一、问题的提出
2021年11月1日生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”这在中国法上首次确立了国家机关处理的个人信息跨境流动制度。事实上,我国很早就开始关注此问题。2012年国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》就曾指出“为政府机关提供服务的数据中心、云计算服务平台等要设在境内”。2016年通过的《网络安全法》第31条更是将“公共服务”“电子政务”纳入关键信息基础设施领域,第37条明确“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”在此背景下,《个人信息保护法》第36条针对国家机关处理的个人信息设置了境内存储为原则、安全评估后出境为例外的框架。然而,遗憾的是,个人信息保护相关文献虽早已汗牛充栋,但既有研究或探讨中国的数据跨境流动的宏观模式,
二、国家机关处理的个人信息跨境流动制度之基本目标
时至今日,信息网络早已打破国与国的边界,数据穿越国境成为常态。所谓“数据跨境流动”(trans-border data flow),意指“在一国内生成的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工”。
自1980年经合组织(OECD)发布《隐私保护和个人数据跨境流动指南》以来,全球各国或地区纷纷建立个人数据跨境制度。整体上,该制度包含两种极易混淆的手段——数据本地化(data localization)和数据出境管控(control of trans-border data flow)。前者指本地化存储数据,但不一定彻底禁止数据出境;后者指对数据出境施加限制条件,但不一定要求数据本地化存储。
首先,关于本地化,有学者将各国实践归纳为三种模式。(1)无本地化模式,即不要求个人信息本地存储,只规定个人信息出境管制,典型如欧盟《通用数据保护条例》(以下简称“GDPR”)。(2)弱本地化模式,即要求特定个人信息本地存储,如澳大利亚2012年《我的健康记录法》禁止将个人健康信息转移至境外,又如印度2019年《个人数据保护法》要求关键个人信息本地化。(3)强本地化模式,即要求所有个人信息本地化存储,典型如俄罗斯2014年修订的《个人信息保护法》要求数据控制者在处理公民个人信息时必须使用境内的数据库。
其次,关于出境管控,有学者曾总结了三种模式,
在此视野下,《个人信息保护法》第36条所建立的国家机关处理的个人信息跨境流动制度既沿袭国际经验,也富有本土特色。数据本地化方面,我国选择了特定个人信息本地化模式,要求国家机关处理的个人信息境内存储,一般个人信息处理者则无此要求;数据出境管控方面,我国并未效仿欧美国家的接收国适当性评估、数据控制者担保、数据跨境机制合规等做法,而是针对国家机关处理的个人信息出境设置一事一议的安全评估机制。如此安排体现了数据安全保障和数据自由流动两者之间的审慎平衡。一方面,个人信息不仅微观上与公民人格尊严紧密联系,
三、国家机关处理的个人信息跨境流动制度之整体定位
《个人信息保护法》针对三类主体设定了个人信息跨境流动制度,分别为第36条的国家机关,第38条的一般个人信息处理者以及第40条的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。其中,第40条与第36条高度类似,均规定“以本地存储为原则,以安全评估出境为例外”。由此而来的问题是:国家机关和关键信息基础设施运营者对应的两套个人信息跨境制度究竟是何关系?
首先须澄清的是:何谓“国家机关”?《个人信息保护法》第二章第三节涵盖两类主体:“国家机关”和“准国家机关”,后者指第37条所称的“法律、法规授权的具有管理公共事务职能的组织”。关于“国家机关”,《个人信息保护法》没有明确定义,但可比照先前立法来解释。《民法典》和《刑法》上,“国家机关”是指“国家为实现其政治统治职能和管理职能而设立的国家机构的总称”,包括立法、行政、军事、监察、审判、检察机关,也包括党的各级机关、人民政协、民主党派机关。
接下来的问题是:何谓“关键信息基础设施”?中国法上,其首见于《网络安全法》第31条:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”《关键信息基础设施安全保护条例》第2条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”如何理解这两个条文对“关键信息基础设施”的界定?
