例如,2019年《中共中央、国务院关于坚持农业农村优先发展做好三农工作的若干意见》(中央一号文件)和2019年《中华人民共和国土地管理法》的修正条款皆将轮作休耕、防止土壤污染设定为耕地保护核心事项,并凸显了耕地治理修复和种植结构调整的试点意义。
国家行为论坚守着基本权利仅约束国家、对私人不具效力的传统。不识庐山真面目,只缘身在此山中。
基本权利私人间效力,是基本权利效力理论的一部分。[2]参见黄宇骁:《论宪法基本权利对第三人无效力》,载《清华法学》2018年第3期。国家保护义务论将立法纳入理论范围,具有在宪法层面对经济法、社会法第二部分内容作出解释的潜质。在此范围内,适用于国家保护义务论三角关系中的禁止过度原则和禁止保护不足原则不再具有适用性。[38]如果社会中心范式基本权利私人间效力的确是在卡纳里斯的举例意义上界定社会权力,那么,社会中心论显然就是一个难以令人信服的理论,对其侵害私法自治的高度怀疑就在情理之中。
间接效力论和国家保护义务论频频遭到对其理论基础、逻辑、效用的质疑,[2]国家行为论也被指存在模糊不清、牵强附会等弊病。然而,卡纳里斯所列举的情况根本不能算作社会权力,基本权利对这种情况下的私人关系也谈不上具有效力。所谓数据跨境流动(trans-border data #64258;ow),意指在一国内生成的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工。
[xxxvii] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第297页。从事实意义上讲,个人信息此时的确出境了。换言之,根据《个人信息保护法》第13条第2款前半句,上述个人信息处理行为原则上都应取得个人同意,除非出现后半句所列之有前款第二项至第七项规定情形的。六、结语 本文分析表明:要全面、系统地勾勒我国国家机关处理的个人信息跨境流动制度,不仅需要准确理解《个人信息保护法》第36条,也须综合考量《个人信息保护法》其他条文以及相关规范。
何谓境外主体?首先,关于境内和境外的区分标准,《个人信息保护法》本身并无界定,但中国法上一般将港澳台地区视为境外,因其不受我国司法体制管辖。这表明电子政务项目在规划、建设、运行阶段都应同步使用安全技术措施。
后者可适用《个人信息保护法》第36条,前者则不适用——难以想象国家机关工作人员原则上要境内存储,只有先经过安全评估才能接待外宾或出境执行公务。[xiv] 参见王融:《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》,载《信息安全与通信保密》2018年第3期,第45页。[lii] 参见张凌寒:《个人信息跨境流动制度的三重维度》,载《中国法律评论》2021年第5期,第40页。第二,自行评估的内容愈渐充实,2021年的最新规定包括:(1)数据出境的合法性、正当性及必要性。
第一,从立法背景来看,2017年7月公布的《关键信息基础设施安全保护条例(征求意见稿)》第18条曾明确把政府机关、公用事业单位和广播电台、电视台、通讯社等新闻单位列为关键信息基础设施运营者。比如我国疫情防控部门向外国边检机关紧急通报即将进入外国的感染者或密接者的个人信息,若要求先展开安全评估,难免贻误战机。风险评估可以要求有关部门提供支持与协助。三是根据第55条,作为个人信息处理者,国家机关在个人信息出境前应进行个人信息保护影响评估。
[xxii] 军事网络的安全保护,由中央军事委员会另行规定。同时,个人单独同意也不能作为国家机关处理的个人信息出境的通路。
需要说明的是,《个人信息保护法》第38条第1款第2-4项并不能作为国家机关处理的个人信息出境的通路,否则会使第40条关于关键信息基础设施运营者个人信息出境的特别规定失去意义。关键词: 个人信息保护法。
GDPR第49条第1款a项也规定:当数据主体被告知其个人数据出境所包含的可能风险后仍明确表示同意时,允许个人数据出境。[xxxii]这体现了我国对跨国企业经营自主权和他国属地管辖权的尊重。[xxxviii]第一次是2017年4月国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第17条的规定:数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。[viii] 本文遵从国内外主流文献惯例,不区分使用数据和信息。包含说认为取得个人的单独同意,当然是指那些基于个人同意处理敏感的个人信息的情形,至于依据法律、行政法规的规定无需个人同意即可处理个人信息的情形,则不适用。"境内存储"指个人信息存储介质位于中国内地且其上的个人信息不被境外主体以非公开方式读取。
