《我国跨境数据流动法律规制现状探析综述》3200字

我国跨境数据流动法律规制现状分析综述1.1确立数据本地化一般性规定《网络安全法》统筹性地对数据本地化做出了一般性规定[[]第37[]第37条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。第37条规定虽短，但深挖也能探求出立法者背后的深意，法条对规制主体和数据类型均进行了限制，既需要满足关键信息基础设施运营者，而非一般运营者，又限定个人信息和重要数据。此处的个人信息是一个确定的概念，立法以及司法实践中争议不大，容易认定，难点就在于“重要数据”和“关键信息基础设施”。首先，第31条以“严重危害国家安全、国计民生、公共利益”作为“关键信息基础设施”的概括和兜底描述，将具体范围授权国务院另行规定，没有明确界定其概念。此后《关键信息基础设施安全保护条例》征求意见稿应势出台，将云计算、大数据等国家新兴战略行业领域和传统行业领域一齐纳入保护范围。不过虽有规范可供参考，但毕竟不是正式文件，还存在讨论和完善的空间。其次，终稿中呈现的“重要数据”是由“重要业务数据”修改而来，这一微妙变化体现了立法者在数据所影响的价值方面的考量，摒弃了传统的主体分类法。[[]洪延青.在发展与安全的平衡中构建数据跨境流动安全评估框架[J].信息安全与通信保密,2017(02):36-62.]这些定义均具有开放性，没有采取明确的正面概括式，体现出我国较为宽松的监管授权。最后第3[]洪延青.在发展与安全的平衡中构建数据跨境流动安全评估框架[J].信息安全与通信保密,2017(02):36-62.对于一般运营者，第42条[[]第42条第1款网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。[]第42条第1款网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。[]张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律,2016(12):136-154.在责任和罚则上，第66条对非法传输跨境数据的运营者并未采取非常严苛的惩罚性措施，罚款金额最高为50万元，辅以停业整顿、关闭网站、吊销营业执照等行为罚，对比欧盟处以2000万欧元或企业上一财政年度全球营业额4%（二者取较高）的行政罚款，《网络安全法》的罚款数额对于大型跨国企业可以说是微乎其微、缺乏震慑力的，难免陷入“惩罚不足”的窠臼。不过，《网络安全法》的处罚对象是关键信息基础设施运营者，这些企业基本均为国内企业，不同于欧盟以外国企业为处罚对象。由此来看，为了保障国内企业和经济的持续健康发展，防止过罚可能造成的企业破产、倒闭甚至经济衰退的后果，这些财产罚和行为罚的运用更为适宜。不过在实际执法监管过程中，保证执法部门依法依规起用这些行为罚，使其达到与巨额罚款程度相当的“罚能止禁”的效果，便成为保障重要数据和个人信息安全的主要手段。1.2建立个人信息和重要数据出境规则如上所述，由于法律层面数据出境安全评估标准的缺位，《个人信息和重要数据出境安全评估办法》、《个人信息出境安全评估办法》（以下简称《2019办法》）、《数据出境安全评估指南》（以下简称《评估指南》）以及《数据安全管理办法》（以下简称《管理办法》）等部门规章、部门规范性文件和国家标准的征求意见稿相继出台，我国个人信息和重要数据出境也由受制于一部规章的综合监管体系，变更为分别式监管体系。目前，重要数据出境规则尚未单独确立，《管理办法》仅设定一个条文对重要数据的处理使用行为提出了更高的要求。重要数据安全评估范围不仅限于向境外传输，发布、共享、交易均需遵循评估规则，且未对数量设置门槛要求；网络运营者在评估之后还需报经行业主管监管部门（或省级网信部门）同意和批准，这无疑在深度和广度上加重了网络运营者的相关义务。《2019办法》将网信部门的批准作为个人信息出境的基本原则，国家安全和个人权利保护并驾齐驱，采取严格举措限制数据自由流动。既包括事前的实质性审核制度（数据控制者申报，省级网信部门组织专家评估并将情况上报国家网信部门、开展定期检查和整改），也包括监管机构对数据出境暂停或终止的行政权限。以上这些规定扩大了需要安全审查的个人信息出境范围，并取消了需要出境的最低标准，一直以来都被外界质疑存在“违反上位法”、“不具备可操作性”、“给监管部门和企业带来过重负担”等问题。针对这些质疑，2020年，《个人信息保护法（草案）》（以下简称《个保法》）出台，在第38条至第43条重新梳理了个人信息出境规则，提出分类分级制的个人信息跨境提供规则，为个人信息出境重新设置了合理的法律依据，从而减轻了出境合规负担。