随着数字经济的高速发展,信息技术对信息收集、搜索、整理、传递、总结的功能愈发强大,信息跨境流动所带来的经济价值和利益也成为提升国家综合实力的重要环节。个人信息出境在新经济发展形势下不可避免,同时也带来很多新的风险,因此,对个人信息出境进行监管势在必行。目前,我国对于个人信息出境监管尚未形成完善的法律体系,在对个人信息出境的监管过程中,也面临个人信息安全保护与国家经济、社会经济发展之间的冲突。如何平衡这种冲突,把握好监管的“度”是我国进行个人信息出境监管的关键点。本文就我国应采取怎样的个人信息出境监管路径,在具体分析我国监管存在的不足的基础上,以欧盟和美国相关监管机制为借鉴,结合我国实际发展需求,确定我国价值取向,并以此为基础从国内立法完善和国际机制参与两个方面提出改进建议。本文共分为四个部分。第一部分对个人信息出境进行概述。在对个人信息出境相关概念进行解释说明的基础上,分析个人信息出境的风险,以此明确对个人信息出境进行监管的必要性。首先对个人信息的定义进行说明,比较各国对本文所论述的“个人信息”的定义,指出虽然用语不同,但其本质都是指“能够识别出个人身份的信息”,采取“可识别说”;1并通过对不同称谓的分析得出我国采用“个人信息”一词的合理性;在大数据时代下,个人信息已经突破传统意义上与隐私权等紧密相连的范畴,其蕴含的经济价值利益使其兼具人格权属性和财产权属性,2不能将个人信息权单纯地归类为人格权或财产权。其次,通过梳理我国国家标准草案中对于“个人信息出境”的界定,说明我国对其界定倾向于“由网络运营者向境外提供在境内产生和收集的个人信息”的模式,强调“主动提供”、“信息在境内产生和被收集”的特征。最后,对个人信息出境风险的成因进行说明,并从信息出境前、出境过程中、信息出境后三个阶段阐明个人信息在出境时,其安全更易遭受挑战,引发的后果也更加严重。第二部分对我国现有的个人信息出境监管机制进行考察,总结出我国个人信息出境监管机制正在逐步建立中,但仍存在较大的不足,表现在:在国内层面上,主要存在个人信息保护专门立法缺失、个人信息出境安全评估制度设计单一、未对境外接收者有实际约束力等方面的不足,在国际层面上则存在国际合作机制参与度不高的短板。首先,通过梳理我国个人信息出境相关的现有立法,总结出其立法总体呈分散状态,没有统一明确的个人信息保护基础性法律作为个人信息出境监管的法律支撑,且已有法律法规多为原则性规定,有关个人信息出境具体实施的关键性文件也均处于征求意见阶段,实践可操作性较低。其次,以我国发布的个人信息出境安全评估办法的征求意见稿为基础,分析我国安全评估监管制度设计的重点,并将其与以往征求意见稿进行对比,总结新版本在信息境内储存要求、评估主管部门、信息主体同意、出境双方合同为重点评估对象等方面的变化,肯定其积极意义的同时分析其不足。最后立足国际视野,总结出我国有关个人信息出境在国际方面的参与实践尚未真正有效展开,后续需提高参与度,加强国际交流与合作。第三部分对世界上两大主要个人信息跨境流动规制体系3——欧盟和美国的规制路径,从立法历史、具体内容、国际层面的实践等方面进行梳理,分析欧盟以信息安全为重、而美国以信息自由带来的价值为重的两种截然不同的规制偏向背后的原因——其本质都是为了适应本国/本区域内发展的需求,维护其自身利益。欧美相关法律规定、以及双方签订的双边协议的变化发展所呈现出的二者规制路径的融合也体现了这点。第四部分尝试在第三部分关于欧美个人信息跨境流动规制路径分析的基础上,探寻我国在个人信息出境安全保护与发展价值之间的平衡点,并据此对我国个人信息出境监管的不足提出改进建议。首先从欧美监管路径选择的本质原因出发,提出应结合我国国情,明确我国在个人信息出境的安全与促进发展之间的价值抉择。该部分从我国互联网产业发展等方面,分析得出我国与欧盟内外部环境的不同,即我国无需对外来产业的信息资源掠夺太过担忧,因此也就不必以严格的信息出境限制作为防护措施;同时,出于个人信息出境本身存在风险以及参与国际合作机制需求的考虑,我国仍应提高个人信息保护水平。其次,从坚持推进我国《个人信息保护法》立法、完善我国个人信息出境安全评估制度两个方面对我国个人信息出境法律体系的构建提出建议。最后从国际监管机制层面,综合考量我国国内个人信息保护水平现状及我国在国际上已有的实践和影响力,指出我国参与国际合作机制的方向。