準(zhǔn)之上，如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和“數(shù)量型”數(shù)據(jù)處理者適用“硬性”監(jiān)管，其他個(gè)人信息處理者適用“軟性”監(jiān)管。個(gè)人信息處理者的單一類型化劃分標(biāo)準(zhǔn)雖然便于規(guī)制，但隨著個(gè)人信息出境活動(dòng)復(fù)雜性的增加，在實(shí)踐中不能機(jī)械適用，應(yīng)相應(yīng)結(jié)合其他標(biāo)準(zhǔn)。比如，適當(dāng)考慮實(shí)際實(shí)施中的個(gè)人信息出境行為類型、個(gè)人信息境外接收方類型，并相應(yīng)補(bǔ)充規(guī)定免于監(jiān)管的具體情形。2023年9月28日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿）》第4條列舉了僅有的3項(xiàng)豁免個(gè)人信息出境監(jiān)管的情形，包括：（1）為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需；（2）按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理，必須向境外提供內(nèi)部員工個(gè)人信息的；（3）緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全等，必須向境外提供個(gè)人信息的。具體適用上，應(yīng)厘清個(gè)人信息出境安全評(píng)估、保護(hù)認(rèn)證與標(biāo)準(zhǔn)合同三種方式的監(jiān)管定位并細(xì)化具體規(guī)則。首先，針對(duì)個(gè)人信息出境安全評(píng)估，對(duì)“數(shù)量型”數(shù)據(jù)處理者的規(guī)制雖看重個(gè)人信息的量級(jí)安全，但“10萬人個(gè)人信息”“1萬人敏感個(gè)人信息”的量級(jí)劃分門檻還有待檢驗(yàn)，應(yīng)定期對(duì)該量級(jí)作出檢視，確保其設(shè)定不過高導(dǎo)致安全評(píng)估虛設(shè)，不過低造成安全評(píng)估泛化。考慮到安全評(píng)估的時(shí)間，數(shù)據(jù)處理者應(yīng)在個(gè)人信息出境前申報(bào)且通過安全評(píng)估，而后再簽訂出境合同或其他具有法律效力的文件。戴龍主編：《數(shù)字貿(mào)易法通論》，中國政法大學(xué)出版社2022年版，第214頁。其次，針對(duì)個(gè)人信息保護(hù)認(rèn)證與標(biāo)準(zhǔn)合同兩種監(jiān)管方式，應(yīng)明確無先后適用順序。因此，應(yīng)當(dāng)繼續(xù)明晰保護(hù)認(rèn)證的適用范圍，尤其是對(duì)《個(gè)人信息保護(hù)法》第3條第2款的具體情況進(jìn)行細(xì)化并將其與標(biāo)準(zhǔn)合同的適用進(jìn)行區(qū)分。標(biāo)準(zhǔn)合同發(fā)揮著動(dòng)態(tài)監(jiān)管個(gè)人信息處理者與接收者的功能，是管控個(gè)人信息出境后活動(dòng)風(fēng)險(xiǎn)的利器，條款固定不變則不利于其靈活適用。因此，建議細(xì)化標(biāo)準(zhǔn)合同模板，針對(duì)特定國家發(fā)布對(duì)應(yīng)標(biāo)準(zhǔn)合同，比如與我國存在大量個(gè)人信息跨境需求的美國、歐盟與東盟等，降低企業(yè)的多方合規(guī)成本。

