【限制跨境提供个人信息的措施】

第四十二条 【限制跨境提供 个人信息的措施】

【条文主旨】

本条是关于我国个人信息跨境“黑名单”制度的规定。

【条文理解】

一、个人信息与国家安全

“数据”作为国家重要的战略资源，已成为不少国家或地区关注的重点，也成为国际竞争的有力工具。与传统的陆、海、空不同，网络空间的技术性、抽象性、透明性与开放性导致了其更容易产生国家间的权利冲突，网络空间的虚拟性也导致了权利边界的模糊，从而可能损害个人权益、国家安全与社会公共利益。国家计算机应急网络应急技术协调处理中心发布的《2020年中国互联网网络安全报告》指出，当前，我国“安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显，有组织、有目的的网络攻击形势愈加明显，为网络安全防护工作带来更多挑战”……个别APT攻击组织对我国单位发起定向攻击。“供应链攻击成为APT组织常用攻击手段”，“部分APT组织网络攻击工具长期潜伏在我国重要机构设备中”。从报告公开的信息可以看出，我国的网络安全与国家安全正面临威胁。^[5]

可以看到，在大数据发挥重要作用的当下，数据不仅影响着国家的经济社会发展，还涉及国家主权及国家安全等国家发展重要议题；而个人信息则不仅关涉公民的个人利益，同时也影响着国家安全与社会公共利益。

二、国内政策及立法

为了回应当前的国际趋势，我国在数据安全、国家安全、出口管制方面陆续出台了原则性条款和规范出口管制及数据跨境流转的具体措施。

2015年，国家安全法首次确立了“维护国家网络空间主权”原则。此外，从该法第二十五条，“国家建设网络与信息安全保障体系……实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控……”可以看出，维护数据安全是保障国家安全的应有之义。

2017年，网络安全法在第一条中再次明确了维护网络空间主权原则，“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益……”，并通过提出我国网络安全战略的主要内容、完善网络安全监管体制、重点保护关键信息基础设施、加大违法惩处力度、将监测预警与应急处置措施制度化与法制化的手段细化了这一原则的法律适用问题。

2020年发布的《中国禁止出口限制出口技术目录》将“人工智能交互界面技术”“基于数据分析的个性化信息推送服务技术”“密码安全技术”“信息防御技术”“信息对抗技术”等作为限制出口的内容。同年出台的出口管制法将“物项相关的技术资料等数据……”作为出口管制物项，并规定“出口管制，是指国家对从中华人民共和国境内向境外转移管制物项，以及中华人民共和国公民、法人和非法人组织向外国组织和个人提供管制物项，采取禁止或者限制性措施”。“国家实行统一的出口管制制度，通过制定管制清单、名录或者目录……实施出口许可等方式进行管理”。

2021年出台的数据安全法第二条第二款规定，“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任”；第二十五条规定，“国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制”；第三十六条规定，“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。

可以看出，本条是我国保障数据安全与国家安全、规范出口管制思路在个人信息保护领域的具体体现，本法与数据安全法的相关规定从个人信息保护维度完善了我国维护国家安全的整体框架。

三、黑名单制度

相较于数字安全法，本条创造性地增设了“黑名单”制度。这一制度的核心在于根据国家网信部门所列的限制或者禁止个人信息提供的清单，我国企业或个人与清单所列名单之间的个人信息交易将会被限制或禁止。

值得注意的是，GDPR第四十五条确立了“白名单”制度，与本条有异曲同工之处。GDPR第四十五条规定，“经欧盟委员会认定，若第三国、第三国中的某区域或一个/多个特定部门、或国际组织具备充分保护个人信息的能力时，可以将个人信息转移到经过认定的国家、地区、部门或国际组织。此类个人信息的跨境流转不需要经特定授权”。根据这一规定，一旦欧盟将某国家或某国际组织列入“白名单”中，就意味着欧盟境内的个人信息可以自由地传输至目标国/国际组织。

【适用指南】

了解反制清单所包含的对象，是个人信息处理者做好合规工作的基础。根据本条，可以得出以下信息：

第一，管制方式。本条规定了两种管制方式，即（1）列入限制或者禁止个人信息提供清单，予以公告；（2）采取限制或者禁止向其提供个人信息等措施。从条文的表述来看，前述两种方式为并行适用，管制主体为国家网信部门。

第二，管制对象。本条规定的管制对象为从事侵害中国公民的个人信息权益，或者危害中国国家安全、公共利益的个人信息处理活动的境外组织和个人。本条注意到了个人信息处理对公共利益和国家安全的影响，这与本法第十条禁止性规定的精神一脉相承。

第三，在“黑名单”制度实施后，个人信息处理者应当重点关注并实时更新国家网信部门发布的“限制或者禁止个人信息提供清单”。若发现交易相对方被列入该清单，个人信息处理者应当及时采取措施，根据国家相关规定停止相关个人信息的跨境传输活动。从当前我国公布的文件来看，个人信息处理者可以参考2020年9月19日商务部发布的《不可靠实体清单规定》中的“不可靠实体清单”制度。

该规定第七条规定，“工作机制根据调查结果，综合考虑以下因素，作出是否将有关外国实体列入不可靠实体清单的决定，并予以公告：（一）对中国国家主权、安全、发展利益的危害程度；（二）对中国企业、其他组织或者个人合法权益的损害程度； （三）是否符合国际通行经贸规则；（四）其他应当考虑的因素”。第九条规定，“将有关外国实体列入不可靠实体清单的公告中可以提示与该外国实体进行交易的风险，并可以根据实际情况，明确该外国实体改正其行为的期限”。第十条规定，“对列入不可靠实体清单的外国实体，工作机制根据实际情况，可以决定采取下列一项或者多项措施（以下称处理措施），并予以公告：（一）限制或者禁止其从事与中国有关的进出口活动； （二）限制或者禁止其在中国境内投资；（三）限制或者禁止其相关人员、交通运输工具等入境；（四）限制或者取消其相关人员在中国境内工作许可、停留或者居留资格；（五）根据情节轻重给予相应数额的罚款；（六）其他必要的措施”。第十二条规定，“有关外国实体被限制或者禁止从事与中国有关的进出口活动，中国企业、其他组织或者个人在特殊情况下确需与该外国实体进行交易的，应当向工作机制办公室提出申请，经同意可以与该外国实体进行相应的交易”。第十三条规定，“工作机制根据实际情况，可以决定将有关外国实体移出不可靠实体清单；有关外国实体在公告明确的改正期限内改正其行为并采取措施消除行为后果的，工作机制应当作出决定，将其移出不可靠实体清单……”

前述条文对纳入清单的考虑因素、风险提示、处理措施、特殊情况交易、移出清单等事项进行了规定，可以参考。

目前，本条并未细化对“损害中华人民共和国公民的个人信息权益”以及“危害中华人民共和国国家安全、公共利益”的说明，也未明确规定清单的具体实施程序、限制措施、禁止措施又尚无配套文件加以说明，还须等待主管机关发布配套规定以帮助个人信息处理者做好合规工作。

【相关规定】

《中华人民共和国数据安全法》第二条、第二十五条；《中国禁止出口限制出口技术目录》；《不可靠实体清单规定》第七条、第十条、第十二条、第十三条。