经济全球化不仅推动了跨国公司蒸蒸日上，而且促进了个人隐私信息跨境流动。在此形势下，把握个人隐私信息跨境使用的尺度、保障国民个人隐私信息的境外合法使用、协调不同法域的规则冲突等问题显得日益重要。

  2021年8月20日通过的《中华人民共和国个人隐私信息保护法》（简称《个人隐私信息保护法》）是个人隐私信息保护领域的基本法，对于妥善解决以上问题，促进企业合规经营都具备极其重大法律意义。

  境内外企业在管理和运行过程中，内部也会产生员工和业务数据的跨境需求。这中间还包括内部员工的身份、职位、行为记录等个人隐私信息，也可能包括对外联络过程中涉及的众多个人隐私信息。另外，日常运营中的大量业务数据也可能因为管理和协调的需要出现跨境传输的需求。

  跨境电商是较为典型的涉及数据跨境流动的商业场景。在整个交易过程中，会涉及用户注册、商品信息、订单处理、电子支付、物流转运、数据分析等多个环节。无论是物流领域，还是支付环节，都会涉及大量的数据，既包含个人隐私信息，也包含相应的运营和商业信息。

  云计算通过云端存储和处理数据，实现计算和存储资源的优化配置。在云计算领域，因其应用广泛，就会涉及各种数据类型的跨境传输问题，既包括个人隐私信息，也包括商业和工业产业的数据。

  《个人隐私信息保护法》第三条规定，在中华人民共和国境内处理自然人个人隐私信息的活动，适用本法。在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有以下情形之一的，也适用本法：（一）以向境内自然人提供产品或服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。

  因此，《个人隐私信息保护法》规定的连接点是“行为所在地”，即处理活动发生在境内的企业均受到该法的约束，而无论处理活动的主体是否为中国境内企业。如果处理活动发生在境外，则根据第三条第二款的规定，看是不是满足“以向境内自然人提供产品或服务为目的”或“分析、评估境内自然人的行为”的条件。即使境外公司有理由证明不属于上述两项情形，立法者和执法者也可通过该条第二款第三项的兜底条款，自由裁量适用。

  根据《个人隐私信息保护法》第三十九条及第四章的规定，个人隐私信息处理者在向境外主体提供个人信息之前，应当以单独声明等形式向个人告知境外接收方的名称、联系方式、处理目的、解决方法、个人隐私信息的种类以及个人向境外接收方行使知情权、决定权、撤回同意、查阅复制权、更正权、删除权等法律规定权利的方式和程序等事项，并取得个人的单独同意。

  根据《个人隐私信息保护法》第四十条的规定，关键信息基础设施运营者和处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者，应当将在中华人民共和国境内收集和产生的个人隐私信息存储在境内。确需向境外提供的，除了例外情形，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

  如果企业规模不大，个人隐私信息搜集和使用不多的，可以依据现有规章制度、员工手册等内部规范文件进行修订。内容至少应当包括：个人信息搜集和处理的原则、信息保护负责人、搜集和使用的范围、操作权限、安全保护的方法、保管期限和销毁、信息安全事件的应急预案、违规责任等。若企业规模较大，则应根据法律规定制订个人隐私信息使用管理制度等文件。

  无论是针对员工、客户还是供应商等，在签订的书面文件中建议增加个人隐私信息搜集和使用的知情同意确认。该确认可以是单独的确认书，也可以是合同中增加的同意条款，或者其他能够证明是信息提供者本人同意的方式。

  除常见的签订《保密协议》外，还能采用文件加密、限制传播途径和范围（禁止拷贝和修改等）、去标识化（隐藏部分信息）、匿名化（不可逆的删除部分信息）等安全技术措施。如存在与境外公司共用人事管理系统时，建议对境内员工个人隐私信息传输的内容范围、查阅权限和限制、信息储存位置等，进行一定的梳理和规范。

  如果仅是企业日常的员工信息管理，能定期对一段时间内处理个人隐私信息时的合法合规情况做合规审计；定期对HR、IT、财务岗位履职行为进行稽核；对企业内部文件传输的动态监管和不定期抽查；出现违规时的内部调查和处罚等。

