張奕欣，邢 瀟，張金平

（1.國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100094；2.中央財經(jīng)大學(xué) 法學(xué)院，北京 100081）

0 引 言

《中國人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）于2021年11月1日起正式實施，國家互聯(lián)網(wǎng)信息辦公室在2021年10月29日和11月14日先后發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱《2021辦法》）和《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱《數(shù)據(jù)條例》），共同就個人信息處理者向境外提供個人信息（以下簡稱“個人信息出境”）的安全評估制度提出了最新的實施方案。相較于國家互聯(lián)網(wǎng)信息辦公室2017年發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱《2017辦法》）和2019年發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》（以下簡稱《2019辦法》），新安全評估方案在評估原則、申報評估門檻、申報材料、評估主體、評估內(nèi)容、評估決定有效期及重新評估情形、評估通過后持續(xù)監(jiān)督機制等方面都有所調(diào)整。因此，本文結(jié)合《2021辦法》和《數(shù)據(jù)條例》來系統(tǒng)解讀最新的個人信息出境安全評估方案，并根據(jù)個人信息出境安全評估的制度宗旨提出完善建議，以期有利于我國個人信息出境安全評估制度的實施。

1 新安全評估方案的出臺背景

自《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）實施以來，個人信息出境是否需要通過安全評估以及如何進(jìn)行評估都存有爭議。對此，國家互聯(lián)網(wǎng)信息辦公室根據(jù)《個人信息保護法》的授權(quán)，結(jié)合數(shù)據(jù)跨境安全風(fēng)險實際情況，制定了最新的個人信息出境安全評估方案。

1.1 《個人信息保護法》的出臺

為了更全面和系統(tǒng)地保護個人信息主體的權(quán)益，提升我國在個人信息保護領(lǐng)域的國際地位，我國高度重視個人信息保護的相關(guān)立法工作。在《網(wǎng)絡(luò)安全法》提供專章保護、《中華人民共和國民法典》（以下簡稱《民法典》）人格權(quán)編提供人格權(quán)益保護[1]的基礎(chǔ)之上，又專門出臺《個人信息保護法》，建立個人信息處理基本原則、個人信息主體權(quán)益、個人信息處理者義務(wù)、違規(guī)處理個人信息的法律責(zé)任等系統(tǒng)規(guī)則。

該法第3章專門規(guī)定了個人信息跨境提供的規(guī)則。其中，第38條第1款規(guī)定個人信息處理者開展個人信息出境的合法途徑包括通過國家網(wǎng)信部門組織的安全評估，按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進(jìn)行個人信息保護認(rèn)證，按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同簽訂個人信息出境合同。第40條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者的個人信息出境應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。綜上，《個人信息保護法》通過第38條和第40條授權(quán)國家網(wǎng)信部門就個人信息出境安全評估制定具體實施辦法。

因此，國家互聯(lián)網(wǎng)信息辦公室根據(jù)上述授權(quán)制定個人信息出境安全評估辦法就變得名正言順，一改此前《網(wǎng)絡(luò)安全法》授權(quán)不充分的問題，后者僅授權(quán)國家互聯(lián)網(wǎng)信息辦公室就關(guān)鍵信息基礎(chǔ)設(shè)施的個人信息和重要數(shù)據(jù)出境制定安全評估辦法[2]?！毒W(wǎng)絡(luò)安全法》授權(quán)不充分也是導(dǎo)致《2017辦法》和《2019辦法》未能最終通過的重要原因之一。

1.2 日益嚴(yán)峻的數(shù)據(jù)跨境安全風(fēng)險

進(jìn)入數(shù)字經(jīng)濟時代，數(shù)據(jù)成為驅(qū)動經(jīng)濟發(fā)展的新動力，也是引發(fā)全球經(jīng)濟社會乃至政治文化變革的重要力量。因此，個人信息出境不僅涉及個人信息主體的權(quán)益保護問題，更關(guān)乎國家安全和公共利益。例如，在華外企（基因等生物領(lǐng)域公司）可能將中國用戶的個人敏感信息跨境轉(zhuǎn)移到國外母公司處理；境內(nèi)公司在美上市可能為了滿足美國證監(jiān)會監(jiān)管要求而披露用戶個人信息，這些數(shù)據(jù)通過大數(shù)據(jù)分析可能對我國國家安全和公共利益造成風(fēng)險隱患。

