中國式的封阻立法

　　不論立法還是實踐，對于執(zhí)法司法目的的跨境調(diào)“取”數(shù)據(jù)還是“防”范境外的數(shù)據(jù)跨境調(diào)取行為，中國的基本立場均是強調(diào)主權(quán)不容侵犯，堅持應通過主權(quán)國家之間的平等互惠合作來開展?！疽姡簲?shù)據(jù)跨境流動 | “法律戰(zhàn)”漩渦中的執(zhí)法跨境調(diào)取數(shù)據(jù)：以美歐中為例】類似的立場可從見于：

　　《國際刑事司法協(xié)助法》

　　第四條　中華人民共和國和外國按照平等互惠原則開展國際刑事司法協(xié)助。

　　國際刑事司法協(xié)助不得損害中華人民共和國的主權(quán)、安全和社會公共利益，不得違反中華人民共和國法律的基本原則。

　　非經(jīng)中華人民共和國主管機關(guān)同意，外國機構(gòu)、組織和個人不得在中華人民共和國境內(nèi)進行本法規(guī)定的刑事訴訟活動，中華人民共和國境內(nèi)的機構(gòu)、組織和個人不得向外國提供證據(jù)材料和本法規(guī)定的協(xié)助。

　　《數(shù)據(jù)安全法》

　　第三十六條　中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關(guān)批準，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

　　《個人信息保護法》

　　第四十一條 中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。

　　類似的，數(shù)安條例在第三十九條也提出了類似的規(guī)定：

　　第三十九條 數(shù)據(jù)處理者向境外提供數(shù)據(jù)應當履行以下義務：

　?。ㄒ唬┎坏贸鰣笏途W(wǎng)信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息；

　?。ǘ┎坏贸鼍W(wǎng)信部門安全評估時明確的出境目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息和重要數(shù)據(jù)；

　?。ㄈ┎扇『贤扔行Т胧┍O(jiān)督數(shù)據(jù)接收方按照雙方約定的目的、范圍、方式使用數(shù)據(jù)，履行數(shù)據(jù)安全保護義務，保證數(shù)據(jù)安全；

　?。ㄋ模┙邮芎吞幚頂?shù)據(jù)出境所涉及的用戶投訴；

　?。ㄎ澹?shù)據(jù)出境對個人、組織合法權(quán)益或者公共利益造成損害的，數(shù)據(jù)處理者應當依法承擔責任；

　　（六）存留相關(guān)日志記錄和數(shù)據(jù)出境審批記錄三年以上；

　　（七）國家網(wǎng)信部門會同國務院有關(guān)部門核驗向境外提供個人信息和重要數(shù)據(jù)的類型、范圍時，數(shù)據(jù)處理者應當以明文、可讀方式予以展示；

　?。ò耍﹪揖W(wǎng)信部門認定不得出境的，數(shù)據(jù)處理者應當停止數(shù)據(jù)出境，并采取有效措施對已出境數(shù)據(jù)的安全予以補救；

　　（九）個人信息出境后確需再轉(zhuǎn)移的，應當事先與個人約定再轉(zhuǎn)移的條件，并明確數(shù)據(jù)接收方履行的安全保護義務。

　　非經(jīng)中華人民共和國主管機關(guān)批準，境內(nèi)的個人、組織不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

　　強制要求提供 vs. 自愿提供

　　對于上述規(guī)定的第一個事項是：上述條文中要求“主管機關(guān)批準”，僅針對外國司法執(zhí)法機關(guān)明確提出的數(shù)據(jù)調(diào)取要求，還是同時覆蓋境內(nèi)個人、組織主動向外國司法執(zhí)法機關(guān)提供數(shù)據(jù)的行為。

　　首先，2018年10月通過的《國際刑事司法協(xié)助法》的相關(guān)審議情況中可以看到，該條款專門針對外國司法執(zhí)法機關(guān)針對中國境內(nèi)的機構(gòu)、組織和個人直接發(fā)出數(shù)據(jù)和信息調(diào)取命令的情況，并不包含中國境內(nèi)的機構(gòu)、組織和個人在海外應訴時主動且自愿向外國司法執(zhí)法機關(guān)提供數(shù)據(jù)和信息的行為。

　　在全國人民代表大會憲法和法律委員會關(guān)于《中華人民共和國國際刑事司法協(xié)助法（草案）》審議結(jié)果的報告中，有這么一段話——“有的部門提出，實踐中有外國司法執(zhí)法機關(guān)未經(jīng)我國主管機關(guān)準許要求我境內(nèi)的機構(gòu)、組織和個人提供相關(guān)協(xié)助，損害我國司法主權(quán)和有關(guān)機構(gòu)、組織和個人的合法權(quán)益。為有效應對這種情況，抵制外國的”長臂管轄“要求，建議在草案中增加相關(guān)的規(guī)定。憲法和法律委員會經(jīng)研究，建議采納這一意見，增加規(guī)定，非經(jīng)中華人民共和國主管機關(guān)同意，中華人民共和國領(lǐng)域內(nèi)的機構(gòu)、組織和個人不得向外國提供證據(jù)材料和本法規(guī)定的協(xié)助”?！緃ttp://www.npc.gov.cn/zgrdw/npc/xinwen/2018-10/26/content_2064519.htm】

