2021年9月1日起施行的《中華人民共和國數據安全法》,進一步規范數據跨境流動規則,為我國跨境數據的依法有序自由流動提供有力保護,其第十一條確立了數據跨境流動應遵循安全、自由的原則;第二十五條、第二十六條、第三十一條、第三十六條、第四十六條等,進一步完善數據跨境流動規則。
數據安全法中的數據跨境流動規則
首先,在數據分級分類保護制度基礎上,確立不同數據的出境安全管理規則。根據數據安全法的規定,我國數據可區分為國家核心數據、重要數據和一般數據。
國家核心數據的跨境流動應遵循更嚴格的審查規則。數據安全法第二十一條第二款規定,對“關系國家安全、國民經濟命脈、重要民生、重大公共利益等”國家核心數據實行“更加嚴格的管理制度”。這意味著國家核心數據的跨境流動應遵循更嚴格的安全審查規則,且依據數據安全法第二十五條的規定,對“與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據”,依法實施出口管制。
重要數據的跨境流動應遵循法律法規確立的出境安全審查規則。依據數據處理主體的不同,重要數據區分為關鍵信息基礎設施運營者收集和產生的重要數據以及其他數據處理者收集和產生的重要數據。對于關鍵信息基礎設施運營者收集和產生的重要數據的跨境流動,數據安全法規定要依據網絡安全法相關規定進行安全審查。對于其他數據處理者收集和產生的重要數據的跨境流動,數據安全法第三十一條規定,“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
一般數據在遵循平等互惠等原則基礎上基本可實現自由流動。對國家核心數據和重要數據之外一般數據的跨境流動,數據安全法并未作明確限定。這意味著這類數據的跨境流動基本可實現自由流動。縱觀數據安全法和網絡安全法相關規定,一般數據的跨境流動可能受到三方面限制:一是對于自愿參與關鍵信息基礎設施保護體系的一般數據,依據關鍵信息基礎設施收集和產生數據的跨境流動規則進行審查。網絡安全法第三十一條第二款規定,“國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。”二是一般數據的處理活動如果“影響或可能影響國家安全”也應進行國家安全審查。數據安全法第二十四條第一款規定,“對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”三是依據平等原則對一般數據的跨境流動進行限制。數據安全法第二十六條規定,“任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。”
其次,對司法和執法領域數據出境作了專門規定。數據安全法第三十六條對境外司法機構或者執法機構跨境調取數據進行專門規定,確立了與普通數據不同的跨境流動規則。
處理調取數據司法協助或執法合作請求時,應當依據條約、協定或平等互惠原則進行。為了特定的司法或執法目的,境外司法或執法機構可以向中國提出司法協助或執法合作請求,但這種合作應建立在平等互惠原則基礎之上。因此,數據安全法第三十六條規定,“按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。”
限制境外司法或執法機構直接向中國境內組織或個人調取數據的做法。數據安全法第三十六條規定,“非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”這與國際刑事司法協助法、個人信息保護法等法律的規定一致,體現了我國對這一問題的基本態度和思路。
數據跨境流動規則適用需注意的問題
數據安全法確立的數據跨境流動規則契合當前我國數據跨境流動的發展趨勢,有利于我國應對愈演愈烈的網絡安全風險。但在適用數據跨境流動規則時,應注意如下三個問題:
平衡安全與發展的關系,推動跨境數據安全自由流動。數據自由流動與數據安全基于對自由流動與安全價值追求的不同,跨境流動規則也不盡相同。我國確立了安全、自由的跨境數據流動原則,更注重維護數據安全,特別是數據安全中的國家安全問題。數據安全法頒布后,《網絡安全審查辦法(修訂草案征求意見稿)》增加了國家安全審查范圍,如將“掌握超過100萬用戶個人信息的運營者赴國外上市”納入網絡安全審查范圍,將國家安全風險考慮因素從五項增加至七項,并將“非法出境的風險”作為國家安全風險的考慮因素等。需要注意的是,國家安全風險也有高低、類別之分,對于不同等級、不同類別的國家安全風險應當確立不同的處置方式。對那些可能產生特定國家安全風險的數據跨境流動,應進行嚴格限定;對大部分一般數據,應持更開放包容的態度,通過數據安全促進數據的跨境自由流動和數據產業的發展。
合理建構數據分級分類管理制度。雖然數據安全法將數據區分為國家核心數據、重要數據和一般數據,如數據安全法第二十一條規定,重要數據的判斷標準包括“在經濟社會發展中的重要程度”“對國家安全、公共利益或者個人、組織合法權益造成的危害程度”;國家核心數據即“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據。”但數據安全法并未進一步明確重要數據的“重要程度”和“危害程度”標準,而是授權“各地區、各部門”制定本領域內的重要數據目錄。雖然這種授權性規定能夠發揮各地區、各部門的積極性,但也可能因立法中的地區利益或部門利益而帶來諸多問題。因此,數據安全法適用過程中應當進一步明確“重要數據”的具體內涵和判斷標準,并應統籌“重要數據”的認定授權和認定程序,確保數據分級分類管理制度的有效實現。
司法或執法數據的跨境流動規則應進一步明確。由于司法協助應對互聯網時代犯罪的局限性以及數據跨境流動的便捷性,一些國家和地區確立了司法或執法機構直接向境外企業或個人調取數據的做法。我國基于維護司法主權的考慮,原則上禁止境外司法或執法機構直接調取存儲于我國境內的數據,這對應對境外“長臂管轄”具有重要意義,但主管機關何種情形下應批準境外司法或執法機構直接調取存儲于境內的數據?除“一事一議”之外,可借鑒數據安全法第二十六條平等互惠原則的規定。
(作者單位:南開大學法學院。本文為2019年國家社科基金青年項目“監察程序與刑事訴訟程序銜接中的證據雙向轉化使用研究”的階段性成果,項目編號為19CFX034)