第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
【条文主旨】
本条是关于国家机关处理个人信息的存储以及向境外提供相关规则的规定。
【条文理解】
一、国家机关处理的个人信息应当在境内存储
大数据时代,国家机关为了更好地履行法定职责,进行公共事务管理,不可避免地要处理大量的个人信息。比起其他数据,个人信息作为一种人格权益,承载了多种法律保护的利益,不仅包括自然人的个人信息权益,还包括隐私权、姓名权、肖像权、名誉权以及其他人格利益。除此之外,个人信息的处理还可能涉及言论自由、公共安全以及国家安全等。此外,基于国家机关的性质和职能,比起普通的个人信息处理者,国家机关处理的个人信息更为全面、更为丰富也更为敏感。从大陆的既有实践看,国家机关出于保障社会稳定、打击犯罪、强化治安等目的,通过采集指纹、身份登记、视频监控、实名注册等数据处理技术,处理了大量的个人信息,特别是敏感个人信息。因此,国家机关处理的个人信息,无论从广度、深度来说,还是从使用价值、战略价值来说,都是十分重要的战略资源,它不仅关系到信息主体的人身、财产安全,还关系到公共安全甚至国家安全。如果上述信息存储在境外,因境外存储环境、存储能力以及相关法律法规的不同,必然会给个人信息存储带来极大的风险。上述个人信息一旦泄露、丢失,必将造成难以弥补的损失甚至灾难性的后果。因此,无论是从整体国家安全观的大局考虑,还是从个人人格尊严、人格权益的保护考虑,为了增加个人信息安全,强化个人信息安全管理能力,该条规定国家机关处理的个人信息应当在中华人民共和国境内存储。
将个人信息存储在中华人民共和国境内,即通常所说的存储本地化。最早从法律层面规定个人信息存储本地化的是《网络安全法》,该法第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”但是该条将个人信息存储本地化的义务对象仅限定于“关键信息基础设施的运营者”。2017年4月11日,国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》,进一步扩大了个人信息存储本地化的义务对象,该办法第2条规定:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。”根据该条规定,所有的网络运营者收集的个人信息,均应当在境内存储。
《个人信息保护法》通过两个条文对于个人信息存储本地化作了明确的规定,一条是本条关于国家机关处理个人信息本地化的规定,另一条是本法第40条规定:关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。其中,第40条则是关于个人信息在境内存储的一般规定,本条是关于个人信息在境内存储的特殊规定。不管国家机关是否是关键信息基础设施运营者,还是其处理的个人信息到达国家网信部门规定的数量,只要其具备国家机关的性质,其处理的个人信息就应当在境内存储,没有例外。
二、国家机关处理个人信息跨境提供的必要性
个人信息关涉个人的人身、财产安全以及公共安全甚至国家安全,加强个人信息的保护已成为各国共识。基于该种共识,该条明确规定国家机关处理的个人信息必须在境内存储。
但是,可流动性是个人信息的天然属性,如果个人信息不流动,也就失去了其存在的价值。数字经济时代,无论是货物贸易还是服务贸易,都离不开信息的全球互联和数据的跨境流动。个人信息的流动包括对内流动,也包括对外流动,对外流动就涉及个人信息的跨境提供。因此,个人信息的跨境提供是我们在制定个人信息保护法律法规时无法回避的一环。
随着各国对数据跨境流动意义和影响的认识日益深入,数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、产业能力等多方面的考量,各国确立了不同的数据跨境流动策略,并基于此加快构建自身的数据跨境流动规则体系。大陆倡导构建人类命运共同体,除了需要各国之间为了人类共同的利益共享某些个人信息之外,还需积极构建自身的数据跨境流动规则和机制,提出个人信息跨境流动的中国方案,争取更多的个人信息跨境处理规则的话语权。
目前,大陆已经通过多部法律、法规对包括个人信息在内的数据的跨境流动进行规范,从《网络安全法》到《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》,以及从《数据安全管理办法(征求意见稿)》到《数据安全法》《个人信息保护法》,大陆已经逐渐建立起完善的跨境数据流动规则。同时,大陆积极参与联合国、G20、金砖国家、APEC、WTO等多边机制数字领域国际规则制定,倡导发起《二十国集团数字经济发展与合作倡议》《“一带一路”数字经济国际合作倡议》《携手构建网络空间命运共同体行动倡议》《全球数据安全倡议》,为全球数字经济发展和网络空间治理贡献中国方案。
三、个人信息跨境提供的安全评估
随着各国对个人信息跨境流动的意义及影响的认识日益深化,国际社会既认识到跨境数据流动能带来巨大收益,也意识到可能对国家安全和个人权益造成巨大冲击。个人信息跨境提供存在多重风险:一是境外接收者个人信息保护能力存在不确定性。个人信息出境后,境外接收机构是否具备个人信息的保护能力无法控制和掌握,如果境外机构不能妥善保管个人信息,将极易导致个人信息的泄露或滥用,对国内用户的个人信息安全造成严重影响。二是各国个人信息保护法律法规存在差异。各国对个人信息权益的认识和重视程度不同,必然导致各国法律法规对个人信息权益的规范有所不同。比如,大陆《网络安全法》明确规定用户具有个人信息的删除、更正、投诉举报、知情同意、安全保护等权益,但是个人信息出境后,境外接收者对用户个人信息权益的保障情况,要受当地所在国家和地区的法律法规限制。如果境外接收方国家没有个人信息保护相关的法律法规要求,或者与大陆对个人信息保护法律法规不同,将会导致国内用户的个人信息权益难以保障。三是境外维权取证存在困难。如果国内个人信息在境外受到侵害,由于法律法规不同、监管范围受限、语言文化差异、国际警方合作协调等客观原因,用户维权、调查取证、消除个人信息泄露后的影响都将存在一定的困难。
