王春暉
(南京郵電大學(xué) 信息產(chǎn)業(yè)發(fā)展戰(zhàn)略研究院,江蘇 南京 210023)
網(wǎng)絡(luò)安全的核心是數(shù)據(jù)安全,在數(shù)據(jù)對各領(lǐng)域的重要性與日俱增的同時,數(shù)據(jù)風(fēng)險與數(shù)據(jù)安全問題也愈發(fā)突出,給人類和社會帶來了前所未有的挑戰(zhàn)。在此背景下,數(shù)據(jù)出境的安全問題不僅關(guān)乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全問題,還與國家主權(quán)、國家安全、個人信息權(quán)益、社會公共利益等休戚相關(guān)。因此,按照總體國家安全觀的要求,在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》有關(guān)數(shù)據(jù)和個人信息出境法律規(guī)則的框架下,制定一部專門的數(shù)據(jù)出境安全評估規(guī)定十分必要和迫切。
2021年10月29日,國家網(wǎng)信辦公布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(以下稱“征求意見稿”),面向社會征求意見。在廣泛征求意見的基礎(chǔ)上,國家網(wǎng)信辦對“征求意見稿”進(jìn)行了修改和完善。2022年7月7日,國家網(wǎng)信辦公布《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》),并于2022年9月1日起施行。
《辦法》共二十條,對“征求意見稿”的條款內(nèi)容進(jìn)行了進(jìn)一步細(xì)化和完善,在“征求意見稿”十八條的基礎(chǔ)上增加了兩條,一是數(shù)據(jù)處理者對評估結(jié)果有異議的,可以在收到評估結(jié)果15個工作日內(nèi)向國家網(wǎng)信部門申請復(fù)評,復(fù)評結(jié)果為最終結(jié)論(第十三條);二是增加了對“重要數(shù)據(jù)”的定義,即是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)(第十九條)。以下就《辦法》的核心要點(diǎn)進(jìn)行解讀和分析。
數(shù)據(jù)出境,主要指在中國境內(nèi)的數(shù)據(jù)處理者通過網(wǎng)絡(luò)及其他方式(如物理攜帶),將其在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù),通過直接提供或開展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外的組織或個人的一次性活動或連續(xù)性活動[1]。
《辦法》第一條規(guī)定,為了規(guī)范數(shù)據(jù)出境活動,保護(hù)個人信息權(quán)益,維護(hù)國家安全和社會公共利益,促進(jìn)數(shù)據(jù)跨境安全、自由流動,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī),制定本辦法。
從立法目的看,《辦法》體現(xiàn)了總體國家安全觀,其中“規(guī)范、保護(hù)、維護(hù)、促進(jìn)”這四個關(guān)鍵詞在立法目的中是一種遞進(jìn)關(guān)系,規(guī)范數(shù)據(jù)出境活動是核心,只有在規(guī)范數(shù)據(jù)出境活動的基礎(chǔ)上,方能保護(hù)個人信息權(quán)益和維護(hù)國家安全和社會公共利益,從而實(shí)現(xiàn)促進(jìn)數(shù)據(jù)跨境安全和自由流動之目的。數(shù)據(jù)出境安全評估制度是一項(xiàng)重要的法律制度,主要源于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護(hù)法》。
首先,2017年6月1日施行的《網(wǎng)絡(luò)安全法》第三十七條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。
這是我國以法律形式確立數(shù)據(jù)出境需要進(jìn)行安全評估的規(guī)定,上述規(guī)定有兩層含義:一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在國內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲;二是因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)依法進(jìn)行安全評估。這條內(nèi)容主要針對的主體是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者。
其次,2021年9月1日施行的《數(shù)據(jù)安全法》是我國首部數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法,該法第三十一條確立了數(shù)據(jù)出境的基本法律規(guī)則,即“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定”。
上述規(guī)定對重要數(shù)據(jù)出境的法律適用做了分工:一是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的重要數(shù)據(jù)確需出境,適用《網(wǎng)絡(luò)安全法》第三十七條的規(guī)定;二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以外的“其他數(shù)據(jù)處理者”在國內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)出境,適用國家網(wǎng)信辦制定的相關(guān)出境安全管理辦法。上述“相關(guān)出境安全管理辦法”主要指《數(shù)據(jù)出境安全評估辦法》。
