摘 要：經(jīng)濟(jì)迅速發(fā)展的今天，數(shù)據(jù)的重要性日益凸顯。個(gè)人信息作為數(shù)據(jù)的重要組成部分，如何在個(gè)人信息跨境自由流動(dòng) 與保護(hù)個(gè)人信息安全方面找到一個(gè)平衡點(diǎn)是一大難題，標(biāo)準(zhǔn)合同制度在平衡二者關(guān)系上發(fā)揮了重要作用，但在具體適用方面 還需完善。相對(duì)于歐美國(guó)家的個(gè)人信息出境保護(hù)模式，我國(guó)在個(gè)人信息出境保護(hù)立法方面起步晚，實(shí)踐不足。本文以標(biāo)準(zhǔn)合 同的規(guī)制對(duì)象與適用范圍為研究對(duì)象，發(fā)現(xiàn)標(biāo)準(zhǔn)合同制度面臨著適用范圍存在局限性、與安全評(píng)估制度存在重疊、主體定義 模糊的問(wèn)題。應(yīng)立足我國(guó)特色，在實(shí)踐中不斷完善標(biāo)準(zhǔn)合同制度，通過(guò)擴(kuò)大標(biāo)準(zhǔn)合同適用范圍，立足于頂層，體系化構(gòu)建標(biāo) 準(zhǔn)合同條款；重新定義“數(shù)據(jù)處理者”，完善個(gè)人信息跨境模式等方式，優(yōu)化標(biāo)準(zhǔn)合同制度。

關(guān)鍵詞：個(gè)人信息出境，標(biāo)準(zhǔn)合同條款，個(gè)人信息保護(hù)

DOI編碼：10.3969/j.issn.1002-5944.2024.06.006

0 引 言

2 0 22年7月29日，中國(guó)信息通信研究院發(fā)布 的《全球數(shù)字經(jīng)濟(jì)白皮書（2022年）》[1]指出，數(shù) 字經(jīng)濟(jì)為全球經(jīng)濟(jì)發(fā)展注入了新的動(dòng)能。總體而 言，2021年，全球47個(gè)國(guó)家數(shù)字經(jīng)濟(jì)增加值為38.1萬(wàn)億美元，同比增長(zhǎng)15.6%，占全球GDP的比重為 45.0%。在規(guī)模方面，中國(guó)的數(shù)字經(jīng)濟(jì)規(guī)模位居全 球第二，達(dá)到7.1萬(wàn)億美元。在占比方面，德國(guó)、英國(guó) 和美國(guó)的數(shù)字經(jīng)濟(jì)占其國(guó)內(nèi)生產(chǎn)總值的比重位列前 三位，均超過(guò)65%。其中，數(shù)據(jù)跨境流動(dòng)已經(jīng)成為推 動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展不可或缺的力量[2]。數(shù)據(jù)被譽(yù)為21 世紀(jì)“新石油”[3]，這凸顯了數(shù)據(jù)的重要性。和石油 不同的是，數(shù)據(jù)的價(jià)值在于其流動(dòng)性，數(shù)據(jù)的流動(dòng) 性對(duì)其價(jià)值有著顯著影響。數(shù)據(jù)需要在流通和共享 過(guò)程中才能充分發(fā)揮其價(jià)值，并且在跨境流動(dòng)中能 夠創(chuàng)造新的價(jià)值。但是，數(shù)據(jù)跨境流動(dòng)在促進(jìn)經(jīng)濟(jì) 發(fā)展的同時(shí)，也面臨著個(gè)人隱私保護(hù)、數(shù)據(jù)主權(quán)和 國(guó)家安全維護(hù)的壓力。然而，對(duì)數(shù)據(jù)流動(dòng)的不合理 限制會(huì)妨礙經(jīng)濟(jì)的發(fā)展，嚴(yán)重情況可能導(dǎo)致市場(chǎng)分 裂，降低數(shù)據(jù)服務(wù)提供者的服務(wù)質(zhì)量和競(jìng)爭(zhēng)力，尤 其在小規(guī)模企業(yè)上體現(xiàn)更加明顯[4]。由此可知，數(shù) 據(jù)本地化與數(shù)據(jù)跨境自由流動(dòng)的矛盾日益嚴(yán)峻。如 何規(guī)制個(gè)人信息跨境流動(dòng)，實(shí)現(xiàn)個(gè)人信息自由流動(dòng)、 隱私保護(hù)和國(guó)家安全的平衡，這是學(xué)術(shù)界和實(shí)務(wù)界 一直在探討的問(wèn)題。

