摘 要：经济迅速发展的今天，数据的重要性日益凸显。个人信息作为数据的重要组成部分，如何在个人信息跨境自由流动 与保护个人信息安全方面找到一个平衡点是一大难题，标准合同制度在平衡二者关系上发挥了重要作用，但在具体适用方面 还需完善。相对于欧美国家的个人信息出境保护模式，我国在个人信息出境保护立法方面起步晚，实践不足。本文以标准合 同的规制对象与适用范围为研究对象，发现标准合同制度面临着适用范围存在局限性、与安全评估制度存在重叠、主体定义 模糊的问题。应立足我国特色，在实践中不断完善标准合同制度，通过扩大标准合同适用范围，立足于顶层，体系化构建标 准合同条款；重新定义“数据处理者”，完善个人信息跨境模式等方式，优化标准合同制度。

关键词：个人信息出境，标准合同条款，个人信息保护

DOI编码：10.3969/j.issn.1002-5944.2024.06.006

0 引 言

2 0 22年7月29日，中国信息通信研究院发布 的《全球数字经济白皮书（2022年）》[1]指出，数 字经济为全球经济发展注入了新的动能。总体而 言，2021年，全球47个国家数字经济增加值为38.1万亿美元，同比增长15.6%，占全球GDP的比重为 45.0%。在规模方面，中国的数字经济规模位居全 球第二，达到7.1万亿美元。在占比方面，德国、英国 和美国的数字经济占其国内生产总值的比重位列前 三位，均超过65%。其中，数据跨境流动已经成为推 动数字经济发展不可或缺的力量[2]。数据被誉为21 世纪“新石油”[3]，这凸显了数据的重要性。和石油 不同的是，数据的价值在于其流动性，数据的流动 性对其价值有着显著影响。数据需要在流通和共享 过程中才能充分发挥其价值，并且在跨境流动中能 够创造新的价值。但是，数据跨境流动在促进经济 发展的同时，也面临着个人隐私保护、数据主权和 国家安全维护的压力。然而，对数据流动的不合理 限制会妨碍经济的发展，严重情况可能导致市场分 裂，降低数据服务提供者的服务质量和竞争力，尤 其在小规模企业上体现更加明显[4]。由此可知，数 据本地化与数据跨境自由流动的矛盾日益严峻。如 何规制个人信息跨境流动，實现个人信息自由流动、 隐私保护和国家安全的平衡，这是学术界和实务界 一直在探讨的问题。

个人信息跨境流动作为近年来国际社会的热 点话题，其规制方法《个人信息跨境标准合同办法》 （以下简称《标准合同办法》）的出台具有重要意 义。从理论层面看，完善个人信息跨境流动法律规 制不仅是国内法的完善，还会产生国际上的联动效 应。从实践意义看，该制度切身关系到每个人的利 益，随着科技的发展，未来定是数据的世界。我国 作为新兴的信息大国，庞大的人口数量必然产生巨 大的个人信息跨境需求，进而产生经济价值。制定 标准合同已经成为各国规制个人信息跨境流动的重 要途径。《标准合同办法》是专门以“个人信息跨境 流动”为规制对象，通过国家预先设置标准合同， 由境内个人信息处理者与境外接收方订立合同，约 定双方的权利与义务的方式，来保护个人信息在跨 境流动过程中的安全。

1 作为监管工具的标准合同

1.1 标准合同制度的由来

标准合同制度是为了确保个人信息出境后享有 不低于本国标准的保护，同时将个人信息保护的相 关规定转化为境内个人信息处理者与境外接收方 的合同责任。标准合同制度最早起源于欧盟，欧洲 作为数据立法的领军地区，其中欧盟以《通用数据 保护条例》（以下简称GDPR）为基础，制定“充分 性认证”、标准合同条款等数据跨境传输模式，搭 建起欧式个人数据跨境传输规则。根据GDPR第45 条第1款规定，充分性认证制度是指“当欧盟委员会 做出认定，认为相关第三国、第三国中的某个区域 或一个或多个特定部门或国际组织具有充分保护 水平，才可将个人数据转移至该国家/地区。经认证 后无需特别授权”。是欧盟对第三国数据保护情况 的认可。截至目前，仅有日本、韩国、瑞士等15个国 家或地区通过欧盟的“充分性认证”。相较于严苛 的“充分性认证”，标准合同条款是从保障数据主 体权利的角度出发，双方主体针对数据跨境传输这 一行为作出的约定，相较于“充分性认证”具有较 大的灵活性。

