郭春镇

厦门大学法学院教授

候天赐

广东北源律师事务所律师助理

个人信息跨境规制相关问题已引起广泛关注及讨论，但对于如何判定具体数据处理行为是否构成个人信息跨境流动仍未形成明确共识。这是因为，立法者对个人信息跨境流动活动存在多元且动态变化的价值诉求，造成了在面临诸如技术发展、业务模式迭代等外在因素时，个人信息跨境流动活动无法被清晰识别的困境。在此背景下，不宜寻找一劳永逸的界定方案，而应基于“场景—风险”的视角，建立一种动态判定框架，根据具体场景下的跨境流动处理活动可能造成的风险，判断该场景是否属于法定意义上的个人信息跨境流动。

本文首发于《中国法律评论》2022年第6期思想栏目（第86-106页），原文24000余字，为阅读方便，脚注从略。如需引用，可参阅原文。购刊请戳这里。

• 本文系作者主持的教育部哲学社会科学重大攻关项目“大数据时代个人信息保护边界与策略研究”（17JZD031）的阶段性研究成果。感谢王海洋、张慧、黄耀鹏等人对文章提出的意见和建议，但文责自负。

目次

引言“场景—风险” 判定框架

一、被回避的议题：个人信息跨境流动意涵的界定

二、个人信息跨境流动界定困境的表象

三、个人信息跨境流动界定困境的成因探析

四、“场景—风险”视角下的我国个人信息跨境流动判定框架 

结语

引言

在数字经济时代，数据已经发展成为与土地、劳动力、技术等相并列的新型生产要素。数据天然具有流动的性质，且这种流动不限于一国境内，数据的跨境流动规模自2005年的4.7兆比特每秒上升至2016年的211.3兆比特每秒，增长了45倍，在十余年间促进了全球国内生产总值（GDP）增长10.1%，但与此同时诸如“棱镜门”“剑桥分析”丑闻等事件的曝光，也提示着数据跨境流动可能蕴含着巨大风险。面对这一极具社会和国际影响力的现象，各国陆续针对数据跨境流动的规制问题，在立法上予以回应。

个人信息是数据跨境流动的重要组成部分，是数据跨境流动研究无法回避的对象。虽然个人信息跨境流动对人格利益保护、经济发展乃至国家安全等至关重要，并由此成为政策文件和学术研究的重要内容，但是实务界和学术界对于个人信息跨境流动的定义仍未达成共识。

目前的学术研究将个人信息跨境流动视为一个不言自明的概念，并基于此从不同角度对各国数据跨境的规制模式进行比较分析，而缺乏对个人信息跨境流动含义的系统论述。厘清个人信息跨境流动内涵，一方面有助于监管部门开展更具针对性的监督管理工作，另一方面为有类似需求的企业提供判断其个人信息处理活动是否属于跨境流动的明晰标准，使企业可以准确地匹配合规动作，避免由于法律规定的模糊性而增加不必要的合规成本。

被回避的议题：个人信息跨境流动意涵的界定

对于什么是个人信息跨境流动， 目前实务界和学界并未达成共识。在规范层面，经济合作与发展组织（OECD）于1980年发布的《关于隐私保护与个人数据跨境流动的指南》（以下称《指南》）中正式提出“个人数据跨境流动”（Trans border Flows of Personal Data）这一概念，并在第1条第3款中将其界定为个人数据跨越边境进行传输，但对于何谓“跨境流动”、数据传输的方式、约束主体等问题，OECD均未给出明确标准。

此后，各国纷纷推出关于个人信息跨境流动问题的法律文件，但在国家或区域立法层面，少有对个人信息跨境流动界定的正面回应。立法者多是在提出一个类似个人信息跨境流动的概念后，再通过对若干种特殊情形的定性，来对个人信息跨境流动进行约束。

如欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）第五章对跨境转移个人信息的规定和澳大利亚在其《澳大利亚隐私原则》（Australian Privacy Principles, APPs）中对向境外披露个人信息的规定。直到2022年1月31日，欧盟数据保护委员会（EDPB）在结束征求意见的《关于GDPR第三条适用与第五章跨境条款相互作用的指南》中，才从侧面提出了三个判断是否为个人信息跨境流动的标准，但仍未给出正面定义。我国目前对于个人信息跨境流动的规定集中在《个人信息保护法》第三章“个人信息跨境提供的规则”中，但同样未在立法中对个人信息跨境流动的具体内涵予以明确。

在学术层面，学者们甚少将个人信息跨境流动的界定作为单独议题进行讨论，多是将该问题作为一个既成事实，对其简单描述后便转向了其他议题。在仅有的描述中，也多是围绕“跨境的界定”以及“标的及流动方式”两个方面进行：前者主要涉及个人信息“跨境”的判断标准，应以传统地理意义上的国界，或是以域外可访问作为“跨境”的界定标准；后者主要针对个人信息跨境流动的标的是应当仅限于以数字信息通信传输的、计算机可读的个人信息形式，还是应广义地包括一切形式的个人信息。迄今为止，学界尚未达成对个人信息跨境流动的共识性定义。

个人信息跨境流动界定困境的表象

个人信息跨境流动可以拆解为四项构成要件：跨境流动的标的，跨境流动的形式，跨境流动的主体以及跨境流动的效果。通过这四项构成要件，我们可以清晰地描述个人信息跨境流动的行为链条，即“谁”将“什么类型”的数据以“何种形式”传输至境外进而实现“何种效果”。个人信息跨境流动界定困境的“表象”，指的是因现实层面的技术发展、业务模式迭代等原因，个人信息跨境流动构成要件在范围上面临或扩张或限缩的难题。

（一）跨境流动主体的“身份识别”困境

以处理个人信息的专业程度为标准，可以将跨境流动的主体区分为专业处理者及业余处理者。业余处理者主要指不具备专业的数据处理能力，出于日常生活或生产经营目的，以个人身份开展数据处理活动，且不知悉其在法律上的角色和责任的一类主体。相对应地，专业处理者则是具备专业的数据处理能力，以企业、社会组织等非自然人身份开展数据处理活动，且应当知晓其个人信息处理行为所负担的法律义务的一类主体。跨境流动主体的“身份识别”困境主要在于：能否将业余处理者纳入个人信息跨境流动主体。

关于业余处理者的讨论可追溯至著名的Lindqvist案，该案是少有的正面界定如何构成个人信息跨境流动的案例。基本案情是：Lindqvist女士将18位同事的个人信息（包括姓名、工作、电话号码等）上传到其创建的网页中。在被提出反对后，她删除了这些数据，但是仍被指控违反瑞典的数据保护法。在该案中，欧洲法院认为，虽然Lindqvist女士将个人信息上传至公开网络的行为构成个人信息处理行为，但是，仅仅是让数据可被域外主体访问并不构成数据的跨境转移行为，需要证实传输数据的主体具有主动向域外传输这些信息的意图且数据在欧盟域外被实际访问。欧洲法院一方面认可了像Lindqvist女士这类业余处理者仍然可以成为《数据保护指令》以及GDPR的约束主体；另一方面否认了上传个人信息至互联网的行为属于个人信息跨境流动。

