摘要: 《个人信息保护法》第36条的基本目标是平衡个人信息流动和安全,整体定位等同于第40条,因为国家机关属于关键信息基础设施的运营者。"国家机关"指军事机关以外的党政机关及法律、法规、规章授权的公共管理或服务组织。"个人信息"指在中国内地收集和产生的、未经当事人自行公开或合法公开的个人信息。"境内存储"指个人信息存储介质位于中国内地且其上的个人信息不被境外主体以非公开方式读取。"向境外提供"指个人信息存储介质出境或境内介质存储的个人信息被境外主体以非公开方式读取。国家机关处理的个人信息出境,包括物理载体出境、国际合作出境和安全评估出境,安全评估由国家机关在网信部门支持下自行开展。此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。
关键词: 个人信息保护法;国家机关;境内存储;跨境流动;安全评估
一、问题的提出
2021年11月1日生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”这在中国法上首次确立了国家机关处理的个人信息跨境流动制度。事实上,我国很早就开始关注此问题。2012年国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》就曾指出“为政府机关提供服务的数据中心、云计算服务平台等要设在境内”。2016年通过的《网络安全法》第31条更是将“公共服务”“电子政务”纳入关键信息基础设施领域,第37条明确“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”在此背景下,《个人信息保护法》第36条针对国家机关处理的个人信息设置了境内存储为原则、安全评估后出境为例外的框架。然而,遗憾的是,个人信息保护相关文献虽早已汗牛充栋,但既有研究或探讨中国的数据跨境流动的宏观模式,[i]或聚焦于非国家机关主体处理的个人信息跨境流动,[ii]或解读《网络安全法》第37条及《个人信息保护法》第三章“个人信息跨境提供的规则”,[iii]却极少论及国家机关处理的个人信息跨境,[iv]对《个人信息保护法》第36条的专题分析更是付之阙如。本文试图填补此空白,以《个人信息保护法》第36条为切入点,从基本目标、整体定位、境内存储义务和跨境提供规则四个方面,初步勾勒我国国家机关处理的个人信息跨境流动制度。
二、国家机关处理的个人信息跨境流动制度之基本目标
时至今日,信息网络早已打破国与国的边界,数据穿越国境成为常态。所谓“数据跨境流动”(trans-border data flow),意指“在一国内生成的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工”。[v]数据跨境流动制度可理解为“一国政府针对数据跨越边境的传输、处理活动所采取的基本立场以及配套管理措施的集合”。[vi]作为数据跨境流动的子概念,“个人信息跨境流动”(trans-border flow of personal information)是指“一国境内的个人信息流出境内,为他国的公权力机关或者民事主体所读取、收集、存储、加工、使用等”。[vii]一国对此的基本立场和配套管理措施就是其个人信息跨境流动制度。[viii]根据《个人信息保护法》第36条,国家机关处理的个人信息跨境流动制度“以本地存储为原则,以安全评估出境为例外”。[ix]如此安排究竟基于何种考虑?意欲达到何种目标?要回答这些问题,须将我国立法置于全球视野下考察。
自1980年经合组织(oecd)发布《隐私保护和个人数据跨境流动指南》以来,全球各国或地区纷纷建立个人数据跨境制度。整体上,该制度包含两种极易混淆的手段——数据本地化(data localization)和数据出境管控(control of trans-border data flow)。前者指本地化存储数据,但不一定彻底禁止数据出境;后者指对数据出境施加限制条件,但不一定要求数据本地化存储。[x]一个国家完全可以既要求个人信息本地化存储,同时又附条件地允许个人信息出境;反之,也可以不要求个人信息本地化存储,但对自愿存储在境内的个人信息出境予以限制。这两种手段以不同方式组合,就会产生不同的个人信息跨境制度。
首先,关于本地化,有学者将各国实践归纳为三种模式。(1)无本地化模式,即不要求个人信息本地存储,只规定个人信息出境管制,典型如欧盟《通用数据保护条例》(以下简称“gdpr”)。(2)弱本地化模式,即要求特定个人信息本地存储,如澳大利亚2012年《我的健康记录法》禁止将个人健康信息转移至境外,又如印度2019年《个人数据保护法》要求关键个人信息本地化。(3)强本地化模式,即要求所有个人信息本地化存储,典型如俄罗斯2014年修订的《个人信息保护法》要求数据控制者在处理公民个人信息时必须使用境内的数据库。[xi]
其次,关于出境管控,有学者曾总结了三种模式,[xii]2018年生效的gdpr增加了两种,共五种模式。(1)接收国适当性评估模式,即只有当数据接收国具有同数据出境国实质同等的个人信息保护水平时,个人信息方可出境,典型如欧盟1995年《数据保护指令》第25条规定:若欧盟范围以外的其他国家能够对欧盟公民的个人数据提供非常充分的保护,满足欧盟以及欧盟成员国的法律法规,则欧盟公民个人数据可以从欧盟境内转移到欧盟境外。gdpr第45条延续此传统,要求只有当数据接收国对个人数据提供充分保护时方可让个人数据出境,并将数据接收国的法治程度、人权保障水平等作为评估因素。(2)数据控制者担保模式,即在数据控制者自身能确保个人数据安全时允许数据出境。尽管美国联邦层面未就个人信息跨境进行统一立法,但根据其主导构建的apec “跨境隐私规则体系”(cbpr)可以发现,美国在原则上允许个人数据跨境的前提下,要求数据控制者确保个人数据跨境传输的安全。[xiii](3)数据主体同意模式,即在取得数据主体同意的情况下允许个人数据出境。典型如日本《个人数据保护法》第23条规定“个人数据控制者事先未获得数据主体的同意的,不得将其个人数据向第三者提供”,“第三者”可位于境外。gdpr第49条第1款a项也规定:当数据主体被告知其个人数据出境所包含的可能风险后仍明确表示同意时,允许个人数据出境。(4)数据跨境机制合规模式,即按照事先给定、官方认可的框架性机制跨境传输个人信息。典型的如gdpr第46条规定的“充分保障措施”(appropriate safeguards),包括“标准合同文本”(scc)和“有约束力的公司规则”(bcr)。[xiv](5)公益或私益例外模式,即在保护公共利益或重大私人利益所必需时允许个人数据出境。典型的如gdpr第49条第1款除a项外的其他内容,其规定当数据跨境为数据主体与数据控制者之间履行合同、重要公共利益目的、建构、行使或辩护法律上之请求、保护无法表示同意的数据主体之重要利益等所必需时,允许个人信息出境。综上,各国个人信息跨境制度的不同形态可如下图所示:
在此视野下,《个人信息保护法》第36条所建立的国家机关处理的个人信息跨境流动制度既沿袭国际经验,也富有本土特色。数据本地化方面,我国选择了特定个人信息本地化模式,要求国家机关处理的个人信息境内存储,一般个人信息处理者则无此要求;数据出境管控方面,我国并未效仿欧美国家的接收国适当性评估、数据控制者担保、数据跨境机制合规等做法,而是针对国家机关处理的个人信息出境设置一事一议的安全评估机制。如此安排体现了数据安全保障和数据自由流动两者之间的审慎平衡。一方面,个人信息不仅微观上与公民人格尊严紧密联系,[xv]宏观上也与国家安全息息相关,[xvi]国家机关处理的个人信息更是具有重大安全价值。典型如国家安全机关掌握的涉密人员个人信息,一旦向境外泄露将对国家安全利益造成巨大损害;即便是非涉密人员的个人信息,被境外组织获取后也会造成政治安全风险,“剑桥分析”事件殷鉴不远。[xvii]更重要的是,相较于非国家机关主体,国家机关处理的个人信息在数量、规模、颗粒度方面有整体优势,例如,任何一家企业掌握的公民个人金融信息都无法与央行相比。因此,早在2011年,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条就指出:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。”《个人信息保护法》第36条则对所有国家机关课以个人信息境内存储义务。较之数据出境管控,数据本地化确实对数据自由流动限制更大,但能更有效地实现属地管辖,维护国家安全。另一方面,基于国际间政府交流、跨国执法协作、知识分享和技术转移等现实情境,国家机关处理的个人信息并非“铁桶阵”,而是有跨境流动的正当需求,尽管这种需求可能不如企业旺盛。有鉴于此,《个人信息保护法》第36条从两方面确立了出境通路:一是出境的前提,即“确需向境外提供”,意指个人信息出境是唯一能实现国家机关特定目标的手段;二是出境的方式,即“应当进行安全评估”,意指唯有通过评估方可出境。事实上,光有数据本地化并不能确保数据安全,因为只要服务器接入互联网,即便置于境内,数据仍可出境。[xviii]所以,安全评估机制同时体现了数据自由流动和安全保障两种价值。实现两者平衡,正是《个人信息保护法》第36条的基本目标。
三、国家机关处理的个人信息跨境流动制度之整体定位
《个人信息保护法》针对三类主体设定了个人信息跨境流动制度,分别为第36条的国家机关,第38条的一般个人信息处理者以及第40条的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。其中,第40条与第36条高度类似,均规定“以本地存储为原则,以安全评估出境为例外”。由此而来的问题是:国家机关和关键信息基础设施运营者对应的两套个人信息跨境制度究竟是何关系?[xix]这决定了国家机关处理的个人信息跨境流动制度在《个人信息保护法》设立的多套数据跨境制度中的整体定位。有学者提出“参照说”,主张“国家机关收集的个人信息在数量和质量上都优于信息业者,并且可能关涉国家和社会公共利益”,故第36条是在“参照《网络安全法》对关键信息基础设施收集和生成的个人信息进行保护”。[xx]本文提出“等同说”,认为两套制度没有本质区别,理由是国家机关应被视为关键信息基础设施运营者。
首先须澄清的是:何谓“国家机关”?《个人信息保护法》第二章第三节涵盖两类主体:“国家机关”和“准国家机关”,后者指第37条所称的“法律、法规授权的具有管理公共事务职能的组织”。关于“国家机关”,《个人信息保护法》没有明确定义,但可比照先前立法来解释。《民法典》和《刑法》上,“国家机关”是指“国家为实现其政治统治职能和管理职能而设立的国家机构的总称”,包括立法、行政、军事、监察、审判、检察机关,也包括党的各级机关、人民政协、民主党派机关。[xxi]鉴于《网络安全法》第78条和《数据安全法》第54条的排除规定,[xxii]《个人信息保护法》上的“国家机关”亦应排除军事机关。关于“准国家机关”,《个人信息保护法》第37条有两点值得说明。其一,规章授权的具有管理公共事务职能的组织也应纳入其中,理由有二。一是2014年修订的《行政诉讼法》第2条已将此类组织列为适格被告,其与行政机关具有相同的行政主体身份;二是现实中,此类组织承担着重要的公共职能,例如,车辆管理所由《机动车登记规定》《机动车驾驶证申领和使用规定》两部规章授权负责车辆管理,其在履职过程中会处理大量个人信息,理应承担与国家机关相同的个人信息保护法律义务。其二,提供公共服务的授权组织也应视为“准国家机关”,因为提供公共服务同样属于“管理公共事务”,后者本质上也是一种公共服务。例如,根据《基本医疗卫生与健康促进法》第18条、第35条,公立医疗机构的职能在于“提供基本公共卫生服务”,其中包括“传染病、慢性非传染性疾病、职业病、地方病等疾病预防控制”,后者必然涉及疾控应急等公共管理职能。综上,《个人信息保护法》上的国家机关涵盖军事机关以外的所有党政机关以及法律、法规、规章授权的管理公共事务或提供公共服务的组织。
接下来的问题是:何谓“关键信息基础设施”?中国法上,其首见于《网络安全法》第31条:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”《关键信息基础设施安全保护条例》第2条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”如何理解这两个条文对“关键信息基础设施”的界定?
仔细对比可发现二者有同有异。相同点在于都采用“列举 兜底”的结构,先列举重要行业和领域,再以核心特征来兜底,前后通过“以及其他”相关联。据此,关键信息基础设施的本质为“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,而“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”在立法上被视为符合这一核心特征。[xxiii]不同点在于《网络安全法》第31条的表述为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施”,给人一种这些行业和领域的信息基础设施都是关键信息基础设施的印象。但这是一种误读,《关键信息基础设施安全保护条例》第2条澄清表述为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统”。申言之,上述重要行业和领域中,并非所有信息基础设施天然就是关键信息基础设施,只有那些“重要”的信息基础设施才是关键信息基础设施。2019年4月,国家信息安全标准化委员会起草了《信息安全技术基于信息流的关键信息基础设施边界确定方法(征求意见稿)》,将“关键信息基础设施边界”定义为“确定关键信息基础设施元素的分界线,用于将关键信息基础设施元素同其他信息基础设施区分开来,以明确关键信息基础设施保护对象和保护范围”,并指出识别边界的核心在于“将保障关键业务持续稳定、持续运行必不可少的网络设施、信息系统同关键信息基础设施运营者一般的信息基础设施区分开来”。[xxiv]2020年8月国家信息安全标准化委员会发布的《信息安全技术关键信息基础设施边界确定方法(征求意见稿)》明确指出:“关键信息基础设施的重要性不是指组成关键信息基础设施的网络设施、信息系统很重要,而是因为关键信息基础设施所支撑的关键业务非常重要”,“在关键信息基础设施运营者所有网络设施、信息系统中,有些网络设施、信息系统对关键业务的持续、稳定运行是至关重要的,有些网络设施、信息系统仅仅是比较重要的,甚至有一些网络设施、信息系统对关键业务是无关紧要的,因此,开展关键信息基础设施边界识别应聚焦一旦遭到破坏、丧失功能或者发生数据泄露,会严重危害关键业务持续、稳定运行的网络设施、信息系统,严格控制范围。”简言之,关键信息基础设施一定由关键信息基础设施运营者来运营,而关键信息基础设施运营者运营的不一定都是关键信息基础设施。[xxv]
基于上述分析,尽管中国法尚无明文规定,但基于如下五点理由,应把国家机关视为关键信息基础设施运营者。
第一,从立法背景来看,2017年7月公布的《关键信息基础设施安全保护条例(征求意见稿)》第18条曾明确把政府机关、公用事业单位和广播电台、电视台、通讯社等新闻单位列为关键信息基础设施运营者。
第二,从法律衔接来看,《数据安全法》第37条规定“国家大力推进电子政务建设”,第39条明确“国家机关应当依照法律、行政法规的规定,保障政务数据安全”,第40条指出“国家机关委托他人建设、维护电子政务系统,应当监督受托方履行相应的数据安全保护义务”。据此,国家机关处理的数据统称政务数据,所依托的电子设施和系统统称电子政务系统。这意味着国家机关属于《网络安全法》第31条和《关键信息基础设施安全保护条例》第2条所称的“电子政务行业和领域”。《个人信息保护法》上的“准国家机关”则可归入这两个条文中的“公共服务行业和领域”。