仔细对比可发现二者有同有异。相同点在于都采用“列举+兜底”的结构,先列举重要行业和领域,再以核心特征来兜底,前后通过“以及其他”相关联。据此,关键信息基础设施的本质为“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,而“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”在立法上被视为符合这一核心特征。
基于上述分析,尽管中国法尚无明文规定,但基于如下五点理由,应把国家机关视为关键信息基础设施运营者。
第一,从立法背景来看,2017年7月公布的《关键信息基础设施安全保护条例(征求意见稿)》第18条曾明确把政府机关、公用事业单位和广播电台、电视台、通讯社等新闻单位列为关键信息基础设施运营者。
第二,从法律衔接来看,《数据安全法》第37条规定“国家大力推进电子政务建设”,第39条明确“国家机关应当依照法律、行政法规的规定,保障政务数据安全”,第40条指出“国家机关委托他人建设、维护电子政务系统,应当监督受托方履行相应的数据安全保护义务”。据此,国家机关处理的数据统称政务数据,所依托的电子设施和系统统称电子政务系统。这意味着国家机关属于《网络安全法》第31条和《关键信息基础设施安全保护条例》第2条所称的“电子政务行业和领域”。《个人信息保护法》上的“准国家机关”则可归入这两个条文中的“公共服务行业和领域”。
第三,从域外渊源来看,我国的关键信息基础设施概念主要受到美国法影响。
第四,从实践需求来看,若将国家机关和关键信息基础设施运营者分视为两种主体,就可能导致国家机关规避《网络安全法》《数据安全法》和《个人信息保护法》针对关键信息基础设施运营者设计的一系列强化安保义务。例如根据《网络安全法》第33条,建设关键信息基础设施应当保证安全技术措施同步规划、建设和使用。“三同步”的具体要求包括:一是项目设计单位在编制项目设计文件时就要编制安全技术措施的设计文件;二是在编制项目投资计划时就要将安全技术措施所需经费纳入预算;三是施工单位应严格按照安全技术措施设计施工;四是项目验收时要对安全技术措施进行调试、验收;五是安全技术措施应与主体工程同时投入使用。
第五,从权威定义来看,2016年国家网信办发布的《国家网络空间安全战略》将关键信息基础设施界定为“关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统等”。这就明确把国家机关和公用事业单位纳入关键信息基础设施运营者的范畴。同年,国家网信办网络安全协调局发布《国家网络安全检查操作指南》,将关键信息基础设施分为网站、平台和生产业务三类,其中网站类包括党政机关网站(县级(含)以上)、企事业单位网站,生产业务类包括地市级以上政府机关面向公众服务的信息系统,以及与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的公共服务信息系统。
综上,在网络安全、数据安全和个人信息保护领域,国家机关应当被视为关键信息基础设施运营者。正是在此基础上,《个人信息保护法》第36条和第40条对两者规定了高度一致的数据出境机制。《个人信息保护法》草案一审稿第37条、二审稿第36条曾规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行风险评估。风险评估可以要求有关部门提供支持与协助。”《个人信息保护法》草案一审稿第54条、二审稿第55条曾规定“个人信息处理者向境外提供个人信息应当在事前进行风险评估”。《个人信息保护法》第36条将前者的“风险评估”改为“安全评估”,第55条将后者的“风险评估”改为“个人信息保护影响评估”。这些修改表明:《个人信息保护法》草案原本对国家机关规定了和一般个人信息处理者相同的个人信息出境风险评估义务,但终稿放弃这一做法,转而对国家机关规定与关键信息基础设施运营者相同的个人信息出境安全评估机制
四、国家机关处理的个人信息之境内存储义务
(一)哪些个人信息应境内存储
从字面上看,《个人信息保护法》第36条似乎要求国家机关处理的任何个人信息原则上都在境内存储,而第40条仅要求“将在中华人民共和国境内收集和产生的个人信息存储在境内”。然而,基于以下三点理由,两个条文所指的个人信息范围没有区别。