最后,2021年11月11日施行的《個人信息保護(hù)法》第三章專章確立了“個人信息跨境提供的規(guī)則”。依據(jù)《個人信息保護(hù)法》第三十八條的要求,個人信息處理者因業(yè)務(wù)等需要,確需向我國境外提供個人信息的,應(yīng)當(dāng)具備下列四項(xiàng)條件之一:一是依照《個人信息保護(hù)法》第四十條的規(guī)定,通過國家網(wǎng)信部門組織的安全評估;二是按照國家網(wǎng)信部門的規(guī)定,經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證;三是按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同,約定雙方的權(quán)利和義務(wù);四是法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件[2]。
上述內(nèi)容與《辦法》有關(guān)數(shù)據(jù)出境安全評估要求基本一致,但是《個人信息保護(hù)法》將“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證”或“與境外接收方訂立合同”的方式,也作為個人信息跨境提供規(guī)則的法定選擇條件之一。
筆者認(rèn)為,《個人信息保護(hù)法》為“個人信息跨境提供規(guī)則”提供了四項(xiàng)選擇(包括一項(xiàng)兜底條件),主要涉及安全評估、保護(hù)認(rèn)證、訂立合同。如果境內(nèi)數(shù)據(jù)和個人信息出境涉及“安全評估”,應(yīng)當(dāng)適用《辦法》的相關(guān)規(guī)定。個人信息出境不屬于“安全評估”范圍的情形,個人信息處理者可以通過個人信息保護(hù)認(rèn)證或者訂立合同的方式,提供相關(guān)個人信息跨境服務(wù)。
事實(shí)上,《個人信息保護(hù)法》第四十條就數(shù)據(jù)出境需要安全評估和不需要安全評估的情形做出了規(guī)定:首先,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,確需向境外提供的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估;其次,法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進(jìn)行安全評估的,從其規(guī)定。
《辦法》第二條進(jìn)一步對數(shù)據(jù)出境安全評估做了劃分,即“數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息,應(yīng)當(dāng)按照本辦法的規(guī)定進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定”。上述規(guī)定劃定了需要對數(shù)據(jù)出境安全評估的兩種情形:
第一,數(shù)據(jù)處理者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù),全部要通過國家數(shù)據(jù)安全評估。該項(xiàng)內(nèi)容明確了對數(shù)據(jù)獲取的兩種模式,一種是“收集”,這是一種主動和積極的行為,主要是通過自動化方式收集的數(shù)據(jù);另一種是在運(yùn)營中信息系統(tǒng)“產(chǎn)生”的數(shù)據(jù)。以上特別強(qiáng)調(diào)的是僅限于“重要數(shù)據(jù)”(critical data),即指以電子方式存在的,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù)。
第二,不是所有的個人信息出境都要進(jìn)行安全評估,個人信息出境只有在符合法律法規(guī)要求的安全評估條件時,才應(yīng)當(dāng)按照《辦法》的規(guī)定進(jìn)行安全評估。比如《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》規(guī)定,“處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息”,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。如果不符合上述規(guī)定的要求,就無需申報個人信息出境安全評估。
《辦法》第二條規(guī)定,數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的安全評估,適用本辦法。法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。根據(jù)上述規(guī)定,《辦法》主要針對在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)和個人信息進(jìn)行安全評估,這里有三個關(guān)鍵詞,一是中國境內(nèi);二是運(yùn)營中收集和產(chǎn)生;三是重要數(shù)據(jù)和一定數(shù)量的個人信息。