欧盟最早在1995年《欧共体数据保护指令》 （EUDPD）就规定了诸如标准合同条款的相关措 施，从2001年正式出版欧盟标准合同条款之后，又 经历数次变更。为了适应时代的变化，更好地衔接 GDPR和调和商界与民间隐私保护组织的利益诉 求，保障数据安全的情况下更好地进行数据跨境 传输，在2021年2月新的数据跨境传输标准合同条 款（SCCs）应运而生。欧盟新款标准合同条款作为 除“充分性认证”最具代表性的个人信息数据跨境 传输制度，也被称为“条款模式”。根据GDPR的规 定，一国在没有获得“充分性认证”的条件下，数据 控制者和数据处理者可以采取标准合同条款的方 式同欧盟成员国之间自由传输个人信息数据，以降 低在数据跨境流动过程中的风险。欧盟新款标准合同沿袭前三版标准合同条款中对基本数据的保护 原则，并在内容上进行了革新，在具体的个人信息 数据传输模式上，区分了“数据控制者-数据控制 者”“数据控制者-数据处理者”“数据处理者-数 据处理者”和“数据处理者-数据控制者”四种模 式（见图1），并对其做出了详细的规定，每一种数 据传输模式相应地对“数据控制者”与“数据处理 者”有不同的要求。新款标准合同条款适用于一切 受GDPR管辖的数据输出方，即使其实体并未设在 欧盟。实际上是扩大了标准合同的适用范围。新款 标准合同条款的出台不仅有利于推动数据跨境领 域统一规则的形成，而且提升企业在此领域的合规 性，以此促进全球数字贸易的长足发展。

世界范围内没有形成统一的数据跨境立法，是 由各个国家在数据安全和数据出境的国内法完善 之后，而形成的国际上统一的认识。由于各国法律 文化、社会经济、制度背景有诸多不同，延伸出对数 据的保护程度也不同，数据如何安全自由流动这一 根本性问题没有达到共识。针对不同的数据跨境场 景，数据安全自由流动的实现方式也不只有一种模 式，应是设置多样化的数据出境模式[5]。针对个人信 息出境这一场景，我国出台《标准合同办法》来进行 规制，以保证个人信息安全自由的流动。由个人信息 处理者和境外接收方订立个人信息出境标准合同的 方式向中华人民共和国境外提供个人信息。相比数 据出境安全评估严格的适用条件和较高的门槛，个 人信息出境标准合同可适用于更广泛的业务场景， 重要性不言而喻。但在实践过程中，也遇到诸如适 用范围小、主体定义模糊的挑战。

1.2 标准合同的规制对象

我国目前已经形成以《个人信息保护法》《数据 安全法》和《网络安全法》为基础的全方位的数据 安全和个人信息保障体系。2023年2月24日，备受瞩 目的《个人信息出境标准合同办法》由国家互联网 信息办公室正式发布，附件部分公布了个人信息出 境标准合同（以下简称“标准合同”），并于同年6月 1日起施行。加上此前已发布的《数据出境安全评估 办法》（以下简称《评估办法》）、《网络安全标准实 践指南—个人信息跨境处理活动安全认证规范》， 《个人信息保护法》明确的三项个人信息出境条件 已全部具备明确的落地指引。

个人信息作为数据的重要组成部分，研究数 据跨境流动这一问题时，必然涉及对个人信息的研 究[6]。在针对个人信息跨境流动问题中，首先应判 定哪些数据属于个人信息[7]。我国《个人信息保护 法》第4条对个人信息的定义做出界定：“个人信息是以电子或者其他方式记录的与已识别或者可识 别的自然人有关的各种信息，不包括匿名化处理 后的信息。”即只要是与已识别或可识别自然人相 关的信息都属于个人信息，采用了“相关性+可识 别性”的判断标准。此外，《个人信息保护法》第28 条又细分了敏感个人信息。其次是准确界定“跨境 流动”的含义，《新华社新闻信息报道中的禁用词 和慎用词》第40条对“境外”的定义为：指中华人 民共和国领域以外或者领域内未实施行政管辖的 地域，即包括港澳台。因此中国大陆与港澳台之间 的个人信息传输也属于个人信息跨境流动。但对于 “个人信息跨境流动”的确切定义，学术界和实务 界目前尚未达成共识[8]。最早正式提出这一概念 的是经合组织（OECD）在1980年发布的《关于隐 私保护与个人数据跨境流动的指南》中，第1条第3 款将“个人信息跨境流动”定义为个人信息跨越边 境进行传输[9]。各个国家或地区在立法层面，未对 “个人信息跨境流动”作出其他的定义。本文亦不 对“个人信息跨境流动”做定义，直接将其作為既 定事实，研究个人信息跨境流动的法律规制问题。

