摘 要：經(jīng)濟(jì)迅速發(fā)展的今天，數(shù)據(jù)的重要性日益凸顯。個(gè)人信息作為數(shù)據(jù)的重要組成部分，如何在個(gè)人信息跨境自由流動(dòng) 與保護(hù)個(gè)人信息安全方面找到一個(gè)平衡點(diǎn)是一大難題，標(biāo)準(zhǔn)合同制度在平衡二者關(guān)系上發(fā)揮了重要作用，但在具體適用方面 還需完善。相對于歐美國家的個(gè)人信息出境保護(hù)模式，我國在個(gè)人信息出境保護(hù)立法方面起步晚，實(shí)踐不足。本文以標(biāo)準(zhǔn)合 同的規(guī)制對象與適用范圍為研究對象，發(fā)現(xiàn)標(biāo)準(zhǔn)合同制度面臨著適用范圍存在局限性、與安全評估制度存在重疊、主體定義 模糊的問題。應(yīng)立足我國特色，在實(shí)踐中不斷完善標(biāo)準(zhǔn)合同制度，通過擴(kuò)大標(biāo)準(zhǔn)合同適用范圍，立足于頂層，體系化構(gòu)建標(biāo) 準(zhǔn)合同條款；重新定義“數(shù)據(jù)處理者”，完善個(gè)人信息跨境模式等方式，優(yōu)化標(biāo)準(zhǔn)合同制度。

關(guān)鍵詞：個(gè)人信息出境，標(biāo)準(zhǔn)合同條款，個(gè)人信息保護(hù)

DOI編碼：10.3969/j.issn.1002-5944.2024.06.006

0 引 言

2 0 22年7月29日，中國信息通信研究院發(fā)布 的《全球數(shù)字經(jīng)濟(jì)白皮書（2022年）》[1]指出，數(shù) 字經(jīng)濟(jì)為全球經(jīng)濟(jì)發(fā)展注入了新的動(dòng)能?？傮w而 言，2021年，全球47個(gè)國家數(shù)字經(jīng)濟(jì)增加值為38.1萬億美元，同比增長15.6%，占全球GDP的比重為 45.0%。在規(guī)模方面，中國的數(shù)字經(jīng)濟(jì)規(guī)模位居全 球第二，達(dá)到7.1萬億美元。在占比方面，德國、英國 和美國的數(shù)字經(jīng)濟(jì)占其國內(nèi)生產(chǎn)總值的比重位列前 三位，均超過65%。其中，數(shù)據(jù)跨境流動(dòng)已經(jīng)成為推 動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展不可或缺的力量[2]。數(shù)據(jù)被譽(yù)為21 世紀(jì)“新石油”[3]，這凸顯了數(shù)據(jù)的重要性。和石油 不同的是，數(shù)據(jù)的價(jià)值在于其流動(dòng)性，數(shù)據(jù)的流動(dòng) 性對其價(jià)值有著顯著影響。數(shù)據(jù)需要在流通和共享 過程中才能充分發(fā)揮其價(jià)值，并且在跨境流動(dòng)中能 夠創(chuàng)造新的價(jià)值。但是，數(shù)據(jù)跨境流動(dòng)在促進(jìn)經(jīng)濟(jì) 發(fā)展的同時(shí)，也面臨著個(gè)人隱私保護(hù)、數(shù)據(jù)主權(quán)和 國家安全維護(hù)的壓力。然而，對數(shù)據(jù)流動(dòng)的不合理 限制會(huì)妨礙經(jīng)濟(jì)的發(fā)展，嚴(yán)重情況可能導(dǎo)致市場分 裂，降低數(shù)據(jù)服務(wù)提供者的服務(wù)質(zhì)量和競爭力，尤 其在小規(guī)模企業(yè)上體現(xiàn)更加明顯[4]。由此可知，數(shù) 據(jù)本地化與數(shù)據(jù)跨境自由流動(dòng)的矛盾日益嚴(yán)峻。如 何規(guī)制個(gè)人信息跨境流動(dòng)，實(shí)現(xiàn)個(gè)人信息自由流動(dòng)、 隱私保護(hù)和國家安全的平衡，這是學(xué)術(shù)界和實(shí)務(wù)界 一直在探討的問題。

