摘要:《个人信息保护法》创设了个人信息跨境提供的制度规则,这对于规范个人信息有效保护和跨境合理流动具有重要意义。从适用对象来看,《个人信息保护法》第三十八、三十九条仅能适用于作为自然人、企业或其他组织的个人信息处理者,而不能适用于国家对个人信息的境外提供行为,也不适用于自然人对自我个人信息的境外提供行为。从适用条件来看,个人信息境外提供应当符合安全评估、第三方认证、标准合同或者其他法定条件的要求,这些法定条件初步体现了对个人信息跨境提供的分类处理理念,但其分类标准相对单一,且主要依据个人信息处理者的具体类型,而非着眼于个人信息自身分级分类基础之上。从“知情—同意”规则来看,个人信息跨境提供中告知义务的内容范围更大,其同意方式也仅限于个人单独同意;个人信息跨境提供行为的合法性基础相对单一,这虽然有利于充分保障个人信息自决权,但也存在各种弊端,未来可以探索建立个人信息跨境提供的多元化合法性基础。
关键词:个人信息;跨境提供;安全评估;标准合同;知情—同意
中图分类号:D923 文献标识码:A
文章编号:1005-3492(2022)03-0097-09
随着全球网络信息技术和数字经济的不断发展,个人信息数据跨境流动变得越来越普遍。但是,个人信息跨境流动会带来数据控制主体、监管场域、保护方式、法律适用等方面的重大变化,由此可能导致个人在信息跨境流动中权益受损、保障不利等安全风险。有些个人信息数据属于国家基础性战略资源,个人信息出境可能会对国家安全产生影响。为了强化对个人信息跨境流动的规制和监管,《个人信息保护法》第三章专门规定了个人信息跨境提供规则,对个人信息跨境提供行为予以规制和调整。其中,该章第三十八、三十九条分别规定了个人信息跨境提供的法定条件和合法性基础,它们构成了个人信息跨境流动规则的主体和核心内容。因此,本文拟以《个人信息保护法》第三十八、三十九条为视角,分析探讨个人信息跨境提供的制度规则,以期为个人信息跨境提供的实践运行和规则完善提供理论借鉴。
一、跨境提供中的个人信息处理主体
个人信息跨境提供主体通常是个人信息处理者,而个人信息处理者区分为国家机关、国家机关以外其他的组织和个人。此两类主体在个人信息跨境提供中的适用条件和运行程序等方面都存在较大差异,并非所有类型主体的跨境个人信息提供行为都受到《个人信息保护法》第三十八、三十九条的调整和规制。第一,国家机关。国家机关处理个人信息通常与其法定职责密不可分,为了履行其法定职责,国家机关可能需要海量收集、精准处理个人信息。国家机关处理个人信息的数量规模、内容质量等方面,可能都远优于一般个人信息者。国家机关处理的个人信息,既涉及个人人格权和信息自决权保护,也关涉社会秩序、经济安全、公共利益等,故对国家机关的个人信息跨境提供行为的合法性、合规性会有更为严格的要求,比如安全评估。《个人信息保护法》第三十六条将安全评估作为国家机关跨境提供个人信息的前置程序和必备要件。这就意味国家机关跨境提供个人信息都必须事前开展安全评估。当然,这里的“安全评估”与一般个人信息处理者跨境提供时安全评估的制度刚性、评估主体、运行程度等方面都存在较大差异(后文将详细论述)。国家机关跨境个人信息提供行为,通常与其法定职权存在关联或本身就是履行法定职责的要求,比如公安机关为了打击跨国犯罪、追逃追赃、司法协助等向境外司法机关提供相关个人信息。此时实施的个人信息跨境提供行为,则无须适用“知情—同意”规则,因为国家机关个人信息处理行为的合法性是建立在履行其法定职责基础之上,而并不是建立在信息主体的有效“知情—同意”基础之上。若个人信息境外提供者是国家机关以外其他的组织和个人,但个人信息跨境流动的接受方为境外国家机关,比如外国执法机关或司法机关,则也不属于《个人信息保护法》第三十八、三十九条的调整范围。向境外国家机关提供个人信息涉及我国国家主权,个人信息处理者不得直接向境外司法或执法机关提供存储于我国境内的个人信息。受制于国家主权范围,境外国家机关无权直接调取或收集我国境内存储的个人信息,否则就侵犯我国国家主权。