1.3 标准合同的适用面临的挑战

1.3.1 适用范围存在局限性

《标准合同办法》第4条明确了标准合同的适 用范围，同时符合四种情况的个人信息处理者可 以通过订立标准合同的方式向境外提供个人信息： （1）非关键信息基础设施运营者；（2）处理个人信 息不满100万人的；（3）自上年1月1日起累计向境外 提供个人信息不满10万人的；（4）自上年1月1日起累 计向境外提供敏感个人信息不满1万人的。对比《评 估办法》可以看出，两者之间是一种衔接关系。非 关键信息基础设施运营者处理的少量个人信息出 境适用个人信息出境标准合同，而关键信息基础设 施运营者处理的个人信息、向境外提供重要数据或 数量较多的个人信息出境则需要通过所在地省级网 信部门向国家网信部门申报数据出境安全评估。

从个人信息认定的范围来看，“相关性＋可识 别性”标准可能会导致个人信息的范围宽泛。在实 际的跨境活动中，许多新兴和边缘信息是否被视为 个人信息存在较大的争议。此外，中国庞大的人口 规模必然会产生大量的个人信息数据，这也是一个 不容忽视的问题。绝大多数情况下，个人信息处理 者与境外机构商业层面的个人信息数据流动规模较 大，很容易超出《标准合同办法》规定的范围，可能 会导致适用标准合同的场合少之又少。

1.3.2 与安全评估制度存在“重叠”

从法律体系上看，《标准合同办法》与《评估办 法》应该是一种相衔接的关系。《标准合同办法》 适用于安全评估强制申报以外的个人信息出境。但 在具体适用上，适用标准合同并不意味着是评估义 务的豁免，根据《标准合同办法》第5条“个人信息 处理者向境外提供个人信息前，应当事前开展个人 信息保护影响评估”。个人信息保护影响评估属于 受强制的自我规制[10]，其评估内容与《评估办法》 第5条有明显相似性。这样设置的目的是保障两种 数据出境制度均能达到同等水平的安全保护效果， 但目的与实际效用是否相悖？在适用方式上，《标 准合同办法》采取了自主缔约与备案相结合的措 施，标准合同不以备案为生效的条件，《标准合同 办法》第7条规定“个人信息处理者应当在标准合同 生效之日起10个工作日内向所在地省级网信部门备 案”。备案的内容为标准合同文本和个人信息保护 影响评估报告。按照规定，在标准合同生效后即可 以开展个人信息出境活动，不用等待完成备案。结 合第2款：“个人信息处理者应当对所备案材料的真 实性负责。”可见，省级网信部门主要对备案材料的 形式要件进行审查。而《评估办法》中第4条和第6 条要求数据处理者在向所在地省级部门申报时提 供一系列安全评估的材料。虽然备案与申报的法律 效力不同，但从条款设置上来看，两者的差异性并 不显著[5]。

两处制度的相似是为了确保，无论从哪种方 式进行个人信息数据出境，都能保证个人信息在此过程的安全性。但这也使得《标准合同办法》与 《评估办法》的区分程度不明显。两者是不同的制 度，却有类似的评估内容，不利于法律制度的体系 化进程。

1.3.3 标准合同主体定义模糊

我国标准合同的主体为个人信息处理者和境 外接收方，仅一种数据传输模式，且不区分“数据 控制者”与“数据处理者”。欧盟标准合同条款经 过二十多年的发展完善，在适用过程中能够覆盖多 种场景。对比欧盟最新版本的标准合同条款，分为 两个缔约主体，定义了“数据控制者”与“数据处 理者”的区别。并采取“模块化”条款，使得标准合 同能覆盖更多场景的数据跨境模式，具体分为“数 据控制者-数据控制者”“数据控制者-数据处理 者”“数据处理者-数据处理者”和“数据处理者- 数据控制者”四种模式，对四种个人信息数据跨境 传输模式分别作了详细规定。并且不同的数据传输 模式有不同的要求，使标准合同条款能够适用于各 种场景。

我国从《个人信息保护法》开始，定义中就未 区分“数据处理者”与“数据控制者”的概念。而 是将其统称为“个人信息处理者”，即自主决定处 理目的、处理方式等个人信息处理事项的组织、个 人。对比GDPR可知，与其“数据控制者”的定义相 似，即单独或共同决定个人数据处理目的与方式的 自然人、法人或其他实体。目前实务界与学术界的 共识是应当在法律语言上注意区分“数据控制者” 与“数据处理者”的概念[11]。面对复杂的个人信息 跨境活动场景，不同的角色意味着不同的责任和义 务，将两种角色统称为“个人信息处理者”，不利于 责任的划分及事后救济的开展。

