众所周知，1969年是互联网时代开启的元年，但直至20世纪末期，互联网才真正作为一种营销手段和商务媒介被社会广泛接纳并使用。近年来，跨境电商被逐步运用于商业化的业态中。跨境电商有着相对实体零售更为灵活、高效的特点，其可以利用互联网的优势接触来自世界各国的消费者，基于可复制和可推广的模型特点，其还能够为在售商品和服务提供更具市场竞争力的价格。虽然，跨境电商都创设了自己的网站用以发布广告、展示商品、订立合同、联系客户以及支付结算。但是，由于各国法律体系及行业技术要求都各不相同，绝大多数的跨境电商甚至都不清楚在不同国家发布广告和分析数据所依据的准据法为何？另一方面，对个人网络数据的深入挖掘，可以推演出网络用户的生活习惯、性格爱好、家庭住址等个人隐私，而对这些个人隐私的合法、正当、必要地使用，也往往能为跨境电商带来巨大的利润。正是出于持续牟利的目的，加之异地监管的商业模式，跨境电商滥用“网络用户隐私权”的情形尤为严重。

2014年，索尼、Home Depot和Target三家公司在美国相继发生了若干次大规模的数据泄漏事件，其中，仅索尼公司一家，就直接导致近5万名员工的个人信息、邮件记录、工资情况，以及未上映的电影《刺杀金正恩》被公之于众。因此，在面对不同国家法律冲突的情况下，但凡出现一起跨境电商对数据保护的处置不当的案件，就很有可能会对个人权益乃至国家安全和公共利益构成极大威胁和侵害。

在规范跨境数据流转等方面的问题上，我国立法机关也真可谓是煞费苦心。《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、《个人信息出境安全评估办法》、《个人信息保护法》、《上海市数据条例》这些都是近五年内如雨后春笋搬陆续出台的法律规定。纵观这些法律法规，似乎对数据处置的要求规定已经算是比较充分的了，但作为一名在数据合规领域深耕近十年的律师，我们深知跨境电商在企业经营活动中遇到的问题远不限于此，而目前的立法多以原则性条款为主，尚有继续挖掘的空间和余地。因此，我们就目前跨境数据流动合规有关的法律规定进行了梳理和总结，便于大家交流指正。

一、跨境数据流动监管的对象

（一）关键信息基础设施的运营者

根据《网络安全法》第三十七条的规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

根据《数据安全法》第三十一条的规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

根据《数据出境安全评估办法（征求意见稿）》第四条第一款的规定：“数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。（一）关键信息基础设施的运营者收集和产生的个人信息和重要数据…”

根据《关键信息基础设施安全保护条例》第二条的规定：“本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”

可见，关键信息基础设施一般都是与国家安全和公共利益息息相关的行业及重要领域，该领域项下产生的数据倘若保护不当，则可能会严重阻碍国家安全和平稳有序发展态势。因此，国家法律对关键信息基础设施运营者提出了非常严苛的规定。

（二）重要数据

根据《数据出境安全评估办法（征求意见稿）》第四条第二款的规定：“数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。…（二）出境数据中包含重要数据…”

不可否认，包括欧盟在内的其他国家和组织并未对“重要数据”形成统一有效的认识，现实中也鲜有在本地存储制度中狭义适用“重要数据”的情形出现，我国却是个例外情况。我国《网络安全法》规定了“个人信息”和“重要数据”两类在数据跨境流转时需要经过有关单位的事先进行安全评估，符合条件的才能够被予以放行。就“重要数据”的涵盖范围这一问题上，在国家网信办于2017年4月11日颁布的《个人信息和重要数据出境安全评估办法（征求意见稿）》中就给出了部分答案。虽然其规定了重要数据是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和《重要数据识别指南》，但由于我国于2021年9月28日才向公众公布了《重要数据识别指南》（征求意见稿），其适用效果仍未可知。考虑到以上问题，《个人信息和重要数据出境安全评估办法（征求意见稿）》第9条即通过列举的形式明确了目前我国数据跨境流转的安全评估标准，从其内容上来看，其直接将原本被归类为“个人网络数据”的“含有或累计含有50万人以上的个人信息”作为重要数据予以看待，并要求在跨境流转前落实必要的安全评估和本地存储要求。可见，“重要数据”与“个人网络数据”在满足一定条件下也存在相互重合之处。

（三）个人信息

1、个人信息

    根据《数据出境安全评估办法（征求意见稿）》第四条第三款的规定：“数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。…（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息…；”

2、敏感个人信息

根据《数据出境安全评估办法（征求意见稿）》第四条第三款的规定：“数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。…（四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息…；”