由此可見，單個或少量個人信息可能僅關(guān)涉?zhèn)€人信息主體的權(quán)益，但海量個人信息及其衍生的分析數(shù)據(jù)則可能影響國家安全和公共利益。因此，我國在《網(wǎng)絡(luò)安全法》中確立了重要數(shù)據(jù)的概念，并通過該法第37條和《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）第31條確立了重要數(shù)據(jù)出境安全評估的制度。不過，這些法律尚未直接明確重要數(shù)據(jù)的概念，《數(shù)據(jù)條例》第37條從結(jié)果角度將其界定為“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)”，該界定并未排除海量個人信息構(gòu)成重要數(shù)據(jù)的可能性[3]。

有鑒于此，國家互聯(lián)網(wǎng)信息辦公室回歸《2017辦法》就個人信息和重要數(shù)據(jù)出境安全評估統(tǒng)一制定《2021辦法》，而不是延續(xù)《2019辦法》單獨出臺個人信息出境安全評估辦法。質(zhì)言之，《2021辦法》的立法依據(jù)并不限于《個人信息保護法》，還包括了涉及重要數(shù)據(jù)出境安全評估的《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》。本文僅評價《2021辦法》中的個人信息出境安全評估規(guī)則。

2 新安全評估方案的主要變化

相對于此前兩個方案，基于《個人信息保護法》而起草的《2021辦法》主要有4個方面的調(diào)整，包括新增評估原則、調(diào)整評估門檻、收緊評估權(quán)力和強化個人信息處理者義務(wù)。

2.1 新增評估原則

不同于此前辦法，《2021辦法》第3條首次明確提出個人信息出境安全評估的兩大原則，表明國家互聯(lián)網(wǎng)信息辦公室對安全評估有了更清晰的認(rèn)識和定位。其中，第一個原則是事前評估和持續(xù)監(jiān)督相結(jié)合原則。該原則明確安全評估不僅關(guān)注個人信息出境前能夠預(yù)見的風(fēng)險本身，還同樣關(guān)注這些風(fēng)險在出境后能夠得到持續(xù)有效的控制。對此，《個人信息保護法》第38條第3款也提出明確要求，即安全評估等措施應(yīng)當(dāng)能夠?qū)彶閭€人信息處理者是否采取了必要措施，足以“保障境外接收方處理個人信息的活動達(dá)到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)”。所以，《2021辦法》在這個原則的指導(dǎo)下明確了事前評估的重點事項，并且與《數(shù)據(jù)條例》相結(jié)合明確個人信息處理者的事后監(jiān)督義務(wù)。

第二個原則是風(fēng)險自評估與安全評估相結(jié)合原則。該原則明確個人信息處理者要對自己的個人信息出境行為負(fù)責(zé)，通過風(fēng)險自評估的形式明確個人信息出境的風(fēng)險，并通過自評估確認(rèn)自己所采取的技術(shù)及管理措施與該風(fēng)險是否相適應(yīng)且有效。對此，《個人信息保護法》第55條要求個人信息處理者在個人信息出境或者開展其他特定活動前進(jìn)行個人信息保護影響評估（類同于風(fēng)險自評估）。由于風(fēng)險自評估的結(jié)論傾向于通過評估，個人信息處理者在風(fēng)險自評估時無法確保其關(guān)注到更廣闊的個人信息出境風(fēng)險及所采取措施的充分性和有效性。因此，國家需要安全評估作為后盾保障。安全評估是國家基于主動保護個人信息權(quán)益及維護國家安全和公共利益的立場去審查個人信息處理者是否充分意識到個人信息出境的風(fēng)險，以及所采取的措施是否確實有效。值得注意的是，國家只是通過安全審查去確認(rèn)，而不是代替?zhèn)€人信息處理者采取基于風(fēng)險的保護措施。

