进入 朱苏力 的专栏 进入专题: 工人阶级领导 农民革命 工农联盟 。
其次,根据《个人信息保护法》第39条,向境外提供个人信息的处理者还应履行两项义务——告知信息主体和取得单独同意。[xxvii] 参见左晓栋:《关键信息基础设施,保。
2012年国家安全生产监督管理总局办公厅《关于进一步加强安全监管监察国家电子政务网络建设和应用工作的通知》也明确要求新建、续建电子政务工程建设项目的,要切实做到与安全等级保护措施同步设计、同步施工并报有关部门备案。数据出境管控方面,我国并未效仿欧美国家的接收国适当性评估、数据控制者担保、数据跨境机制合规等做法,而是针对国家机关处理的个人信息出境设置一事一议的安全评估机制。第三,从域外渊源来看,我国的关键信息基础设施概念主要受到美国法影响。基于如下五点理由,应采包含说,国家机关基于非同意类合法性基础向境外提供个人信息,无需按照《个人信息保护法》第39条取得单独同意。GDPR第45条延续此传统,要求只有当数据接收国对个人数据提供充分保护时方可让个人数据出境,并将数据接收国的法治程度、人权保障水平等作为评估因素。
[l] 《数据出境安全评估办法(征求意见稿)》第5条第4项。[xxxv] 当然,根据《个人信息保护法》第27条,国家机关向境外提供已公开的个人信息必须是在合理的范围内,对个人权益有重大影响的,还应取得同意,个人明确拒绝数据出境的,国家机关不得向境外提供。(4)数据跨境机制合规模式,即按照事先给定、官方认可的框架性机制跨境传输个人信息。
赵骏、向丽:《跨境电子商务建设视角下个人信息跨境流动的隐私权保护研究》,载《浙江大学学报(人文社会科学版)》2019年第2期。一方面,该办法明确电子政务工程建设项目建议书、可行性研究报告、初步设计方案和投资概算均应包含安全系统建设。注释: [i] 参见张舵:《略论个人数s据跨境流动的法律标准》,载《中国政法大学学报》2018年第3期。第二,自行评估的内容愈渐充实,2021年的最新规定包括:(1)数据出境的合法性、正当性及必要性。
[lvii] 第三,依据非同意类合法性基础处理个人信息的情形,数据出境无法也不需取得单独同意。整体上,该制度包含两种极易混淆的手段——数据本地化(data localization)和数据出境管控(control of trans-border data #64258;ow)。
该征求意见稿第40条要求个人信息出境的数据处理者在每年1月31日前编制数据出境安全报告,并向设区的市级网信部门报告上一年度数据出境情况。关于准国家机关,《个人信息保护法》第37条有两点值得说明。[viii]根据《个人信息保护法》第36条,国家机关处理的个人信息跨境流动制度以本地存储为原则,以安全评估出境为例外。此外,国家机关还应确保境外接收方安保水平达标,并在特定情形下告知当事人、取得单独同意。
[ix] 广义上讲,数据跨境流动包括出境和入境,后者涉及一国调取境外数据。在此背景下,《个人信息保护法》第36条针对国家机关处理的个人信息设置了境内存储为原则、安全评估后出境为例外的框架。[xxiv] 支撑性的学术研究可参见冯燕春等:《如何识别关键信息基础设施的边界》,载《中国信息安全》2018年第12期。许可:《自由与安全:数据跨境流动的中国方案》,载《环球法律评论》2021年第1期。
国家机关处理的个人信息出境,包括物理载体出境、国际合作出境和安全评估出境,安全评估由国家机关在网信部门支持下自行开展。这些规定后被《个人信息出境安全评估办法(征求意见稿)》和《数据出境安全评估办法(征求意见稿)》删去,明确体现了主管部门的态度。
[xix] 据2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》第37条,处理个人信息达到国家网信部门规定数量的个人信息处理者是指处理一百万人以上个人信息的数据处理者。这些个人信息是否属于敏感个人信息或者属于重要数据。