個(gè)人信息跨境流動(dòng)作為近年來(lái)國(guó)際社會(huì)的熱 點(diǎn)話題，其規(guī)制方法《個(gè)人信息跨境標(biāo)準(zhǔn)合同辦法》 （以下簡(jiǎn)稱《標(biāo)準(zhǔn)合同辦法》）的出臺(tái)具有重要意 義。從理論層面看，完善個(gè)人信息跨境流動(dòng)法律規(guī) 制不僅是國(guó)內(nèi)法的完善，還會(huì)產(chǎn)生國(guó)際上的聯(lián)動(dòng)效 應(yīng)。從實(shí)踐意義看，該制度切身關(guān)系到每個(gè)人的利 益，隨著科技的發(fā)展，未來(lái)定是數(shù)據(jù)的世界。我國(guó) 作為新興的信息大國(guó)，龐大的人口數(shù)量必然產(chǎn)生巨 大的個(gè)人信息跨境需求，進(jìn)而產(chǎn)生經(jīng)濟(jì)價(jià)值。制定 標(biāo)準(zhǔn)合同已經(jīng)成為各國(guó)規(guī)制個(gè)人信息跨境流動(dòng)的重 要途徑?！稑?biāo)準(zhǔn)合同辦法》是專門以“個(gè)人信息跨境 流動(dòng)”為規(guī)制對(duì)象，通過(guò)國(guó)家預(yù)先設(shè)置標(biāo)準(zhǔn)合同， 由境內(nèi)個(gè)人信息處理者與境外接收方訂立合同，約 定雙方的權(quán)利與義務(wù)的方式，來(lái)保護(hù)個(gè)人信息在跨 境流動(dòng)過(guò)程中的安全。

1 作為監(jiān)管工具的標(biāo)準(zhǔn)合同

1.1 標(biāo)準(zhǔn)合同制度的由來(lái)

標(biāo)準(zhǔn)合同制度是為了確保個(gè)人信息出境后享有 不低于本國(guó)標(biāo)準(zhǔn)的保護(hù)，同時(shí)將個(gè)人信息保護(hù)的相 關(guān)規(guī)定轉(zhuǎn)化為境內(nèi)個(gè)人信息處理者與境外接收方 的合同責(zé)任。標(biāo)準(zhǔn)合同制度最早起源于歐盟，歐洲 作為數(shù)據(jù)立法的領(lǐng)軍地區(qū)，其中歐盟以《通用數(shù)據(jù) 保護(hù)條例》（以下簡(jiǎn)稱GDPR）為基礎(chǔ)，制定“充分 性認(rèn)證”、標(biāo)準(zhǔn)合同條款等數(shù)據(jù)跨境傳輸模式，搭 建起歐式個(gè)人數(shù)據(jù)跨境傳輸規(guī)則。根據(jù)GDPR第45 條第1款規(guī)定，充分性認(rèn)證制度是指“當(dāng)歐盟委員會(huì) 做出認(rèn)定，認(rèn)為相關(guān)第三國(guó)、第三國(guó)中的某個(gè)區(qū)域 或一個(gè)或多個(gè)特定部門或國(guó)際組織具有充分保護(hù) 水平，才可將個(gè)人數(shù)據(jù)轉(zhuǎn)移至該國(guó)家/地區(qū)。經(jīng)認(rèn)證 后無(wú)需特別授權(quán)”。是歐盟對(duì)第三國(guó)數(shù)據(jù)保護(hù)情況 的認(rèn)可。截至目前，僅有日本、韓國(guó)、瑞士等15個(gè)國(guó) 家或地區(qū)通過(guò)歐盟的“充分性認(rèn)證”。相較于嚴(yán)苛 的“充分性認(rèn)證”，標(biāo)準(zhǔn)合同條款是從保障數(shù)據(jù)主 體權(quán)利的角度出發(fā)，雙方主體針對(duì)數(shù)據(jù)跨境傳輸這 一行為作出的約定，相較于“充分性認(rèn)證”具有較 大的靈活性。

