個人信息跨境流動是數(shù)字經(jīng)濟全球化的重要組成部分，能夠充分釋放數(shù)據(jù)價值，對于數(shù)字經(jīng)濟高質(zhì)量發(fā)展具有重要推動作用。為滿足日益增長的個人信息出境需要，保護個人信息權益，國家互聯(lián)網(wǎng)信息辦公室于2023年2月24日以部門規(guī)章形式出臺《個人信息出境標準合同辦法》（以下簡稱《辦法》），細化了個人信息通過與境外接收方訂立標準合同方式出境的制度，是網(wǎng)絡與信息法治建設的重要成果；創(chuàng)新了網(wǎng)絡空間治理的新型綜合治理機制，是網(wǎng)絡與信息法學研究的最新立法范本。

　　一、《辦法》出臺的重要意義

　　第一，《辦法》的出臺有利于推動《個人信息保護法》更好實施。《個人信息保護法》第三十八條規(guī)定了個人信息處理者向境外提供個人信息的三個途徑，即安全評估、個人信息保護認證、標準合同以及其他條件?！掇k法》正文對“標準合同”途徑下的個人信息出境要求作了詳細規(guī)定，明確了個人信息出境標準合同的適用范圍、訂立條件和備案要求；附件列出了標準合同的基本條款，將法律規(guī)范轉(zhuǎn)化為合同規(guī)則。

　　第二，《辦法》的出臺有利于促進數(shù)字經(jīng)濟發(fā)展和數(shù)據(jù)有序跨境流動?！掇k法》要求符合條件的個人信息處理者與境外接收方按照本辦法訂立個人信息出境標準合同并生效后即可出境個人信息，簡化了個人信息出境的流程與環(huán)節(jié)，為個人信息處理者提供了多元化的個人信息出境方式?！掇k法》附件提供了標準合同的范本，境內(nèi)個人信息處理者僅需要結合實際情況進行填充完善，極大降低了境內(nèi)個人信息處理者的成本，解決了部分中小規(guī)模個人信息處理者專業(yè)人員不足的難題，便于其健康有序發(fā)展。

　　第三，《辦法》的出臺有利于提升個人信息出境活動的規(guī)范化水平。一方面，《辦法》明底線劃紅線，指出合規(guī)方向，細化適用訂立標準合同的方式向境外提供個人信息的基本條件，明確個人信息影響評估和合同備案的基本要求。另一方面，《辦法》也亮規(guī)矩定責任，要求個人信息處理者對所備案材料的真實性負責，違反規(guī)定依據(jù)《個人信息保護法》等法律法規(guī)處理；構成犯罪的，依法追究刑事責任。

　　二、《辦法》的四大亮點

　　第一，平衡了安全與發(fā)展。個人信息跨境流動對于引領數(shù)字經(jīng)濟全球化發(fā)展具有重要作用，有利于做大、做強、做優(yōu)我國數(shù)字經(jīng)濟。《辦法》堅持自主締約與備案管理相結合，防范個人信息出境后因泄露、損毀、篡改、濫用等可能對個人信息權益帶來的風險，落實多元化個人信息出境模式，豐富個人信息保護監(jiān)管方式和手段，保障個人信息跨境安全、自由流動，有利于充分發(fā)揮數(shù)據(jù)要素對于高質(zhì)量發(fā)展的重要推動作用，引領數(shù)字經(jīng)濟全球化發(fā)展。

　　第二，織密了數(shù)據(jù)出境制度。一方面，《辦法》與《數(shù)據(jù)出境安全評估辦法》互為補集、互相銜接，為“非關鍵、小規(guī)?！钡膫€人信息出境提供了詳細規(guī)范，進一步織密了個人信息出境管理制度。另一方面，《辦法》附件的標準合規(guī)范本在合同雙方之外，還對向境外的第三方提供個人信息提出了約束性要求，并對受個人信息處理者委托處理個人信息，轉(zhuǎn)委托第三方處理的情形作出規(guī)定，進一步筑牢了個人信息權益保護“防火墻”。

