跨境数据传输中个人数据出境的监管豁免制度

摘要：现今信息技术快速发展，云计算、人工智能被广泛应用，跨境交流、跨境贸易等往来日益频繁。在跨境数据流动过程中，个人信息与数据收集成为其中必不可少的重要环节。在全球范围内各国纷纷开始加强对数据隐私与个人信息保护立法，针对个人信息的收集、使用和存储设定了严格的规范。在特定情况下，为推动数据流通，各国在法律允许范围内对个人信息的保护进行豁免。鉴于该背景下，本文深入研究跨境数据流动过程中个人数据出境监管的豁免制度，并提出应当合理构建监管豁免制度，既能够在保障个人数据在跨境传输过程中安全性与合规性，又有助于完善跨境数据传输的法律体系，为跨境数据合作与交流提供统一的法律依据，推动数字经济的和谐发展。

关键词：数据跨境风险；数据监管；数据传输；数据安全；数据离境执法；个人信息保护

一、跨境数据传输中个人数据出境监管豁免的制度现状

在全球数字经济蓬勃发展的浪潮下，跨境数据流动已跃升为全球经济增长的关键驱动力。在此进程中个人数据作为核心要素，其跨境传输的规模与频率不断攀升，因此深入研究跨境数据流动过程中个人数据出境监管的豁免制度，并合理构建该制度显得尤为重要。鉴于当前经济发展需求、个人隐私保护的迫切性以及国家安全战略考量，不同国家和地区基于各自国情与发展目标，分别构建起特色各异的个人数据出境监管豁免制度。这些域外制度，无疑为我国相关制度的完善提供了宝贵的借鉴与参考视角。

1.1国际法规背景下制度现状

2018年欧盟颁布《通用数据保护条例》（GDPR），该条例明确数据控制者、处理者的责任与义务，并且赋予数据主体广泛的权利，其中包括知情权、访问权、更正权等。这些权利保障条款构成了数据出境法律基础的关键组成部分，其目的在于确保个人数据在跨境传输过程中，数据主体的权益不会因地域变化而被削弱。此外，GDPR规定了“充分性认定”原则，主要指只有被欧盟认定为具有“充分的数据保护水平”的国家或地区，才能够直接接收欧盟公民的个人数据。而对于未获得充分性认定的国家或地区，数据传输则必须通过特定机制，如标准合同条款、约束性公司规则等。通过这些规定，从法律层面为数据出境设定了清晰明确的路径与条件，以保障数据跨境传输过程中的规范性与安全性。

除此之外，欧盟各成员国分别设有独立的监管机构，依据GDPR规定的流程与标准，通过合规审计等手段对数据出境进行审查和监管，确保企业遵循GDPR规定的流程与标准。针对违规行为，这些机构制定了责令整改、高额罚款等处罚措施。

美国《加州消费者隐私法》（CCPA）则采取了较为灵活的方式，即以市场自律为主、政府监管为辅的行业监管模式。1美国部分州也制定了各自的数据保护法律，各自分散监管，同时采用行业自律与政府监管协同合作的模式。美国这种模式更侧重于注重平衡数据流动与商业利益，旨在促进数据在全球市场中的自由流动，以维护其在数字经济领域的领先地位和商业利益。

在构建数据监管体系进程中，日本与韩国借鉴欧美先进经验并与自身国情融合。构建起以国家数据保护机构为核心，既顺应国际趋势又契合本国国情的数据监管框架。基于该框架，在数据出境前，数据控制者需向委员会提交相关材料，并说明数据出境的目的、接收方情况等，委员会审核通过后方可进行数据传输；事后，委员会会不定期对数据出境活动进行检查，以确保数据接收方持续遵守日本的数据保护要求。在韩国个人信息保护委员会同样承担着类似职责，通过制定详细的监管指南，规范企业的数据出境行为，并对违规企业进行处罚，以保障个人数据出境的安全性。

1.2国内层面制度现状

我国《中华人民共和国网络安全法》率先确立数据出境安全评估制度，此后，《数据安全法》《个人信息保护法》等一系列法律陆续颁布。这些法律为平衡敏感个人信息隐私保护与跨境流动利益关系，搭建起基本法律框架。对比CPTPP和DEPA规则，我国数据跨境流动管理存在差异，我国主要以“施加限制”为原则主，标准上侧重安全评估和数据存储本地化。2其中《个人信息保护法》在个人数据出境监管豁免制度中发挥着基础性的指导作用。具体而言，该法明确了个人信息处理的基本原则，如合法、正当、必要和诚信原则，而这些原则为监管豁免情形下的数据出境活动提供了价值导向。

就数据出境豁免而言，需要基于数据主体同意，尤其在具有特定的目的和充分的必要性下处理敏感个人信息时，应当取得个人的单独同意，同时还需采取严格保护措施。在此过程中，要求数据控制者在获取同意时必须遵循合法、正当的程序，以此确保数据主体充分知晓数据出境的目的、方式和范围评估等信息，只有满足这些条件，才符合豁免要求。这样一来，有助于保障个人信息安全，有效防止敏感信息在监管豁免过程中被不当出境，充分体现了对个人信息主体权益的尊重与保护。