歐盟最早在1995年《歐共體數(shù)據(jù)保護(hù)指令》 （EUDPD）就規(guī)定了諸如標(biāo)準(zhǔn)合同條款的相關(guān)措 施，從2001年正式出版歐盟標(biāo)準(zhǔn)合同條款之后，又 經(jīng)歷數(shù)次變更。為了適應(yīng)時(shí)代的變化，更好地銜接 GDPR和調(diào)和商界與民間隱私保護(hù)組織的利益訴 求，保障數(shù)據(jù)安全的情況下更好地進(jìn)行數(shù)據(jù)跨境 傳輸，在2021年2月新的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條 款（SCCs）應(yīng)運(yùn)而生。歐盟新款標(biāo)準(zhǔn)合同條款作為 除“充分性認(rèn)證”最具代表性的個(gè)人信息數(shù)據(jù)跨境 傳輸制度，也被稱為“條款模式”。根據(jù)GDPR的規(guī) 定，一國(guó)在沒(méi)有獲得“充分性認(rèn)證”的條件下，數(shù)據(jù) 控制者和數(shù)據(jù)處理者可以采取標(biāo)準(zhǔn)合同條款的方 式同歐盟成員國(guó)之間自由傳輸個(gè)人信息數(shù)據(jù)，以降 低在數(shù)據(jù)跨境流動(dòng)過(guò)程中的風(fēng)險(xiǎn)。歐盟新款標(biāo)準(zhǔn)合同沿襲前三版標(biāo)準(zhǔn)合同條款中對(duì)基本數(shù)據(jù)的保護(hù) 原則，并在內(nèi)容上進(jìn)行了革新，在具體的個(gè)人信息 數(shù)據(jù)傳輸模式上，區(qū)分了“數(shù)據(jù)控制者-數(shù)據(jù)控制 者”“數(shù)據(jù)控制者-數(shù)據(jù)處理者”“數(shù)據(jù)處理者-數(shù) 據(jù)處理者”和“數(shù)據(jù)處理者-數(shù)據(jù)控制者”四種模 式（見(jiàn)圖1），并對(duì)其做出了詳細(xì)的規(guī)定，每一種數(shù) 據(jù)傳輸模式相應(yīng)地對(duì)“數(shù)據(jù)控制者”與“數(shù)據(jù)處理 者”有不同的要求。新款標(biāo)準(zhǔn)合同條款適用于一切 受GDPR管轄的數(shù)據(jù)輸出方，即使其實(shí)體并未設(shè)在 歐盟。實(shí)際上是擴(kuò)大了標(biāo)準(zhǔn)合同的適用范圍。新款 標(biāo)準(zhǔn)合同條款的出臺(tái)不僅有利于推動(dòng)數(shù)據(jù)跨境領(lǐng) 域統(tǒng)一規(guī)則的形成，而且提升企業(yè)在此領(lǐng)域的合規(guī) 性，以此促進(jìn)全球數(shù)字貿(mào)易的長(zhǎng)足發(fā)展。

世界范圍內(nèi)沒(méi)有形成統(tǒng)一的數(shù)據(jù)跨境立法，是 由各個(gè)國(guó)家在數(shù)據(jù)安全和數(shù)據(jù)出境的國(guó)內(nèi)法完善 之后，而形成的國(guó)際上統(tǒng)一的認(rèn)識(shí)。由于各國(guó)法律 文化、社會(huì)經(jīng)濟(jì)、制度背景有諸多不同，延伸出對(duì)數(shù) 據(jù)的保護(hù)程度也不同，數(shù)據(jù)如何安全自由流動(dòng)這一 根本性問(wèn)題沒(méi)有達(dá)到共識(shí)。針對(duì)不同的數(shù)據(jù)跨境場(chǎng) 景，數(shù)據(jù)安全自由流動(dòng)的實(shí)現(xiàn)方式也不只有一種模 式，應(yīng)是設(shè)置多樣化的數(shù)據(jù)出境模式[5]。針對(duì)個(gè)人信 息出境這一場(chǎng)景，我國(guó)出臺(tái)《標(biāo)準(zhǔn)合同辦法》來(lái)進(jìn)行 規(guī)制，以保證個(gè)人信息安全自由的流動(dòng)。由個(gè)人信息 處理者和境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同的 方式向中華人民共和國(guó)境外提供個(gè)人信息。相比數(shù) 據(jù)出境安全評(píng)估嚴(yán)格的適用條件和較高的門檻，個(gè) 人信息出境標(biāo)準(zhǔn)合同可適用于更廣泛的業(yè)務(wù)場(chǎng)景， 重要性不言而喻。但在實(shí)踐過(guò)程中，也遇到諸如適 用范圍小、主體定義模糊的挑戰(zhàn)。

1.2 標(biāo)準(zhǔn)合同的規(guī)制對(duì)象

我國(guó)目前已經(jīng)形成以《個(gè)人信息保護(hù)法》《數(shù)據(jù) 安全法》和《網(wǎng)絡(luò)安全法》為基礎(chǔ)的全方位的數(shù)據(jù) 安全和個(gè)人信息保障體系。2023年2月24日，備受矚 目的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》由國(guó)家互聯(lián)網(wǎng) 信息辦公室正式發(fā)布，附件部分公布了個(gè)人信息出 境標(biāo)準(zhǔn)合同（以下簡(jiǎn)稱“標(biāo)準(zhǔn)合同”），并于同年6月 1日起施行。加上此前已發(fā)布的《數(shù)據(jù)出境安全評(píng)估 辦法》（以下簡(jiǎn)稱《評(píng)估辦法》）、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí) 踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》， 《個(gè)人信息保護(hù)法》明確的三項(xiàng)個(gè)人信息出境條件 已全部具備明確的落地指引。

