摘要: 《小我信息維護法》第36條的基礎目的是均衡小我信息活動和平安,全體定位同等于第40條,由於國度機關屬于要害信息基本舉措措施的運營者。"國度機關"指軍事機關以外的黨政機關及法令、律例、規章受權的公共治理或辦事組織。"小我信息"指在中國際地搜集和發生的、未經當事人自行公然或符合法規公然的小我信息。"境內存儲"指小我信息存儲介質位于中國際地且點。其上的小我信息不被境外主體以非公然方法讀取。"向境外供給"指小我信息存儲介質出境或境內介質存儲的小我信息被境外主體以非公然方法讀取。國度機關處置的小我信息出境,包含物理載體出境、國際一起配合出境和平安評價出境,平安評價由國度機關在網信部分支撐下自行展開。此外,國度機關還應確保境外接受方安保程度達標,并在特定情況下告訴當事人、獲得零丁批准。
要害詞: 小我信息維護法;國度機關;境內存儲;跨境活動;平安評價
一、題目的提出
2021年11月1日失效的《中華國民共和國小我信息維護法》(以下簡稱《小我信息維包養網 護法》)第36條規則:“國度機關處置的小我信息應該在中華國民共和國境內存儲;確需向境外供給的,應該停止平安評價。平安評價可以請求有關部分供給支撐與協助。”這在中法律王法公法上初次確立了國度機關處置的小我信息跨境活動軌制。現實上,我國很早就開端追蹤關心此題目。2012年國務院《關于鼎力推動信息化成長和實在保證信息平安的若干看法》就曾指出“為當局機關供給辦事的數據中間、云盤算辦事平臺等要設在境內”。2016年經由過程的《收集包養網 平安法》第31條更是將“公共辦事”“電子政務”歸入要害信息基本舉措措施範疇,第37條明白“要害信息基本舉措措施的運營者在中華國民共和國境內運營中搜集和發生的小我信息和主要數據應該在境內存儲。因營業需求,確需向境外供給的,應該依照國度網信部分會同國務院有關部分制訂的措施停止平安評價;法令、行政律例還有規則的,按照其規則。”在此佈景下,《小我信息維護法》第36條針對國度機關處置的小我信息設置了境內存儲為準繩、平安評價后出境為破例的框架。但是,遺憾的是,小我信息維護相干文獻雖早已汗牛充棟,但既有研討或切磋中國的數據跨境活動的微觀形式,[i]或聚焦于非國度機關主體處置的小我信息跨境活動,[ii]或解讀《收集平安法》第37條及《小我信息維護法》第三章“小我信息跨境供給的規定”,[iii]卻少少論及國度機關處置的小我信息跨境,[iv]對《小我信息維護法》第36條的專題剖析更是付之闕如。本文試圖彌補此空缺,以《小我信息維護法》第36條為切進點,從基礎目的、全體定位、境內存儲任務和跨境供給規定四個方面,初步勾畫我國國度機關處置的小我信息跨境活動軌制。
二、國度機關處置的小我信息跨境活動軌制之基礎目的
時至本日,信息收集早已打破國與國的鴻溝,數據穿越國境成為常態。所謂“數據跨境活動”(trans-border data flow),意指“在一國際天生的信息記載被他國境內的私主體或公權利機關讀取、存儲、應用或加工”。[v]數據跨境活動軌制可懂得為“一國當局針對數據跨越邊疆的傳輸、處置運動所采取的基礎態度以及配套治理辦法的聚集”。[vi]作為數據跨境活動的子概念,“小我信息跨境活動”(trans-border flow of personal information)是指“一國境內的小我信息流出境內,為他國的公權利機關或許平易近事主體所讀取、搜集、存儲、加工、應用等”。[vii]一國對此的基礎態度和配套治理辦法就是其小我信息跨境活動軌制。[viii]依據《小我信息維護法》第36條,國度機關處置的小我信息跨境活動軌制“以當地存儲為準繩,以平安評價出境為破例”。[ix]這般設定畢竟基于何種斟酌?意欲到達何種目的?要答覆這些題目,須將我國立法置于全球視野下考核。
自1980年經合組織(OECD)發布《隱私維護和小我數據跨境活動指南》以來,全球列國或地域紛紜樹立小我數據跨境軌制。全體上,該軌制包括兩種極易混雜的手腕——數據當地化(data localization)和數據出境管控(control of trans-border data flow)。前者指當地化存儲數據,但紛歧定徹底制止數據出境;后者指對數據出境施加限制前提,但紛歧定請求數據當地化存儲。[x]一個國度完整可以既請求小我信息當地化存儲,同時又附前提地答應小我信息出境;反之,也可以不請求小我信息當地化存儲,但對自愿存儲在境內的小我信息出境予以限制。這兩種手腕以分歧方法組合,就會發生分歧的小我信息跨境軌制。
起首,關于當地化,有學者將列國實行回納為三種形式。(1)無當地化形式,即不請求小我信息當地存儲,只規則小我信息出境管束,典範如歐盟《通用數據維護條例》(以下簡稱“GDPR”)。(2)弱當地化形式,即請求特定小我信息當地存儲,如澳年夜利亞2012年《我的安康記載法》制止將小我安康信息轉移至境外,又如印度2019年《小我數據維護法》請求要害小我信息當地化。(3)強當地化形式,即請求一切小我信息當地化存儲,典範如俄羅斯2014年修訂的《小我信息維護法》請求數據把持者在處置國民小我信息時必需應用境內的數據庫。[xi]
其次,關于出境管控,有學者曾總結了三種形式,[xii]2018年失效的GDPR增添了兩種,共五種形式。(1)接受國恰當性評價形式,即只要當數據接受國具有同數據出境國本質劃一的小我信息維護程度時,小我信息方可出境,典範如歐盟1995年《數據維護指令》第25條規則:若歐盟范圍以外的其他國度可以或許對歐盟國民的小我數據供給很是充足的維護,知足歐盟以及歐盟成員國的法令律例,則歐盟國民小我數據可以從歐盟境內轉移到歐盟境外。GDPR第45條延續此傳統,請求只要當數據接受國對小我數據供給充足維護時方可讓小我數據出境,并將數據接受國的法治水平、人權保證程度等作為評價原因。(2)數據把持者擔保形式,即在數據把持者本身能確保小我數據平安時答應數據出境。盡管美國聯邦層面未就小我信息跨境停止同一立法,但依據其主導構建的APEC “跨境隱私規定系統”(CBPR)可以發明,美國在準繩上答應小我數據跨境的條件下,請求數據把持者確保小我數據跨境傳輸的平安。[xiii](3)數據主體批准形式,即在獲得數據主體批准的情形下答應小我數據出境。典範如japan(日本)《小我數據維護法》第23條規則“小我數據把持者事前未取得數據主體的批准的,不得將其小我數據向圈外人供給”,“圈外人”可位于境外。GDPR第49條第1款a項也規則:當數據主體原告知其小我數據出境所包括的能夠風險后仍明白表現批准時,答應小我數據出境。(4)數據跨境機制合範圍式,即依照事前給定、官方承認的框架性機制跨境傳輸小我信息。典範的如GDPR第46條規則的“充足保證辦法”(appropriate safeguards),包含“尺度合同文本”(SCC)和“有束縛力的公司規定”(BCR)。[xiv](5)公益或私益破例形式,即在維護公共好處或嚴重私家好處所必須時答應小我數據出境。典範的如GDPR第49條第1款除a項外的其他內在的事務,其規則當數據跨境為數據主體與數據把持者之間實行合同、主要公共好處目標、建構、行使或辯解法令上之懇求、維護無法表現批准的數據主體之主要好處等所必須時,答應小我信息出境。綜上,列國小我信息跨境軌制的分歧形狀可如下圖所示:
在此視野下,《小我信息維護法》第36條所樹立的國度機關處置的小我信息跨境活動軌制既因循國際經歷,也富有外鄉特點。數據當地化方面,我國選擇包養網 了特定小我信息當地化形式,請求國度機關處置的小我信息境內存儲,普通小我信息處置者則無此請求;數據出境管控方面,我國并未效仿歐美國度的接受國恰當性評價、數據把持者擔保、數據跨境機制合規等做法,而是針對國度機關處置的小“二是我女兒真的認為自己是可以一輩子信賴的人。”藍玉華有些回憶道:“雖然我女兒和那位少爺只有一段感情,但從他為我信息出境設置一事一議的平安評價機制。這般設定表現了數據平安保證和數據不受拘束活動兩者之間的謹慎均衡。一方面,小我信息不只微不雅上與國民人格莊嚴慎密聯絡接觸,[xv]微觀上也與國度平安互相關注,[xvi]國度機關處置的小我信息更是具有嚴重平安價值。典範如國度平安機關把握的涉密職員小我信息,一旦向境外泄露將對國度平安好處形成宏大傷害損失;即使長短涉密職員的小我信息,被境外組織獲取后也會形成政治平安風險,“劍橋剖析”事務殷鑒不遠。[xvii]更主要的是,相較于非國度機關主體,國度機關處置的小我信息在多少數字、範圍、顆粒度方面有全體上風,例如,任何一家企業把握的國民小我金融信息都無法與央行比擬。是以,早在2011年,《中國國民銀行關于銀行業金融機構做好小我金融信息維護任務的告訴》第6條就指出:“在中國境內搜集的小我金融信息的貯存、處置和剖析應該在中國境內停止。”《小我信息維護法》第36條則對一切國度機關課以小我信息境內存儲任務。較之數據出境管控,數據當地化確切對數據不受拘束活動限制更年夜,但能更有用地完成屬地管轄,保護國度平安。另一方面,基于國際間當局交通、跨國法律協作、常識分送朋友和技巧轉移等實際情境,國度機關處置的小我信息并非“鐵桶陣”,而是有跨境活動的合法需求,盡管這種需求能夠不如企業茂盛。有鑒于此,《小我信息維護法》第36條從兩方面確立了出境通路:一是出境的條件,即“確需向境外供給”,意指小我信息出境是獨一能完成國度機關特定目的的手腕;二是出境的方法,即“應該停止平安評價”,意指唯有經由過程評價方可出境。現實上,光稀有據當地包養 化并不克不及確保數據平安,由於只需辦事器接進internet,即使置于境內,數據仍可出境。[xviii]所以,平安評價機制同時表現了數據不受拘束活動和平安保證兩種價值。完成兩者均衡,恰是《小我信息維護法》第36條的基礎目的。
三、國度機關處置的小我信息跨境活動軌制之全體定位
《小我信息維護法》針對三類主體設定了小我信息跨境活動軌制,分辨為第36條的國度機關,第38條的普通小我信息處置者以落第40條的包養 要害信息基本舉措措施運營者和處置小我信息到達國度網信部分規則多少數字的小我信息處置者。此中,第40條與第36條高度相似,均規則“以當地存儲為準繩,以平安評價出境為破例”。由此而來的題目是:國度機關和要害信息基本舉措措施運營者對應的兩套小我信息跨境軌制畢竟是何干系?[xix]這決議了國度機關處置的小我信息跨境活動軌制在《小我信息維護法》建立的多套數據跨境軌制中的全體定位。有學者提出“參照說”,主意“國度機關搜集的小我信息在多少數字和東西的品質上都優于信息業者,并且能夠牽涉國度和社會公共好處”,故第36條是在“參照《收集平安法》對要害信息基本舉措措施搜集和天生的小我信息停止維護”。[xx]本文提出“同等說”,以為兩套軌制沒有實質差別,來由是國度機關應被視為要害信息基本舉措措施運營者。
起首須廓清的是:何謂“國度機關”?《小我信息維護法》第二章第三節涵蓋兩類主體:“國度機關”和“準國度機關”,后者指第37條所稱的“法令、律例受權的具有治理公同事務本能機能的組織”。關于“國度機關”,《小我信息維護法》沒有明白界說,但可對比先前立法來說明。《平易近法典》和《刑法》上,“國度機關”是指“國度為完成其政治統治本能機能和治理本能機能而建立的國度機構的總稱”,包含立法、行政、軍事、監察、審訊、查察機關,也包含黨的各級機關、國民政協包養 、平易近主黨派機關。[xxi]鑒于《收集平安法》第78條和《數據平安法》第54條的消除規則,[xxii]《小我信息維護法》上的“國度機關”亦應消除包養 軍事機關。關于“準國度機關”,《小我信息維護法》第37條有兩點值得闡明。其一,規章受權的具有治理公同事務本能機能的組織也應歸入此中,來由有二。一是2014年修訂的《行政訴訟法》第2條已將此類組織列為適格原告,其與行政機關具有雷同的行政主體成分;二是實際中,此類組織承當側重要的公共本能機能,例如,車輛治理所由《靈活車掛號規則》《靈活車駕駛證申領和應用規丫鬟的聲音讓她回過神來,她抬頭看著鏡子裡的自己,看到鏡子裡的人雖然臉色蒼白,病懨懨,但依舊掩飾不住那張青春靚麗則》兩部規章受權擔任車輛治理,其在履職經過歷程中會處置大批小我信息,理應承當與國度機關雷同的小我信息維護法令任務。其二,供給公共辦事的受權組織也應視為“準國度機關”,由於供給公共辦事異樣屬于“治理公同事務”,后者實質上也是一種公共辦事。例如,依據《基礎醫療衛生與安康增進法》第18條、第35條,公立醫療機構的本能機能在于“供給基礎公共衛生辦事”,此中包含“沾染病、慢性非沾染性疾病、個人工作病、處所病等疾病預防把持”,后者必定觸及疾控應急等公共治理本能機能。綜上,《小我信息維護法》上的國度機關涵蓋軍事機關以外的一切黨政機關以及法令、律例、規章受權的治理公同事務或供給公共辦事的組織。
接上去的題目是:何謂“要害信息基本舉措措施”?中法律王法公法上,其首見于《收集平安法》第31條:“國度對公共通訊和信息辦事、動力、路況、水利、金融、公共辦事、電子政務等主要行業和範疇,以及其他一旦遭到損壞、損失效能或許數據泄露,能夠嚴重迫害國度平安、國計平易近生、公共好處的要害信息基本舉措措施,在收集平安品級維護軌制的基本上,履行重點維護。要害信息基本舉措措施的詳細范圍和平安維護措施由國務院制訂。”《要害信息基本舉措措施平安維護條例》第2條規則:“本條例所稱要害信息基本舉措措施,是指公共通訊和信息辦事、動力、路況、水利、金融、公共辦事、電子政務、國防科技產業等主要行業和範疇的,以及其他一旦遭到損壞、損失效能或許數據泄露,能夠嚴重迫害國度平安、國計平易近生、公共好處的主要收集舉措措施、信息體系等。”若何懂得這兩個條則對“要害信息基本舉措措施”的界定?
