最近,《个人信息出境安全评估办法(公开征求意见稿)》(下称“《评估办法》”)发布。出乎意料的是,这份旨在保护个人信息安全的部门规章,却引发了人们对自身信息安全的担忧,“去美国登陆微博要报备”“在国内浏览境外网站要审批”“网上出境需要介绍信”等声音甚喧尘上,一时间舆论滔滔。那么,该《评估办法》究竟是一部个人信息保护法,还是个人信息审查法?我们真正应该担忧的到底是什么呢?
目的何在?
顾名思义,《评估办法》针对的是“个人信息”,而其目的恰如其开宗明义的第一条所示:“保障数据跨境流动中的个人信息安全”。然则,为何针对个人信息的出境安全特别制定法规?正如国家标准《个人信息安全规范》的主要起草人洪延青博士所言,这是因为个人信息一旦出境将导致四方面的重大变化:一是个人信息持有方发生变化,其个人信息的保护能力必然相应改变;二是法律的变化,个人信息流出后本国法将不再适用;三是行政执法的变化,原境内监管机关无法对接收个人信息的境外主体实施管辖权;四是救济渠道的变化,个人维护自身合法权益的渠道变少了,且变得更加困难。正因如此,从美欧之间的隐私盾协议,到欧盟《一般数据保护条例》(GDPR)中的充分性认定,再到亚太经合组织的跨境隐私规则体系,个人信息出境问题一直是世界各国关注的焦点。
随之而来的第二个问题是,《评估办法》所规制的对象和活动是什么?其第二条“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息,应当按照本办法进行安全评估”的语句,明确无误地表明:《评估办法》所约束并非普罗大众,而是网络的所有者、管理者和网络服务提供者;它规范的是网络运营者将其在中国境内收集的个人数据,转移、共享给境外机构、组织、个人,或使之访问的经营活动。显而易见,网民访问、注册或登陆境外网站等纯粹个人行为,并不在《评估办法》的射程之内。那种认为《评估办法》限制民众登录境外网站的看法,无疑是杞人忧天。
不过,回到大众传播的语境里,民众的担忧也非空穴来风,其部分源于《评估办法》第2条后半句话——“经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境”。该条款将“国家安全”置于“个人信息安全”之上,难免启人疑窦,甚至有网友嘲讽说:“个人信息一点也不‘个人’,‘国家安全’一手遮天”。不过,倘若追根溯源的话,这一侧重于国家安全的表达很可能是《评估办法》的前身——2018年公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》的遗存。与个人信息安全不同,重要数据是指“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”,而根据《数据安全管理办法((征求意见稿)》第38条,与国家安全密不可分的“重要数据”一般不包括个人信息。事实上,正是由于个人信息保护的法益和规则与重要数据迥异,《评估办法》才在之前统一规制的基础上,进行大瘦身,形成了“个人信息出境”和“重要数据出境”二元并置的格局。
因而,要想消弭大众的担忧,立法者首先要清晰无误地传达保护个人信息权益的立法宗旨,删除“国家安全、公共利益”的表述,这不但可以有效防范人们的猜疑,也能与未来的“重要数据出境评估办法”保持逻辑自洽。其次,《评估办法》应明确将个人主动发起的个人信息出境作为安全评估的例外,避免引发无谓争议和不当联想。
真问题?