第三,从域外渊源来看,我国的关键信息基础设施概念主要受到美国法影响。[xxvi]美国2011年《爱国者法》第1016(e)条将“关键基础设施”界定为“任何物质或虚拟的系统和资产,对美国至关重要,其失效或破坏会对国家安全、经济安全、公共卫生安全中的一种或几种产生破坏性影响”。2013年,美国发布13636号总统行政令《改进关键基础设施网络安全》和第21号总统政策指示《关键基础设施安全和韧性》(ppd-21),将关键基础设施确定为十六类:化学制品、商业设施、通信、关键制造业、大坝、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、公共健康和医疗、信息技术、核反应堆及核材料与废弃物、运输、水和废水处理系统。[xxvii]其中,“政府设施”(government facilities)涉及“由联邦政府拥有或运营的超过900000个设施以及56个州和海外领地、3031个郡、85973个地方政府和566个联邦承认的部落政府拥有或经营的设施”,包括“位于这些政府设施中或支撑其运行的网络系统和设备”。[xxviii]
第四,从实践需求来看,若将国家机关和关键信息基础设施运营者分视为两种主体,就可能导致国家机关规避《网络安全法》《数据安全法》和《个人信息保护法》针对关键信息基础设施运营者设计的一系列强化安保义务。例如根据《网络安全法》第33条,建设关键信息基础设施应当保证安全技术措施同步规划、建设和使用。“三同步”的具体要求包括:一是项目设计单位在编制项目设计文件时就要编制安全技术措施的设计文件;二是在编制项目投资计划时就要将安全技术措施所需经费纳入预算;三是施工单位应严格按照安全技术措施设计施工;四是项目验收时要对安全技术措施进行调试、验收;五是安全技术措施应与主体工程同时投入使用。[xxix]早在2007年,国家发改委出台的《国家电子政务工程建设项目管理暂行办法》就已对电子政务项目提出相同要求。一方面,该办法明确电子政务工程建设项目建议书、可行性研究报告、初步设计方案和投资概算均应包含“安全系统建设”;另一方面,该办法第31条要求“项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作”,包括验收建设项目确定的安全设施已按设计建成且运行合格。这表明电子政务项目在规划、建设、运行阶段都应同步使用安全技术措施。2012年国家安全生产监督管理总局办公厅《关于进一步加强安全监管监察国家电子政务网络建设和应用工作的通知》也明确要求“新建、续建电子政务工程建设项目的,要切实做到与安全等级保护措施同步设计、同步施工并报有关部门备案”。据此,国家机关应该而且实际已经承担与关键信息基础设施运营者相同的安保义务,两者在法律上当一视同仁。否则,国家机关就可以不属于关键信息基础运营者为由,拒绝承担相关安保义务,这不利于有效落实《数据安全法》第39条规定的“国家机关应当建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全”。
第五,从权威定义来看,2016年国家网信办发布的《国家网络空间安全战略》将关键信息基础设施界定为“关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统等”。这就明确把国家机关和公用事业单位纳入关键信息基础设施运营者的范畴。同年,国家网信办网络安全协调局发布《国家网络安全检查操作指南》,将关键信息基础设施分为网站、平台和生产业务三类,其中网站类包括党政机关网站(县级(含)以上)、企事业单位网站,生产业务类包括地市级以上政府机关面向公众服务的信息系统,以及与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的公共服务信息系统。
综上,在网络安全、数据安全和个人信息保护领域,国家机关应当被视为关键信息基础设施运营者。正是在此基础上,《个人信息保护法》第36条和第40条对两者规定了高度一致的数据出境机制。《个人信息保护法》草案一审稿第37条、二审稿第36条曾规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行风险评估。风险评估可以要求有关部门提供支持与协助。”《个人信息保护法》草案一审稿第54条、二审稿第55条曾规定“个人信息处理者向境外提供个人信息应当在事前进行风险评估”。《个人信息保护法》第36条将前者的“风险评估”改为“安全评估”,第55条将后者的“风险评估”改为“个人信息保护影响评估”。这些修改表明:《个人信息保护法》草案原本对国家机关规定了和一般个人信息处理者相同的个人信息出境风险评估义务,但终稿放弃这一做法,转而对国家机关规定与关键信息基础设施运营者相同的个人信息出境安全评估机制[xxx],以区别于一般个人信息处理者的个人信息保护影响评估义务。诚然,从字面上看,《个人信息保护法》第36条和第40条规定的个人信息跨境规则不完全一致,前者为“确需向境外提供的,应当进行安全评估”,后者为“确需向境外提供的,应当通过国家网信部门组织的安全评估”。但二者指向“相同性质的评估”,其“主要内容就是要评估向境外提供个人信息是否符合我国法律、法规和政策的规定;这些个人信息是否属于敏感个人信息或者属于重要数据;是否会被接收方用来侵害我国境内个人的合法权益,危害我国主权和国家安全;接收个人信息的一方是否有相应的措施保障个人信息的安全,以免个人信息被他人窃取、泄露以及非法利用等”。[xxxi]之所以第36条和第40条表述有差异,是因为国家机关和其他关键信息基础设施运营者安全评估的具体操作不完全相同,对此,下文将做详细论述。
四、国家机关处理的个人信息之境内存储义务
(一)哪些个人信息应境内存储
从字面上看,《个人信息保护法》第36条似乎要求国家机关处理的任何个人信息原则上都在境内存储,而第40条仅要求“将在中华人民共和国境内收集和产生的个人信息存储在境内”。然而,基于以下三点理由,两个条文所指的个人信息范围没有区别。
首先,从法律衔接的角度看,其他相关规范均明确规定只有在我国境内收集和产生的个人信息才面临跨境管控。例如《网络安全法》第37条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。《数据安全法》第30条重复此表述。2021年10月29日公布的《数据出境安全评估办法(征求意见稿)》第2条也规定:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。”其次,从官方立场的角度看,我国已明确表示不强制要求本国企业将境外产生、获取的数据存储在境内。2020年9月,外交部部长王毅提出《全球数据安全倡议》,呼吁各国不得强制本国企业将境外产生、获取的数据存储在境内。[xxxii]这体现了我国对跨国企业经营自主权和他国属地管辖权的尊重。若将《个人信息保护法》第36条解读为要求我国国家机关将境外收集和产生的信息也本地化存储,有悖于上述立场。最后,从实际操作的角度看,在境外收集和产生的个人信息只是经我国中转,我国国家机关未做任何变动或加工处理的情形下,要求境内存储不仅没有实际意义,反而会使我国成为“数据跨境黑洞”。因此,《个人信息保护法》第36条中的个人信息应与第40条作相同理解,即国家机关处理的在我国境内收集和产生的个人信息才需要境内存储。
进一步的问题是:是否所有境内收集和产生的个人信息都应境内存储?答案是否定的。从比较法经验看,《apec隐私框架》第11条将“公开可获得信息”(publicly available information)界定为“个人有意主动或允许公开的或者通过公开政府记录、新闻报道或法律要求公开的信息而合法获得或查阅的关于本人的信息”,并规定此类信息的收集和使用无须告知当事人,因为其对数据被处理已有心理预期。[xxxiii]同理,已自愿或合法公开的个人信息,本就能为境外主体阅读,[xxxiv]信息主体对此也有合理预期,要求国家机关将此类信息本地化存储或者向境外提供之前须进行安全评估,未免多此一举。[xxxv]