2.2 調(diào)整評估門檻

《2021辦法》與《2017辦法》都是對個人信息出境的安全評估設(shè)定一個門檻，但整體比《2017辦法》做了部分收緊。具體而言，《2021辦法》第4條要求處理個人信息達(dá)到一百萬人的個人信息處理者和關(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)出境都要向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估，并進(jìn)一步要求累計向境外提供超過10萬人以上個人信息或者一萬人以上敏感個人信息的也要申報評估。此外，該條還提供了一個開放性條款，即國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。最后，《2021辦法》放棄了《2017辦法》中設(shè)置的數(shù)據(jù)存儲量的指標(biāo)，即數(shù)據(jù)量超過1000 GB的數(shù)據(jù)出境。

相比于《2019辦法》對全部申報安全評估“一刀切”的做法，《2021辦法》在個人信息類型、數(shù)量、個人信息處理主體類型方面設(shè)置了適當(dāng)?shù)陌踩u估門檻。其中有關(guān)具體數(shù)量的劃定，業(yè)界還存在爭議——例如，為什么敏感個人信息的數(shù)量是一萬以上而不是十萬或者一百萬以上，特定個人信息處理者處理個人信息的數(shù)量為什么是一百萬以上而不是一千萬以上——但不影響這個門檻的整體科學(xué)性，具體數(shù)量級還可以在后期征求意見或是實施過程中依據(jù)執(zhí)行情況進(jìn)一步動態(tài)調(diào)整。

2.3 收緊評估權(quán)力

在出現(xiàn)滴滴網(wǎng)絡(luò)安全審查事件之后，國家互聯(lián)網(wǎng)信息辦公室更加重視個人信息出境的安全問題，并反映到了《2021辦法》的評估主體設(shè)定上。不同于《2019辦法》將安全評估的主體設(shè)定在省級網(wǎng)信部門、《2017辦法》設(shè)定在行業(yè)主管部門，《2021辦法》將個人信息出境安全評估的主體回歸到國家網(wǎng)信部門手中。在具體操作上，國家網(wǎng)信部門組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進(jìn)行安全評估。

值得注意的是，安全評估權(quán)力收緊的另一個好處是在于安全評估的標(biāo)準(zhǔn)能夠得到統(tǒng)一，不會出現(xiàn)不同省級網(wǎng)信部門或者不同主管部門制定不同標(biāo)準(zhǔn)的情況。因此，對于個人信息處理者而言，這個調(diào)整也是一個比較好的信號。

2.4 強化個人信息處理者義務(wù)

《個人信息保護法》不僅彌補《網(wǎng)絡(luò)安全法》在個人信息出境安全評估授權(quán)方面的不足，而且系統(tǒng)性地明確了個人信息處理者應(yīng)當(dāng)遵守的3大義務(wù)：一是根據(jù)該法第39條的規(guī)定獲得個人信息主體的單獨同意；二是根據(jù)第55條和第56條的規(guī)定開展個人信息保護影響評估；三是通過第38條規(guī)定的安全評估、認(rèn)證和根據(jù)標(biāo)準(zhǔn)合同簽訂個人信息出境合同3大常規(guī)途徑進(jìn)行個人信息合法出境，但我國締結(jié)或參加的條約、其他法律法規(guī)或國家網(wǎng)信部門規(guī)定的其他非常規(guī)性途徑除外。此外，個人信息處理者因境外執(zhí)法機構(gòu)、司法機構(gòu)要求提供其存儲在中國境內(nèi)的個人信息的，我國參與或締結(jié)的多邊、雙邊條約有約定的按照其約定處理，無約定須經(jīng)我國主管機關(guān)批準(zhǔn)。

有鑒于此，《2021辦法》更進(jìn)一步明確了個人信息處理者的義務(wù)。其中，第9條未沿用《2019辦法》對個人信息處理者和境外接收方的義務(wù)與責(zé)任分別規(guī)定的做法，而是規(guī)定了個人信息處理者與境外接收方應(yīng)通過合同約定的6項必備內(nèi)容，充分明確雙方的個人信息安全保護責(zé)任義務(wù)。至于這些約定的個人信息安全保障義務(wù)是否充分，主要取決于個人信息處理者的個人信息保護影響評估，評估的風(fēng)險越高，應(yīng)當(dāng)約定的個人信息安全保障義務(wù)越重。