若境外执法或司法机关需要向我国信息处理者调取、收集存储于境内的个人信息,则应当依据《个人信息保护法》第四十一条之规定向我国主管机关提出申请。经我国主管机关批准之后,个人信息处理者才可以向外国执法或司法机构提供境内存储的个人信息。对于未经批准而直接向外国执法或司法机构提供境内存储个人信息的违法行为,则可以对信息处理者给予相应行政处罚。向境外国家机关提供个人信息应遵循“申请+批准”的法定条件,此法定条件既有利于跨境流动中个人信息保护,也有利于维护国家主权和安全。因此,个人信息跨境流动的接受方为境外执法机关或司法机关,也不属于《个人信息保护法》第三十八、三十九条之调整范围,而属于其他条款的适用范围。第二,自然人、企业或其他组织。国家机关以外的其他主体,比如自然人、企业或其他组织在实施个人信息境外提供行为时,需要符合《个人信息保护法》第三十八、三十九条之要求,这些主体向境外提供个人信息应遵守《个人信息保护法》第三十八、三十九条之规定,否则要承担相应行政处罚或其他法律责任。关于个人信息保护法的调整对象,有学者认为:个人信息保护不能泛化为针对任何不特定第三人,其需要以“持续不平等信息关系”为前提,适用范围主要限于具有持续性不平等信息关系的主体之间,通过对信息处理者设置各种义务,实现个人信息保护和公平信息实践。若按照“持续不平等信息关系说”的观点,当个人信息处理者为自然人时,其实施的个人信息处理行为不受《个人信息保护法》调整和规范。《个人信息保护法》虽然吸收了“持续不平等信息关系说”的观点,比如《个人信息保护法》第七十二条在规定其适用除外范围时,明确将自然人因个人事务或家庭事务而处理个人信息的行为排除在其适用范围之外,因为处理个人事务、家庭事务中的各方主体较为平等,自然人在处理个人事务或家庭事务时并不存在强势地位,这些事务通常发生在自然人家庭成员等较为亲密的群体之中,个人信息受侵风险较低。但是,《个人信息保护法》并未完全采取“持续不平等信息关系说”的观点,这在其很多内容中都得以体现,比如其对个人信息处理者的界定、个人信息处理行为的合法性基础等。在个人信息跨境提供规则中,也同样如此,并没有完全采取“持续不平等信息关系说”的观点。比如《个人信息保护法》第三十九条中个人信息跨境提供中的告知义务,要求告知“境外接受方的名称或者姓名”。当个人信息处理者是企业或其他组织时,则应向个人告知名称;当个人信息处理者是自然人时,则应向个人告知姓名。这就将自然人纳入境外接收方范围,在主体范围上与国内信息处理者保持一致。即便按照境外接收方当地的法律法规,自然人不属于个人信息保护立法的义务主体,这也不影响我国要求境内个人信息处理者对该境外接收方自然人姓名的告知义务。自然人可以成为个人信息处理者,可跨境提供或接受个人信息,其对个人信息的跨境处理行为自然也应受到《个人信息保护法》调整和规范。但是,对于自然人范围也需要予以适当限定,不宜将处理自我个人信息的自然人纳入个人信息境外提供规则的调整范围。对于个人信息处理行为可以区分为“自我处理行为”和“他人处理行为”,前者是自然人对自我个人信息的处理行为,此种处理行为恰恰体现了自然人对个人信息的自决权;后者是自然人或组织对其他人个人信息的处理行为,此时涉及对他人个人信息的处理,此种处理行为应当尊重和保护他人的个人信息自决权,其需要遵循目的性、合法性、比例性等规则的限制和规范。《个人信息保护法》第七十三条第1项对个人信息处理者的界定,仅从字面表述来看其并未区分自我处理者和他人处理者,但将自然人对自我个人信息的处理行为排除在适用范围之外具有合理性,因为自然人对自我个人信息处理恰恰是其信息自决权的体现,其无须再遵循“告知—同意”等规则的限制。《个人信息保护法》第七十二条将自然人因个人事务或家庭事务的个人信息处理行为排除其适用范围之外,其中包括跨境个人信息处理行为。在个人信息跨境提供中,自然人为个人事务或家庭事务将自我个人信息、家庭成员个人信息向境外组织或个人提供的行为,原则上不受《个人信息保护法》第三十八、三十九条规定调整和规范。比如自然人为了出国旅行、跨境网络购物、跨境在线学习等而向境外组织或个人提供本人个人信息,则显然不宜适用《个人信息保护法》第三十八、三十九条。若适用上述条款对此类个人信息跨境提供行为予以调整,则不仅会限制、减损了自然人个人信息自决权,也会给其正常生活、工作等带来诸多障碍和不便。因此,自然人对自我个人信息或其家庭成员个人信息的境外提供行为不应纳入《个人信息保护法》第三十八、三十九条调整范围之内。
