個(gè)人信息跨境流動是數(shù)字經(jīng)濟(jì)全球化的重要組成部分，能夠充分釋放數(shù)據(jù)價(jià)值，對于數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展具有重要推動作用。為滿足日益增長的個(gè)人信息出境需要，保護(hù)個(gè)人信息權(quán)益，國家互聯(lián)網(wǎng)信息辦公室于2023年2月24日以部門規(guī)章形式出臺《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（以下簡稱《辦法》），細(xì)化了個(gè)人信息通過與境外接收方訂立標(biāo)準(zhǔn)合同方式出境的制度，是網(wǎng)絡(luò)與信息法治建設(shè)的重要成果；創(chuàng)新了網(wǎng)絡(luò)空間治理的新型綜合治理機(jī)制，是網(wǎng)絡(luò)與信息法學(xué)研究的最新立法范本。

一、《辦法》出臺的重要意義

第一，《辦法》的出臺有利于推動《個(gè)人信息保護(hù)法》更好實(shí)施。《個(gè)人信息保護(hù)法》第三十八條規(guī)定了個(gè)人信息處理者向境外提供個(gè)人信息的三個(gè)途徑，即安全評估、個(gè)人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同以及其他條件?！掇k法》正文對“標(biāo)準(zhǔn)合同”途徑下的個(gè)人信息出境要求作了詳細(xì)規(guī)定，明確了個(gè)人信息出境標(biāo)準(zhǔn)合同的適用范圍、訂立條件和備案要求；附件列出了標(biāo)準(zhǔn)合同的基本條款，將法律規(guī)范轉(zhuǎn)化為合同規(guī)則。

第二，《辦法》的出臺有利于促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)據(jù)有序跨境流動。《辦法》要求符合條件的個(gè)人信息處理者與境外接收方按照本辦法訂立個(gè)人信息出境標(biāo)準(zhǔn)合同并生效后即可出境個(gè)人信息，簡化了個(gè)人信息出境的流程與環(huán)節(jié)，為個(gè)人信息處理者提供了多元化的個(gè)人信息出境方式?！掇k法》附件提供了標(biāo)準(zhǔn)合同的范本，境內(nèi)個(gè)人信息處理者僅需要結(jié)合實(shí)際情況進(jìn)行填充完善，極大降低了境內(nèi)個(gè)人信息處理者的成本，解決了部分中小規(guī)模個(gè)人信息處理者專業(yè)人員不足的難題，便于其健康有序發(fā)展。

第三，《辦法》的出臺有利于提升個(gè)人信息出境活動的規(guī)范化水平。一方面，《辦法》明底線劃紅線，指出合規(guī)方向，細(xì)化適用訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息的基本條件，明確個(gè)人信息影響評估和合同備案的基本要求。另一方面，《辦法》也亮規(guī)矩定責(zé)任，要求個(gè)人信息處理者對所備案材料的真實(shí)性負(fù)責(zé)，違反規(guī)定依據(jù)《個(gè)人信息保護(hù)法》等法律法規(guī)處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

二、《辦法》的四大亮點(diǎn)

第一，平衡了安全與發(fā)展。個(gè)人信息跨境流動對于引領(lǐng)數(shù)字經(jīng)濟(jì)全球化發(fā)展具有重要作用，有利于做大、做強(qiáng)、做優(yōu)我國數(shù)字經(jīng)濟(jì)?！掇k法》堅(jiān)持自主締約與備案管理相結(jié)合，防范個(gè)人信息出境后因泄露、損毀、篡改、濫用等可能對個(gè)人信息權(quán)益帶來的風(fēng)險(xiǎn)，落實(shí)多元化個(gè)人信息出境模式，豐富個(gè)人信息保護(hù)監(jiān)管方式和手段，保障個(gè)人信息跨境安全、自由流動，有利于充分發(fā)揮數(shù)據(jù)要素對于高質(zhì)量發(fā)展的重要推動作用，引領(lǐng)數(shù)字經(jīng)濟(jì)全球化發(fā)展。

第二，織密了數(shù)據(jù)出境制度。一方面，《辦法》與《數(shù)據(jù)出境安全評估辦法》互為補(bǔ)集、互相銜接，為“非關(guān)鍵、小規(guī)模”的個(gè)人信息出境提供了詳細(xì)規(guī)范，進(jìn)一步織密了個(gè)人信息出境管理制度。另一方面，《辦法》附件的標(biāo)準(zhǔn)合規(guī)范本在合同雙方之外，還對向境外的第三方提供個(gè)人信息提出了約束性要求，并對受個(gè)人信息處理者委托處理個(gè)人信息，轉(zhuǎn)委托第三方處理的情形作出規(guī)定，進(jìn)一步筑牢了個(gè)人信息權(quán)益保護(hù)“防火墻”。

第三，創(chuàng)新了個(gè)人信息保護(hù)監(jiān)管機(jī)制。《辦法》充分體現(xiàn)了依法治理、綜合治理的理念，一方面創(chuàng)造性地將合同這一意思自治形式吸收成為新的監(jiān)管手段，在對個(gè)人信息處理者提出管理要求的同時(shí)，也留出了充足的創(chuàng)新空間；另一方面充分地把合規(guī)要求融入個(gè)人信息保護(hù)要求，除了將采取的技術(shù)措施列為個(gè)人信息評估的重點(diǎn)內(nèi)容，還在附件的合同范本中，為個(gè)人信息處理者采取加密、匿名化、去標(biāo)識化、訪問控制等技術(shù)和管理措施作出引導(dǎo)。