個(gè)人信息跨境流動(dòng)作為近年來國際社會(huì)的熱 點(diǎn)話題，其規(guī)制方法《個(gè)人信息跨境標(biāo)準(zhǔn)合同辦法》 （以下簡稱《標(biāo)準(zhǔn)合同辦法》）的出臺(tái)具有重要意 義。從理論層面看，完善個(gè)人信息跨境流動(dòng)法律規(guī) 制不僅是國內(nèi)法的完善，還會(huì)產(chǎn)生國際上的聯(lián)動(dòng)效 應(yīng)。從實(shí)踐意義看，該制度切身關(guān)系到每個(gè)人的利 益，隨著科技的發(fā)展，未來定是數(shù)據(jù)的世界。我國 作為新興的信息大國，龐大的人口數(shù)量必然產(chǎn)生巨 大的個(gè)人信息跨境需求，進(jìn)而產(chǎn)生經(jīng)濟(jì)價(jià)值。制定 標(biāo)準(zhǔn)合同已經(jīng)成為各國規(guī)制個(gè)人信息跨境流動(dòng)的重 要途徑?！稑?biāo)準(zhǔn)合同辦法》是專門以“個(gè)人信息跨境 流動(dòng)”為規(guī)制對象，通過國家預(yù)先設(shè)置標(biāo)準(zhǔn)合同， 由境內(nèi)個(gè)人信息處理者與境外接收方訂立合同，約 定雙方的權(quán)利與義務(wù)的方式，來保護(hù)個(gè)人信息在跨 境流動(dòng)過程中的安全。

1 作為監(jiān)管工具的標(biāo)準(zhǔn)合同

1.1 標(biāo)準(zhǔn)合同制度的由來

標(biāo)準(zhǔn)合同制度是為了確保個(gè)人信息出境后享有 不低于本國標(biāo)準(zhǔn)的保護(hù)，同時(shí)將個(gè)人信息保護(hù)的相 關(guān)規(guī)定轉(zhuǎn)化為境內(nèi)個(gè)人信息處理者與境外接收方 的合同責(zé)任。標(biāo)準(zhǔn)合同制度最早起源于歐盟，歐洲 作為數(shù)據(jù)立法的領(lǐng)軍地區(qū)，其中歐盟以《通用數(shù)據(jù) 保護(hù)條例》（以下簡稱GDPR）為基礎(chǔ)，制定“充分 性認(rèn)證”、標(biāo)準(zhǔn)合同條款等數(shù)據(jù)跨境傳輸模式，搭 建起歐式個(gè)人數(shù)據(jù)跨境傳輸規(guī)則。根據(jù)GDPR第45 條第1款規(guī)定，充分性認(rèn)證制度是指“當(dāng)歐盟委員會(huì) 做出認(rèn)定，認(rèn)為相關(guān)第三國、第三國中的某個(gè)區(qū)域 或一個(gè)或多個(gè)特定部門或國際組織具有充分保護(hù) 水平，才可將個(gè)人數(shù)據(jù)轉(zhuǎn)移至該國家/地區(qū)。經(jīng)認(rèn)證 后無需特別授權(quán)”。是歐盟對第三國數(shù)據(jù)保護(hù)情況 的認(rèn)可。截至目前，僅有日本、韓國、瑞士等15個(gè)國 家或地區(qū)通過歐盟的“充分性認(rèn)證”。相較于嚴(yán)苛 的“充分性認(rèn)證”，標(biāo)準(zhǔn)合同條款是從保障數(shù)據(jù)主 體權(quán)利的角度出發(fā)，雙方主體針對數(shù)據(jù)跨境傳輸這 一行為作出的約定，相較于“充分性認(rèn)證”具有較 大的靈活性。

歐盟最早在1995年《歐共體數(shù)據(jù)保護(hù)指令》 （EUDPD）就規(guī)定了諸如標(biāo)準(zhǔn)合同條款的相關(guān)措 施，從2001年正式出版歐盟標(biāo)準(zhǔn)合同條款之后，又 經(jīng)歷數(shù)次變更。為了適應(yīng)時(shí)代的變化，更好地銜接 GDPR和調(diào)和商界與民間隱私保護(hù)組織的利益訴 求，保障數(shù)據(jù)安全的情況下更好地進(jìn)行數(shù)據(jù)跨境 傳輸，在2021年2月新的數(shù)據(jù)跨境傳輸標(biāo)準(zhǔn)合同條 款（SCCs）應(yīng)運(yùn)而生。歐盟新款標(biāo)準(zhǔn)合同條款作為 除“充分性認(rèn)證”最具代表性的個(gè)人信息數(shù)據(jù)跨境 傳輸制度，也被稱為“條款模式”。根據(jù)GDPR的規(guī) 定，一國在沒有獲得“充分性認(rèn)證”的條件下，數(shù)據(jù) 控制者和數(shù)據(jù)處理者可以采取標(biāo)準(zhǔn)合同條款的方 式同歐盟成員國之間自由傳輸個(gè)人信息數(shù)據(jù)，以降 低在數(shù)據(jù)跨境流動(dòng)過程中的風(fēng)險(xiǎn)。歐盟新款標(biāo)準(zhǔn)合同沿襲前三版標(biāo)準(zhǔn)合同條款中對基本數(shù)據(jù)的保護(hù) 原則，并在內(nèi)容上進(jìn)行了革新，在具體的個(gè)人信息 數(shù)據(jù)傳輸模式上，區(qū)分了“數(shù)據(jù)控制者-數(shù)據(jù)控制 者”“數(shù)據(jù)控制者-數(shù)據(jù)處理者”“數(shù)據(jù)處理者-數(shù) 據(jù)處理者”和“數(shù)據(jù)處理者-數(shù)據(jù)控制者”四種模 式（見圖1），并對其做出了詳細(xì)的規(guī)定，每一種數(shù) 據(jù)傳輸模式相應(yīng)地對“數(shù)據(jù)控制者”與“數(shù)據(jù)處理 者”有不同的要求。新款標(biāo)準(zhǔn)合同條款適用于一切 受GDPR管轄的數(shù)據(jù)輸出方，即使其實(shí)體并未設(shè)在 歐盟。實(shí)際上是擴(kuò)大了標(biāo)準(zhǔn)合同的適用范圍。新款 標(biāo)準(zhǔn)合同條款的出臺(tái)不僅有利于推動(dòng)數(shù)據(jù)跨境領(lǐng) 域統(tǒng)一規(guī)則的形成，而且提升企業(yè)在此領(lǐng)域的合規(guī) 性，以此促進(jìn)全球數(shù)字貿(mào)易的長足發(fā)展。

