个人信息跨境规制相关问题已引起广泛关注及讨论，但对于如何判定具体数据处理行为是否构成个人信息跨境流动仍未形成明确共识。这是因为，立法者对个人信息跨境流动活动存在多元且动态变化的价值诉求，造成了在面临诸如技术发展、业务模式迭代等外在因素时，个人信息跨境流动活动无法被清晰识别的困境。在此背景下，不宜寻找一劳永逸的界定方案，而应基于“场景—风险”的视角，建立一种动态判定框架，根据具体场景下的跨境流动处理活动可能造成的风险，判断该场景是否属于法定意义上的个人信息跨境流动。

• 单位
  厦门大学