第三十六條 國家機關處理的個人資訊應當在中華人民共和國境記憶體儲;确需向境外提供的,應當進行安全評估。安全評估可以要求有關部門提供支援與協助。
【條文主旨】
本條是關于國家機關處理個人資訊的存儲以及向境外提供相關規則的規定。
【條文了解】
一、國家機關處理的個人資訊應當在境記憶體儲
大資料時代,國家機關為了更好地履行法定職責,進行公共事務管理,不可避免地要處理大量的個人資訊。比起其他資料,個人資訊作為一種人格權益,承載了多種法律保護的利益,不僅包括自然人的個人資訊權益,還包括隐私權、姓名權、肖像權、名譽權以及其他人格利益。除此之外,個人資訊的處理還可能涉及言論自由、公共安全以及國家安全等。此外,基于國家機關的性質和職能,比起普通的個人資訊處理者,國家機關處理的個人資訊更為全面、更為豐富也更為敏感。從大陸的既有實踐看,國家機關出于保障社會穩定、打擊犯罪、強化治安等目的,通過采集指紋、身份登記、視訊監控、實名注冊等資料處理技術,處理了大量的個人資訊,特别是敏感個人資訊。是以,國家機關處理的個人資訊,無論從廣度、深度來說,還是從使用價值、戰略價值來說,都是十分重要的戰略資源,它不僅關系到資訊主體的人身、财産安全,還關系到公共安全甚至國家安全。如果上述資訊存儲在境外,因境外存儲環境、存儲能力以及相關法律法規的不同,必然會給個人資訊存儲帶來極大的風險。上述個人資訊一旦洩露、丢失,必将造成難以彌補的損失甚至災難性的後果。是以,無論是從整體國家安全觀的大局考慮,還是從個人人格尊嚴、人格權益的保護考慮,為了增加個人資訊安全,強化個人資訊安全管理能力,該條規定國家機關處理的個人資訊應當在中華人民共和國境記憶體儲。
将個人資訊存儲在中華人民共和國境内,即通常所說的存儲本地化。最早從法律層面規定個人資訊存儲本地化的是《網絡安全法》,該法第37條規定:“關鍵資訊基礎設施的營運者在中華人民共和國境内營運中收集和産生的個人資訊和重要資料應當在境記憶體儲。”但是該條将個人資訊存儲本地化的義務對象僅限定于“關鍵資訊基礎設施的營運者”。2017年4月11日,國家網際網路資訊辦公室釋出了《個人資訊和重要資料出境安全評估辦法(征求意見稿)》,進一步擴大了個人資訊存儲本地化的義務對象,該辦法第2條規定:“網絡營運者在中華人民共和國境内營運中收集和産生的個人資訊和重要資料,應當在境記憶體儲。”根據該條規定,所有的網絡營運者收集的個人資訊,均應當在境記憶體儲。
《個人資訊保護法》通過兩個條文對于個人資訊存儲本地化作了明确的規定,一條是本條關于國家機關處理個人資訊本地化的規定,另一條是本法第40條規定:關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者,應當将在中華人民共和國境内收集和産生的個人資訊存儲在境内。其中,第40條則是關于個人資訊在境記憶體儲的一般規定,本條是關于個人資訊在境記憶體儲的特殊規定。不管國家機關是否是關鍵資訊基礎設施營運者,還是其處理的個人資訊到達國家網信部門規定的數量,隻要其具備國家機關的性質,其處理的個人資訊就應當在境記憶體儲,沒有例外。
二、國家機關處理個人資訊跨境提供的必要性
個人資訊關涉個人的人身、财産安全以及公共安全甚至國家安全,加強個人資訊的保護已成為各國共識。基于該種共識,該條明确規定國家機關處理的個人資訊必須在境記憶體儲。
但是,可流動性是個人資訊的天然屬性,如果個人資訊不流動,也就失去了其存在的價值。數字經濟時代,無論是貨物貿易還是服務貿易,都離不開資訊的全球互聯和資料的跨境流動。個人資訊的流動包括對内流動,也包括對外流動,對外流動就涉及個人資訊的跨境提供。是以,個人資訊的跨境提供是我們在制定個人資訊保護法律法規時無法回避的一環。
