【外国司法或执法机构关于提供数据请求的处理规则】
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
【释义】
本条对向外国司法或者执法机构提供数据进行了规定。
前半部分规定在符合有关法律和中华人民共和国缔结或参加的国际条约、约定,或者在遵从平等互惠原则基础上,中华人民共和国主管机关可以处理外国司法或者执法机构关于提供数据的请求。后半部分从反面规定在未经主管机关批准的情况下,任何境内的组织和个人都不得向外国司法或者执法机构提供储存于中华人民共和国境内的数据。
《数据安全法(草案)》第33条规定,境外执法机构要求调取储存于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。《数据安全法》相较于草案有一些变化,一是在境外的数据请求主体上,草案规定的是执法机构,而在《数据安全法》中增加了司法机构,扩大了主体范围;二是在处理境外相关机构关于提供数据的请求时,草案规定按照中华人民共和国缔结或者参加的国际条约、协定来进行处理,而在《数据安全法》中,增加了平等互惠的原则。
可以从以下几个方面来理解该法条:
(一)批准主体是中华人民共和国主管机关
批准的主体是中华人民共和国主管机关,并未详细阐明是何机关。我国《网络安全法》第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。基于此,《数据安全法》中关于网络数据安全的主管机关也是国家网信部门,一般是指中共中央网络安全和信息化委员会,办事机构是中央网络安全和信息化委员会办公室。对于境外执法和司法机构发来的请求,以及境内任何组织和个人所来的向境外传输重要数据的请求,都需要由国家主管机关进行批准。
(二)批准的对象是境外的执法和司法机构关于提供数据的请求
本法所称的数据,是指任何以电子或者其他方式对信息的记录。本条所规范的,是境外的执法机构和司法机构想要得到的数据,也就是与境外执行公务或者与境外诉讼有关的数据,这些数据都是重要数据,通常涉及国家重要利益,所以必须经过主管机关的批准,才可以向外国执法和司法机构提供我国境内的数据,不可以擅自将这些数据流出境外。
(三)批准的依据
主管机关在决定是否批准以及如何批准向境外司法、执法机构提供数据时,应当根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,这里共列举三类依据:一是中华人民共和国有关法律,如本法第2条规定的,中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。二是中华人民共和国缔结或者参加的国际条约、协定,如《区域全面经济伙伴关系协定》(RCEP)第十二章中,要求缔约方为电子商务创造有利环境,保护电子商务用户的个人信息,为在线消费者提供保护,并针对非应邀商业电子商业电子信息加强监管和合作。三是按照平等互惠原则,平等互惠原则是国际私法的基本原则之一,在指定、运用和解释国际私法规范时,要求贯彻法律上平等、经济上互惠的精神,否则,相互之间就不可能顺利地进行民事交往,经济、技术、文化和人员的交流,就不可能有互惠对等的交往。中国在涉外立法和实践中,一贯遵守并坚持这一原则。这也是国与国之间处理对外关系时必须要遵守的共同原则。
(四)报批义务
报批义务的主体是境内的组织和个人,只要是有可能向境外提供重要数据的主体,包括关键信息基础设施运营者、其他数据处理者,以及拥有重要数据的任何主体,非经我国主管机关批准,都不得向国外司法或者执法机构提供储存于我国境内的数据,为进一步加强重要数据的出境安全管理提供了有力的依据。
【关联规定】
本法第48条,《中华人民共和国网络安全法》第37条、第50条、第66条,《中华人民共和国刑法》第219条、第253条、第398条,《中华人民共和国国际刑事司法协助法》第4条,《中华人民共和国民事诉讼法》第277条
(撰稿人:崔馨元)
[1] 谭维迪:《开放教育课程团队建设的组织与应用实践——以〈个人与团队管理〉课程为例》,载《智库时代》2017年第8期。
[2] 11:Personal data should be protected by reasonable security safeguards against such risks as loss or unauthorised access,destruction,use,modification or disclosure of data.