法院的判决是值得称道甚至是富有远见的。如果法院认可这一行为的跨境传输性质，可能的后果是任何在第三国访问欧洲境内上传至互联网的个人信息时，均受《数据保护指令》第四章规定的约束，某种意义上使“第四章规定的特殊制度具有了普适性”。但该判决同样存在缺陷，最为人诟病的是，法院不应以数据是否为域外实际访问作为判断数据是否跨境的标准，问题的关键在于数据是否可以被域外访问。此外，法院亦未考虑Lindqvist女士这类“业余”处理者应当如何履行立法中所规定的数据处理义务。

事实上，由于互联网消除了个体和组织间的界限，类似Lindqvist女士的“业余”处理行为是不可避免的。例如，在社交媒体上上传家人、好友甚至是陌生人的个人信息可能被认为构成事实上的个人信息处理行为。又如，出于家庭安全考虑，在门上安装图像采集设备并定期将所采集的可能包含过往路人个人信息（如位置轨迹、生物图像等）的内容备份至其购买的域外服务商提供的云存储空间中，在事实层面已经构成了个人信息的跨境传输活动。

虽然许多国家或地区的立法文件都表明自然人因私人事务处理个人信息的活动不在个人处理相关事务的法律约束范围之列，但对于何为纯粹的私人事务并没有给出明确标准，也并未对该场景下可豁免的个人信息范围予以明确。

由此引发的问题是，在业余处理者主导的个人信息跨境流动场景下，无法确定其是否属于法律意义上个人信息跨境流动的主体。如果肯定业余处理者向域外传输个人信息行为的法律性质，那么要求其完全履行法律所规定的个人信息跨境传输义务似乎并不现实。如果参照Lindqvist案中的观点，否认上传个人信息至社交媒体等行为的跨境传输性质，一方面无法实现立法对离境个人信息保护的目的，另一方面将出现专业处理者假借业余处理者身份规避出境程序性事项的风险。

（二）个人信息跨境流动“标的识别”困境

个人信息作为个人信息跨境流动的标的，并非一项绝对稳定的概念。因技术变迁引发的个人信息自身界定的流动性，以及跨境传输过程所涉个人信息类型的多元化，致使无法清晰界定何种个人信息应被纳入跨境流动概念的涵摄范围，进而造成个人信息跨境流动标的的识别困境。

1.作为流动性概念的个人信息

个人信息属于一种流动性概念。从语义的角度来看，个人信息跨境流动的标的相当明确，即个人信息。但从各国立法对个人信息的界定来看，仍难以用“属加种差”的方式进行“科学”界定，而是大体上都遵循了识别型或者关联型的判断方法，采取了概括主义和例示主义的表述方式。

究其原因，是为了满足个人信息的范围随着信息技术发展不断变化和扩张的要求。一方面，信息技术的发展使个人信息的种类不断增加。由于移动通信设备生产技术的发展，产生了诸如唯一设备识别码（如IMEI / Android ID / IDFA / Open UDID）、MAC地址等新型个人信息。另一方面，个人信息的存在形式也在不断发生变化。个人信息的承载物已不再局限于纸张等传统介质，而是逐渐作为以“0”和“1”组成的比特结构存在于信息系统之中。因此有观点认为个人信息的跨境流动所描述的对象，应仅限于那些可被计算机等信息设备识别的个人信息。

2.个人信息跨境流动涵摄范围的不确定性

无法确定是否应将全量个人信息纳入个人信息跨境流动的规制范围，导致了个人信息跨境流动涵摄范围的不确定性。若严格遵循法律文本，意味着对全量个人信息不区分数量种类统一规制。在极端情形下，即使只传输了一条个人信息字段，依然需要履行完整的数据跨境传输义务，这将导致不成比例的企业合规以及政府监管成本。但另外，如果将某些个人信息类型或传输场景排除在个人信息跨境流动标的的范围外，在万物互联的背景下，一些看起来完全“无害”的个人信息类型，经比对分析后，可能和诸多信息类型产生链接，其中就可能包含了具有较高敏感性的信息。

以网络上个人公开信息为例，绝大部分国家均未明确个人公开信息是否属于跨境流动立法所规制的对象，但多在立法中对此类个人信息的处理活动持开放态度，即免予规制或减少规制。从跨境流动的角度理解，这首先是由于公开行为本身就内含供不特定第三人访问的意图；其次则是被允许在互联网合法公开的个人信息，在内容和类型上是符合法律要求的；最后，如果认为任何上传至网站且可以被域外主体访问的公开信息均属于个人信息跨境流动概念的约束对象，将导致近乎所有的网络服务提供者承担高昂的合规成本。

但如果将其“驱逐”出个人信息跨境流动的范围，那么会使诸如利用Python（一种计算机编程语言）等工具自动化获取境外公开网页个人信息的行为豁免了针对数据跨境传输的事前规制，域外主体对这些公开信息的不当使用可能会造成相当大的风险敞口。

（三）跨境形式迭代导致的个人信息跨境流动效果认定困境

个人信息跨境流动的形式和效果是两项紧密关联的构成要件。跨境形式即指个人信息以何种形式在国家间流动，不仅包括狭义的物理或技术传输方式，如人工携带、分布式传输等，而且包括广义上因涉及主体类型不同而产生的不同跨境形式。跨境效果则是指数据经由不同跨境形式所达成的处理结果。个人信息跨境流动形式的变迁将直接对个人信息跨境流动效果产生影响，进而使对个人信息跨境流动是否发生的判断陷入困境。

1.云计算笼罩下的个人信息流动边界

在OECD提出个人数据跨境流动概念的20世纪80年代，受限于计算机高昂的成本费用，国家或企业间的数据局限于离散的点对点式的传输，甚至是依赖人工携带纸质材料进行传输。由于传输方式的限制，有观点认为只有跨越地理位置意义上的国境才构成个人信息跨境流动。随着诸多新兴信息传输技术的涌现，地理位置说已逐渐无法适应现实需求，其中最为典型的便是云计算技术对地理位置作为个人信息跨境流动的判断标准所提出的挑战。

云计算是一种基于“分布式处理、并行处理和网格计算”等信息技术和理念演变而来的一种商业化计算方式。其目的是实现对可配置计算资源（网络、服务器、存储等）随时随地按需访问。基于这种资源共享实现的规模经济效应，云计算消除了大量基于物理服务器的传统计算环境的约束和成本。从促进数字经济发展的角度来看，云计算无疑提供了巨大的动能，根据市场研究机构高德纳咨询公司（Gartner）的预测，到2025年80%的企业将关闭传统数据中心，转而使用以云计算技术支撑的托管数据中心和超大规模数据中心。但云计算的某些特殊属性同样也给个人信息跨境流动的界定带来挑战。

云计算的应用使数据在未跨越地理边境的情况下亦可为域外主体掌握。在云计算中，数据包被分解成更小的数据切片，通过多个服务器存储以确保数据安全。出于成本与安全的考量，云计算服务提供商往往会根据地理位置、自然环境等要素在多地部署建设数据中心，这意味着大部分云服务对象和云端位于全球各地。

