个人信息在出境场景下的保护，主要目的是在数据脱离了原来的数据控制者同时流出国境的情况下，持续保障个人合法权益。

数据流出国境，与数据在境内流动相比，会产生四个主要的变化：一是数据持有方发生变化，显然对数据的保护能力必然有相应的改变；二是数据流出后适用的法律法规不同了；三是原境内监管机关无法对接收数据的境外主体实施管辖权；四是个人数据主体维护自身合法权益的渠道变少了，且变得更加困难。

因此，保障个人数据出境安全的主要制度设计主要着力于上述四个方面。对这点，中外莫不如是。

先看已经落地实施较长时间的欧盟。新的《通用数据保护条例》（GDPR）在95指令的基础上，进一步固定并更新了个人数据出境的安全保护制度。首先看标准格式合同条款（standard contract clause, SCC）。SCC固定了数据出境后受的保护原则（也就决定了保护水平）；同时SCC还通过法律责任划分的形式，将主要责任确定在了境内的组织，给境内监管机关追究责任提供了便利。当然，境内主体可以转而继续追究境外主体的责任，通过合同的形式。同时，欧盟的SCC还在其合同中规定了个人数据主体可以基于合同拥有一些特定的权利。

再次看有约束力的公司准则（binding corporate rules, BCR），也是着力于上述四个方面。BCR需境内监管机构的认可，就意味着境内监管机关需要认可BCR所提供的数据保护水平，如果有一家跨国分公司所在国家的保护水平比较低，则该分公司还是需要遵守BCR，根据BCR规定的原则提供数据保护。公司在提交BCR申请时，需要确定主申报国家。一旦主申报国家确定，则公司在该国的公司主体就要承担有关数据出境的所有法律责任——即监管机关、个人数据主体，均可以通过境内的公司主体来追究法律责任。

最后看充分性认定。对某个国家或地区进行充分性认定，就意味着认可该国家或地区的法律法规，意味着认可该国家或地区监管机关对数据保护的执法力度，也意味着认可个人行使权利的有效性和便利程度。因此，认定是个非常慎重的过程，需要全方面的考察。

从上述角度来看，单纯依赖个人同意作为个人数据出境的条件，无法“补齐”数据出境带来的四个风险变化。从国际惯例上看，个人同意普遍不是数据出境的先决条件。而在实践中，如果将“同意”作为个人信息出境的条件，主要的场景是偶发、单次、数量较少且其他出境制度（如充分性认定、标准格式条款、有约束力的公司准则等）均不适用的情况下。

基于上述分析和理解，再来观察网信办发布的《个人信息出境安全评估办法（征求意见稿）》（以下简称“《办法》”）。该《办法》所建立的个人信息出境保护制度，基本上也是从上述个人信息出境时会出现的四个变化着手，通过制度设计，降低新增安全风险。主要分析如下：

1. 《办法》要求个人信息出境前，网络运营者与境外数据接收者签订合同。同时，《办法》对合同的内容作了细致的规定，主要内容之一就是对接收者如何保护个人信息安全的约定。此外，网络运营者在申报出境安全评估时应提交个人信息出境安全风险及安全保障措施分析报告，重点分析内容之一即是接收者的数据安全能力。这样的制度设计主要针对的是确保境外数据接收者能够持续对个人信息提供足够的保护水平。

   
   

2. 对于数据出境后所适用的法律法规发生变化的问题，《办法》提出网络运营者在与接收者签订的合同中，应当要求数据接收者在其所在国家或地区的法律发生变化而导致合同无法履行的情况时，主动告知网络运营者。后者将判断是否终止合同，并要求数据接收者删除相关数据。这样“通知-变更”的要求，能够有效防止境外法律法规产生变化后可能对个人信息安全带来的不利影响。当然，在个人数据出境前，网络运营者就应首先分析境外国家或地区的法律法规是否足以保障个人信息的安全。

   
   

3. 对于原境内监管机关无法对境外数据接收方实施管辖的问题，《办法》从三个层面作出了设计：首先，《办法》要求网络运营者与接收者签订的合同中，要对个人信息安全责任作出约定，明确境内网络运营者“默认兜底”（accountability by default）的角色和安排。其次，网信部门通过网络运营者的年度申报可以掌握单个网络运营者的整体数据出境情况，以此安排检查；在特定情况下，网信部门可要求暂停数据出境，并要求网络运营者通过合同这个法律工具，要求数据接收者删除数据。再次，《办法》要求“境外网络运营者”直接面向中国市场提供服务时，需要在境内安排法定代表人或者机构以履行《办法》所规定的法律责任和义务，也是为了保障有效的管辖。

   
   

4. 确保个人信息主体能够在数据出境后维护自身合法权益，也是《办法》的另外一个亮点。不仅在合同中，网络运营者需与接收方提前约定个人信息主体行使其权利的途径和方式，网络运营者在申报出境安全评估时，也需要对上述途径和方式的有效性、便利性开展分析和评估。当然，《办法》也没有将“宝”全押在网络运营者身上，其还赋予了个人信息主体针对数据出境的特殊“查询权”。个人信息主体可查询的内容包括：网络运营者与接收方之间签署的合同副本、个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间等内容。在保障知情权的前提下，个人信息主体能够更好地行使其权利。

当然，如果不对个人信息出境后再次传输（onwards transfer）进行限定，上述个人信息出境安全的制度设计就将流于形式。因此《办法》专门针对出境后的再次传输进行了规定：针对个人信息的再次传输，实施个人选择退出（opt-out）；针对个人敏感信息的再次传输，则要求个人选择同意（opt-in）。

总的看来，我国个人信息出境安全评估的制度设计，在处置实体层面的安全风险（即本文前述的因数据出境带来的四个变化）时，基本和外国实践保持一致，真正做到了有的放矢。

后记：

以上介绍了《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的设计思路。

与上一稿“出境安全评估办法”相比，本《办法》最大的变化之一就是将个人信息与重要数据的安全评估区分对待。这也是公号君从一开始就秉持的观点和在工作层面中所坚持的方向。熟悉公号君文章的人，一定对下图不会感到陌生：

关于上图的详细论述，见拙文：【“数据出境安全评估基本框架的构建”】。这篇文章也翻译成了英文版，有需要的读者请点击文末左下角的“阅读原文” 中下载。

相信大家对《办法》中的一些制度设计，特别是程序规则方面（例如事前批准），有很多建议和意见。在此预告：6月28日将额外多举办一次DPO沙龙，目的是直接对《个人信息出境安全评估办法（征求意见稿）》每一条文形成修改意见，并附上修改理由，目的是增强该《办法》的可执行性和可操作性（比如设计出安全评估的例外等），敬请关注近期本公号的通知。

原定6月14日的DPO沙龙，将如期举行【数据保护官（DPO）沙龙第十三期报名开始：形成《数据安全管理办法》的修订花脸稿】。大家明天见！

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）