2021年8月20日，《个人信息保护法》（以下简称为“《个保法》”）经全国人大常委会表决正式通过。作为个人信息保护领域的基本法，其无论是对于个人信息保护还是企业合规经营都具有重要法律意义。

个人信息保护的重要性在于其“可识别”的认定标准和具有私主体性质的信息主体，一旦信息遭遇不当处理，可能会给个人的财产和人身安全带来极大风险，甚至影响企业和社会的信用体系和经济安全。

与此同时，商品和经济全球化推动着跨国公司的发展壮大与个人信息跨境流动。如此一来，如何保障国民个人信息的境外保护、协调各司法辖区的规则冲突，把握个人信息跨境的尺度与边界等问题逐渐凸显。

此前，立方团队曾就跨国企业员工个人信息出境合规问题进行评述。本文旨在以《个保法》为基点，结合其他相关数据或个人信息保护法律规范，探究跨国企业在个人信息跨境传输场景中面临的监管措施和相应责任，以求为跨国公司在实务中提供一些参考和支持。

一、跨国公司集团内部的个人信息跨境传输明确受《个保法》的规制

《个保法》第四条

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

根据《个保法》第四条，传输行为属于信息处理的一种，受到《个保法》的约束。然而，对于跨国公司内部个人信息的流通，《个保法》并未明确其是否属于受监管的“传输”行为。《个保法》第三章“个人信息跨境提供规则”更侧重于境内信息处理者在跨境传输中应承担的提供者义务。对此，《信息安全技术 数据出境安全评估指南》（“《数据出境指南》”）3.7注2（c）规定，网络运营者集团内部数据由境内转移至境外，涉及其在境内的运营中收集和产生的个人信息和重要数据的，属于数据出境。虽然《数据出境指南》不具有强制执行力，但其明确了一个基础问题：集团内个人信息由境内转移至境外属于跨境传输。结合《个保法》第四条和《数据出境指南》的规定，跨国公司内部的个人信息跨境传输行为显然应当受到《个保法》的约束。

实践中，位于境内的个人信息处理者将个人信息传输至境外集团内部公司的方式主要表现为两种：

• 一是前者通过外包协议将其收集的个人信息直接传输至境外服务器并交由其他境外集团公司处理的行为；

• 二是前者将在我国境内收集的个人信息传输至境外母公司数据中心服务器或者是通过母子公司之间共享的计算机系统来实现数据传输的行为。

此两种行为均属于信息跨境传输行为。我们认为，所谓数据跨境并非仅仅局限于数据物理空间的转移，即便上述场景中中心服务器设置在中国境内，如果境外公司对其可以接触（access）或拥有控制权，例如后台修改个人信息或为了维护系统而接触个人信息，该行为仍有较大可能被认定为数据出境。此外，由于《个保法》第四条关于“处理”行为的规定是不完全列举，因此，该等“可以接触”或“有控制权”的状态也很可能属于“处理”行为。可见，无论从“传输”还是“处理”的角度看，跨国公司集团内部的个人信息跨境传输都将受《个保法》的规制。

二、《个保法》的域外管辖效力

《个保法》第三条

在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：

（一）以向境内自然人提供产品或者服务为目的；

（二）分析、评估境内自然人的行为；

（三）法律、行政法规规定的其他情形。

关于《个保法》的适用范围，立法者采用了属地管辖+保护管辖相结合的思路。关于属地原则，《个保法》规定的连接点是“行为所在地”，即处理活动发生在境内的企业均受到《个保法》的约束，而无论处理活动的主体是否为中国境内企业。

若处理活动发生在境外，则需要满足《个保法》第三条第二款的条件，判断该境外公司是否符合两项具体情形，而具体情形既包括目的又包括实在行为，所囊括范围广阔。在跨国公司个人信息跨境传输的情景中，境内企业由于实施了“传输”动作，必然受制于《个保法》的管辖；而境外公司往往是为境内公司提供研发技术支持，或者作为信息枢纽统筹协调集团内的数据处理活动，其很有可能落入“以向境内自然人提供产品或者服务为目的”或“分析、评估境内自然人的行为”的范围。

即便境外公司有充分理由证明不属于上述两项情形，该条第二款第三项作为兜底条款，为立法者和执法者在实践中留下了较大的自由裁量空间。

需要指出的是，我国的《个保法》在内容和框架的构建都借鉴了欧盟的《通用数据保护条例》（“GDPR”）第三条[1]的规定。虽然在管辖范围上GDPR采用的是属地管辖+属人管辖+保护管辖+国际公法管辖相结合的思路，但通过保护管辖原则，在实践中《个保法》和GDPR法律对个人信息保护的范围都达到对域外的个人信息处理行为进行管辖的效果。