第二，加強(qiáng)個(gè)人信息出境規(guī)則的域外效力。為保障個(gè)人信息利益的域外安全，在個(gè)人信息出境前，我國應(yīng)明確且細(xì)化法律規(guī)范的域外效力，盡早為相關(guān)爭議解決提供法律依據(jù)。《個(gè)人信息保護(hù)法》第3條第2款指明適用范圍限于境內(nèi)個(gè)人信息的境外處理活動(dòng)，其實(shí)際上以個(gè)人信息已經(jīng)出境為前提，旨在規(guī)范數(shù)據(jù)出境后的數(shù)據(jù)處理活動(dòng)，體現(xiàn)的是國內(nèi)法的域外效力，以個(gè)人信息出境后監(jiān)管為目標(biāo)。因此，我國應(yīng)對(duì)個(gè)人信息出境后監(jiān)管補(bǔ)充更為詳細(xì)的程序性和實(shí)體性域外效力條款。在程序上，應(yīng)細(xì)化管轄權(quán)依據(jù)，依據(jù)屬地管轄、屬人管轄、保護(hù)性管轄和普遍管轄全面維護(hù)個(gè)人信息相關(guān)應(yīng)然利益。我國個(gè)人信息規(guī)制應(yīng)以具有合理且密切聯(lián)系的域外行為或事項(xiàng)為前提，以國際法所認(rèn)可的管轄原則為法律依據(jù)，且不應(yīng)違反國際法規(guī)定的禁止性規(guī)定。霍政欣：《域外管轄、“長臂管轄”與我國法域外適用：概念厘定與體系構(gòu)建》，《新疆師范大學(xué)學(xué)報(bào)》（哲學(xué)社會(huì)科學(xué)版），2023年第2期。在實(shí)體上，對(duì)《個(gè)人信息保護(hù)法》第3條第2款中“分析”“評(píng)估”等概念進(jìn)行明確，并妥善納入個(gè)人信息境外接收方的間接義務(wù)。同時(shí)，為應(yīng)對(duì)美歐等發(fā)達(dá)國家對(duì)濫用“長臂管轄”調(diào)取我國域內(nèi)個(gè)人信息的行為，我國還應(yīng)強(qiáng)化對(duì)應(yīng)的阻斷和反制措施。《個(gè)人信息保護(hù)法》創(chuàng)新設(shè)置了黑名單制度，將制定“限制或者禁止個(gè)人信息提供清單”，《個(gè)人信息保護(hù)法》第42條。對(duì)“采取歧視性的禁止、限制或者其他類似措施”的任何國家或地區(qū)“對(duì)等采取措施”。《個(gè)人信息保護(hù)法》第43條。后續(xù)，建議緊密結(jié)合《阻斷外國法律與措施不當(dāng)域外適用辦法》《反制裁法》，在黑名單之外，補(bǔ)充其他便利阻遏他國不當(dāng)執(zhí)法的具體措施。

我國還應(yīng)當(dāng)積極主動(dòng)對(duì)個(gè)人信息出境后的涉外執(zhí)法作出規(guī)定，補(bǔ)充個(gè)人信息出境后的執(zhí)法依據(jù)。《個(gè)人信息保護(hù)法》第41條僅僅關(guān)注到個(gè)人信息出境的程序性限制，要求國家主管機(jī)關(guān)批準(zhǔn)后，境內(nèi)個(gè)人信息才能向外國司法或執(zhí)法機(jī)構(gòu)提供。建議對(duì)個(gè)人信息跨境調(diào)取規(guī)則進(jìn)行補(bǔ)充，同時(shí)加緊與個(gè)人信息跨境傳輸頻繁的國家或地區(qū)達(dá)成數(shù)據(jù)交換協(xié)議，一方面滿足跨境司法執(zhí)法需要，另一方面減少本國法域外適用的不必要爭議。王燕：《數(shù)據(jù)法域外適用及其沖突與應(yīng)對(duì)——以歐盟lt;通用數(shù)據(jù)保護(hù)條例gt;與美國lt;澄清域外合法使用數(shù)據(jù)法gt;為例》，《比較法研究》，2023年第1期。另外，《個(gè)人信息保護(hù)法》第41條具有明顯的“主體導(dǎo)向”，強(qiáng)調(diào)個(gè)人信息處理者（企業(yè)）具有經(jīng)國內(nèi)審批的前提義務(wù)。黃炎：《跨境數(shù)據(jù)治理體系的多維變革及因應(yīng)之策》，《太平洋學(xué)報(bào)》，2022年第4期。一旦出海企業(yè)在境外面臨訴訟，該程序或?qū)⒀娱L其在境外應(yīng)訴的時(shí)間，從而承擔(dān)逾期提交證據(jù)的不利后果，因而建議盡量依據(jù)個(gè)案的司法程序時(shí)間設(shè)定審批程序的時(shí)限，保障企業(yè)的實(shí)際利益。