3 新安全評估制度的宗旨

正確評價和完善《2021辦法》，必須要重新回歸安全評估制度甚至是個人信息出境安全監(jiān)管制度的宗旨。我國個人信息出境安全評估制度有兩大宗旨：一是確保境外個人信息處理達(dá)到我國有關(guān)個人信息保護標(biāo)準(zhǔn)；二是維護國家安全和公共利益。

3.1 確保境外接收方個人信息處理達(dá)到我國標(biāo)準(zhǔn)

《個人信息保護法》第38條第3款明確了個人信息出境安全監(jiān)管的核心目標(biāo)是要求個人信息處理者應(yīng)當(dāng)采取必要措施，保障境外接收方處理個人信息的活動達(dá)到“本法規(guī)定的個人信息保護標(biāo)準(zhǔn)”。那么，在個人信息出境安全評估當(dāng)中，如何解釋或利用好個人信息保護標(biāo)準(zhǔn)？

首先，個人信息權(quán)益是一項憲法保障的基本權(quán)利[4]?！秱€人信息保護法》第1條規(guī)定了“根據(jù)憲法”的要求，這是在制定《個人信息保護法》時第三次審議稿中新增加的要求。根據(jù)《中華人民共和國憲法》（以下簡稱《憲法》）第38條規(guī)定，“公民的人格尊嚴(yán)不受侵犯”，《個人信息保護法》所保護的個人信息權(quán)益就可以上升到《憲法》第38條保護的人格尊嚴(yán)中，即個人信息權(quán)益不僅是《民法典》所保護的民事權(quán)益，更是《憲法》所保障的基本權(quán)益。

其次，個人信息權(quán)益的基本權(quán)益地位提供了個人信息跨境流動監(jiān)管的最高標(biāo)準(zhǔn)。憲法是法治國家中最高的法律依據(jù)，因此，個人信息權(quán)益作為憲法所保護的基本權(quán)益，應(yīng)該明確所有個人信息處理者都必須尊重和保護基本權(quán)益，不能以個人信息出境為由而降低其所要承擔(dān)的責(zé)任，即對出境的個人信息繼續(xù)提供符合我國《憲法》所要求的個人信息保護標(biāo)準(zhǔn)。對此，我們可以從歐盟法院先后認(rèn)定《安全港協(xié)議》和《隱私盾協(xié)議》的無效判決中深刻體會到憲法保護標(biāo)準(zhǔn)的高度[5]——《歐盟基本權(quán)利憲章》第8條有關(guān)保護個人信息權(quán)的規(guī)定授權(quán)歐盟法院可以否定歐盟最高行政權(quán)力機關(guān)和美國商務(wù)部簽訂的雙邊協(xié)定。因此，我國《個人信息保護法》將個人信息權(quán)益保護標(biāo)準(zhǔn)提高到基本權(quán)利的高度，也就在理論上與歐盟的個人信息基本權(quán)利保護標(biāo)準(zhǔn)處在同一水平。

最后，個人信息權(quán)益保護的具體標(biāo)準(zhǔn)回歸《個人信息保護法》的實體和程序規(guī)則。從全球來看，個人信息保護標(biāo)準(zhǔn)基本是由實體和程序兩個部分構(gòu)成，個人信息實體保護標(biāo)準(zhǔn)由個人信息處理基本原則、個人信息權(quán)益、個人信息處理者義務(wù)構(gòu)成；個人信息程序保護標(biāo)準(zhǔn)由個人信息的行政和司法救濟構(gòu)成。目前，我國《個人信息保護法》已經(jīng)明確了個人信息保護的實體保護標(biāo)準(zhǔn)和程序保護標(biāo)準(zhǔn)。

3.2 維護國家安全和公共利益

《2021辦法》第1條指出，數(shù)據(jù)出境安全評估的目的在于“保護個人信息權(quán)益，維護國家安全和社會公共利益”。由于該辦法同時適用于重要數(shù)據(jù)和個人信息的出境安全評估工作，所以個人信息出境安全評估也是為了保護個人利益及維護國家安全和公共利益。這一點與《2019辦法》第2條第1款的規(guī)定一致，“經(jīng)安全評估認(rèn)定個人信息出境可能影響國家安全、損害公共利益，或者難以有效保障個人信息安全的，不得出境”。

