境外接收方所在地的法律与政策环境评估是数据出境安全评估的重点内容之一，也是《个人信息出境标准合同》所规定的合同义务。数据处理者应通过书面合同等方式要求境外接收方应当就如下事项进行查明与提供，境外接收方也应当尽最大努力提供了必要的相关信息，主动履行合同义务或者相关承诺，协助与配合境内数据处理方的数据安全评估申报工作。

境外接收方对法律与政策环境的查明，既有申报前的“先合同义务”，又有申报成功后在合同履行阶段的附随义务，还有一定的“后合同义务”。附随义务存在的法律依据分别是：民法典第五百条、第五百零一条所表述的内容与先合同义务相对应；合同履行阶段的附随义务对应民法典第五百零九条第二款。

境外接收方在申报前的“先合同义务”包括：

（1）境外接收方此前类似的数据（个人信息）跨境传输和处理相关经验、境外接收方是否曾发生数据安全相关事件及是否进行了及时有效地处置、境外接收方是否曾收到其所在国家或者地区公共机关要求其提供个人信息的请求及境外接收方应对的情况；

（2）该国家或地区现行的数据（个人信息）保护法律法规、普遍适用的标准情况，及与我国数据（个人信息）保护相关法律法规、标准情况的差异；

（3）该国家或地区加入的区域或全球性的数据（个人信息）保护方面的组织，以及所做出的具有约束力的国际承诺；

（4）该国家或地区落实数据（个人信息）保护的机制，如是否具备数据（个人信息）保护的监督执法机构和相关司法机构等。

境外接收方在合同履行阶段的附随义务包括：

（1）所在国家或者地区的个人信息保护政策和法规发生变化（包括境外接收方所在国家或者地区更改法律，或者采取强制性措施）导致境外接收方无法履行本合同的，境外接收方应当在知道该变化后立即通知个人信息处理者。

（2）境外接收方接到所在国家或者地区的政府部门、司法机构关于提供本合同项下的个人信息要求的，应当立即通知个人信息处理者。

跨境数据传输方应根据法律要求事前开展数据出境自评估，对查明境外接收方所在国家或地区的法律与政策环境尽到合理的注意义务。跨境数据传输方对所提交材料的真实性负责，未尽注意义务则会被要求终止数据出境活动或者被要求整改后重新申报评估。造成跨境数据被非法获取、非法利用的，也可能会导致罚款、暂停相关业务或者停业整顿的行政处罚风险。

对于境外接收方而言，对法律与政策环境的查明与提供仅是一种合同义务。根据我国民法典第五百条规定，如果境外接收方在订立合同过程中故意隐瞒与订立合同有关的重要事实或者提供虚假情况，造成对方损失的，应当承担赔偿责任。在《个人信息出境标准合同》中也规定了不当履行该项义务的其他后果，即：境外接收方所在国家或者地区的个人信息保护政策和法规发生变化（包括境外接收方所在国家或者地区更改法律，或者采取强制性措施）导致境外接收方无法履行本合同的，个人信息处理者可以暂停向境外接收方提供个人信息，直到违约行为被改正或者合同被解除。

在跨境数据传输方与境外接收方共同决定个人信息的处理目的和处理方式，构成共同处理个人信息的法律关系时，还可能因违反承诺与保证、未尽注意义务依法承担连带责任。《个人信息保护法》第二十条第二款规定：“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。”个人信息主体有权请求任何一方或者双方承担责任。一方承担的责任超过其应当承担的责任份额时，有权向另一方追偿。

（一）   欧盟法律实践

根据欧盟数据保护委员会（EDPB）在2021年6月发布的《关于数据跨境转移的补充措施最终建议》，跨境数据传输方必须评估第三国的现行法律或惯例中是否有任何内容可能影响具体传输中所依赖的传输工具的适当安全保障措施的有效性。该评估必须首先以公开的立法为基础，但评估范围仅限于与保护传输的特定数据相关的立法和实践，而非进行的全面和广泛的充分性评估。此外，评估应特别注意向公共机构披露个人数据或授予此类公共机构访问个人数据的权力的法律（例如出于刑事执法、监管或国家安全目的）。同时也规定，数据接收方提供相关的来源和信息应该是相关的、客观的、可靠的、可核查的、公开的或以其他方式可获得的。该文件提供的参考的几个信息来源包括：