综上,《个人信息保护法》第36条所称的“国家机关处理的个人信息”是指“国家机关处理的在中华人民共和国境内收集和产生的、未经当事人自行公开或者合法公开的个人信息”。[xxxvi]
(二)如何境内存储
何谓“境内存储”?有学者解释为“个人信息的物理存储设备,无论是用来存储个人信息的硬盘,还是云存储服务所对应的远端存储设备,均应当设置在中华人民共和国境内,而不得设置在境外”。[xxxvii]此解释的问题是:即便个人信息的物理存储设备位于境内,数据仍然可以出境,比如允许境外组织或个人通过网络远程读取位于境内的存储介质。因此,对《个人信息保护法》第36条“境内存储”更好的解释进路是先厘清什么是“向境外提供”或“数据出境”,再反推“境内存储”的含义。
何谓“数据出境”?我国对此曾有过三次官方解释。[xxxviii]第一次是2017年4月国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第17条的规定:“数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。”此规定明确了“数据出境”语境下“数据”的含义,但未能澄清“出境”的意涵,因为“提供给位于境外的机构、组织、个人”难以作为解释《个人信息保护法》第36条“向境外提供”的参考依据。第二次是2017年5月国家信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南(草案)》第3.6条将“数据出境”定义为“将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续性活动”,第3.8条将“提供”定义为“网络运营者主动向境外机构、组织或个人提供数据,或通过其他途径发布数据的行为,包括其用户使用网络运营者提供的产品或服务的功能,向境外机构、组织或个人提供数据的行为,网络运营者提供已经被依法公开披露的数据除外”。第三次是2017年8月国家信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南(征求意见稿)》第3.7条不仅给出数据出境的完整定义,即“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动”,而且对数据出境的具体情形做了正、反面说明。正面列举包括:(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;(2)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的;(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。反面排除包括:(1)非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境;(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境;(3)公开信息、网页被境外的机构、组织、个人访问查看的,不属于数据出境。据此,对《个人信息保护法》第36条中“个人信息向境外提供”应做如下理解:第一,物理空间意义上,个人信息存储介质位于我国境外;第二,虚拟空间意义上,位于我国境内的个人信息存储介质上的个人信息被境外主体读取,公开渠道读取的除外。之所以有此例外,是因为网络无国界,当国家机关公开个人信息,比如裁判文书网公开当事人姓名,境外组织和个人也能查阅。从事实意义上讲,个人信息此时的确出境了。但此类公开个人信息的行为,应由《政府信息公开条例》和《个人信息保护法》第25条、第55条来规范,不能与个人信息出境混同,否则会抹杀公开与出境两者之间的区别。
何谓“境外主体”?首先,关于境内和境外的区分标准,《个人信息保护法》本身并无界定,但中国法上一般将港澳台地区视为“境外”,因其不受我国司法体制管辖。例如,我国刑法上的“隐瞒境外存款罪”就涵盖国家工作人员在港澳台地区的存款。[xxxix]港澳台地区亦都有各自的个人信息保护法律体系,不宜作为“境内”处理。故“境外”指中国内地以外。其次,根据原《国家安全法实施细则》和现《反间谍法实施细则》第3条,国家安全语境下的“境外机构、组织”包括境外机构、组织在中华人民共和国境内设立的分支(代表)机构和分支组织,“境外个人”包括居住在中华人民共和国境内不具有中华人民共和国国籍的人。因此,某主体是否在物理上位于我国境外或在法律上是否受中国法管辖,并不决定其是否属于境外主体。一个美国人或美国公司的中国代表处在中国内地查阅位于中国内地的存储介质上的在中国内地收集和产生的个人信息,仍然属于个人信息出境。
由上述“数据出境”的定义可反推“境内存储”的含义:第一,物理空间意义上,个人信息存储介质位于我国内地;第二,虚拟空间意义上,位于我国内地的个人信息存储介质上的个人信息不被境外主体读取,公开渠道读取的除外。《个人信息保护法》第36条要求国家机关处理的个人信息原则上同时处于这两种状态。
五、国家机关处理的个人信息之跨境提供规则
(一)国家机关处理的个人信息出境的渠道
根据《个人信息保护法》第36条第二句,国家机关处理的个人信息出境应进行安全评估。但这并非唯一渠道,此外至少还有物理载体出境、国际合作出境两条通道。
首先,基于前文的界定,国家机关处理的个人信息出境可分为两类。第一,通过物理载体出境,包括掌握个人信息的国家机关工作人员和笔记、信函、硬盘、服务器等存储介质出境等。[xl]根据《个人信息保护法》第4条,个人信息不必然以电子方式记录,口耳相传或分享纸条、笔记、信件、存储设备等也可实现个人信息出境。第二,通过虚拟载体出境,包括网络、电话、电报、通信卫星等传输信息。后者可适用《个人信息保护法》第36条,前者则不适用——难以想象国家机关工作人员原则上要“境内存储”,只有先经过安全评估才能接待外宾或出境执行公务;存储介质虽可要求“境内存储”,但携带或寄递出境难以通过网信部门的安全评估来管控。因此,物理载体的数据出境管控只能另寻他径,传统上有两种方式。一是对人的管控,例如根据《保守国家秘密法》第30条、第37条,国家机关任用境外人员需要知悉国家秘密的,须经审批并签订保密协议,涉密人员出境受到限制;《公职人员政务处分法》第31条规定了违规出境者的法律责任。二是对物的管控,包括《保守国家秘密法》第25条禁止国家秘密介质未经批准出境和《出境入境边防检查条例》第29条规定对出境的涉密介质进行检查、收缴。但传统管控的问题在于个人信息不一定是国家秘密,《个人信息保护法》本身却未对通过物理载体的个人信息出境作出明确规定。为进一步夯实个人信息保护制度,建议尽快制定专门的管控规则。在此之前,人员管控可适用《出境入境边防检查条例》第15条,对掌握个人信息的人员出境会造成国家安全威胁的,边防检查站有权限制其活动范围,进行调查或者移送处理;物品管控可适用该条例第28条,将出境后会造成国家安全威胁的个人信息介质认定为“法律、行政法规规定的危害国家安全和社会秩序的违禁物品”予以禁运。同时,还应参照《保守国家秘密法》第15条规定的解密机制,对个人信息的物理载体出境设立脱敏程序。此种程序当然亦可称作“安全评估”,但不能混同于《个人信息保护法》第36条规定的安全评估。[xli]