如果说公众的吐槽主要基于误解,那么法律人眼中的《评估办法》也难言完美,而其症灶正在于安全评估的关键内容:对网络运营者与境外个人信息接收者签订合同的评估之上。
《评估办法》第13条、14条、15、16条对网络运营者和境外个人信息接收者之间合同的内容,以及双方权利、义务和责任做出详细规定,特别是要求网络运营商承担“先行赔付”义务,即个人信息主体不能从接收者获得赔偿时,由网络运营者先行承担赔付责任。这里,我们暂且跳脱出具体合同条款的合理性批评,而尝试着在根本上去反思“通过审查合同来实现出境规制”——我称之为“通过合同的规制”的正当性。
从比较法视野观察,这种“通过合同的规制”是对欧盟“标准合同条款”(Standard Contractual Clauses,SCC)的误用。就个人信息出境规则设计而言,《评估办法》对合同的强调绝非创新,而是源于对欧盟GDPR的借鉴,但很不幸,这是一个南橘北枳的移植。为了保障欧盟境外的数据接受者能够提供适当的保障措施和有效的法律救济,GDPR第46条延续欧盟1995年《数据保护指令》,将标准合同条款作为欧盟数据转移到第三国的途径之一。欧盟标准合同条款与《评估办法》中的合同形似而实异,最大的区别就在于前者并非强制性的。事实上,在GDPR开列的一系列数据出境路径:从充分性认定到有约束力的公司准则,再到行为准则、认证机制和承诺中,标准合同条款远非主流。不仅如此,欧盟还在积极扩大标准合同条款的多样性。除了保留早已生效的三个范本外,还增加了成员国数据监管局可以制定其他标准合同条款的渠道,从而出台更多的符合实际需求的跨境传输合同文本。反观我国,《评估办法》几乎将评估的重心完全压在网络运营者和境外个人信息接收者的合同上。作为唯一的个人信息出境之路,该合同的内容已经成为网络运营者不可选择的法定义务。
一旦合同内容变为强制的,就不免让人担忧:作为部门规章,《评估办法》是否超越了监管机构的立法权限?我国《立法法》第80条规定:没有法律或者国务院的行政法规、决定、命令的依据,部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范,不得增加本部门的权力或者减少本部门的法定职责。显然,无论是前述先行赔付义务,还是第13条的过错推定责任,都是对网络运营者的新设规范,其合法性不无疑问。
而在更宏观和更深入的层面上,一旦合同内容变为强制,势必冲击我国“公私二元”的法律体系,发生“公法向私法遁入”的恶果。简言之,合同本属私法管辖,在私法自治的原则下,当事人可以自由约定合同内容,除非违反了法律强制性规定或构成其他无效事由。实践中,为了尽可能尊重当事人意思,最高人民法院《合同法司法解释(二)》第14条将导致合同无效的法律,进一步限定于法律、行政法规中的效力性强制性规定,从而将地方法规、部门规章、规范性文件,以及法律、行政法规中的管制性强制性规定排除在外。由此可以理解,在我国《合同法》中,关于买卖合同、租赁合同等有名合同的规范基本上是任意性的,当事人可以自主决定是否接受。相反,行政法等公法往往涉及广泛的公共利益,具有鲜明的管制目的,因此产生了令行禁止的强制性要求。另一方面,为了避免行政机关滥用这种权力,其应特别遵循法律保留、正当程序、比例原则等一系列的法治原则。回到《评估办法》, “通过合同的规制”将本属于任意性的合同,转变为监管机构执法的工具,不但有损于私法自治,还造成了这一权力行使超越了法定限度,脱离法治原则的束缚,遁入到公法和私法的缝隙之中,两无所依。
发现了病因,治病便不难。如欲祛除《评估办法》的病灶,我们不妨从两方面入手。一是充分拓展安全评估的范围,在标准合同外引入约束力的公司准则、行为准则、认证机制等更灵活、更有弹性的个人信息出境路径,使合同的合规不再是当事人唯一选项;二是依《合同法》的逻辑,仅仅规定网络运营者和境外个人信息接收者间合同的必备事项,至于各方具体的权利义务,可适时发布不具有法律约束力的“示范文本”,在与市场实践的互相学习中,找到个人信息出境的最佳道路。
世事难料,《评估办法》本意是保护民众,结果却引发了民众的不安和恐惧。这看似荒谬,实则反映了“空有善意,只会铺向地狱之路”的古老告诫。法律是一种人为理性,它需要精巧的立法技术和体系化思考的法治观念。只有摒弃头痛医、头脚痛医脚的应激性立法,遵循《宪法》《民法典》《个人信息保护法》《数据安全法》等顶层架构,才能真正制定出体系性和操作性兼具的良法美制。
相关文章
中国要求App Store下架未备案外国应用
据《华尔街日报》最新付费报道,苹果公司工作人员最近几个月与中国官员会面,讨论对应用程序商店管理新规定的担忧,新规将限制苹果公司在中国应用商店提供目前可用的许多外国应用程序。
有骇客声称盗取了涉及十亿中国公民资讯的警方数据
被公开的小部分数据样本中有的甚至可以追溯到 1995 年。
log4j安全漏洞导致iCloud等云服务器受影响
开源 Log4j 被发现名为 Log4Shell 漏洞,导致包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft 等相关服务的密码数据都有外泄的可能。据The Verge的报导,日志框架 Log4j...