  对于提供网络站点平台服务、个人用户数量巨大、业务类型复杂、或者涉及个人敏感信息处理的企业来说，其事中监管则应包括以下几个方面：由企业外部成员组成独立机构做监督，建立完整个人隐私信息保护合规体系；事前进行个人隐私信息保护影响评估，并至少保存三年；对外公开公布个人隐私信息处理的规范文件；定期发布个人信息保护社会责任报告等。

  建议企业在选择境外合作伙伴或采购境外主体提供的服务或产品前，对境外主体开展尽职调查，根据调查的最终结果评估是否与该境外伙伴开展合作。对境外主体的尽职调查建议包括以下事项：该境外主体的个人隐私信息保护能力，包括合规能力、技术能力、管理能力，是否曾发生过重大个人隐私信息泄露等个人隐私信息安全事件等；该境外主体所在国家/地区的个人隐私信息保护水平；该境外主体所在国家/地区对于向我国提供个人隐私信息是不是真的存在歧视性的禁止、限制等措施。

  按照《个人隐私信息保护法》的规定，企业在向境外主体提供个人隐私信息前应进行个人隐私信息保护影响评估。个人隐私信息保护影响评估必须包括以下内容：企业个人隐私信息的处理目的、解决方法等是不是合乎法律、正当、必要；企业向跨境提供个人隐私信息的行为对个人权益的影响及安全风险；企业所采取的保护的方法是不是合乎法律、有效并与风险程度相适应。

  企业应当参考《个人隐私信息保护法》的相关条款与境外接收方签订个人隐私信息跨境传输合同，约定双方的权利与义务，保障个人隐私信息主体的权益，明确个人隐私信息主体的合法权益受损时，能自行或者委托代理人向网络运营者或者接收者或者双方进行索赔等维权救济途径以及双方的责任。

  企业应当持续关注境外接收方的动态，如境外接收方的个人信息处理方式、财务、信誉、网络安全能力、安全保护的方法等出现重大改变，可能会影响个人隐私信息主体权益或国家安全、社会公共利益，应当视情况终止合作或者重新开展个人隐私信息保护影响评估。

  企业应当定期开展内部个人隐私信息保护影响评估并记录评估结果，当企业数据出境目的、范围、数量、类型等发生较大变化时，应当及时开展个人隐私信息保护影响评估。

  企业应当设立个人隐私信息保护部门，及时响应并处理个人隐私信息主体提出的查阅、复制、更正、删除个人隐私信息等请求。还应当通过在隐私政策中列出境外接收方的联系方式、与境外接收方签署协议等方式要求境外接受及时响应并处理个人隐私信息主体向其提出的查询、复制、更正、删除个人隐私信息等请求。

  赵明亮律师具有专利代理人资格、证券从业资格，执业专长为国资运营、公司治理、并购重组、投资融资、企业破产等法律业务。

  执业期间赵明亮律师办理大量民商事法律案件，参与企业改制、并购重组、投融资等法律业务，有着非常丰富的民商事诉讼经验和公司投融资法律业务经验。先后为郑州投资控股有限公司、河南国创文化发展有限公司、知和环保科技有限公司等数家国有、非公有制企业单位提供常年法律顾问服务；为中国东方资产管理股份有限公司河南省分公司、河南省国有资产经营有限公司、郑州黄河大观有限公司、郑州思念食品有限公司、郑州农工商华臻置业有限公司、深圳华信股权投资基金管理有限公司等数家企业单位及大规模的公司集团提供专项法律服务；为河南省中牟造纸厂破产清算、河南广泰铝业有限公司破产清算、河南省蒲光特种金属制品有限公司破产清算、河南贝得实业有限公司破产清算、河南永誉置业有限公司破产重整、河南乾诚实业有限公司破产重整、河南博施盾网络科技有限公司破产清算、郑州揽胜教育咨询有限公司破产清算、河南望京房地产开发有限公司破产清算等破产项目提供专业法律服务。