世界范圍內(nèi)沒有形成統(tǒng)一的數(shù)據(jù)跨境立法，是 由各個(gè)國家在數(shù)據(jù)安全和數(shù)據(jù)出境的國內(nèi)法完善 之后，而形成的國際上統(tǒng)一的認(rèn)識(shí)。由于各國法律 文化、社會(huì)經(jīng)濟(jì)、制度背景有諸多不同，延伸出對數(shù) 據(jù)的保護(hù)程度也不同，數(shù)據(jù)如何安全自由流動(dòng)這一 根本性問題沒有達(dá)到共識(shí)。針對不同的數(shù)據(jù)跨境場 景，數(shù)據(jù)安全自由流動(dòng)的實(shí)現(xiàn)方式也不只有一種模 式，應(yīng)是設(shè)置多樣化的數(shù)據(jù)出境模式[5]。針對個(gè)人信 息出境這一場景，我國出臺(tái)《標(biāo)準(zhǔn)合同辦法》來進(jìn)行 規(guī)制，以保證個(gè)人信息安全自由的流動(dòng)。由個(gè)人信息 處理者和境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同的 方式向中華人民共和國境外提供個(gè)人信息。相比數(shù) 據(jù)出境安全評估嚴(yán)格的適用條件和較高的門檻，個(gè) 人信息出境標(biāo)準(zhǔn)合同可適用于更廣泛的業(yè)務(wù)場景， 重要性不言而喻。但在實(shí)踐過程中，也遇到諸如適 用范圍小、主體定義模糊的挑戰(zhàn)。

1.2 標(biāo)準(zhǔn)合同的規(guī)制對象

我國目前已經(jīng)形成以《個(gè)人信息保護(hù)法》《數(shù)據(jù) 安全法》和《網(wǎng)絡(luò)安全法》為基礎(chǔ)的全方位的數(shù)據(jù) 安全和個(gè)人信息保障體系。2023年2月24日，備受矚 目的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》由國家互聯(lián)網(wǎng) 信息辦公室正式發(fā)布，附件部分公布了個(gè)人信息出 境標(biāo)準(zhǔn)合同（以下簡稱“標(biāo)準(zhǔn)合同”），并于同年6月 1日起施行。加上此前已發(fā)布的《數(shù)據(jù)出境安全評估 辦法》（以下簡稱《評估辦法》）、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí) 踐指南—個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》， 《個(gè)人信息保護(hù)法》明確的三項(xiàng)個(gè)人信息出境條件 已全部具備明確的落地指引。