[3] 高富平:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第9页。
[4] 《〈数据安全法〉获通过,其中这些“首次”意义重大》,载腾讯网2021年6月12日,https://new.qq.com/rain/a/20210612A03MN500,2021年6月13日访问。
[5] 《前沿观察|数据安全法关键条款与落实思路》,载腾讯网2021年6月11日,https://new. qq.com/rain/a/20210612A010JU00,2021年6月13日访问。
[6] 值得说明的是,《数据安全管理办法(征求意见稿)》在继承《网络安全法》原则性规定的基础上,着重规范了网络运营者对于个人信息和重要数据的安全管理义务;而《数据安全法》是在《数据安全管理办法(征求意见稿)》基础上构建了数据安全保护管理制度,强化了国家数据安全保障能力,直面数据安全给国家安全带来的风险与挑战,切实维护国家主权、安全和发展利益。参见马海群、张涛:《从〈数据安全法(草案)〉解读我国数据安全保护体系建设》,载《数字图书馆论坛》2020年第10期。
[7] 黄志雄:《网络主权论》,社会科学文献出版社2017年版,第27页。
[8] 杨蓉:《从信息安全、数据安全到算法安全——总体国家安全观视角下的网络法律治理》,载《法学评论》2021年第1期。
[9] 法律效力低于宪法和法律的一种法的形式。在中国指国务院制定的行政法规和地方国家权力机关制定的地方性法规。一般用条例、规定、规则、办法等称谓。
[10] 《网络安全法》第22条规定,“网络产品、服务应当符合相关国家标准的强制性要求”,《数据安全法(二审稿)》第25条也有此规定,但是哪些数据活动是国家标准的强制性要求,其与网络服务过程中产生的数据活动如何区分,是值得思考的问题。
[11] “设立数据安全负责人和管理机构”与2016年欧盟《一般数据保护条例》(以下简称《条例》)中确立的数据保护专员制度(Data Protection Offices, DPO)相一致。欧盟成员国的国内法,如德国法、法国法首先对数据保护专员做出了规定,《条例》规定在数据控制者与处理者是公共机构改革,或其核心业务涉及大规模系统化监控,或其核心业务涉及大规模敏感数据的处理,或成员国法律明确要求的情形中,数据控制者与处理者必须指定一名数据保护专员,该专员必须具有数据保护领域的专业素养。《条例》确立了数据保护专员制度,成为联系数据控制者与处理者和数据监管机构之间的纽带,完善了数据控制者与处理着的内部管理体系,加强了其内部的数据保护力度,具有非常重要的实践意义与良性效果。参见高富平:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第138页。
[12] 王志海、刘兆丰:《第二讲 电子商务基础》,载《中国设备管理》2001年第5期。
[13] 王志海、刘兆丰:《第二讲 电子商务基础》,载《中国设备管理》2001年第5期。
[14] 王志海、刘兆丰:《第二讲 电子商务基础》,载《中国设备管理》2001年第5期。
[15] 王志海、刘兆丰:《第二讲 电子商务基础》,载《中国设备管理》2001年第5期。
[16] 王志海、刘兆丰:《第二讲 电子商务基础》,载《中国设备管理》2001年第5期。
[17] 笔者认为,可以参考六步法实施以敏感数据为中心的持续安全保护策略,这六步包括:1.定义和管理数据治理政策;2.发现、分类和理解个人和敏感数据;3.将身份映射到个人和敏感数据;4.分析数据风险;5.制定保护和响应计划;6.评估和报告。参见Informatica-小殷:《数说IN语|〈数据安全法(草案)〉公布,数据安全保护乘风破浪正当时》,载CSDN网2020年7月10日,2015年6月5日访问。
[18] 《伦理学视角下的良好生活》,载新华网2015年8月25日,http://www.xinhuanet.com/politics/2015-08/25/c_128161643.htm,2021年6月5日访问。
[19] [美]E.博登海默:《法理学——法律哲学与法学方法》,邓正来译,中国政法大学出版社1999年版,第 387页。
[20] 胡旭晟:《法的道德历程——法律史的伦理解释》,法律出版社2006年版,第4页。
[21] 王轶:《一部中国特色社会主义民法典》,载求是网2020年5月28日,http://www. qstheory.cn/llwx/2020-05/28/c_1126043755.htm,2021年6月5日访问。
[22] 王轶:《民法典之重点:在共识中体现人民意志》,载民主与法制网2020年6月19日,https://baijiahao.baidu.com/s?id=1669894632527898507&wfr=spider&for=pc,2021年6月5日访问。
[23] 《数据作为生产力,已经成为“国家基础性战略资源”》,载搜狐网2016年5月17日,https://www.sohu.com/a/75718787_398736,2021年6月5日访问。
[24] 曾海燕、张今杰:《公共卫生事件中数据技术的伦理考量》,载《湘潭大学学报 (哲学社会科学版)》2021年第2期。(https://www.daowen.com)
[25] Friedrich Dessauer.Streit um die Technik.Frankfurt: VerlagJosef Knecht,1956,P432.
[26] [美]布莱恩·阿瑟:《技术本质》,曹东溟、王健译,浙江人民出版社2018年版,第26页。
[27] 张吉豫: 《大数据时代中国司法面临的主要挑战与机遇——兼论大数据时代司法对法学研究及人才培养的需求》,载《法制与社会发展》2016年第6期。
[28] 宋吉鑫: 《大数据技术的伦理问题及治理研究》,载《沈阳工程学院学报》2018 年第 4 期。
[29] 《大数据安全面临哪些风险及如何防护》,载搜狐网2019年4月16日,https://www. sohu.com/a/308306675_604699,2021年6月10日访问。
[30] 朱晓庆:《数据智能化下的社会风险分析与防控》,载《信息系统工程》2021年第2期。
[31] 蔡婷:《农产品检测数据分析与风险监测》,载《现代食品》2019年第15期。
[32] 《风险评估》,载百度百科,2021年6月10日访问。
[33] 邱敏玲、王美贤、蔡碧兰:《灾害脆弱性分析在消毒供应中心风险评估中的运用与管理》,载《中国卫生标准管理》2020年第2期。
[34] 邱敏玲、王美贤、蔡碧兰:《灾害脆弱性分析在消毒供应中心风险评估中的运用与管理》,载《中国卫生标准管理》2020年第2期。
[35] 《风险评估是什么》,载高顿教育网2018年9月14日,https://www.gaodun.com/frm/1093334. html,2021年6月10日访问。
[36] 《风险评估》,载百度百科,2021年6月10日访问。
[37] 《风险评估资产重要性识别_基于数据安全的风险评估-数据资产识别》,载CSDN网2020年12月31日,https://blog.csdn.net/weixin_33736666/article/details/112188255,2021年6月10日访问。
[38] 冯登国、张敏、李昊:《大数据安全与隐私保护》,载《情报理论与实践》2014年第1期。
[39] 14:A data controller should be accountable for complying with measures which give effect to the principles state above.