有鉴于此,《网络安全法》首次规定了个人信息跨境提供必须进行安全评估的规则,之后的《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》又对个人信息跨境提供的安全评估作了细化和明确。本法在延续了对于个人信息境外提供进行安全评估思路的同时,又丰富了个人信息跨境提供的合法性基础,根据本法第38条之规定,安全评估仅是进行跨境提供合法性的基础之一,但并非唯一的合法性基础,如果未进行安全评估,但是符合该条第1款其他各项规定的条件的,也可以进行个人信息的跨境提供。但是对于本法第40条规定的情形,即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者跨境提供个人信息的,以及本条规定的情形,即国家机关确需向境外提供个人信息的,必须进行安全评估。
【条文适用】
一、国家机关跨境提供个人信息的适用规则
本条对于国家机关处理个人信息的存储和跨境提供作了特别规定。除此之外,本法第三章专门规定了个人信息跨境提供的规则。根据本法第33条规定:“国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。”国家机关处理个人信息的活动受本法约束,因此,国家机关跨境提供个人信息时,除应遵循本条的特别规定外,对于本条未规定的事项,则需遵守本法第三章关于“个人信息跨境提供的规则”的一般规定,比如本法第39条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”国家机关在向境外提供个人信息时,亦需向信息主体履行充分的告知义务,并取得个人的单独同意。
但是,如果本法第三章的相关条款与本条规定产生矛盾或者冲突,按照第33条之规定,应当适用该节的特别规定。比如本法共三个条文提到了安全评估,分别是本条、第38条和第40条。审判实践中,要注意区分三者的区别和联系,以便准确适用法律。
本法第38条规定了个人信息处理者跨境提供个人信息应当具备的条件,其中进行安全评估仅是个人信息处理者取得跨境提供个人信息合法性的基础之一,除此之外,如果个人信息处理者按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务或者符合法律、行政法规或者国家网信部门规定的其他条件,亦可向境外提供个人信息。本条与第38条相比,应当属于第33条规定的“特别规定”,对于国家机关向境外提供个人信息的,只能适用本条的规则进行安全评估,国家机关不能仅仅按照国家网信部门的规定经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方订立合同就可以向境外提供个人信息。
本法第40条规定系对安全评估的具体规定。但是该条明确适用的主体系关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,如果国家机关恰好是关键信息基础设施运营者或者处理个人信息达到了国家网信部门规定数量,适用该条自无异议,但是如果国家机关并非关键信息基础设施运营者,其处理的个人信息也未达到国家网信部门规定数量,则应适用本条的特别规定,不能适用第40条的相关规定。此外,第40条还规定了安全评估的除外情形,即“法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定”。但是本条并未规定国家机关进行安全评估的除外情形,也即只要涉及国家机关向境外提供个人信息,就应当进行安全评估,并无例外情形。
二、国家机关跨境提供个人信息安全评估的程序规则
《网络安全法》与本法均规定了安全评估制度,但是都一笔带过,缺乏具体的操作细则。2017年和2019年,国家互联网信息办公室分别发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》,就个人信息安全评估进行了细化规定。虽然该两份征求意见稿尚未最终发布,但其中规定的安全评估内容和程序可以为国家机关适用该条进行安全评估提供参考和借鉴。
《个人信息和重要数据出境安全评估办法(征求意见稿)》明确了国家网信部门和行业主管部门的责任范围,该办法第5条规定:国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。第6条规定:行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。此外,该办法对安全评估的形式、时间及要求、安全评估的主要内容、数据不得出境的具体情形均作了明确规定。《个人信息出境安全评估办法(征求意见稿)》第4条明确申报安全评估需要提交的材料包括申报书、网络运营者与接收者签订的合同、个人信息出境安全风险及安全保障措施分析报告以及国家网信部门要求提供的其他材料。第13~17条对合同内容以及安全风险分析报告的主体内容进行了规范要求。