其次,《个人信息保护法》第38条第2款规定:“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”截至2020年11月,我国已与81个国家缔结引渡条约、司法协助条约、资产返还与分享协定等共169项,与56个国家和地区签署金融情报交换合作协议。[xlii]根据这些国际条约、协定,我国相关国家机关有权向境外提供个人信息。例如根据2000年《中华人民共和国政府和美利坚合众国政府关于刑事司法协助的协定》,我国司法部向美方发出的司法协助请求可包括“关于任何被取证人员的姓名、性别、国籍、职业和所在地的资料”;又如根据2016年中澳签署的《关于反洗钱和反恐怖融资金融情报交流合作谅解备忘录》,我国央行直属事业单位中国反洗钱监测分析中心可向澳方提供涉嫌洗钱或恐怖活动的境内个人之信息。此类个人信息出境,无须按照《个人信息保护法》第36条进行安全评估。
综上所述,国家机关处理的个人信息出境目前有三条通道:物理载体出境、国际合作出境和安全评估出境。安全评估适用于通过虚拟载体的个人信息出境。当然,特定情形下,安全评估难以或不应适用。比如我国疫情防控部门向外国边检机关紧急通报即将进入外国的感染者或密接者的个人信息,若要求先展开安全评估,难免“贻误战机”。此类情形有待依据《个人信息保护法》第40条最后一句,由法律、行政法规或国家网信部门特别规定豁免安全评估。
需要说明的是,《个人信息保护法》第38条第1款第2-4项并不能作为国家机关处理的个人信息出境的通路,否则会使第40条关于关键信息基础设施运营者个人信息出境的特别规定失去意义。第40条最后一句“法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”,不能转介至第38条第1款第2-4项,否则将掏空《个人信息保护法》对于关键信息基础设施运营者(包括国家机关)个人信息出境所设置的更严格要求。同时,个人单独同意也不能作为国家机关处理的个人信息出境的通路。有学者基于《个人信息保护法》第39条主张:“我国个人信息处理者向境外提供个人信息的合法性基础有且仅有基于个人(单独)同意这一条,因为(《个人信息保护法》)第13条并不能直接适用于个人信息出境场景。”[xliii]这是一种误解,因为当事人单独同意是个人信息出境在特定情形下的必要条件,[xliv]而非充分条件。尽管gdpr第49条第1款a项规定“当数据主体被告知其个人数据出境所包含的可能风险后仍明确表示同意时,允许个人数据出境”,但《个人信息保护法》第38条并未把当事人单独同意列为个人信息出境的条件,原因在于个人信息出境同时涉及私益和公益,不能单凭个人处断。即便个人单独同意,个人信息出境也要通过安全评估。事实上,《个人信息和重要数据出境安全评估办法(征求意见稿)》第4条曾要求“个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意”,第11条甚至规定“未经信息主体同意个人信息不得出境”。这些规定后被《个人信息出境安全评估办法(征求意见稿)》和《数据出境安全评估办法(征求意见稿)》删去,明确体现了主管部门的态度。
(二)如何进行安全评估
根据《个人信息保护法》,国家机关具有三重身份,对应三类个人信息出境评估。一是根据第36条,国家机关在个人信息出境前应进行安全评估,并可要求有关部门提供支持与协助;二是根据第40条,作为关键信息基础设施运营者,国家机关在个人信息出境前应通过国家网信部门组织的安全评估;三是根据第55条,作为个人信息处理者,国家机关在个人信息出境前应进行个人信息保护影响评估。如前所言,第一、二类安全评估在内容上没有差别。那么,安全评估之外,国家机关处理的个人信息出境是否还应开展个人信息保护影响评估?安全评估又应如何具体操作?要回答这些问题,就须厘清个人信息出境安全评估和个人信息保护影响评估的含义与关系。
关于个人信息保护影响评估(personal information protection impact assessment),《个人信息保护法》第55条和第56条做出三点规定。其一,由个人信息处理者自行开展。其二,内容包括:(1)个人信息的处理目的、方式等是否合法;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。其三,评估报告和处理情况记录至少保存三年。《个人信息保护法》出台前,相关国家标准使用的术语为“个人信息安全影响评估”(personal information protection security impact assessment)。2020年10月1日实施的《信息安全技术个人信息安全规范》第3.9条将其界定为:“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程”;第9.2条要求个人信息控制者共享、转让个人信息时,须事先开展该评估;第11.4条明确评估内容主要包括处理活动遵循个人信息安全基本原则的情况、个人信息处理活动对个人信息主体合法权益的影响以及个人信息安全措施的有效性。2021年6月1日实施的《信息安全技术个人信息安全影响评估指南》第1条指出“各类组织自行开展个人信息安全影响评估”,须第5条进一步明确该类评估的三大要素:合规差距评估、个人权益影响分析、安全风险综合分析。据此,“个人信息安全影响评估”与“个人信息保护影响评估”没有本质区别。《个人信息保护法》之所以采用后一术语,应该是为了凸显“个人信息保护”这一关键词,也能与gdpr第37条规定的“数据保护影响评估”(data protection impact assessment)更好接轨。
关于个人信息出境安全评估(personal information cross-border transfer security assessment),国家网信办至今发布过三部办法:2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》、2019年6月《个人信息出境安全评估办法(征求意见稿)》和2021年10月《数据出境安全评估办法(征求意见稿)》。这些规范虽尚未生效,亦未就国家机关作出规定,但对关键信息基础设施运营者处理的个人信息出境安全评估已有如下安排。
由上述比较可得以下五点结论。第一,关键信息基础设施运营者处理的个人信息出境安全评估的现有规范均采“自行评估 监管评估”的双层结构,且2019年以来的两部办法都把自行评估报告纳入监管评估申请材料。第二,自行评估的内容愈渐充实,2021年的最新规定包括:(1)数据出境的合法性、正当性及必要性;(2)数据出境对安全和个人权益带来的风险;(3)保障措施的有效性。第三,监管评估的主要内容虽有细微差异,但都包括如下三点:(1)数据出境的合法性、必要性、正当性;(2)数据出境对安全和个人权益造成的风险;(3)安保措施的有效性。第四,自行评估和安全评估的内容高度一致,区别主要在于评估主体不同。第五,自行评估与个人信息保护影响评估的内容也基本相同。
据此,对个人信息出境安全评估和个人信息保护影响评估之间的关系以及国家机关处理的个人信息出境安全评估的具体操作应作如下理解。
第一,个人信息出境安全评估中的自行评估与个人信息保护影响评估内容上没有本质差异。国家机关依据第36条自行开展个人信息出境安全评估就相当于一般个人信息处理者依据《个人信息保护法》第55条自行开展个人信息保护影响评估。国家机关无须多此一举按照第55条开展个人信息保护影响评估。[xlv]
第二,国家机关自行开展个人信息出境安全评估后,就已经满足《个人信息保护法》第36条之要求,无须再向网信部门申请监管评估,否则会导致全国人大常委会要通过北京市网信办向国家网信办申报个人信息出境安全评估这种不符合我国行政科层体制的现象。这也正是为什么《个人信息保护法》第36条没有在“安全评估”之前加上“国家网信部门组织”的定语。因此,第36条实际上构成第40条的特别规定。根据第40条,关键信息基础设施运营者处理的个人信息出境必须“两步走”,即先做数据出境风险自评估(自行评估),再向国家网信部门申报数据出境安全评估(监管评估);但作为特殊的关键信息基础设施运营者,国家机关根据第36条只需开展第一步自行评估即可。非关键信息基础设施运营者或处理个人信息未达国家网信部门规定数量的处理者一定规模以下的个人信息出境无须自行或申报安全评估,[xlvi]但应根据第55条进行个人信息保护影响评估。换言之,国家机关、非国家机关的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者、一般个人信息处理者向境外提供个人信息前,都需要自行开展内容基本相同的评估,只不过评估的名称分别为“个人信息出境安全评估”“个人信息出境风险自评估”和“个人信息保护影响评估”,而且国家机关和一般个人信息处理者无须进一步申报国家网信部门的监管评估,除非一般个人信息处理者向境外提供的个人信息达到一定规模以上。