細心對照可發明二者有同有異。雷同點在于都采用“羅列+兜底”的構造,先羅列主要行業和範疇,再以焦點特征來兜底,前后經由過程“以及其他”相干聯。據此,要害信息基本舉措措施的實質為“一旦遭到損壞、損失效能或許數據泄露,能夠嚴重迫害國度平安、國計平易近生、公共好處”,而“公共通訊和信息辦事、動力、路況、水利、金融、公共辦事、電子政務等主要行業和範疇”在立法上被視為合適這一焦點特征。[xxiii]分歧點在于《收集平安法》第31條的表述為“公共通訊和信息辦事、動力、路況、水利、金融、公共辦事、電子政務等主要行業和範疇的要害信息基本舉措措施”,給人一種這些行業和範疇的信息基本舉措措施都是要害信息基本舉措措施的印象。但這是一種誤讀,《要害信息基本舉措措施平安維護條例》第2條廓清表述為“公共通訊和信息辦事、動力、路況、水利、金融、公共辦事、電子政務、國防科技產業等主要行業和範疇的主要收集舉措措施、信息體系”。申言之,上述主要行業和範疇中,并非一切信息基本舉措措施自然就是要害信息基本舉措措施,只要那些“主要”的信息基本舉措措施才是要害信息基本舉措措施。2019年4月,國度信息平安尺度化委員會草擬了《信息平安技巧基于信息流的要害信息基本舉措措施鴻溝斷定方式包養 (征求看法稿)》,將“要害信息基本舉措措施鴻溝”界說為“斷定要害信息基本舉措措施元包養網 素的分界限,用于將要害信息基本舉措措施元素同其他信息基本舉措措施區離開來,以明白要害信息基本舉措措施維護對象和維護范圍”,并指出辨認鴻溝的焦點在于“將保證要害營業連續穩固、連續運轉必不成少的收集舉措措施、信息體系同要害信息基本舉措措施運營者普通的信息基本舉措措施區離開來”。[xxiv]2020年8月國度信息平安尺度化委員會發布的《信息平安技巧要害信息基本舉措措施鴻溝斷定方式(征求看法稿)》明白指出:“要害信息基本舉措措施的主要性不是指構成要害信息基本舉措措施的收集舉措措施、信息體系很主要,而是由於要害信息基本舉措措施所支持的要害營業很是主要”,“在要害信息基本舉措措施運營者一切收集舉措措施、信息體系中,有些收集舉措措施、信息體系對要害營業的連續、穩固運轉是至關主要的,有些收集舉措措施、信息體系包養網 僅僅是比擬主要的,甚至有一些收集舉措措施、信息體系對要害營業是可有可無的,是以,展開要害信息基本舉措措施鴻溝辨認應聚焦一旦遭到損壞、損失效能或許產生數據泄露,會嚴重迫害要害營業連續、穩固運轉的收集舉措措施、信息體系,嚴厲把持范圍。”簡言之,要害信息基本舉措措施必定由要害信息基本舉措措施運營者來運營,而要害信息基本舉措措施運營者運營的紛歧建都是要害信息基本舉措措施。[xxv]
基于上述剖析,盡管中法律王法公法尚無明文規則,但基于如下五點來由,應把國度機關視為要害信息基本舉措措施運營者。
第一,從立法佈景來看,2017年7月公布的《要害信息基本舉措措施平安維護條例(征求看法稿)》第18條曾明白把當局機關、公用工作單元和播送電臺、電視臺、通信社等消息單元列為要害信息基本舉措措施運營者。
第二,從法令連接來看,《數據平安法》第37條規則“國度鼎力推動電子政務扶植”,第39條明白“國度機關應該按照法令、行政律例的規則,保證政務數據平安”,第40條指出“國度機關委托別人扶植、保護電子政務體系,應該監視受托方實行響應的數據平安維護任務”。據此,國度機關處置的數據統稱政務數據,所依托的電子舉措措施和體系統稱電子政務體系。這意味著國度機關屬于《收集平安法》第31條和《要害信息基本舉措措施平安維護條例》第2條所稱的“電子政務行業和範疇”。《小我信息維護法》上的“準國度機關”則可回進這兩個條則中的“公共辦事行業和範疇”。
第三,從域外淵源來看,我國的要害信息基本舉措措施概念重要遭到美法律王法公法影響。[xxvi]美國2011年《愛國者法》第1016(e)條將“要害基本舉措措施”界定為“任何物資或虛擬的體系和資產,對美國至關主要,其掉效或損壞會對國度平安、經濟平安、公共衛生平安中的一種或幾種發生損壞性影響”。2013年,美國發布13636號總統行政令《改良要害基本舉措措施收集平安》和第21號總統政策唆使《要害基本舉措措施平安和韌性》(PPD-21),將要害基本舉措措施斷定為十六類:化學制品、貿易舉措措施、通訊、要害制造業、年夜壩、國防產業基地、應急辦事、動力、金融辦事、食物和農業、當局舉措措施、公共安康和醫療、信息技巧、核反映堆及核資料與放棄物、運輸、水和廢水處置體系。[xxvii]此中,“當局舉措措施”(government facilities)觸及“由聯邦當局擁有或運營的跨越900000個舉措措施以及56個州和海內領地、3031個郡、85973個處所當局和566個聯邦認可的部落當局擁有或運營的舉措措施”,包含“位于這些當局舉措措施中或支持其運轉的收集體系和裝備”。[xxviii]
第四,從實行需求來看,若將國度機關和要害信息基本舉措措施運營者分視為兩種主體,就能夠招致國度機關躲避《收集平安法》《數據平安法》和《小我信息維護法》針對要害信息基本舉措措施運營者design的一系列強化安保任務。例如依據《收集平安法》第33條,扶植要害信息基本舉措措施應該包管平安技巧辦法同步計劃、扶植和應用。“三同步”的詳細請求包含:一是項目design單元在編制項目design文件時就要編制平安技巧辦法的design文件;二是在編制項目投資打算時就要將平安技巧辦法所需經費歸入預算;三是施工單元應嚴厲依照平安技巧辦法design施工;四是項目驗收時要對平安技巧辦法停止調試、驗收;五是平安技巧辦法應與主體工程同時投進應用。[xxix]早在2007年,國度發改委出臺的《國度電子政務工程扶植項目治理暫行措施》就已對電子政務項目提出雷同請求。一方面,該措施明白電子政務工程扶植項目提出書、可行性研討陳述、初步design計劃和投資概算均應包括“平安體系扶植”;另一方面,該措施第31條請求“項目扶植單元應在完成項目扶植義務后的半年內,組織完成扶植項目標信息平安風險評價和初步驗出工作”,包含驗收扶植項目斷定的平安舉措措施已按design建成且運轉及格。這表白電子政務項目在計劃、扶植、運轉階段都應同步應用平安技巧辦法。2012年國度平安生孩子監視治理總局辦公廳《關于進一個步驟加大力度平安監管監察國度電子政務收集扶植和利用任務的告訴》也明白請求“新建、續建電子政務工程扶植項目標,要實在做到與平安品級維護辦法同步design、同步施工并報有關部分存案”。據此,國度機關應當並且現實曾經承當與要害信息基本舉措措施運營者雷同的安保任務,兩者在法令受騙厚此薄彼。不然,國度機關就可以不屬于要害信息基本運營者為由,謝絕承當相干安保任務,這晦氣于有用落實《數據平安法》第39條規則的“國度機關應該樹立健全數據平安治理軌制,落實數據平安維護義務,保證政務數據平安”。
第五,從威望界說來看,2016年國度網信辦發布的《國度收集空間平安計謀》將要害信息基本舉措措施界定為“關系國度平安、國計平易近生,一旦數據泄露、遭到損壞或許損失效能能夠嚴重迫害國度平安、公共好處的信息舉措措施,包含但不限于供給公共通訊、播送電視傳輸等辦事的基本信息收集,動力、金融、路況、教導、科研、水利、產業制造、醫療衛生、社會保證、公用工作等範疇和國度機關的主要信息體系等”。這就明白把國度機關和公用工作單元歸入要害信息基本舉措措施運營者的范疇。同年,國度網信辦收集平安和諧局發布《國度收集平安檢討操縱指南》,將要害信息基本舉措措施分為網站、平臺和生孩子營業三類,此中網站類包含黨政機關網站(縣級(含)以上)、企工作單元網站,生孩子營業類包含地市級以上當局機關面向大眾辦事的信息體系,以及與醫療、安防、消防、應急批示、生孩子調劑、路況批示等相干的公共辦事信息體系。
綜上,在收集平安、數據平安和小我信息維護範疇,國度機關應該被視為要害信息基本舉措措施運營者。恰是在此基本上,《小我信息維護法》第36條和第40條對兩者規則了高度分歧的數據出境機制。《小我信息維護法》草案一審稿第37條、二審稿第36條曾規則:“國度機關處置的小我信息應該在中華國民共和國境內存儲;確需向境外供給的,應該停止風險評價。風險評價可以請求有關部分供給支撐與協助。”《小我信息維護法》草案一審稿第54條、二審稿第55條曾規則“小我信息處置者向境外供給小我信息應該在事進步行風險評價”。《小我信息維護法》第36條將前者的“風險評價”改為“平安評價”,第55條將后者的“風險評價”改為“小我信息維護影響評價”。這些修正表白:《小我信息維護法》草案底本對國度機關規則了和普通小我信息處置者雷同的小我信息出境風險評價任務,但終稿廢棄這一做法,轉而對國度機關規則與要害信息基本舉措措施運營者雷同的小我信息出境平安評價機制[xxx],以差別于普通小我信息處置者的小我信息維護影響評價任務。固然,從字面上看,《小我信息維護法》第36條和第40條規則的小我信息跨境規定不完整分歧,前者為“確需向境外供給的,應該停止平安評價”,后者為“確衣服也一樣。優雅的。淺綠色的裙子上繡著幾朵栩栩如生的荷花,將她的美麗襯托得淋漓盡致。以她嫻靜的神情和悠然漫步的需向境外供給的,應該經由過程國度網信部分組織的平安評價”。但二者指向“雷同性質的評價”,其“重要內在的事務就是要評價向境外供給小我信息能否合適我法律王法公法律、律例和政策的規則;這些小我信息能否屬于敏感小我信息或許屬于主要數據;能否會被接受方用來損害我國境內小我的符合法規權益,迫害我國主權和國度平安;接受小我信息的一方能否有響應的辦法保證小我信息的平安,以免小我信息被別人竊取、泄露以及不符合法令應用等”。[xxxi]之所以第36條和第40條表述有差別,是由於國度機關和其他要害信息基本舉措措施運營者平安評價的詳細操縱不完整雷同,對此,下文將做具體闡述。
