南财《个人信息保护法企业合规启示报告》6：个人信息跨境需获单独同意，企业应完善事先控制

8月20日，《个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过，自2021年11月1日起施行。

纵观《个人信息保护法》立法路程，走过近二十年。这期间，互联网高速发展，大数据时代来到。伴随着高频、高速、高密度的数据交流传输，作为原材料的个人信息滥用问题相伴而至。

对个人信息保护的立法呼声越来越高，急需一部专门法律定分止争。《个人信息保护法》千呼万唤使出来。

南方财经全媒体集团合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态、公众呼声。借《个人信息保护法》落地之际，推出解读报告《个人信息保护法企业合规启示报告》。

该报告分为上下篇，上篇《个人信息处理新变局》梳理立法路径与模式，聚焦个人信息处理逻辑的转变，下篇《企业合规风险研判》则将目光放到企业合规的重点与难点，以及新的信息处理机制在数字经济发展中面临的新挑战。报告受中国社会科学院法学研究所副研究员，中国法学会网络与信息法学研究会副秘书长周辉指导。

本篇报道为报告下篇的拆解报道，聚焦《个人信息保护法》对于个人信息跨境流动产生的影响。

数据跨境的法律规制

我国头部互联网企业已经建成了具有国际领先水平的大数据存储与处理平台，在跨境网络支付、跨境电子商务、信息网络服务等应用领域的发展，必然涉及数据的跨境双向流动。

对于跨境数据的要求，我国多部法律法规以及国家标准进行规制。

2016年，我国《网络安全法》要求关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储，确需向境外提供的应安全评估。

2019年，网信办出台的《个人信息和重要数据出境安全评估办法》（征求意见稿）则将《网络安全法》中的“关键信息技术设施运营者”扩大到所有“网络运营者”，同时规定“自行评估”和“行业监管部门评估”两种评估形式以及数据出境评估必须每年开展一次。

2020年，信安标委发布的《信息安全技术 数据出境安全评估指南》（征求意见稿），明确“网络运营者”“境内运营”“重要数据”“数据出境”等概念，规定评估总体流程及要点，主要对“出境目的”和“安全风险”进行评估且达到“合理正当”和“安全可控”，同时对数据接收方安全保护能力做出规定，包括接收方主体背景、管理制度、技术手段以及政治法律环境等指标。

根据不同行业的特殊性，监管部门严控数据出境，在金融、征信行业、网络车行业、网络出版和网络地图行业、医疗卫生等特殊领域，必须首先本地化存储，要求服务器设置在境内，或者是某类数据禁止跨境进行传输。例如医疗数据、人口健康信息相关的服务器要求设置在境内，金融机构要求如果数据传输，只能传递至其子公司、母公司等关联公司，征信数据只能在中国境内处理等。

完善个人信息跨境提供规则

《个人信息保护法》对个人信息跨境需要满足的必要前提进行了整合，并将向个人主体的告知和获取个人主体的单独同意作为另一必要前提条件。

第四十条明确，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估，与《网络安全法》基本保持一致；对于其他需要跨境提供个人信息的，规定了经专业机构认证等途径。第五十五条与第五十六条同样对向境外提供个人信息作出事前影响评估并对处理情况记录的要求，并提出评估的具体内容。

对跨境提供个人信息的“告知—同意”作出更严格的要求，第三十九条提出，应向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使该法规定权利的方式和程序等事项，并取得个人的单独同意。

对因在境外参与司法程序或面临行政调查，需要向境外提供个人信息的，要求依法申请有关主管部门批准。

上海市锦天城（南京）律师事务所合伙人何兴驰向21世纪经济报道记者表示，从技术层面而言，数据跨境传输的风险主要存在于数据的传输、存储和应用三个环节：

传输环节的风险，数据传输过程可能被中断，数据可能被截获、被篡改，而由于操作环节繁多、涉及路径广泛，溯源非常困难；

存储环节的风险，因受限于数据跨境后存储地的网络安全技术水平等因素，容易出现数据泄露问题；

应用环节的风险，跨境数据的承载介质多样、呈现形态各异、应用场景广泛，而数据跨境前后国家/地区的政策、法律存在差异，甚至存在冲突，导致数据所有者、使用者的权限不明，数据可能被滥用，企业也可能面临数据合规的挑战。

个人信息管制和反制条款

出于在全球数据治理博弈中对中国个人数据主体和数据主权的保护，也出于在国际关系中取得微妙的平衡，《个人信息保护法》首次创制对个人数据的管制和反制条款，为将管制和反制对象列入限制或禁止个人信息提供的清单，对于反制对象可以根据实际情况对该国家或者地区对等采取措施。《数据安全法》也提出了应当对属于管制物项的数据依法实施出口管制。

管制和反制的适用条件在第四十二条及第四十三条进行了严格限制。其中管制的对象为：从事损害了中国数据主体权益或危害中国国家安全、公共利益的个人信息处理活动的境外组织和个人。而反制的对象则是对中国采取歧视性的禁止、限制或者其他类似措施的国家和地区。

对于境外的个人信息处理者，《个人信息保护法》要求设立境内专门机构或指定境内代表，并要求履行沟通渠道的报送义务，弥补了一直以来针对境外机构监管的敞口，与欧盟GDPR等域外个人信息保护法的机制保持一致性的对等要求。

《个人信息保护法》第五十三条规定，中国境外的个人信息处理者，应在境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送监管部门。

南财合规科技研究院建议：

1、系统部署国内外的合规体系

各行业应基于《个人信息保护法》及《网络安全法》等基本法及所在行业的相关法律法规，确立个人数据出境及信息安全的保障义务。

数据跨境流动已经跨越公司的边界、跨越了国界，企业需要对其位于不同国家的合作伙伴的安全承担同样的责任，并面临更多的监管。当前，各国越来越意识到互联网主权的重要性，对于跨境数据保护标准不统一，法律法规在历史根源、立法模式、规制方式以及司法确认方面都各不相同，加之国际政治经济局势多变，如企业一旦违法将面临高额罚款。对于“走出去”的企业，应拥有全球化视野，提前作好各国跨境数据法律风险预案。

2、完善事先控制，注重数据来源与流向

现阶段，任命个人信息保护负责人，成立相关部门，建立内部合规管理制度和相关措施成为重点与难点。数据跨境流动企业在创建合规和数据治理规定时，对于风险的控制不应仅限于事后补救，而需实现事先控制。

例如，企业需确认自身储存个人数据的内容、地点、方式、来源、流向，储存这些数据的原因以及获取数据的方式，尤其针对存在数据跨境、产品/服务跨境、业务主体跨境等情况的业务场景，了解数据的访问设置、服务器的调用等所涉及的数据是否跨境。

对于具体操作过程中涉及的软件设计，企业应根据数据在不同法域的风险，设计不同的模块的启动和调用，或者设计不同的版本，以及运用各种必要的技术措施管理数据访问权限，实现数据的分离和对数据访问的控制。对合作的第三方进行管理时，对供应商、分包商、或其他商业合作伙伴，均应在合同关系建立前进行调查和数据风险评估。

（作者：张雅婷,见习记者郭美婷 编辑：曹金良）

21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权，任何人不得以任何方式使用。详情或获取授权信息请点击此处。