然而，《個人信息保護法》并未專門強調(diào)個人信息保護是為了維護國家安全和公共利益。其中，該法第1條規(guī)定，為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用，根據(jù)憲法，制定本法。第38條第3款規(guī)定，設(shè)置個人信息出境條件的目的是要求個人信息處理者采取必要措施，保障境外接收方處理個人信息的活動達(dá)到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)。

那么，如何解釋《2021辦法》對個人信息出境安全評估的國家安全和公共利益考慮？首先，《網(wǎng)絡(luò)安全法》第37條明確了關(guān)鍵信息基礎(chǔ)設(shè)施運營者個人信息出境的安全評估要求，而《網(wǎng)絡(luò)安全法》第1條的立法宗旨是明確維護國家安全和公共利益。其次，《個人信息保護法》第40條將達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者和關(guān)鍵信息基礎(chǔ)設(shè)施運營者進(jìn)行并列規(guī)定，要求二者個人信息境內(nèi)存儲、出境安全評估，因而二者都涉及國家安全和公共利益。最后，《數(shù)據(jù)條例》從結(jié)果角度界定重要數(shù)據(jù)，導(dǎo)致大量個人信息集合及其大數(shù)據(jù)分析結(jié)果有可能構(gòu)成重要數(shù)據(jù)，而重要數(shù)據(jù)放在側(cè)重國家安全和公共利益保護的《數(shù)據(jù)安全法》中進(jìn)行專門保護，并且不排除大量個人信息出境在個別情況下等同于重要數(shù)據(jù)出境的可能性。

4 新安全評估方案的完善建議

個人信息出境安全評估制度應(yīng)以《個人信息保護法》的立法目的進(jìn)行指導(dǎo)并加以建構(gòu)和執(zhí)行，而不是在實踐中進(jìn)行泛化安全評估。同時，應(yīng)增設(shè)事后持續(xù)監(jiān)督的機制，并限制出境后再轉(zhuǎn)移所帶來的不確定性。

4.1 防止國家安全和公共利益的泛化

《2021辦法》以個人信息保護、維護國家安全和公共利益為宗旨，指導(dǎo)包括個人信息和重要數(shù)據(jù)出境的安全評估制度建設(shè)和落實，但在實踐中，個人信息出境安全評估應(yīng)以《個人信息保護法》第1條和第38條第3款的規(guī)定為主。相比之下，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的國家安全和公共利益是作為個人信息出境安全評估的額外考慮因素而存在的，并非首要考慮因素。換言之，國家互聯(lián)網(wǎng)信息辦公室要否決個人信息處理者的個人信息出境申請，應(yīng)當(dāng)主要從其未能滿足個人信息權(quán)益保護要求出發(fā)，極個別情況才有必要啟用國家安全和公共利益事由。如果任何個人信息出境安全評估最終都以“國家安全或公共利益”為由不予通過，容易導(dǎo)致“國家安全和公共利益”的泛化，勢必引起社會不適。

此外，目前《2021辦法》對于個人信息出境安全評估的門檻設(shè)置雖然比《2019辦法》要寬松，但在一定程度上仍偏緊。為防止國家安全和公共利益泛化，這個門檻在后期草案修訂或者草案通過后可根據(jù)實際執(zhí)行情況再行調(diào)整。

4.2 增加個人信息處理者的個人信息出境審計義務(wù)

雖然《2021辦法》強調(diào)了個人信息出境安全評估要堅持事前評估和事后持續(xù)監(jiān)督相結(jié)合原則，但該辦法本身沒有明確持續(xù)監(jiān)督的機制。對此，《數(shù)據(jù)條例》提出兩個持續(xù)監(jiān)督工具加以彌補：一是第39條要求個人信息處理者存留相關(guān)日志記錄和個人信息出境審批記錄三年以上；二是第40條要求個人信息處理者應(yīng)在每年1月31日前編制個人信息出境安全報告，向設(shè)區(qū)的市級網(wǎng)信部門報告上一年度數(shù)據(jù)出境情況。盡管如此，前者仍然強調(diào)日常的記錄，并不強調(diào)日常審計；后者的跨度又過長，難以督促個人信息處理者強化個人信息出境活動的監(jiān)督。

