在數(shù)據(jù)要素市場(chǎng)化配置的國(guó)家戰(zhàn)略導(dǎo)向下,，數(shù)據(jù)安全高效出境順勢(shì)成為立法工作的重要內(nèi)容?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》建構(gòu)起全方位的數(shù)據(jù)安全和個(gè)人信息保障體系,，但是數(shù)據(jù)安全不等于限制數(shù)據(jù)流動(dòng),，而是為了促成數(shù)據(jù)更高效的流動(dòng)。在此背景下,，我國(guó)出臺(tái)了《數(shù)據(jù)出境安全評(píng)估辦法》,，解決了涉及大量個(gè)人信息、重要數(shù)據(jù)的出境安全問(wèn)題,。但是,，數(shù)據(jù)出境立法進(jìn)程并沒(méi)有就此止步。為了滿足企業(yè)數(shù)據(jù)出境的業(yè)務(wù)需求以及迎合不同規(guī)模數(shù)據(jù)出境的行業(yè)特征,，國(guó)家互聯(lián)網(wǎng)信息辦公室又出臺(tái)了《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》（下簡(jiǎn)稱《辦法》）。這不僅意味著我國(guó)數(shù)據(jù)出境立法的體系化工作取得巨大成就,，也意味著我國(guó)個(gè)人信息出境就此步入“標(biāo)準(zhǔn)化”法治時(shí)代,。

一、數(shù)據(jù)安全監(jiān)管理念升級(jí),，合規(guī)出境渠道多元化

數(shù)字經(jīng)濟(jì)的創(chuàng)新發(fā)展離不開(kāi)數(shù)據(jù)資源的供給與流動(dòng),，為了進(jìn)一步解放數(shù)據(jù)資源在數(shù)字市場(chǎng)中的生產(chǎn)要素功能，填補(bǔ)數(shù)據(jù)合規(guī)出境的單一性,，國(guó)家互聯(lián)網(wǎng)信息辦公室一針見(jiàn)血地點(diǎn)出行業(yè)痛點(diǎn),，以標(biāo)準(zhǔn)化合同的制度模式為企業(yè)數(shù)據(jù)出境提供了另一種可能性。與過(guò)去強(qiáng)監(jiān)管模式相比,，《辦法》體現(xiàn)了我國(guó)監(jiān)管機(jī)構(gòu)在長(zhǎng)期的數(shù)據(jù)安全監(jiān)管實(shí)踐活動(dòng)中所探索出的新型監(jiān)管理念和監(jiān)管模式,，即將行政監(jiān)管與企業(yè)自主合規(guī)相結(jié)合。

（一）定底線,，留磋商,。《辦法》看似對(duì)企業(yè)個(gè)人信息出境合同作出了種種限制，甚至還列明了《個(gè)人信息出境標(biāo)準(zhǔn)合同》,，但這種表現(xiàn)的背后卻體現(xiàn)了我國(guó)的監(jiān)管智慧：在私法層面,，合同的生命在于意思自治和自主磋商，《辦法》并沒(méi)有事無(wú)巨細(xì)地限定企業(yè)應(yīng)當(dāng)怎么訂立合同,，而是以示范性的標(biāo)準(zhǔn)合同的形式指引企業(yè)應(yīng)當(dāng)如何完成的個(gè)人信息保障義務(wù),。《辦法》第6條規(guī)定標(biāo)準(zhǔn)合同應(yīng)當(dāng)按照《辦法》附件訂立,，但同時(shí)也允許在與附件內(nèi)容不沖突的情況下約定其他條款,。

（二）填空白，多渠道,。《數(shù)據(jù)出境安全評(píng)估辦法》的出臺(tái)解決了大規(guī)模個(gè)人信息,、重要數(shù)據(jù)的安全出境問(wèn)題，但是對(duì)于出境數(shù)據(jù)規(guī)模不大,、不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的其他企業(yè)而言,，采取同樣的數(shù)據(jù)出境模式又未免存在合規(guī)成本過(guò)高等問(wèn)題,。《辦法》第4條則明確了標(biāo)準(zhǔn)合同機(jī)制適用應(yīng)當(dāng)同時(shí)符合以下情形：一是非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,；二是處理個(gè)人信息不滿100萬(wàn)人的,；三是自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬(wàn)人的；四是自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬(wàn)人的,。該條直接說(shuō)明了《辦法》對(duì)數(shù)據(jù)出境安全評(píng)估機(jī)制適用范圍的填補(bǔ),，企業(yè)在出境部分個(gè)人信息時(shí)，可選擇的合規(guī)模式更加多元,。