這里需要明確運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)之間的區(qū)別,根據(jù)《數(shù)據(jù)安全法》第三條第一款和第二款規(guī)定,數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄。數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。《辦法》中涉及的數(shù)據(jù),包括中國境內(nèi)數(shù)據(jù)處理者通過網(wǎng)絡(luò)及其他方式收集和產(chǎn)生的數(shù)據(jù),但主要是網(wǎng)絡(luò)數(shù)據(jù)。其中,收集數(shù)據(jù),無論是采取自動化方式還是非自動化方式,都是一種具有目的性的積極主動行為,屬于《數(shù)據(jù)安全法》數(shù)據(jù)處理中的七種處理行為之一。
數(shù)據(jù)的產(chǎn)生則不同,其沒有具體的目的,主要是網(wǎng)絡(luò)和信息系統(tǒng)生成的社會數(shù)據(jù),數(shù)據(jù)生成的模式大致有三種情形,一是用戶主動提供的數(shù)據(jù),比如以博客、微博、微信為代表的新型數(shù)字社交平臺,以及以電子商務(wù)為代表的數(shù)字交易平臺,能夠向數(shù)字平臺提供海量數(shù)據(jù);二是數(shù)字城市(城市大腦)的建設(shè)將大量的智能終端設(shè)備和傳感器接入物聯(lián)網(wǎng),各種數(shù)據(jù)采集設(shè)備源源不斷地自動生成并產(chǎn)生海量的數(shù)據(jù);三是企業(yè)在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運(yùn)維服務(wù)、平臺運(yùn)營、應(yīng)用服務(wù)等過程中產(chǎn)生的海量數(shù)據(jù)。
數(shù)據(jù)出境主要有以下三類情形:一是向本國境內(nèi)機(jī)構(gòu)提供數(shù)據(jù),但該機(jī)構(gòu)不屬于本國司法管轄,如外國大使館就屬于使館所在國的國家領(lǐng)土,不屬于派遣國的國家領(lǐng)土;二是數(shù)據(jù)未轉(zhuǎn)移存儲至本國以外的地方,但可以被境外的組織、個人訪問查看,不包括公開的數(shù)據(jù)和通過網(wǎng)頁訪問的數(shù)據(jù);三是數(shù)據(jù)處理者集團(tuán)內(nèi)部數(shù)據(jù)由境內(nèi)轉(zhuǎn)移至境外,其中涉及其在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)。但是以下兩種情形不屬于數(shù)據(jù)出境:一是非在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)經(jīng)由本國出境,且數(shù)據(jù)未經(jīng)任何加工處理;二是非在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù),但在境內(nèi)存儲、加工處理后出境,不涉及境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)[1]。
我國數(shù)據(jù)出境安全評估的目的,是在確保防范數(shù)據(jù)出境安全風(fēng)險的基礎(chǔ)上,保障數(shù)據(jù)依法有序的自由流動。為了實(shí)現(xiàn)上述目的,《辦法》提出了數(shù)據(jù)出境安全評估應(yīng)遵循兩項(xiàng)基本原則:一是堅持事前評估和持續(xù)監(jiān)督相結(jié)合原則;二是風(fēng)險自評估與國家安全評估相結(jié)合原則。
第一項(xiàng)原則表明,重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息,必須在出境前進(jìn)行數(shù)據(jù)安全出境評估,但是保障數(shù)據(jù)出境安全不僅僅是一次性評估,還要對出境后的數(shù)據(jù)進(jìn)行持續(xù)的安全監(jiān)督,重點(diǎn)監(jiān)督與境外接收方訂立法律文件中約定的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)的履行情況;第二項(xiàng)原則表明,對重要數(shù)據(jù)和依法應(yīng)當(dāng)進(jìn)行安全評估的個人信息實(shí)施階梯式評估模式,即“自評估”+“國家安全評估”,以企業(yè)數(shù)據(jù)出境自評估為基礎(chǔ),以國家安全評估為保障,這是一個合二為一的整體性安全評估模式。
《辦法》第四條明確了有以下四種情形之一的,應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估:一是數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);二是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息;三是自上年1月1日起累計向境外提供十萬人個人信息或者一萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息;四是國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。申請者申報數(shù)據(jù)出境安全評估,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門提出。