这使得在技术层面上，位于一国境内的云服务器具备访问存储在第三国云端的个人信息的可能性，个人信息的跨境流动不必再以传统的物理方式在其他国家或地区进行储存或者处理，也不必进行传统意义上跨越国界的转移。由于云计算摆脱了基于物理服务器的传统计算环境的约束，因此将跨越地理边界作为个人信息跨境效果要件的执着也失去了意义。有观点就认为，由于互联网的发展和远程访问数据的便利化，“位置”的概念变得越来越没有意义。于是有学者提出，应以域外主体是否能够访问或者控制作为个人信息跨境的判断依据。但是，即使采取此种实际控制说，仍面临着实践中的困境。

2.“实际控制”的界定难题

实际控制说主要面临实际控制效果认定以及实际控制主体鉴别两方面的困境。

首先是数据中转活动对实际控制的效果认定提出的挑战。依据欧洲第29条工作组（Article 29 Working Party）的观点，数据中转活动指仅仅是通过欧盟域内设备，如电信网络（电缆）或邮电通信服务，传输至第三国的情形。该活动涉及处理者自所在国向中转国传输数据以及由中转国向目的地国传输数据的两类场景。

以基于万维网（Web）技术的电子邮件收发系统这种最基本的云服务为例：在云计算的技术语境下，A国境内的个人信息处理者，如果购买了未在本国设置服务器终端的域外服务商提供的云计算服务来搭建邮箱服务器，那么此服务器从A国发出的电子邮件，可能在算法最优路径下经由位于不同国家的服务器中转后，才被传送到另一个A国收件人的设备上。数据中转过程中，中转服务器必然会存储加密及解密后的信息。从事实层面观察，数据中转已经满足了个人信息被境外主体实际控制的条件，但若以此为由将其定义为法律意义上的个人信息跨境流动，则会使个人信息处理者在进行单纯的数据“过境中转”行为时，需同时遵守本国及中转国的个人信息跨境流动规则，这无疑会给企业带来巨大的合规成本。

其次，则是实际控制主体的鉴别问题。这一问题有两个分支，第一，是否应当在不区分个人信息类型的情况下，将域外的业余处理者纳入规制范围中。从直观的文义来看，个人信息为域外主体实际控制是指个人信息被地理国界线以外的主体掌握，但有观点认为：从国家安全的角度考虑，对于为域外主体实际控制的认定应在地理界线的基础上，采取一种“国籍”标准，将任何能够使非本国国籍人员访问境内个人信息的行为，均认定为法律意义上的个人信息跨境流动。

这一观点在维护国家安全的语境下具有一定合理性，亦有国家立法采取此类标准设置对数据处理的管控措施。例如在美国外国投资委员会（CFIUS）2018年颁布的《外国投资风险评估现代化法案》中规定，其重点管辖对象包括两类，一类是通过非控制性投资获得任何“重大非公开技术信息”访问权的外籍人士；另一类是可参与到美国企业所采取的，涉及关键技术、关键基础设施或敏感个人数据这类特定行动实质性决策过程的主体。

但是采取“国籍说”以维护国家安全的合理性证成是建立在对数据和主体清晰的分类监管之上的，即并非所有类型的个人信息以及任意身份的外国籍主体都适用“国籍标准”判断其是否构成跨境流动，否则一国域内的外国籍人士的任一生产经营活动均被附以个人信息出境的合规义务，这无疑对一国营商环境造成相当大的负面影响。

第二个分支则是在域外委托处理的场景下，域外受托处理者的身份判定问题。因数字经济的全球化发展，数据处理已经演变出多种样态，组织的不断分化使得企业常出于成本或者业务拓展的考量，将自身所收集的个人信息委托域外第三方机构处理。如跨境电商出于营销等目的，委托第三方机构对自己掌握的用户个人信息进行大数据分析、算法训练等。

对于是否将域外委托处理行为认定为法律意义上的个人信息跨境流动，各国或地区在立法中态度不一。例如，欧盟境内适用GDPR的规则，个人信息控制者如果将个人信息委托境外处理者进行处理，则构成GDPR第五章项下的个人信息跨境转移活动，并受其约束；但根据澳大利亚隐私原则指南，域内处理者委托域外处理者处理个人信息，如果通过合同约定等形式，保持其针对受托者个人信息处理活动的有效控制，就不被视为向域外“披露”个人信息的行为。

我国立法中对该问题亦存在表述上的模糊之处。我国《个人信息保护法》以“个人信息跨境提供”描述个人信息跨境流动场景。“提供”源于该法第23条个人信息处理者向其他处理者提供个人信息的场景。《个人信息保护法》英文版在描述两类场景时，均使用了“provides”一词，但对于委托处理行为则用“entrusting”表示。若仅从文义角度考量，在我国语境下，跨境流动仅限在处理者之间进行，域外委托处理行为似乎也不受出境条件约束。

造成这类立法差异的原因是个人信息处理者及受托处理者之间的特殊法律关系。一般而言，在外部法律关系中，个人信息处理者、受托处理者，与个人信息主体保持一种单向拘束关系，两者共同以处理者角色对信息主体负责；但在内部法律关系中，受托处理者不被认为具有法律上“个人信息处理者”的法律地位，其是处理者法律人格的延伸或者拓展，受托处理者和处理者之间的关系是一种从属性质的法律关系。无论是访问或实际处理个人信息的行为，受托处理者均是按照处理者指示进行个人信息处理活动，并不具有法律意义上的“自由意志”。

因此，澳大利亚在其隐私原则指南中表示：“这种委托行为本质上并没有改变《澳大利亚隐私原则》所规制的实体持有个人信息的本质，域外处理者仍是严格按照其指示处理个人信息，无须进行特别约束。”但是若将受托处理者排除在个人信息跨境流动的主体范围之外，个人信息处理者似乎可以用一纸委托协议来规避针对个人信息跨境流动活动设置的立法约束。由此，域外个人信息受托处理者是否可以触发个人信息跨境流动项下的义务尚未达成共识。

个人信息跨境流动界定困境的成因探析

个人信息跨境流动无法正面界定的事实宜从“表象”与“本质”两个层面理解，“表象”重点叙述对个人信息跨境流动构成要件进行界定的现实困境，“本质”层面强调立法者在立法价值诉求上多元且相悖的倾向，后者是导致这一困境的深层次原因。

（一）个人信息跨境流动中的立法价值取向

立法价值取向是人们希望通过立法活动所要达到的目的。针对个人信息跨境流动活动的立法，多元价值取向主要体现在四个方面：保障国家安全、维护数据主权、实现人格利益保护和促进数字经济发展。前三项属于防御式的立法价值取向，即在面对个人信息跨境流动这样一个无政府状态下的国家间竞争行为时，采取防范措施确保对本国数据强有力的控制权，进而保障国家社会整体及公民个体在个人信息跨境流动领域的基本安全。促进数字经济发展则是一种进取式的立法价值取向，即通过立法，积极为个人信息跨境流动设置可行路径，以提供明确指引的方式，将个人信息跨境流动界定为有序关系，以促进个人信息的跨境流动。