四、國度機關處置的小我信息之境內存儲任務
(一)哪些小我信息應境內存儲
從字面上看,《小我信息維護法》第36條似乎請求國度機關處置的任何小我信息準繩上都在境內存儲,而第40條僅請求“將在中華國民共和國境內搜集和發生的小我信息存儲在境內”。但是,基于以下三點來由,兩個條則所指的小我信息范圍沒有差別。
起首,從法令連接的角度看,其他相干規范均明白規則只要在我國境內搜集和發生的小我信息才面對跨境管控。例如《收集平安法》第37條請求“要害信息基本舉措措施的運營者在中華國民共和國境內運營中搜集和發生的小我信息和包養網 主要數據應該在境內存儲”。《數據平安法》第30條重復此表述。2021年10月29日公布的《數據出境平安評價措施(征求看法稿)》第2條也規則:“數據處置者向境外供給在中華國民共和國境內運營中搜集和發生的主要數據和依法應該停止平安評價的小我信息,應該依照本措施的規則停止平安評價。”其次,從官方態度的角度看,我國已明白表現不強迫請求本國企業將境外發生、獲取的數據存儲在境內。2020年9月,交際部部長王毅提出《全球數據平安建議》,呼吁列國不得強迫本國企業將境外發生、獲取的數據存儲在境內。[xxxii]這表現了我國對跨國企業運營自立權和他國屬地管轄權的尊敬。若將《小我信息維護法》第36條解讀為請求我國國度機關將境外搜集和發生的信息也當地化存儲,有悖于上述態度。最后,從現實操縱的角度看,在境外搜集和發生的小我信息只是經我國直達,我國國度機關未做任何變更或加工處置的情況下,請求境內存儲不包養 只沒有現實意義,反而會使我國成為“數據跨境黑洞”。是以,《小我信息維護法》第36條中的小我信息應與第40條作雷同懂得,即國度機關處置的在我國境內搜集和發生的小我信息才需求境內存儲。
進一個步驟的題目是:能否一切境內搜集和發生的小我信息都應境內存儲?謎底能否定的。從比擬法經歷看,《APEC隱私框架》第11條將“公然可取得信息”(publicly available information)界定為“小我有興趣自動或答應公然的或許經由過程公然當“進來。”裴母搖頭。局記載、消息報道或法令請求公然的信息而符合法規取得或查閱的關于自己的信息”,并規則此類信息的搜集和應用無須告訴當事人,由於其對數據被處置已有心思預期。[xxxiii]同理,已自愿或符合法規公然的小我信息,本就能為境外主體瀏覽,[xxxiv]信息主體對此也有公道預期,請求國度機關將此類信息當地化存儲或許向境外供給之前須停止平安評價,不免難免畫蛇添足。[xxxv]
綜上,《小我信息維護法》第36條所稱的“國度機關處置的小我信息”是指“國度機關處置的在中華國民共和國境內搜集和發生的、未經當事人自行公然或許符合法規公然的小我信息”。[xxxvi]
(二)若何境內存儲
何謂“境內存儲”?有學者說明為“小我信息的物理存儲裝備,無論是用來存儲小我信息的硬盤,仍是云存儲辦事所對應的遠端存儲裝備,均應該設置在中華國民共和國境內,而不得設置在境外”。[xxxvii]此說明的題目是:即使小我信息的物理存儲裝備位于境內,數據依然可以出境,好比答應境外組織或小我經由過程收集長途讀取位于境內的存儲介質。是以,對《小我信息維護法》第36條“境內存儲”更好的說明退路是先厘清什么是“向境外供給”或“數據出境”,再反推“境內存儲”的寄義。
何謂“數據出境”?我國對此曾有過三次官方說明。[xxxviii]第一次是2017年4月國度網信辦發布的《小我信息和主要數據出境平安評價措施(征求看法稿)》第17條的規則:“數據出境,是指收集運營者將在中華國民共和國境內運營中搜集和發生的小我信息和主要數據,供給給位于境外的機構、組織、小我。”此規則明白了“數據出境”語境下“數據”的寄義,但未能廓清“出境”的意涵,由於“供給給位于境外的機構、組織、小我”難以作為說明《小我信息維護法》第36條“向境外供給”的參考根據。第二次是2017年5月國度信息平安尺度化技巧委員會發布的《信息平安技巧數據出境平安評價指南(草案)》第3.6條將“數據出境”界說為包養網 “將在中華國民共和國境內搜集和發生的電子情勢的小我信息和主要數據,供給給境外機構、組織、小我的一次性運動或持續性運動”,第3.8條將“供給”界說為“收集運營者自動向境外機構、組織或小我供給數據,或經由過程其他道路發布數據的行動,包含其用戶應用收集運營者供給的產物或辦事的效能,向境外機構、組織或小我供給數據的行動,收集運營者供給曾經被依法公然表露的數據除外”。第三次是2017年8月國度信息平安尺度化技巧委員會發布的《信息平安技巧數據出境平安評價指南(征求看法稿)》第3.7條不只給出數據出境的完全界說,即“收集運營者經由過程收集等方法,將其在中華國民共和國境內運營中搜集和發生的小我信息和主要數據,經由過程直接供給或展開營業、供給辦事、產物等方法供給給境外的機構、組織或小我的一次性運動或持續性運動”,並且對數據出境的詳細情況做了正、背面闡明。正面羅列包含:(1)向本國境內,但不屬于本國司法管轄或未在境內注冊的主體供給小我信息和主要數據;(2)數據未轉移存儲至本國以外的處所,但被境外的機構、組織、小我拜訪檢查的;(3)收集運營者團體外部數據由境內轉移至境外,觸及其在境內運營中搜集和發生的小我信息和主要數據的。背面消除包含:(1)非在境內運營中搜集和發生的小我信息和主要數據經過本國出境,未經任何變更或加工處置的,不屬于數據出境;(2)非在境內運營中搜集和發生的小我信息和主要數據在境內存儲、加工處置后出境,不觸及境內運營中搜集和發生的小我信息和主要數據的,不屬于數據出境;(3)公然信息、網頁被境外的機構、組織、小我拜訪檢查的,不屬于數據出境。據此,對《小我信息維護法》第36條中“小我信息向境外供給”應做如下懂得:第一,物理空間意義上,小我信息存儲介質位于我國境外;第二,虛擬空間意義上,位于我國境內的小我信息存儲介質上的小我信息被境外主體讀取,公然渠道讀取的除外。之所以有此破例,是由於收集無國界,當國度機關公然小我信息,好比裁判文書網公然當事人姓名,境外組織和小我也能查閱。從現實意義上講,小我信息此時簡直出境了。但此類公然小我信息的行動,應由《當局信息公然條例》和《小我信息維護法》第25條、第55條來規范,不克不及與小我信息出境混淆,不然會扼殺公然與出境兩者之間的差別。
何謂“境外主體”?起首,關于境內和境外的區分尺度,《小我信息維護法》自己并無界定,但中法律王法公法上普通將港澳臺地域視為“境外”,因其不受我國司法體系體例管轄。例如,我國刑法上的“隱瞞境外存款罪”就涵蓋國度任務職員在港澳臺地域的存款。[xxxix]港澳臺地域亦都有各自的小我信息維護法令系統,不宜作為“境內”處置。故“境外”指中國際地以外。其次,依據原《國度平安法實行細則》和現《反特務法實行細則》第3條,國度平安語境下的“境外機構、組織”包含境外機構、組織在中華國民共和國境內建立的分支(代表)機構和分支組織,“境外小我”包含棲身在中華國民共和國境內不具有中華國民共和國國籍的人。是以,某主體能否在物理上位于我國境外或在法令上能否受中法律王法公法管轄,并未定定其能否屬于境外主體。一個美國人或美國公司的中國代表處在中國際地查閱位于中國際地的存儲介質上的在中國際地搜集和發生的小我信息,依然屬于小我信息出境。
由上述“數據出境”的界說可反推“境內存儲”的寄義:第一,物理空間意義上,小我信息存儲介質位于我國際地;第二,虛擬空間意義上,位于我國際地的小我信息存儲介質上的小我信息不被境外主體讀取,公然渠道讀取的除外。《小我信息維護法》第36條請求國度機關處置的小我信息準繩上同時處于這兩種狀況。
五、國度機關處置的小我信息之跨境供給規定
(一)國度機關處置的小我信息出境的渠道
依據《小我信息維護法》第36條第二句,國度機關處置的小我信息出境應停止平安評價。但這并非獨一渠道,此外至多還有物理載體出境、國際一起配合出境兩條通道。
