彭錞:论国家机关处理的个人信息跨境流动制度——以《个人信息保护法》第36条为切入点

选择字号:   本文共阅读 98 次 更新时间:2022-03-15 23:46:42

进入专题: 国家机关     个人信息   《个人信息保护法》  

彭錞  

   摘要:  《个人信息保护法》第36条的基本目标是平衡个人信息流动和安全,整体定位等同于第40条,因为国家机关属于关键信息基础设施的运营者。"国家机关"指军事机关以外的党政机关及法律、法规、规章授权的公共管理或服务组织。"个人信息"指在中国内地收集和产生的、未经当事人自行公开或合法公开的个人信息。"境内存储"指个人信息存储介质位于中国内地且其上的个人信息不被境外主体以非公开方式读取。"向境外提供"指个人信息存储介质出境或境内介质存储的个人信息被境外主体以非公开方式读取。国家机关处理的个人信息出境,包括物理载体出境、国际合作出境和安全评估出境,安全评估由国家机关在网信部门支持下自行开展。此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。

   关键词:  个人信息保护法;国家机关;境内存储;跨境流动;安全评估

  

   一、问题的提出

  

   2021年11月1日生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”这在中国法上首次确立了国家机关处理的个人信息跨境流动制度。事实上,我国很早就开始关注此问题。2012年国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》就曾指出“为政府机关提供服务的数据中心、云计算服务平台等要设在境内”。2016年通过的《网络安全法》第31条更是将“公共服务”“电子政务”纳入关键信息基础设施领域,第37条明确“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”在此背景下,《个人信息保护法》第36条针对国家机关处理的个人信息设置了境内存储为原则、安全评估后出境为例外的框架。然而,遗憾的是,个人信息保护相关文献虽早已汗牛充栋,但既有研究或探讨中国的数据跨境流动的宏观模式,[i]或聚焦于非国家机关主体处理的个人信息跨境流动,[ii]或解读《网络安全法》第37条及《个人信息保护法》第三章“个人信息跨境提供的规则”,[iii]却极少论及国家机关处理的个人信息跨境,[iv]对《个人信息保护法》第36条的专题分析更是付之阙如。本文试图填补此空白,以《个人信息保护法》第36条为切入点,从基本目标、整体定位、境内存储义务和跨境提供规则四个方面,初步勾勒我国国家机关处理的个人信息跨境流动制度。

  

   二、国家机关处理的个人信息跨境流动制度之基本目标

  

   时至今日,信息网络早已打破国与国的边界,数据穿越国境成为常态。所谓“数据跨境流动”(trans-border data flow),意指“在一国内生成的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工”。[v]数据跨境流动制度可理解为“一国政府针对数据跨越边境的传输、处理活动所采取的基本立场以及配套管理措施的集合”。[vi]作为数据跨境流动的子概念,“个人信息跨境流动”(trans-border flow of personal information)是指“一国境内的个人信息流出境内,为他国的公权力机关或者民事主体所读取、收集、存储、加工、使用等”。[vii]一国对此的基本立场和配套管理措施就是其个人信息跨境流动制度。[viii]根据《个人信息保护法》第36条,国家机关处理的个人信息跨境流动制度“以本地存储为原则,以安全评估出境为例外”。[ix]如此安排究竟基于何种考虑?意欲达到何种目标?要回答这些问题,须将我国立法置于全球视野下考察。

  

   自1980年经合组织(OECD)发布《隐私保护和个人数据跨境流动指南》以来,全球各国或地区纷纷建立个人数据跨境制度。整体上,该制度包含两种极易混淆的手段——数据本地化(data localization)和数据出境管控(control of trans-border data flow)。前者指本地化存储数据,但不一定彻底禁止数据出境;后者指对数据出境施加限制条件,但不一定要求数据本地化存储。[x]一个国家完全可以既要求个人信息本地化存储,同时又附条件地允许个人信息出境;反之,也可以不要求个人信息本地化存储,但对自愿存储在境内的个人信息出境予以限制。这两种手段以不同方式组合,就会产生不同的个人信息跨境制度。

  

   首先,关于本地化,有学者将各国实践归纳为三种模式。(1)无本地化模式,即不要求个人信息本地存储,只规定个人信息出境管制,典型如欧盟《通用数据保护条例》(以下简称“GDPR”)。(2)弱本地化模式,即要求特定个人信息本地存储,如澳大利亚2012年《我的健康记录法》禁止将个人健康信息转移至境外,又如印度2019年《个人数据保护法》要求关键个人信息本地化。(3)强本地化模式,即要求所有个人信息本地化存储,典型如俄罗斯2014年修订的《个人信息保护法》要求数据控制者在处理公民个人信息时必须使用境内的数据库。[xi]

  