首先,从法律衔接的角度看,其他相关规范均明确规定只有在我国境内收集和产生的个人信息才面临跨境管控。例如《网络安全法》第37条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。《数据安全法》第30条重复此表述。2021年10月29日公布的《数据出境安全评估办法(征求意见稿)》第2条也规定:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。”其次,从官方立场的角度看,我国已明确表示不强制要求本国企业将境外产生、获取的数据存储在境内。2020年9月,外交部部长王毅提出《全球数据安全倡议》,呼吁各国不得强制本国企业将境外产生、获取的数据存储在境内。
进一步的问题是:是否所有境内收集和产生的个人信息都应境内存储?答案是否定的。从比较法经验看,《APEC隐私框架》第11条将“公开可获得信息”(publicly available information)界定为“个人有意主动或允许公开的或者通过公开政府记录、新闻报道或法律要求公开的信息而合法获得或查阅的关于本人的信息”,并规定此类信息的收集和使用无须告知当事人,因为其对数据被处理已有心理预期。
综上,《个人信息保护法》第36条所称的“国家机关处理的个人信息”是指“国家机关处理的在中华人民共和国境内收集和产生的、未经当事人自行公开或者合法公开的个人信息”。
(二)如何境内存储
何谓“境内存储”?有学者解释为“个人信息的物理存储设备,无论是用来存储个人信息的硬盘,还是云存储服务所对应的远端存储设备,均应当设置在中华人民共和国境内,而不得设置在境外”。
何谓“数据出境”?我国对此曾有过三次官方解释。
何谓“境外主体”?首先,关于境内和境外的区分标准,《个人信息保护法》本身并无界定,但中国法上一般将港澳台地区视为“境外”,因其不受我国司法体制管辖。例如,我国刑法上的“隐瞒境外存款罪”就涵盖国家工作人员在港澳台地区的存款。
由上述“数据出境”的定义可反推“境内存储”的含义:第一,物理空间意义上,个人信息存储介质位于我国内地;第二,虚拟空间意义上,位于我国内地的个人信息存储介质上的个人信息不被境外主体读取,公开渠道读取的除外。《个人信息保护法》第36条要求国家机关处理的个人信息原则上同时处于这两种状态。
五、国家机关处理的个人信息之跨境提供规则
(一)国家机关处理的个人信息出境的渠道
根据《个人信息保护法》第36条第二句,国家机关处理的个人信息出境应进行安全评估。但这并非唯一渠道,此外至少还有物理载体出境、国际合作出境两条通道。
首先,基于前文的界定,国家机关处理的个人信息出境可分为两类。第一,通过物理载体出境,包括掌握个人信息的国家机关工作人员和笔记、信函、硬盘、服务器等存储介质出境等。
其次,《个人信息保护法》第38条第2款规定:“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”截至2020年11月,我国已与81个国家缔结引渡条约、司法协助条约、资产返还与分享协定等共169项,与56个国家和地区签署金融情报交换合作协议。
综上所述,国家机关处理的个人信息出境目前有三条通道:物理载体出境、国际合作出境和安全评估出境。安全评估适用于通过虚拟载体的个人信息出境。当然,特定情形下,安全评估难以或不应适用。比如我国疫情防控部门向外国边检机关紧急通报即将进入外国的感染者或密接者的个人信息,若要求先展开安全评估,难免“贻误战机”。此类情形有待依据《个人信息保护法》第40条最后一句,由法律、行政法规或国家网信部门特别规定豁免安全评估。
需要说明的是,《个人信息保护法》第38条第1款第2-4项并不能作为国家机关处理的个人信息出境的通路,否则会使第40条关于关键信息基础设施运营者个人信息出境的特别规定失去意义。第40条最后一句“法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”,不能转介至第38条第1款第2-4项,否则将掏空《个人信息保护法》对于关键信息基础设施运营者(包括国家机关)个人信息出境所设置的更严格要求。同时,个人单独同意也不能作为国家机关处理的个人信息出境的通路。有学者基于《个人信息保护法》第39条主张:“我国个人信息处理者向境外提供个人信息的合法性基础有且仅有基于个人(单独)同意这一条,因为(《个人信息保护法》)第13条并不能直接适用于个人信息出境场景。”
(二)如何进行安全评估
