《我國跨境數(shù)據(jù)流動法律規(guī)制現(xiàn)狀探析綜述》3200字

我國跨境數(shù)據(jù)流動法律規(guī)制現(xiàn)狀分析綜述1.1確立數(shù)據(jù)本地化一般性規(guī)定《網(wǎng)絡安全法》統(tǒng)籌性地對數(shù)據(jù)本地化做出了一般性規(guī)定[[]第37[]第37條關(guān)鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。第37條規(guī)定雖短，但深挖也能探求出立法者背后的深意，法條對規(guī)制主體和數(shù)據(jù)類型均進行了限制，既需要滿足關(guān)鍵信息基礎設施運營者，而非一般運營者，又限定個人信息和重要數(shù)據(jù)。此處的個人信息是一個確定的概念，立法以及司法實踐中爭議不大，容易認定，難點就在于“重要數(shù)據(jù)”和“關(guān)鍵信息基礎設施”。首先，第31條以“嚴重危害國家安全、國計民生、公共利益”作為“關(guān)鍵信息基礎設施”的概括和兜底描述，將具體范圍授權(quán)國務院另行規(guī)定，沒有明確界定其概念。此后《關(guān)鍵信息基礎設施安全保護條例》征求意見稿應勢出臺，將云計算、大數(shù)據(jù)等國家新興戰(zhàn)略行業(yè)領(lǐng)域和傳統(tǒng)行業(yè)領(lǐng)域一齊納入保護范圍。不過雖有規(guī)范可供參考，但畢竟不是正式文件，還存在討論和完善的空間。其次，終稿中呈現(xiàn)的“重要數(shù)據(jù)”是由“重要業(yè)務數(shù)據(jù)”修改而來，這一微妙變化體現(xiàn)了立法者在數(shù)據(jù)所影響的價值方面的考量，摒棄了傳統(tǒng)的主體分類法。[[]洪延青.在發(fā)展與安全的平衡中構(gòu)建數(shù)據(jù)跨境流動安全評估框架[J].信息安全與通信保密,2017(02):36-62.]這些定義均具有開放性，沒有采取明確的正面概括式，體現(xiàn)出我國較為寬松的監(jiān)管授權(quán)。最后第3[]洪延青.在發(fā)展與安全的平衡中構(gòu)建數(shù)據(jù)跨境流動安全評估框架[J].信息安全與通信保密,2017(02):36-62.對于一般運營者，第42條[[]第42條第1款網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。[]第42條第1款網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。[]張金平.跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應對——兼評我國《網(wǎng)絡安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則[J].政治與法律,2016(12):136-154.在責任和罰則上，第66條對非法傳輸跨境數(shù)據(jù)的運營者并未采取非常嚴苛的懲罰性措施，罰款金額最高為50萬元，輔以停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷營業(yè)執(zhí)照等行為罰，對比歐盟處以2000萬歐元或企業(yè)上一財政年度全球營業(yè)額4%（二者取較高）的行政罰款，《網(wǎng)絡安全法》的罰款數(shù)額對于大型跨國企業(yè)可以說是微乎其微、缺乏震懾力的，難免陷入“懲罰不足”的窠臼。不過，《網(wǎng)絡安全法》的處罰對象是關(guān)鍵信息基礎設施運營者，這些企業(yè)基本均為國內(nèi)企業(yè)，不同于歐盟以外國企業(yè)為處罰對象。由此來看，為了保障國內(nèi)企業(yè)和經(jīng)濟的持續(xù)健康發(fā)展，防止過罰可能造成的企業(yè)破產(chǎn)、倒閉甚至經(jīng)濟衰退的后果，這些財產(chǎn)罰和行為罰的運用更為適宜。不過在實際執(zhí)法監(jiān)管過程中，保證執(zhí)法部門依法依規(guī)起用這些行為罰，使其達到與巨額罰款程度相當?shù)摹傲P能止禁”的效果，便成為保障重要數(shù)據(jù)和個人信息安全的主要手段。