中國式的封阻立法

　　不論立法還是實踐，對于執(zhí)法司法目的的跨境調“取”數(shù)據還是“防”范境外的數(shù)據跨境調取行為，中國的基本立場均是強調主權不容侵犯，堅持應通過主權國家之間的平等互惠合作來開展。【見：數(shù)據跨境流動 | “法律戰(zhàn)”漩渦中的執(zhí)法跨境調取數(shù)據：以美歐中為例】類似的立場可從見于：

　　《國際刑事司法協(xié)助法》

　　第四條　中華人民共和國和外國按照平等互惠原則開展國際刑事司法協(xié)助。

　　國際刑事司法協(xié)助不得損害中華人民共和國的主權、安全和社會公共利益，不得違反中華人民共和國法律的基本原則。

　　非經中華人民共和國主管機關同意，外國機構、組織和個人不得在中華人民共和國境內進行本法規(guī)定的刑事訴訟活動，中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規(guī)定的協(xié)助。

　　《數(shù)據安全法》

　　第三十六條　中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數(shù)據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據。

　　《個人信息保護法》

　　第四十一條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的個人信息。

　　類似的，數(shù)安條例在第三十九條也提出了類似的規(guī)定：

　　第三十九條 數(shù)據處理者向境外提供數(shù)據應當履行以下義務：

　?。ㄒ唬┎坏贸鰣笏途W信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數(shù)據類型、規(guī)模等向境外提供個人信息；

　?。ǘ┎坏贸鼍W信部門安全評估時明確的出境目的、范圍、方式和數(shù)據類型、規(guī)模等向境外提供個人信息和重要數(shù)據；

　?。ㄈ┎扇『贤扔行Т胧┍O(jiān)督數(shù)據接收方按照雙方約定的目的、范圍、方式使用數(shù)據，履行數(shù)據安全保護義務，保證數(shù)據安全；

　　（四）接受和處理數(shù)據出境所涉及的用戶投訴；

　?。ㄎ澹?shù)據出境對個人、組織合法權益或者公共利益造成損害的，數(shù)據處理者應當依法承擔責任；

　?。┐媪粝嚓P日志記錄和數(shù)據出境審批記錄三年以上；

　?。ㄆ撸﹪揖W信部門會同國務院有關部門核驗向境外提供個人信息和重要數(shù)據的類型、范圍時，數(shù)據處理者應當以明文、可讀方式予以展示；

　?。ò耍﹪揖W信部門認定不得出境的，數(shù)據處理者應當停止數(shù)據出境，并采取有效措施對已出境數(shù)據的安全予以補救；

　?。ň牛﹤€人信息出境后確需再轉移的，應當事先與個人約定再轉移的條件，并明確數(shù)據接收方履行的安全保護義務。

　　非經中華人民共和國主管機關批準，境內的個人、組織不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據。

　　強制要求提供 vs. 自愿提供

　　對于上述規(guī)定的第一個事項是：上述條文中要求“主管機關批準”，僅針對外國司法執(zhí)法機關明確提出的數(shù)據調取要求，還是同時覆蓋境內個人、組織主動向外國司法執(zhí)法機關提供數(shù)據的行為。

　　首先，2018年10月通過的《國際刑事司法協(xié)助法》的相關審議情況中可以看到，該條款專門針對外國司法執(zhí)法機關針對中國境內的機構、組織和個人直接發(fā)出數(shù)據和信息調取命令的情況，并不包含中國境內的機構、組織和個人在海外應訴時主動且自愿向外國司法執(zhí)法機關提供數(shù)據和信息的行為。

　　在全國人民代表大會憲法和法律委員會關于《中華人民共和國國際刑事司法協(xié)助法（草案）》審議結果的報告中，有這么一段話——“有的部門提出，實踐中有外國司法執(zhí)法機關未經我國主管機關準許要求我境內的機構、組織和個人提供相關協(xié)助，損害我國司法主權和有關機構、組織和個人的合法權益。為有效應對這種情況，抵制外國的”長臂管轄“要求，建議在草案中增加相關的規(guī)定。憲法和法律委員會經研究，建議采納這一意見，增加規(guī)定，非經中華人民共和國主管機關同意，中華人民共和國領域內的機構、組織和個人不得向外國提供證據材料和本法規(guī)定的協(xié)助”?！緃ttp://www.npc.gov.cn/zgrdw/npc/xinwen/2018-10/26/content_2064519.htm】

　　其次，看《數(shù)據安全法》和《個人信息保護法》的行文邏輯?！稊?shù)據安全法》第36條——“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構關于提供數(shù)據的請求。非經中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據”。應當特別注意到第36條兩句話并為一段，而非并未分立為兩款。因此兩句話內容是承接關系。