§   欧洲基本保障建议中提到的欧盟法院（CJEU）和欧洲人权法院的判例法；

§   如果传输依赖于合法性基础，则需要列出目的地国的充分性决定；

§   政府间组织的决议和报告，如欧洲委员会、其他区域机构；以及联合国机关和机构（如

联合国人权理事会、人权委员会）；

§   来自主管监管网络的报告和分析，如全球隐私大会（GPA）；国家判例法或主管第三国数据隐私和数据保护的独立司法或行政当局做出的决定；

§   独立监督或议会机构的报告；

§   根据以往公共当局要求披露或接收方所在部门的实体没有提出此类要求的实际经验编

写的报告；

§   与接收方在同一领域的数据处理实体的金丝雀担保（Warrant Canary）[1]；

§   输出国或向接受传输的第三国传输数据的其他第三国的商会、商业、专业和贸易协会、政府外交、贸易和投资机构编写或委托编写的报告；

§   学术机构和民间社会组织（如非政府组织）的报告；

§   私营商业情报提供商关于公司财务、监管和声誉风险的报告；

§   接收方自身提供的金丝雀担保；

§   透明度报告，条件是明确提及没有收到任何访问请求。

§   接收方的内部声明或记录，明确表明在足够长的时间内没有收到访问请求；并且优先考虑涉及接收方责任的声明和记录和由具有一定自主权的内部职位（如内部审计师、DPO 等）发布的声明和记录。

（二）   中国法律实践

根据国家网信部门发布的《数据出境安全评估办法》、《数据出境安全评估申报指南（第一版）》、《个人信息出境标准合同办法》以及《网络安全标准实践指南 — 个人信息跨境处理活动安全认证规范 V2.0（征求意见稿）》等相关规定，数据出境安全评估报告至少包括：

（1）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；

（2）境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。

据此，对境外接收方的法律与政策环境的查明成为进行数据出境申报与安全评估的重要环节。然而，我国的数据相关立法并未规定对境外法律与政策环境的查明范围、查明方法与路径等内容，甚至企业的数据出境安全自评估并不要求对境外接收方的法律与政策环境进行查明。实践中，对于境外接收方不配合查明和提供的，也只能依赖于其单方的承诺或者在合同条款上的陈述与保证。

我国法院在审理涉外民商事案件时也会遇到域外法律的查明问题，如当事人协议选择某一域外法或根据冲突法规范确定适用域外法时，就需要通过一定的方式和途径来查明域外法的内容。域外法能否查明、域外法是否得到正确适用，直接影响当事人的实体权利义务的确定，影响案件的最终裁判结果。最高人民法院关于设立国际商事法庭若干问题的规定》第八条列举了八类外国法查明方式，包括：（1）由当事人提供；（2）由中外法律专家提供；（3）由法律查明服务机构提供；（4）由国际商事专家委员提供；（5）由与我国订立司法协助协定的缔约对方的中央机关提供；（6）由我国驻该国使领馆提供；（7）由该国驻我国使馆提供；（8）其他合理途径。对于境外接收方法律与政策环境的查明与问责，以上方式也可以参考。

企业在进行数据出境安全评估申报中，在通过不同途径充分了解和掌握数据接收方所在国家或地区的法律与政策环境的基础上，可以考虑从如下六个方面撰写：

（1）法律与政策环境概述。简要介绍境外接收方所在国家或地区在个人信息保护、网络安全或数据安全的法律法规和普遍适用的标准情况，以及与我国现行网络安全与数据保护法律体系的差异。例如，对于敏感个人信息的处理，以及个人数据处理的出境环节要求个人信息主体的单独同意，比《欧盟数据保护条例》（GDPR）更加严格。笔者常用的一个网站，https://www.dlapiperdataprotection.com/，也可以图示化的显示出世界不同国家和地区数据立法的状况与保护力度的强弱情况，并可以用作不同区域的法律差异性对比。又如在数据跨境传输制度上，埃及、俄罗斯仅能传输到充分性认定的国家或需要监管机构的批准才能出境。

（2）国际协定与承诺。当地与其他国家或地区缔结的与数据跨境流通、共享相关的双边或多边协定的情况，包括在执法、监管等方面数据流通、共享的双边或多边协定。例如，被欧盟委员会决定第三国具有确保充分的个人数据保护水平并纳入该决定的国家，到目前为止包括：安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、英国和乌拉圭。对于以上白名单上的国家，欧盟境内的个人数据则可无需其他批准条件，可以向第三国进行自由传输个人数据。对于当地加入区域或全球性的网络安全与数据保护组织或做出相关具有约束力的国际承诺情况，也可以在申报文件钟进行描述。例如，是否是亚太经济合作组织（APEC）的跨境隐私规则体系（CBPR）的成员国，是否有经济合作与发展组织（OECD）隐私基本方针和原则项下经营者的义务或本人的权利相关制度等。