1.个人信息跨境流动中的国家安全倒影

个人信息跨境流动与国家安全的联系由个人信息自身属性决定。第一，一些敏感程度较高的个人信息直接与国家安全相关联，人类遗传资源信息、基因测序原始数据均属于此范围。第二，个人信息汇聚融合后形成的个人信息数据蕴含着极高的安全风险。全球网络的互联互通以及在经贸、技术领域的高频合作，使包括个人信息在内的海量数据频繁与域外处理者发生交互并留存境外，而数据挖掘、分析技术的发展加剧了这类离境个人信息被开发利用的风险，从此类数据中极易分析出与国家安全相关联的内容。2018年，一款名为斯特拉瓦的健身应用程序，通过对阿富汗、索马里等地美军用户的活动区域进行标识，分析其运动轨迹，无意中暴露了美国的秘密军事基地。在此情形下，采取一种防御式的数据治理政策，成为各国或地区在立法上合乎逻辑的选择，数据本地化政策便是这种选择的典型体现。

数据本地化政策意为以直接或间接的强制性法律、行政命令，将数据处理限定在指定的管辖范围内。数据本地化政策的推行者通常认为数据的存储位置是决定数据安全程度的关键要素，虽然有观点会批评说这类数据本地化政策不利于经济贸易且不一定能够维护信息安全，原因在于决定数据安全与否的是用于保护数据的逻辑和物理控制措施而不是存储位置，这类数据本地化政策只是一种“互联网主权”叙事下“民族主义”的建构和实践，抑或是一种反数据殖民主义的体现。

但不管其最终效果如何，立法者在设定此类本地化存储政策时往往内含着维护国家安全的诉求。从2017年至2021年，颁布数据本地化政策的国家从35个增加到62个；采取数据本地化模式的国家总数（包括明确的和事实上的） 从67个增加到144个。其中既包括马来西亚、印度尼西亚以及中国等发展中国家，亦涵盖了加拿大、澳大利亚等发达国家。由此可见，对于数据本地化的要求可谓“环球同此凉热”。值得一提的是，有观点认为，欧盟为数据跨境流动所设置的障碍使其具有事实上的数据本地化政策。

2.数据主权视阈下的个人信息跨境流动

数据主权可被理解为国家主权投射进数据领域的结果，对内体现为对域内数据的最高管辖权，对外则体现为一国政府在数据资源管理及数据政策制定层面的独立自主性。

个人信息跨境流动与数据主权的关联亦可从内部和外部两个维度考量。在对内维度上，个人信息作为一种重要的数据类型，其内在的资源属性决定着个人信息的跨境流动属于国家数据主权关涉的范畴；在对外维度上，不加限制的个人信息跨境流动影响国家政策的独立自主性。数字市场是一类典型的赢者通吃的市场，许多国家受困于技术基础设施发展不完备、数字产业规模较小的现状而依赖其他国家提供的互联网技术和服务，这种依赖会使他们在数字领域的政策制定上受制于人。2020年6月18日，英国政府在试图开发一款不基于谷歌—苹果公司（Google-Apple）提供的应用程序编程接口（API）集中化冠状病毒应用程序失败后，不得不放弃了整个项目。

维护数据主权的趋势已经在全球范围内兴起，主要体现为两种模式。第一种是前文已经提到过的数据本地化模式。推行该模式的目的，除却对维护国家安全的考量外，便是维护数据主权。数据是一种新型且流动性极强的资源，国家需要通过证明其对数据资源享有独立自主管理和使用的权利，达到维护权威、证成统治合法性的目的。因此，采取数据本地化政策限制数据的流动，对数据施加与矿产、技术、文物等资源类似的出入境约束，自然是维护国家主权的应有之义。这一模式被认为是威斯特伐利亚主权在赛博空间的数字倒影。

第二种是“长臂管辖”模式。“长臂管辖”是源自美国民事诉讼领域的概念， 目前被认为是域外管辖权的一种形式，本质上是依托于国内法将管辖范围扩张至境外实体。在个人信息跨境流动领域亦存在“长臂管辖”，典型如欧盟通过GDPR确立的靶向标准取代此前《数据保护指令》的“设备使用标准”，将其管辖范围扩张至所有向欧盟居民提供商品或服务的企业，构成了一种事实上的“效果原则”。美国2018年推出的《澄清域外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act, CLOUD Act）尝试以“数据控制者”原则替代属地原则较强的“服务器标准”，进而使美国政府有正当理由调取位于美国境外的数据，将自身的数据主权从物理边界延伸到了技术“控制边界”，扩张了自己的数据管辖权。

3.个人信息跨境流动中的人格利益保护

个人信息与信息主体人格利益紧密关联。首先是由于个人信息与个人隐私存在一种内容范围上的交叉关系，个人隐私毫无疑问蕴涵着人格尊严、个体自决权等一系列人格权益，“可谓是人类价值的缩影”。其次则是因为个人信息生成的数字身份体现出强烈的人格属性。在数字信息时代，我们每个人都通过创造一个虚拟形象来与数字世界发生互动，在大数据时代，海量数据汲养下的算法技术使“人格剖面图”成为可能，我们的数字人格不仅被准确预测而且被算法塑造，这种预测最终对现实中的人格产生了影响。我们不再有主动选择，从“我喜欢”变成了“你喜欢”，“我将会”变成了“你将会”，人成为了数据的表征。

域外法治环境的多元化加剧了离境个人信息被不当利用的风险。 目前尚无全球统一的数据保护体系，因此无法确保个人信息传输至域外后是否仍受到充分保护以及能否为个人信息主体提供充分的权利救济。考虑到跨境执法的难度较高，相较于境内的个人信息交互活动，离境个人信息使个人信息主体的人格利益面临更大的风险。

对人格利益的保护已成为各国或地区在个人信息跨境流动领域所追求的立法价值取向。例如，欧盟基于对人格尊严理念尊崇的历史沿革，在通过GDPR为域内个人信息主体设置充分权利保障机制的同时，又在第45条设置“充分性认定”规则。这一规则通过对包括人权保护在内的多种因素的考察，以确认域外国家与欧盟对个人信息的保护程度是否“实质相当”，进而确保个人信息在域外得到与欧盟相同的高水平保护。新加坡在《个人数据保护条例》中亦有类似规定。印度在2011年修订的《信息技术法》中则规定敏感个人信息必须经过个人信息主体授权同意后，才可以向境外转移，这是通过赋予个人信息主体强自决权的方式来限制个人信息的不当处理活动。

4.数字经济发展理念驱动下的个人信息跨境流动

个人信息跨境流动与数字经济发展紧密相关。一方面，包括个人信息在内的数据跨境流动已成为全球数字贸易发展的重要基础。从数字贸易发展需求的角度来看，企业生产力的持续增长取决于经济体高效转移数据并进行有效分析、处理和存储的能力。企业建立和维护一种复杂的全球价值链条，协调其研发、生产、销售和售后流程的基础便是数据的自由跨境流动。从技术发展的角度观察，数据跨境流动是驱动技术创新的必由之路。数据的跨境流动意味着数据中所包含的信息、知识在全球传递和共享，例如，在传统的医疗领域利用病患诊疗数据可以促进疾病的研究、治疗和预防，并进一步降低医疗成本。