　　第三，創(chuàng)新了個人信息保護監(jiān)管機制?！掇k法》充分體現(xiàn)了依法治理、綜合治理的理念，一方面創(chuàng)造性地將合同這一意思自治形式吸收成為新的監(jiān)管手段，在對個人信息處理者提出管理要求的同時，也留出了充足的創(chuàng)新空間；另一方面充分地把合規(guī)要求融入個人信息保護要求，除了將采取的技術措施列為個人信息評估的重點內(nèi)容，還在附件的合同范本中，為個人信息處理者采取加密、匿名化、去標識化、訪問控制等技術和管理措施作出引導。

　　第四，突出了個人信息主體權益實現(xiàn)。《辦法》除了將《個人信息保護法》確立的個人信息主體權益列入合同范本正文，還重視境外接收方所在國家或者地區(qū)的個人信息保護政策和法規(guī)對我國個人信息主體權益的影響，把相關政策法規(guī)發(fā)生變化等可能影響個人信息權益的情形，作為觸發(fā)重新開展個人信息保護影響評估、補充或者重新訂立標準合同的重要條件。此外，《辦法》也充分體現(xiàn)了對“無救濟就無權利”原則的重視，把“救濟”作為合同范本的一條，要求境外接收方確定接受詢問或投訴的聯(lián)系人，并載明聯(lián)系方式；明確境外接收方接受個人信息主體通過向監(jiān)管機構投訴和提起訴訟等方式維護權利；申明合同雙方同意個人信息主體所作的維權選擇，不會減損個人信息主體根據(jù)其他法律法規(guī)尋求救濟的權利。

　　三、加強監(jiān)管和合規(guī)，更好實施《辦法》

　　第一，加強個人信息保護監(jiān)管執(zhí)法。建議網(wǎng)信部門加大指導、引導、督促力度，推動境內(nèi)個人信息處理者積極開展評估、備案，監(jiān)督個人信息處理者業(yè)務開展中涉及個人信息出境的合同等法律文件，對未履行備案程序或者提交虛假材料進行備案的、未履行標準合同約定的責任義務并侵害個人信息權益造成損害的依法追究法律責任。

　　第二，個人信息處理者應對照《辦法》要求做好合規(guī)。個人信息處理者應當加強對《辦法》的學習，對照《辦法》要求，用好通過訂立標準合同的方式開展個人信息出境活動。首先，應當盡快梳理自身數(shù)據(jù)資產(chǎn)和出境數(shù)據(jù)規(guī)模，識別是否具備《辦法》適用情形。其次，按照《辦法》要求，在向境外提供個人信息前嚴格開展個人信息保護影響自評估，重點評估個人信息出境的目的、范圍、方式及其合法性、正當性、必要性，通過出境個人信息的數(shù)量、范圍、種類、敏感程度來判斷其所可能產(chǎn)生的風險，明確境外接收方承諾承擔的責任義務、管理能力、技術措施以及境外接收方所在國家或者地區(qū)的個人信息保護政策法規(guī)。再者，應當按照《辦法》附件與境外接收方簽署標準合同，并將標準合同與影響評估報告在標準合同生效之日起10個工作日內(nèi)向所在地省級網(wǎng)信部門備案。

　　第三，發(fā)展應用法律科技，賦能監(jiān)管與合規(guī)。隨著人工智能、大數(shù)據(jù)等技術的進一步發(fā)展，利用“法律+科技”的手段實現(xiàn)監(jiān)管與合規(guī)的自動化、智能化，符合數(shù)字經(jīng)濟發(fā)展和數(shù)字政府建設的新方向、新趨勢。可以開發(fā)快速審查個人信息出境標準合同、影響評估報告的監(jiān)管工具，助力實現(xiàn)備案監(jiān)管的智慧化、精準化、全時化，提高監(jiān)管能力和水平。通過技術對數(shù)據(jù)收集、存儲、加工、使用、傳輸、刪除等全生命周期進行可視化管理，自動分析企業(yè)數(shù)據(jù)資產(chǎn)與合規(guī)風險，根據(jù)分類分級等規(guī)則自動識別個人信息的數(shù)量、范圍、種類、敏感程度，保障個人信息處理目的、范圍、方式等的合法性、正當性、必要性，助力低成本、高效率完成《辦法》所要求的個人信息保護影響評估。（周輝　中國社會科學院法學研究所網(wǎng)絡與信息法研究室副主任）