１.个人信息处理者因业务等需要，确需向我国境外提供个人信息的，应当具备下列条件之一：

（１）依照《个人信息保护法》第４０条的规定通过国家网信部门组织的安全评估；

（２）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（３）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（４）法律、行政法规或者国家网信部门规定的其他条件。

２.我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的，可以按照其规定执行。

３.个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。

１.个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项；

２.并取得个人的单独同意。

１.个人信息境内存储：应当将在我国境内收集和产生的个人信息存储在境内两种情形——

（１）关键信息基础设施运营者；

（２）处理个人信息达到国家网信部门规定数量的个人信息处理者。

２.信息出境安全评估：

（１）确需向境外提供的，应当通过国家网信部门组织的安全评估；

（２）法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

１.中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。

２.非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供^{存储于中华人民共和国境内的个人信息} 。

【解读】我国处理境外有关请求依据有三：（１）我国有关法律；（２）我国缔结或者参加的国际条约、协定；（３）平等互惠原则。

境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的：

１.国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告；

（１）限制清单；

（２）禁止清单。

【解读】个人信息提供黑名单制度的执法部门是网信部门。

２.并采取限制或者禁止向其提供个人信息等措施。

任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

《个人信息保护法》

　　第三十八条【向境外提供个人信息的条件】个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

　　（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

　　（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

　　（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

　　个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

　　第三十九条【向境外提供个人信息的告知与同意】个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

　　第四十条【个人信息的境内存储与信息出境的安全评估】关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

　　第四十一条【境外司法或执法机构获取个人信息的处理和批准】中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

　　第四十二条【个人信息提供黑名单制度】境外的组织、个人从事侵害中华人民共和国公民的个人信息权益，或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的，国家网信部门可以将其列入限制或者禁止个人信息提供清单，予以公告，并采取限制或者禁止向其提供个人信息等措施。

　　第四十三条【对等原则】任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

《网络安全法》

　　第三十七条【关键信息基础设施数据的境内存储和对外提供】关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

　　第四十一条【个人信息收集使用规则】网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

　　网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

　　第四十二条【网络运营者的个人信息保护义务】网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

　　网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

《数据安全法》

　　第二十六条【明确数据领域对等反歧视措施】任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

　　第三十一条【重要数据出境规则】关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

　　第三十六条【外国司法或执法机构关于提供数据请求的处理规则】中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

《出口管制法》

　　第四十八条　任何国家或者地区滥用出口管制措施危害中华人民共和国国家安全和利益的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。

·佳电（上海）管理有限公司与亚士创能科技（上海）股份有限公司买卖合同纠纷一审民事判决书

【案号】上海市长宁区人民法院民事判决书(2018)沪0105民初9351号

【裁判摘要】关于被告提出的原告服务器设立在国外，存在违法行为的抗辩，本院认为，被告该抗辩意见并非本案的审理范围，若原告该行为确系违法行为，被告可向相关部门控告或另案起诉主张相关权利，本院在本案中不予处理。