另一方面，对数据跨境流动的限制会对经济发展造成阻碍。数字经济以互联网为载体，而互联网自身具有“分布式结构和‘包切换’的信息传输方式决定了其开放特性”。数据的自由流动是数字经济发展运行的前提，一旦数据流动渠道发生制度性“梗阻”，将对数字经济发展造成极大负面影响。有研究表明，包括数据本地化在内的其他限制数据跨境流动的政策将使美国的国内生产总值（GDP）减少0.1%—0.36%，以及导致巴西、中国、欧盟、印度、印度尼西亚、韩国和越南的国内生产总值（GDP）下降0.7%—1.7%。

各国为确保对数字经济的有效支撑，一般会在个人信息跨境流动领域采取设置流动渠道，以及签订双边或多边协议，建立数据流动体系两类制度安排。首先是为个人信息设置多元流动渠道。如欧盟在GDPR第五章通过第45条规定的“充分性保护”和第46条规定的包括“标准合同条款”“有约束力的公司规则”等适当措施以确保个人信息实现跨境流动。其次则是通过双边或多边协议构建国家间数据跨境流动体系以促进区域间数据自由流动。例如，美国与韩国在2012年签订的《美韩自由贸易协定》便规定成员国应避免对跨境信息流动施加或维持不必要的阻碍。亚洲太平洋经济合作组织（APEC）建立的跨境隐私规则体系（CBPRS）则在美国、澳大利亚、加拿大、日本等九个成员国间建立了区域性的个人信息自由跨境流动框架。

（二）冲突的立法价值取向与个人信息跨境流动界定困境成因

在诸如技术发展、业务模式演进等因素影响下，个人信息跨境流动判断困境只是问题的表象，对于个人信息跨境流动的界定问题，本质上是“是与否”的选择问题。立法者如何在“防御—进取”的矛盾价值诉求中权衡取舍，是影响选择结果的决定因素。这一权衡取舍的过程，呈现以下三点特征。

首先，立法者并非以全有或全无的形式选择单一的价值诉求。立法价值取向是“不同的社会经济条件的反映”。在特定的时间序列内，不同的价值取向通常会共同见诸同一国家或地区的立法思路中，个人信息跨境流动领域亦是如此。如前所述，对维护国家安全、数据主权的防御式价值诉求，以及对促进数字经济发展的进取式利益期待，往往同时存在于数据跨境流动规则设计者的思路之中。

如果国家或地区在针对个人信息跨境流动的立法活动中只尊崇一元价值追求，那么就不会出现前述内容中对个人信息跨境流动活动在构成要件界定上的诸多困境。换言之，若仅追求维护国家安全这一防御式立法价值取向，那么便无须考虑是否应将诸如公开信息、数据中转活动纳入个人信息跨境流动构成要件之中，直接以立法形式禁止个人信息跨境流动活动即可。但将促进数字经济发展这一进取型立法价值取向纳入考量后，就会产生对某些个人信息跨境流动构成要件在范围上进行阻却的需要。

其次，不同价值诉求之间存在不同的优先级。法律制度的设计者常常因所在国家或地区在数字安全技术能力、数字贸易占有比重等方面的禀赋较弱，而囿于与其他国家或地区的“数字鸿沟”之中，试图寻求“防御和进取”之间的内在价值平衡，并外化为规制与流动相协调的制度安排。这也就使不同国家或地区对待个人信息跨境流动的态度，形成了若干复杂且相异的决策模型。

例如，基于在数字信息技术以及数字贸易中的领先地位，美国更加推崇包括个人信息在内的数据自由跨境流动， 目前美国仍未对个人信息保护议题进行统一立法并对个人信息跨境流动问题进行规定。在此前提下，美国通过诸如CLOUD法案、《外国投资风险评估现代化法案》等立法。实现数据主权扩张及重要类型数据保护的诉求。对于数据跨境流动的倚重同样可能出现在市场规模较小、技术能力较差的发展中经济体中。原因在于如果政府试图在如此小规模的数字市场中对数据的跨境流动施加严格监管限制并拥护本地的数据处理者，可能会因本地数据量有限且同质，无法进行有价值的数据训练，最终降低数字产品和服务的质量，损害本地消费者的利益。因此，这类国家或地区倾向于将砝码放置在数据自由流动一端。

最后，立法者对于个人信息跨境流动的价值期待呈现历时性特征。在固定时间序列下的立法价值取向呈现多元共存且顺序偏好的特征，但由于这类偏好特征建立在政治、经济、社会、技术等多元要素之上，随时间的演进，当这类要素发生变化时，原有的优先级便会出现变化，立法者须重新调整其对个人信息跨境流动的政策选择，以寻求在促进数字经济发展和数据保护之间的最佳平衡。

例如，有学者认为，从欧盟委员会通过的《有关个人数据自动化处理的个人保护公约》到欧盟理事会在1995年通过的《数据保护指令》便是平衡位置向个人隐私保护移动的结果。美国CLOUD法案以及欧盟地区频繁出台的诸多政策文件，如欧盟委员会发布的《欧盟数字战略》、欧洲议会发布的《欧洲数字主权》报告等，无疑体现了各国或地区新近产生的对维护自身数字主权的价值诉求。

因此，个人信息跨境流动界定的困境，本质是内在于个人信息跨境流动规则中多元且动态变化的利益期待导致的。技术发展、业务模式迭代等外在因素对跨境流动构成要件造成的界定难题，仅仅是附着在相悖价值取向上的困境表象，由于立法者常常徘徊在各类价值取向之间而尚未确认价值位阶偏好，最终使个人信息跨境流动的界定成为一个可见不可说的问题。

“场景—风险”视角下的我国个人信息跨境流动判定框架

由于个人信息跨境流动涉及较多处理场景，且立法者存在游移的价值态度，因此在我国语境下不宜以固定概念的形式对个人信息跨境流动进行封闭式界定，应在全面考察个人信息跨境流动具体场景及风险的前提下，建立一种动态调整的个人信息跨境流动判定框架。

（一） “场景—风险”视角及其适用性分析

“场景—风险”视角是以场景完整性理论为基底，辅之以风险管理理念的一种复合视角。“场景完整性理论”强调任何人类活动均发生在具体且差异化的政治、习惯和文化期望的背景之下，每个领域均接受不同规则的约束。因此，个人信息处理行为的合法性应当在其所处的环境中结合信息类型、信息处理主体等要素予以审视，而非以单一标准进行“全有或全无”式的判断。

在场景完整性理论指引下， 引入风险要素对某一情境中个人信息处理活动的合法性进行判断，即为“场景—风险”视角。其内置的行为逻辑是“事前风险预估—采取预防措施”。该逻辑在个人信息处理活动合法性判定问题上的体现，是以场景构成要素作为风险判断依据，确认风险强弱后采取风险管理措施稀释风险，将稀释后的风险作为合法性判断的指标，即“场景是出发点，风险管理是实现手段”。