在此基础上，国家网信办等部门制定《数据出境安全评估办法》《个人信息出境标准合同办法》等配套规定，进一步细化规定了数据出境安全评估的适用范围、评估内容、评估流程等关键要素。在监管豁免制度中，对于一些不符合豁免条件的数据出境活动，必须依法进行安全评估。评估内容涵盖数据的类型、规模、敏感程度，数据接收方所在国家或地区的安全环境，以及数据出境可能对国家安全、公共利益和个人合法权益造成的影响等多维度。

2024年3月国家网信办发布的《促进和规范数据跨境流动规定》，成为我国个人数据出境监管豁免制度的重要升级举措。该规定明确多种豁免情形，其中“两头在外” 商业模式豁免尤为引人注目，即数据源头和服务对象均在境外，且在境内处理过程中“没有引入境内个人信息或者重要数据”的数据出境情形，可免予申报安全评估、订立标准合同或通过保护认证。从《个人信息保护法》字面解读，并无此类豁免条款，然而《促进和规范数据跨境流动规定》作出了豁免，这可视为数据安全逻辑对经贸促进逻辑的重大“让步”，充分体现了对特定商业模式的支持，3通过这种方式放宽数据跨境流动条件，收窄安全评估范围，为相关经济活动的开展提供了更大便利。

第二章 个人数据出境监管豁免制度的实施困境

尽管我国现行法律为个人数据出境监管豁免制度提供了一定的法律支撑，但当前整体法律治理水平与数字经济发展需求仍存在差距。一方面，不同国家和地区的数据保护法律以及监管机构的理解存在差异。在个人数据出境监管豁免制度实施过程中，部分豁免情形的界定不够清晰，缺乏明确的判断标准，导致在实际操作中难以准确适用相关规定。

另一方面，我国由国家网信部门作为牵头机构，工业和信息化、公安、国家安全等部门等部门依据各自职责，对数据出境活动依法实施监督管理，然而，由于在实施过程中个人数据出境涉及多个领域和环节，各监管机构在监管重点、执法尺度等方面存在差异，加之部门之间缺乏有效的沟通协调机制，导致在信息共享、协调配合、联合执法等方面存在阻碍，进而出现监管空白或重复监管的现象。且监管机构在审查时缺乏统一的尺度，致使在具体案件中对于某些数据是否属于个人信息以及应适用何种监管规则存在争议，难以精准判定。

此外，基于各国基于自身的社会、政治、经济等情况不同，对公共利益的界定有所差异。在涉及“公共利益”相关的监管豁免情形中，“公共利益”这一概念较为宽泛且抽象。这使得企业在判断自身数据出境行为是否符合基于公共利益的豁免条件时，往往陷入困境。但该行为是否真正符合公共利益，在不同国家引发了广泛争议，这充分暴露了个别监管豁免情形适用不明的问题。

最后，由于缺乏有效的国际合作机制，个人信息跨境数据传输链条往往较为复杂，个人数据出境涉及不同国家的法律和司法管辖，因此导致界定违法行为、确定管辖权、开展跨境调查取证、执行法律裁决以及协调与合作等方面面临诸多难题，进一步加剧跨境执法难度与复杂性。

第三章 豁免制度的必要性

全球数字经济的迅猛发展，跨国合作依赖于全球范围内的数据共享与整合。在这一背景下，以往传统的全面严格监管模式与大数据时代的知情同意机制，渐渐难以契合数据跨境流动的高效性的迫切需求。而监管豁免制度此时应运而生，其能够突破数据跨境流动的部分阻碍，为数据跨境流动提供更灵活的空间。具体而言，监管豁免制度能够有力保障数据传输过程的合法性和顺畅性，有效平衡数据保护与信息自由流动的关系，进一步对全球贸易自由化和经济一体化进程起到推动作用。正如合法利益豁免为大数据产业发展提供新路径4，同理，监管豁免制度也能全方位助力跨境数据传输产业蓬勃发展。在提升产业效率的同时，促进不同国家和地区之间的数据交流与合作，为数字经济的繁荣奠定坚实基础。

我国在《促进和规范数据跨境流动规定》确立了个人信息出境监管豁免制度，明确规定六种豁免情形，在此制度下，相关活动既豁免申报数据出境安全评估，也豁免订立个人信息出境标准合同以及通过个人信息保护认证，旨通过简化监管流程，促进数据依法有序跨境流动，有效降低合规成本。5不过，即便企业的数据出境行为符合豁免条件，也依然需要承担相应的数据保护责任。企业为了满足豁免要求，通常会加大在数据安全技术研发、管理制度建设等方面的投入。同时，监管机构也应定期对已获批豁免的数据出境活动进行风险复查，以便及时发现并应对新出现的数据安全风险，确保在豁免情形下，数据安全始终处于可控状态。可见，监管豁免制度与个人隐私保护二者之间相辅相成、互为促进数据流动，监管豁免制度在激发数据跨境流动的同时，更好的推动企业和监管机构重视并强化个人数据安全与隐私保护意识，构建数据流动与隐私保护的良性互动机制，助力数据跨境流动在安全、有序的轨道上稳健发展。

