【个人信息跨境基本规则】

第三十八条 【 个人信息跨境基本规则】

【条文主旨】

本条是关于个人信息处理者向中华人民共和国境外提供个人信息的基本规则的规定。

【条文理解】

一、跨境传输的概念

（一）国际法解释

在经济全球化与大数据时代背景下，个人信息的跨境流动当属不可逆之趋势。传统国际法中，“境”一般指实际可见的物理空间，即通过海、陆、空的分割以界定不同国家的国境，这也是国家主权的重要内容。互联网时代兴起以来，网络空间成为虚拟的国家主权领域，各国的政治、外交等博弈由传统海陆空拓展到了互联网领域，作为互联网重要元素之一的数据，也不可避免地成为国家竞争的资源。因此，“个人信息的跨境”是否仍同传统国际法一样强调“地缘性边境”，还是应当符合互联网技术的发展逻辑，应当予以明确。实践中，个人数据跨越传统国界进行传输自当属于“跨境”，若个人信息本身没有跨越物理边境，但可以在境外被访问，此时是否属于个人信息的跨境？由于互联网空间不同于传统的物理空间，一国主体进入第三方国家对个人数据进行访问，实际上是主体的跨境行为，只不过这种跨境行为出现在网络领域内，与传统物理空间的跨境不同，国际私法也不应否认这种行为的涉外性。因此，广义上的“跨境”不仅包括个人数据通过互联网跨越一定的地域边界或主权边界，也包括对一国网站的访问。

（二）国内法解释

何谓“个人信息的跨境提供”，本法并未明确规定。《信息安全技术 数据出境安全评估指南（草案）》对“网络运营者”“境内运营”以及“数据出境”等重要术语进行了定义。其中，“数据出境”是指“网络运营者通过网络等方式，将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”。此外，该草案第3.7条进一步明确了数据出境的情形：“a）向本国境内、但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；b）数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；c）网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据的”；并进一步列举了两类不属于数据出境的场景，即（1）“非在境内运营中收集和产生的个人信息和重要数据经由本国出境，未经任何变动或加工处理的，不属于数据出境”；（2）“非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境，不涉及境内运营中收集和产生的个人信息和重要数据的，不属于数据出境”。《个人信息出境安全评估办法（征求意见稿）》第二条则大大简化了前述定义及列举，仅将“个人信息出境”定义为“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息”。对于个人信息跨境的法律定义，还须正式立法予以明确。

二、跨境传输的常见场景

结合不同行业的个人信息应用场景，个人信息跨境传输常见于：（1）个人信息处理者将境内收集的个人信息存储于境外服务器；（2）跨境商务交流这两种场景之中。对于前者，常见的情形为个人信息处理者因业务需要而将服务器设置在境外，或因办公要求须将个人信息传输至境外母公司的服务器中；对于后者，则常见于旅游、留学等境外交流合作的业务中。此外，比较特殊的一类情况是，境外在调查个人信息相关案件时，境内个人信息处理者可能需要向境外执法机构提供相关个人信息以作为证据材料。

三、国内立法

在我国，除本法以外，当前有关数据出境的法规标准主要有网络安全法（2016年）。另外，有尚未出台的《个人信息和重要数据出境安全评估办法（征求意见稿）》（2017年）、《信息安全技术 数据出境安全评估指南（草案）》（2017年）及《个人信息出境安全评估办法（征求意见稿）》（2019年）。

网络安全法出台前，由于我国个人信息立法相对分散，个人信息的跨境传输也分散于不同的立法之中，且多为原则性规定，如《征信业管理条例》第二十四条规定，“征信机构在中国境内采集的信息的整理保存和加工，应当在中国境内进行。征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”。2016年，网络安全法出台，该法首次针对“关键信息基础设施运营者”提出“本地存储”以及“个人信息数据出境安全评估”的要求^[2]，该条亦被本法第四十条所吸收。

2017年，国家互联网信息办公室率先发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，将数据出境主体扩大为“网络经营者”，构建起个人信息和重要数据出境安全评估的基本框架；随后，国家质量监督管理检验检疫总局与国家标准化管理委员会发布《关于开展国家标准〈信息安全技术 数据出境安全评估指南（草案）〉征求意见工作的通知》，详细地规定了个人信息和重要数据出境的安全评估流程、要点和方法，为网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展个人信息和重要数据出境安全评估提供了参考。

2019年，国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》，进一步细化和延伸了个人信息出境安全评估制度，明确了网络运营者和个人信息接收者的职责。相较于前述立法规定，本法对个人信息跨境的条件进行了明确规定，不再仅限于安全评估。

对于个人信息跨境的规定，不同的文件曾有过原则性规定，例如：

1.《信息安全技术 公用及商用服务信息系统个人信息保护指南》第5.4.5条规定， “未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构”。