有鑒于此，我們應(yīng)當(dāng)根據(jù)《個人信息保護法》第54條有關(guān)個人信息處理者自我監(jiān)督的要求，在《2021辦法》或者《數(shù)據(jù)條例》兩個草案的后期修訂中增加個人信息處理者定期對個人信息出境活動，尤其是對境外接收方的個人信息處理活動進(jìn)行審計的義務(wù)，以確保境外接收方的個人信息處理活動達(dá)到我國的標(biāo)準(zhǔn)。例如，在《數(shù)據(jù)條例》第39條第1款第3項中增加審計要求，即“采取合同和審計等有效措施監(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式適用數(shù)據(jù)，履行數(shù)據(jù)安全保障義務(wù)，保證數(shù)據(jù)安全”。在具體操作方面，個人信息處理者可以自行或者委托第三方對境外接收方進(jìn)行定期審計，或者要求境外接收方定期提供自行或者委托第三方的審計報告，具體根據(jù)雙方的談判地位而定。

4.3 明確再轉(zhuǎn)移的要求

《2021辦法》雖然在第9條第3項中要求在個人信息處理者與境外接收方訂立的個人信息出境合同中限制境外接收方將個人信息再轉(zhuǎn)移，但并未明確要求應(yīng)當(dāng)如何限制。相比之下，《數(shù)據(jù)條例》第39條第1款第9項要求，個人信息出境確需再轉(zhuǎn)移的，應(yīng)當(dāng)事先與個人約定再轉(zhuǎn)移的條件，相當(dāng)于將責(zé)任推卸給了個人。事實上，按照《個人信息保護法》第38條第3款的要求，國家建立個人信息出境安全管理制度就是要主動介入，彌補個人監(jiān)督個人信息處理者的不足，確保個人權(quán)益不會因為個人信息出境而受損。

對此，我們建議個人信息出境后再轉(zhuǎn)移仍然要滿足《個人信息保護法》第38條第3款的要求。鑒于《2021辦法》第9條并不限于個人信息出境后再轉(zhuǎn)移的問題，還涉及重要數(shù)據(jù)出境后再轉(zhuǎn)移的問題，我們建議將《數(shù)據(jù)條例》第39條第1款第9項修改為“個人信息出境后禁止數(shù)據(jù)接收方再轉(zhuǎn)移，確需再轉(zhuǎn)移的應(yīng)當(dāng)明確數(shù)據(jù)接收方根據(jù)《中華人民共和國個人信息保護法》第38條第1項的要求采取必要措施，確保再轉(zhuǎn)移后處理個人信息的活動達(dá)到《個人信息保護法》規(guī)定的個人信息保護標(biāo)準(zhǔn)。”據(jù)此，境外接收方要采取的必要措施是《個人信息保護法》第38條第1款列舉的通過安全評估、獲得認(rèn)證或者按照標(biāo)準(zhǔn)合同簽訂出境合同。

5 結(jié) 語

個人信息出境安全評估制度是我國面對數(shù)據(jù)出境安全風(fēng)險應(yīng)當(dāng)建立起來的應(yīng)對機制，因此，國家互聯(lián)網(wǎng)信息辦公室自2017年《網(wǎng)絡(luò)安全法》實施以來就開始研究制定，到《個人信息保護法》獲得明確授權(quán)后發(fā)布《2021辦法》。該辦法在評估原則、門檻、評估主體、個人信息處理者義務(wù)4個方面的調(diào)整值得肯定，但在安全評估目的限縮、持續(xù)監(jiān)督機制、再轉(zhuǎn)移要求3個方面要予以關(guān)注和強化，確保該制度以實現(xiàn)《個人信息保護法》第38條第3款的目標(biāo)為主，防止該制度在未來實施過程中泛化為《網(wǎng)絡(luò)安全法》或《數(shù)據(jù)安全法》框架下維護國家安全和公共利益為主的制度。