专家解读@@｜个人信息跨境流动@@法治化@@取得新成果@@

　　个人信息跨境流动@@是@@数字经济@@全球化的重要组成部分@@，能够充分释放数据@@价值@@，对于数字经济@@高质量发展具有重要推动作用@@。为@@满足日益增长的个人信息出境需要@@，保护个人信息权益@@，国家互联网@@信息办公室于@@2023年@@2月@@24日以部门规章形式出台@@《个人信息出境标准合同@@办法@@@@》（以下简称@@《办法@@》），细化了个人信息通过与@@境外接收方订立标准合同@@方式出境的制度@@，是@@网络与@@信息法治建设的重要成果@@；创新了网络空间@@治理的新型综合治理机制@@，是@@网络与@@信息法学研究的最新立法范本@@。

　　一@@、《办法@@》出台的重要意义@@

　　第一@@@@，《办法@@》的出台有利于推动@@《个人信息保护法@@》更好实施@@。《个人信息保护法@@》第三@@@@十八条规定了个人信息处理者向境外提供个人信息的三@@个途径@@，即安全评估@@、个人信息保护认证@@、标准合同@@以及其他条件@@。《办法@@》正文@@对@@“标准合同@@”途径下的个人信息出境要求@@作了详细规定@@，明确了个人信息出境标准合同@@的适用范围@@@@、订立条件和备案@@要求@@@@；附件列出了标准合同@@的基本条款@@，将法律@@规范转化为@@合同规则@@。

　　第二@@@@，《办法@@》的出台有利于促进数字经济@@发展和数据@@有序跨境流动@@。《办法@@》要求@@符合条件的个人信息处理者与@@境外接收方按照@@本办法@@订立个人信息出境标准合同@@并生效后即可出境个人信息@@，简化了个人信息出境的流程与@@环节@@，为@@个人信息处理者提供了多元化的个人信息出境方式@@。《办法@@》附件提供了标准合同@@的范本@@，境内个人信息处理者仅需要结合实际情况进行填充完善@@，极大降低了境内个人信息处理者的成本@@，解决了部分中小规模@@个人信息处理者专业人员不足的难题@@，便于其健康有序发展@@。

　　第三@@@@，《办法@@》的出台有利于提升个人信息出境活动的规范化水平@@。一@@方面@@，《办法@@》明底线划红线@@，指出合规方向@@，细化适用订立标准合同@@的方式向境外提供个人信息的基本条件@@，明确个人信息影响评估和合同备案@@的基本要求@@@@。另一@@方面@@@@，《办法@@》也亮规矩定责任@@，要求@@个人信息处理者对所备案@@材料的真实性负责@@，违反规定依据@@《个人信息保护法@@》等法律@@法规处理@@；构成犯罪的@@，依法追究刑事责任@@。

　　二@@、《办法@@》的四大亮点@@

　　第一@@@@，平衡了安全与@@发展@@。个人信息跨境流动@@对于引领数字经济@@全球化发展@@具有重要作用@@，有利于做大@@、做强@@、做优我国数字经济@@@@。《办法@@》坚持自主缔约与@@备案@@管理相结合@@，防范个人信息出境后因泄露@@、损毁@@、篡改@@、滥用等可能对个人信息权益带来的风险@@，落实多元化个人信息出境模式@@，丰富个人信息保护监管方式和手段@@，保障个人信息跨境安全@@、自由流动@@，有利于充分发挥数据@@要素对于高质量发展的重要推动作用@@，引领数字经济@@全球化发展@@。

　　第二@@@@，织密了数据@@出境制度@@。一@@方面@@，《办法@@》与@@《数据@@出境安全评估办法@@@@》互为@@补集@@、互相衔接@@，为@@“非关键@@、小规模@@”的个人信息出境提供了详细规范@@，进一@@步织密了个人信息出境管理制度@@。另一@@方面@@@@，《办法@@》附件的标准合规范本在合同双方之外@@，还对向境外的第三@@@@方提供个人信息提出了约束性要求@@@@，并对受个人信息处理者委托处理个人信息@@，转委托第三@@@@方处理的情形作出规定@@，进一@@步筑牢了个人信息权益保护@@“防火墙@@”。