[40] 高富平:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第12页。
[41] 《网络安全法》第41条第1款:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
[42] 《全国人民代表大会常务委员会关于加强网络信息保护的决定》:“二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”
[43] 王利明:《数据共享与个人信息保护》,载《北京日报》2019年4月29日。
[44] GDPR Article 5 Principles relating to processing of personal data:1. Personal data shall be: (a)processed lawfully, fairly and in a transparent manner in relation to the data subject (lawfulness, fairness and transparency); (b)collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (purpose limitation)...
[45] 《最高人民法院公报》 2012年第9期。
[46] 杭州互联网法院2020年度知识产权司法保护十大案例之二。
[47] 《网络安全法》第44条:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
[48] 龙卫球:《我国网络安全管制的基础、架构与限定问题———兼论我国〈网络安全法〉的正当化基础和适用界限》,载《暨南学报(哲学社会科学版)》2017年第5期。
[49] 张敏:《大数据交易的双重监管》,载《法学杂志》2019 年第2期。
[50] \[日\] 城田真琴:《数据中间商》,邓一多译,北京联合出版公司2016年版,第172~184页。
[51] See Joshua Fairfield. Virtual Property,. Boston University Law Review, 2005(87):1049~1050.
[52] \[英\] 维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代:生活、工作和思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第159页。
[53] 工业和信息化部《电信业务分类目录(2015年版)》中“第二类增值电信业务”B21 在线数据处理与交易处理业务:“在线数据处理与交易处理业务是指利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。在线数据处理与交易处理业务包括交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。”
[54] 《电信条例》第9条:“……经营增值电信业务,业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得《增值电信业务经营许可证》。运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省、自治区、直辖市电信管理机构备案。”
[55] 翟志勇:《数据安全法的体系定位》,载《苏州大学学报(哲学社会科学版)》2021年第1期。
[56] 《电信条例》第69条:“违反本条例规定,有下列行为之一的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下罚款;情节严重的,责令停业整顿:(一)违反本条例第七条第三款的规定或者有本条例第五十八条第(一)项所列行为,擅自经营电信业务的,或者超范围经营电信业务的……”
[57] 《征信业管理条例》第36条:“未经国务院征信业监督管理部门批准,擅自设立经营个人征信业务的征信机构或者从事个人征信业务活动的,由国务院征信业监督管理部门予以取缔,没收违法所得,并处5万元以上50万元以下的罚款;构成犯罪的,依法追究刑事责任。”
[58] 《行政许可法》第81条:“公民、法人或者其他组织未经行政许可,擅自从事依法应当取得行政许可的活动的,行政机关应当依法采取措施予以制止,并依法给予行政处罚;构成犯罪的,依法追究刑事责任。”
[59] 就刑事诉讼制度而言,2012年《刑事诉讼法》修订时已经明确将电子数据列为法定证据种类之一,因此犯罪侦查收集、提取的证据当然包含电子数据。
[60] 这里是指《刑事诉讼法》及相关法律规定的现有观点,但调取措施是否应当被概括性地定性为任意性侦查措施,本身存在争议。参见裴炜:《论个人信息的刑事调取:以网络信息业者协助刑事侦查为视角》,载《法律科学》2021年第3期。
[61] 《公安机关办理刑事案件程序规定》第264条第1款。
[62] 《公安机关办理刑事案件程序规定》第264条第2款。
[63] 《公安机关办理刑事案件程序规定》第266条。
[64] 根据公安部《公安机关办理刑事案件电子数据取证规则》,如果是对动态数据的未来面向的持续性提取,则一般落入“网络在线提取”措施,涉及技术侦查措施的,适用技术侦查相关规定。
[65] 《公安机关办理刑事案件电子数据取证规则》第41条第1款。
[66] 刘俊臣:《关于〈中华人民共和国数据安全法 (草案)〉的说明》,载中国人大网,http://www. npc.gov.cn/npc/c30834/202106/2ecfc806d9f1419ebb0392`ae72f217a.shtml,2021年6月13日访问。
[67] 刘俊臣:《关于〈中华人民共和国数据安全法 (草案)〉的说明》,载中国人大网,http://www. npc.gov.cn/npc/c30834/202106/2ecfc806d9f1419ebb0392`ae72f217a.shtml,2021年6月13日访问。