第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
【条文主旨】
本条是关于外国司法或者执法机构请求提供个人信息的处理的规定。
【条文理解】
在一国家或地区的涉外司法或执法过程中,可能需要调取他国境内数据或公民个人信息,这种个人信息跨境调取通常通过国际司法或执法协助进行。
一、条约优先
严格履行缔结或参加的国际条约、协定是国家的基本义务,也是对国际社会的承诺。国际条约是国际法的主要渊源,不属于大陆国内法范畴,但是通过法定程序,国际条约可以具有与国内法同样的拘束力。为此,本条首先规定了根据有关法律和大陆缔结或者参加的国际条约、协定,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。
关于信守和实施国际条约的问题,是国际条约在一个国家内的效力问题。特别是国际条约某些规定与国内法不一致时,是适用国际条约的规定,还是适用国内法规定,就成为国际社会十分关注的问题之一。作为一个主权国家来讲,它所缔结或者参加的国际条约,表达了自己应该信守条约的意志,把国际条约付诸实施,但在它的领域内应当按照本国法律独立行使司法权或执法权,不受任何外来的约束。其中如何处理国际条约与国内法的关系,通常采用变国际条约为国内法的方式,大致有两种具体做法:一种是承认一个国际条约,就在国内制定相应法律,使国际条约的内容以国内法的形式出现,适用该国内法也就实施了条约规定的内容;另一种是在国内法中,确定承认和实施国际条约的原则,凡符合原则的,就承认其效力,并付诸实施。后一种方式为较多国家所采用,大陆也采用这种方式。对国际间的条约,各主权国家根据自己国家的利益行事,可以参加也可以不参加,即使参加也不一定必须同意条约的全部内容,对条款中的某项或者某几项条款,有权声明保留自己的意见,对有保留意见的条款,只要在参加时有明确的声明,就可以不受约束,这是国际间对待条约的通例。大陆《个人信息保护法》第38条第2款则明确规定:“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。”该款规定直接体现了条约优先适用的原则。在经济全球化日趋深化的背景下,部分发达国家或区域组织已经开启了数据跨境流动的法律实践,实现个人信息保护标准统一化,典型的如美国主导的《美墨加协定》(USMCA)数字贸易一章、美国与欧盟达成的《欧盟—美国隐私盾协议》(EU-U.S.Privacy?Shield)、GDPR,这三部规范中有关数据跨境流动的规则,为数据跨境共享提供了制度示范。GDPR第48条规定:第三国基于法院判决、仲裁裁决以及行政机关的决定要求数据控制者传输、披露数据的,必须与欧盟成员国之间存在有效的国际条约、司法协定,且其所实施的数据调取活动,不得违反欧盟在GDPR中设置的诸多限制性规定。
至于大陆在缔结或者参加国际条约时,明确声明保留的条款,是大陆未承认和未接受的条款,大陆没有信守的义务,在处理涉外司法或执法的个人信息协助请求时不予适用,在大陆领域内不发生法律效力。中华人民共和国是一个主权独立的社会主义国家。大陆不是一般地去承认和接受国际条约,不是大陆缔结或者参加的国际条约,对大陆无任何约束力,在大陆领域内当然也不发生任何效力。
二、平等互惠
大陆是社会主义国家,坚持独立自主的对外政策,坚持“互相尊重主权和领土完整、互不侵犯、互不干涉内政、平等互利、和平共处”和平共处五项原则,是指导大陆同各国发展友好关系的一贯原则。互惠原则,也称对等原则,(Reciprocity,亦译作“相互原则”)是国际法上的一项重要原则,也是国际关系的通行法则。对等原则广泛地被运用在国际私法、外国法院判决的承认与执行等领域。互惠或对等原则在国际法上的基本含义是,如果一个国家凭借某个国际法规范向对方国家主张权利,那么这个国家自己也得受该规范的约束。[1]在高度发达的国内法律体系下,对等原则在很大程度上已经被国内统一的法律规则所取代,例如在国内刑法领域,私人之间的报复已经为法律所禁止。而在体系化程度较低的国际法律体系下,对等原则仍然是维持国际法律秩序的一个重要途径。
国家的主权是神圣不可侵犯的权力。当主权国家之间既未缔结协助协定又未共同参加有协助内容的有关国际条约时,双方互相无义务进行协助。但是,建立有外交关系的国家,为了双方的方便,根据国际惯例可以按互惠关系形成事实上的协助关系。事实上的协助关系一旦成立,两国主管机关便可以互为对方提供一定的协助行为。大陆在尊重国家主权、保障国家安全和公共利益的基础上,主张并积极推进个人信息的跨境自由流动。《个人信息保护法》第12条规定:“国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。”建立跨境个人信息调取协助机制,为国际司法协助或者行政执法协助建立畅通的个人信息提供渠道。
