摘要：我国对特定个人信息和重要数据跨境秉承审慎态度，要求安全评估后出境，以标准合同和认证的方式监管一般类型的个人信息跨境活动仍在探索中，且尚未达成有效的国际合作。在此背景下，数据处理者可能面临我国和国外的多重数据合规要求。数据处理者将数据向境外提供时，应结合实际业务需求、数据传输类型以及数据接收方类型，选择相应的数据跨境方式，寻求相对稳定的合规路径。

在信息技术不断迭代更新的大数据时代，数据产业化和产业数据化拓宽了数据应用的深度与广度。由此衍生出的AI智能、区块链、元宇宙等新型概念，将数据网络创设为与现实世界对应的虚拟世界。这折射出数据背后巨大的社会和经济价值，数据也成为了我国五大生产要素之一。[1]与此同时，信息技术打破了地域限制，拓宽了国际合作的可能。国内市场与全球市场高度融合，以软件、电商平台、 社交媒体为代表的数字经济正引领第四次全球化浪潮.[2]

信息网络中的数据并非独立而单一， 而是在流动和集中化利用中不断重塑价值。[3]我国目前以2017年实施的《网络安全法》为基础，通过2021年颁布的《个人信息保护法》和《数据安全法》，2022年9月1日开始施行《数据出境安全评估办法》（简称《出境评估办法》）和《数据出境安全评估申报指南（第一版）》（简称《申报指南》），逐步建立数据跨境监管体系，旨在于保证数据安全的前提下，发掘数据流转中的潜在价值。现行监管体系下，如何理解数据跨境的内涵以及如何进行数据跨境流动合规，已成为数据处理者在拓展全球业务中需重点关注的内容之一。

跨境一般可见于贸易或者人员跨境，即以地理位置为界认定是否有物品或人员的移动。换言之，跨越国境的行为可被认定为跨境。然而在网络空间中，网络的无边界性导致如何认定一国之“边境”成为数据跨境认定的一大难点。其次，数据流动是双向的，跨境中可能面临境内向境外、境外向境内，或者境外向境外但途径境内几种情况。所谓数据“跨境”究竟是属于上述哪种方式？这是数据跨境认定的另一大难点。

数据是否跨境的判断

首先，《个人信息保护法》第三章和《出境评估办法》第二条明确指出，其规制的是数据的“提供”行为。根据《信息安全技术 数据出境安全评估指南（征求意见稿）》（简称《评估指南》）第3.7条规定，直接提供或者以开展业务、提供产品或服务的方式提供，一次性或连续性提供，均属于向境外“提供”。例如，跨国公司中对于内部营业数据的共享与访问、与境外企业开展贸易往来或合作研发等，均属于数据提供行为。

其次，是否跨境并不必然根据数据接收方地理位置的判断。在数据主权理论下，数据是否跨境与是否失去对数据的“最高排他权利”[4 ]相关，需结合数据接收方所在地理位置、存储设备所在地、是否可被境外用户访问等进行实质性判断。《评估指南》第3.7条列举出，向位于境内但不属于本国司法管辖或未在境内注册的主体提供数据，如向驻外使领馆提供数据的行为 ；或者数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外），如根据境外司法、执法机构的要求调取境内数据；以及集团内部数据由境内转移至境外，上述三种常见场景均属于实际意义上的数据“出境”行为。

跨境中的数据流向

数据跨境一词源于“Transborder Data Flow”，因此在对数据跨境的解释中，人们可能会对数据的流向问题产生疑惑。《个人信息保护法》虽在第三章标题中使用“个人信息跨境”这一表达方式，但在第三十八条中规定“个人信息处理者确需向中华人民共和国境外提供个人信息”，《出境评估办法》则直接指明“数据出境”。换言之，数据跨境中的关注重点在于境内数据向境外提供的活动。

另需注意的一个问题是过境数据是否需要符合我国合规要求。结合《出境评估办法》第二条与《个人信息保护法》第三条的规定，若在我国境内处理个人信息或者在境外处理来源于境内的个人信息，并以提供产品或服务或者以分析、评估自然人行为为目的，均属于《个人信息保护法》的规制范围内。换言之，数据的过境活动需从数据产生地和数据处理者所在地两方面入手，综合判断其是否有“境内因素”后确定是否应适用我国的数据跨境规定。