二、个人信息跨境提供的具体条件
个人信息跨境提供的法定条件是个人信息跨境提供规则的核心内容,因为其直接决定了个人信息能否跨境流动,其背后也体现了个人信息跨境自由流动和权利保障、公共安全、国家主权等法律价值之间的有效平衡。若条件设定过于苛刻,则不利于个人信息跨境自由流动与合理使用,也不利于国际贸易和数字经济的有序发展;若条件设定过于宽松,则个人信息权益、公共安全、国家主权等可能在个人信息跨境流动中受到损害或威胁。在个人信息跨境提供的条件设置中,既要保障个人信息自由、合理地跨境流动和使用,也应当保障自然人的个人信息权益,维护公共安全和国家主权。《个人信息保护法》第三十八条要求个人信息跨境提供应具备以下条件之一。第一,安全评估。该条件设置了针对特定主体实施个人信息跨境提供行为的事前行政审批制度,因为安全评估仅是手段或方法,其并非最终处理结果;主管单位需要审查特定主体将要实施的跨境个人信息是否符合安全标准,并在此基础作出是否允许其实施个人信息跨境提供的决定。安全评估虽然有利于维护我国公共安全和国家主权,也有利于保护自然人个人信息权益,但可能会阻碍个人信息的跨境自由流动。这就要求对安全评估适用范围予以限定,并非所有的跨境个人信息提供都需要安全评估,其仅限于《个人信息保护法》第四十条规定的两类:(1)关键信息基础设施运营者在境内收集处理的个人信息。(2)理个人信息达到法定数量的个人信息处理者在境内收集处理的个人信息。“关键信息基础设施”是公共通信、信息服务、能源、交通、水利、金融等重要行业和领域的信息基础设施,其遭到破坏、丧失功能或数据泄露,便可能严重危害国家安全、国计民生、公共利益。对于此两类主体在个人信息处理上,除了要遵守《个人信息保护法》中个人信息处理者的一般义务之外,其亦应当遵守个人信息“本地化存储”义务和境外提供“安全评估”义务。对于这两类特定主体实施的个人信息跨境提供行为,原则上都应当经过国家网信部门组织的安全评估;若法律、行政法规或国家网信部门明确规定这两类主体可以不进行安全评估,则从其规定。这里的“安全评估”与《个人信息保护法》第三十六条要求国家机关跨境提供个人信息的“安全评估”并不完全相同:前者主要是外部评估,即网信部门对网络运营者的个人信息出境予以安全评估;后者是实施个人信息境外提供行为的国家机关事前开展的自我评估。当然,在实施个人信息跨境提供过程中,为了保障其能顺利通过网信管理部门组织的安全评估,关键信息基础设施运营者或处理个人信息达到法定数量的个人信息处理者也可以事前在其内部开展自我安全评估。第二,专业机构认证。个人信息保护认证是指专门的认证机构以相关技术规范为标准或依据,对于信息处理者的管理体系、运行状况、产品服务等是否达到个人信息保护技术规范所要求标准而出具的意见。个人信息保护认证通过引入专业、中立的第三方评估认定,可以消除信息主体和信息处理者之间的信息鸿沟和技术不对等,也有助于信息处理者之间的良性竞争。虽然,欧盟《通用数据保护条例》(GDPR)中也建立了“认证制度”,但将认证制度应用于个人信息跨境提供则是我国《个人信息保护法》首创。在个人信息跨境流动中,由于信息处理者的管理体系、运行状况、产品服务等情况,已经由中立的第三方专业机构对其个人信息保护合规情况予以审查认定,其可以担保和佐证相关企业或组织的个人信息跨境提供行为具有合规性。信息处理者在已经获得专业机构出具的个人信息保护认证情况下,可以实施个人信息跨境提供行为。2018年国家市场监督总局下属“中国网络安全审查技术与认证中心”曾有序开展了个人信息安全管理体系认证,给支付宝、腾讯、百度等网络信息公司颁发了认证证书。为了保障专业机构对个人信息保护认证的专业性和中立性,需要有相关法规对第三方认证机构的准入资质、运行程序、法律后果等方面内容予以明确和细化。