第三,国家机关自行开展数据出境安全评估应参照关键信息基础设施运营者的类似办法,[xlvii]并“可以要求有关部门提供支持与协助”,目的在于弥补国家机关自行评估的专业知识和能力不足,避免监管评估缺位带来个人信息出境风险。因此,尽管第36条的表述是“可以要求”,但非网信部门的国家机关原则上都应当要求支持与协助,且被要求部门应当提供支持与协助。[xlviii]“有关部门”指网信部门,但不限于国家网信部门。根据《数据出境安全评估办法(征求意见稿)》第4条,关键信息基础设施运营者个人信息出境应“通过所在地省级网信部门向国家网信部门申报数据出境安全评估”。既然国家机关无须申报监管评估,基于降低行政成本的考虑,其自行评估亦不必须通过所在地省级网信部门向国家网信部门要求支持与协助,例如,一个街道办事处的少量个人信息出境就无须国家网信部门介入。但为了保证国家机关自行评估的中立性、实效性,建议未来出台专门办法,规定省级以下国家机关应向上一级网信部门要求支持与协助,通过“下助一级”避免同级协助“走过场”;省级及以上国家机关则应向国家网信部门要求支持与协助。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。[xlix]
(三)安全评估之外还有哪些义务?
除依《个人信息保护法》第36条开展安全评估外,根据《个人信息保护法》其他条文及相关规范,国家机关向境外提供个人信息时还应履行至少三类义务。
首先,尽管国家机关的个人信息出境自行安全评估中已经包含对境外接收方安保措施和能力的评估,[l]但根据《个人信息保护法》第38条第3款,国家机关还应采取必要措施保障境外接收方处理个人信息的活动达到本法规, 定的个人信息保护标准。此类措施包括要求境外接收方事前承诺或与之签订合同约定必须达到《个人信息保护法》要求的安保水平,以及事后发现安保水平不达标时停止个人信息出境并追究责任等。
其次,根据《个人信息保护法》第39条,向境外提供个人信息的处理者还应履行两项义务——告知信息主体和取得单独同意。这对国家机关是否适用,须分情况讨论。关于告知,根据《个人信息保护法》第7条,处理个人信息应当遵循公开、透明原则,明示处理目的、方式和范围。据此,国家机关向境外提供个人信息原则上应告知当事人,告知内容按照第39条包括境外接收方的名称、亚博电竞网的联系方式、处理目的与方式、行权程序等。但根据《个人信息保护法》第18条和第35条,国家机关在如下情形中免于告知:法定应当保密、不需要告知、应急时无法事前告知以及告知将妨碍履行法定职责。
关于取得单独同意,这是指“处理者必须就法律所规定的特定类型的个人信息处理活动专门取得个人的同意,而不能概括地、一揽子地取得个人同意”。[li]若国家机关是以取得个人同意作为信息处理的合法性基础,无论处理活动自始或嗣后涉及出境,国家机关都应自始或嗣后取得个人单独同意方可让数据出境。[lii]难解的问题是:若国家机关依据个人同意之外的合法性基础来处理个人信息,比如《个人信息保护法》第13条第1款第2-7项所规定的情形,处理活动自始或嗣后涉及个人信息出境的,是否需要取得单独同意?
答案取决于如何理解“同意”和“单独同意”之关系。既有研究存在两种观点。“包含说”认为“取得个人的单独同意,当然是指那些基于个人同意处理敏感的个人信息的情形,至于依据法律、行政法规的规定无需个人同意即可处理个人信息的情形,则不适用。”[liii]据此,以非同意类合法性基础向境外提供个人信息,无需信息主体单独同意。相反,“并列说”注意到《个人信息保护法(草案二次审议稿)》第30条与《个人信息保护法》终稿第29条之不同,前者曾规定“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意”,后者规定“处理敏感个人信息应当取得个人的单独同意”,而主张后者删去“基于个人同意处理敏感个人信息的”是为了凸显即便不是基于个人同意,处理个人信息都需单独同意。[liv]故以非同意类合法性基础向境外提供个人信息,仍需信息主体单独同意。基于如下五点理由,应采“包含说”,国家机关基于非同意类合法性基础向境外提供个人信息,无需按照《个人信息保护法》第39条取得单独同意。
第一,《个人信息保护法》对知情同意的整体性规定在第14条第1款:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”尽管两个分句之间是句号,但既然同处一条,就表示“同意”和“单独/书面同意”都是对“基于个人同意处理个人信息”这一合法性基础的具体解说,区别在于一般情况下只需要“同意”,法律、行政法规规定的例外情形下才需要单独/书面同意。
第二,如果个人信息处理是基于《个人信息保护法》第13条第1款第2-7项的合法性基础,那么根本无需取得个人同意。若该处理活动自始包含出境,则意味着《个人信息保护法》第13条和第39条出现适用冲突。有人可能主张前者是一般法,后者是特别法,应优先适用后者。但这会架空《个人信息保护法》第13条第2款:“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意”。此处之所以写“本法其他有关规定”,就意味着不仅指前款第1项,[lv]而是涵盖《个人信息保护法》除第13条以外所有涉及个人信息处理的规定,例如第22条之因组织变更或解体而需要转移个人信息、第23条之向他人提供个人信息、第25条之公开个人信息、第26条之将个人图像、身份识别信息用于非维护公共安全的目的、第29条之处理敏感个人信息,同时也当然包括《个人信息保护法》第39条之个人信息跨境。换言之,根据《个人信息保护法》第13条第2款前半句,上述个人信息处理行为原则上都应取得个人同意,除非出现后半句所列之“有前款第二项至第七项规定情形的”。由此,《个人信息保护法》第13条和第39条之间并不存在适用冲突,更无需将后者作为特别法优先适用。同理,若基于非同意类合法性基础的个人信息处理活动一开始不包含数据出境,嗣后涉及出境,也无须根据《个人信息保护法》第14条第2款[lvi]和第39条取得个人单独同意,因为第14条第2款适用的前提是处理活动基于个人同意。[lvii]
第三,依据非同意类合法性基础处理个人信息的情形,数据出境无法也不需取得单独同意。例如根据《个人信息保护法》第13条第1款第3项的“履行法定职责”,公安机关侦查发现某人有重大犯罪嫌疑后,依据《刑事诉讼法》第155条,发出包含其个人信息的通缉令,本就无须取得嫌疑人同意。若嫌疑人潜逃国外,我国公安机关通过国际刑警组织发布全球红色通缉令,此时必然涉及嫌疑人个人信息出境,要求取得单独同意是荒谬的。又如依据《个人信息保护法》第13条第1款第4项“为应对突发公共卫生事件所必需”,出于避免传染病扩散之目的,我国边检部门向外国边检机关通报即将进入外国的感染者或密接者的个人信息,同样无须取得当事人单独同意。[lviii]
第四,非同意类合法性基础与单独同意无法并存,理由是作为一种特殊形式的同意,单独同意亦可撤回。如果基于非同意类合法性基础向境外提供个人信息仍然需要取得单独同意,那么当信息主体事后撤回单独同意,信息处理者依旧可以根据非同意类合法性基础向境外提供数据,这将事实上架空单独同意。
