首页 - 科学研究 - 科研成果

科研成果

bat365在线平台教授洪延青在《中国法律评论》官方账号发表文章

原文标题:准确认识《规范和促进数据跨境流动规定(征求意见稿)》的重大转变

原文链接:https://mp.weixin.qq.com/s/KpXwIbHPTfis9oKmomVnaw


9月28日,国家互联网信息办公室发布了“关于《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见的通知”。经过假期的沉淀,对该通知的解读逐渐出现。总体的看法显然是积极和欢迎的,认为《规范和促进数据跨境流动规定(征求意见稿)》(简称“征求意见稿”)所提出的路径对促进数据跨境流动具有十分正面的作用。笔者也持同样的态度,但与许多解读中提出的“征求意见稿”仅是实现了“局部性的突破”或主要是“澄清和细化”不同,笔者认为“征求意见稿”事实上重构了我国数据出境安全管理体制。

征求意见稿”发布前的现状总结

我国《个人信息保护法》第三十八条规定了个人信息出境的三个路径:

“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。

目前,国家网信部门发布的《数据出境安全评估办法》和《个人信息出境标准合同办法》,分别细化了第三十八条中的安全评估和标准合同。国家网信部门还未制定关于个人信息保护认证的管理办法,但和国家市场监管总局联合发布了《个人信息保护认证实施规则》,将个人信息跨境处理活动纳入认证制度之中。

根据国家网信部门当前的制度设计,出境安全评估是企业向境外提供个人信息的主要合规路径,即出境安全评估适用于多数场景,具体包括:

(1)数据处理者向境外提供重要数据;

(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

只有在不满足上述三个场景的情况下,企业才能通过签订标准合同的方式开展数据出境活动。

对于个人信息保护认证,由于“征求意见稿”之前,国家网信部门并未通过法律文件明确个人信息保护认证所适用的个人信息出境活动或场景,因此企业对于开展认证积极性不高,且目前没有企业取得个人信息保护认证。

“征求意见稿”能动性地运用《个人信息保护法》的授权重构现有体制

“征求意见稿”的上位法授权,显然来自于《个人信息保护法》第三十八条中“法律、行政法规或者国家网信部门规定的其他条件”的规定。在笔者看来,国家网信部门对“规定的其他条件”的能动性运用体现在以下三个方面:

(一)从原先“家长式监督”转变为事中事后监管

让我们再回到《个人信息保护法》第三十八条。三十八条首先规定了向境外提供个人信息应当符合的四个条件,以及“国际条约、协定”路径。这两者是并列关系。两者有其一即可。但“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”这个要求却是刚性要求,即这是个人信息处理者在何种路径中都必须履行的义务。所以在《个人信息保护法》设计的逻辑是“四个条件”+“个人信息处理者义务”,或者“国际条约、协定”+“个人信息处理者义务”这样的两个组合;且在每个组合内部,并没有天然地认为哪一层面是主,哪一层面为辅。

在现有体制中,国家互联网信息办公室在设计安全评估、认证、标准合同的具体内容时,基本思路是确保境外接收方“达到本法规定的个人信息保护标准”,造成的局面是,实践中,个人信息出境方普遍认为只要通过评估或认证,或者签署了标准合同,其确保境外接收方“达到本法规定的个人信息保护标准”的义务也就完成了。换句话说,原本法律设计的“四个条件”+“个人信息处理者义务”中的双层结构,也就变成了一层结构了。笔者称之为“家长式监督”。

在“征求意见稿”的设想中,规定了许多“不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的情形(本文称为“三条件豁免”,具体体现在第三、第四、第无、第七等等)。此时,即便个人信息处理者符合上述情形,其按照《个人信息保护法》第三十八条的规定,仍然需要履行确保境外接收方“达到本法规定的个人信息保护标准”的义务。换句话说,又恢复了原本《个人信息保护法》所设计的双层结构。这也是为什么“征求意见稿”在第九条重申“数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告”。网信部门将自己的定位,在上述“三条件豁免”时,从原先“家长式监督”转变为事中事后监管。