以上規(guī)定與“征求意見稿”第四條相比變化有兩處:首先,將“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”與“處理一百萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息”合并為一款,該款的主體為兩個,一個是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”,另一個是“處理一百萬人以上個人信息的數(shù)據(jù)處理者”。前者處理的數(shù)據(jù)均為重要數(shù)據(jù),只要出境,必須無條件申報安全評估,后者只是在達(dá)到處理一百萬以上個人信息這個法定條件,才可申報安全評估。其次,在“征求意見稿”的“累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息”基礎(chǔ)上,增加了“自上年1月1日起”,這樣就明確了“累計向境外提供超過十萬人以上個人信息”的計算依據(jù)和起止時間。
依據(jù)《辦法》第五條的規(guī)定,數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前,應(yīng)當(dāng)對以下六項(xiàng)重點(diǎn)內(nèi)容開展數(shù)據(jù)出境風(fēng)險的自評估:一是數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性;二是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險;三是境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全;四是數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險,個人信息權(quán)益維護(hù)的渠道是否通暢等;五是與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等(以下統(tǒng)稱法律文件)是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);六是其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。
以上自評估的內(nèi)容有四大特征,一是數(shù)據(jù)出境的合規(guī)性評估,重點(diǎn)評估數(shù)據(jù)出境的目的、范圍和方式是否符合我國數(shù)據(jù)處理的法定原則——“合法、正當(dāng)、必要”;二是數(shù)據(jù)出境的風(fēng)險性評估,重點(diǎn)從出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感度等四個維度評估出境的數(shù)據(jù)是否會給國家安全、公共利益、個人或者組織合法權(quán)益帶來風(fēng)險;三是數(shù)據(jù)出境的安全保障能力評估,重點(diǎn)評估境外接收方是否能夠保障出境數(shù)據(jù)的安全,尤其是評估境外接收方能否依據(jù)誠實(shí)信用原則,全面履行合同所約定的安全保障義務(wù);四是數(shù)據(jù)出境中和出境后的救濟(jì)渠道評估,重點(diǎn)評估在數(shù)據(jù)出境期間和出境后,一旦遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等,個人信息權(quán)益維護(hù)和救濟(jì)的渠道是否暢通。
數(shù)據(jù)處理者在完成了數(shù)據(jù)出境風(fēng)險自評估之后,應(yīng)按照《辦法》的要求形成自評估報告,同時應(yīng)擬訂與境外接收方簽署的相關(guān)法律文件,數(shù)據(jù)出境合同的擬訂應(yīng)當(dāng)依據(jù)國家網(wǎng)信辦制定的個人信息出境標(biāo)準(zhǔn)合同的相關(guān)規(guī)定。在完成了以上環(huán)節(jié)后,數(shù)據(jù)處理者應(yīng)當(dāng)向省級網(wǎng)信部門提交以下材料:一是申報書;二是數(shù)據(jù)出境風(fēng)險自評估報告;三是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件;四是網(wǎng)絡(luò)部門安全評估工作需要的其他材料。
省級網(wǎng)信部門應(yīng)當(dāng)自收到上述申報材料之日起5個工作日內(nèi)完成完備性查驗(yàn)。這里的“完備性”是指,申報材料全部齊全,不需要再添加任何其他材料。省級網(wǎng)信部門將“完備性”的申報材料報送國家網(wǎng)信部門,如果國家網(wǎng)信部門認(rèn)為申報材料不具備完備性,將退回數(shù)據(jù)處理者并一次性告知需要補(bǔ)充的材料。
國家網(wǎng)信部門自收到完備的申報材料之日起,應(yīng)當(dāng)在7個工作日內(nèi)確定是否受理并書面通知數(shù)據(jù)處理者。最終的處理結(jié)果有三種情形:一是通過安全評估,數(shù)據(jù)處理者可以在收到國家網(wǎng)信部門通過評估的書面通知后,嚴(yán)格按照《辦法》的相關(guān)規(guī)定開展數(shù)據(jù)出境活動;二是未通過安全評估,數(shù)據(jù)處理者應(yīng)當(dāng)立即停止所申報的數(shù)據(jù)出境活動;三是對于不屬于《辦法》安全評估范圍的情形,國家網(wǎng)信部門通知數(shù)據(jù)處理者不予受理,數(shù)據(jù)處理者在接到不予受理的書面通知后,可以依照相關(guān)法律法規(guī)開展數(shù)據(jù)的出境業(yè)務(wù)。