根据《个人信息保护法》,国家机关具有三重身份,对应三类个人信息出境评估。一是根据第36条,国家机关在个人信息出境前应进行安全评估,并可要求有关部门提供支持与协助;二是根据第40条,作为关键信息基础设施运营者,国家机关在个人信息出境前应通过国家网信部门组织的安全评估;三是根据第55条,作为个人信息处理者,国家机关在个人信息出境前应进行个人信息保护影响评估。如前所言,第一、二类安全评估在内容上没有差别。那么,安全评估之外,国家机关处理的个人信息出境是否还应开展个人信息保护影响评估?安全评估又应如何具体操作?要回答这些问题,就须厘清个人信息出境安全评估和个人信息保护影响评估的含义与关系。
关于个人信息保护影响评估(personal information protection impact assessment),《个人信息保护法》第55条和第56条做出三点规定。其一,由个人信息处理者自行开展。其二,内容包括:(1)个人信息的处理目的、方式等是否合法;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。其三,评估报告和处理情况记录至少保存三年。《个人信息保护法》出台前,相关国家标准使用的术语为“个人信息安全影响评估”(personal information protection security impact assessment)。2020年10月1日实施的《信息安全技术个人信息安全规范》第3.9条将其界定为:“针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程”;第9.2条要求个人信息控制者共享、转让个人信息时,须事先开展该评估;第11.4条明确评估内容主要包括处理活动遵循个人信息安全基本原则的情况、个人信息处理活动对个人信息主体合法权益的影响以及个人信息安全措施的有效性。2021年6月1日实施的《信息安全技术 个人信息安全影响评估指南》第1条指出“各类组织自行开展个人信息安全影响评估”,须第5条进一步明确该类评估的三大要素:合规差距评估、个人权益影响分析、安全风险综合分析。据此,“个人信息安全影响评估”与“个人信息保护影响评估”没有本质区别。《个人信息保护法》之所以采用后一术语,应该是为了凸显“个人信息保护”这一关键词,也能与GDPR第37条规定的“数据保护影响评估”(data protection impact assessment)更好接轨。
关于个人信息出境安全评估(personal information cross-border transfer security assessment),国家网信办至今发布过三部办法:2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》、2019年6月《个人信息出境安全评估办法(征求意见稿)》和2021年10月《数据出境安全评估办法(征求意见稿)》。这些规范虽尚未生效,亦未就国家机关作出规定,但对关键信息基础设施运营者处理的个人信息出境安全评估已有如下安排。
2017年办法 | 2019年办法 | 2021年办法 | |
自行评估 | 处理者应先自行对数据出境进行安全评估 | 个人信息出境安全风险及安全保障措施分析报告至少包括:(一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等;(二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等;(三)个人信息出境风险分析、保障个人信息安全和个人信息主体合法权益的措施 | 处理者应事先对以下事项进行数据出境风险自评估:(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务 |
(续表)
2017年办法 | 2019年办法 | 2021年办法 | |
监管评估 | 行业主管或监管部门负责本行业数据出境安全评估工作 | 向所在地省级网信部门申报个人信息出境安全评估 | 通过所在地省级网信部门向国家网信部门申报数据出境安全评估 |
评估材料 | 无明确规定 | (一)申报书;(二)网络运营者与接收者签订的合同;(三)个人信息出境安全风险及安全保障措施分析报告;(四)国家网信部门要求提供的其他材料 | (一)申报书;(二)数据出境风险自评估报告;(三)数据处理者与境外接收方拟订立的合同或者其他具有法律效力的文件等;(四)安全评估工作需要的其他材料 |