起首,基于前文的界定,國度機關處置的小我信息出境可分為兩類。第一,經由過程物理載體出境,包含把握小我信息的國度機關任務職員和筆記、信函、硬盤、辦事器等存儲介質出境等。[xl]依據《小我信息維護法》第4條,小我信息不用然以電子方法記載,口耳相傳或分送朋友紙條、筆記、函件、存儲裝備等也可完成小我信息出境。第二,經由過程虛擬載體出境,包含收集、德律風、電報、通訊衛星等傳輸信息。后者可實用《小我信息維護法》第36條,前者則不實用——難以想象國度機關任務職員準繩上要“境內存儲”,只要先顛末平安評價才幹招待外賓或出境履行公事;存儲介質雖可請求“境內存儲”,但攜帶或寄遞出境難以經由過程網信部分的平安評價來管控。是以,物理載體的數據出境管控只能另尋他徑,傳統上有兩種方法。一是對人的管控,例如依據《守舊國度機密法》第30條、第37條,國度機關任用境外職員需求知悉國度機密的,須經審批并簽署保密協定,涉密職員出境遭到限制;《公職職員政務處罰法》第31條規則了違規出境者的法令義務。二是對物的管控,包含《守舊國度機密法》第25條制止國度機密介質未經批準出境和《出境進境邊防檢討條例》第29條規則對出境的涉密介質停止檢討、收繳。但傳統管控的題目在于小我信息紛歧定是國度機密,《小我信息維護法》自己卻未對經由過程物理載體的小我信息出境作出明白規則。為進一個步驟夯實小我信息維護軌制,提出盡快制訂專門的管控規定。在此之前,職員管控可實用《出境進境邊防檢討條例》第15條,對把握小我信息的職員出境會形成國度平安要挾的,邊防檢討站有權限制其運動范圍,停止查詢拜訪或許移送處置;物品管控可實用該條例第28條,將出境后會形成國度平安要挾的小我信息介質認定為“法令、行政律例規則的迫害國度平安和社會次序的犯禁物品”予以禁運。同時,還應參照《守舊國度機密法》第15條規則的解密機制,對小我信息的物理載體出境建立脫敏法式。此種法式當然亦可稱作“平安評價”,但不克不及混淆于《小我信息維護法》第36條規則的平安評價。[xli]
其次,《小我信息維護法》第38條第2款規則:“中華國民共和國締結或許餐與加入的國包養網 際公約、協議對向中華國民共和國境外供給小我信息的前提等有規則的,可以依照其規則履行。”截至2020年11月,我國已與81個國度締結引渡公約、司法協助公約、資產返還與分送朋友協議等共169項,與56個國度和地域簽訂金融諜報交流一起配合協定。[xlii]依據這些國際公約、協議,我國相干國度機關有權向境外供給小我信息。例如依據2000年《中華國民共和國當局和美利堅合眾國當局關于刑事司法協助的協議》,我國司法部向美方收回的司法協助懇求可包含“關于任何被取證職員的姓名、性別、國籍、個人工作和地點地的材料”;又如依據2016年中澳簽訂的《關于反洗錢和反可怕融資金融諜報交通一起配合體諒備忘錄》,我國央行直屬工作單元中國反洗錢監測剖析中間可向澳方供給涉嫌洗錢或可怕運動的境內小我之信息。此類小我信息出境,無須依照《小我信息維護法》第36條停止平安評價。
綜上所述,國度機關處置的小我信息出境今朝有三條通道:物理載體出境、國際一起配合出境和平安評價出境。平安評價實用于經由過程虛擬載體的小我信息出境。當然,特定情況下,平安評價難以或不該實用。好比我國疫情防控部分向本國邊檢機關緊迫傳遞行將進進本國的沾染者或密接者的小我信息,若請求先睜開平安評價,不免“貽誤戰機”。此類情況有待根據《小我信息維護法》第40條最后包養網 一句,由法令、行政律例或國度網信部分特殊規則寬免平安評價。
需求闡明的是,《小我信息維護法》第38條第1款第2-4項并不克不及作為國度機關處置的小我信息出境的通路,不然會使第40條關于要害信息基本舉措措施運營者小我信息出境的特殊規則掉往意義。第40條最后一句“法令想吐的感覺。 ,但也得像個男人,免得突如其來的變化太大,讓人起疑。、行政律例和國度網信部分規則可以不停止平安評價的,從其規則”,不克不及轉介至第38條第1款第2-4項,不然將掏空《小我信息維護法》對于要害信息基本舉措措施運營者(包含國度機關)小我信息出境所設置的更嚴厲請求。同時,小我零丁批准也不克不及作為國度機關處置的小我信息出境的通路。有學者基于《小我信息維護法》第39條主意:“我國小我信息處置者向境外供給小包養網 我信息的符合法規性基本有且僅有基于小我(零丁)批准這一條,由於(《小我信息維護法》)第13條并不克不及直接實用于小我信息出境場景。”[xliii]這是一種曲解,由於當事人零丁批准是小我信息出境在特定情況下的需要前提,[xliv]而非充足前提。盡管GDPR第49條第1款a項規則“當數據主體原告知其小我數據出境所包括的能夠風險后仍明白表現批准時,答應小我數據出境”,但《小我信息維護法》第38條并未把當事人零丁批准列為小我信息出境的前提,緣由在于小我信息出境同時觸及私益和公益,不克不及單憑小我處斷。即使小我零丁批准,小我信息出境也要經由過程平安評價。現實上,《小我信息和主要數據出境平安評價措施(征求看法稿)》第4條曾請求“小我信息出境,應向小我信息主體闡明數據出境的目標、范圍、內在的事務、接受方及接受方地點的國度或地域,并經其批准”,第11條甚至規則“未經信息主體批准小我信息不得出境”。這些規則后被《小我信息出境平安評價措施(征求看法稿)》和《數據出境平安評價措施(征求看法稿)》刪往,明白表現了主管部分的立場。
(二)若何停止平安評價
依據《小我信息維護法》,國度機關具有三重成分,對應三類小我信息出境評價。一是依據第36條,國度機關在小我信息出境前應停止平安評價,并可請求有關部分供給支撐與協助;二是依據第40條,作為要害信息基本舉措措施運營者,國度機關在小我信息出境前應經由過程國度網信部分組織的平安評價;三是依據第55條,作為小我信息處置者,國度機關在小我信息出境前應停止小我信息維護影響評價。如前所言,第一、二類平安評價在內在的事務上沒有差異。那么,平安評價之外,國度機關處置的小我信息出境能否還應展開小我信息維護影響評價?平安評價又應若何詳細操縱?要答覆這些題目,就須厘清小我信息出境平安評價和小我信息維護影響評價的寄義與關系。
關于小我信息維護影響評價(personal information protection impact assessment),《小我信息維護法》第55條和第56條做出三點規則。其一,由小我信息處置者自行展開。其二,內在的事務包含:(1)小我信息的處置目標、方法等能否符合法規;(2)對小我權益的影響及平安風險;(3)所采取的維護辦法能否符合法規、有用并與風險水平相順應。其三,評價陳述和處置情形記載至多保留三年。《小我信息維護法》出臺前,相干國度尺度應用的術語為“小我信息平安影響評價”(personal information protection security impact assessment)。2020年10月1日實行的《信息平安技巧小我信息平安規范》第3.9條將其界定為:“針對小我信息處置運動,查驗其符合法規合規水平,判定其對小我信息主體符合法規權益形成傷害損失的各類風險,以及評價用于維護小我信息主體的各項辦法有用性的經過歷程”;第9.2條請求小我信息把持者共享、讓渡小我信息時,須事前展開該評價;第11.4條明白評價內在的事務重要包含處置運動遵守小我信息平安基礎準繩的情形、小我信息處置運動對小我信息主體符合法規權益的影響以及小我信息平安辦法的有用性。2021年6月1日實行的《信息平安技巧小我信息平安影響評價指南》第1條指出“各類組織自行展開小我信息平安影響包養網 評價”,須第5條進一個步驟明白該類評價的三大體素:合規差距評價、小我權益影響剖析、平安風險綜合剖析。據此,“小我信息平安影響評價”與“小我信息維護影響評價”沒有實質差別。《小我信息維護法》之所以采用后一術語,應當是為了凸顯“小我信息維護”這一要害詞,也能與GDPR第37條規則的“數據維護影響評價”(data protection impact assessment)更好接軌。
關于小我信息出境平安評價(personal information cross-border transfer security assessment),國度網信辦至今發布過三部措施:2017年4月《小我信息和主要數據出境平安評價措施(征求看法稿)》、20包養 19年6月《小我信息出境平安評價措施(征求看法稿)》和2021年10月《數據出境平安評價措施(征求看法稿)》。這些規范雖尚未失效,亦未就國度機關作出規則,但對要害信息基本舉措措施運營者處置的小我信息出境平安評價已有如下設定。
由上述比擬可得以下五點結論。第一,要害信息基本舉措措施運營者處置的小我信息出境平安評價的現有規范均采“自行評價+監管評價”的雙層包養 構造,且2019年以來的兩部措施都把自行評價陳述歸入監管評價請求資料。第二,自行評價的內在的事務愈漸充分,2021年的最新規則包含:(1)數據出境的符合法規性、合法性及需要性;(2)數據出境對平安和小我權益帶來的風險;(3)保證辦法的有用性。第三,監管評價的重要內在的事務雖有纖細差別,但都包含如下三點:(1)數據出境的符合法規性、需要性、合法性;(2)數據出境對平安和小我權益形成的風險;(3)安保辦法的有用性。第四,自行評價和平安評價的內在的事務高度分歧,差別重要在于評價主體分歧。第五,自行評價與小我信息維護影響評價的內在的事務也基礎雷同。
據此,對小我信息出境平安評價和小我信息維護影響評價之間的關系以及國度機關處置的小我信息出境平安評價的詳細操縱應作如下懂得。
