十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

本文是“十国/地区数据保护法十大合规要点对比”系列的第四部分，主要是围绕数据跨境传输规则与要求

进行解读、对比与分析。

第一部分请参见：十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见：十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分请参见：十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

第四部分：数据跨境传输规则与要求

在数字经济时代，数据是各国竞相争夺的基础性战略资源，各国不断出台数据跨境传输规则与政策，强化本国对数据资源的掌控能力，以便在全球数字经济发展格局中占据有利地位。与此同时，数据只有流动才能产生经济红利，如何平衡跨境数据流动为跨国合作带来极大促进作用的同时，也能更好地维护主权国家在个人隐私权、企业商业利益和国家安全的问题上，提出了法律规制上的全新挑战。

（一）我国个人信息保护法解读：

01 跨境提供个人信息的前置条件

我国个保法正式确立了我国个人信息跨境流动的规则体系，规定个人信息以在境内存储为原则，并确定了需要在满足法律规定的条件下可以向境外提供个人信息的规则。

可见，我国基于个人信息的跨境流动将会影响到个人隐私安全、企业利益甚至国家安全，以及数据的跨境流动具有不可逆的特性，采取了对个人信息跨境传输活动进行事前监管的方式。

个保法第三十八条明确规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：

照本法第四十条的规定通过国家网信部门组织的安全评估；

按照国家网信部门的规定经专业机构进行个人信息保护认证；

按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

法律、行政法规或者国家网信部门规定的其他条件。

我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。

首先，从法条本义解析出发，至少满足其中一项条件即可，但实践中，如果能同时满足其他条件，亦为更佳。

其次，需要注意的是，安全评估或个人信息保护认证，并非企业自我评估或自我认证就可以，而是两者都需要由国家网信部门的安排与组织下进行。根据2019网信办发布的《个人信息出境安全评估办法（征求意见稿）》，与安全评估的相关规则还处在征求意见阶段，暂未见其他进一步的强制规定与政策指南。

所以，尽管目前还没有具体的由国家网信部门指定的标准合同，但相比前两者来说，目前跨国企业在进行个人信息跨境传输时较为可行的方式，是采取“与境外接收方订立合同”的方式，通过要求提供方与接收方公司签订合同以约定双方在个人信息处理和保护的权利和义务。

02 跨境提供个人信息的基础要求

跨境传输是个人信息处理活动的一种，因此，在满足“前置条件”的情况下，企业在向境外提供个人信息的时候，仍需要继续按照我国个保法的基础要求进行，主要包括：

数据主体告知境外接收方的身份和联系方式，个人信息的处理目的、处理方式，个人信息的种类、数据主体对应权利，以及保存期限（且应当为实现处理目的所必要的最短时间等）；

获得数据主体的单独同意；

进行事先的个人信息保护影响评估（DPIA或PIA）

采取必要措施，保障境外接收方处理个人信息的活动达到个保法要求的个人信息保护标准；

确保境外接收方没有落入国家网信部门的黑名单（列入限制或者禁止提供个人信息的公告清单）。

03 跨境提供个人信息的对等要求

我国个保法确立了信息跨境传输的“对等原则”，即，如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施，则我国可以根据实际情况对该国家或者地区采取对等的禁止、限制或其他类似的措施。在这样的情况下，当个人信息是向该等国家或地区提供的时候，则会受到相应的限制，需要视情况而具体分析。

04 跨境提供个人信息的特殊要求

在向境外提供个人信息时候，还需要特别关注被传输的个人信息的性质，以及数量问题。

对于关键信息基础设施运营者，以及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当：

将在境内收集和产生的个人信息存储在境内；

确需向境外提供的，应当通过国家网信部门组织的安全评估；但法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

关于“关键信息基础设施”的认定，在刚刚生效的《关键信息基础设施安全保护条例》中有所体现，主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

关于“个人信息达到国家网信部门规定数量”的界定，可参考本年7月份网信办发布的《网络安全审查办法（修订草案征求意见稿）》，以及2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中的规定。

在协助境外司法执行方面的规定

我国个保法在这方面设置了非常高的门槛，明确规定了，对于存储在我国境内的个人信息，如果没有经过我国主管机关的批准，不得向外国司法或者执法机构进行提供。可见，我国对此情形下亦强调并采取了事前监管原则，即便进行了各种安全评估、获得数据主体同意、进行个人信息保护认证等方式也不能成为可以向境外司法或执法机构提供的前置条件，而唯有获得中国主管机关的明确批准，才能流出境外。

（二）海外主要个人信息保护法律对比：

总体来说

在数据跨境流动方面，可以看到，各国正在不断强化数据跨境传输的规则与限制要求，体现了主权国家对本国数据资源的管控意识。纵观各国在数据跨境流动的管理思路，主要以美国和欧盟为首的两种做法为主。

美国在数据流入方面主张“数据自由流动”，强调通过美国科技和数据资源上的优势，推动数字经济的发展；在数据流出方面，则通过出口管制手段来限制高科技、军民两用技术的数据出境。

欧盟则选择“欧盟境内松，欧盟境外紧”的数据跨境管理模式。在欧盟境内通过《非个人数据自由流动框架条例》促进欧盟内部数据的自由流动，同时通过《通用数据保护条例》（GDPR），确定欧盟数据保护的法律框架，增强了数据向境外流出的管控，并通过长臂管辖方式加大了对欧盟个人数据的保护力度。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

近期更新：

十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案

爱尔兰DPC称Facebook发生5.33亿用户数据泄露