在笔者看来,这是一个重大的转变:不仅凸显了法律原本确立的双层结构,还转变了自己的角色和定位。

(二)从原本中央管控转变为央地分权

在现有的《数据出境安全评估办法》中,安全评估通过与否的最终决策权力在国家互联网信息办公室。《个人信息出境标准合同办法》虽然规定,个人信息处理者应“在标准合同生效之日起10个工作日内向所在地省级网信部门备案”,但备案并不是事前“批准”,而且《个人信息出境标准合同》内容的制定和内容调整,都是在国家网信部门。《个人信息保护认证实施规则》的实施更是国家互联网信息办公室和市场监管总局联合实施。因此,我国数据出境安全管理体制中,中央事权的色彩非常浓重。

但在“征求意见稿”中,第七条明确规定:“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。

换句话说,国家网信部门运用《个人信息保护法》第三十八条中“国家网信部门规定的其他条件”,做了向地方自贸区分权的决定。而三十八条中的其他所有条款,均将事权集中于中央层面。不仅三个条件是如此,“国际条约、协定”更是如此。在笔者看来,这是一个重大的转变:在法律现有条文中均明确为中央事权的情况下,利用法律授权,将中央事权在一定情况下向地方授权;地方作出决定后,仅需要向“国家网信部门备案”即可。

(三)从普遍式监管转变选择性事前监管

这个重大转变进一步体现在至少以下两个方面:

第一,如果以《个人信息保护法》第十三条所列举的七项个人信息处理合法性基础为基本标尺,现有体制对七项合法性基础所支撑的个人信息出境行为,或者适用数据出境安全评估,或者采取标准合同路径,也就是说没有遗漏。但“征求意见稿”中第四条明确提出,《个人信息保护法》第十三条的七项合法性基础的三项,“不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。

换句话说,向境外提供个人信息这个处理动作能够被这三项合法性基础支撑时,就能够享有“三条件豁免”,此时唯一用来保障个人信息保护水平的就剩下前述的个人信息处理者确保境外接收方“达到本法规定的个人信息保护标准”的义务。这样的规定,事实上比欧盟的《通用数据保护条例》(以下称“GDPR”)来的宽松,例如欧盟并没有在合同所必需、人力资源管理这两个情况中豁免GDPR第46条中规定的要求。

第二,“征求意见稿”第三条进一步豁免了“不是在境内收集产生的个人信息”向境外提供时,需要申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证的要求。

但实际上,“境内收集产生”这样的限定,在《个人信息保护法》中出现在“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内”(第四十条),在《网络安全法》中出现在“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”(第三十七条),在《数据安全法》中出现在“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”(第三十一条)。因此,“境内收集产生”主要是与“关键信息基础设施+本地化存储”所搭配。

对于向境外提供个人信息,《个人信息保护法》采取的主要是属地原则,而无论个人信息是否在境内收集或者产生。

具体体现在,首先,“在中华人民共和国境内处理自然人个人信息的活动,适用本法”(第三条),其次,“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的”(第三十八条),再次,“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”(第四十一条)。

笔者想强调的是,单单从《个人信息保护法》字面解读,并没有豁免“不是在境内收集产生的个人信息向境外提供”时,可以不适用第三十八条。在笔者看来,这也是一个重大的转变:在法律没有提供豁免的情况下,国家网信部门运用《个人信息保护法》第三十八条中“国家网信部门规定的其他条件”对此做出了豁免。事实上GDPR对此情况,也没有提供类似的豁免。

结语

作出上述分析的目的,在于全面准确地认识“征求意见稿”提出的政策转变所蕴含的意义和影响,特别是“征求意见稿”出台的当下,我国所处的经济和国际环境,笔者认为理解这些重大转变的意义,至关重要。最后要强调的是,以上的分析仅是笔者对“征求意见稿”认真分析后并回溯到上位法时产生的部分想法,而且也仅仅是一种法律文本分析而已。这些分析也不代表笔者在政策层面的立场和意见。