（三）空間維度上，增進(jìn)內(nèi)外體系的互動(dòng)性

數(shù)據(jù)的跨境流動(dòng)不受國家邊界限制，個(gè)人信息出境涉及域內(nèi)域外兩個(gè)空間。系統(tǒng)觀念的運(yùn)用場(chǎng)域包括國內(nèi)治理與國際治理，這就指引著我國通過個(gè)人信息跨境規(guī)制問題，加強(qiáng)并深化國內(nèi)與域外的合作與互動(dòng)，推動(dòng)形成空間維度上的規(guī)制共識(shí)，為個(gè)人信息跨境活動(dòng)提供更加充分的法治保障。

第一，以區(qū)域性合作為先，促成個(gè)人信息跨境的規(guī)制合作。為規(guī)制個(gè)人信息跨境，各國國內(nèi)規(guī)則分治，隱私合規(guī)成本累積致使貿(mào)易受阻。因此，應(yīng)積極拓寬與區(qū)域性組織的數(shù)據(jù)跨境合作，為個(gè)人信息出境提供更大的合法性范圍。在這之中，聯(lián)盟統(tǒng)一數(shù)據(jù)立法的優(yōu)勢(shì)凸顯出來，不僅能為區(qū)域?qū)用娴慕y(tǒng)一性規(guī)制提供基礎(chǔ)，還能天然地契合數(shù)據(jù)的無界性。聯(lián)合國提議制定《全球數(shù)字契約》時(shí)特別強(qiáng)調(diào)了《非洲聯(lián)盟馬拉博公約》與GDPR在數(shù)據(jù)保護(hù)方面的基礎(chǔ)性地位，建議聯(lián)合國成員和區(qū)域性組織應(yīng)以此兩聯(lián)盟規(guī)則為基礎(chǔ)制定保護(hù)個(gè)人數(shù)據(jù)與隱私的法律。United Nations Executive Office of the Secretary-General， “Our Common Agenda Policy Brief 5： A Global Digital Compact-an Open， Free and Secure Digital Future for All”， May 2023， p.16.首先，我國可以推動(dòng)與東盟國家在個(gè)人信息跨境規(guī)制的合作。東盟國家在“一帶一路”倡議中具有重要地位，我國可以優(yōu)先與東盟國家開展雙邊合作，簽署諒解備忘錄，設(shè)置相應(yīng)的個(gè)人信息跨境認(rèn)證標(biāo)準(zhǔn)等法律工具。洪延青：《推進(jìn)“一帶一路”數(shù)據(jù)跨境流動(dòng)的中國方案——以美歐范式為背景的展開》，《中國法律評(píng)論》，2021年第2期。借助我國與東盟國家在個(gè)人信息跨境層面的地域優(yōu)勢(shì)和合作機(jī)制，我國后續(xù)與歐盟合作規(guī)制個(gè)人信息跨境的機(jī)會(huì)和效果或?qū)@增。其次，可以嘗試以共建“一帶一路”的國家（地區(qū)）為目標(biāo)對(duì)象，建立采取統(tǒng)一的數(shù)據(jù)傳輸格式和標(biāo)準(zhǔn)的“白名單”，提升個(gè)人信息出境的可溯性和互操性，確保個(gè)人信息的傳輸信任，提升我國個(gè)人信息出境規(guī)制的影響力。齊鵬：《數(shù)字經(jīng)濟(jì)背景下“一帶一路”跨境數(shù)據(jù)傳輸?shù)姆梢?guī)制》，《法學(xué)評(píng)論》，2022年第6期。可以優(yōu)先在數(shù)據(jù)跨境傳輸安全管理試點(diǎn)實(shí)施“白名單”，總結(jié)北京、上海、海南、雄安新區(qū)針對(duì)個(gè)人信息出境監(jiān)管的法治經(jīng)驗(yàn)，以便在全國推行。再次，涉外企業(yè)具有跨境數(shù)據(jù)合規(guī)的現(xiàn)實(shí)需求，我國可以率先制定個(gè)人信息保護(hù)承諾書模板，鼓勵(lì)目標(biāo)國家企業(yè)以私主體身份進(jìn)行主動(dòng)合規(guī)。