三、主管机关批准
基于防御性数据主权,大陆一直限制或禁止他国数据调取。同理,境外司法和执法机构要求调取境内个人信息的,未经主管机关批准,不得提供。在本法的草案征求意见过程中,有的部门、专家建议,增加未经批准擅自提供的处罚规定,为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据。一方面,个人信息“静”的安全依然是调取的前提,任何国家不得滥用信息技术对他国进行个人信息监控,非法采集他国公民个人信息,破坏个人信息的完整性、可用性、保密性。《美国澄清合法使用境外数据法》(Clarifying?Lawful?Overseas?Use?of?Data?Act,CLOUD?Act)通过采取长臂管辖模式,得以在无须通过刑事司法协助程序下直接调取境外的美国“网络服务提供者”所收集的数据。然而个人信息涉及国家主权、安全和发展利益。个人信息的传输为人民群众生产生活提供了很多便利,同时各类数据的拥有主体更加多样,处理活动更加复杂,一些企业、机构忽视个人信息安全保护、利用个人信息侵害人民群众合法权益的问题也十分突出。通过严格规范个人信息处理活动,切实加强个人信息安全保护,不断推进网络强国、数字中国、智慧社会建设,以信息为新生产要素的数字经济蓬勃发展,加快形成以创新为主要引领和支撑的数字经济,更好服务大陆经济社会发展。安全利益和公民个人权利保护是大陆数据传输立法价值判断的核心,“有原则恒有例外”,以数据自由流动为原则,并不意味着不存在“例外”的限制,事实上,世界上不存在对数据跨境流动不作任何限制的国家。一国对个人信息的保护原则也不例外。网络运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照相关办法进行安全评估;向外国提供数据,必须要通过大陆主管机关的批准。
个人信息汇聚成数据,加强个人信息安全保护和出境评估,避免重要数据和个人敏感信息非法出境危害公民合法权益和国家安全。当今社会,信息技术与经济社会的交汇融合引发了数据的迅猛增长,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。数据的价值全面体现在政府管理、公共安全、商业交易等层面,跨境电子商务的开展以及互联网公司全球运行的商业逻辑都使海量信息的跨境存储和传输、分析处理不可避免,针对跨境个人信息传输进行规制刻不容缓。
大数据、人工智能等技术的不断进步,使隐藏在个人信息中的人类行为模式被识别出来,包括食物喜好、生活习惯、健康状况、职业选择偏好等等。通过自由的个人信息跨境流动,利用大数据分析,一国可能对他国的社会状况进行精准画像,并有针对性地开展情报收集和研判等工作,威胁他国国家安全。数据在内容上既可能表现为个人隐私,也可能体现为商业利益,又可能涉及国家安全和公共利益。少量的数据流动可能仅仅损害个人或企业的合法权益,大量规模化的数据流动则可能影响一国的经济社会安全。为此,国家必然对本国领土内的互联网设备、数据收集、传输、使用采取限制或禁止的态度,以保护国家主权的不受侵害,而国家安全挑战亦将成为各国包括大陆制定个人信息跨境流动规则的重要考量因素。
本条关于个人信息出境需要经过主管机关批准的规定与《网络安全法》《数据安全法》的规定一脉相承。《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”《数据安全法》第31条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
【条文适用】
“条约必须遵守”源自国内法上的“约定必须信守”,是各国法律体系所公认的一般法律原则,其不仅是公认的国际法基本原则,而且是《联合国宪章》《维也纳条约法公约》明确的条约义务,亦被国际法院承认为现代国际法官方原则。凡中华人民共和国缔结或者参加的国际条约,是以国家的名义缔结和承认的,大陆法律确认其效力。如果国际条约同大陆《个人信息保护法》有不同的规定,大陆也有信守国际条约的义务,承认其效力,适用该国际条约的有关规范。按照大陆缔结或参加的国际条约规定的途径和程序进行一般司法协助,通常是通过各自国家指定的代为协助的中央机关进行。如果主权国家之间既未缔结司法协助协定又未共同参加有司法协助内容的有关国际条约时,建立有外交关系的国家,为了双方的方便,可以根据国际惯例按互惠关系形成事实上的司法协助关系。除此之外,未经大陆主管机关准许,任何外国机关或者个人不得在中华人民共和国领域内向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息,这是一国司法主权的象征。