個(gè)人信息作為數(shù)據(jù)的重要組成部分，研究數(shù) 據(jù)跨境流動(dòng)這一問題時(shí)，必然涉及對個(gè)人信息的研 究[6]。在針對個(gè)人信息跨境流動(dòng)問題中，首先應(yīng)判 定哪些數(shù)據(jù)屬于個(gè)人信息[7]。我國《個(gè)人信息保護(hù) 法》第4條對個(gè)人信息的定義做出界定：“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí) 別的自然人有關(guān)的各種信息，不包括匿名化處理 后的信息?！奔粗灰桥c已識(shí)別或可識(shí)別自然人相 關(guān)的信息都屬于個(gè)人信息，采用了“相關(guān)性+可識(shí) 別性”的判斷標(biāo)準(zhǔn)。此外，《個(gè)人信息保護(hù)法》第28 條又細(xì)分了敏感個(gè)人信息。其次是準(zhǔn)確界定“跨境 流動(dòng)”的含義，《新華社新聞信息報(bào)道中的禁用詞 和慎用詞》第40條對“境外”的定義為：指中華人 民共和國領(lǐng)域以外或者領(lǐng)域內(nèi)未實(shí)施行政管轄的 地域，即包括港澳臺(tái)。因此中國大陸與港澳臺(tái)之間 的個(gè)人信息傳輸也屬于個(gè)人信息跨境流動(dòng)。但對于 “個(gè)人信息跨境流動(dòng)”的確切定義，學(xué)術(shù)界和實(shí)務(wù) 界目前尚未達(dá)成共識(shí)[8]。最早正式提出這一概念 的是經(jīng)合組織（OECD）在1980年發(fā)布的《關(guān)于隱 私保護(hù)與個(gè)人數(shù)據(jù)跨境流動(dòng)的指南》中，第1條第3 款將“個(gè)人信息跨境流動(dòng)”定義為個(gè)人信息跨越邊 境進(jìn)行傳輸[9]。各個(gè)國家或地區(qū)在立法層面，未對 “個(gè)人信息跨境流動(dòng)”作出其他的定義。本文亦不 對“個(gè)人信息跨境流動(dòng)”做定義，直接將其作為既 定事實(shí)，研究個(gè)人信息跨境流動(dòng)的法律規(guī)制問題。

1.3 標(biāo)準(zhǔn)合同的適用面臨的挑戰(zhàn)

1.3.1 適用范圍存在局限性

《標(biāo)準(zhǔn)合同辦法》第4條明確了標(biāo)準(zhǔn)合同的適 用范圍，同時(shí)符合四種情況的個(gè)人信息處理者可 以通過訂立標(biāo)準(zhǔn)合同的方式向境外提供個(gè)人信息： （1）非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者；（2）處理個(gè)人信 息不滿100萬人的；（3）自上年1月1日起累計(jì)向境外 提供個(gè)人信息不滿10萬人的；（4）自上年1月1日起累 計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。對比《評 估辦法》可以看出，兩者之間是一種銜接關(guān)系。非 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者處理的少量個(gè)人信息出 境適用個(gè)人信息出境標(biāo)準(zhǔn)合同，而關(guān)鍵信息基礎(chǔ)設(shè) 施運(yùn)營者處理的個(gè)人信息、向境外提供重要數(shù)據(jù)或 數(shù)量較多的個(gè)人信息出境則需要通過所在地省級(jí)網(wǎng) 信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評估。

從個(gè)人信息認(rèn)定的范圍來看，“相關(guān)性＋可識(shí) 別性”標(biāo)準(zhǔn)可能會(huì)導(dǎo)致個(gè)人信息的范圍寬泛。在實(shí) 際的跨境活動(dòng)中，許多新興和邊緣信息是否被視為 個(gè)人信息存在較大的爭議。此外，中國龐大的人口 規(guī)模必然會(huì)產(chǎn)生大量的個(gè)人信息數(shù)據(jù)，這也是一個(gè) 不容忽視的問題。絕大多數(shù)情況下，個(gè)人信息處理 者與境外機(jī)構(gòu)商業(yè)層面的個(gè)人信息數(shù)據(jù)流動(dòng)規(guī)模較 大，很容易超出《標(biāo)準(zhǔn)合同辦法》規(guī)定的范圍，可能 會(huì)導(dǎo)致適用標(biāo)準(zhǔn)合同的場合少之又少。

1.3.2 與安全評估制度存在“重疊”

