中國式的封阻立法
不論立法還是實踐,對于執法司法目的的跨境調“取”數據還是“防”范境外的數據跨境調取行為,中國的基本立場均是強調主權不容侵犯,堅持應通過主權國家之間的平等互惠合作來開展。【見:數據跨境流動 | “法律戰”漩渦中的執法跨境調取數據:以美歐中為例】類似的立場可從見于:
《國際刑事司法協助法》
第四條 中華人民共和國和外國按照平等互惠原則開展國際刑事司法協助。
國際刑事司法協助不得損害中華人民共和國的主權、安全和社會公共利益,不得違反中華人民共和國法律的基本原則。
非經中華人民共和國主管機關同意,外國機構、組織和個人不得在中華人民共和國境內進行本法規定的刑事訴訟活動,中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助。
《數據安全法》
第三十六條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。
《個人信息保護法》
第四十一條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
類似的,數安條例在第三十九條也提出了類似的規定:
第三十九條 數據處理者向境外提供數據應當履行以下義務:
(一)不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規模等向境外提供個人信息;
(二)不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據;
(三)采取合同等有效措施監督數據接收方按照雙方約定的目的、范圍、方式使用數據,履行數據安全保護義務,保證數據安全;
(四)接受和處理數據出境所涉及的用戶投訴;
(五)數據出境對個人、組織合法權益或者公共利益造成損害的,數據處理者應當依法承擔責任;
(六)存留相關日志記錄和數據出境審批記錄三年以上;
(七)國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示;
(八)國家網信部門認定不得出境的,數據處理者應當停止數據出境,并采取有效措施對已出境數據的安全予以補救;
(九)個人信息出境后確需再轉移的,應當事先與個人約定再轉移的條件,并明確數據接收方履行的安全保護義務。
非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。
強制要求提供 vs. 自愿提供
對于上述規定的第一個事項是:上述條文中要求“主管機關批準”,僅針對外國司法執法機關明確提出的數據調取要求,還是同時覆蓋境內個人、組織主動向外國司法執法機關提供數據的行為。
首先,2018年10月通過的《國際刑事司法協助法》的相關審議情況中可以看到,該條款專門針對外國司法執法機關針對中國境內的機構、組織和個人直接發出數據和信息調取命令的情況,并不包含中國境內的機構、組織和個人在海外應訴時主動且自愿向外國司法執法機關提供數據和信息的行為。
在全國人民代表大會憲法和法律委員會關于《中華人民共和國國際刑事司法協助法(草案)》審議結果的報告中,有這么一段話——“有的部門提出,實踐中有外國司法執法機關未經我國主管機關準許要求我境內的機構、組織和個人提供相關協助,損害我國司法主權和有關機構、組織和個人的合法權益。為有效應對這種情況,抵制外國的”長臂管轄“要求,建議在草案中增加相關的規定。憲法和法律委員會經研究,建議采納這一意見,增加規定,非經中華人民共和國主管機關同意,中華人民共和國領域內的機構、組織和個人不得向外國提供證據材料和本法規定的協助”。【http://www.npc.gov.cn/zgrdw/npc/xinwen/2018-10/26/content_2064519.htm】
其次,看《數據安全法》和《個人信息保護法》的行文邏輯。《數據安全法》第36條——“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”。應當特別注意到第36條兩句話并為一段,而非并未分立為兩款。因此兩句話內容是承接關系。
第一句話內容是中國主管機關處理“外國司法或者執法機構關于提供數據的請求”時應當秉持的原則和立場。第二句話順承地表述了和《國際刑事司法協助法》一樣的語句,即面對外國司法執法機關直接調取數據和信息的強制命令時,境內機構、組織和個人應當事先申請并獲得中國主管機關的批準。
《個人信息保護法》采取了與《數據安全法》幾乎一致的行文邏輯。
因此綜上可以確認,從立法意圖上來說,中國法律中的相關條款,主要是為了應對外國政府和司法機構在數據方面的“長臂管轄”——直接且具有強制力地調取存儲于中國境內的數據和信息。對于中國境內機構、組織和個人,應對海外訴訟和海外調查時,主動、自愿、不受任何壓力地向外國司法執法機關提供數據和信息的行為,似乎并不要求批準。
主管機關批準 vs. 數據出境安全管理
第二個事項是:主管機關批準和數據出境安全管理的競合關系。這里面有兩個方面的問題:第一個問題,對于境外的強制調取,是否要同時履行數據出境安全義務(無論是安全評估、合同等)和主管機關批準程序,或者后者即可?第二個問題,對于向境外主動提供,如果按照前文分析無需主管機關批準的話,是否要履行數據出境安全義務?
首先,從《數據安全法》和《個人信息保護法》中,似乎讀不出對于境外的強制調取,需要同時履行數據出境安全義務(無論是安全評估、合同等)和主管機關批準程序的要求。
《數據安全法》中,第三十六條出現在“第四章 數據安全保護義務”之中,第三十六條和第三十一條【“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定”。】是個并列的關系。因此,可以理解為針對不同情形的不同規定。
在《個人信息保護法》中,第四十一條出現在“第三章 個人信息跨境提供的規則”之中。但第三十八條有個前置條件——“因業務等需要”。一般來說,境外執法和司法機構的強制調取,不是業務需要的一部分。因此,也可以理解為第三十八條和第四十一條是不同情形的不同規定。
第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。
但在數安條例中,很有意思的是,“非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”的規定不是獨立成條(而且這是否意味著自愿提供也要求批準?)而是放在第三十九條的第二款。而第三十九條第一款是“數據處理者向境外提供數據應當履行以下義務”。
應該來說,不是同一個事項的內容,不放在同一個條款之中。因此,似乎可以認為數安條例的立法原意是——對于境外的強制調取,數據處理者需要同時履行數據出境安全義務(無論是安全評估、合同等)和主管機關批準程序的要求。如果是這樣的要求,那么就要明確網信部門的數據出境安全評估和主管機關批準程序之間的關系。相信現在已經有組織或個人已經有著厘清上述關系的要求。
而對于中國境內機構、組織和個人,應對海外訴訟和海外調查時,主動、自愿、不受任何壓力地外國司法、執法機關提供數據和信息,公號君始終認為應當遵守數據出境安全方面的要求。具體來說,應當主動過濾、刪減掉明文禁止出境的數據和信息;對于為明文禁止出境的數據和信息,進行數據出境安全評估。數據出境安全評估主要考慮:數據出境的目的、類型、量級、使用目的,數據接收方的安全能力,所在地政治法律環境情況是否會導致數據(非自愿的)二次共享等情況。也就是數安條例和數據出境安全評估辦法中規定的評估事項。(完)