國家網(wǎng)信部門受理申報后,將根據(jù)申報數(shù)據(jù)出境的領(lǐng)域組織國務(wù)院有關(guān)部門、省級網(wǎng)信部門,以及專門機(jī)構(gòu)等進(jìn)行安全評估,安全評估的權(quán)重主要是可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險,著重考慮以下因素:一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性;二是境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響,境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中華人民共和國法律、行政法規(guī)的規(guī)定和強(qiáng)制性國家標(biāo)準(zhǔn)的要求;三是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度,出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險;四是數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障;五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);六是遵守中國法律、行政法規(guī)、部門規(guī)章情況;七是國家網(wǎng)信部門認(rèn)為需要評估的其他事項(xiàng)。
國家網(wǎng)信部門對數(shù)據(jù)出境安全評估的內(nèi)容,基本上與數(shù)據(jù)處理者自評估的內(nèi)容保持了一致性,但在自評估內(nèi)容的基礎(chǔ)上,更強(qiáng)調(diào)兩大方面的內(nèi)容:一是對境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全影響的評估;二是對境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到我國法律、行政法規(guī)規(guī)定和強(qiáng)制性國家標(biāo)準(zhǔn)要求的評估。
數(shù)據(jù)出境安全評估是對數(shù)據(jù)出境風(fēng)險的事先防范,要保證數(shù)據(jù)出境的全過程安全,事先安全評估是非常關(guān)鍵和重要的環(huán)節(jié),但經(jīng)安全評估后的數(shù)據(jù)在由境外接收方實(shí)際控制時,特別是在境外接收方國家或地區(qū)的數(shù)據(jù)安全與個人信息保護(hù)法律與我國法律法規(guī)存在差異的情況下,如何保障數(shù)據(jù)在安全可控的范圍內(nèi),關(guān)鍵在于與境外接收方簽訂切實(shí)可行的合同等法律文件,并使得該合同得到全面履行。
根據(jù)我國法律法規(guī)的要求,數(shù)據(jù)處理者因業(yè)務(wù)等需要,確需向我國境外提供數(shù)據(jù)的,應(yīng)當(dāng)按照國家網(wǎng)信部門制定的關(guān)于標(biāo)準(zhǔn)合同的規(guī)定與境外數(shù)據(jù)接收方訂立合同,約定雙方的權(quán)利和義務(wù),(1)參見《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第三十五條(三)。尤其要突出“數(shù)據(jù)安全優(yōu)先”的義務(wù)。事實(shí)上,國家依法要求雙方簽訂數(shù)據(jù)出境標(biāo)準(zhǔn)合同,是實(shí)現(xiàn)國家數(shù)據(jù)出境安全監(jiān)管的重要措施。
《辦法》第九條要求,數(shù)據(jù)處理者與境外接收方訂立的法律文件,應(yīng)當(dāng)明確約定數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),至少包括以下六項(xiàng)內(nèi)容:一是數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍,境外接收方處理數(shù)據(jù)的用途、方式等;二是數(shù)據(jù)在境外的保存地點(diǎn)、期限,以及達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施;三是對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求;四是境外接收方在實(shí)際控制權(quán)或者經(jīng)營范圍發(fā)生實(shí)質(zhì)性變化,或者所在國家、地區(qū)數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境發(fā)生變化,以及發(fā)生其他不可抗力情形導(dǎo)致難以保障數(shù)據(jù)安全時,應(yīng)當(dāng)采取的安全措施;五是違反法律文件約定的數(shù)據(jù)安全保護(hù)義務(wù)的補(bǔ)救措施、違約責(zé)任和爭議解決方式;六是出境數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險時,妥善開展應(yīng)急處置的要求和保障個人維護(hù)其個人信息權(quán)益的途徑和方式。