三、境内外企业的具体义务

1. 跨境传输需遵守《个保法》对个人信息处理活动的普遍要求

首先，跨境传输作为个人信息处理活动的一种类型，应当遵循处理《个保法》的一般规定，包括但不限于：（1）向个人告知个人信息处理者的身份和联系方式，个人信息的处理目的、处理方式，处理的个人信息种类和保存期限；（2）取得数据主体的单独同意；以及（3）跨境传输前后个人信息的保存期限应当为实现处理目的所必要的最短时间等。

其次，如果跨境传输的信息属于敏感个人信息[2]，还应参照适用第二章第二节的特殊规定规定。

2.《个保法》对个人信息跨境传输活动的特殊要求

（1）境外传输的个人信息的性质和数量的特殊要求

《个保法》第四十条

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

如《个保法》第四十条所言，对于（1）关键信息基础设施运营者收集和产生的个人信息，以及（2）达到一定数量的个人信息的跨境传输活动，《个保法》规定应以本地化存储为原则。确需向境外提供的，应通过国家网信部门组织的安全评估。

• 关键信息基础设施：是指涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者个人信息泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。对关键信息基础设施所搜集和产生的个人信息本地化要求是为了保障个人信息内容的安全性。有关关键信息基础设施的认定，可参考《网络安全审查办法》和今年9月1日生效的《关键信息基础设施安全保护条例》。立方团队也曾在《关键信息基础设施安全保护条例》要点解读一文中对认定标准进行总结归纳。

• 达到国家网信部门规定数量的个人信息：目前，网信部门尚未对此数量作出明确界定。作为参考，网信办在2017年公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》和今年7月公布的《网络安全审查办法（修订草案征求意见稿）》中，要求对超过一定数量的个人信息运营者进行安全评估。

虽然以上两条规定暂未生效，但不难理解，国家对于达到一定规模的个人信息出境具有高度敏感性且积极适用本地化原则。因此在实践中，拟进行信息跨境传输的境内运营者，若掌握超过50万以上用户的个人信息或数据规模超过1000GB，很有可能受到“个人信息本地化”的限制。

目前，针对个人信息跨境传输，2019年网信办曾发布《个人信息出境安全评估办法（征求意见稿）》，但此后并未正式出台任何强制性法律文件。该征求意见稿第四条要求，网络运营者申报个人信息出境安全评估应当提供（1）申报书；（2）网络运营者与接收者签订的合同；（3）个人信息出境安全风险及安全保障措施分析报告；以及（4）国家网信部门要求提供的其他材料。经营企业虽然被鼓励参照适用相关法规和指南以求最大程度地降低监管风险，但在具体行为和程序中，他们仍然面临“无法可依”的窘境。考虑到个人信息保护的立法势头发展迅速及其之于国家安全的重要性，在缺少明确指导的情况下，建议跨国公司在进行个人信息跨境传输前内部进行风险及安全措施评估分析报告并留存。

（2）个人信息跨境传输活动的前置条件

由于个人信息流通不可逆性，《个保法》对于个人信息跨境传输活动采用事前监管的方式。《个保法》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当至少具备下列一项条件：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

安全评估或个人信息保护认证均需由国家网信部门进行组织安排。如上所述，目前安全评估的相关规则还处于征求意见阶段，关于专业机构的个人信息保护认证更是没有任何参考指南，可能有待后续网信部门的进一步立法加以明确。因此，“与境外接受方订立合同”是相对切实且容易满足的条件。跨国企业在进行个人信息跨境传输时，应要求其境内外公司签订合同，约定双方关于个人信息处理和保护的权利和义务。

3. 个人信息跨境传输活动的其他要求

《个保法》第四十三条还规定了信息跨境传输的“对等原则”，如果信息接收国家和地区在个人信息保护方面对我国采取歧视性的禁止、限制或者其他类似措施，中国可以根据实际情况对该国家或者地区对等采取措施，因此对该国的个人信息跨境传输很有可能受到限制。

此外，本次《个保法》三审稿进一步完善了个人信息跨境提供规则，中国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。同时，《个保法》要求个人信息处理者采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。我们理解，该条规定解决了不同司法辖区就个人信息跨境传输程序上的冲突规定，但同时通过将《个保法》下跨境传输的实质义务施加到境内的个人信息处理者，间接实现了个人信息跨境传输活动中《个保法》的域外效力。

注释：

[1] GDPR第三条：

1. 本法适用于设立在欧盟内的控制者或处理者对个人数据的处理，无论其处理行为是否发生在欧盟内。

2. 本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟内，其处理行为：

a) 发生在向欧盟内的数据主体提供商品或服务的过程中，无论此项商品或服务是否需要数据主体支付对价；或

b) 是对数据主体发生在欧盟内的行为进行的监控的。

3. 本法适用于设立在欧盟之外，但依据国际公法欧盟成员国法律可适用地的控制者对个人数据的处理。

[2] 敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。