综上，法律规定了达到一定数量的个人信息的跨境流动也必须经过事先批准，但是如何识别个人信息和敏感个人信息，在实务中仍存有不小的难度。此外，需要注意的是，在2017年4月公开的《个人信息和重要数据出境安全评估办法（征求意见稿）》中，将“含有或累计含有50万人以上的个人信息”作为安全评估和本地存储的要求，以防止“国家安全”和“公共利益”的受损。可见，立法之间的矛盾仍客观存在，在具体审查合规性的过程中，应当从严，既按照50万作为界定本地存储的标准更为合适。

二、跨境数据流动的事前评估机制

（一）出境目的评估

根据《个人信息保护法》第三十八条第一款的规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估…”。

根据《信息安全技术数据出境安全评估指南-标准文本（征求意见稿）》第五条第一款的规定：“数据出境计划中出境目的应同时满足合法性、正当性和必要性的要求。”

由此可见，除了获得个人信息主体的同意外，监管部门还需要对跨境数据流动进行评估，其评估内容主要包含了对信息出境目的的评估，评估过程中具体需要结合出境目的的合法性、正当性和必要性进行充分论证。这也和国内电子商务企业搜集、使用个人信息的要求如出一辙。

在合法性层面，首先需要明确流转的跨境数据不是法律法规或者国家网信部门、公安部门、安全部门命令禁止不得出境的信息内容。根据《个人信息保护法》第四十二条的规定：“境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。”因此，对于跨境数据流转的主体也有一定的审查限制。需要注意的是，对于个人主动拨打国际长途、发送国际电子邮件、进行国际即时通信等行为会被认定为属于个人信息主体默认同意跨境数据流动的民事行为，不再需要经过该个人信息主体的明示同意。其次，合法向社会公开披露的个人信息也属于需要通过专业法律人士来予以判定的范畴。此外，对于网络服务运营者来说，其有义务在获得个人信息主体同意前，将数据出境的目的、类型和数据接收方的情况及其他可能存在的风险提前告知个人信息主体，并在上述情形发生较大变化时，负有重新取得个人信息主体同意的义务。

在正当性层面，首先最为直观的判断标准既是对跨境流转的数据是否经过了个人信息主体的明确同意进行识别。但是在一些特殊情况下，即便经过了个人信息主体的同意，跨境数据的流转也会存在或可能存在危害国家安全或公民生命财产安全的情形，最终导致跨境数据流转失败。因此，对于需要流转的数据是否存在上述情形，承办人员也需予以充分论证。此外，正当性层面的把握还有一层隐形的意思，既需要判断经营者是否通过了正当的途径和手段来获取个人信息主体的同意，如果经营者在搜集个人信息前没有通过加粗或者重点提示的方式告知用户的，则也有可能基于个人信息的来源不正当，进而被拒绝进行跨境数据流转。

在必要性层面，主要判断是否满足以下情形（择一即可），包括判断跨境数据流转是否为履行合同义务所必需；是否是相同机构或组织内部开展业务所必需；亦或是我国政府部门履行公务所必需；以及是否是履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需等情况。

（二）安全风险评估

根据《个人信息保护法》第三十八条第二款的规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：…（二）按照国家网信部门的规定经专业机构进行个人信息保护认证…；

由此可见，除评估出境目的外，还需要评估数据出境计划的安全风险，其次则是要综合考虑出境数据的属性和数据出境发生安全事件的可能性及影响程度。

所谓出境数据的属性，指的是判断该出境数据是个人信息还是重要数据，亦或同时满足以上两者。在判断标准上，我们需要结合数据信息的类型、数量、范围、敏感程度和技术处理情况等内容来加以评定。

所谓数据出境发生安全事件的可能性及影响程度，则主要是通过对发送方数据出境的技术和管理能力；数据接收方的安全保护能力、采取的措施以及数据接收方所在国家或区域的政治法律环境这三个方面来予以把握。

（三）合同效力及履约能力评估

根据《个人信息保护法》第三十八条第三款的规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：…（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务…”。可见，在评估出境目的和安全风险之后，承办人员还需要考虑合同的效力及履约能力相关内容，以确保跨境数据流动后由于合同本身存在的问题或履行问题导致最终数据流失的商业风险。

综上所述，我国跨境数据流动的前提条件是事先经过国家网信部门组织的安全评估，在独立的专业机构对其进行个人信息保护认证，并确保符合相关技术保护要求，以及在对合同效力及履约能力进行审查的前提下才可能被允许出境的。由此可见，我国对跨境数据流动提出了非常严苛的要求，在评判数据是否可以被跨境流转前，承办人员不仅仅要精通商业逻辑，还要了解法律适用及技术安全等相关问题。因此，这也势必对相关行业的从业人员提出了更为专业化的要求。与此同时，这也不禁为我们法律人敲响了警钟，未来的法律服务市场不再如传统市场一般单一，我们更应站在时代的前端，适应互联网带来的多元化的法律服务市场，进而为客户提供更为优质、专业、完整的法律服务，以解决客户法律、经营模式甚至是市场方面的问题，这才是一名法律人的价值所在。