從法律體系上看，《標(biāo)準(zhǔn)合同辦法》與《評估辦 法》應(yīng)該是一種相銜接的關(guān)系?！稑?biāo)準(zhǔn)合同辦法》 適用于安全評估強(qiáng)制申報(bào)以外的個(gè)人信息出境。但 在具體適用上，適用標(biāo)準(zhǔn)合同并不意味著是評估義 務(wù)的豁免，根據(jù)《標(biāo)準(zhǔn)合同辦法》第5條“個(gè)人信息 處理者向境外提供個(gè)人信息前，應(yīng)當(dāng)事前開展個(gè)人 信息保護(hù)影響評估”。個(gè)人信息保護(hù)影響評估屬于 受強(qiáng)制的自我規(guī)制[10]，其評估內(nèi)容與《評估辦法》 第5條有明顯相似性。這樣設(shè)置的目的是保障兩種 數(shù)據(jù)出境制度均能達(dá)到同等水平的安全保護(hù)效果， 但目的與實(shí)際效用是否相悖？在適用方式上，《標(biāo) 準(zhǔn)合同辦法》采取了自主締約與備案相結(jié)合的措 施，標(biāo)準(zhǔn)合同不以備案為生效的條件，《標(biāo)準(zhǔn)合同 辦法》第7條規(guī)定“個(gè)人信息處理者應(yīng)當(dāng)在標(biāo)準(zhǔn)合同 生效之日起10個(gè)工作日內(nèi)向所在地省級(jí)網(wǎng)信部門備 案”。備案的內(nèi)容為標(biāo)準(zhǔn)合同文本和個(gè)人信息保護(hù) 影響評估報(bào)告。按照規(guī)定，在標(biāo)準(zhǔn)合同生效后即可 以開展個(gè)人信息出境活動(dòng)，不用等待完成備案。結(jié) 合第2款：“個(gè)人信息處理者應(yīng)當(dāng)對所備案材料的真 實(shí)性負(fù)責(zé)。”可見，省級(jí)網(wǎng)信部門主要對備案材料的 形式要件進(jìn)行審查。而《評估辦法》中第4條和第6 條要求數(shù)據(jù)處理者在向所在地省級(jí)部門申報(bào)時(shí)提 供一系列安全評估的材料。雖然備案與申報(bào)的法律 效力不同，但從條款設(shè)置上來看，兩者的差異性并 不顯著[5]。

兩處制度的相似是為了確保，無論從哪種方 式進(jìn)行個(gè)人信息數(shù)據(jù)出境，都能保證個(gè)人信息在此過程的安全性。但這也使得《標(biāo)準(zhǔn)合同辦法》與 《評估辦法》的區(qū)分程度不明顯。兩者是不同的制 度，卻有類似的評估內(nèi)容，不利于法律制度的體系 化進(jìn)程。

1.3.3 標(biāo)準(zhǔn)合同主體定義模糊

我國標(biāo)準(zhǔn)合同的主體為個(gè)人信息處理者和境 外接收方，僅一種數(shù)據(jù)傳輸模式，且不區(qū)分“數(shù)據(jù) 控制者”與“數(shù)據(jù)處理者”。歐盟標(biāo)準(zhǔn)合同條款經(jīng) 過二十多年的發(fā)展完善，在適用過程中能夠覆蓋多 種場景。對比歐盟最新版本的標(biāo)準(zhǔn)合同條款，分為 兩個(gè)締約主體，定義了“數(shù)據(jù)控制者”與“數(shù)據(jù)處 理者”的區(qū)別。并采取“模塊化”條款，使得標(biāo)準(zhǔn)合 同能覆蓋更多場景的數(shù)據(jù)跨境模式，具體分為“數(shù) 據(jù)控制者-數(shù)據(jù)控制者”“數(shù)據(jù)控制者-數(shù)據(jù)處理 者”“數(shù)據(jù)處理者-數(shù)據(jù)處理者”和“數(shù)據(jù)處理者- 數(shù)據(jù)控制者”四種模式，對四種個(gè)人信息數(shù)據(jù)跨境 傳輸模式分別作了詳細(xì)規(guī)定。并且不同的數(shù)據(jù)傳輸 模式有不同的要求，使標(biāo)準(zhǔn)合同條款能夠適用于各 種場景。

我國從《個(gè)人信息保護(hù)法》開始，定義中就未 區(qū)分“數(shù)據(jù)處理者”與“數(shù)據(jù)控制者”的概念。而 是將其統(tǒng)稱為“個(gè)人信息處理者”，即自主決定處 理目的、處理方式等個(gè)人信息處理事項(xiàng)的組織、個(gè) 人。對比GDPR可知，與其“數(shù)據(jù)控制者”的定義相 似，即單獨(dú)或共同決定個(gè)人數(shù)據(jù)處理目的與方式的 自然人、法人或其他實(shí)體。目前實(shí)務(wù)界與學(xué)術(shù)界的 共識(shí)是應(yīng)當(dāng)在法律語言上注意區(qū)分“數(shù)據(jù)控制者” 與“數(shù)據(jù)處理者”的概念[11]。面對復(fù)雜的個(gè)人信息 跨境活動(dòng)場景，不同的角色意味著不同的責(zé)任和義 務(wù)，將兩種角色統(tǒng)稱為“個(gè)人信息處理者”，不利于 責(zé)任的劃分及事后救濟(jì)的開展。

2 問題的成因及優(yōu)化方式

本文運(yùn)用文本分析、比較研究等方法，分析問 題的成因及提出相應(yīng)優(yōu)化方式。合理擴(kuò)大標(biāo)準(zhǔn)合同 的適用范圍、在構(gòu)建標(biāo)準(zhǔn)合同制度體系化方面還需 加強(qiáng)、合理定義“數(shù)據(jù)處理者”，完善個(gè)人信息跨境 的模式。提高標(biāo)準(zhǔn)合同的實(shí)用性，找到個(gè)人信息自 由流動(dòng)與個(gè)人信息保護(hù)的平衡點(diǎn)。