第四章 个人数据出境的监管豁免制度的完善路径

我国以“重要数据”和“个人信息”为核心，依据《网络安全法》《数据安全法》《个人信息保护法》，建立起两种相互独立的数据出境规制制度。一种为维护国家安全的重要数据出境安全管理制度，另一种则是维护个人权益的个人信息跨境提供制度。两种制度在目标定位、适用范围以及监管机制上存在显著差异，进而形成 “双轨并行、多层规制”的体系。6

为了适应不同类型和风险程度的数据出境需求，我国构建两种不同的数据出境监管路径。第一种路径适用于高风险数据出境场景，比如涉及国家安全、大量敏感个人信息以及关乎重要公共利益，被禁止或限制出境的数据。针对这类数据出境应严格遵循安全评估、审批等程序，以最大程度保障数据安全。第二种路径适用于低风险数据出境场景，主要针对非敏感个人信息且数据量较小，或者符合特定豁免条件的数据出境活动。对于此类数据出境，可采用简化的监管流程，例如备案制或自我评估后报告制。通过清晰界定双轨制的适用场景，能够实现对不同风险程度数据出境活动的精准监管，有效平衡数据安全与数据流动的关系。

针对高风险数据出境的监管路径中，监管机构组织专业人员对报告进行审核，并可根据需要开展实地核查工作。对于评估通过的数据出境申请，监管机构将颁发批准文件，同时对数据出境后的活动进行持续监督。一旦发现数据出境活动存在安全风险，监管机构便有权要求数据控制者立即停止数据出境，并且采取相应的整改措施。

而在低风险数据出境的监管路径中，则采用的是备案制，数据控制者应在数据出境前向监管机构提交备案材料，其中涵盖数据出境的基本信息、自我评估报告等内容。监管机构对备案材料进行审查，若无异议，则备案通过。对于采用自我评估后报告制的，数据控制者需自行对数据出境活动进行风险评估，并在数据出境后一定时间内，向监管机构提交评估报告。监管机构对报告进行抽查，若发现问题，便会要求数据控制者进行立即整改并就相关问题汇报。

需特别注意的是，跨境数据传输个人数据出境监管豁免制度同样要平衡数据主体的权利和公共利益，在此方面，可以借鉴欧洲人权法院在新闻豁免案件中的五要素判断法，从数据出境行为对公共利益的益处、涉及人员的敏感度、数据获取方式、数据出境的内容与后果以及对数据传输主体制裁的影响等多个方面，综合判断是否给予豁免。7

为推动促进国家间监管豁免机制协作，我国积极开展多边谈判，搭建国际合作平台。通过这一方式促进不同国家和地区在个人数据跨境流通监管上的协调与合作，进而减少因各国监管差异导致的数据流动障碍，营造良好的国际数据流通环境。

总结

随着数字经济的快速发展以及新业务模式的不断涌现，这导致数据出境的形式和风险变得更为复杂多样，同时数据出境的法律基础呈现多元化且复杂的态势，现行法律难以全面覆盖和有效应对这些新情况。许多国家和地区相关的数据出境豁免制度，为我国制度构建提供了有益启示。旨通过确保数据接收方具备基本的数据保护水平及建立有效的事后监督和救济机制等方式合理构建监管豁免制度，有助于完善跨境数据传输的法律框架。这样既能在保障个人数据安全、个人隐私以及国家安全的同时，又能推动数字经济的健康发展。最终实现个人数据跨境流动的有序性、安全性和合规性，为国际间的数据合作与交流提供坚实的法律基础。

1参见冯中越：《敏感个人数据跨境流动的包容审慎监管》，载《晋阳学刊》2024年第6期，第39页。

2参见冯中越：《敏感个人数据跨境流动的包容审慎监管》，载《晋阳学刊》2024年第6期，第43页。

3参见洪延青：《中国数据出境安全管理制度的“再平衡”——基于国家间数据竞争战略的视角》，载《中国法学评论》2024年第3期，第207页。

4参见谢琳： 《大数据时代个人信息使用的合法利益豁免》，载《财经政法》2024年第5期，第23页。

5参见刘金瑞：《数据跨境双轨制下 个人信息出境监管豁免制度的适用与完善》，载《政法论坛》2019年第1期，第75页。

6 参见刘金瑞：《迈向数据跨境流动的全球规制：基本关切与中国方案》，载《行政法学研究》2022年第4期，第46页｡

7参见贺文奕、来小鹏：《欧盟个人数据保护中的新闻豁免研究及对我国的借鉴》，载《未来传播》2023年第1期，第85页｡