第五,《个人信息保护法》第29条之所以删去“基于个人同意处理敏感个人信息的”,并不是要表达任何情形下处理敏感个人信息都需要取得单独同意,而是由于这是一句赘语,因为《个人信息保护法》第13条第2款前半句已经包含了第29条之情形。同理,《个人信息保护法》第25条“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外”,也无须写成“基于个人同意处理个人信息的,个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外”,因为并不会造成公开个人信息的唯一合法性基础就是取得单独同意这种误解——公安机关依职权发布通缉令,不可能也不应当取得被通缉者的单独同意。因此,只有当国家机关向境外提供个人信息是基于个人同意时,才需要取得单独同意,此时必然应事前告知。反过来,国家机关以非同意类合法性基础向境外提供个人信息,无须取得单独同意,但并不代表不须告知,而应基于公开、透明原则告知,除非出现第18条或第35条规定的例外情形。
最后,2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》第39条给向境外提供个人信息的数据处理者增设了一系列义务。其中,接受和处理数据出境所涉及的用户投诉,数据出境对个人、组织合法权益或者公共利益造成损害的依法承担责任,分别对应《个人信息保护法》第50条和第68条,也应适用于国家机关。该征求意见稿第40条要求个人信息出境的数据处理者在每年1月31日前编制数据出境安全报告,并向设区的市级网信部门报告上一年度数据出境情况。由于国家机关向境外提供个人信息无须申报网信部门监管评估,故亦不必向后者报告数据出境情况,但仍建议在每年1月31日前编制数据出境安全报告,并提交网信部门以获得专业指导和建议。
六、结语
本文分析表明:要全面、系统地勾勒我国国家机关处理的个人信息跨境流动制度,不仅需要准确理解《个人信息保护法》第36条,也须综合考量《个人信息保护法》其他条文以及相关规范。作为一种特殊的关键信息基础设施运营者,国家机关在个人信息跨境方面与非国家机关的关键信息基础设施运营者有同也有异。现有管理办法或国家标准主要针对后者,国家机关处理的个人信息跨境领域的规则供给严重不足。这也部分解释了为何《个人信息保护法》实施后,产业界迅速掀起合规风潮,国家机关却相对“冷淡”。因此,应尽快制定国家机关处理的个人信息的专门规范,[lix]就不同目的、形式和规模的个人信息跨境作有针对性的细化规定,如此方能推动国家机关树立起个人信息安全与流动相平衡的榜样。
注释:
[i] 参见张舵:《略论个人数s据跨境流动的法律标准》,载《中国政法大学学报》2018年第3期;许可:《自由与安全:数据跨境流动的中国方案》,载《环球法律评论》2021年第1期;洪延青:《推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开》,载《中国法律评论》2021年第2期。
[ii] 参见王楠:《个人信息跨境转移的法律保护——以公司隐私规则为视角》,载《重庆工商大学学报(社会科学版)》2016年第1期;李海英:《数据本地化立法与数字贸易的国际规则》,载《信息安全研究》2016年第2期;彭岳:《数据本地化措施的贸易规制问题研究》,载《环球法律评论》2018年第2期;赵骏、向丽:《跨境电子商务建设视角下个人信息跨境流动的隐私权保护研究》,载《浙江大学学报(人文社会科学版)》2019年第2期;张倩雯:《数据本地化措施之国际投资协定合规性与中国因应》,载《法商研究》2020年第2期;许多奇:《论跨境数据流动规制企业双向合规的法治保障》,载《东方法学》2020年第2期;朱晓娟:《论跨境电商中个人信息保护的制度构建与完善》,载《法学杂志》2021年第2期。
[iii] 参见傅鹏:《〈网络安全法〉体系下的数据跨境传输监管框架研究》,载《贸大法律评论》2017年第2期;曹博:《跨境数据传输的立法模式与完善路径——从〈网络安全法〉第37条切入》,载《西南民族大学学报(人文社科版)》2018年第9期;张凌寒:《个人信息跨境流动制度的三重维度》,载《中国法律评论》2021年第5期。
[iv] 参见韩静雅:《跨境数据流动国际规制的焦点问题分析》,载《河北法学》2016年第10期,第174-175页。
[v] 许可:《自由与安全:数据跨境流动的中国方案》,载《环球法律评论》2021年第1期,第23页。
[vi] 王融:《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》,载《信息安全与通信保密》2018年第3期,第41-42页。
[vii] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第301页。
[viii] 本文遵从国内外主流文献惯例,不区分使用“数据”和“信息”。
[ix] 广义上讲,数据跨境流动包括出境和入境,后者涉及一国调取境外数据。本文聚焦于前者,不区分使用“跨境”和“出境”。
[x] 参见许可:《自由与安全:数据跨境流动的中国方案》,载《环球法律评论》2021年第1期,第24页。
[xi] 参见吴玄:《数据主权视野下个人信息跨境规则的建构》,载《清华法学》2021年第3期,第77-78页。
[xii] 参见张金平:《跨境数据转移的国际规制及中国法律的应对》,载《政治与法律》2016年第12期,第140-142页。
[xiii] 参见许多奇:《个人数据跨境流动规制的国际格局及中国应对》,载《法学论坛》2018年第3期,第134页。
[xiv] 参见王融:《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》,载《信息安全与通信保密》2018年第3期,第45页。
[xv] 参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期,第12-13页。
[xvi] 参见王玥:《试论网络数据本地化立法的正当性》,载《西安交通大学学报(社会科学版)》2016年第1期,第56-57页。
[xvii] 参见姚斌:《总体国家安全观视角下个人信息保护机制研究》,载《保密科学技术》2019年第8期,第11页;齐爱民、盘佳:《大数据安全法律保障机制研究》,载《重庆邮电大学学报(社会科学版)》2015年第3期,第26页。
[xviii] 参见黄宁:《数据本地化的影响与政策动因研究》,载《中国科技论坛》2017年第9期,第163页。
[xix] 据2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》第37条,“处理个人信息达到国家网信部门规定数量的个人信息处理者”是指“处理一百万人以上个人信息的数据处理者”。这指向非国家机关的处理者。
[xx] 王爽:《二元责任主体架构下国家机关处理个人信息的规则构建》,载《内蒙古社会科学》2021年第4期,第110页。
[xxi] 参见最高人民法院民法典贯彻实施工作领导小组主编:《中华人民共和国民法典总则编理解与适用》(上),人民法院出版社2020年版,第489-490页;王爱立主编:《中华人民共和国刑法释义》,法律出版社2021年版,第639页。
[xxii] “军事网络的安全保护,由中央军事委员会另行规定”;“军事数据安全保护的办法,由中央军事委员会依据本法另行制定”。
[xxiii] 参见王永全、廖根为主编:《网络空间安全法律法规解读》,西安电子科技大学出版社2018年版,第21页。
[xxiv] 支撑性的学术研究可参见冯燕春等:《如何识别关键信息基础设施的边界》,载《中国信息安全》2018年第12期。
[xxv] 根据《网络安全法》第76条第3项,运营者包括所有者、管理者和服务提供者。
[xxvi] 国家信息安全标准化委员会2020年7月公布的《信息安全技术关键信息基础设施边界确定方法(征求意见稿)编制说明》指出“本标准主要参考了美国《识别国家级别的关键基础设施和关键资源指南》”。