草案传承《网络安全法》的规定，关键信息基础设施运营者需满足单独、特殊的出境要求。原则上，其收集的个人信息必须保存在境内，如果需要向境外传输，除非法律另有规定，需要通过网信部门组织的安全评估。为了管控出境风险，草案还为网信部门提供了特别的监管权力，以“数量”要求作为一般个人信息处理者参照“关键”运营者进行管理的标志，筑牢了监管防线。若不属于关键信息基础设施运营者的企业需要跨境传输个人信息的，则在满足以下任意一项条件后即可出境，即“有认证”或者“有合同，监督好”[[]（1）经过专业机构认证；（2）与境外接收方订立合同并监督其达到法律规定的个人信息保护标准。]。第39条提出了更为严格的“告知+单独同意”的要求，取代了《2019办法》中的同意和针对个人敏感信息的明示同意。还通过第42、4[]（1）经过专业机构认证；（2）与境外接收方订立合同并监督其达到法律规定的个人信息保护标准。[]其中管制的对象为：从事损害了中国数据主体权益或危害中国国家安全、公共利益的个人信息处理活动的境外机构和个人；而反制的对象则是：对中国采取歧视性的禁止、限制或者其他类似措施的国家和地区。值得注意的是，跨境传输个人信息中以“合同签署”方式视为满足出境合法性要求的规定显然学习了欧盟的立法经验，在这点上，《2019办法》细致地规定了必备条款应当涵盖的内容。因此，在草案转化为正式法律的过程中，具有出境需求的企业可以提前参照评估办法中的规定准备与个人信息跨境传输的相关协议。1.3确立执法数据跨境调取机制数据跨境流动的情形不只限于私主体的国际贸易和经济合作领域，在行政执法和刑事司法领域，信息技术的广泛应用使得证据材料普遍以电子数据的形式存在，而全球化、数字化程序的加深也使得执法数据跨境调取成为必要。两个场景下的数据跨境政策构建需要通盘考虑。对于一国政府来说，往往有从境外“取”的需求，即执法所需的数据存储于国外；也要“防”境外获取，即外国执法部门需要调取存储于本国的数据。[[][]洪延青.“法律战”旋涡中的执法跨境调取数据:以美国、欧盟和中国为例[J].环球法律评论,2021,43(01):38-51.在2018年之前，我国的跨境执法司法制度不健全，导致实际工作开展过程中没有上位法基础，执法或司法效果有限，面对一些国家过度运用长臂管辖权干涉我国案件办理时，不能拿出强有力的抗辩依据，无法形成必要震慑。不过这些问题随着《国际刑事司法协助法》的出台逐渐改善。根据该法第4条第3款的规定，我国司法主权神圣不可侵犯，外国执法司法机关未经我国有权机关批准，不得要求中国境内相关公民或机构、组织提供其需要的证据材料和司法协助，强烈回击了外国机关干预我国公权力行使的行为。[[]钟芸.浅论我国跨境执法司法协助制度的新突破——以《中华人民共和国国际刑事司法协助法》出台为例[J].中国证券期货,2019(02):63-71.]《数据安全法》（草案）一脉相承，也对海外的“长臂”进行了回应，境外执法机构想要获取境内数据，必须经过报告和批准程序，或者满足中国已加入的国际条约、协定的规定。[[][]钟芸.浅论我国跨境执法司法协助制度的新突破——以《中华人民共和国国际刑事司法协助法》出台为例[J].中国证券期货,2019(02):63-71.[]《数据安全法》（草案）第33条：境外执法机构要求调取存储于中华人民共和国境内的数据的，有关组织、个人应当向主管机关报告，获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的，依照其规定。上述三部法律实际上提供了两种数据跨境调取的渠道，“公对公”和“公对私”，但从2020年9月提出的《全球数据安全倡议》来看，我国又退回到了《数据安全法》（草案）发布前的态度，即将“公对公”的渠道作为跨境数据调取的最主要渠道，并对“公对私”的途径持反对态度。[[]各国因打击犯罪等执法需要跨境调取数据的，应通过司法协助渠道或其他多双边协议解决，并不得侵犯第三国司法主权和数据安全。]尽管这种途径门槛较高，效率低下，但确实体现出对国家主权的充分尊重。不过由于罚则设置和实际处罚案例的缺失，并且我国尚未符合美国CLOUD法案规定的“适格外国政府”的要求，数据“封阻”的效果仍然存疑，并不一定对美国“长臂管辖”我国的电子证据形成一次有效格挡。在当前捍卫与争夺“数据主权”的国际背景下，在法律中设立一定的域外效力或长臂管辖有其必要性和紧迫性。[]各国因打击犯罪等执法需要跨境调取数据的，应通过司法协助渠道或其他多双边协议解决，并不得侵犯第三国司法主权和数据安全。[]《数据安全法》（草案）第2条第2