個(gè)人信息作為數(shù)據(jù)的重要組成部分，研究數(shù) 據(jù)跨境流動(dòng)這一問(wèn)題時(shí)，必然涉及對(duì)個(gè)人信息的研 究[6]。在針對(duì)個(gè)人信息跨境流動(dòng)問(wèn)題中，首先應(yīng)判 定哪些數(shù)據(jù)屬于個(gè)人信息[7]。我國(guó)《個(gè)人信息保護(hù) 法》第4條對(duì)個(gè)人信息的定義做出界定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí) 別的自然人有關(guān)的各種信息，不包括匿名化處理 后的信息。”即只要是與已識(shí)別或可識(shí)別自然人相 關(guān)的信息都屬于個(gè)人信息，采用了“相關(guān)性+可識(shí) 別性”的判斷標(biāo)準(zhǔn)。此外，《個(gè)人信息保護(hù)法》第28 條又細(xì)分了敏感個(gè)人信息。其次是準(zhǔn)確界定“跨境 流動(dòng)”的含義，《新華社新聞信息報(bào)道中的禁用詞 和慎用詞》第40條對(duì)“境外”的定義為：指中華人 民共和國(guó)領(lǐng)域以外或者領(lǐng)域內(nèi)未實(shí)施行政管轄的 地域，即包括港澳臺(tái)。因此中國(guó)大陸與港澳臺(tái)之間 的個(gè)人信息傳輸也屬于個(gè)人信息跨境流動(dòng)。但對(duì)于 “個(gè)人信息跨境流動(dòng)”的確切定義，學(xué)術(shù)界和實(shí)務(wù) 界目前尚未達(dá)成共識(shí)[8]。最早正式提出這一概念 的是經(jīng)合組織（OECD）在1980年發(fā)布的《關(guān)于隱 私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指南》中，第1條第3 款將“個(gè)人信息跨境流動(dòng)”定義為個(gè)人信息跨越邊 境進(jìn)行傳輸[9]。各個(gè)國(guó)家或地區(qū)在立法層面，未對(duì) “個(gè)人信息跨境流動(dòng)”作出其他的定義。本文亦不 對(duì)“個(gè)人信息跨境流動(dòng)”做定義，直接將其作為既 定事實(shí)，研究個(gè)人信息跨境流動(dòng)的法律規(guī)制問(wèn)題。

1.3 標(biāo)準(zhǔn)合同的適用面臨的挑戰(zhàn)

1.3.1 適用范圍存在局限性

《標(biāo)準(zhǔn)合同辦法》第4條明確了標(biāo)準(zhǔn)合同的適 用范圍，同時(shí)符合四種情況的個(gè)人信息處理者可 以通過(guò)訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息： （1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者；（2）處理個(gè)人信 息不滿100萬(wàn)人的；（3）自上年1月1日起累計(jì)向境外 提供個(gè)人信息不滿10萬(wàn)人的；（4）自上年1月1日起累 計(jì)向境外提供敏感個(gè)人信息不滿1萬(wàn)人的。對(duì)比《評(píng) 估辦法》可以看出，兩者之間是一種銜接關(guān)系。非 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者處理的少量個(gè)人信息出 境適用個(gè)人信息出境標(biāo)準(zhǔn)合同，而關(guān)鍵信息基礎(chǔ)設(shè) 施運(yùn)營(yíng)者處理的個(gè)人信息、向境外提供重要數(shù)據(jù)或 數(shù)量較多的個(gè)人信息出境則需要通過(guò)所在地省級(jí)網(wǎng) 信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。

從個(gè)人信息認(rèn)定的范圍來(lái)看，“相關(guān)性＋可識(shí) 別性”標(biāo)準(zhǔn)可能會(huì)導(dǎo)致個(gè)人信息的范圍寬泛。在實(shí) 際的跨境活動(dòng)中，許多新興和邊緣信息是否被視為 個(gè)人信息存在較大的爭(zhēng)議。此外，中國(guó)龐大的人口 規(guī)模必然會(huì)產(chǎn)生大量的個(gè)人信息數(shù)據(jù)，這也是一個(gè) 不容忽視的問(wèn)題。絕大多數(shù)情況下，個(gè)人信息處理 者與境外機(jī)構(gòu)商業(yè)層面的個(gè)人信息數(shù)據(jù)流動(dòng)規(guī)模較 大，很容易超出《標(biāo)準(zhǔn)合同辦法》規(guī)定的范圍，可能 會(huì)導(dǎo)致適用標(biāo)準(zhǔn)合同的場(chǎng)合少之又少。

1.3.2 與安全評(píng)估制度存在“重疊”