随着各國對資料跨境流動意義和影響的認識日益深入,資料跨境流動逐漸成為國家和地區間博弈的重要問題。基于國家安全、經濟發展、産業能力等多方面的考量,各國确立了不同的資料跨境流動政策,并基于此加快建構自身的資料跨境流動規則體系。大陸倡導建構人類命運共同體,除了需要各國之間為了人類共同的利益共享某些個人資訊之外,還需積極建構自身的資料跨境流動規則和機制,提出個人資訊跨境流動的中國方案,争取更多的個人資訊跨境處理規則的話語權。
目前,大陸已經通過多部法律、法規對包括個人資訊在内的資料的跨境流動進行規範,從《網絡安全法》到《個人資訊和重要資料出境安全評估辦法(征求意見稿)》《個人資訊出境安全評估辦法(征求意見稿)》,以及從《資料安全管理辦法(征求意見稿)》到《資料安全法》《個人資訊保護法》,大陸已經逐漸建立起完善的跨境資料流動規則。同時,大陸積極參與聯合國、G20、金磚國家、APEC、WTO等多邊機制數字領域國際規則制定,倡導發起《二十國集團數字經濟發展與合作倡議》《“一帶一路”數字經濟國際合作倡議》《攜手建構網絡空間命運共同體行動倡議》《全球資料安全倡議》,為全球數字經濟發展和網絡空間治理貢獻中國方案。
三、個人資訊跨境提供的安全評估
随着各國對個人資訊跨境流動的意義及影響的認識日益深化,國際社會既認識到跨境資料流動能帶來巨大收益,也意識到可能對國家安全和個人權益造成巨大沖擊。個人資訊跨境提供存在多重風險:一是境外接收者個人資訊保護能力存在不确定性。個人資訊出境後,境外接收機構是否具備個人資訊的保護能力無法控制和掌握,如果境外機構不能妥善保管個人資訊,将極易導緻個人資訊的洩露或濫用,對國内使用者的個人資訊安全造成嚴重影響。二是各國個人資訊保護法律法規存在差異。各國對個人資訊權益的認識和重視程度不同,必然導緻各國法律法規對個人資訊權益的規範有所不同。比如,大陸《網絡安全法》明确規定使用者具有個人資訊的删除、更正、投訴舉報、知情同意、安全保護等權益,但是個人資訊出境後,境外接收者對使用者個人資訊權益的保障情況,要受當地所在國家和地區的法律法規限制。如果境外接收方國家沒有個人資訊保護相關的法律法規要求,或者與大陸對個人資訊保護法律法規不同,将會導緻國内使用者的個人資訊權益難以保障。三是境外維權驗證存在困難。如果國内個人資訊在境外受到侵害,由于法律法規不同、監管範圍受限、語言文化差異、國際警方合作協調等客觀原因,使用者維權、調查驗證、消除個人資訊洩露後的影響都将存在一定的困難。
有鑒于此,《網絡安全法》首次規定了個人資訊跨境提供必須進行安全評估的規則,之後的《個人資訊和重要資料出境安全評估辦法(征求意見稿)》和《個人資訊出境安全評估辦法(征求意見稿)》又對個人資訊跨境提供的安全評估作了細化和明确。本法在延續了對于個人資訊境外提供進行安全評估思路的同時,又豐富了個人資訊跨境提供的合法性基礎,根據本法第38條之規定,安全評估僅是進行跨境提供合法性的基礎之一,但并非唯一的合法性基礎,如果未進行安全評估,但是符合該條第1款其他各項規定的條件的,也可以進行個人資訊的跨境提供。但是對于本法第40條規定的情形,即關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者跨境提供個人資訊的,以及本條規定的情形,即國家機關确需向境外提供個人資訊的,必須進行安全評估。
【條文适用】
一、國家機關跨境提供個人資訊的适用規則