“场景—风险”视角内含两项命题，首先，个人信息处理活动存在多元正义，不宜将某一场景下的个人信息处理规则，应用至其他场景。其次，“场景—风险”视角秉承一种社会相当性的理念，即在承认风险客观存在且无法完全消除的基础上，尽可能将风险控制在合理范围内。

将“场景—风险”视角落实在个人信息跨境流动的界定上，即立足于具体场景，对个人信息跨境流动的各构成要件进行事前风险评估，以评估结果为导向考量个人信息跨境流动领域内立法价值诉求的实现度，进而判定具体场景是否应当纳入个人信息跨境流动的法定框架之中。

我国目前在个人信息跨境流动规制策略上，虽无明确表明对“场景—风险”理念的适用，但仍可从立法的具体内容中捕捉到“场景—风险”理念在立法中的草蛇灰线。

首先，风险评估作为衡量个人信息处理活动风险的有效措施，是“场景—风险”视角运用的前提。我国在个人信息跨境流动领域建立了由一般到特殊两个层次的风险评估措施，为“场景—风险”理念的落地实施提供了制度前提。

第一层级是针对所有类型的个人信息处理者，根据《个人信息保护法》第55条的规定，个人信息处理者在向境外提供个人信息前，需要围绕该行为对个人权益的影响及安全风险、个人信息处理者所采取的保护措施等内容，进行个人信息保护影响评估，具体的评估可参考《数据出境安全评估办法》第5条所规定的数据出境风险自评估维度进行。第二层级则是针对满足特定条件的个人信息处理者，诸如关键信息基础设施运营者、处理或向境外提供个人信息达到一定数量的处理者以及作为个人信息处理者的国家机关等特定主体，均需要在向境外提供个人信息前通过国家网信部门组织的数据出境安全评估。

其次，我国立法根据信息处理者类型以及信息处理活动蕴含风险程度的不同，对跨境流动主体进行场景化分类后设置不同的约束条件。根据《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》、《网络数据安全管理条例（征求意见稿）》（以下简称《网数条例》）等规定，将设置特殊个人信息出境义务的跨境流动参与主体划分为三类：第一类是自身的生产运行活动与国家利益紧密关联处理者，如关键信息基础设施运营者以及国家机关；第二类是自身所处理或向境外提供的个人信息达到规定数量的个人信息处理者，如处理个人信息达到一定数量的个人信息处理者、向境外提供重要数据的个人信息处理者、向境外提供超出数量的（敏感）个人信息的个人信息处理者；第三类则是处理一般类型个人信息的个人信息处理者。不同类型的个人信息处理者在个人信息跨境流动活动中应尽义务不尽相同。

例如，《个人信息保护法》延续了《网络安全法》第37条保护国家安全和公共利益的基本要求，规定关键信息基础设施运营者、处理个人信息国家达到网信部门规定数量的处理者以及作为个人信息处理者的国家机关，均需要将个人信息境内存储并在向境外提供个人信息前，通过国家网信部门的安全评估，风险程度较低的一般类型个人信息处理者则被豁免了此项义务。这样以数量与重要程度为标准进行区别规制的模式，和前述个人信息数据与国家安全风险的关联具有内在的逻辑一致性。

最后，我国立法通过对不同个人信息类型课以本地化存储、出境安全评估等不同义务的方式进行场景化区分。在目前个人信息跨境流动的规则框架下，存在一般类型个人信息、超出一定数量后可能成为重要数据的个人信息以及具备特定行业属性的个人信息。

我国在立法中依据此三类个人信息对前述立法价值取向可能造成的风险强弱，设置了不同的跨境流动约束：针对一般类型个人信息，因其所体现出的风险性较低，故为其设置三种跨境流动路径，国家网信部门安全评估、签订国家网信部门制定的标准合同以及取得专业机构的个人信息保护认证；对于具备特定行业属性的个人信息，如人类遗传资源信息、征信信息、网约车用户数据、个人金融信息等，因其体现出的风险性较高，在诸如《人类遗传资源管理条例》《征信业管理条例》《网络预约出租汽车经营服务管理暂行办法》等规范文件中确立了此类数据的处理者需履行本地化存储义务，且经网信部门安全评估、满足主管部门特定要求时方可出境，以防止此类重要类型数据外流对国家安全产生风险。对于超出一定数量后可能成为重要数据的个人信息类型，根据《数据出境安全评估办法》规定，在离境前需要向国家网信部门申报数据出境安全评估。

（二） “场景—风险”动态判定框架的实现路径

1.以法律文本为基准寻求“场景—风险”理论的适用空间

对个人信息跨境流动进行界定，应首先以法律文本作为基础，在既有的制度框架内寻找可兼容共存的空间。即以“场景—风险”理论填充个人信息跨境流动界定事项中立法上尚未明确的空间，而不是抛弃既有的法律文本对个人信息跨境流动的场景进行个案评析。具体而言，法律文本对于个人信息跨境流动所作规定可分为三种情形：

第一，法律对于个人信息跨境流动已经作出清晰界定，依据现行的法律文本便可以得到较为清晰的答案。例如，个人信息主体出于处理个人或家庭事务的原因，向境外个人信息处理者提供自身个人信息的行为，不应被认定为构成《个人信息保护法》下规定的个人信息跨境提供活动，原因在于该法第72条认为这种行为不属于该法管辖范围，此时个人信息主体不构成个人信息跨境流动活动的主体，故不应将此类境外处理者直接收集境内个人信息主体信息的行为视为个人信息跨境流动。在这种法律文本已有明确规定的情况下，无须花费精力对该场景下的个人信息跨境流动活动进行解释工作。

第二，法律文本以较为概括或者间接的形式对个人信息跨境流动的构成要件作出规定。此时法律文本已有规定，结合其他法律条款进行解释后便可得出问题的答案。以个人信息界定为例，虽然从文本上极难得出个人信息概念下辖的具体对象，但只要通过已经呈现在法律文本中列举的示例，通过识别型或关联型的判断方法，即可对该问题作出判断，不必担心因技术发展等因素导致的不确定性。

第三，法律文本对于个人信息跨境流动的界定问题未有明确表述或者没有涉及，例如个人信息中转、域外委托处理等问题。此时便需要我们在具体的处理场景下，以个人信息跨境流动可能导致的现实风险为导向，动态地对个人信息跨境流动的范围作出阐释。

2.个人信息跨境流动的典型场景及判定路径 

通过对个人信息跨境流动构成要件的排列组合，可得到如下个人信息跨境流动过程中可能涉及的典型场景（见图1）。

上述场景下可能遭遇的风险类型与立法价值取向紧密关联：因个人信息自身的敏感内容或个人信息的积聚对国家安全产生的风险；因不设限的数据跨境流动对数据资源自主管辖及数据政策独立性造成风险；因域外法治环境的不确定性所加剧的信息主体人格利益受损风险，以及个人信息主体无法有效行使个人信息权利的风险；因过度监管导致的阻碍数字经济的风险。对于上述列举的个人信息跨境流动场景，宜遵循如下路径对其是否属于法定的个人信息跨境流动场景进行判定。