從法律體系上看，《標(biāo)準(zhǔn)合同辦法》與《評(píng)估辦 法》應(yīng)該是一種相銜接的關(guān)系?！稑?biāo)準(zhǔn)合同辦法》 適用于安全評(píng)估強(qiáng)制申報(bào)以外的個(gè)人信息出境。但 在具體適用上，適用標(biāo)準(zhǔn)合同并不意味著是評(píng)估義 務(wù)的豁免，根據(jù)《標(biāo)準(zhǔn)合同辦法》第5條“個(gè)人信息 處理者向境外提供個(gè)人信息前，應(yīng)當(dāng)事前開(kāi)展個(gè)人 信息保護(hù)影響評(píng)估”。個(gè)人信息保護(hù)影響評(píng)估屬于 受強(qiáng)制的自我規(guī)制[10]，其評(píng)估內(nèi)容與《評(píng)估辦法》 第5條有明顯相似性。這樣設(shè)置的目的是保障兩種 數(shù)據(jù)出境制度均能達(dá)到同等水平的安全保護(hù)效果， 但目的與實(shí)際效用是否相悖？在適用方式上，《標(biāo) 準(zhǔn)合同辦法》采取了自主締約與備案相結(jié)合的措 施，標(biāo)準(zhǔn)合同不以備案為生效的條件，《標(biāo)準(zhǔn)合同 辦法》第7條規(guī)定“個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同 生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備 案”。備案的內(nèi)容為標(biāo)準(zhǔn)合同文本和個(gè)人信息保護(hù) 影響評(píng)估報(bào)告。按照規(guī)定，在標(biāo)準(zhǔn)合同生效后即可 以開(kāi)展個(gè)人信息出境活動(dòng)，不用等待完成備案。結(jié) 合第2款：“個(gè)人信息處理者應(yīng)當(dāng)對(duì)所備案材料的真 實(shí)性負(fù)責(zé)。”可見(jiàn)，省級(jí)網(wǎng)信部門主要對(duì)備案材料的 形式要件進(jìn)行審查。而《評(píng)估辦法》中第4條和第6 條要求數(shù)據(jù)處理者在向所在地省級(jí)部門申報(bào)時(shí)提 供一系列安全評(píng)估的材料。雖然備案與申報(bào)的法律 效力不同，但從條款設(shè)置上來(lái)看，兩者的差異性并 不顯著[5]。

兩處制度的相似是為了確保，無(wú)論從哪種方 式進(jìn)行個(gè)人信息數(shù)據(jù)出境，都能保證個(gè)人信息在此過(guò)程的安全性。但這也使得《標(biāo)準(zhǔn)合同辦法》與 《評(píng)估辦法》的區(qū)分程度不明顯。兩者是不同的制 度，卻有類似的評(píng)估內(nèi)容，不利于法律制度的體系 化進(jìn)程。

1.3.3 標(biāo)準(zhǔn)合同主體定義模糊

我國(guó)標(biāo)準(zhǔn)合同的主體為個(gè)人信息處理者和境 外接收方，僅一種數(shù)據(jù)傳輸模式，且不區(qū)分“數(shù)據(jù) 控制者”與“數(shù)據(jù)處理者”。歐盟標(biāo)準(zhǔn)合同條款經(jīng) 過(guò)二十多年的發(fā)展完善，在適用過(guò)程中能夠覆蓋多 種場(chǎng)景。對(duì)比歐盟最新版本的標(biāo)準(zhǔn)合同條款，分為 兩個(gè)締約主體，定義了“數(shù)據(jù)控制者”與“數(shù)據(jù)處 理者”的區(qū)別。并采取“模塊化”條款，使得標(biāo)準(zhǔn)合 同能覆蓋更多場(chǎng)景的數(shù)據(jù)跨境模式，具體分為“數(shù) 據(jù)控制者-數(shù)據(jù)控制者”“數(shù)據(jù)控制者-數(shù)據(jù)處理 者”“數(shù)據(jù)處理者-數(shù)據(jù)處理者”和“數(shù)據(jù)處理者- 數(shù)據(jù)控制者”四種模式，對(duì)四種個(gè)人信息數(shù)據(jù)跨境 傳輸模式分別作了詳細(xì)規(guī)定。并且不同的數(shù)據(jù)傳輸 模式有不同的要求，使標(biāo)準(zhǔn)合同條款能夠適用于各 種場(chǎng)景。

我國(guó)從《個(gè)人信息保護(hù)法》開(kāi)始，定義中就未 區(qū)分“數(shù)據(jù)處理者”與“數(shù)據(jù)控制者”的概念。而 是將其統(tǒng)稱為“個(gè)人信息處理者”，即自主決定處 理目的、處理方式等個(gè)人信息處理事項(xiàng)的組織、個(gè) 人。對(duì)比GDPR可知，與其“數(shù)據(jù)控制者”的定義相 似，即單獨(dú)或共同決定個(gè)人數(shù)據(jù)處理目的與方式的 自然人、法人或其他實(shí)體。目前實(shí)務(wù)界與學(xué)術(shù)界的 共識(shí)是應(yīng)當(dāng)在法律語(yǔ)言上注意區(qū)分“數(shù)據(jù)控制者” 與“數(shù)據(jù)處理者”的概念[11]。面對(duì)復(fù)雜的個(gè)人信息 跨境活動(dòng)場(chǎng)景，不同的角色意味著不同的責(zé)任和義 務(wù)，將兩種角色統(tǒng)稱為“個(gè)人信息處理者”，不利于 責(zé)任的劃分及事后救濟(jì)的開(kāi)展。

2 問(wèn)題的成因及優(yōu)化方式

本文運(yùn)用文本分析、比較研究等方法，分析問(wèn) 題的成因及提出相應(yīng)優(yōu)化方式。合理擴(kuò)大標(biāo)準(zhǔn)合同 的適用范圍、在構(gòu)建標(biāo)準(zhǔn)合同制度體系化方面還需 加強(qiáng)、合理定義“數(shù)據(jù)處理者”，完善個(gè)人信息跨境 的模式。提高標(biāo)準(zhǔn)合同的實(shí)用性，找到個(gè)人信息自 由流動(dòng)與個(gè)人信息保護(hù)的平衡點(diǎn)。