2.《信息安全技术 个人信息安全规范》第9.8条规定，“在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应遵循国家相关规定和相关标准的要求”。

四、立法理念

个人信息的跨境流动不仅涉及国际协作，还体现了不同国家或地区在数据法律保护背后所体现的政策理念，学界一般将其分为数据自由主义与数据主权主义。所谓数据主权主义，是指一国对其国内数据拥有支配的权力，可管辖、占有、管理、使用该国数据，并排除他国对该国数据的干预。在数据主权主义下，一国对于本国的数据跨境拥有监管的合法性，并在一定程度上可以排除其他国家干涉跨境数据从而危害国家安全的可能。数据自由主义则强调数据的自由流动，看重数据背后所产生的经济利益，在一定程度上排除国家主权的干预。无论是数据主权主义还是数据自由主义，在当下的经济环境中均存在一定的局限性。前者容易造成个人信息多重规制的情况，可能影响国际的经济贸易发展；后者则容易产生各类网络犯罪。对于个人信息而言，放任个人信息的跨境自由流动不利于维护国家安全，相关立法及政策应在促进经济发展和维护国家安全之间保持利益平衡。

提倡数据主权主义的典型地区为欧盟，其对个人数据跨境实行严格保护，主张第三国在符合特定要求下可以进行数据跨境流动，更强调严格立法、司法与执法。值得注意的是，GDPR第四十五条至第四十九条也对个人信息的跨境进行了规定。

【适用指南】

一、整体情况

在实务中，不少公司在进行跨国业务时，往往需要向交易相对方提供相关文件资料，其中便可能包括大量个人信息。对此，个人信息处理者应当在个人信息跨境方面持谨慎态度，在文件传输前先进行资料筛查，以防止文件传输带来的不必要风险。与此同时，除却前述可能出现个人信息跨境的风险以外，有可能存在大量个人信息的直接跨境，此时个人信息处理方按照相关规定做好合规工作即可。

根据当前个人信息跨境的法律规范来看，网络安全法、数据安全法等上位法律对个人信息跨境作了原则性规定，而国家网信办、标准化委员会等公布的配套文件也陆续发布。尽管相关配套文件仍是征求意见稿，相关的标准性文件也仅具有推荐性或指导性，但个人信息处理者可以参考其中的部分规定，并时刻关注其发展动态。其中，《信息安全技术 数据出境安全评估指南（草案）》及《个人信息出境安全评估办法（征求意见稿）》对当前个人信息的跨境流转具有相对大的参考意义。《信息安全技术 数据出境安全评估指南（草案）》对数据出境评估流程进行了较为细致的规定，对网信部门、行业主管或监管部门依职权开展的个人信息和重要数据出境安全评估与个人信息处理者自评估两种评估类型提供了较为详细的指引。《个人信息出境安全评估办法（征求意见稿）》则在规范个人信息跨境流程方面，更注重个人信息主体在数据出境过程中的合法权益。

结合本法第三条与第四条对“本法适用主体”“个人信息”以及“信息处理”的规定，此处何谓“个人信息处理者”兹不赘述。根据本条规定，个人信息处理者向境外提供个人信息应满足：（1）因业务等需要，确需向中华人民共和国境外提供个人信息； （2）本条所规定的四个条件至少具备一项。

二、个人信息跨境的前提条件

因业务所需要，跨境提供个人信息的前提之一是“因个人信息处理者的业务需要，确需向中华人民共和国境外提供个人信息”，由于本条并未列举何谓“因业务需要”“确需”的情形，因此可参考《信息安全技术 数据出境安全评估指南（草案）》第5.1条，该条从正当性与合法性的角度对个人信息出境作了规定，“数据出境计划应同时满足合法性和正当性的要求：a）合法性包括：1）不属于法律法规明令禁止的；2）符合我国政府与其他国家、地区签署的关于数据出境条约、协议的；3）个人信息主体已授权同意的，危及公民生命财产安全的紧急情况除外；4）不属于国家网信部门、公安部门、安全部门等有关部门依法认定不能出境的。b）正当性包括：1）网络运营者在合法的经营范围内从事正常业务活动所必需的；2）履行合同义务所必需的；3）履行我国法律义务要求的；4）司法协助需要的；5）其他维护网络空间主权和国家安全、社会公共利益、保护公民合法利益需要的”。

三、具体条件

（一）安全评估^[3]

本条要求个人信息处理者“依照本法第四十条的规定通过国家网信部门组织的安全评估”，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，确需向境外提供的，应当通过国家网信部门组织的安全评估。

（二）机构认证

本条要求个人信息处理者按照国家网信部门的规定，经专业机构进行个人信息保护认证。从当前的法律规定及配套文件来看，对于启动专业机构进行个人信息保护认证的条件、标准、程序等具体内容缺乏相关规定，需要等待后续网信办等相关部门进一步补充明确。