第二，借助國際組織，推動(dòng)構(gòu)建個(gè)人信息跨境救濟(jì)制度。目前，無論是各國還是國際組織正在構(gòu)建的個(gè)人信息跨境合作機(jī)制中，都缺少具有約束力的統(tǒng)一的爭議解決機(jī)制。鄭淑鳳：《數(shù)字經(jīng)濟(jì)視角下數(shù)據(jù)跨境規(guī)則的困境與回應(yīng)》，《國際貿(mào)易》，2022年第5期。個(gè)人信息出境活動(dòng)關(guān)涉至少兩個(gè)國家的管轄，對(duì)個(gè)人信息的司法跨境保護(hù)依賴于數(shù)據(jù)接收國及組織對(duì)個(gè)人信息的持續(xù)保護(hù)。不同國家對(duì)個(gè)人信息的司法保護(hù)程度不同，除達(dá)成雙邊司法合作外，國際社會(huì)沒有建立起跨境司法保護(hù)的系統(tǒng)。沈俊翔：《數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人信息跨境保護(hù)的機(jī)制研究——兼論CPTPP視野下人民法院參與全球數(shù)據(jù)治理的新型路徑》，《法律適用》，2022年第6期。一旦產(chǎn)生個(gè)人信息跨境糾紛，就需要選取合適的地點(diǎn)和機(jī)構(gòu)進(jìn)行解決。因此，數(shù)據(jù)出境后的規(guī)制合作應(yīng)重點(diǎn)關(guān)注構(gòu)建個(gè)人信息保護(hù)的救濟(jì)制度。針對(duì)最易發(fā)生的個(gè)人信息跨境民商事糾紛，可以考慮在已有國內(nèi)政府行政監(jiān)管和個(gè)人信息主體訴訟的基礎(chǔ)上，為便利國際商事爭議解決，創(chuàng)新適用仲裁與調(diào)解。在選擇推行個(gè)人信息跨境救濟(jì)制度的平臺(tái)時(shí)，我國可以借助金磚國家、上海合作組織等以發(fā)展中國家為主的國際組織，凝聚各國對(duì)個(gè)人信息跨境中保護(hù)國家安全、公共利益和個(gè)人權(quán)益的共識(shí)，利用組織平臺(tái)促成談判。在談判過程中，可以嘗試推動(dòng)建立個(gè)人信息跨境救濟(jì)的程序性安排，而后在爭議解決實(shí)踐中明確各國個(gè)人信息跨境規(guī)制分歧并予以回應(yīng)。

五、結(jié)語

在數(shù)字經(jīng)濟(jì)全球化時(shí)代，數(shù)據(jù)跨境流動(dòng)為國內(nèi)與國際兩級(jí)治理提出了挑戰(zhàn)。以個(gè)人信息跨境為例，因缺乏國際法統(tǒng)一規(guī)范，各國為平衡數(shù)據(jù)利用與數(shù)據(jù)安全的二元矛盾，維護(hù)個(gè)人信息權(quán)益、社會(huì)公共利益和國家安全利益，首選國內(nèi)法規(guī)制。由于意識(shí)形態(tài)和國家利益的差異，個(gè)人信息跨境國內(nèi)法規(guī)制的各方范式已經(jīng)呈現(xiàn)出爭奪國際數(shù)字秩序理念和話語權(quán)的深層邏輯。在全球格局“東升西降”的趨勢(shì)下，我國應(yīng)當(dāng)積極把握在國際層面制定數(shù)字經(jīng)濟(jì)規(guī)則的主導(dǎo)權(quán)，在國內(nèi)層面，對(duì)個(gè)人信息出境法律規(guī)制進(jìn)行體系化完善，以此推動(dòng)國內(nèi)數(shù)據(jù)治理形成先進(jìn)的涉外法治經(jīng)驗(yàn)。在積累法治經(jīng)驗(yàn)后，我國可以在國家、國際組織間形成更廣泛的合作，為全球數(shù)字治理貢獻(xiàn)中國智慧。

（責(zé)任編輯：蘇騰飛）

收稿日期：2023-09-12

作者簡介：趙駿，法律博士，浙江大學(xué)光華法學(xué)院教授、博士生導(dǎo)師；姚若楠，浙江大學(xué)光華法學(xué)院博士研究生。

基金項(xiàng)目：教育部哲學(xué)社會(huì)科學(xué)研究重大課題攻關(guān)項(xiàng)目“堅(jiān)持統(tǒng)籌推進(jìn)國內(nèi)法治和涉外法治重大問題研究”（編號(hào)：21JZD031）。