《个人信息保护法（草案）》（以下简称《草案》）于10月21日公布以来引发了各方众多探讨，《草案》如顺利公布生效，则我国个人信息保护领域由《民法典》、《刑法》、《网络安全法》、《中华人民共和国数据安全法（草案）》（简称“《数据安全法（草案）》”）、《个人信息保护法》及其他行业管理办法构成的多层次立法格局已初步显现。从目前《草案》公布内容看，横向上一定程度借鉴了欧盟《通用数据保护条例》（GDPR）的监管方式，纵向上对原有法律、法规及标准既有内容在继承的基础上又有许多重大调整，对企业的个人信息保护及数据合规工作提出了新的要求并明确了新的路径。对跨国企业而言，除需遵守一般合规要求外，还应满足《草案》中关于域外效力及个人信息跨境提供规则的规定，并应关注国内个人信息保护领域的标准和认证发展趋势。本文侧重围绕《草案》背景下跨国企业需注意的以上三方面内容，结合《草案》的原则性规定、相关法律法规及规范性文件要求，从跨国企业合规实务角度展开探讨。

在适用范围上，《草案》借鉴了GDPR及现今多数国家与地区同类立法的处理方式，即将本国个人信息保护法律的效力扩展至域外。根据《草案》第三条规定，在境内处理个人信息的活动应适用本法，在境外处理我国境内个人信息的情形下，如满足以下情形中任一项也应适用本法：（1）以向境内自然人提供产品或服务为目的 （2）为分析、评估境内自然人的行为 （3）法律、行政法规规定的其他情形。笔者认为，《草案》在适用范围上采用了属地原则兼目的原则、效果原则的立法模式，但均以“处理自然人个人信息”的行为成立为前提，该规定使我国个人信息保护法规具有了域外效力。

根据《草案》第三条，对于企业处理个人信息的法律适用逻辑，可以通过图示进行表述（见表-1）。

表-1 《个人信息保护法（草案）》域外适用判断逻辑图

但是，对于何种情况下，在境外处理境内个人信息可以豁免适用中国法律？《草案》并未直接规定。且《草案》的规定容易产生理解的歧义，是否不属于“以向境内自然人提供产品或服务为目的，以及为分析、评估境内自然人的行为”可以豁免适用？笔者认为，应结合《数据安全法（草案）》的规定综合来看。境外处理中国境内个人信息的行为，实际上受到《草案》与《数据安全法（草案）》的双重约束。《数据安全法（草案）》第二条规定：“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”也就是说，境外处理中国境内个人信息，即使不构成“以向境内自然人提供产品或服务为目的，以及为分析、评估境内自然人的行为”，如果有关机关认为其处理个人信息行为“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”，依然可以适用中国法律。

关于实践中如何判断境外企业的个人数据处理行为是否属于“向境内自然人提供产品、服务”或“为分析、评估境内自然人的行为”，目前尚无相应配套的认定标准。在GDPR体系下，欧洲数据保护委员会于2019年11月发布的《关于GDPR的地域适用范围指南（第三条）》（“EDPB指南”）中指出，判断非欧盟实体是否具有向欧盟境内数据主体提供商品或服务的意图需结合境外机构是否使用目标国域名、国名、语言和货币，是否使用境内电话和地址，是否针对境内主体开展营销活动等因素根据个案情况综合判断。

关于跨国企业在境内设立机构并持续经营行为本身是否可以作为本国（地区）个人信息保护法规对设立该境内机构的母公司可直接适用的依据，《草案》与欧盟GDPR的回答方式略有不同。根据欧盟GDPR规定、EDPB指南表述及法院对个案实际情况的认定[1]，如在境内设立“实体”（Establishment）且符合存在密不可分联系（Inextricable link）及于境内产生营业收入等特征，则设立该实体的“活动背景下”，境外数据控制者或处理者的个人数据处理行为应当适用GDPR有关规定，不论该“实体”是否在欧盟境内实际开展相关个人信息处理行为。《草案》相比于GDPR作了较为限缩的规定，目前未将上述内容包括在《草案》第三条第二款规定的三种域外适用情形中。未来《草案》公布后，是否将跨国企业在我国境内的机构本身作为评估其存在《草案》第三条第二款规定的三种域外适用情形的相关要素之一，需要相关规章、解释、标准或执法、司法实践进一步加以明确。毋需多言，对其目标市场或商业存在横跨多个国家和地区的跨国企业而言，理解不同法域间法律规定及执法尺度的细微差异，并相应调整本地业务运营方案和合规内控制度是至关重要的。