（1）以维护国家安全为基准，厘定跨境场景负面清单

对国家安全的维护是个人信息跨境流动活动应当坚守的底线和第一要义，103国家安全是维护数据主权、保障个人信息权益的基础，亦是数字经济得以平稳运行、发展的基本保障。我国在《全球数据安全倡议》中就明确提出，反对利用数据从事危害他国国家安全和社会公共利益的行为，因此对跨境流动的场景界定也首先应以国家安全为标尺，将对国家安全具有较高风险度的跨境场景，直接认定为法定意义上的个人信息跨境流动活动。

具体而言，有两类场景可不区分跨境流动效果，直接认定为个人信息跨境活动。一类是跨境标的中含特殊类型个人信息的，因个人信息类型的特殊性而具有较高风险性，无论最终效果为何，均应将其认定为受法律规制的个人信息跨境流动场景。另一类则是涉及特殊跨境主体类型的场景。对于关键信息基础设施运营者以及处理个人信息达到一定数量的处理者拟将除已公开个人信息外的个人信息传输出境的活动，也应认定为个人信息跨境流动的约束对象。

关键信息基础设施是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统等。由于关键信息基础设施运营者在我国境内所处理的个人信息具有较高风险，因此应通过立法中的跨境规则予以严格管控。

有观点认为关键信息基础设施运营者运营的不一定都是关键信息基础设施，但考虑到此类主体在运营范围上的关联性，例如由中国邮政开设的邮局咖啡店，虽然纯粹的咖啡店运营数据与国家安全等公共利益似乎关联性较低，但因其设置在邮局内部，可能关联了邮政产业的业务数据、位置数据等敏感数据类型，因此仍应按照关键信息基础设施运营者这一特殊身份统一从严管理。对于处理个人信息达到一定数量的处理者，如前述，大量个人信息积聚会对国家安全等公共利益产生巨大风险，在跨境传输事项上应将其等同于关键信息基础设施运营者对待，即使单一的个人信息字段属于普通数据类型，但为防止这类处理者利用个人信息出境渠道将其掌握的个人信息分批次传输出境，应将其出境活动统一认定为法定意义上的个人信息跨境流动活动。

（2）基于风险视角对跨境场景进行界定

基于风险视角认定法定意义上的个人信息跨境流动场景，首先，应在上述已厘定的负面清单基础上，对跨境流动各个构成要件进行事前风险评估，判断施加监管的收益和成本以及各项立法价值取向的实现度，确认具体场景中的跨境流动风险（见图2）。

就跨境主体而言，业余的个人处理者与企业等专业处理者相比，进行个人信息跨境传输活动的风险较低。一方面由于个人处理者相较于专业处理者，多是出于家庭生活事务处理自身及他人个人信息，处理个人信息的数量较少且信息字段的内容风险性较低；另一方面则是考虑到对此类场景施以跨境类型的监管难度较大，并且对纯粹以个人名义开展的日常生产经营活动造成巨大阻碍，不利于数字经济发展。此时，监管政策对数字经济发展造成的负面影响超过了跨境传输所带来的潜在风险。

就数据类型而言，已公开的个人信息在跨境流动中的风险低于其他一般类型的个人信息。其原因在于，公开个人信息本身内容合法且内含了被不特定人访问的意图，信息主体的合理期待性更高，一定程度上阻却了对国家安全、人格利益等价值的风险性。这同样也是在第一层级将已公开个人信息排除在关键信息基础设施运营者和处理个人信息达到一定数量的处理者进行的个人信息跨境传输范围之外的原因。这两类特殊类型的处理者在日常生产经营过程中，会涉及诸多公开个人信息的处理场景，例如对于已经上市的关键信息基础设施运营者而言就面临定期向社会公众披露公司年度报告的义务，其中便涉及诸多个人信息，此类个人信息无疑可以被境外主体获取访问，但其风险性毫无疑问是低于未公开个人信息的跨境传输活动的。

就跨境效果而言，第一， 以委托处理形式进行的跨境个人信息活动，无论是实现了跨越地理边界的传输效果还是在没有跨越地理边界的情况下，为域外第三方主体实际掌握，均与向境外处理者直接提供个人信息的场景所蕴含的风险实质相同。一方面，通过简单的委托协议并不能规避个人信息在跨境流动过程中可能遭遇的诸多风险。另一方面，《个人信息保护法》希望通过第三章“个人信息跨境提供规则”确保离境个人信息在域外得到与域内程度一致的保护，并通过诸如安全评估、签署标准合同等方式实现对域外接收方的事前间接规制，立法所欲实现的诉求显然无法通过平等主体签署遵循自愿原则指导下的委托协议达成。因此，域外委托处理这一传输个人信息出境的特殊形式，并不会对是否发生个人信息跨境流动的判断产生影响。

第二，不管是业余处理者还是专业处理者，对它们而言，数据中转这类处理形式本身所造成的风险都是极低且可控的。对于纯粹的个人信息域外中转活动，境内主体仅仅是借助域外技术支持，使个人信息完成从节点至节点的传输活动，相较于将个人信息传输至域外开展处理活动，数据中转场景下的个人信息不涉及域外人员的访问和处理，且可以通过加密协议来保障节点间的传输安全，因此在该场景下的个人信息处理活动风险较低。

第三，个人信息被位于一国域内、非本国国籍的业余处理主体掌握后可能遭遇的风险相对较低，如前所述，这类处理者可处理的个人信息数量、内容以及处理能力均相对有限（如被雇用管理个体经营店铺会员信息的外国员工），因此难以对国家安全或数据主权造成较大威胁，对其施以监管反而会对数字经济发展造成阻碍。因此，相较于个人信息跨越地理边境传输或为域外专业处理者掌握，此类场景下的个人信息跨境流动风险较低。

其次，应以多元治理方式驱动具体场景下的跨境构成要件风险调节。对个人信息跨境流动的动态判定，不应止步于风险评估环节，需要在确认风险后，利用多元治理手段，调节风险与收益之间的关系，恰当地分配风险，否则只是积攒、堆叠了一系列对静态场景的风险描述。

对于具体治理方式的选择，遵循他律逻辑的法律治理通常是作为实施社会治理的首选路径，在个人信息跨境流动领域亦是如此。例如，通过立法设置对拟传输个人信息出境方强制性的出境风险自评估要求和个人信息保护影响评估义务，来进行个人信息跨境流动的风险预判，或者是要求数据的提供方和接收方签署个人信息跨境传输的标准合同、取得个人信息保护认证等。除运用法律治理手段外，还应以技术治理作为法律治理的实施保障。所谓技术治理，大体有两条路径：采取工具化的权力技术实现国家管理目标，以及在国家治理中运用先进技术，

本文主要强调后者，即运用先进技术对个人信息跨境流动中存在的风险敞口进行治理。技术治理遵循自律逻辑，将预防风险的责任部分转移至网络服务提供者，要求其采取相应的技术手段承担事前的风险预防责任，进而避免被认定为法律所约束的个人信息跨境流动对象，最终建立一种针对公开个人信息跨境提供的“合规不起诉”制度。之所以提倡技术治理，一方面是由个人信息处理活动本身的技术特性决定，即包括个人信息在内流动于信息网络的所有数据，本质上是将现实生活转化为无数组二进制代码的结果。个人信息跨境流动的风险，可以被解释为是因技术不完善所导致的，那么对其治理自然也应当建立在技术的维度上。另一方面是由于法律制度须建立在统一的社会共识之上，而社会共识常滞后于数字信息技术的快速发展，单纯依靠制度层面的统一管理无法有效回应不断变化的互联网技术事实。