第三,标准合同。标准合同实际上也就是格式合同,它通常也是预先拟定的。但个人信息跨境提供中的标准合同,与普通格式合同也存在较大差别。从制定主体来看,标准合同的制定主体并非是合同一方或单方当事人,而是国家网信部门。从合同内容来看,由于标准合同制定主体是国家网信部门,其所具有超脱于当事人的法律地位以及其所肩负国家管理职能,其内容也更具公正性和客观性;而普通格式合同制定主体通常是具有经济优势或垄断地位的一方合同当事人,其可能会利用此种优势地位免除自己的义务或加重对方的责任。因此,个人信息跨境提供中的标准合同并不完全等同于普通的格式合同。若个人信息跨境提供中,个人信息处理者已按国家网信部门制定的标准合同与境外接受方订立合同、约定双方权利义务,也可以保障个人信息出境后获得同等保护。该种法定条件参照了欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)中个人数据跨境流动保障机制中的标准合同条款(Standard Contract Clauses, SCC),《通用数据保护条例》要求通过标准合同来规范个人信息跨境提供者和接收者的行为,从而实现个人信息自由流动和权利保障的有效平衡,它是企业开展欧盟数据跨境流动的解决方案。标准合同中通常包括个人信息出境目的、存储地域、存储期限、提供方和接收方的权利义务、管辖、准据法等内容,通过标准化条款设置可以将《个人信息保护法》对个人信息跨境提供的具体规则和要求得到有效落实,从而倒逼个人信息跨境流动双方切实保障个人信息权益。标准合同规则旨在通过模板化、标准化的合同条款来设置提供方和接收方的权利义务,并要求境外接收方提供必要个人信息保护。由于标准合同具有较强的制度刚性,其在个人信息跨境流动中仅能选择“全有/全无”的适用方式,即个人信息跨境流动的双方主体只能选择采用或者不采用标准合同来订立协议,而不能仅选择标准合同的部分条款,或者对标准合同条款予以修改、变更或增删。标准合同实现了个人信息跨境流动协议内容和条款的刚性化和标准化,此种标准化虽然限定了合同订立者之间的意思自由,但却有利于保障自然人的个人信息权益。第四,符合法律、行政法规或国家网信部门规定的其他条件。该条件是个人信息跨境提供的“兜底条件”。《个人信息保护法》作为保护自然人个人信息权益的基本法律,其只宜提供规范个人信息处理活动的基本规则,而不宜详细规定不同行业、不同领域中个人信息保护的具体标准和细则,它也无法穷尽个人信息处理活动的各种条件和标准,其对个人信息跨境提供的调整和规范也是如此。考虑到网络信息技术的飞速发展和国际关系的发展变化,将来可能需要根据实践情况为增设个人信息跨境提供的其他条件留下开放空间。另外,由于个人信息跨境提供规则具有很强的公共政策因素考虑,很多内容需要授权国家网信部门针对不同情形下的个人信息跨境提供制定相应条件。若我国法律、行政法规或国家网信部门规定了个人信息跨境提供的其他法定条件,则仅需要符合其他法定条件就可以实施个人信息跨境提供。从《个人信息保护法》对个人信息跨境提供的条件设置来看,其主要具有以下特点:首先,体现了个人信息分类保护和处理的理念。虽然该规定对个人信息跨境提供的法定条件采取了“选择式”立法表述,即只要满足上述四个条件之一,就符合个人信息跨境流动的基本条件,但并非所有类型的个人信息处理者都可以自由选择其中一种方式。有两类个人信息处理者只能采取“安全评估”方式,即关键信息基础设施运营者和达到法定数量个人信息者,这些主体主要处理“重要数据的个人信息”。重要数据是直接影响国家安全、经济安全、社会稳定等方面的数据,其中就包括重要数据的个人信息。作为重要数据的个人信息包括敏感个人信息,但并不完全等同于后者。敏感个人信息与非敏感个人信息主要着眼于个人信息内容对自然人人格尊严等方面产生影响程度所作的分类;重要数据主要并不是着眼于数据对自然人个体的影响程度,而是着眼于数据对国家安全和社会公共利益的影响程度。因此,对于此两类主体只能采取“安全评估”方式。其次,体现了个人信息合理流动的理念。