2.1 擴(kuò)大標(biāo)準(zhǔn)合同適用范圍

2019年《個(gè)人信息出境安全評(píng)估辦法（征求意 見(jiàn)稿）》第3條規(guī)定：“個(gè)人信息出境前，網(wǎng)絡(luò)運(yùn)營(yíng)者 應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門申報(bào)個(gè)人信息出境安 全評(píng)估?！痹撜髑笠庖?jiàn)稿中未設(shè)置人數(shù)標(biāo)準(zhǔn)，意味 著只要向境外提供個(gè)人信息就需要進(jìn)行安全評(píng)估， 即通過(guò)安全評(píng)估是個(gè)人信息出境的唯一方式。此種 方式不僅增加網(wǎng)信部門的工作量，也不利于企業(yè)的 經(jīng)濟(jì)發(fā)展。2022年發(fā)布的《個(gè)人信息出境標(biāo)準(zhǔn)合同 規(guī)定（征求意見(jiàn)稿）》其設(shè)置了門檻，此次《標(biāo)準(zhǔn)合 同辦法》與之保持一致，對(duì)標(biāo)準(zhǔn)合同也設(shè)置了相應(yīng) 的適用范圍。從《標(biāo)準(zhǔn)合同辦法》第4條的適用范圍 和立法沿革及實(shí)踐來(lái)看，標(biāo)準(zhǔn)合同更適用于中小企 業(yè)，減輕中小企業(yè)個(gè)人信息出境業(yè)務(wù)的負(fù)擔(dān)。

歐盟個(gè)人信息數(shù)據(jù)跨境傳輸?shù)暮诵挠^念是最大 限度保護(hù)人權(quán)[12]，只有參與數(shù)據(jù)跨境傳輸?shù)母鞣侥?夠充分保障個(gè)人信息數(shù)據(jù)的安全，個(gè)人信息數(shù)據(jù)才 得以自由流動(dòng)。由于GDPR所要求的“充分性認(rèn)定” 難度較大，所以企業(yè)更愿意采用標(biāo)準(zhǔn)合同條款的 方式進(jìn)行數(shù)據(jù)跨境傳輸[13]。從歷史沿革來(lái)看，標(biāo)準(zhǔn) 合同適用范圍逐步擴(kuò)大，正在成為歐洲監(jiān)管部門最 有效的監(jiān)管工具[14]。從實(shí)踐中看，標(biāo)準(zhǔn)合同條款作 為“個(gè)人數(shù)據(jù)跨境傳輸工具”，使未取得歐盟“充分 性認(rèn)證”的國(guó)家或地區(qū)也能與之進(jìn)行數(shù)據(jù)跨境傳輸 活動(dòng)，逐漸成為歐洲監(jiān)管部門監(jiān)管個(gè)人數(shù)據(jù)跨境流 動(dòng)的重要方式。

隨著全球化的發(fā)展，各國(guó)法律的趨勢(shì)也是一致 的，都把標(biāo)準(zhǔn)合同當(dāng)作企業(yè)之間進(jìn)行個(gè)人信息數(shù)據(jù) 跨境傳輸?shù)囊粋€(gè)重要方式。而標(biāo)準(zhǔn)合同的適用范圍 小，導(dǎo)致其束之高閣并不是立法的初衷。在適用上 與《評(píng)估辦法》相聯(lián)系，從整體法律體系出發(fā)，擴(kuò)大 《標(biāo)準(zhǔn)合同》適用范圍，提高《評(píng)估辦法》適用門檻，完善整個(gè)數(shù)據(jù)出境法律體系。達(dá)到個(gè)人信息數(shù) 據(jù)安全與自由流動(dòng)之間的平衡。

2.2 體系化構(gòu)建標(biāo)準(zhǔn)合同

標(biāo)準(zhǔn)合同和安全評(píng)估辦法的“重疊”，究其原 因是忽視了兩種制度的內(nèi)在邏輯差異性，《標(biāo)準(zhǔn)合 同辦法》的法理基礎(chǔ)是在個(gè)人信息出境過(guò)程中對(duì)第 三人利益的保護(hù)和救濟(jì)，合同條款應(yīng)側(cè)重合同義務(wù) 的履行方式及違約責(zé)任的承擔(dān)方面。其實(shí)質(zhì)是以合 同意定的法律責(zé)任，預(yù)防合同雙方當(dāng)事人違約并提 出具體救濟(jì)方式。而《評(píng)估辦法》的法理基礎(chǔ)是預(yù) 防數(shù)據(jù)出境對(duì)國(guó)家安全和社會(huì)公共利益造成難以彌 補(bǔ)的損害，在此種情況下對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行預(yù)防 和緩解，因此評(píng)估的事項(xiàng)和內(nèi)容應(yīng)嚴(yán)于少量個(gè)人信 息和一般數(shù)據(jù)出境[5]。其實(shí)質(zhì)是，對(duì)數(shù)據(jù)處理者設(shè) 置法定的義務(wù)來(lái)保障數(shù)據(jù)安全。針對(duì)不同的法理基 礎(chǔ)，應(yīng)對(duì)個(gè)人信息數(shù)據(jù)設(shè)置不同程度的規(guī)制要求。