第四，突出了個(gè)人信息主體權(quán)益實(shí)現(xiàn)。《辦法》除了將《個(gè)人信息保護(hù)法》確立的個(gè)人信息主體權(quán)益列入合同范本正文，還重視境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對我國個(gè)人信息主體權(quán)益的影響，把相關(guān)政策法規(guī)發(fā)生變化等可能影響個(gè)人信息權(quán)益的情形，作為觸發(fā)重新開展個(gè)人信息保護(hù)影響評估、補(bǔ)充或者重新訂立標(biāo)準(zhǔn)合同的重要條件。此外，《辦法》也充分體現(xiàn)了對“無救濟(jì)就無權(quán)利”原則的重視，把“救濟(jì)”作為合同范本的一條，要求境外接收方確定接受詢問或投訴的聯(lián)系人，并載明聯(lián)系方式；明確境外接收方接受個(gè)人信息主體通過向監(jiān)管機(jī)構(gòu)投訴和提起訴訟等方式維護(hù)權(quán)利；申明合同雙方同意個(gè)人信息主體所作的維權(quán)選擇，不會減損個(gè)人信息主體根據(jù)其他法律法規(guī)尋求救濟(jì)的權(quán)利。

三、加強(qiáng)監(jiān)管和合規(guī)，更好實(shí)施《辦法》

第一，加強(qiáng)個(gè)人信息保護(hù)監(jiān)管執(zhí)法。建議網(wǎng)信部門加大指導(dǎo)、引導(dǎo)、督促力度，推動境內(nèi)個(gè)人信息處理者積極開展評估、備案，監(jiān)督個(gè)人信息處理者業(yè)務(wù)開展中涉及個(gè)人信息出境的合同等法律文件，對未履行備案程序或者提交虛假材料進(jìn)行備案的、未履行標(biāo)準(zhǔn)合同約定的責(zé)任義務(wù)并侵害個(gè)人信息權(quán)益造成損害的依法追究法律責(zé)任。

第二，個(gè)人信息處理者應(yīng)對照《辦法》要求做好合規(guī)。個(gè)人信息處理者應(yīng)當(dāng)加強(qiáng)對《辦法》的學(xué)習(xí)，對照《辦法》要求，用好通過訂立標(biāo)準(zhǔn)合同的方式開展個(gè)人信息出境活動。首先，應(yīng)當(dāng)盡快梳理自身數(shù)據(jù)資產(chǎn)和出境數(shù)據(jù)規(guī)模，識別是否具備《辦法》適用情形。其次，按照《辦法》要求，在向境外提供個(gè)人信息前嚴(yán)格開展個(gè)人信息保護(hù)影響自評估，重點(diǎn)評估個(gè)人信息出境的目的、范圍、方式及其合法性、正當(dāng)性、必要性，通過出境個(gè)人信息的數(shù)量、范圍、種類、敏感程度來判斷其所可能產(chǎn)生的風(fēng)險(xiǎn)，明確境外接收方承諾承擔(dān)的責(zé)任義務(wù)、管理能力、技術(shù)措施以及境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策法規(guī)。再者，應(yīng)當(dāng)按照《辦法》附件與境外接收方簽署標(biāo)準(zhǔn)合同，并將標(biāo)準(zhǔn)合同與影響評估報(bào)告在標(biāo)準(zhǔn)合同生效之日起10個(gè)工作日內(nèi)向所在地省級網(wǎng)信部門備案。

第三，發(fā)展應(yīng)用法律科技，賦能監(jiān)管與合規(guī)。隨著人工智能、大數(shù)據(jù)等技術(shù)的進(jìn)一步發(fā)展，利用“法律+科技”的手段實(shí)現(xiàn)監(jiān)管與合規(guī)的自動化、智能化，符合數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)字政府建設(shè)的新方向、新趨勢?？梢蚤_發(fā)快速審查個(gè)人信息出境標(biāo)準(zhǔn)合同、影響評估報(bào)告的監(jiān)管工具，助力實(shí)現(xiàn)備案監(jiān)管的智慧化、精準(zhǔn)化、全時(shí)化，提高監(jiān)管能力和水平。通過技術(shù)對數(shù)據(jù)收集、存儲、加工、使用、傳輸、刪除等全生命周期進(jìn)行可視化管理，自動分析企業(yè)數(shù)據(jù)資產(chǎn)與合規(guī)風(fēng)險(xiǎn)，根據(jù)分類分級等規(guī)則自動識別個(gè)人信息的數(shù)量、范圍、種類、敏感程度，保障個(gè)人信息處理目的、范圍、方式等的合法性、正當(dāng)性、必要性，助力低成本、高效率完成《辦法》所要求的個(gè)人信息保護(hù)影響評估。（作者：周輝 中國社會科學(xué)院法學(xué)研究所網(wǎng)絡(luò)與信息法研究室副主任）