（三）订立合同

本条要求个人信息处理者在向境外提供个人信息时，应当按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。

根据《个人信息出境安全评估办法（征求意见稿）》第十三条规定，“网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件（统称合同），应当明确：（一）个人信息出境的目的、类型、保存时限。（二）个人信息主体是合同中涉及个人信息主体权益的条款的受益人。（三）个人信息主体合法权益受到损害时，可以自行或者委托代理人向网络运营者或者接收者或者双方索赔，网络运营者或者接收者应当予以赔偿，除非证明没有责任。（四）接收者所在国家法律环境发生变化导致合同难以履行时，应当终止合同，或者重新进行安全评估。（五）合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务，除非接收者已经销毁了接收到的个人信息或作了匿名化处理。（六）双方约定的其他内容”。

该评估办法草案第十四条规定，“合同应当明确网络运营者（即个人信息处理者，编者注，下同）承担以下责任和义务：（一）以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况，以及向境外提供个人信息的目的、类型和保存时间。（二）应个人信息主体的请求，提供本合同的副本。（三）应请求向接收者转达个人信息主体诉求，包括向接收者索赔；个人信息主体不能从接收者获得赔偿时，先行赔付”。

该评估办法草案第十五条规定，“合同应当明确接收者承担以下责任和义务：（一）为个人信息主体提供访问其个人信息的途径，个人信息主体要求更正或者删除其个人信息时，应在合理的代价和时限内予以响应、更正或者删除。（二）按照合同约定的目的使用个人信息，个人信息的境外保存期限不得超出合同约定的时限。（三）确认签署合同及履行合同义务不会违背接收者所在国家的法律要求，当接收者所在国家和地区法律环境发生变化可能影响合同执行时，应当及时通知网络运营者，并通过网络运营者报告网络运营者所在地省级网信部门”。

该评估办法草案第十六条规定，“合同应当明确接收者不得将接收到的个人信息传输给第三方，除非满足以下条件：（一）网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别，以及传输的个人信息类型、第三方保留时限等通知个人信息主体。（二）接收者承诺在个人信息主体请求停止向第三方传输时，停止传输并要求第三方销毁已经接收到的个人信息。（三）涉及到个人敏感信息时，已征得个人信息主体同意。（四）因向第三方传输个人信息对个人信息主体合法权益带来损害时，网络运营者同意先行承担赔付责任”。

该评估办法草案的制度设计，在很大程度上可以确保境外接收方对接受的个人信息提供充足的保护，也与本条“保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”的思路一致。

（四）法律、行政法规或者国家网信部门规定的其他条件

本条规定了兜底条款，以防止实务中出现新的情况。若出现现行法律无法涵盖的内容，可通过其他法律、行政法规或国家网信部门根据实践中出现的新情况作出的新规定加以规制，此时前述的“安全评估”与“专业机构认证”并不减损其他法律对个人信息处理者规定的责任与义务。

对于正式法条新增的“个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”，该制度一方面加重了个人信息处理者对保护个人信息的责任，将境外接收方对个人信息的保护责任转移给我国的个人信息处理者；另一方面也有利于保护个人利益及国家安全。此时，个人信息处理者应当关注境外接收方所处的国家或地区的相关法律规定及配套措施是否健全，以便达到国内法律的要求。

实际上，《信息安全技术 数据出境安全评估指南（草案）》和《个人信息出境安全评估办法（征求意见稿）》也有类似的要求与思路，实务工作者可以根据以下内容进行参考：

1.《信息安全技术 数据出境安全评估指南（草案）》第4.2条规定，“网络运营者（即个人信息处理者，编者注）应首先制定数据出境计划，计划的内容包括但不限于：a）数据出境目的、范围、类型、规模；b）涉及的信息系统；c）中转国家和地区（如存在）；d）数据接收方及其所在的国家或地区的基本情况；e）安全控制措施等”。

2.《个人信息出境安全评估办法（征求意见稿）》第八条规定，“网络运营者应当建立个人信息出境记录并且至少保存5年，记录包括：（一）向境外提供个人信息的日期时间；（二）接收者的身份，包括但不限于接收者的名称、地址、联系方式等；（三）向境外提供的个人信息的类型及数量、敏感程度；（四）国家网信部门规定的其他内容”。

3.《个人信息出境安全评估办法（征求意见稿）》第十一条规定，“出现以下情况之一时，网信部门可以要求网络运营者暂停或终止向境外提供个人信息：（一）网络运营者或接收者发生较大数据泄露、数据滥用等事件；（二）个人信息主体不能或者难以维护个人合法权益；（三）网络运营者或接收者无力保障个人信息安全”。

【相关规定】

《中华人民共和国网络安全法》第三十七条；《征信业管理条例》第二十四条。