为满足日益增长的个人信息出境需要，保护个人信息权益，国家互联网信息办公室近期出台了《个人信息出境标准合同办法》（以下简称《办法》），细化了个人信息通过与境外接收方订立标准合同方式出境的制度。这是网络与信息法治建设的重要成果，是网络空间综合治理机制的重要创新。

　　有利于推动《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的实施。《个人信息保护法》第三十八条规定了个人信息处理者向境外提供个人信息的四个途径，即“安全评估、个人信息保护认证、标准合同以及其他条件”。《办法》正文对“标准合同”途径下的个人信息出境要求作了详细规定，明确了个人信息出境标准合同的适用范围、订立条件和备案要求；附件列出了标准合同的基本条款，把法律规范转化为合同规则。

　　有利于促进数字经济发展和数据有序跨境流动。《办法》要求符合条件的个人信息处理者与境外接收方按照本规定订立个人信息出境标准合同并备案即可出境个人信息，简化了个人信息出境的流程与环节，为个人信息处理者提供了多元化的个人信息出境方式。《办法》附件提供了标准合同的范本，境内个人信息处理者仅需要结合实际情况进行填充完善，极大降低了境内个人信息处理者的成本，解决了部分中小规模个人信息处理者专业人员不足的难题，便于其健康有序发展。

　　有利于提升个人信息出境活动的规范化水平。一方面，《办法》明底线、划红线，指出合规方向，细化适用订立标准合同的方式向境外提供个人信息的基本条件，明确个人信息影响评估和合同备案的基本要求。另一方面，《办法》明确规定，个人信息处理者对所备案材料的真实性负责，违反规定依据《个人信息保护法》等法律法规处理；构成犯罪的，依法追究刑事责任。

　　纵观《办法》，我们不难发现其中有诸多突出亮点。

　　平衡安全与发展。个人信息跨境流动对于引领数字经济全球化发展具有重要作用，有利于做大、做强、做优我国数字经济。《办法》坚持自主缔约与备案管理相结合，防范个人信息出境后因泄露、损毁、篡改、滥用等可能对个人信息权益带来的风险，落实多元化个人信息出境模式，丰富个人信息保护监管方式和手段，保障个人信息依法有序自由流动，有利于充分发挥数据要素对于高质量发展的重要推动作用，引领数字经济全球化发展，是推动数字经济双循环、形成数据要素全球定价机制的重要抓手。

　　织密数据出境制度。一方面，《办法》与《数据出境安全评估办法》互为补集、互相衔接，为“非关键、小规模”的个人信息出境提供了详细规范，进一步织密了个人信息出境管理制度。另一方面，《办法》附件的标准合规范本在合同双方之外，还对向境外的第三方提供个人信息提出了约束性要求，并对受个人信息处理者委托处理个人信息，转委托第三方处理的情形作出规定，为个人信息权益提供进一步保障。

　　创新个人信息保护监管机制。《办法》充分体现了依法治理、综合治理的理念，一方面，创造性地将合同这一意思自治形式吸收成为新的监管手段，在为个人信息处理者提出管理要求的同时，也留出了充分的创新空间；另一方面，充分地把技术合规要求融入个人信息保护要求，除了将采取的技术措施列为个人信息评估的重点内容，也在附件的合同范本中，为个人信息处理者采取加密、匿名化、去标识化、访问控制等技术和管理措施作出引导。

　　突出个人信息主体权益的实现。《办法》除了将《个人信息保护法》确立的个人信息主体权益列入合同范本正文，还重视境外接收方所在国家或者地区的个人信息保护政策和法规对中国个人信息主体权益的影响，把相关政策法规发生变化等可能影响个人信息权益的情形，作为触发重新开展个人信息保护影响评估、补充或者重新订立标准合同的重要条件。

　　为更好促进《办法》的实施，在加强个人信息保护监管执法的同时，应大力发展应用法律科技，为依法监管与促进合规赋能。随着人工智能、大数据等技术的进一步发展，利用“法律+科技”的手段实现监管与合规的自动化、智能化，符合数字经济发展和数字政府建设的新方向、新趋势。可以开发快速审查个人信息出境标准合同、影响评估报告的监管工具，助力实现备案监管的智慧化、精准化、全时化，提高监管能力和水平。相应地，个人信息处理者也可以主动采用智能化合规工具重构合规体系，一方面，通过自然语言处理工具构建规则引擎，对包括《办法》正文和附件的规范进行自动化分析解构，结合业务场景和出境数据特点，快速起草符合《办法》要求的个人信息出境标准合同；另一方面，通过技术对数据收集、存储、加工、使用、传输、删除等全生命周期进行可视化管理，自动分析企业数据资产与合规风险，根据分类分级等规则自动识别个人信息的数量、范围、类型、敏感程度，保障个人信息处理目的、范围、方式等的合法性、正当性、必要性，助力低成本、高效率完成《办法》所要求的个人信息保护影响评估。（作者周辉 中国社会科学院法学研究所网络与信息法研究室副主任）