另外，对于已被认定为应适用《草案》的“境外个人信息处理者”，《草案》第五十二条规定与GDPR相关规定较为接近，均要求该境外主体应在我国境内设立专门机构或指定代表以负责和监督个人信息处理活动。

《草案》第三章对于个人信息跨境提供的规定改变了原《个人信息出境安全评估办法（意见征求稿）》下“一刀切”的处理方式，在第三十七条、三十八条和第四十条中确立了“多元化”的个人信息出境处理模式（见下表）。不同类型的个人信息处理主体应遵守不同的本地存储要求和跨境提供要求。对不属于国家机关和关键信息基础设施运营者的个人信息处理者而言，在根据第三十九条要求明确告知并取得个人单独同意的基础上，《草案》根据其处理个人信息的规模设定了差异化合规要求。达到规定数量的个人信息处理者应当通过国家网信部安全评估要求，而未达到规定数量的个人信息处理者除了通过国家网信部安全评估外，还可通过取得专业机构认证、订立合同并监督接收方数据处理活动及满足法律法规及监管规定的其他条件等方式合法向境外提供个人信息。

表-2《个人信息保护法（草案）》下

各类主体的个人信息出境规则整理

实务中，跨国企业如根据《草案》以上出境要求制定内部合规体系，相关定义及程序仍待么仍需明确。如第四十条中“规定数量”的具体标准，第三十八条（二）有权合规开展个人信息保护认证的“专业机构”的资质、认证流程及认证标准，第三十八条（三）中所需“订立合同”中双方权利义务条款的具体内容及个人信息处理者履行“监督”义务的具体方式。

以“订立合同”为例，根据对《草案》第三十八条（三）的现有表述的一般理解，我们认为在双方合同条款中应至少应包括所提供的个人信息使用范围、加密方式、保存期限，是否允许接收方对第三方提供个人信息等内容。从境外接收方角度来看，须同时满足所在国个人信息保护、我国个人信息保护和合同中约定的双方权利义务三个层次的要求。从境内个人信息处理者角度来看，履行法定监督义务的技术实现路径和证明标准需在实务中进一步探讨，但仅在双方合同中设定相关违约责任显然不足以免除法定监督义务。

另外，特殊行业监管要求对跨境数据传输的禁止性或限制性规定在实务中应一并纳入考量。如《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中明确规定，银行业金融机构不得向境外提供境内个人金融信息。类似要求主要散见于行业行政法规和规范性文件中，覆盖金融、征信、网约车、网络出版等领域。

在政府反制措施方面，《草案》第四十二条、四十三条规定与《数据安全法(草案)》、《出口管制法》等有关法规的精神一脉相承，给出了较为原则性的规定。反制措施既与当前国际政治背景有着密不可分的联系，也有其国际法渊源，如国家间对等原则。《草案》项下的反制措施如作为政府行为及常态化机制，则应有明确的触发条件（或审查要素）、主管部门及执行程序等细化措施。《草案》第四十二条提出了“限制或禁止个人信息提供清单”，该清单作为个人信息层面的“出口管制”，是否采取与近期公布的《不可靠实体清单规定》近似的管理方式，有待进一步明确。鉴于《出口管制法》的管制物项已包括了技术和服务，如《草案》该规定正式公布生效，则有可能出现不同清单对部分跨国企业或其所控制关联主体同时“竞合”适用的情况。另外应注意到，《草案》第四十三条其中“歧视性”和“类似措施”存在较大解释空间，有待明确。对跨国企业在我国境内的子公司和代表处而言，除避免自身出现《草案》第四十二条所列情形外，对于其境外母公司、关联方及供应商的政策风险也应做到提前预判和及时反应。企业事前应对其业务所涉及的境内自然人个人信息的收集、使用、加工、传输、提供及公开的业务模式或场景进行梳理，对所存储的个人信息数据资产应通过分类分级、权限控制、区分存储等方式加强管理，并制定应急预案以尽可能降低各方损失。