大陆《国际刑事司法协助法》《网络安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》《数据出境安全评估指南(征求意见稿)》等对数据出境进行规制的法律、文件均确立网络运营者(包含网络的所有者、管理者和网络服务提供者)在大陆境内运营中,收集和产生的电子形式的个人信息、关键信息和重要数据,应当采境内存储的本地化存储模式;网络运营者应当事先对出境个人数据、重要数据实施安全评估的机制。[6]以本地化存储模式为基础,大陆将主权范围辐射至存储于境内的数据,若此,基于国家主权原则,他国无权自行收集大陆境内的数据。《国际刑事司法协助法》第4条第3款规定:“非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。”依据此规定,未经主管机关同意,外国机构、组织和个人,不得在大陆境内通过刑事司法协助调取电子数据;境内的机构、组织和个人也不得向外国提供电子数据和其他协助。亦即外国相关部门只能通过正式的刑事司法协助程序,并经过上述严格的分段式审查,才能调取大陆境内的数据。
《个人信息保护法》在第三章第38条规定了个人信息跨境提供的基本规则,而对于存储于大陆境内的个人信息,境外的司法或者执法机构要求提供的,本条规定应当经主管机关批准。大陆《网络安全法》和《数据安全法》确立了重要数据出境的基本框架,重要数据原则上应当在境内存储。确需出境时应当进行安全评估。鉴于大规模个人信息向境外提供,及关键信息基础设施运营收集和产生的重要数据向境外提供,将对国家安全和公共利益产生重大影响,因此重点评估数据出境的安全风险,并根据安全风险采取禁止出境、有条件出境等监管手段,防止关键数据流失、维护国家安全。虽然在《个人信息保护法(草案)》征求意见过程中,相关主体建议“明确申请主体、主管部门及申请批准程序、豁免情形,比如:跨国公司跨境内部调查公开的信息;不危害国家安全或公共利益的个人信息;仅通过中国境内的云服务器存储境外个人的信息;个人信息出口旨在协助进行集团内部的反洗钱和打击恐怖主义等,向国际组织如国际刑警组织等提供个人信息,按照所在国法律要求向境外政府机构提供个人信息;为制止损害公共利益而披露个人信息”。需要注意的是,本条规定需要经主管机关批准的个人信息不仅局限于中国公民的个人信息,而且应当包括所有存储在中国境内的个人信息。由于是司法或执法协助需要的出境,无须再取得个人信息主体的单独同意。这些规定与《网络安全法》的要求是相互衔接、有机联系的。比如,《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”关键信息基础设施的运营者在境内存储公民个人信息等重要数据,确需在境外存储或者向境外提供的,应当按照规定进行安全评估。也有观点提出,数据跨境制度需要针对例外情形设置特许出境制度,允许监管机构之间进行紧急数据传输。如果大陆立法对这类情形视若无睹,或实施非公开透明的执法策略,不利于大陆刑事司法活动与国际对接,更遑论开展国际执法合作。
当前,中共中央、国务院印发了《横琴粤澳深度合作区建设总体方案》,在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,研究建设固网接入国际互联网的绿色通道,探索形成既能便利数据流动又能保障安全的机制;支持珠海、澳门相关高校、科研机构在确保个人信息和重要数据安全前提下,实现科学研究数据跨境互联互通,促进数据跨境安全有序流动。虽然在《个人信息保护法(草案)》征求意见过程中,一些机构建议,删除需要主管机关批准的这一规定,或明确跨国公司开展内部调查,或协助反洗钱和打击恐怖分子,提供不危害国家安全、公共利益或已公开的个人信息,提供在中国境内存储的境外个人的信息,向国际组织提供,按照所在国要求提供等情形,不适用本条规定。需要注意的是,包括个人信息在内的数据涉及国家主权和社会公共利益,而司法和执法关乎主权问题,不容干涉和协商。即使现有立法未规定需要主管机关批准,根据新法优于旧法的原则,因国际司法协助或者行政执法协助向境外提供个人信息的,应当依法申请有关主管机关批准。《个人信息保护法》第3条规定了本法的空间适用范围,其中第1款规定:“在中华人民共和国境内处理自然人个人信息的活动,适用本法。”个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,向境外提供个人信息的行为本质上属于处理个人信息的活动的一部分,理应适用本法。