2019年4月,国家信息安全标准化委员会起草了《信息安全技术基于信息流的关键信息基础设施边界确定方法(征求意见稿)》,将关键信息基础设施边界定义为确定关键信息基础设施元素的分界线,用于将关键信息基础设施元素同其他信息基础设施区分开来,以明确关键信息基础设施保护对象和保护范围,并指出识别边界的核心在于将保障关键业务持续稳定、持续运行必不可少的网络设施、信息系统同关键信息基础设施运营者一般的信息基础设施区分开来。由上述比较可得以下五点结论。首先,从法律衔接的角度看,其他相关规范均明确规定只有在我国境内收集和产生的个人信息才面临跨境管控。这两种手段以不同方式组合,就会产生不同的个人信息跨境制度。之所以有此例外,是因为网络无国界,当国家机关公开个人信息,比如裁判文书网公开当事人姓名,境外组织和个人也能查阅。同时,还应参照《保守国家秘密法》第15条规定的解密机制,对个人信息的物理载体出境设立脱敏程序。
本文聚焦于前者,不区分使用跨境和出境。需要说明的是,《个人信息保护法》第38条第1款第2-4项并不能作为国家机关处理的个人信息出境的通路,否则会使第40条关于关键信息基础设施运营者个人信息出境的特别规定失去意义。
进入专题: 国家机关 个人信息 《个人信息保护法》 。据此,个人信息安全影响评估与个人信息保护影响评估没有本质区别。
[xiii](3)数据主体同意模式,即在取得数据主体同意的情况下允许个人数据出境。[lii] 参见张凌寒:《个人信息跨境流动制度的三重维度》,载《中国法律评论》2021年第5期,第40页。
《个人信息保护法》出台前,相关国家标准使用的术语为个人信息安全影响评估(personal information protection security impact assessment)。综上,《个人信息保护法》上的国家机关涵盖军事机关以外的所有党政机关以及法律、法规、规章授权的管理公共事务或提供公共服务的组织。这在中国法上首次确立了国家机关处理的个人信息跨境流动制度。[xvi] 参见王玥:《试论网络数据本地化立法的正当性》,载《西安交通大学学报(社会科学版)》2016年第1期,第56-57页。
[liii]据此,以非同意类合法性基础向境外提供个人信息,无需信息主体单独同意。《民法典》和《刑法》上,国家机关是指国家为实现其政治统治职能和管理职能而设立的国家机构的总称,包括立法、行政、军事、监察、审判、检察机关,也包括党的各级机关、人民政协、民主党派机关。
[lviii] 根据《国境卫生检疫法》第5条,中华人民共和国与外国之间的传染病疫情通报,由国务院卫生行政部门会同有关部门办理。这些规范虽尚未生效,亦未就国家机关作出规定,但对关键信息基础设施运营者处理的个人信息出境安全评估已有如下安排。
后者指对数据出境施加限制条件,但不一定要求数据本地化存储。齐爱民、盘佳:《大数据安全法律保障机制研究》,载《重庆邮电大学学报(社会科学版)》2015年第3期,第26页。
因此,物理载体的数据出境管控只能另寻他径,传统上有两种方式。曹博:《跨境数据传输的立法模式与完善路径——从〈网络安全法〉第37条切入》,载《西南民族大学学报(人文社科版)》2018年第9期。其二,提供公共服务的授权组织也应视为准国家机关,因为提供公共服务同样属于管理公共事务,后者本质上也是一种公共服务。存储介质虽可要求境内存储,但携带或寄递出境难以通过网信部门的安全评估来管控。
关于个人信息保护影响评估(personal information protection impact assessment),《个人信息保护法》第55条和第56条做出三点规定。数据本地化方面,我国选择了特定个人信息本地化模式,要求国家机关处理的个人信息境内存储,一般个人信息处理者则无此要求。
(2)非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。但这是一种误读,《关键信息基础设施安全保护条例》第2条澄清表述为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统
(4)数据跨境机制合规模式,即按照事先给定、官方认可的框架性机制跨境传输个人信息。所谓数据跨境流动(trans-border data #64258;ow),意指在一国内生成的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工。