   其次,关于出境管控,有学者曾总结了三种模式,[xii]2018年生效的GDPR增加了两种,共五种模式。(1)接收国适当性评估模式,即只有当数据接收国具有同数据出境国实质同等的个人信息保护水平时,个人信息方可出境,典型如欧盟1995年《数据保护指令》第25条规定:若欧盟范围以外的其他国家能够对欧盟公民的个人数据提供非常充分的保护,满足欧盟以及欧盟成员国的法律法规,则欧盟公民个人数据可以从欧盟境内转移到欧盟境外。GDPR第45条延续此传统,要求只有当数据接收国对个人数据提供充分保护时方可让个人数据出境,并将数据接收国的法治程度、人权保障水平等作为评估因素。(2)数据控制者担保模式,即在数据控制者自身能确保个人数据安全时允许数据出境。尽管美国联邦层面未就个人信息跨境进行统一立法,但根据其主导构建的APEC “跨境隐私规则体系”(CBPR)可以发现,美国在原则上允许个人数据跨境的前提下,要求数据控制者确保个人数据跨境传输的安全。[xiii](3)数据主体同意模式,即在取得数据主体同意的情况下允许个人数据出境。典型如日本《个人数据保护法》第23条规定“个人数据控制者事先未获得数据主体的同意的,不得将其个人数据向第三者提供”,“第三者”可位于境外。GDPR第49条第1款a项也规定:当数据主体被告知其个人数据出境所包含的可能风险后仍明确表示同意时,允许个人数据出境。(4)数据跨境机制合规模式,即按照事先给定、官方认可的框架性机制跨境传输个人信息。典型的如GDPR第46条规定的“充分保障措施”(appropriate safeguards),包括“标准合同文本”(SCC)和“有约束力的公司规则”(BCR)。[xiv](5)公益或私益例外模式,即在保护公共利益或重大私人利益所必需时允许个人数据出境。典型的如GDPR第49条第1款除a项外的其他内容,其规定当数据跨境为数据主体与数据控制者之间履行合同、重要公共利益目的、建构、行使或辩护法律上之请求、保护无法表示同意的数据主体之重要利益等所必需时,允许个人信息出境。综上,各国个人信息跨境制度的不同形态可如下图所示:

  

  

  

   在此视野下,《个人信息保护法》第36条所建立的国家机关处理的个人信息跨境流动制度既沿袭国际经验,也富有本土特色。数据本地化方面,我国选择了特定个人信息本地化模式,要求国家机关处理的个人信息境内存储,一般个人信息处理者则无此要求;数据出境管控方面,我国并未效仿欧美国家的接收国适当性评估、数据控制者担保、数据跨境机制合规等做法,而是针对国家机关处理的个人信息出境设置一事一议的安全评估机制。如此安排体现了数据安全保障和数据自由流动两者之间的审慎平衡。一方面,个人信息不仅微观上与公民人格尊严紧密联系,[xv]宏观上也与国家安全息息相关,[xvi]国家机关处理的个人信息更是具有重大安全价值。典型如国家安全机关掌握的涉密人员个人信息,一旦向境外泄露将对国家安全利益造成巨大损害;即便是非涉密人员的个人信息,被境外组织获取后也会造成政治安全风险,“剑桥分析”事件殷鉴不远。[xvii]更重要的是,相较于非国家机关主体,国家机关处理的个人信息在数量、规模、颗粒度方面有整体优势,例如,任何一家企业掌握的公民个人金融信息都无法与央行相比。因此,早在2011年,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条就指出:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。”《个人信息保护法》第36条则对所有国家机关课以个人信息境内存储义务。较之数据出境管控,数据本地化确实对数据自由流动限制更大,但能更有效地实现属地管辖,维护国家安全。另一方面,基于国际间政府交流、跨国执法协作、知识分享和技术转移等现实情境,国家机关处理的个人信息并非“铁桶阵”,而是有跨境流动的正当需求,尽管这种需求可能不如企业旺盛。有鉴于此,《个人信息保护法》第36条从两方面确立了出境通路:一是出境的前提,即“确需向境外提供”,意指个人信息出境是唯一能实现国家机关特定目标的手段;二是出境的方式,即“应当进行安全评估”,意指唯有通过评估方可出境。事实上,光有数据本地化并不能确保数据安全,因为只要服务器接入互联网,即便置于境内,数据仍可出境。[xviii]所以,安全评估机制同时体现了数据自由流动和安全保障两种价值。实现两者平衡,正是《个人信息保护法》第36条的基本目标。

  

   三、国家机关处理的个人信息跨境流动制度之整体定位

  

   《个人信息保护法》针对三类主体设定了个人信息跨境流动制度,分别为第36条的国家机关,第38条的一般个人信息处理者以及第40条的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。其中,第40条与第36条高度类似,均规定“以本地存储为原则,以安全评估出境为例外”。由此而来的问题是:国家机关和关键信息基础设施运营者对应的两套个人信息跨境制度究竟是何关系?[xix]这决定了国家机关处理的个人信息跨境流动制度在《个人信息保护法》设立的多套数据跨境制度中的整体定位。有学者提出“参照说”,主张“国家机关收集的个人信息在数量和质量上都优于信息业者,并且可能关涉国家和社会公共利益”,故第36条是在“参照《网络安全法》对关键信息基础设施收集和生成的个人信息进行保护”。[xx]本文提出“等同说”,认为两套制度没有本质区别,理由是国家机关应被视为关键信息基础设施运营者。

  

首先须澄清的是:何谓“国家机关”?《个人信息保护法》第二章第三节涵盖两类主体:“国家机关”和“准国家机关”,后者指第37条所称的“法律、法规授权的具有管理公共事务职能的组织”。关于“国家机关”,(点击此处阅读下一页)

    进入专题: 国家机关     个人信息   《个人信息保护法》  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/132010.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统