1.2建立個人信息和重要數(shù)據(jù)出境規(guī)則如上所述，由于法律層面數(shù)據(jù)出境安全評估標準的缺位，《個人信息和重要數(shù)據(jù)出境安全評估辦法》、《個人信息出境安全評估辦法》（以下簡稱《2019辦法》）、《數(shù)據(jù)出境安全評估指南》（以下簡稱《評估指南》）以及《數(shù)據(jù)安全管理辦法》（以下簡稱《管理辦法》）等部門規(guī)章、部門規(guī)范性文件和國家標準的征求意見稿相繼出臺，我國個人信息和重要數(shù)據(jù)出境也由受制于一部規(guī)章的綜合監(jiān)管體系，變更為分別式監(jiān)管體系。目前，重要數(shù)據(jù)出境規(guī)則尚未單獨確立，《管理辦法》僅設定一個條文對重要數(shù)據(jù)的處理使用行為提出了更高的要求。重要數(shù)據(jù)安全評估范圍不僅限于向境外傳輸，發(fā)布、共享、交易均需遵循評估規(guī)則，且未對數(shù)量設置門檻要求；網(wǎng)絡運營者在評估之后還需報經(jīng)行業(yè)主管監(jiān)管部門（或省級網(wǎng)信部門）同意和批準，這無疑在深度和廣度上加重了網(wǎng)絡運營者的相關(guān)義務。《2019辦法》將網(wǎng)信部門的批準作為個人信息出境的基本原則，國家安全和個人權(quán)利保護并駕齊驅(qū)，采取嚴格舉措限制數(shù)據(jù)自由流動。既包括事前的實質(zhì)性審核制度（數(shù)據(jù)控制者申報，省級網(wǎng)信部門組織專家評估并將情況上報國家網(wǎng)信部門、開展定期檢查和整改），也包括監(jiān)管機構(gòu)對數(shù)據(jù)出境暫?；蚪K止的行政權(quán)限。以上這些規(guī)定擴大了需要安全審查的個人信息出境范圍，并取消了需要出境的最低標準，一直以來都被外界質(zhì)疑存在“違反上位法”、“不具備可操作性”、“給監(jiān)管部門和企業(yè)帶來過重負擔”等問題。針對這些質(zhì)疑，2020年，《個人信息保護法（草案）》（以下簡稱《個保法》）出臺，在第38條至第43條重新梳理了個人信息出境規(guī)則，提出分類分級制的個人信息跨境提供規(guī)則，為個人信息出境重新設置了合理的法律依據(jù)，從而減輕了出境合規(guī)負擔。草案傳承《網(wǎng)絡安全法》的規(guī)定，關(guān)鍵信息基礎設施運營者需滿足單獨、特殊的出境要求。原則上，其收集的個人信息必須保存在境內(nèi)，如果需要向境外傳輸，除非法律另有規(guī)定，需要通過網(wǎng)信部門組織的安全評估。為了管控出境風險，草案還為網(wǎng)信部門提供了特別的監(jiān)管權(quán)力，以“數(shù)量”要求作為一般個人信息處理者參照“關(guān)鍵”運營者進行管理的標志，筑牢了監(jiān)管防線。若不屬于關(guān)鍵信息基礎設施運營者的企業(yè)需要跨境傳輸個人信息的，則在滿足以下任意一項條件后即可出境，即“有認證”或者“有合同，監(jiān)督好”[[]（1）經(jīng)過專業(yè)機構(gòu)認證；（2）與境外接收方訂立合同并監(jiān)督其達到法律規(guī)定的個人信息保護標準。]。第39條提出了更為嚴格的“告知+單獨同意”的要求，取代了《2019辦法》中的同意和針對個人敏感信息的明示同意。還通過第42、4[]（1）經(jīng)過專業(yè)機構(gòu)認證；（2）與境外接收方訂立合同并監(jiān)督其達到法律規(guī)定的個人信息保護標準。[]其中管制的對象為：從事?lián)p害了中國數(shù)據(jù)主體權(quán)益或危害中國國家安全、公共利益的個人信息處理活動的境外機構(gòu)和個人；而反制的對象則是：對中國采取歧視性的禁止、限制或者其他類似措施的國家和地區(qū)。值得注意的是，跨境傳輸個人信息中以“合同簽署”方式視為滿足出境合法性要求的規(guī)定顯然學習了歐盟的立法經(jīng)驗，在這點上，《2019辦法》細致地規(guī)定了必備條款應當涵蓋的內(nèi)容。因此，在草案轉(zhuǎn)化為正式法律的過程中，具有出境需求的企業(yè)可以提前參照評估辦法中的規(guī)定準備與個人信息跨境傳輸?shù)南嚓P(guān)協(xié)議。