评估内容 | (一)数据出境的必要性;(二)涉及个人信息情况;(三)涉及重要数据情况;(四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;(七)其他需要评估的重要事项 | (一)是否符合国家有关法律法规和政策规定;(二)合同条款是否能够充分保障个人信息主体合法权益;(三)合同能否得到有效执行;(四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;(五)网络运营者获得个人信息是否合法、正当;(六)其他应当评估的内容 | (一)数据出境的目的、范围、方式等的合法性、正当性、必要性;(二)境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到我国法律、行政法规规定和强制性国家标准的要求;(三)出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;(四)数据安全和个人信息权益是否能够得到充分有效保障;(五)数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;(六)遵守我国法律、行政法规、部门规章情况;(七)国家网信部门认为需要评估的其他事项 |
由上述比较可得以下五点结论。第一,关键信息基础设施运营者处理的个人信息出境安全评估的现有规范均采“自行评估+监管评估”的双层结构,且2019年以来的两部办法都把自行评估报告纳入监管评估申请材料。第二,自行评估的内容愈渐充实,2021年的最新规定包括:(1)数据出境的合法性、正当性及必要性;(2)数据出境对安全和个人权益带来的风险;(3)保障措施的有效性。第三,监管评估的主要内容虽有细微差异,但都包括如下三点:(1)数据出境的合法性、必要性、正当性;(2)数据出境对安全和个人权益造成的风险;(3)安保措施的有效性。第四,自行评估和安全评估的内容高度一致,区别主要在于评估主体不同。第五,自行评估与个人信息保护影响评估的内容也基本相同。
据此,对个人信息出境安全评估和个人信息保护影响评估之间的关系以及国家机关处理的个人信息出境安全评估的具体操作应作如下理解。
第一,个人信息出境安全评估中的自行评估与个人信息保护影响评估内容上没有本质差异。国家机关依据第36条自行开展个人信息出境安全评估就相当于一般个人信息处理者依据《个人信息保护法》第55条自行开展个人信息保护影响评估。国家机关无须多此一举按照第55条开展个人信息保护影响评估。
第二,国家机关自行开展个人信息出境安全评估后,就已经满足《个人信息保护法》第36条之要求,无须再向网信部门申请监管评估,否则会导致全国人大常委会要通过北京市网信办向国家网信办申报个人信息出境安全评估这种不符合我国行政科层体制的现象。这也正是为什么《个人信息保护法》第36条没有在“安全评估”之前加上“国家网信部门组织”的定语。因此,第36条实际上构成第40条的特别规定。根据第40条,关键信息基础设施运营者处理的个人信息出境必须“两步走”,即先做数据出境风险自评估(自行评估),再向国家网信部门申报数据出境安全评估(监管评估);但作为特殊的关键信息基础设施运营者,国家机关根据第36条只需开展第一步自行评估即可。非关键信息基础设施运营者或处理个人信息未达国家网信部门规定数量的处理者一定规模以下的个人信息出境无须自行或申报安全评估,
第三,国家机关自行开展数据出境安全评估应参照关键信息基础设施运营者的类似办法,
(三)安全评估之外还有哪些义务?
除依《个人信息保护法》第36条开展安全评估外,根据《个人信息保护法》其他条文及相关规范,国家机关向境外提供个人信息时还应履行至少三类义务。
首先,尽管国家机关的个人信息出境自行安全评估中已经包含对境外接收方安保措施和能力的评估,
其次,根据《个人信息保护法》第39条,向境外提供个人信息的处理者还应履行两项义务——告知信息主体和取得单独同意。这对国家机关是否适用,须分情况讨论。关于告知,根据《个人信息保护法》第7条,处理个人信息应当遵循公开、透明原则,明示处理目的、方式和范围。据此,国家机关向境外提供个人信息原则上应告知当事人,告知内容按照第39条包括境外接收方的名称、联系方式、处理目的与方式、行权程序等。但根据《个人信息保护法》第18条和第35条,国家机关在如下情形中免于告知:法定应当保密、不需要告知、应急时无法事前告知以及告知将妨碍履行法定职责。
关于取得单独同意,这是指“处理者必须就法律所规定的特定类型的个人信息处理活动专门取得个人的同意,而不能概括地、一揽子地取得个人同意”。
答案取决于如何理解“同意”和“单独同意”之关系。既有研究存在两种观点。“包含说”认为“取得个人的单独同意,当然是指那些基于个人同意处理敏感的个人信息的情形,至于依据法律、行政法规的规定无需个人同意即可处理个人信息的情形,则不适用。”