本條對于國家機關處理個人資訊的存儲和跨境提供作了特别規定。除此之外,本法第三章專門規定了個人資訊跨境提供的規則。根據本法第33條規定:“國家機關處理個人資訊的活動,适用本法;本節有特别規定的,适用本節規定。”國家機關處理個人資訊的活動受本法限制,是以,國家機關跨境提供個人資訊時,除應遵循本條的特别規定外,對于本條未規定的事項,則需遵守本法第三章關于“個人資訊跨境提供的規則”的一般規定,比如本法第39條規定:“個人資訊處理者向中華人民共和國境外提供個人資訊的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式和程式等事項,并取得個人的單獨同意。”國家機關在向境外提供個人資訊時,亦需向資訊主體履行充分的告知義務,并取得個人的單獨同意。
但是,如果本法第三章的相關條款與本條規定産生沖突或者沖突,按照第33條之規定,應當适用該節的特别規定。比如本法共三個條文提到了安全評估,分别是本條、第38條和第40條。審判實踐中,要注意區分三者的差別和聯系,以便準确适用法律。
本法第38條規定了個人資訊處理者跨境提供個人資訊應當具備的條件,其中進行安全評估僅是個人資訊處理者取得跨境提供個人資訊合法性的基礎之一,除此之外,如果個人資訊處理者按照國家網信部門的規定經專業機構進行個人資訊保護認證、按照國家網信部門制定的标準合同與境外接收方訂立合同,約定雙方的權利和義務或者符合法律、行政法規或者國家網信部門規定的其他條件,亦可向境外提供個人資訊。本條與第38條相比,應當屬于第33條規定的“特别規定”,對于國家機關向境外提供個人資訊的,隻能适用本條的規則進行安全評估,國家機關不能僅僅按照國家網信部門的規定經專業機構進行個人資訊保護認證或者按照國家網信部門制定的标準合同與境外接收方訂立合同就可以向境外提供個人資訊。
本法第40條規定系對安全評估的具體規定。但是該條明确适用的主體系關鍵資訊基礎設施營運者和處理個人資訊達到國家網信部門規定數量的個人資訊處理者,如果國家機關恰好是關鍵資訊基礎設施營運者或者處理個人資訊達到了國家網信部門規定數量,适用該條自無異議,但是如果國家機關并非關鍵資訊基礎設施營運者,其處理的個人資訊也未達到國家網信部門規定數量,則應适用本條的特别規定,不能适用第40條的相關規定。此外,第40條還規定了安全評估的除外情形,即“法律、行政法規和國家網信部門規定可以不進行安全評估的,從其規定”。但是本條并未規定國家機關進行安全評估的除外情形,也即隻要涉及國家機關向境外提供個人資訊,就應當進行安全評估,并無例外情形。
二、國家機關跨境提供個人資訊安全評估的程式規則
《網絡安全法》與本法均規定了安全評估制度,但是都一筆帶過,缺乏具體的操作細則。2017年和2019年,國家網際網路資訊辦公室分别釋出了《個人資訊和重要資料出境安全評估辦法(征求意見稿)》和《個人資訊出境安全評估辦法(征求意見稿)》,就個人資訊安全評估進行了細化規定。雖然該兩份征求意見稿尚未最終釋出,但其中規定的安全評估内容和程式可以為國家機關适用該條進行安全評估提供參考和借鑒。
《個人資訊和重要資料出境安全評估辦法(征求意見稿)》明确了國家網信部門和行業主管部門的責任範圍,該辦法第5條規定:國家網信部門統籌協調資料出境安全評估工作,指導行業主管或監管部門組織開展資料出境安全評估。第6條規定:行業主管或監管部門負責本行業資料出境安全評估工作,定期組織開展本行業資料出境安全檢查。此外,該辦法對安全評估的形式、時間及要求、安全評估的主要内容、資料不得出境的具體情形均作了明确規定。《個人資訊出境安全評估辦法(征求意見稿)》第4條明确申報安全評估需要送出的材料包括申報書、網絡營運者與接收者簽訂的合同、個人資訊出境安全風險及安全保障措施分析報告以及國家網信部門要求提供的其他材料。第13~17條對合同内容以及安全風險分析報告的主體内容進行了規範要求。