以《標(biāo)準(zhǔn)合同辦法》為基礎(chǔ)的標(biāo)準(zhǔn)合同條款， 應(yīng)當(dāng)有兩個(gè)側(cè)重點(diǎn)，在事前階段，通過(guò)設(shè)置個(gè)人信 息處理者對(duì)境外接收方充分的考察的義務(wù)；在事 后階段，境外接收方獲得個(gè)人信息數(shù)據(jù)之后存在的 違約行為及救濟(jì)方式。明確個(gè)人信息保護(hù)影響評(píng)估 與風(fēng)險(xiǎn)自評(píng)估之間的差別，在第5條的用語(yǔ)上，可 將“重點(diǎn)評(píng)估以下內(nèi)容”調(diào)整為“重點(diǎn)評(píng)估風(fēng)險(xiǎn)事 項(xiàng)”。來(lái)突出標(biāo)準(zhǔn)合同影響評(píng)估遵循的是風(fēng)險(xiǎn)自評(píng) 估，由數(shù)據(jù)處理者判斷個(gè)人信息出境后可能帶來(lái)的 風(fēng)險(xiǎn)及危害結(jié)果。提高個(gè)人信息權(quán)利人權(quán)利救濟(jì)的 便捷性與可能性，個(gè)人信息權(quán)利人在面對(duì)境外接收 者違反合同約定而受到損失時(shí)，在維權(quán)過(guò)程中有諸 多困難，可以要求個(gè)人信息處理者承擔(dān)連帶責(zé)任。 以更好保護(hù)個(gè)人信息權(quán)利人的利益。

2.3 合理定義“數(shù)據(jù)處理者”

有學(xué)者認(rèn)為無(wú)需給“數(shù)據(jù)處理者”一個(gè)獨(dú)立的 法律地位，理由是數(shù)據(jù)處理者代表數(shù)據(jù)控制者，其 結(jié)果由數(shù)據(jù)控制者負(fù)責(zé)，數(shù)據(jù)控制者有義務(wù)選擇一 個(gè)有能力勝任的數(shù)據(jù)處理者。數(shù)據(jù)處理者與數(shù)據(jù)控 制者有內(nèi)部的聯(lián)系，這種內(nèi)部聯(lián)系與個(gè)人信息主體無(wú) 關(guān)，因此對(duì)外承擔(dān)責(zé)任無(wú)需區(qū)分[15]。以Facebook被罰 50億為例，F(xiàn)acebook公司控制了大量的用戶數(shù)據(jù)，擔(dān) 任“數(shù)據(jù)控制者”角色。而其與劍橋分析公司不當(dāng)分 享8700萬(wàn)用戶的個(gè)人信息，劍橋分析公司對(duì)這些個(gè)人 信息進(jìn)行分析，擔(dān)任“數(shù)據(jù)處理者”的角色。由此可 見(jiàn)，在劃分責(zé)任時(shí)，有必要區(qū)分每一行為的性質(zhì)，對(duì) 其行為進(jìn)行定性、歸責(zé)。我國(guó)在立法上應(yīng)完善，區(qū)分 兩個(gè)主體，劃分四種傳輸行為是有必要的。

合理定義“數(shù)據(jù)處理者”，區(qū)分“數(shù)據(jù)控制者” 與“數(shù)據(jù)處理者”不同的法律地位，利于在具體實(shí) 踐中明確責(zé)任，劃分義務(wù)。并以此為基礎(chǔ)，建立多種 個(gè)人信息跨境傳輸模式。立法應(yīng)具有前瞻性，預(yù)見(jiàn) 未來(lái)數(shù)據(jù)的發(fā)展。

3 結(jié) 語(yǔ)

大量的實(shí)踐已經(jīng)證明，絕對(duì)化的數(shù)據(jù)無(wú)國(guó)界與 當(dāng)今經(jīng)濟(jì)全球化發(fā)展相悖，絕對(duì)化的數(shù)據(jù)主權(quán)阻礙 市場(chǎng)經(jīng)濟(jì)的發(fā)展。以美國(guó)為代表的數(shù)據(jù)自由貿(mào)易雖 具有一定的合理性，可以提高全球的合作效率，全 球范圍內(nèi)增加財(cái)富，但也要防范某些國(guó)家以自由之 名對(duì)其他國(guó)家的個(gè)人數(shù)據(jù)與國(guó)家安全造成威脅。以 歐盟為代表的數(shù)據(jù)人權(quán)立場(chǎng)，在充分保護(hù)個(gè)人數(shù)據(jù) 安全的同時(shí)，實(shí)際上是一種“軟數(shù)據(jù)本地化”，導(dǎo)致 單邊主義與長(zhǎng)臂管轄的風(fēng)險(xiǎn)[16]。