数据被广泛收集与使用之时，过度收集、擅自转让、公开披露引发了“隐私已经死亡”[5] 的担忧。跨境因素则会进一步放大受损后果，导致国家安全、公共利益、信息主体及相关权益的更严重的损失。为此，我国设计的多种跨境方案一方面从便利数据自由流动出发，另一方面以防范数据出境安全风险为限，即保障数据的有序和安全自由流动。

实践中，数据跨境后可能面临两类风险。

一是源于境外数据接收方自身对数据的保护力度不足而引发的风险。国外数据泄露事件并不鲜见，例如万豪国际酒店2018年和2020年两次遭黑客攻击事件造成几百万客户的信息被泄露[6] 等。

二是第三国法律环境的变化导致的数据三重风险。其一是第三方政府对于个人信息的肆意访问，近年来颇受关注的Schrems诉Facebook案[7] ，便反映了对个人信息被传输至美国后无法避免被美国情报局非法访问和获取而产生的数据安全担忧，欧盟法院依次认定美欧安全港与隐私盾协议无法满足对等保护需求。其二为第三国未对数据保护做出规定或力度不足，导致数据接收方合规动力不强。根据UNCTAD统计显示，截至2022年9月，仍有24%的国家和地区未出台有效的数据和隐私保护相关法律法规[8]。若数据流向这些国家和地区，意味着数据接收方虽达到所在国合规要求，却依然无法避免数据保护水平的显著性降低。其三是个人信息主体就发生的损害无法请求救济，我国仅在2018年对华大科技违规出境14万孕妇基因信息，以及2022年对滴滴全球股份有限公司擅自将重要数据和个人信息传输至境外进行相应处罚，行政处罚的对象仅限于在境内运营的企业，而并未就信息主体进行赔偿或是对境外数据接收方有所处理。此外，成本高昂的境外诉讼同样降低了信息主体索赔的可能性。例如Schrems案历时4年，足以见得个人信息主体寻求救济的难度。

原则上，我国设计了多种监管方案，其内在逻辑基本一致，皆为规避上述风险。例如，在数据出境安全评估中，以风险自评估的方式要求境外数据接收方履行相当的数据安全保护责任 ；在标准合同中，要求对境外数据接收国的政策法规和网络安全环境进行评估，并要求制定在其变化时的安全措施 ；在认证中，也需评估个人信息权益救济的机制。

根据《个人信息保护法》第三十八条及《网络安全法》第三十七条，目前数据可以通过四种方式出境，即安全评估、标准合同、认证和国际合作。虽然四种方式的监管内容趋同，但在具体适用场景和监管方式上有所差异。

数据出境安全评估

首先，关于数据出境安全评估的适用范围。《个人信息保护法》第四十条规定， 关键信息基础设施运营者（CIIO）和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当进行数据本地化存储并需通过安全评估才可向境外提供。《网络安全法》对重要数据的出境做出了相同要求。《出境评估办法》进一步细化安全评估的适用范围，规定仅“（一）数据处理者向境外提供重要数据 ；（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息 ；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”需进行安全评估。

从上述规定来看，安全评估办法是个人信息与非个人信息跨境的重要审核方式之一，而且“应当”适用的表述表明在特定情形下，数据处理者应直接适用此种跨境方式。就安全评估办法适用的具体场景而言，关键在于判断数据处理者是否为 CIIO、提供的数据类别是否为重要数据或个人信息，以及考察处理和提供的数据体量。其中，是否为重要数据和CIIO运营者的判断相对复杂，一方面需判断数据涉及领域是否为公共通信、能源、交通等重要行业和领域，另一方面还需对其处理风险是否可能危害国家安全、国计民生和公共 利益等进行综合分析。

其次，关于数据出境安全评估的具体方案。跨境活动的安全评估实际上包含数 据出境风险自评估及申报数据出境安全评估两项活动。

第一项，数据出境风险自评估。《出境评估办法》规定，在安全评估前，数据处理者应先进行风险自评估，同时将自评估报告作为安全评估的审核内容之一。《申报指南》对风险自评估提出了更为具体的要求，例如要求自评估活动需在申报前3个月内完成，报告出具主体可以为数据处理者或第三方机构，但需保持评估责任主体的独立性。