　　第三@@@@，创新了个人信息保护监管机制@@。《办法@@》充分体现了依法治理@@、综合治理的理念@@，一@@方面@@创造性地将合同这一@@意思自治形式吸收成为@@新的监管手段@@，在对个人信息处理者提出管理要求@@的同时@@，也留出了充足的创新空间@@@@；另一@@方面@@@@充分地把@@合规要求@@融入个人信息保护要求@@@@，除了将@@采取的技术措施列为@@个人信息评估的重点内容@@，还在附件的合同范本中@@，为@@个人信息处理者采取加密@@、匿名化@@、去标识化@@、访问控制等技术和管理措施作出引导@@@@。

　　第四@@，突出了个人信息主体@@权益实现@@。《办法@@》除了将@@《个人信息保护法@@》确立的个人信息主体@@权益列入合同范本正文@@@@，还重视境外接收方所在国家或者地区的个人信息保护政策和法规对我国个人信息主体@@权益的影响@@，把@@相关政策法规发生变化等可能影响个人信息权益的情形@@，作为@@触发重新开展个人信息保护影响评估@@、补充或者重新订立标准合同@@的重要条件@@。此外@@，《办法@@》也充分体现了对@@“无救济@@就无权利@@”原则的重视@@，把@@“救济@@”作为@@合同范本的一@@条@@，要求@@境外接收方确定接受询问或投诉的联系人@@，并载明联系方式@@；明确境外接收方接受个人信息主体@@通过向监管机构投诉和提起诉讼等方式维护权利@@；申明合同双方同意个人信息主体@@所作的维权选择@@，不会减损个人信息主体@@根据其他法律@@法规寻求救济@@的权利@@。

　　三@@、加强监管和合规@@，更好实施@@《办法@@》

　　第一@@@@，加强个人信息保护监管执法@@。建议网信部门加大指导@@、引导@@、督促力度@@，推动境内个人信息处理者积极开展评估@@、备案@@，监督个人信息处理者业务开展中涉及个人信息出境的合同等法律@@文件@@，对未履行备案@@程序或者提交虚假材料进行备案@@的@@、未履行标准合同@@约定的责任义务并侵害个人信息权益造成损害的依法追究法律@@责任@@。

　　第二@@@@，个人信息处理者应对照@@@@《办法@@》要求@@做好合规@@。个人信息处理者应当加强对@@《办法@@》的学习@@，对照@@《办法@@》要求@@，用好通过订立标准合同@@的方式开展个人信息出境活动@@。首先@@，应当尽快梳理自身数据@@资产和出境数据@@规模@@，识别是@@否具备@@《办法@@》适用情形@@。其次@@@@，按照@@《办法@@》要求@@，在向境外提供个人信息前严格开展个人信息保护影响自评估@@，重点评估个人信息出境的目的@@、范围@@、方式及其合法性@@、正当性@@、必要性@@，通过出境个人信息的数量@@、范围@@、种类@@、敏感程度@@来判断其所可能产生的风险@@，明确境外接收方承诺承担的责任义务@@、管理能力@@、技术措施以及境外接收方所在国家或者地区的个人信息保护政策法规@@。再者@@，应当按照@@@@《办法@@》附件与@@境外接收方签署标准合同@@@@，并将标准合同@@与@@影响评估报告在标准合同@@生效之日起@@10个工作日内向所在地省级网信部门备案@@@@。

　　第三@@@@，发展应用法律@@科技@@@@，赋能监管与@@合规@@。随着人工智能@@、大数据@@等技术的进一@@步发展@@，利用@@“法律@@+科技@@”的手段实现监管与@@合规的自动化@@、智能化@@，符合数字经济@@发展和数字政府@@@@建设的新方向@@、新趋势@@。可以开发快速审查个人信息出境标准合同@@@@、影响评估报告的监管工具@@，助力实现备案@@监管的智慧化@@、精准化@@、全时化@@，提高监管能力和水平@@。通过技术对数据@@收集@@、存储@@、加工@@、使用@@、传输@@、删除等全生命周期进行可视化管理@@，自动分析企业数据@@资产与@@合规风险@@，根据分类分级等规则自动识别个人信息的数量@@、范围@@、种类@@、敏感程度@@，保障个人信息处理目的@@、范围@@、方式等的合法性@@、正当性@@、必要性@@，助力低成本@@、高效率完成@@《办法@@》所要求@@的个人信息保护影响评估@@。（周辉@@　中国社会科学院法学研究所网络与@@信息法研究室副主任@@）