信息在流动、使用中才能产生价值,个人信息亦不例外。从现有个人信息境外提供的法定条件设置来看,其体现了鼓励个人信息合理使用和流动的理念,除了两类特殊信息处理主体之外,并没有为个人信息跨境流动设置过高的门槛,且仅需要选择性满足其中一项即可。再次,援引性色彩较浓。该条在创设个人信息跨境提供的法定条件时,都采取了援引性规定的立法模式,其仅要求“安全评估”“第三方评估”“标准合同”等,其各自具体标准则有待其他相关法律或标准予以具体明确,这就为不同行业、不同部分在各自领域探索个人信息跨境提供的具体标准和细则提供了探索空间。我国个人信息跨境提供规则虽然已建立了初步的分类处理机制,但其标准相对单一,且主要依据个人信息处理者的具体类型,而并非着眼于个人信息自身分级分类基础之上。这就可能导致对普通信息处理主体处理的敏感个人信息跨境提供条件过于宽松。前者可能不利于个人信息的跨境合理流动,而后者可能不利个人信息保护。上述困境的根源就在于个人信息跨境类型化处理的分类基点不尽科学。在个人信息跨境流动上,需要考虑建立多元化分类机制,并以此为基础建立不同的跨境提供适用条件,比如“特定主体+敏感个人信息”的分类标准。对于前述两类特定主体,他们处理的个人信息直接影响到国家安全与社会稳定,故其开展的个人信息跨境提供应经“安全评估”并取得批准。对于敏感个人信息,由于此类个人信息与个人私生活紧密相关,侵犯或干预后产生的消极后果较为严重,需要国家给予更为周延的保护,故对此类个人信息也应纳入行政审批范围之内。另外,在个人信息跨境提供的实践探索中,也考虑引入其他标准的分类处理机制,比如地域标准,可以尝试在上海、海南等自由贸易试验区内对一般个人信息的跨境提供设置更为宽松的条件。
三、个人信息跨境提供的“知情—同意”
在个人信息跨境提供中也应遵守“知情—同意”规则,这在《个人信息保护法》第三十九条中予以明确要求。个人信息是自然人人格利益的重要体现和载体,在未取得自然人同意的情况下原则上不得随意处理其个人信息,这就要求在个人信息处理中遵循“知情—同意”规则,在个人信息跨境提供中亦不例外。相比于对个人信息的一般处理行为,个人信息跨境提供行为对自然人权益的影响更大,因为此种处理行为会带来监管场域、保护方式、法律适用等方面的变化,由此将带来自然人对其个人信息控制弱化和权益保护难度提升的不利后果。为了确保自然人个人信息权益不因跨境流动而减损,就有必要对“知情—同意”规则设置更为严厉的标准,这主要体现在以下三方面。第一,告知内容扩大化。个人信息处理者向境外提供个人信息时,应当向信息主体履行告知义务以保障其知情权。有效告知是理性选择的前提,若缺乏对个人信息处理相关的全面告知,自然人所作选择仅是一种盲目化、形式化的选择。在就个人信息境外提供事项征得自然人同意之前,也需要就个人信息跨境流动事项向自然人履行告知义务。告知的具体内容包括境外接收方名称或姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。这可以更好地保障自然人在个人信息跨境提供中行使查询复制权、更正补充权、删除权等权利。《个人信息保护法》第三十九条对告知内容的规定采取了“列举+兜底”方式,其中的“等”应理解为“等外等”,即列举未尽之义,既包括对所列之事项的告知,也包括对其他没有列出但涉及个人信息境外提供中权利保障或救济的事项。与《个人信息保护法》第十七条中的告知义务相比,个人信息跨境提供中的告知义务内容要更多。除了需要个人信息处理者自身的名称或者姓名和联系方式等事项之外,个人信息处理者还需要告知境外接收方的名称或者姓名、联系方式等事项。告知内容扩大化,将更有利于保障个人知情权,也将有助于自然人行使其各项个人信息权利及发生个人信息安全事件后的有效维权。第二,同意方式法定化。个人信息处理者向境外提供个人信息时,须征得个人“单独同意”,即个人信息处理者应当采取“一对一”方式取得个人同意。单独同意更容易引起自然人警惕和重视,可以强化其个人信息保护意识,让其在作出是否“同意”的选择时更加谨慎、理性。