第一,《个人信息保护法》对知情同意的整体性规定在第14条第1款:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”尽管两个分句之间是句号,但既然同处一条,就表示“同意”和“单独/书面同意”都是对“基于个人同意处理个人信息”这一合法性基础的具体解说,区别在于一般情况下只需要“同意”,法律、行政法规规定的例外情形下才需要单独/书面同意。
第二,如果个人信息处理是基于《个人信息保护法》第13条第1款第2-7项的合法性基础,那么根本无需取得个人同意。若该处理活动自始包含出境,则意味着《个人信息保护法》第13条和第39条出现适用冲突。有人可能主张前者是一般法,后者是特别法,应优先适用后者。但这会架空《个人信息保护法》第13条第2款:“依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意”。此处之所以写“本法其他有关规定”,就意味着不仅指前款第1项,
第三,依据非同意类合法性基础处理个人信息的情形,数据出境无法也不需取得单独同意。例如根据《个人信息保护法》第13条第1款第3项的“履行法定职责”,公安机关侦查发现某人有重大犯罪嫌疑后,依据《刑事诉讼法》第155条,发出包含其个人信息的通缉令,本就无须取得嫌疑人同意。若嫌疑人潜逃国外,我国公安机关通过国际刑警组织发布全球红色通缉令,此时必然涉及嫌疑人个人信息出境,要求取得单独同意是荒谬的。又如依据《个人信息保护法》第13条第1款第4项“为应对突发公共卫生事件所必需”,出于避免传染病扩散之目的,我国边检部门向外国边检机关通报即将进入外国的感染者或密接者的个人信息,同样无须取得当事人单独同意。
第四,非同意类合法性基础与单独同意无法并存,理由是作为一种特殊形式的同意,单独同意亦可撤回。如果基于非同意类合法性基础向境外提供个人信息仍然需要取得单独同意,那么当信息主体事后撤回单独同意,信息处理者依旧可以根据非同意类合法性基础向境外提供数据,这将事实上架空单独同意。
第五,《个人信息保护法》第29条之所以删去“基于个人同意处理敏感个人信息的”,并不是要表达任何情形下处理敏感个人信息都需要取得单独同意,而是由于这是一句赘语,因为《个人信息保护法》第13条第2款前半句已经包含了第29条之情形。同理,《个人信息保护法》第25条“个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外”,也无须写成“基于个人同意处理个人信息的,个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外”,因为并不会造成公开个人信息的唯一合法性基础就是取得单独同意这种误解——公安机关依职权发布通缉令,不可能也不应当取得被通缉者的单独同意。因此,只有当国家机关向境外提供个人信息是基于个人同意时,才需要取得单独同意,此时必然应事前告知。反过来,国家机关以非同意类合法性基础向境外提供个人信息,无须取得单独同意,但并不代表不须告知,而应基于公开、透明原则告知,除非出现第18条或第35条规定的例外情形。
最后,2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》第39条给向境外提供个人信息的数据处理者增设了一系列义务。其中,接受和处理数据出境所涉及的用户投诉,数据出境对个人、组织合法权益或者公共利益造成损害的依法承担责任,分别对应《个人信息保护法》第50条和第68条,也应适用于国家机关。该征求意见稿第40条要求个人信息出境的数据处理者在每年1月31日前编制数据出境安全报告,并向设区的市级网信部门报告上一年度数据出境情况。由于国家机关向境外提供个人信息无须申报网信部门监管评估,故亦不必向后者报告数据出境情况,但仍建议在每年1月31日前编制数据出境安全报告,并提交网信部门以获得专业指导和建议。
六、结语
本文分析表明:要全面、系统地勾勒我国国家机关处理的个人信息跨境流动制度,不仅需要准确理解《个人信息保护法》第36条,也须综合考量《个人信息保护法》其他条文以及相关规范。作为一种特殊的关键信息基础设施运营者,国家机关在个人信息跨境方面与非国家机关的关键信息基础设施运营者有同也有异。现有管理办法或国家标准主要针对后者,国家机关处理的个人信息跨境领域的规则供给严重不足。这也部分解释了为何《个人信息保护法》实施后,产业界迅速掀起合规风潮,国家机关却相对“冷淡”。因此,应尽快制定国家机关处理的个人信息的专门规范,
来源:华东政法大学学报. 2022,25(01)