　　其次，看《數(shù)據(jù)安全法》和《個人信息保護法》的行文邏輯?！稊?shù)據(jù)安全法》第36條——“中華人民共和國主管機關(guān)根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求。非經(jīng)中華人民共和國主管機關(guān)批準，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)”。應當特別注意到第36條兩句話并為一段，而非并未分立為兩款。因此兩句話內(nèi)容是承接關(guān)系。

　　第一句話內(nèi)容是中國主管機關(guān)處理“外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求”時應當秉持的原則和立場。第二句話順承地表述了和《國際刑事司法協(xié)助法》一樣的語句，即面對外國司法執(zhí)法機關(guān)直接調(diào)取數(shù)據(jù)和信息的強制命令時，境內(nèi)機構(gòu)、組織和個人應當事先申請并獲得中國主管機關(guān)的批準。

　　《個人信息保護法》采取了與《數(shù)據(jù)安全法》幾乎一致的行文邏輯。

　　因此綜上可以確認，從立法意圖上來說，中國法律中的相關(guān)條款，主要是為了應對外國政府和司法機構(gòu)在數(shù)據(jù)方面的“長臂管轄”——直接且具有強制力地調(diào)取存儲于中國境內(nèi)的數(shù)據(jù)和信息。對于中國境內(nèi)機構(gòu)、組織和個人，應對海外訴訟和海外調(diào)查時，主動、自愿、不受任何壓力地向外國司法執(zhí)法機關(guān)提供數(shù)據(jù)和信息的行為，似乎并不要求批準。

　　主管機關(guān)批準 vs. 數(shù)據(jù)出境安全管理

　　第二個事項是：主管機關(guān)批準和數(shù)據(jù)出境安全管理的競合關(guān)系。這里面有兩個方面的問題：第一個問題，對于境外的強制調(diào)取，是否要同時履行數(shù)據(jù)出境安全義務（無論是安全評估、合同等）和主管機關(guān)批準程序，或者后者即可？第二個問題，對于向境外主動提供，如果按照前文分析無需主管機關(guān)批準的話，是否要履行數(shù)據(jù)出境安全義務？

　　首先，從《數(shù)據(jù)安全法》和《個人信息保護法》中，似乎讀不出對于境外的強制調(diào)取，需要同時履行數(shù)據(jù)出境安全義務（無論是安全評估、合同等）和主管機關(guān)批準程序的要求。

　　《數(shù)據(jù)安全法》中，第三十六條出現(xiàn)在“第四章 數(shù)據(jù)安全保護義務”之中，第三十六條和第三十一條【“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關(guān)部門制定”?！渴莻€并列的關(guān)系。因此，可以理解為針對不同情形的不同規(guī)定。

　　在《個人信息保護法》中，第四十一條出現(xiàn)在“第三章 個人信息跨境提供的規(guī)則”之中。但第三十八條有個前置條件——“因業(yè)務等需要”。一般來說，境外執(zhí)法和司法機構(gòu)的強制調(diào)取，不是業(yè)務需要的一部分。因此，也可以理解為第三十八條和第四十一條是不同情形的不同規(guī)定。

　　第三十八條 個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：

　?。ㄒ唬┮勒毡痉ǖ谒氖畻l的規(guī)定通過國家網(wǎng)信部門組織的安全評估；

　?。ǘ┌凑諊揖W(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；

　　（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務；

　?。ㄋ模┓伞⑿姓ㄒ?guī)或者國家網(wǎng)信部門規(guī)定的其他條件。

　　中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。

　　個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規(guī)定的個人信息保護標準。

　　但在數(shù)安條例中，很有意思的是，“非經(jīng)中華人民共和國主管機關(guān)批準，境內(nèi)的個人、組織不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)”的規(guī)定不是獨立成條（而且這是否意味著自愿提供也要求批準？）而是放在第三十九條的第二款。而第三十九條第一款是“數(shù)據(jù)處理者向境外提供數(shù)據(jù)應當履行以下義務”。

　　應該來說，不是同一個事項的內(nèi)容，不放在同一個條款之中。因此，似乎可以認為數(shù)安條例的立法原意是——對于境外的強制調(diào)取，數(shù)據(jù)處理者需要同時履行數(shù)據(jù)出境安全義務（無論是安全評估、合同等）和主管機關(guān)批準程序的要求。如果是這樣的要求，那么就要明確網(wǎng)信部門的數(shù)據(jù)出境安全評估和主管機關(guān)批準程序之間的關(guān)系。相信現(xiàn)在已經(jīng)有組織或個人已經(jīng)有著厘清上述關(guān)系的要求。

　　而對于中國境內(nèi)機構(gòu)、組織和個人，應對海外訴訟和海外調(diào)查時，主動、自愿、不受任何壓力地外國司法、執(zhí)法機關(guān)提供數(shù)據(jù)和信息，公號君始終認為應當遵守數(shù)據(jù)出境安全方面的要求。具體來說，應當主動過濾、刪減掉明文禁止出境的數(shù)據(jù)和信息；對于為明文禁止出境的數(shù)據(jù)和信息，進行數(shù)據(jù)出境安全評估。數(shù)據(jù)出境安全評估主要考慮：數(shù)據(jù)出境的目的、類型、量級、使用目的，數(shù)據(jù)接收方的安全能力，所在地政治法律環(huán)境情況是否會導致數(shù)據(jù)（非自愿的）二次共享等情況。也就是數(shù)安條例和數(shù)據(jù)出境安全評估辦法中規(guī)定的評估事項。（完）