2 问题的成因及优化方式

本文运用文本分析、比较研究等方法，分析问 题的成因及提出相应优化方式。合理扩大标准合同 的适用范围、在构建标准合同制度体系化方面还需 加强、合理定义“数据处理者”，完善个人信息跨境 的模式。提高标准合同的实用性，找到个人信息自 由流动与个人信息保护的平衡点。

2.1 扩大标准合同适用范围

2019年《个人信息出境安全评估办法（征求意 见稿）》第3条规定：“个人信息出境前，网络运营者 应当向所在地省级网信部门申报个人信息出境安 全评估。”该征求意见稿中未设置人数标准，意味 着只要向境外提供个人信息就需要进行安全评估， 即通过安全评估是个人信息出境的唯一方式。此种 方式不仅增加网信部门的工作量，也不利于企业的 经济发展。2022年发布的《个人信息出境标准合同 规定（征求意见稿）》其设置了门槛，此次《标准合 同办法》与之保持一致，对标准合同也设置了相应 的适用范围。从《标准合同办法》第4条的适用范围 和立法沿革及实践来看，标准合同更适用于中小企 业，减轻中小企业个人信息出境业务的负担。

欧盟个人信息数据跨境传输的核心观念是最大 限度保护人权[12]，只有参与数据跨境传输的各方能 够充分保障个人信息数据的安全，个人信息数据才 得以自由流动。由于GDPR所要求的“充分性认定” 难度较大，所以企业更愿意采用标准合同条款的 方式进行数据跨境传输[13]。从历史沿革来看，标准 合同适用范围逐步扩大，正在成为欧洲监管部门最 有效的监管工具[14]。从实践中看，标准合同条款作 为“个人数据跨境传输工具”，使未取得欧盟“充分 性认证”的国家或地区也能与之进行数据跨境传输 活动，逐渐成为欧洲监管部门监管个人数据跨境流 动的重要方式。

随着全球化的发展，各国法律的趋势也是一致 的，都把标准合同当作企业之间进行个人信息数据 跨境传输的一个重要方式。而标准合同的适用范围 小，导致其束之高阁并不是立法的初衷。在适用上 与《评估办法》相联系，从整体法律体系出发，扩大 《标准合同》适用范围，提高《评估办法》适用门槛，完善整个数据出境法律体系。达到个人信息数 据安全与自由流动之间的平衡。

2.2 体系化构建标准合同

标准合同和安全评估办法的“重叠”，究其原 因是忽视了两种制度的内在逻辑差异性，《标准合 同办法》的法理基础是在个人信息出境过程中对第 三人利益的保护和救济，合同条款应侧重合同义务 的履行方式及违约责任的承担方面。其实质是以合 同意定的法律责任，预防合同双方当事人违约并提 出具体救济方式。而《评估办法》的法理基础是预 防数据出境对国家安全和社会公共利益造成难以弥 补的损害，在此种情况下对数据安全风险进行预防 和缓解，因此评估的事项和内容应严于少量个人信 息和一般数据出境[5]。其实质是，对数据处理者设 置法定的义务来保障数据安全。针对不同的法理基 础，应对个人信息数据设置不同程度的规制要求。

以《标准合同办法》为基础的标准合同条款， 应当有两个侧重点，在事前阶段，通过设置个人信 息处理者对境外接收方充分的考察的义务；在事 后阶段，境外接收方获得个人信息数据之后存在的 违约行为及救济方式。明确个人信息保护影响评估 与风险自评估之间的差别，在第5条的用语上，可 将“重点评估以下内容”调整为“重点评估风险事 项”。来突出标准合同影响评估遵循的是风险自评 估，由数据处理者判断个人信息出境后可能带来的 风险及危害结果。提高个人信息權利人权利救济的 便捷性与可能性，个人信息权利人在面对境外接收 者违反合同约定而受到损失时，在维权过程中有诸 多困难，可以要求个人信息处理者承担连带责任。 以更好保护个人信息权利人的利益。

2.3 合理定义“数据处理者”

有学者认为无需给“数据处理者”一个独立的 法律地位，理由是数据处理者代表数据控制者，其 结果由数据控制者负责，数据控制者有义务选择一 个有能力胜任的数据处理者。数据处理者与数据控 制者有内部的联系，这种内部联系与个人信息主体无 关，因此对外承担责任无需区分[15]。以Facebook被罚 50亿为例，Facebook公司控制了大量的用户数据，担 任“数据控制者”角色。而其与剑桥分析公司不当分 享8700万用户的个人信息，剑桥分析公司对这些个人 信息进行分析，担任“数据处理者”的角色。由此可 见，在划分责任时，有必要区分每一行为的性质，对 其行为进行定性、归责。我国在立法上应完善，区分 两个主体，划分四种传输行为是有必要的。