第一,小我信息出境平安評價中的自行評價與小我信息維護影響評價內在的事務上沒有實質差別。國度機關根據第36條自行展開小我信息出境平安評價就相當于普通小我信包養網 息處置者根據《小我信息維護法》第55條自行展開小我信息維護影響評價。國度機關無須畫蛇添足依照第55條展開小我信息維護影響評價。[xlv]
第二,國度機關自行展開小我信息出境平安評價后,就曾經知足《小我信息維護法》第36條之請求,無須再向網信部分請求監管評價,不然會招致全國人年夜常委會要經由過程北京市網信辦向國度網信辦申報小我信息出境平安評價這種不合適我國行政科層體系體例的景象。這也恰是為什么《小我信息維護法》第36條沒有在“平安評價”之前加上“國度網信部分組織”的定語。是以,第36條現實上組成第40條的特殊規則。依據第40條,要害信息基本舉措措施運營者處置的小我信息出境必需“兩步走”,即先做數據出境風險自評價(自行評價),再向國度網信部分申報數據出境平安評價(監管評價);但作為特別的要害信息基本舉措措施運營者,國度機關依據第36條只需展開第一個步驟自行評價即可。非要害信息基本舉措措施運營者或處置小我信息未達國度網信部分規則多少數字的處置者必定範圍以下的小我信息出境無須自行或申報平安評價,[xlvi]但應依據第55條停止小我信息維護影響評價。換言之,國度機關、非國度機關的要害信息基本舉措措施運營者和處置小我信息到達國度網信部分規則多少數字的處置者、普通小我信息處置者向境外供給小我信息前,都需求自行展開內在的事務基礎雷同的評價,只不外評價的稱號分辨為“小我信息出境平安評價”“小我信息出境風險自評價”和“小我信息維護影響評價”,並且國度機關和普通小我信息處置者無須進一個步驟申報國度網信部分的監管評價,除非普通小我信息處置者向境外供給的小我信息到達必定範圍以上。
第三,國度機關自行展開數據出境平安評價應參照要害信息基本舉措措施運營者的相似措施,[xlvii]并“可以請求有關部分供給支撐與協助”,目標在于補充國度機關自行評價的專門研究常識和才能缺乏,防止監管評價缺位帶來小我信息出境風險。是以,盡管第36條的表述是“可以請求”,但非網信部分的國度機關準繩上都應該請求支撐與協助,且被請求部分應該供給支撐與協助。[xlviii]“有關部分”指網信部分,但不限于國度網信部分。依據《數據出境平安評價措施(征求看法稿)》第4條,要害信息基本舉措措施運營者小我信息出境應“經由過程地點地省級網信部分向國度網信部分申報數據出境平安評價”。既然國度機關無須申報監管評價,基于下降行政本錢的斟酌,其自行評價亦不用須經由過程地點地省級網信部分向國度網信部分請求支撐與協助,例如,一個街道處事處的大批小我信息出境就無須國度網信部分參與。但為了包包養 管國度機關自行評價的中立性、實效性,提出將來出臺專門措施,規則省級以下國度機關應向上一級網信部分請求支撐與協助,經由過程“下助一級”防止同級協助“走過場”;省級及以上國度機關則應向國度網信部分請求支撐與協助。經平安評價認定小我信息出境能夠影響國度平安、傷害損失公共好處,或許難以有用保證小我信息平安的,不得出境。[xlix]
(三)平安評價之外還有哪些任務?
除依《小我信息維護法》第36條展開平安評價外,依據《小我信息維護法》其他條則及相干規范,國度機關向境外供給小我信息時還應實行至多三類任務。
起首,盡管國度機關的小我信息出境自行平安評價中曾經包括對境外接受方安保辦法和才能的評價,[l]但依據《小我信息維護法》第38條第3款,國度機關還應采取需要辦法保證境外接受方處置小我信息的運動到達本律例, 定的小我信息維護尺度。此類辦法包含請求境外接受方事前許諾或與之簽署合同商定必需到達《小我信息維護法》請求的安保程度,以及事后發明安保程度不達標時結束小我信息出境并究查義務等。
其次,依據《小我信息維護法》第39條,向境外供給小我信息的處置者還應實行兩項任務——告訴信息主體和獲得零丁批准。這對國度機關能否實用,須分情形會商。關于告訴,依據《小我信息維護法》第7條,處置小我信息應該遵守公然、通明準繩,昭示處置目標、方法和范圍。據此,國度機關向境外供給小我信息準繩上應告訴當事人,告訴內在的事務依照第39條包含境外接受方的稱號、聯絡接觸方法、處置目標與方法、行權法式等。但依據《小我信息維護法》第18條和第35條,國度機關在如下情況中免于告訴:法定應該保密、不需求告訴、應急時無法事前告訴以及告訴將妨害實行法定職責。
關于獲得零丁批准,這是指“處置者必需就法令所規則的特定類型的小我信息處置運動專門獲得小我的批准,而不克不及歸納綜合地、一攬包養網 子地獲得小我批准”。[li]若國度機關是以獲得小我批准作為信息處置的符合法規性基本,無論處置運動自始或嗣后觸及出境,國度機關都應自始或嗣后獲得小我零丁批准方可讓數據出境。[lii]難解的題目是:若國度機關根據小我批准之外的符合法規性基本來處置小我信息,好比《小我信息維護法》第13條第1款第2-7項所規則的情況,處置運動自始或嗣后觸及小我信息出境的,能否需求獲得零丁批准?
謎底取決于若何懂得“批准”和“零丁批准”之關系。既有研討存在兩種不雅點。“包括說”以為“獲得小我的零丁批准,當然是指那些基于小我批准處置敏感的小我信息的情況,至于根據法令、行政律例的規則無需小我批准即可處置小我信息的情況,則不實用。”[liii]據此,以非批准類符合法規性基本向境外供給小我信息,無需信息主體零丁批准。相反,“并列說”留意到《小我信息維護法(草案二次審議稿)》第30條與《小我信息維護法》終稿第29條之分歧,前者曾規則“基于小我批准處置敏感小我信息的,小我信息處置者應該獲得小我的零丁批准”,后者規則“處置敏感小我信息應該獲得小我的零丁批准”,而主意后者刪往“基于小我批准處置敏感小我信息的”是為了凸顯即使不是基于小我批准,處置小我信息都需零丁批准。[liv]故以非批准類符合法規性基本向境外供給小我信息,仍需信息主體零丁批准。基于如下五點來由,應采“包括說”,國度機關基于非批准類符合法規性基本向境外供給小我信息,無需依照《小我信包養網 息維護法》第39條獲得零丁批准。
第一,《小我信息維護法》對知情批准的全體性規則在第14條第1款:“基于小我批准處置小我信息的,該批准應該由小我在充足知情的條件下自愿、明白作出。法令、行政律例規則處置小我信息應該獲得小我零丁批准或許書面批准的,從其規則。”盡管兩個分句之間是句號,但既然同處一條,就表現“批准”和“零丁/書面批准”都是對“基于小我批准處置小我信息”這一符合法規性基本的詳細講解,差別在于普通情形下只需求“批准”,法令、行政律例規則的破例情況下才需求零丁/書面批准。
第二,假如小我信息處置是基于《小我信息維護法》第13條第1款第2-7項的符合法規性基本,那么最基礎無需獲得小我批准。若該處置運動自始包括出境,則意味著《小我信息維護法》第13條和第39條呈現實用沖突。有人能夠主意前者是普通法,包養 后者是特殊法,應優先實用后者。但這會排擠《小我信息維護法》第13條第2款:“按照本法其他有關規則,處置小我信息應該獲得小我批准,但有前款第二項至第七項規則情況的,不需獲得小我批准”。此處之所以寫“本法其他有關規則”,就意味著不只指前款第1項,[lv]而是涵蓋《小我信息維護法》除第13條以外一切觸及小我信息處置的規則,例如第22條之因組織變革或崩潰而需求轉移小我信息、第23條之向別人供給小我信息、第25條之公然小我信息、第26條之將小我圖像、成分辨認信息用于非保護公共平安的目標、第29條之處置敏感小我信息,同時也當然包含《小我信息維護法》第39條之小我信息跨境。換言之,依據《小我信息維護法》第13條第2款前半句,上述小我信息處置行動準繩上都應獲得小我批准,除非呈現后半句所列之“有前款第二項至第七項規則情況的”。由此,《小我信息維護法》第13條和第39條包養 之間并不存在實用沖突,更無需將后者作為特殊法優先實用。同理,若基于非批准類符合法規性基本的小我信息處置運動一開端不包括數據出境,嗣后觸及出境,也無須依據《小我信息維護法》第14條第2款[lvi]和第39條獲得小我零丁批准,由於第14條第2款實用的條件是處置運動基于小我批准。[lvii]
第三,根據非批准類符合法規性基本處置小我信息的情況,數據出境無法也不需獲得零丁批准。例如依據《小我信息維護法》第13條第1款第3項的“實行法定職責”,公安機關偵察發明或人有嚴重犯法嫌疑后,根據《刑事訴訟法》第155條,收回包括其小我信息的通緝令,本就無須獲得嫌疑人批准。若嫌疑人叛逃國外,我國公安機關經由過程國際刑警組織發布全球白色通緝令,此時必定觸及嫌疑人小我信息出境,請求獲得零丁批准是荒誕的。又如根據《小我信息維護法》第13條第1款第4項“為應對突發公共衛鬧事件所必須”,出于防止沾染病分散之目標,我國邊檢部分向本國邊檢機關傳遞行將進進本國的沾染者或密接者的小我信息,異樣無須獲得當事人零丁批准。[lviii]
第四,非批准類符合法規性基本與零丁批准無法并存,來由是作為一種特別情勢的批准,零丁批准亦可撤回。假如基于非批准類符合法規性基本向境外供給小我信息依然需求獲得零丁批准,那么當信息主體事后撤回零丁批准,信息處置者照舊可以依據非批准類符合法規性基本向境外供給數據,這將現實上排擠零丁批准。