（3）法律实施。如当地网络安全与数据保护执法与司法机构的完备情况，机构职能与职责，机构的独立性与监督执法能力以及追责机制，重点评估当局的实际执法情况。例如：印度尼西亚没有专门的数据监管机构，印度尼西亚通信部MCI作为数据领域的监管机构，其权力限于个人数据、隐私和网络安全，对于其他特定领域则由其他具体部门进行监管与保护；印度尼西亚现有的有关个人数据保护法律体系尚不够完善，且存在实践中难以执行的问题。又如，南非《个人信息保护法》（POPIA）由于缺乏报告义务，已经发生了多起违规事件。2020年7月1日POPIA新增了对数据泄露的报告义务。POPIA 也对离岸数据场景提出了更高的要求。组织在向南非境外发送数据时，需确保满足数据跨境的相关要求。在该POPIA生效前，微软和亚马逊都已经在南非当地建立了数据中心。

（4）政府数据调取限制。当地行政、监管或司法程序等可以要求调取个人信息的情况，如调取的权力、应遵循的法律程序与限制措施；境外接收方所在地的执法机构和司法机构等部门调取数据的权力和法律程序，权力是否受到有效的约束、是否能做到公开透明、近期是否存在相关的负面案例；境外接收方是否曾收到其所在地公共机关要求其提供个人信息请求及境外接收方应对的情况等。例如，按照《巴西互联网法》及2016年的修订案，巴西监管机构有权要求APP运营者提供用户注册信息，配合政府审查。但应明确所需用户信息以及希望其提供的内容，不应要求APP运营者批量提供用户注册信息。《巴西通用数据保护法》在处理关于公共或国家安全的数据时属于例外规定。

（5）权利救济。个人信息主体在当地寻求司法救济的途径及可行性。例如，作为亚洲最早的个人信息保护法律之一《日本个人信息保护法》（“APPI”）规定，如果发生泄露等可能损害个人权益的情况，经营者有义务向日本个人信息保护委员会报告并通知个人信息主体。而2015年APPI，提交数据报告只是一项非强制性的规定，通知个人也仅仅是一项建议。

（6）其他情况。境外接收方所在国家或地区在网络安全与数据跨境传输方面是否对中国采取歧视性的禁止、限制或其他类似措施等。此外，我国的《出口管制法》已经将“与物项相关的技术资料等数据”纳入了出口管制的范围；《反国外制裁法》也授权国务院有关部门可制定反制清单。企业在开展跨境数据处理活动和数据出境安全评估申报的时候，也应考虑以上法律交叉适用的情形。同时，建议企业持续关注目标国在网络安全与数据立法和执法进展，并进行影响分析。

最后，跨境数据传输方就可以结合对以上六个方面查明情况，对境外接收方法律与政策环境出具评估意见或结论。在申报文件中，可以尝试运用“风险分析法”，将境外接收方所处的法律与政策环境可能对中国的国家安全、公共利益、个人或者组织合法权益带来的风险，划分为高、中、低三个等级，并就所传输的数据受到的保护水平是否等同于中国的保护水平给出结论。如果数据跨境传输风险很高，目标国不能有效地确保与中国法律基本上同等的保护水平，则建议企业停止传输，或采取整改措施，包括技术性、组织性和合同措施，以期满足申报条件和要求。

（上海对外经贸大学实习生周珈宇同学对本文也有贡献）

注释：

[1]　金丝雀担保，即要求数据接收方应根据要求至少每24小时报告其并未收到需要向公权力机构披露个人数据的命令。笔者查阅到一家德国企业Avira的金丝雀安全声明 (Warrant Canary)，为：到目前为止，Avira 从未收到任何国家安全信函；收到任何禁言令；收到任何政府机构的任何搜查令。来源：https://www.iavira.com/reliability.html

１. 《数据跨境现状调查与分析报告》，斑马数据合规研究中心出品。

２.《企业对外投资国别（地区）营商环境指南－印度尼西亚（2022）》，中国国际贸易促进委员。

３. 《关于补充传输工具以确保符合欧盟个人数据保护水平的措施的建议 01/2020版本 2.0》，欧盟数据保护委员会（EDPB）。

４.《中美欧个人信息保护法比较》，腾讯研究院。