1.3確立執(zhí)法數(shù)據(jù)跨境調(diào)取機制數(shù)據(jù)跨境流動的情形不只限于私主體的國際貿(mào)易和經(jīng)濟合作領(lǐng)域，在行政執(zhí)法和刑事司法領(lǐng)域，信息技術(shù)的廣泛應用使得證據(jù)材料普遍以電子數(shù)據(jù)的形式存在，而全球化、數(shù)字化程序的加深也使得執(zhí)法數(shù)據(jù)跨境調(diào)取成為必要。兩個場景下的數(shù)據(jù)跨境政策構(gòu)建需要通盤考慮。對于一國政府來說，往往有從境外“取”的需求，即執(zhí)法所需的數(shù)據(jù)存儲于國外；也要“防”境外獲取，即外國執(zhí)法部門需要調(diào)取存儲于本國的數(shù)據(jù)。[[][]洪延青.“法律戰(zhàn)”旋渦中的執(zhí)法跨境調(diào)取數(shù)據(jù):以美國、歐盟和中國為例[J].環(huán)球法律評論,2021,43(01):38-51.在2018年之前，我國的跨境執(zhí)法司法制度不健全，導致實際工作開展過程中沒有上位法基礎，執(zhí)法或司法效果有限，面對一些國家過度運用長臂管轄權(quán)干涉我國案件辦理時，不能拿出強有力的抗辯依據(jù)，無法形成必要震懾。不過這些問題隨著《國際刑事司法協(xié)助法》的出臺逐漸改善。根據(jù)該法第4條第3款的規(guī)定，我國司法主權(quán)神圣不可侵犯，外國執(zhí)法司法機關(guān)未經(jīng)我國有權(quán)機關(guān)批準，不得要求中國境內(nèi)相關(guān)公民或機構(gòu)、組織提供其需要的證據(jù)材料和司法協(xié)助，強烈回擊了外國機關(guān)干預我國公權(quán)力行使的行為。[[]鐘蕓.淺論我國跨境執(zhí)法司法協(xié)助制度的新突破——以《中華人民共和國國際刑事司法協(xié)助法》出臺為例[J].中國證券期貨,2019(02):63-71.]《數(shù)據(jù)安全法》（草案）一脈相承，也對海外的“長臂”進行了回應，境外執(zhí)法機構(gòu)想要獲取境內(nèi)數(shù)據(jù)，必須經(jīng)過報告和批準程序，或者滿足中國已加入的國際條約、協(xié)定的規(guī)定。[[][]鐘蕓.淺論我國跨境執(zhí)法司法協(xié)助制度的新突破——以《中華人民共和國國際刑事司法協(xié)助法》出臺為例[J].中國證券期貨,2019(02):63-71.[]《數(shù)據(jù)安全法》（草案）第33條：境外執(zhí)法機構(gòu)要求調(diào)取存儲于中華人民共和國境內(nèi)的數(shù)據(jù)的，有關(guān)組織、個人應當向主管機關(guān)報告，獲得批準后方可提供。中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對外國執(zhí)法機構(gòu)調(diào)取境內(nèi)數(shù)據(jù)有規(guī)定的，依照其規(guī)定。上述三部法律實際上提供了兩種數(shù)據(jù)跨境調(diào)取的渠道，“公對公”和“公對私”，但從2020年9月提出的《全球數(shù)據(jù)安全倡議》來看，我國又退回到了《數(shù)據(jù)安全法》（草案）發(fā)布前的態(tài)度，即將“公對公”的渠道作為跨境數(shù)據(jù)調(diào)取的最主要渠道，并對“公對私”的途徑持反對態(tài)度。[[]各國因打擊犯罪等執(zhí)法需要跨境調(diào)取數(shù)據(jù)的，應通過司法協(xié)助渠道或其他多雙邊協(xié)議解決，并不得侵犯第三國司法主權(quán)和數(shù)據(jù)安全。]盡管這種途徑門檻較高，效率低下，但確實體現(xiàn)出對國家主權(quán)的充分尊重。不過由于罰則設置和實際處罰案例的缺失，并且我國尚未符合美國CLOUD法案規(guī)定的“適格外國政府”的要求，數(shù)據(jù)“封阻”的效果仍然存疑，并不一定對美國“長臂管轄”我國的電子證據(jù)形成一次有效格擋。在當前捍衛(wèi)與爭奪“數(shù)據(jù)主權(quán)”的國際背景下，在法律中設立一定的域外效力或長臂管轄有其必要性和緊迫性。[]各國因打擊犯罪等執(zhí)法需要跨境調(diào)取數(shù)據(jù)的，應通過司法協(xié)助渠道或其他多雙邊協(xié)議解決，并不得侵犯第三國司法主權(quán)和數(shù)據(jù)安全。[]《數(shù)據(jù)安全法》（草案）第2條第2