从风险自评估的重点来看，有两个 ：第一，数据出境活动的整体情况，从数据出境的业务出发，包括出境数据的处理目的、范围和方式及其合法性、正当性和必要性，境内数据传输方与境外数据接收方的基本情况，到其安全保障能力，以及数据出境后的双方应履行的数据安全保护责任和义务。第二，拟出境活动的风险分析， 不仅需从数据本身出发，考虑数据规模、 范围、种类和敏感程度，更须从数据遭到篡改、破坏、泄露等的风险，特别是其中可能对国家安全、公共利益、个人或者组织合法权益带来的风险考虑，例如数据总量、数据收集频率和范围等。

第二项，数据出境安全评估。完成风险自评估后，数据处理者可以开始向所在地省级网信部门申报数据出境安全评估。但由于安全评估中涉及对CIIO、重要数据、 国家安全风险等的判断，省级网信部门只负责材料完备性的检查，而真正实施评估的主体由国家网信部门负责组织。

安全评估中需提交申报书、自评估报告以及数据处理者和数据接收方之间的法律文件，其中对于法律文件的形式是合同、合同附件或是承诺等，并无具体要求。评估中绝大多数的内容均在风险自评估中有所体现，因此安全评估可以视为监管部门对风险自评估中所述之事项的一种双重验证。

标准合同式跨境

标准合同源于欧盟《通用数据保护条例》（GDPR）中对于“标准合同条款” （Standard Contractual Clauses）的要求。与其他审核方式不同，标准合同保留一定的合同特性，具有相对自由度，其在GDPR 中是唯一一种无需经过审核即可进行数据跨境活动的方式。尤其是在Schrems案裁决确认其条款有效性后，标准合同成为偶然性或持续性重复跨境数据活动的首选方案。[9]与GDPR类似，我国坚持“自主缔约与备案管理相结合”，备案而非审核的方式无疑使标准合同成为最具效率的一种数据跨境方式。

此种跨境方式在适用范围上局限于个人信息的跨境活动，在排除了应当进行安全评估的场景后，其余场景均可采纳此种方案。但是，标准合同实际上是一类格式合同，且其条款受到强监管。这意味着合同相对方较为固定，内容并不能轻易被修改或是变更，而且其条款优先于其他合同条款，一定程度上会导致合同双方失去意思自治的空间。

从标准合同式跨境的具体方案来看，数据处理者需进行个人信息保护影响评估，并与境外数据接收方签订一份数据跨境标准合同。个人信息保护影响评估与风险自评估相比，存在以下两点不同。

第一，风险评估重点不同。个人信息保护影响评估仅需评估对个人信息权益带来的风险，而无需评估对于国家安全、公共利益等的风险。

第二，境外国家的法律制度关注重点不同。个人信息保护影响评估关注境外国家个人信息保护法律法规对标准合同履行的影响，而风险自评估关注对出境数据的整体影响。至于标准合同的订立，网信办《个人信息出境标准合同规定（征求意见稿）》（简称《标准合同规定》）中提供的一份标准合同模板可供使用。该合同中综合了我国目前对于个人信息保护的相关规定，提供了更为明确和严格的义务和个人信息权益。举例而言，个人信息主体需为合同第三方受益人，境外接收方有接受监管机关监督管理的义务，将合同争议解决和诉讼管辖权置于中国等。此外，合同内容并无过多修改空间，尤其是在个人信息传输双方责任义务的规定上，仅在争议解决、技术和管理措施方面提供可供合同双方决定的有限选项。

标准合同式跨境虽仅需备案，但网信部门依然需要对合同内容是否切实履行进行持续监管。如果出现可能影响个人信息的权益的情况，例如数据的范围、用途、存储变化等，均需重新签订标准合同并备案。因此，在传输数据变化较多、合同相对方复杂等情况下，标准合同的订立并非优选。

个人信息保护认证

《个人信息保护法》第三十八条第（二）款提出，经专业机构进行认证同样可作为数据跨境的一种方式。区别于强制性安全评估，个人信息保护认证属于国家推荐的自愿性认证，在一定期限内可以作为连续性的跨境数据处理活动的合法性依据。

认证的适用有一定局限性，《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》第一条规定了适用情形，包括 ：跨国公司或是同一经济、事业实体下属子公司的个人信息跨境处理活动，以及关联公司之间的跨境处理活动 ；在境外处理境内自然人个人信息的活动，以向境内自然人提供产品或者服务为目的，或分析、评估境内自然人的行为。

个人信息保护认证除以《个人信息保护法》为依据外，还将《信息安全技术个人信息安全规范》作为合规标准。认证的基本要求是提供具有法律约束力的协议、明确的个人信息跨境处理规则和个人信息保护影响评估，并且有一定的组织管理架构。