以上法律文件中的數(shù)據(jù)安全保護(hù)責(zé)任義務(wù),充分體現(xiàn)了“數(shù)據(jù)安全優(yōu)先”的原則。從數(shù)據(jù)出境的國際實(shí)踐看,合同條款標(biāo)準(zhǔn)化一直被認(rèn)為是數(shù)據(jù)跨境傳輸領(lǐng)域的有效監(jiān)管手段,比如歐盟GDPR將標(biāo)準(zhǔn)化合同條款(SCC)嵌入了跨境數(shù)據(jù)流動的全過程,原因在于該項(xiàng)機(jī)制既能實(shí)現(xiàn)監(jiān)管者對于數(shù)據(jù)跨境傳輸重要事項(xiàng)的直接審核,也能基于違約責(zé)任督促數(shù)據(jù)處理者積極履行數(shù)據(jù)安全保護(hù)義務(wù)[3]。鑒于數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍的復(fù)雜性與不確定性,在數(shù)據(jù)安全保障義務(wù)性條款的基礎(chǔ)上,關(guān)鍵是對違約責(zé)任進(jìn)行約定,這是保障標(biāo)準(zhǔn)合同義務(wù)實(shí)現(xiàn)的基礎(chǔ),建議以“過錯責(zé)任推定”的模式約定違約責(zé)任的承擔(dān)方式。我國《個人信息保護(hù)法》第六十九條規(guī)定,處理個人信息、侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
同時,應(yīng)參照數(shù)據(jù)接受方國家或地區(qū)的法律,加大違約賠償責(zé)任的約定,如GDPR規(guī)定,違反第58(2)條規(guī)定的監(jiān)管機(jī)構(gòu)發(fā)布的命令,應(yīng)當(dāng)按第2段的規(guī)定施加最高2 000萬歐元的行政罰款,如果是集團(tuán)的話,可以施加最高前一年全球總營業(yè)額4%的罰款,兩者取高的一項(xiàng)進(jìn)行處罰。
實(shí)際上,歐盟個人數(shù)據(jù)出境的規(guī)則與我國數(shù)據(jù)出境安全評估的原則基本是一致的,但是兩者對“數(shù)據(jù)安全”保護(hù)的側(cè)重點(diǎn)有所不同。從GDPR的立法目可以看出,歐盟的個人數(shù)據(jù)保護(hù)立法主要強(qiáng)調(diào)保護(hù)個人隱私權(quán)并促進(jìn)該權(quán)利的行使,其中從個人數(shù)據(jù)權(quán)利的法律歸屬上,設(shè)定了“個人數(shù)據(jù)”“數(shù)據(jù)主體”“數(shù)據(jù)主體權(quán)利”并采取了嚴(yán)格的全球個人隱私保護(hù)措施[4]。
我國數(shù)據(jù)出境安全評估制度不僅要保護(hù)個人信息,更重要的是保障重要數(shù)據(jù)出境活動的安全。個人信息的出境安全評估申報有一定數(shù)量的限制,即“處理一百萬人以上個人信息”或“自上年1月1日起累計向境外提供十萬人個人信息或者一萬人敏感個人信息”;重要數(shù)據(jù)的出境必須全部申報安全評估,沒有任何數(shù)量的限制。因?yàn)橹匾獢?shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù)。
根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》對重要數(shù)據(jù)的解釋,重要數(shù)據(jù)主要包括以下七類數(shù)據(jù):一是未公開的政務(wù)數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù);二是出口管制數(shù)據(jù),出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù),密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩?、?jīng)濟(jì)競爭實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù);三是國家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護(hù)或者控制傳播的國家經(jīng)濟(jì)運(yùn)行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計數(shù)據(jù)等;四是工業(yè)、電信、能源、交通、水利、金融、國防科技工業(yè)、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)、運(yùn)行的數(shù)據(jù),關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù);五是達(dá)到國家有關(guān)部門規(guī)定的規(guī)?;蛘呔鹊幕颉⒌乩?、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù);六是國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù),國防設(shè)施、軍事管理區(qū)、國防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù);七是其他可能影響國家政治、國土、軍事、經(jīng)濟(jì)、文化、社會、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。(2)參見《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第七十三條(三)。
從以上七種“重要數(shù)據(jù)”的內(nèi)容上看,主要涉及國家安全和公共利益,這些數(shù)據(jù)出境后,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能嚴(yán)重危害國家安全、公共利益。筆者建議,重要數(shù)據(jù)應(yīng)當(dāng)以“非必要不出鏡”為原則,出境為例外,只有在具有特定的目的和充分必要的條件下,并在采取嚴(yán)格保護(hù)措施的基礎(chǔ)上,方可出境。
南京郵電大學(xué)學(xué)報(社會科學(xué)版)2022年4期