合理定义“数据处理者”，区分“数据控制者” 与“数据处理者”不同的法律地位，利于在具体实 践中明确责任，划分义务。并以此为基础，建立多种 个人信息跨境传输模式。立法应具有前瞻性，预见 未来数据的发展。

3 结 语

大量的实践已经证明，绝对化的数据无国界与 当今经济全球化发展相悖，绝对化的数据主权阻碍 市场经济的发展。以美国为代表的数据自由贸易虽 具有一定的合理性，可以提高全球的合作效率，全 球范围内增加财富，但也要防范某些国家以自由之 名对其他国家的个人数据与国家安全造成威胁。以 欧盟为代表的数据人权立场，在充分保护个人数据 安全的同时，实际上是一种“软数据本地化”，导致 单边主义与长臂管辖的风险[16]。

数据具有非竞争性、非排他性等特征[17]。数据 在无限复制的过程中，不仅不会损害数据的价值， 还会在此过程中产生新的价值。同时需要平衡好个 人信息跨境流动安全与经济利益的关系。我国《标 准合同》已经发布生效，但现实生活不是一成不变 的，法律在适用过程中具有滞后性。在具体适用过 程中，合理扩大标准合同的适用范围，让标准合同 能够真正地适用各种场景；从整体上构建标准合同 制度体系化；最后合理定义“数据处理者”，完善个 人信息跨境的模式。找到个人信息自由流动与个人 信息保护的平衡点。

参考文献

中国信息通信研究院《全球数字经济白皮书（2022）》 [EB/OL].（2022-12-07）[2023-11-04].http：//www.caict. ac.cn/kxyj/qwfb/bps/202212/P020221207397428021671. pdf.

Center for Strategic and International Studies （CSIS）. Governing Data in the Asia－Pacific[EB/OL].（2021- 04-21）[2023-11-04].https//www.jstor.org/stable/ resrep31139？seq=1#metadata_info_contents.

LAUREN H S.Big Data Is Not Big Oil： The Role of Analogy in the Law of New Technologies[J]. Tennessee Law Review， 2019（4）： 863-892.

European Commission．Communication on Building a European Data Economy[EB/OL].（2017-04-10）[2023-11- 04].http：//ec.europa.eu/newsroom/dae/document.cfm？doc_ id=41205%0D.

赵精武.论数据出境评估、合同与认证规则的体系化[J]. 行政法学研究，2023（1）：78-94.

黄秋红，李雅顿.对接CPTPP数据跨境流动规则研究[J]. 南海法学，2022（1）：115-124.

谢登科.个人信息跨境提 供中的企业合规[J ].法学论 坛，2023（1）：85-94.

United Nations. Cross-Border Data Flows and Development： For Whom the Data Flow[EB/OL].（2021-11-16）[2023- 11-04].https：//unctad.org/system/files/official-document/ der2021_en.pdf.

OCDE. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[M].OECD Publishing：2002.

刘权.论个人信息保护影响评估—以《个人信息保护法》 第55、56条为中心[J].上海交通大学学报（哲学社会科学 版），2022（5）：39-50.

程啸.侵害个人信息权 益的侵权责任[J ].中国法律 评 论，2021（5）：59-69.

蔡翠紅，张若扬.“技术主权”和“数字主权”话语下欧盟 数字化转型战略[J].国际政治研究，2022（1）：9-37.

李默丝.中美欧博弈背景下的中欧跨境数据流动合作[J]. 欧洲研究，2021（6）：1-24.

梅傲，张涵鑫.从SCCs到IDTA：欧洲个人数据跨境传输规 则调整及中国应对[J].中国行政管理，2023（2）：135-144.

PETER B .Controller and processor： is there a risk of confusion？[J]. International Data Privacy Law， 2013（2）： 140-145.

丁晓 东.数 据跨境流动的 法理 反 思与制度 重 构 —— 兼 评《 数 据出 境 安 全 评 估 办 法》[ J ] . 行 政 法 学 研 究，2023（1）：62-77.

SILVEIRA D J F M J， KENNETH J. Arrow - Economic Welfare and the Allocation of Resources for Invention[J]. Revista Brasileira de Inova??o， 2008（2）： 261-286.

作者简介

赵薇，硕士研究生，研究方向为国际法学、数据法学。

（责任编辑：张瑞洋）