“单独同意”制度是我国《个人信息保护法》的首创制度,其在国外并没有完全相同的制度,其强调获得同意的明确性、充分保障个人知情权和程序权。从与其他告知事项的关系上看,“单独同意”意味着不能仅仅通过个人信息保护或隐私政策等中设置或蕴含的境外流动款项方式来予以告知,因为个人基于此种概括性或综合性告知而作出的同意表示,其个人信息境外提供的同意将丧失独立性,此种同意将依附于对其他处理事项内容的同意。这与《个人信息保护法》第十四条规定的“同意”规则不同,后者原则上并不限于单独同意。当然,信息主体的“单独同意”也应遵循知情、自愿、明确等要求,沉默或者概括性同意均不能构成有效的单独同意。对于“单独同意”的表示形式并未作出具体要求,既可以采取书面同意,也可以口头同意或电子化同意。在实践中一般采取“单独弹窗”“单独协议”方式告知,个人可以通过在线勾选、点击确认等方式表示同意。单独同意虽然有利于保障个人信息自决权,但也会加重个人信息处理者的义务和负担,可能会增加个人信息跨境提供的难度和成本。在个人信息跨境提供规则中,立法者通过“告知内容扩大化”和“同意方式法定化”来加强对自然人个人信息权益的保护,但这也可能导致告知内容冗长复杂,个人可能要花费很大的时间和精力来对其个人信息跨境流动事项作出十余项甚至数十项选择,此时同意权可能演变为其不胜其扰的选择负担,由此其实践运行可能会背离立法者初衷。第三,合法性基础的单一化。信息处理者向境外提供个人信息,其仅能依据个人“知情—同意”来取得合法性基础。《个人信息保护法》第十三条规定了个人信息境内处理行为的多元化合法性基础,而个人信息跨境提供行为的合法性基础则相对单一,其只能基于“知情—同意”规则获得合法性基础。此种单一合法性基础体现了我国立法者对个人信息跨境流动采取了更为审慎的态度,有利于更加充分地保障个人的信息自决权,但也存在较多弊端:其一,可能无法有效应对紧急情况的个人信息跨境提供。比如对于跨国公司内部雇员个人信息的跨境提供和管理,若都要求征得自然人同意,不仅会加大企业内部管理和运营成本,也会给员工本人带来较多麻烦;又比如因疫情防控或公共卫生等原因,需要紧急向境外提供相关人员的个人信息。个人信息跨境提供合法性基础的设置,本身就涉及人权保障和信息自由的冲突平衡,在利益平衡背后需要兼顾多元价值需求,单方面追求个人信息自决权则可能阻碍某些极端情形下个人信息跨境需求的有效实现。其二,可能会遭遇他国在个人信息流动中的对等反制措施。个人信息跨境流动不仅涉及对个人信息权益保护,也会涉及贸易壁垒、外交政策、国际关系等重大问题,而在国际关系中应遵循平等互利的基本原则。我国《个人信息保护法》中个人信息跨境提供行为的合法性基础则相对单一,由此就导致个人信息跨境提供的条件严苛、门槛较高。当其他国家向我国输入其本国国民个人信息时就可能会采取对等原则,提高个人信息输出条件,这可能会让我国企业在国际贸易中处于竞争劣势。其三,单独同意可能会增加信息主体的负担。限制性更强的个人信息跨境提供规则,可能并不总会为信息主体带来更充分的保护,海量的告知可能会让信息主体不胜其烦。比如某些人已经在网络上公开的个人信息,其公开的目的可能是为了便于全球查阅,此时境外组织或个人通过浏览网页就可以获取,若对此类公开个人信息的境外提供仍然要求“知情—同意”,就可能有悖于其信息自决公开的初衷,也会给信息主体带来诸多不便。有学者主张以“信义规则”为基础,在个人信息跨境提供上确立“以企业满足客观保护要件为原则,以个人单独同意为例外”制度方案。该方案虽然注意到应建立个人信息跨境提供行为的多元化合法性基础,但却将“个人单独同意”作为合法性例外规则,可能存在本末倒置而导致对个人信息自决权保障不足的问题,也将导致个人信息跨境提供合法性基础规则与个人信息处理行为合法性基础规则之间的不协调。比较合理的解决方案,可能是需要以个人信息数据的分级分类为基础,结合个人信息跨境提供的具体事由和具体情景,尝试探索个人信息跨境提供行为的多元化合法性基础。在跨境提供行为的多元化合法性基础上仍然需要以“个人单独同意”为原则,而以其他合法性事由为例外,这样才能与境内个人信息处理行为合法性基础规则相协调。