第五,《小我信息維護法》第29條之所以刪往“基于小我批准處置敏感小我信息的”,并不是要表達任何情況下處置敏感小我信息都需求獲得零丁批准,而是由于這是一句贅語,由於《小我信息維護法》第13條第2款前半句曾經包括了第29條之情況。同理,《小我信息維護法》第25條“小我信息處置者不得公然其處置的小我信息,獲得小我零丁批准的除外”,也無須寫成“基于小我批准處置小我信息的,小我信息處置者不得公然其處置的小我信息,獲得小我零丁批准的除外”,由於并不會形成公然小我信息的獨一符合法規性基本就是獲得零丁批准這種曲解——公安機關依權柄發布通緝令,不成能也不該當獲得被通緝者的零丁批准。是以,只要當國度機關向境外供給小我信息是基于小我批准時,才需求獲得零丁批准,此時必定應事前告訴。反過去,國度機關以非批准類符合法規性基本向境外供給小我信息,無包養 須獲得零丁批准,但并不代表不須告訴,而應基于公然、通明準繩告訴,除非呈現第18條或第35條規則的破例情況。
最后,2021年11月14日公布的《收集數據平安治理條例(征求看法稿)》第39條給向境外供給小我信息的數據處置者增設了一系列任務。此中,接收和處置數據出境所觸及的用戶上訴,數據出境對小我、組織符合法規權益或許公共好處形成傷害損失的依法承當義務,分辨對應《小我信息維護法》第50條和第68條,也應實用于國度機關。該征求看法稿第40條請求小我信息出境的數據處置者在每年1月31日前編制數據出境平安陳述,并向設區的市級網信部分陳述上一年度數據出境情形。由于國度機關向境外供給小我信息無須申報網信部分監管評價,故亦不用向后者陳述數據出境情形,但仍提出在每年1月31日前編制數據出境平安陳述,并提交網信部分以取得專門研究領導和提出。
六、結語
本文剖析表白:要周全、體系地勾畫我國國度機關處置的小我信息跨境活動軌制,不只需求正確懂得《小我信息維護法》第36條,也須綜合考量《小我信息維護法》其他條則以及相干規范。作為一種特別的要害信息基本舉措措施運營者,國度機關在小我信息跨境方面與非國度機關的要害信息基本舉措措施運營者有同也有異。現有治理措施或國度尺度重要針對后者,國度機關處置包養 的小我信息跨境範疇的規定供應嚴重缺乏。這也部門說明了為何《小我信息維護法》實行后,財產界敏捷掀起合規風潮,國度機關卻絕對“冷漠”。是以,應盡快制訂國度機關處置的小我信息的專門規范,[lix]就分歧目標、情勢和範圍的小我信息跨境作有針對性的細化規則,這般方能推進國度機關建立起小我信息平安與活動相均衡的模範。
注釋:
[i] 拜見張舵:《略論小我數s據跨境活動的法令尺度》,載《中國政法年夜學學報》2018年第3期;允許:《不受拘束與平包養網 安:數據跨境活動的中國計劃》,載《舉世法令評論》2021年第1期;洪延青:《推動“一帶一路”數據跨境活動的中國計劃——以美歐范式為佈景的睜開》,載《中法律王法公法律評論》2021年第2期。
[ii] 拜見王楠:《小我信息跨境轉移的法令維護——以公司隱私規定為視角》,載《重慶工商年夜學學報(社會迷信版)》2016年第1期;李海英:《數據當地化立法與數字商業的國際規定》,載《信息平安研討》2016年第2期;彭岳:《數據當地化辦法的商業規制題目研討》,載《舉世法令評論》2018年第2期;趙駿、向麗:《跨境電子商務扶植視角下小我信息跨境活動的隱私權維護研討》,載《浙江年夜學學報(人文社會迷信版)》2019年第2期;張倩雯:《數據當地化辦法之國際投資協議合規性與中國因應》,載《法商研討》2020年第2期;很多奇:《論跨境數據活動規制企業雙向合規的法治保證》,載《西方法學》2020年第2期;朱曉娟:《論跨境電商中小我信息維護的軌制構建與完美》,載《法學雜志》2021年第2期。
[iii] 拜見傅鵬:《〈收集平安法〉系統下的數據跨境傳輸監管框架研討》,載《貿年夜法令評論》2017年第2期;曹博:《跨境數據傳輸的立法形式與完美途徑——從〈收集平安法〉第37條切進》,載《東北平易近族年夜學學報(人文社科版)》2018年第9期;張凌冷:《小我信息跨境活動軌制的三重維度》,載《中法律王法公法律評論》2021年第5期。
[iv] 拜見韓靜雅:《跨境數據活動國際規制的核心題目剖析》,載《河北法學》2016年第10期,第174-175頁。
[v] 允許:《不受拘束與平安:數據跨境活動的中國計劃》,載《舉世法令評論》2021年第1期,第23頁。
[vi] 王融:《數據跨境活動政策認知與提出——從美歐政策比擬及反思視角》,載《信息平安與通訊保密》2018年第3期,第41-42頁。
[vii] 程嘯:《小我信息維護法懂得與實用》,中法律王法公法制出書社2021年版,第301頁。
[viii] 本文服從國際外主流文獻通例,不區分應用“數據”和“信息”。
[ix] 狹義上講,數據跨境活動包含出境和進境,后者觸及一國調取境外數據。本文聚焦于前者,不區分應用“跨境”和“出境”。
[x] 拜見允許:《不受拘束與平安:數據跨境活動的中國計劃》,載《舉世法令評論》2021年第1期,第24頁。
[xi] 拜見吳玄:《數據主權視野下小我信息跨境規定的建構》,載《清華法學》2021年第3期,第77-78頁。
[xii] 拜見張金平:《跨境數據轉移的國際規制及中法律王法公法律的應對》,載《政治與法令》2016年第12期,第140-142頁。
[xiii] 拜見很多奇:《小我數據跨境活動規制的國際格式及中國應對》,載《法學論壇》2018年第3期,第134頁。
[xiv] 拜見王融:《數據跨境活動政策認知與提出——從美歐政策比擬及反思視角》,載《信息平安與通訊保密》2018年第3期,第45頁。
[xv] 拜見王錫鋅、彭錞:《小我信息維護法令系統的憲法基本》,載《清華法學》2021年第3期,第12-13頁。
[xvi] 拜見王玥:《試論收集數據當地化立法的合法性》,載《西安路況年夜學學報(包養網 社會迷信版)》2016年第1期,第56-57頁。
[xvii] 拜見姚斌:《總體國度平安不雅視角下小我信息維護機制研討》,載《保密迷信技巧》2019年第8期,第11頁;齊愛平易近、盤佳:《年夜數據平安法令保證機制研討》,載《重慶郵電年夜學學報(社會迷信版)》2015年第3期,第26頁。
[xviii] 拜見黃寧:《數據當地化的影響與政策劃因研討》,載《中國科技論壇》2017年第9期,第163頁。
[xix] 據2021年11月14日公布的《收集數據平安治理條例(征求看法稿)》第37條,“處置小我信息到達國度網信部分規則多少數字的小我信息處置者”是指“處置一百萬人以上小我信息的數據處置者”。這指向非國度機關的處置者。
[xx] 王爽:《二元義務主體架構下國度機關處置小我信息的規定構建》,載《內蒙古社會迷信》2021年第4期,第110頁。
[xxi] 拜見最高國民法院平易近法典貫徹實行任務引導小組主編:《中華國民共和公民法典總則編懂得與實用》(上),國民法院出書社2020年版,第489-490頁;王愛立主編:《中華國民共和國刑法釋義》,法令出書社2021年版,第639頁。
[xxii] “軍事收集的平安維護,由中心軍事委員會另行規則”;“軍事數據平安維護的措施,由中心軍事委員會根據本法另行制訂”。
[xxiii] 拜見王永全、廖根為主編:《收集空間平安法令律例解讀》,西安電子科技年夜學出書社2018年版,第21頁。
[xxiv] 支持性的學術研討可拜見馮燕春等:《若何辨認要害信息基本舉措措施的鴻溝》,載《中國信息平安》2018年第12期。
[xxv] 依據《收集平安法》第76條第3項,運營者包含一切者、治理者和辦事供給者。
[xxvi] 國度信息平安尺度化委員會2020年7月公布的《信息平安技巧要害信息基本舉措措施鴻溝斷定方式(征求看法稿)編制闡明》指出“本尺度重要參考了美國《辨認國度級此外要害基本舉措措施和要害資本指南》”。
[xxvii] 拜見左曉棟:《要害信息基本舉措措施,保!》,載《收集傳佈》2015年第8期,第42頁。
[xxviii] Department of Homeland Security and the General Services Administration,“Government Facilities Sector-Specific Plan”, www.cisa.gov/sites/default/files/publications/nipp-ssp-government-facilities-2015-508.pdf, accessed November 18, 2021; Department of Homeland Security Federal Protective Service, “Government Facilities Sector”, https://www.dhs.gov/sites/default/files/publications/government_facilities_sector_directive.pdf, accessed November 18, 2021.