　　第一句話內容是中國主管機關處理“外國司法或者執(zhí)法機構關于提供數(shù)據的請求”時應當秉持的原則和立場。第二句話順承地表述了和《國際刑事司法協(xié)助法》一樣的語句，即面對外國司法執(zhí)法機關直接調取數(shù)據和信息的強制命令時，境內機構、組織和個人應當事先申請并獲得中國主管機關的批準。

　　《個人信息保護法》采取了與《數(shù)據安全法》幾乎一致的行文邏輯。

　　因此綜上可以確認，從立法意圖上來說，中國法律中的相關條款，主要是為了應對外國政府和司法機構在數(shù)據方面的“長臂管轄”——直接且具有強制力地調取存儲于中國境內的數(shù)據和信息。對于中國境內機構、組織和個人，應對海外訴訟和海外調查時，主動、自愿、不受任何壓力地向外國司法執(zhí)法機關提供數(shù)據和信息的行為，似乎并不要求批準。

　　主管機關批準 vs. 數(shù)據出境安全管理

　　第二個事項是：主管機關批準和數(shù)據出境安全管理的競合關系。這里面有兩個方面的問題：第一個問題，對于境外的強制調取，是否要同時履行數(shù)據出境安全義務（無論是安全評估、合同等）和主管機關批準程序，或者后者即可？第二個問題，對于向境外主動提供，如果按照前文分析無需主管機關批準的話，是否要履行數(shù)據出境安全義務？

　　首先，從《數(shù)據安全法》和《個人信息保護法》中，似乎讀不出對于境外的強制調取，需要同時履行數(shù)據出境安全義務（無論是安全評估、合同等）和主管機關批準程序的要求。

　　《數(shù)據安全法》中，第三十六條出現(xiàn)在“第四章 數(shù)據安全保護義務”之中，第三十六條和第三十一條【“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理，適用《中華人民共和國網絡安全法》的規(guī)定；其他數(shù)據處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定”。】是個并列的關系。因此，可以理解為針對不同情形的不同規(guī)定。

　　在《個人信息保護法》中，第四十一條出現(xiàn)在“第三章 個人信息跨境提供的規(guī)則”之中。但第三十八條有個前置條件——“因業(yè)務等需要”。一般來說，境外執(zhí)法和司法機構的強制調取，不是業(yè)務需要的一部分。因此，也可以理解為第三十八條和第四十一條是不同情形的不同規(guī)定。

　　第三十八條 個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

　?。ㄒ唬┮勒毡痉ǖ谒氖畻l的規(guī)定通過國家網信部門組織的安全評估；

　?。ǘ┌凑諊揖W信部門的規(guī)定經專業(yè)機構進行個人信息保護認證；

　?。ㄈ┌凑諊揖W信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；

　?。ㄋ模┓伞⑿姓ㄒ?guī)或者國家網信部門規(guī)定的其他條件。

　　中華人民共和國締結或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。

　　但在數(shù)安條例中，很有意思的是，“非經中華人民共和國主管機關批準，境內的個人、組織不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據”的規(guī)定不是獨立成條（而且這是否意味著自愿提供也要求批準？）而是放在第三十九條的第二款。而第三十九條第一款是“數(shù)據處理者向境外提供數(shù)據應當履行以下義務”。

　　應該來說，不是同一個事項的內容，不放在同一個條款之中。因此，似乎可以認為數(shù)安條例的立法原意是——對于境外的強制調取，數(shù)據處理者需要同時履行數(shù)據出境安全義務（無論是安全評估、合同等）和主管機關批準程序的要求。如果是這樣的要求，那么就要明確網信部門的數(shù)據出境安全評估和主管機關批準程序之間的關系。相信現(xiàn)在已經有組織或個人已經有著厘清上述關系的要求。

　　而對于中國境內機構、組織和個人，應對海外訴訟和海外調查時，主動、自愿、不受任何壓力地外國司法、執(zhí)法機關提供數(shù)據和信息，公號君始終認為應當遵守數(shù)據出境安全方面的要求。具體來說，應當主動過濾、刪減掉明文禁止出境的數(shù)據和信息；對于為明文禁止出境的數(shù)據和信息，進行數(shù)據出境安全評估。數(shù)據出境安全評估主要考慮：數(shù)據出境的目的、類型、量級、使用目的，數(shù)據接收方的安全能力，所在地政治法律環(huán)境情況是否會導致數(shù)據（非自愿的）二次共享等情況。也就是數(shù)安條例和數(shù)據出境安全評估辦法中規(guī)定的評估事項。（完）