因此，个人信息在跨境流动中的风险不仅可以通过法律规定的审查、问责制度进行控制，还可以在具体场景中利用技术手段进行风险治理。例如，在事前通过严格的访问权限控制、数据加密及去标识化、隐私计算等方式降低数据泄露风险，实现数据传输过程的“默认隐私保护”的效果；在事中通过基于安全目标的超文本传输协议（HTTPS）加密通道等方式保障数据传输通道安全以降低风险；在事后通过建立系统灾备恢复、安全加固、开展网络安全隐患排查修补工作等措施进行补救。通过此类措施的应用在技术层面降低个人信息跨境流动活动中国家安全、数字主权以及个人权益受损的风险，为个人信息跨境流动拓展制度空间。

最后，应基于风险关切，遵循比例原则对跨境流动场景进行最终界定。一方面，应确保对具体个人信息跨境活动的法定化符合立法所欲实现价值。对于跨境流动场景的界定应严格衡量“目的—手段”的关系问题，如界定本身对立法价值实现无益，便无须将该场景法定化。例如，个人处理者因处理个人或者家庭事务所需而将其自身个人信息传输至境外，因已被豁免适用《个人信息保护法》，自然无须考虑其是否属于应受规制的个人信息跨境流动活动。

另一方面，需确保界定结果和所欲实现立法价值诉求之间必须合比例或相称。对于具体跨境流动场景的界定应统筹兼顾各项立法价值诉求在具体场景下的实现度，确保纳入法律规制范围的场景与其所夹带风险相对应，若在具体场景下存在实现所欲立法价值的替代且成本较小的治理方式，便不宜将该场景认定为法定意义上的个人信息跨境流动。例如，对于公开个人信息，若将涉及公开个人信息的跨境流动场景纳入法律规制范围，将导致大部分处理公开个人信息超过一定数量的网络服务提供者接受国家网信部门的安全评估范围，不仅导致企业合规成本增加，还会浪费国家行政资源。

但如前所述，其相较于其他类型的个人信息风险较小，并且可以通过要求公开个人信息的处理者通过技术手段降低安全风险的方式，实现对该场景下风险的有效管理，因此不应将其认定为个人信息跨境流动的规制范围。对于数据中转活动亦是如此。在“成本—收益”的分析框架下，若将其认定为是一种受到法律规制的个人信息离境行为并苛以严苛的法定义务，既无法从风险预防中获取足够收益，也将迫使诸多主体通过烦琐的评估、合同等合规程序来自证合规，最终对数字经济发展造成沉重合规负担。因此，应将此两类场景与个人信息跨境流动的概念进行区分，不宜将其认定为个人信息跨境流动的实现方式。

（3）结合现实因素实现跨境场景界定的适时演进

个人信息跨境场景的界定应结合现实因素适时调整。立法者针对个人信息跨境流动活动的多元价值诉求，需在真实世界中寻找可靠支点后，才可以成为正式的约束规则。例如，美国推崇数据自由流动的背后，是亚马逊、微软、谷歌、IBM在全球云计算服务市场所占份额超过70%，这给美国在数据治理上带来的巨大技术优势及话语权。如前所述，现实中政治、经济、社会等诸多因素处于不断变化调整过程中，这也是立法者价值取向呈现历时性特征的原因。因此，我国在面对个人信息跨境流动界定问题时，除考察具体场景下的风险问题外，还应关注该问题相关现实因素的动态变化，调整对具体场景中个人信息跨境活动的界定要素。

对于我国而言，这种调整应结合域内域外两方面的现实变化。对于域内而言，一方面我国在个人信息跨境流动领域尚未形成系统的治理框架及实施细则，并且针对跨境流动所设规则缺乏有效的监管力量；另一方面我国数字经济占国内生产总值（GDP）比重相较于美国、英国、德国等发达国家仍有较大提升空间，这种现实境遇决定了我国目前在个人信息跨境流动领域的治理需统筹考量发展与安全，实现维护数据主权和国家安全基础上的个人信息安全流动。

但随着我国数字经济的高速发展以及国内监管体系和网络安全技术的完善，将为个人信息跨境流动提供更加多元化的路径，也会为个人信息跨境流动的场景界定撬动更多的制度空间。对于域外而言，目前针对包括个人信息在内的数据跨境流动活动，尚未形成统一的国际法治理体系，除《区域全面经济伙伴关系协定》（RCEP）外，我国亦没有加入任何国际数据跨境流动治理体系。但我国商务部已分别于2021年9月及11月正式提出加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）以及《数字经济伙伴关系协定》（DEPA），在未来正式加入后，对于个人信息跨境流动的界定自然应当根据对应国际规则进行适配性的调整，以避免区域间个人信息跨境流动的法律壁垒。

结语

个人信息跨境流动概念自提出至今已数十年，由于不同国家或地区立法者游离在多元立法价值之间，试图寻求个人信息充分保护和自由流动之间的平衡点，使个人信息跨境流动的界定在面对不断迭代更新的技术事实、商业模式等现实因素时，始终未能达成清晰的共识。

在这种背景下，以固定概念的形态界定个人信息跨境流动无法承载实际的价值诉求，试图寻找一劳永逸式的精准界定只会陷入越来越烦琐的法条内容之中。此时须秉承一种节制精神，避免对个人信息跨境流动进行详尽精细的定义，而是借助“场景—风险”视角，建立一种动态判定的模式。

在具体的个人信息跨境流动场景下，充分权衡个人信息跨境流动活动可能给国家安全、数据主权、人格利益以及数字经济发展带来的风险和收益，并利用多元治理手段针对性地进行风险管理。以风险管理的结果为前提，结合自身对各类立法价值的偏好程度，判断剩余风险的可接受度，遵循比例原则，最终确认中国语境下个人信息跨境流动所指涉的范围。

并在后续结合诸如立法、技术等现实因素的发展变化动态，及时调整个人信息跨境流动的场景界定规则，为个人信息的自由流动寻求更大的制度空间，为充分发挥数据的生产要素功能提供制度支持，同时在数字经济、国家安全、数据主权和人格利益等价值之间寻找动态平衡点。中

点击上图即可购买

2023年《中国法律评论》（全六册）

中国法律评论

我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊，中文社科引文索引（CSSCI）来源期刊，人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府，策略之机枢”之理念，立足于大中华，聚焦中国社会的法治问题，检视法治缺失与冲突，阐释法律思想，弘扬法律精神，凝聚法律智慧，研拟治理策略，为建设法治中国服务，为提升法治效能服务，为繁荣法学服务。

《中国法律评论》投稿邮箱：

chinalawreview@lawpress.com.cn

中法评微信公众号投稿邮箱：

stonetung@qq.com

刊号：CN10-1210/D.

订刊电话：010-83938198

订刊传真：010-83938216