2.1 擴(kuò)大標(biāo)準(zhǔn)合同適用范圍

2019年《個(gè)人信息出境安全評估辦法（征求意 見稿）》第3條規(guī)定：“個(gè)人信息出境前，網(wǎng)絡(luò)運(yùn)營者 應(yīng)當(dāng)向所在地省級(jí)網(wǎng)信部門申報(bào)個(gè)人信息出境安 全評估?！痹撜髑笠庖姼逯形丛O(shè)置人數(shù)標(biāo)準(zhǔn)，意味 著只要向境外提供個(gè)人信息就需要進(jìn)行安全評估， 即通過安全評估是個(gè)人信息出境的唯一方式。此種 方式不僅增加網(wǎng)信部門的工作量，也不利于企業(yè)的 經(jīng)濟(jì)發(fā)展。2022年發(fā)布的《個(gè)人信息出境標(biāo)準(zhǔn)合同 規(guī)定（征求意見稿）》其設(shè)置了門檻，此次《標(biāo)準(zhǔn)合 同辦法》與之保持一致，對標(biāo)準(zhǔn)合同也設(shè)置了相應(yīng) 的適用范圍。從《標(biāo)準(zhǔn)合同辦法》第4條的適用范圍 和立法沿革及實(shí)踐來看，標(biāo)準(zhǔn)合同更適用于中小企 業(yè)，減輕中小企業(yè)個(gè)人信息出境業(yè)務(wù)的負(fù)擔(dān)。

歐盟個(gè)人信息數(shù)據(jù)跨境傳輸?shù)暮诵挠^念是最大 限度保護(hù)人權(quán)[12]，只有參與數(shù)據(jù)跨境傳輸?shù)母鞣侥?夠充分保障個(gè)人信息數(shù)據(jù)的安全，個(gè)人信息數(shù)據(jù)才 得以自由流動(dòng)。由于GDPR所要求的“充分性認(rèn)定” 難度較大，所以企業(yè)更愿意采用標(biāo)準(zhǔn)合同條款的 方式進(jìn)行數(shù)據(jù)跨境傳輸[13]。從歷史沿革來看，標(biāo)準(zhǔn) 合同適用范圍逐步擴(kuò)大，正在成為歐洲監(jiān)管部門最 有效的監(jiān)管工具[14]。從實(shí)踐中看，標(biāo)準(zhǔn)合同條款作 為“個(gè)人數(shù)據(jù)跨境傳輸工具”，使未取得歐盟“充分 性認(rèn)證”的國家或地區(qū)也能與之進(jìn)行數(shù)據(jù)跨境傳輸 活動(dòng)，逐漸成為歐洲監(jiān)管部門監(jiān)管個(gè)人數(shù)據(jù)跨境流 動(dòng)的重要方式。

隨著全球化的發(fā)展，各國法律的趨勢也是一致 的，都把標(biāo)準(zhǔn)合同當(dāng)作企業(yè)之間進(jìn)行個(gè)人信息數(shù)據(jù) 跨境傳輸?shù)囊粋€(gè)重要方式。而標(biāo)準(zhǔn)合同的適用范圍 小，導(dǎo)致其束之高閣并不是立法的初衷。在適用上 與《評估辦法》相聯(lián)系，從整體法律體系出發(fā)，擴(kuò)大 《標(biāo)準(zhǔn)合同》適用范圍，提高《評估辦法》適用門檻，完善整個(gè)數(shù)據(jù)出境法律體系。達(dá)到個(gè)人信息數(shù) 據(jù)安全與自由流動(dòng)之間的平衡。

2.2 體系化構(gòu)建標(biāo)準(zhǔn)合同

標(biāo)準(zhǔn)合同和安全評估辦法的“重疊”，究其原 因是忽視了兩種制度的內(nèi)在邏輯差異性，《標(biāo)準(zhǔn)合 同辦法》的法理基礎(chǔ)是在個(gè)人信息出境過程中對第 三人利益的保護(hù)和救濟(jì)，合同條款應(yīng)側(cè)重合同義務(wù) 的履行方式及違約責(zé)任的承擔(dān)方面。其實(shí)質(zhì)是以合 同意定的法律責(zé)任，預(yù)防合同雙方當(dāng)事人違約并提 出具體救濟(jì)方式。而《評估辦法》的法理基礎(chǔ)是預(yù) 防數(shù)據(jù)出境對國家安全和社會(huì)公共利益造成難以彌 補(bǔ)的損害，在此種情況下對數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行預(yù)防 和緩解，因此評估的事項(xiàng)和內(nèi)容應(yīng)嚴(yán)于少量個(gè)人信 息和一般數(shù)據(jù)出境[5]。其實(shí)質(zhì)是，對數(shù)據(jù)處理者設(shè) 置法定的義務(wù)來保障數(shù)據(jù)安全。針對不同的法理基 礎(chǔ)，應(yīng)對個(gè)人信息數(shù)據(jù)設(shè)置不同程度的規(guī)制要求。