[xxvii] 参见左晓栋:《关键信息基础设施,保!》,载《网络传播》2015年第8期,第42页。
[xxviii] department of homeland security and the general services administration,“government facilities sector-specific plan”, www.cisa.gov/sites/default/files/publications/nipp-ssp-government-facilities-2015-508.pdf, accessed november 18, 2021; department of homeland security federal protective service, “government facilities sector”, https://www.dhs.gov/sites/default/files/publications/government_facilities_sector_directive.pdf, accessed november 18, 2021.
[xxix] 参见杨合庆主编:《中华人民共和国网络安全法解读》,中国法制出版社2017年版,第77页。
[xxx] 《个人信息保护法》草案一、二审稿第40条和终稿第40条完全一致。
[xxxi] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第297页。
[xxxii] 参见王毅:《坚守多边主义倡导公平正义携手合作共赢——在全球数字治理研讨会上的主旨讲话》,来源:http://www3.fmprc.gov.cn/web/ziliao_674904/zyjh_674906/t1812948.shtml, 2021年11月9日访问。
[xxxiii] apec, “apec privacy framework”, https://www.apec.org/publications/2005/12/apec-privacy-framework, accessed november 11, 2021.
[xxxiv] 当然,这里的前提是“公开”,是在互联网上对世公开,而非在局域网上的内部或有限公开。
[xxxv] 当然,根据《个人信息保护法》第27条,国家机关向境外提供已公开的个人信息必须是在“合理的范围内”,对个人权益有重大影响的,还应取得同意,个人明确拒绝数据出境的,国家机关不得向境外提供。
[xxxvi] 这里的“产生”包括个人信息虽不是在我国境内首次产生,但在境内经过变动或加工处理的情形。
[xxxvii] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第297页。
[xxxviii] 国家互联网信息办公室2019年公布的《个人信息出境安全评估办法(征求意见稿)》和2021年公布的《数据出境安全评估办法(征求意见稿)》均未对此下定义。
[xxxix] 参见王作富编:《刑法分则实务研究(下)》,中国方正出版社2010年版,第1843页。
[xl] 这也包括境外人员在境内与国家机关工作人员交流获取个人信息,例如全国人大及其常委会与国外议会、国际组织进行交流时,相互希望了解对方的议会组成人员的性别、民族、职业的构成等个人信息。参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第297页。
[xli] 这方面或可参考美国的受控非密信息(controlled unclassified information)制度。参见周亚超、左晓栋:《美国受控非密信息分类与安全控制解析》,载《网络空间安全》2020年第3期。
[xlii] 参见陆丽环:《我国已与81个国家缔结引渡条约、司法协助条约等共169项依法依规追逃追赃》,来源:https://www.ccdi.gov.cn/toutiao/202011/t20201111_229776.html, 2021年11月11日访问。
[xliii] 龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第186页。
[xliv] 关于何时需要取得个人单独同意,下文将详述。
[xlv] 据《个人信息保护法》第56条第2款和《网络数据安全管理条例(征求意见稿)》第39条第1款第6项,个人信息保护影响评估报告应至少保存三年,国家机关自行评估报告则无此要求。当然,为事后调查改进之便,国家机关自行评估报告最好也设定最短保存期限。
[xlvi] 《数据出境安全评估办法(征求意见稿)》第4条规定“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”也要向国家网信部门申报数据出境安全评估。
[xlvii] 如《数据出境安全评估办法(征求意见稿)》中的相关规定。
[xlviii] 当然,在紧急情况下基于公共利益所必需的个人信息出境,比如跨境分享疫情防控信息,自行评估和行政协助可以根据《个人信息保护法》第40条最后一句予以豁免,或至少可相对简化程序以提高效率,但具体规则有待制定。
[xlix] 《个人信息出境安全评估办法(征求意见稿)》第2条。
[l] 《数据出境安全评估办法(征求意见稿)》第5条第4项。
[li] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第157页。
[lii] 参见张凌寒:《个人信息跨境流动制度的三重维度》,载《中国法律评论》2021年第5期,第40页。《网络数据安全管理条例(征求意见稿)》第36条第2款也明确:“收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。”
[liii] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第273页;龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第120页。
[liv] 参见史宇航:《非基于同意处理个人信息,“单独同意”能豁免吗?》,载微信公众号“数据法盟”,https://mp.weixin.qq.com/s? biz=mziynjuxotq0mq==&mid=2247515964&idx=1&sn=b6b6e7409d42526c6d9c83bef32637e9&chksm=e86dcfc2df1a46d404c84a b9c3d864e03c4ef09442d6aef06f1c455d18128adac0a9c1c42ed8#rd, 2021年11月8日访问。
[lv] 否则第2款可直接表述为“前款第二项至第七项规定情形下,不需取得个人同意”。
[lvi] “个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。”
[lvii] 当然,现实中也可能出现合法性基础变更的情况,即处理活动先是基于非同意类合法性基础,在出境时转为同意,这时就需要按照第39条取得单独同意。
[lviii] 根据《国境卫生检疫法》第5条,中华人民共和国与外国之间的传染病疫情通报,由国务院卫生行政部门会同有关部门办理。但在紧急情况下,不经国务院卫生行政部门会同,知情的边检机关也应当可以向境外通报信息,但此时依据的就不是依法履职这一合法性基础,而是应急必需。
[lix] 参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期,第19页。
作者简介:彭錞,法学博士,北京大学法学院助理教授。
文章来源:《华东政法大学学报》2022年第1期。