[xxix] 拜見楊合慶主編:《中華國民共和國收集平安法解讀》,中法律王法公法制出書社2017年版,第77頁。
[xxx] 《小我信息維護法》草案一、二審稿第40條和終稿第40條完整分歧。
[xxxi] 程嘯:《小我信息維護法懂得與實用》,中法律王法公法制出書社2021年版,第297頁。
[xxxii] 拜見王毅:《苦守多邊主義提倡公正公理通力進行共贏——在全球數字管理研究會上的宗旨講話》,起源:http://www3.fmprc.gov.cn/web/ziliao_674904/zy包養 jh_674906/t1812948.shtml, 2021年11月9日拜訪。
[xxxiii] APEC, “APEC Privacy Framework”, https://www.apec.org/publications/2005/12/apec-privacy-framework, accessed November 11, 2021.
[xxxiv] 當然,這里的條件是“公然”,是在internet上對世公然,而非在局域網上的外部或無限公然。
[xxxv] 當然,依據《小我信息維護法》第27條,國度機關向境外供給已公然的小我信息必需是在“公道的范圍內”,對小我權益有嚴重影響的,還應獲得批准,小我明白謝絕數據出境的,國度機關不得向境外供給。
[xxxvi] 這里的“發生”包含小我信息雖不是在我國境內初次發生,但在境內顛末變更或加工處置的情況。
[xxxvii] 程嘯:《小我信息維護法懂得與實用》,中法律王法公法制出書社2021年版,第297頁。
[xxxviii] 國度internet信息辦公室2019年公布的《小我信息出境平安評價措施(征求看法稿)》和2021年公布的《數據出境平安評價措施(征求看法稿)》均未對此下界說。
[xxxix] 拜見王作富編:《刑法分則實務研討(下)》,中國樸直出書社2010年版,第1843頁。
[xl] 這也包含境外職員在境內與國度機關任務職員交通獲取小我信息,例如全國人年夜及其常委會與國外議會、國際組織停止交通時,彼此盼望清楚對方的議會構成職員的性別、平易近族、個人工作的組成等小我信息。拜見程嘯:《小我信息維護法懂得與實用》,中法律王法公法制出書社2021年版,第297頁。
[xli] 這方面或可參考美國的受控非密信息(controlled unclassified information)軌制。拜見周亞超、左曉棟:《美國受控非密信息分類與平安把持解析》,載《收集空間平安》2020年第3期。
[xlii] 拜見陸麗環:《我國已與81個國度締結引渡公約、司法協助公約等共169項依法依規追逃追贓》,起源:https://www.ccdi.gov.cn/toutiao/202011/t20201111_229776.包養 html, 2021年11月11日拜訪。
[xliii] 龍衛球主編:《中華國民共和國小我信息維護法釋義》,中法律王法公法制出書社2021年版,第186頁。
[xliv] 關于何時需求獲得小我零丁批准,下文將臚陳。
[xlv] 據《小我信息維護法》第56條第2款和《收集數據平安治理條例(征求看法稿)》第39條第1款第6項,小我信息維護影響評價陳述應至多保留三年,國度機關自行評價陳述則無此請求。當然,為事后查詢拜訪改良之便,國度機關自行評價陳述最好也設定最短保留刻日。
[xlvi] 《數據出境平安評價措施(征求看法稿)》第4條規則“累計向境外供給跨越十萬人以上小我信息或許一萬人以上敏感小我信息”也要向國度網信部分申報數據出境平安評價。
[xlvii] 如《數據出境平安評價措施(征求看法稿)》中的相干規則。
[xlviii] 當然,在緊迫情形下基于公共好處所必須的小我信息出境,好比跨境分送朋友疫情防控信息,自行評價和行政協助可以依據《小我信息維護法》第40條最后一句予以寬免,或至多可絕對簡化法式以進步效力,但詳細規定有待制訂。
[xlix] 《小我信息出境平安評價措施(征求看法稿)》第2條。
[l] 《數據出境平安評價措施(征求看法稿)》第5條第4項。
[li] 程嘯:《小我信息維護法懂得與實用》,中法律王法公法制出書社2021年版,第157頁。
[lii] 拜見張凌冷:《小我信息跨境活動軌制的三重維度》,載《中法律王法公法律評論》2021年第5期,第40頁。《收集數據平安治理條例(征求看法稿)》第36條第2款也明白:“搜集小我信息時已零丁就小我信息出境獲得小我批准,且依照獲得批准的事項出境的,無需再次獲得小我零丁批准。”
[liii] 程嘯:《小我信息維護法懂得與實用》,中法律王法公法制出書社2021年版,第273頁;龍衛球主編:《中華國民共和國小我信息維護法釋義》,中法律王法公法制出書社2021年版,第120頁。
[liv] 拜見史宇航:《非基于批准處置小我信息,“零丁批准”能寬免嗎?》,載微信大眾號“數據法盟”,https://mp.weixin.qq.com/s? biz=MzIyNjUxOTQ0MQ==&mid=2247515964&idx=1&sn=b6b6e7409d42526c6d9c83bef32637e9&chksm=e86dcfc2df1a46d404c84a b9c3d864e03c4ef09442d6aef06f1c455d18128adac0a9c1c42ed8#rd, 2021年11月8日拜訪。
[lv] 不然第2款可直接表述為“前款第二項至第七項規則情況下,不需獲得小我批准”。
[lvi] “小我信息的處置目標、處置方法和包養 處置的小我信息品種產生變革的,應該從頭獲得小我批准。”
[lvii] 當然,實際中也能夠呈現符合法規性基本變革的情形,即處置運動先是基于非批准類符合法規性基本,在出境時轉為批准,這時就需求依照第39條獲得零丁批准。
[lviii] 依據《國境衛生檢疫法》第5條,中華國民共和國與本國之間的沾染病疫情傳遞,由國務院衛生行政部分會同有關部分打點。但在緊迫情形下,不經國務院衛生行政部分會同,知情的邊檢機關也應該可以向境外傳遞信息,但此時根據的就不是依法履職這一符合法規性基本,而是應急必須。
[lix] 拜見王錫鋅、彭錞:《小我信息維護法令系統的憲法基本》,載《清華法學》2021年第3期,第19頁。
作者簡介:彭錞,法學博士,北京年夜學法學院助理傳授。
文章起源:《華東政法年夜學學報》2022年第1期。
發佈留言