以《標(biāo)準(zhǔn)合同辦法》為基礎(chǔ)的標(biāo)準(zhǔn)合同條款， 應(yīng)當(dāng)有兩個(gè)側(cè)重點(diǎn)，在事前階段，通過設(shè)置個(gè)人信 息處理者對境外接收方充分的考察的義務(wù)；在事 后階段，境外接收方獲得個(gè)人信息數(shù)據(jù)之后存在的 違約行為及救濟(jì)方式。明確個(gè)人信息保護(hù)影響評估 與風(fēng)險(xiǎn)自評估之間的差別，在第5條的用語上，可 將“重點(diǎn)評估以下內(nèi)容”調(diào)整為“重點(diǎn)評估風(fēng)險(xiǎn)事 項(xiàng)”。來突出標(biāo)準(zhǔn)合同影響評估遵循的是風(fēng)險(xiǎn)自評 估，由數(shù)據(jù)處理者判斷個(gè)人信息出境后可能帶來的 風(fēng)險(xiǎn)及危害結(jié)果。提高個(gè)人信息權(quán)利人權(quán)利救濟(jì)的 便捷性與可能性，個(gè)人信息權(quán)利人在面對境外接收 者違反合同約定而受到損失時(shí)，在維權(quán)過程中有諸 多困難，可以要求個(gè)人信息處理者承擔(dān)連帶責(zé)任。 以更好保護(hù)個(gè)人信息權(quán)利人的利益。

2.3 合理定義“數(shù)據(jù)處理者”

有學(xué)者認(rèn)為無需給“數(shù)據(jù)處理者”一個(gè)獨(dú)立的 法律地位，理由是數(shù)據(jù)處理者代表數(shù)據(jù)控制者，其 結(jié)果由數(shù)據(jù)控制者負(fù)責(zé)，數(shù)據(jù)控制者有義務(wù)選擇一 個(gè)有能力勝任的數(shù)據(jù)處理者。數(shù)據(jù)處理者與數(shù)據(jù)控 制者有內(nèi)部的聯(lián)系，這種內(nèi)部聯(lián)系與個(gè)人信息主體無 關(guān)，因此對外承擔(dān)責(zé)任無需區(qū)分[15]。以Facebook被罰 50億為例，F(xiàn)acebook公司控制了大量的用戶數(shù)據(jù)，擔(dān) 任“數(shù)據(jù)控制者”角色。而其與劍橋分析公司不當(dāng)分 享8700萬用戶的個(gè)人信息，劍橋分析公司對這些個(gè)人 信息進(jìn)行分析，擔(dān)任“數(shù)據(jù)處理者”的角色。由此可 見，在劃分責(zé)任時(shí)，有必要區(qū)分每一行為的性質(zhì)，對 其行為進(jìn)行定性、歸責(zé)。我國在立法上應(yīng)完善，區(qū)分 兩個(gè)主體，劃分四種傳輸行為是有必要的。

合理定義“數(shù)據(jù)處理者”，區(qū)分“數(shù)據(jù)控制者” 與“數(shù)據(jù)處理者”不同的法律地位，利于在具體實(shí) 踐中明確責(zé)任，劃分義務(wù)。并以此為基礎(chǔ)，建立多種 個(gè)人信息跨境傳輸模式。立法應(yīng)具有前瞻性，預(yù)見 未來數(shù)據(jù)的發(fā)展。

3 結(jié) 語

大量的實(shí)踐已經(jīng)證明，絕對化的數(shù)據(jù)無國界與 當(dāng)今經(jīng)濟(jì)全球化發(fā)展相悖，絕對化的數(shù)據(jù)主權(quán)阻礙 市場經(jīng)濟(jì)的發(fā)展。以美國為代表的數(shù)據(jù)自由貿(mào)易雖 具有一定的合理性，可以提高全球的合作效率，全 球范圍內(nèi)增加財(cái)富，但也要防范某些國家以自由之 名對其他國家的個(gè)人數(shù)據(jù)與國家安全造成威脅。以 歐盟為代表的數(shù)據(jù)人權(quán)立場，在充分保護(hù)個(gè)人數(shù)據(jù) 安全的同時(shí)，實(shí)際上是一種“軟數(shù)據(jù)本地化”，導(dǎo)致 單邊主義與長臂管轄的風(fēng)險(xiǎn)[16]。