（三）重備案,，強(qiáng)保密。《辦法》第3條明確提及了適用原則包括“自主締約與備案管理相結(jié)合”“保護(hù)權(quán)益與防范風(fēng)險(xiǎn)相結(jié)合”等,。一方面,，這里的“備案”不同于數(shù)據(jù)安全評(píng)估機(jī)制所要求的實(shí)質(zhì)性審查，而是強(qiáng)調(diào)監(jiān)管機(jī)構(gòu)僅對(duì)提交材料進(jìn)行形式審查,，至于備案材料的真實(shí)性則由企業(yè)自行負(fù)責(zé),。另一方面，這里的“防范風(fēng)險(xiǎn)”除了強(qiáng)調(diào)個(gè)人信息處理者需要控制個(gè)人信息出境的安全風(fēng)險(xiǎn),，還強(qiáng)調(diào)了備案機(jī)構(gòu)及其工作人員同樣對(duì)備案材料負(fù)有保密義務(wù),，個(gè)人信息處理者不必?fù)?dān)心主動(dòng)備案出境合同可能會(huì)導(dǎo)致商業(yè)秘密等泄露，更不用擔(dān)心因泄露而導(dǎo)致潛在的商業(yè)機(jī)會(huì)喪失,。

二,、數(shù)據(jù)出境立法呈體系化趨向，條款內(nèi)容“承上啟下”

時(shí)至今日,，我國(guó)數(shù)據(jù)安全立法經(jīng)歷了從無(wú)到有,、從有到優(yōu)的發(fā)展歷程，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》相繼頒布,，我國(guó)的數(shù)據(jù)立法工作呈現(xiàn)縱深化,、專題化和領(lǐng)域化的發(fā)展趨勢(shì)。在數(shù)據(jù)安全出境領(lǐng)域,，前三部法律明確了數(shù)據(jù)出境的基本原則和基本制度架構(gòu),，而此次的《辦法》和《數(shù)據(jù)出境安全評(píng)估辦法》等則構(gòu)成了數(shù)據(jù)安全出境體系的具體內(nèi)容，并且除了適用范圍具有相互填補(bǔ)銜接的特點(diǎn)之外,，在立法目標(biāo)和具體條款上同樣實(shí)現(xiàn)了監(jiān)管標(biāo)準(zhǔn)的統(tǒng)一化和體系化,。

（一）數(shù)據(jù)出境需進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。《個(gè)人信息保護(hù)法》第55條和第56條規(guī)定了“向境外提供個(gè)人信息”時(shí)應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,，并明確了評(píng)估事項(xiàng)主要包括處理目的,、處理方式、個(gè)人權(quán)益影響及安全風(fēng)險(xiǎn),、風(fēng)險(xiǎn)匹配度等,。而《辦法》第5條則將個(gè)人信息保護(hù)影響評(píng)估事項(xiàng)進(jìn)一步細(xì)化,，專門針對(duì)個(gè)人信息出境之后的潛在風(fēng)險(xiǎn)點(diǎn)作出了一體性評(píng)估要求，包括但不限于境外接收方能否履行承諾的個(gè)人信息保護(hù)法義務(wù),、出境后是否存在非法利用,、泄露等風(fēng)險(xiǎn)、境外接收方所在國(guó)家或地區(qū)的相關(guān)立法能否保障標(biāo)準(zhǔn)合同的履行,。

（二）“安全評(píng)估,、標(biāo)準(zhǔn)合同、機(jī)構(gòu)認(rèn)證”出境機(jī)制并行,。《個(gè)人信息保護(hù)法》第38條規(guī)定了個(gè)人信息出境需要滿足的法定條件包括“安全評(píng)估”“個(gè)人信息保護(hù)認(rèn)證”和“標(biāo)準(zhǔn)合同”,。《數(shù)據(jù)出境安全評(píng)估辦法》公布后不到一年內(nèi),，國(guó)家互聯(lián)網(wǎng)信息辦公室緊鑼密鼓地頒布《辦法》,，意味著我國(guó)個(gè)人信息出境機(jī)制正在逐漸按照上位法《個(gè)人信息保護(hù)法》的內(nèi)容逐一補(bǔ)全，企業(yè)數(shù)據(jù)出境業(yè)務(wù)合規(guī)的選擇空間更加廣闊,。