第一,个人信息出境安全评估中的自行评估与个人信息保护影响评估内容上没有本质差异。因此,只有当国家机关向境外提供个人信息是基于个人同意时,才需要取得单独同意,此时必然应事前告知。
[li]若国家机关是以取得个人同意作为信息处理的合法性基础,无论处理活动自始或嗣后涉及出境,国家机关都应自始或嗣后取得个人单独同意方可让数据出境。但根据《个人信息保护法》第18条和第35条,国家机关在如下情形中免于告知:法定应当保密、不需要告知、应急时无法事前告知以及告知将妨碍履行法定职责。
[xlv] 第二,国家机关自行开展个人信息出境安全评估后,就已经满足《个人信息保护法》第36条之要求,无须再向网信部门申请监管评估,否则会导致全国人大常委会要通过北京市网信办向国家网信办申报个人信息出境安全评估这种不符合我国行政科层体制的现象。何谓数据出境?我国对此曾有过三次官方解释。
该征求意见稿第40条要求个人信息出境的数据处理者在每年1月31日前编制数据出境安全报告,并向设区的市级网信部门报告上一年度数据出境情况。[xlvi] 《数据出境安全评估办法(征求意见稿)》第4条规定累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息也要向国家网信部门申报数据出境安全评估。前者指本地化存储数据,但不一定彻底禁止数据出境。这指向非国家机关的处理者。
其三,评估报告和处理情况记录至少保存三年。本文聚焦于前者,不区分使用跨境和出境。
一方面,该办法明确电子政务工程建设项目建议书、可行性研究报告、初步设计方案和投资概算均应包含安全系统建设。第二次是2017年5月国家信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南(草案)》第3.6条将数据出境定义为将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人的一次性活动或连续性活动,第3.8条将提供定义为网络运营者主动向境外机构、组织或个人提供数据,或通过其他途径发布数据的行为,包括其用户使用网络运营者提供的产品或服务的功能,向境外机构、组织或个人提供数据的行为,网络运营者提供已经被依法公开披露的数据除外。
五是安全技术措施应与主体工程同时投入使用。那么,安全评估之外,国家机关处理的个人信息出境是否还应开展个人信息保护影响评估?安全评估又应如何具体操作?要回答这些问题,就须厘清个人信息出境安全评估和个人信息保护影响评估的含义与关系。
据此,对个人信息出境安全评估和个人信息保护影响评估之间的关系以及国家机关处理的个人信息出境安全评估的具体操作应作如下理解。事实上,《个人信息和重要数据出境安全评估办法(征求意见稿)》第4条曾要求个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意,第11条甚至规定未经信息主体同意个人信息不得出境。第二,如果个人信息处理是基于《个人信息保护法》第13条第1款第2-7项的合法性基础,那么根本无需取得个人同意。(3)公开信息、网页被境外的机构、组织、个人访问查看的,不属于数据出境。
[lix] 参见王锡锌、彭錞:《个人信息保护法律体系的宪法基础》,载《清华法学》2021年第3期,第19页。由于国家机关向境外提供个人信息无须申报网信部门监管评估,故亦不必向后者报告数据出境情况,但仍建议在每年1月31日前编制数据出境安全报告,并提交网信部门以获得专业指导和建议。
GDPR第45条延续此传统,要求只有当数据接收国对个人数据提供充分保护时方可让个人数据出境,并将数据接收国的法治程度、人权保障水平等作为评估因素。[xl] 这也包括境外人员在境内与国家机关工作人员交流获取个人信息,例如全国人大及其常委会与国外议会、国际组织进行交流时,相互希望了解对方的议会组成人员的性别、民族、职业的构成等个人信息。
[xlviii] 当然,在紧急情况下基于公共利益所必需的个人信息出境,比如跨境分享疫情防控信息,自行评估和行政协助可以根据《个人信息保护法》第40条最后一句予以豁免,或至少可相对简化程序以提高效率,但具体规则有待制定。较之数据出境管控,数据本地化确实对数据自由流动限制更大,但能更有效地实现属地管辖,维护国家安全。