數(shù)據(jù)具有非競爭性、非排他性等特征[17]。數(shù)據(jù) 在無限復(fù)制的過程中，不僅不會(huì)損害數(shù)據(jù)的價(jià)值， 還會(huì)在此過程中產(chǎn)生新的價(jià)值。同時(shí)需要平衡好個(gè) 人信息跨境流動(dòng)安全與經(jīng)濟(jì)利益的關(guān)系。我國《標(biāo) 準(zhǔn)合同》已經(jīng)發(fā)布生效，但現(xiàn)實(shí)生活不是一成不變 的，法律在適用過程中具有滯后性。在具體適用過 程中，合理擴(kuò)大標(biāo)準(zhǔn)合同的適用范圍，讓標(biāo)準(zhǔn)合同 能夠真正地適用各種場景；從整體上構(gòu)建標(biāo)準(zhǔn)合同 制度體系化；最后合理定義“數(shù)據(jù)處理者”，完善個(gè) 人信息跨境的模式。找到個(gè)人信息自由流動(dòng)與個(gè)人 信息保護(hù)的平衡點(diǎn)。

參考文獻(xiàn)

中國信息通信研究院《全球數(shù)字經(jīng)濟(jì)白皮書（2022）》 [EB/OL].（2022-12-07）[2023-11-04].http：//www.caict. ac.cn/kxyj/qwfb/bps/202212/P020221207397428021671. pdf.

Center for Strategic and International Studies （CSIS）. Governing Data in the Asia－Pacific[EB/OL].（2021- 04-21）[2023-11-04].https//www.jstor.org/stable/ resrep31139？seq=1#metadata_info_contents.

LAUREN H S.Big Data Is Not Big Oil： The Role of Analogy in the Law of New Technologies[J]. Tennessee Law Review， 2019（4）： 863-892.

European Commission．Communication on Building a European Data Economy[EB/OL].（2017-04-10）[2023-11- 04].http：//ec.europa.eu/newsroom/dae/document.cfm？doc_ id=41205%0D.

趙精武.論數(shù)據(jù)出境評估、合同與認(rèn)證規(guī)則的體系化[J]. 行政法學(xué)研究，2023（1）：78-94.

黃秋紅，李雅頓.對接CPTPP數(shù)據(jù)跨境流動(dòng)規(guī)則研究[J]. 南海法學(xué)，2022（1）：115-124.

謝登科.個(gè)人信息跨境提 供中的企業(yè)合規(guī)[J ].法學(xué)論 壇，2023（1）：85-94.

United Nations. Cross-Border Data Flows and Development： For Whom the Data Flow[EB/OL].（2021-11-16）[2023- 11-04].https：//unctad.org/system/files/official-document/ der2021_en.pdf.

OCDE. OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data[M].OECD Publishing：2002.

劉權(quán).論個(gè)人信息保護(hù)影響評估—以《個(gè)人信息保護(hù)法》 第55、56條為中心[J].上海交通大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué) 版），2022（5）：39-50.

程嘯.侵害個(gè)人信息權(quán) 益的侵權(quán)責(zé)任[J ].中國法律 評 論，2021（5）：59-69.

蔡翠紅，張若揚(yáng).“技術(shù)主權(quán)”和“數(shù)字主權(quán)”話語下歐盟 數(shù)字化轉(zhuǎn)型戰(zhàn)略[J].國際政治研究，2022（1）：9-37.

李默絲.中美歐博弈背景下的中歐跨境數(shù)據(jù)流動(dòng)合作[J]. 歐洲研究，2021（6）：1-24.

梅傲，張涵鑫.從SCCs到IDTA：歐洲個(gè)人數(shù)據(jù)跨境傳輸規(guī) 則調(diào)整及中國應(yīng)對[J].中國行政管理，2023（2）：135-144.

PETER B .Controller and processor： is there a risk of confusion？[J]. International Data Privacy Law， 2013（2）： 140-145.

丁曉 東.數(shù) 據(jù)跨境流動(dòng)的 法理 反 思與制度 重 構(gòu) —— 兼 評《 數(shù) 據(jù)出 境 安 全 評 估 辦 法》[ J ] . 行 政 法 學(xué) 研 究，2023（1）：62-77.

SILVEIRA D J F M J， KENNETH J. Arrow - Economic Welfare and the Allocation of Resources for Invention[J]. Revista Brasileira de Inova??o， 2008（2）： 261-286.

作者簡介

趙薇，碩士研究生，研究方向?yàn)閲H法學(xué)、數(shù)據(jù)法學(xué)。

（責(zé)任編輯：張瑞洋）