11月1日,各方翘首以待的《个人信息保护法》终于生效。至此,我国《网络安全法》《数据安全法》《个人信息保护法》所构筑的网络空间法制架构已粲然大备。
不过,魔鬼皆在细节中,如何将三部法律落实到监管实践中,仍是未竟之业。
正因如此,国家网信办日前发布的《数据出境安全评估办法(征求意见稿)》(“《出境评估办法》)甫出,即引发坊间热议。在《个人信息保护法》实施之际,我们不妨就“个人信息出境安全评估”条款略加剖析,以期有裨于立法。
依《出境评估办法》第四条,个人信息出境需要申报数据出境安全评估涉及三种情形:
(1)关键信息基础设施的运营者收集和产生的个人信息出境;
(2)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;
(3)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。
其中,第(1)种情形在《网络安全法》第37条早有明文,而第(2)(3)种情形则属于新增规定,其理据为何,还待仔细辨明。
主体规制:何种个人信息处理者需要安全评估?
《出境评估办法》将“处理个人信息达到一百万人”作为出境安全评估的主体门槛,在上位法依据上,源于《个人信息保护法》第40条“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估”。
由此的问题是:这里100万是否就是一个合适的数量?
从体系解释的角度,第40条中“达到国家网信部门规定数量的个人信息处理者”与“关键信息基础设施运营者”并列,两者在法律性质上应当具备逻辑上的同一性或类似性。
根据《关键信息基础设施安全保护条例》第2条和第9条,“关键基础设施”是一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统,其认定应当考虑“(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;(三)对其他行业和领域的关联性影响。”
从上述多样化要件看,该条中“个人信息处理者”的界定决不只是处理个人信息数量达到一定数量即可,而是和《个人信息保护法》第58条项下“提供重要互联网服务、用户数量巨大、业务类型复杂的个人信息处理者”相呼应。
就此而言,对该条应做缩限解释,在个人信息处理数量之外,还须另外纳入个人信息处理者的业务类型、重要程度、关联影响等因素。
即使仅仅考虑个人信息数量,100万人的个人信息依然过少,难以构成“用户数量巨大”。实际上,刚刚发布的《互联网平台分类分级指南(征求意见稿)》对“用户数量”已经提出了可操作的量化标准,具体而言,超级平台的用户数量不低于5亿,大型平台的用户数量不低于5000万。
因而,在认定个人信息处理数量上,不妨以此为参照,将数量级定于千万,而非百万。
对此,一个可能的质疑是:100万人的下限已经出现在《网络安全审查办法(修订草案征求意见稿)》中,其规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
一个简单的回应是,任何法律规则都不可脱离其立法背景和目的,《个人信息保护法》第40条系“数据本地化”条款,属于最严格的数据出境管制手段,其门槛当然地高于其他出境管制标准。
对象规制:何种个人信息需要安全评估?
《出境评估办法》将“累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息”作为出境安全评估的对象门槛。
这一规定不见于《个人信息保护法》,只能从《数据安全法》中寻找其上位法渊源。
《数据安全法》第31条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。
显然,只有将“超过十万人以上个人信息或者一万人以上敏感个人信息”视为重要数据,才能援引该条作为基础。
不过,这也引发了两个问题:
一是针对此种重要数据,国家网信部门能否单独制定出境规则,抑或要会同其他部门联合发布?
二是个人信息和重要数据的关系如何?前者系立法程序问题,这里暂且存而不论,这里仅讨论后者。
从《网络安全法》开始,重要数据和个人信息在法律上一直泾渭分明。
网信办于2017年和2019年分别出台《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》,对个人信息出境和重要数据出境分而治之。当然,两者的分离并不意味着完全隔离,事实上,随着大数据技术的广泛应用,大量个人信息的汇聚可能成为堪比公安机关国家人口基础信息库的存在,其泄露可能对国家安全造成严重危害。
据此,问题与其是两者如何分离,毋宁是“个人信息”如何转化为“重要数据”?
《数据安全法》已初步明确了“重要数据识别”的方向。
一方面,重要数据应当全面考虑“数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”。另一方面,重要数据的风险具有鲜明的场景性,其范围也只能在具体地域、行业中才能最终认定。
为此,《数据安全法》采取统分结合的方式,先有国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,再由各地区、各部门,确定本地区、本部门以及相关行业、领域的重要数据具体目录。
由此可知,个人信息向重要数据转化,首先是其事关国家安全、国计民生、公共利益。其数量规模固然是一方面,但更重要的是其性质、用途、处理方式、信息主体身份、是否可公开获得等“定性因素”。
例如,在美国对TikTok的数据安全审查中,其最关注的是其对政府雇员和军方人员个人信息的收集,而非普通民众的个人信息。就此而言,针对特殊敏感人群,《出境评估办法》所设定的10万人门槛可能过高,而针对普罗大众,10万人门槛又未免过低。
正是由于重要数据内在的不确定性,其难以通过一刀切的方式划定。故而,无论是美国“受控非秘信息”,还是我国的“重要数据”,均不得不采取依托于具体行业的“目录管理”。
总之,《出境评估办法》采取定量方式脱离场景地界定“可转化为重要数据的个人信息”,可能忽略了重要数据的多重判断维度,也与《数据安全法》所确立的重要目录制定机制不符,有待在国安委统筹协调下出台更切合实践的认定标准。
《数据安全法》所确立的“数据安全、自由流动原则”是中国对全球数据跨境流动规则的重要贡献。
在各国“数据自由”和“数据管控”的争议中,中国坚定选择了“自由”,在各国林林种种的“管控事由”中,中国删繁就简选择了“安全”。在全球制度竞争中,这无疑是一个给人以秩序感并具有价值感召力的数据跨境中国方案。
放眼未来,中国将加入CPTPP,高水平、高频次、高质量的数据跨境流动已成为各界共识和中国发展的重要动力。作为落实《数据安全法》的重要举措,《出境评估办法》亦应坚守“数据安全、自由流动原则”,以《个人信息保护法》和《数据安全法》为基,慎重设定出境评估的主体规制和对象规制,避免过于简化和宽泛的“数据流动安全”,戕害了“数据流动自由”。
我们由衷期待着《出境评估办法》对“安全和自由”的再平衡。