數(shù)據(jù)具有非競(jìng)爭(zhēng)性、非排他性等特征[17]。數(shù)據(jù) 在無(wú)限復(fù)制的過(guò)程中，不僅不會(huì)損害數(shù)據(jù)的價(jià)值， 還會(huì)在此過(guò)程中產(chǎn)生新的價(jià)值。同時(shí)需要平衡好個(gè) 人信息跨境流動(dòng)安全與經(jīng)濟(jì)利益的關(guān)系。我國(guó)《標(biāo) 準(zhǔn)合同》已經(jīng)發(fā)布生效，但現(xiàn)實(shí)生活不是一成不變 的，法律在適用過(guò)程中具有滯后性。在具體適用過(guò) 程中，合理擴(kuò)大標(biāo)準(zhǔn)合同的適用范圍，讓標(biāo)準(zhǔn)合同 能夠真正地適用各種場(chǎng)景；從整體上構(gòu)建標(biāo)準(zhǔn)合同 制度體系化；最后合理定義“數(shù)據(jù)處理者”，完善個(gè) 人信息跨境的模式。找到個(gè)人信息自由流動(dòng)與個(gè)人 信息保護(hù)的平衡點(diǎn)。

參考文獻(xiàn)

中國(guó)信息通信研究院《全球數(shù)字經(jīng)濟(jì)白皮書（2022）》 [EB/OL].（2022-12-07）[2023-11-04].http：//www.caict. ac.cn/kxyj/qwfb/bps/202212/P020221207397428021671. pdf.

Center for Strategic and International Studies （CSIS）. Governing Data in the Asia－Pacific[EB/OL].（2021- 04-21）[2023-11-04].https//www.jstor.org/stable/ resrep31139？seq=1#metadata_info_contents.

LAUREN H S.Big Data Is Not Big Oil： The Role of Analogy in the Law of New Technologies[J]. Tennessee Law Review， 2019（4）： 863-892.

European Commission．Communication on Building a European Data Economy[EB/OL].（2017-04-10）[2023-11- 04].http：//ec.europa.eu/newsroom/dae/document.cfm？doc_ id=41205%0D.

趙精武.論數(shù)據(jù)出境評(píng)估、合同與認(rèn)證規(guī)則的體系化[J]. 行政法學(xué)研究，2023（1）：78-94.

黃秋紅，李雅頓.對(duì)接CPTPP數(shù)據(jù)跨境流動(dòng)規(guī)則研究[J]. 南海法學(xué)，2022（1）：115-124.

謝登科.個(gè)人信息跨境提 供中的企業(yè)合規(guī)[J ].法學(xué)論 壇，2023（1）：85-94.

United Nations. Cross-Border Data Flows and Development： For Whom the Data Flow[EB/OL].（2021-11-16）[2023- 11-04].https：//unctad.org/system/files/official-document/ der2021_en.pdf.

OCDE. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[M].OECD Publishing：2002.

劉權(quán).論個(gè)人信息保護(hù)影響評(píng)估—以《個(gè)人信息保護(hù)法》 第55、56條為中心[J].上海交通大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué) 版），2022（5）：39-50.

程嘯.侵害個(gè)人信息權(quán) 益的侵權(quán)責(zé)任[J ].中國(guó)法律 評(píng) 論，2021（5）：59-69.

蔡翠紅，張若揚(yáng).“技術(shù)主權(quán)”和“數(shù)字主權(quán)”話語(yǔ)下歐盟 數(shù)字化轉(zhuǎn)型戰(zhàn)略[J].國(guó)際政治研究，2022（1）：9-37.

李默絲.中美歐博弈背景下的中歐跨境數(shù)據(jù)流動(dòng)合作[J]. 歐洲研究，2021（6）：1-24.

梅傲，張涵鑫.從SCCs到IDTA：歐洲個(gè)人數(shù)據(jù)跨境傳輸規(guī) 則調(diào)整及中國(guó)應(yīng)對(duì)[J].中國(guó)行政管理，2023（2）：135-144.

PETER B .Controller and processor： is there a risk of confusion？[J]. International Data Privacy Law， 2013（2）： 140-145.

丁曉 東.數(shù) 據(jù)跨境流動(dòng)的 法理 反 思與制度 重 構(gòu) —— 兼 評(píng)《 數(shù) 據(jù)出 境 安 全 評(píng) 估 辦 法》[ J ] . 行 政 法 學(xué) 研 究，2023（1）：62-77.

SILVEIRA D J F M J， KENNETH J. Arrow - Economic Welfare and the Allocation of Resources for Invention[J]. Revista Brasileira de Inova??o， 2008（2）： 261-286.

作者簡(jiǎn)介

趙薇，碩士研究生，研究方向?yàn)閲?guó)際法學(xué)、數(shù)據(jù)法學(xué)。

（責(zé)任編輯：張瑞洋）