在企业网络安全及个人信息保护合规工作中，除法规要求外通常需要结合相关标准确定操作指引、业务流程、系统架构和数据库层面细节。

《草案》第十二条原则性的规定了国家积极推动我国个人信息保护领域的规则及标准与国际规则及标准的互认。根据制定主体及效力不同，我国的标准可分为国家标准、行业标准、地方标准和团体标准、企业标准。目前，我国个人信息保护领域现行有效的国家推荐性标准主要是《信息安全技术 个人信息安全规范》，另有行业标准及指引若干。国际标准层面，涉及多个国际标准化组织，现以国际标准化组织（ISO）、国际电工委员会（IEC）标准为例，对其个人信息保护领域部分国际标准文件整理如下（见表-3）。国际标准可通过同等转化或修改转化的方式成为国内标准。

《草案》第五十八条原则性的规定了有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。从社会治理角度，一个健全的个人信息保护体系应包括法律、法规、标准、判例、第三方认证、企业管理制度和公民个人意识等诸多要素。从《草案》第十二条和五十八条表述来看，由第三方社会服务机构为企业提供个人信息保护的评估、认证等服务，并将相关认证资质作为特定企业满足合规要求的证明途径将有可能成为一种趋势。在涉及个人信息保护的标准领域，政府将主要以组织国家层面标准的制定和国际互认以及监督管理认证机构等第三方社会服务机构作为抓手。标准和认证作为一项国际通行的行业管理工具，也可以有效弥补法律法规在个人信息保护领域过度刚性和技术滞后的不足。

从跨国企业角度，《外商投资法》第十五条明确规定外商投资企业有权依法平等参与标准制定工作。《外商投资企业参与我国标准化工作的指导意见》明确鼓励外商投资企业参与国家标准的起草和翻译，鼓励外商投资企业开展标准化服务，提供标准咨询、标准信息交流、标准比对分析、标准跟踪研究等方面服务，鼓励外商投资企业在国际标准化双（多）边活动中发挥桥梁作用，开展标准化合作交流，提高中国标准国际化水平。据此，跨国企业a.应积极利用自身国际化优势，结合自身商业模式和技术方案特征参与到个人信息保护领域的国家标准、地方标准、行业标准及团体标准的制定过程中 b.境内外业务有较强关联的，应积极研究比对其个人信息保护领域原采用的国际标准及欧盟、美国、澳大利亚、新西兰、新加坡、日本等其他国家标准与我国标准的技术要求异同 c.应积极熟悉了解相关部门指定认证机构的认证规则。通过以上措施不仅可以证明跨国企业产品和服务的合规性，也可以体现跨国企业社会责任感，并提升企业在行业内的综合竞争力和影响力。

本次公布《草案》体现出对相关法律法规及标准的继承，对该领域国际主流立法模式也有一定程度的借鉴。在明确的原则性框架的同时，在重要概念的认定标准和具体操作要求层面留有较大细化和调整空间，给执法、司法部门和行业实践留有的一定空间。跨国企业本地合规实务中，如何根据自身商业模式制定符合《草案》及其行业监管要求的合规内控体系并有效的落地执行，需要政府、企业、个人和第三方社会服务机构共同展开更深入的探索。一个健全的个人信息保护体系应包括包括多个层级、多方主体、多种手段，并能结合技术演进和行业实践不断生长和自我完善。