（三）依照上位法確定標(biāo)準(zhǔn)合同內(nèi)容，并未實(shí)際增加企業(yè)合規(guī)成本,。《辦法》附件所列明的標(biāo)準(zhǔn)合同條款內(nèi)容絕大部分均是以《個(gè)人信息保護(hù)法》所涉及的個(gè)人信息主體權(quán)利和個(gè)人信息處理者義務(wù)為基礎(chǔ),，企業(yè)依據(jù)《個(gè)人信息保護(hù)法》要求落實(shí)個(gè)人信息保護(hù)義務(wù)的同時(shí)，實(shí)際上也在完成個(gè)人信息出境標(biāo)準(zhǔn)合同所要求的義務(wù),。附件標(biāo)準(zhǔn)合同的“定義”部分與《個(gè)人信息保護(hù)法》所規(guī)定的個(gè)人信息主體,、個(gè)人信息、敏感個(gè)人信息等概念保持一致,，至于“個(gè)人信息處理者的義務(wù)”“境外接收方的義務(wù)”“個(gè)人信息主體權(quán)利”等內(nèi)容則是針對(duì)個(gè)人信息出境場(chǎng)景的風(fēng)險(xiǎn)特殊性,，細(xì)化了《個(gè)人信息保護(hù)法》規(guī)定的義務(wù)履行方式和權(quán)利行使方式，保持了監(jiān)管標(biāo)準(zhǔn)的一致性,。

三,、數(shù)據(jù)安全風(fēng)險(xiǎn)治理新探索：打造可信可控的個(gè)人信息出境模式

現(xiàn)階段，網(wǎng)民往往在繁瑣冗雜的隱私政策,、用戶協(xié)議等平臺(tái)規(guī)則中“迷失方向”,，在一次次點(diǎn)擊“同意”按鈕時(shí)，又在擔(dān)心自己的個(gè)人信息出境之后是否安全,，這種社會(huì)公眾對(duì)個(gè)人信息出境乃至數(shù)據(jù)流動(dòng)安全性的不信任已經(jīng)成為數(shù)據(jù)要素市場(chǎng)化配置的關(guān)鍵阻礙,。為了保障自然人個(gè)人信息權(quán)益，同時(shí)最大限度地實(shí)現(xiàn)個(gè)人信息效用,，《辦法》選擇從個(gè)人信息出境最直接的風(fēng)險(xiǎn)來(lái)源切入——以出境后的個(gè)人信息安全保障為重心,，以救濟(jì)方式、違約責(zé)任,、爭(zhēng)議解決機(jī)制等方式消解社會(huì)公眾對(duì)個(gè)人信息出境的不信任,，同時(shí)確保境外接收方能夠按照合同約定履行義務(wù),。這種數(shù)據(jù)安全風(fēng)險(xiǎn)治理新探索主要體現(xiàn)在以下兩個(gè)方面。

（一）個(gè)人信息主體維權(quán)有所依,，相互推諉不復(fù)在,。附件標(biāo)準(zhǔn)合同在“第六條 救濟(jì)”中明確了境外接收者需要向個(gè)人信息主體提供詢問(wèn)或投訴的具體渠道，以網(wǎng)站公告或單獨(dú)通知的方式告知境外接收方的固定聯(lián)系人,，避免個(gè)人信息主體維權(quán)時(shí)對(duì)于境外接收方“可望不可及”,。個(gè)人信息主體再也不用擔(dān)心發(fā)生爭(zhēng)議時(shí)個(gè)人信息處理者與境外接收方相互“踢皮球”，將爭(zhēng)議問(wèn)題推諉給對(duì)方,。

（二）違約責(zé)任保障合同義務(wù)履行,，仲裁或訴訟解決先行賠償問(wèn)題。附件標(biāo)準(zhǔn)合同以個(gè)人信息主體的權(quán)利保障為優(yōu)先事項(xiàng),，規(guī)定了違約方需要承擔(dān)民事責(zé)任,、行政責(zé)任乃至刑事責(zé)任，同時(shí)提及了雙方依法承擔(dān)連帶責(zé)任的,，個(gè)人信息主體完全有權(quán)選擇其中一方或雙方承擔(dān)責(zé)任,。一方承擔(dān)的責(zé)任超過(guò)其應(yīng)當(dāng)承擔(dān)的責(zé)任份額時(shí)，有權(quán)向另一方追償,。（作者：趙精武 北京航空航天大學(xué)法學(xué)院副教授）