【违反数据出境管理规定的法律责任】
违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
【释义】
本条规定的是违反数据出境安全管理规定,向境外提供重要数据的法律责任。该条在本法的两次审议稿中均未出现,是本法最终通过时的新设规定,通过补充法律责任进一步完善了数据出境安全管理制度体系,也从侧面体现出数据出境安全管理对我国数据宏观安全的重要意义。
本法第31条按照主体是否为关键信息基础设施运营者,区分了数据出境安全管理的不同法律依据。关键信息基础设施承载着提供公共产品服务、维持社会有序运行、捍卫国家主权安全等重要职能,主要覆盖公共通信、能源、水利、交通、电子政务等重要行业和领域,应以涉及国家安全、国计民生和公共利益为主要判断标准[32],其运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;对于其他数据处理者,在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
《国家安全法》第25条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”充分表明网络和信息的关键基础设施安全、重要领域信息系统和数据安全,都是国家安全的重要内容。《网络安全法》 “网络运行安全”章也用一节规定了“关键信息基础设施安全”,第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”关键信息基础设施是国家安全的应有之义,关键信息基础设施在运营中收集和产生的重要数据,也涉及国家安全,这是大数据在国家法益层面的重要意义。[33]伴随“数据风险”成为新型的社会风险因素,具有高频度、可变性和不可预见性,呈现“法益侵害风险社会化”的趋向[34],其他并非来源于关键信息基础设施的重要数据也会对国家安全和动态的网络运行安全造成显著影响,如果此类数据被境外组织、个人所掌握,也会对一国主权安全和数据安全造成隐患,因此应对其出境予以管理。目前我国关于数据出境安全管理的代表性立法成果为《个人信息出境安全评估办法(征求意见稿)》,其中规定所有个人信息出境均应当依法向网信部门申报并由网信部门组织开展安全评估。
在对本条进行理解适用时,应当注意以下几点:
第一,本条规定的违法行为模式是违法向境外提供重要数据。具体而言包括:1.由于本法第31条明示关键信息基础设施运营者适用《网络安全法》相关规定,因此《网络安全法》及与关键信息基础设施运营者有关的法律、行政法规应当作为法律依据,如关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据在境外存储,没有进行安全评估等均属于本条涵盖的违法行为;2.其他数据处理者的重要数据出境安全管理,应当遵照国家网信部门会同国务院有关部门制定的行政法规。违反该类法规,向境外提供重要数据的行为,均受到本条规制。
第二,在对“向境外提供重要数据”即数据出境的判定上,虽然学界和实务界对数据跨境的定义还未达成共识,但这些定义中都涉及三个层面的问题:1.主体是可被机器识别的数据;2.范围需突破地理上的边境;3.对数据要进行存储、读取和编辑等操作。[35]《个人信息出境安全评估办法(征求意见稿)》第2条对个人信息出境曾下过定义:“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境)……”综上,对于重要数据出境的判定,应当综合衡量以下三个方面:(1)主体是重要数据,“重要数据”和“核心数据”不同,并不局限于关乎国计民生的政务数据范畴,对公民基本权利、社会基本运行、国家利益能起到重要影响的数据都可以认定为重要数据;(2)重要数据需突破我国的地理意义的边境,即去往“境外”,这也是依据网络主权和数据主权理念可以推出的必要条件;(3)数据应通过“境内运营”收集和产生,并有向境外“提供”的限定条件。《网络安全法》第37条、本法第31条均强调重要数据是在“中华人民共和国境内运营中收集和产生”,那么境外收集和产生的个人信息经由我国中转出境的情形,则不属于本条所涉情形。另外,通过“提供”一词,强调个人信息出境活动需满足个人信息控制者的转换。[36]
第三,在具体处罚的设定上,本条依然沿用了双罚制的原则,具体处罚包括责令改正、警告、罚款。本条第二句话同时也规定了加重情节,但没有设定具体情形,有赖于在行政裁量和司法实践中结合实际情境予以认定。加重情节下,对组织可以处以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照的处罚,罚款金额的上下限也都显著提高。
总的来看,本条的规定,既能有效避免处理数据的主体未经法定程序擅自向境外提供数据,尤其是避免向境外司法和执法机构提供在我国境内收集和产生的重要数据,将对我国境内重要数据安全起到保障作用;同时,基于数据的资源属性,在网络空间中,各国并非采用外层空间等区域的联合共治模式,而是努力试图在主权方面作出超地域的扩展[37],部分在网络空间推行霸权主义和强权政治的国家和一些掌握前沿网络技术和关键技术的国家会通过综合国力优势和制度优势,对跨国公司等组织实体施压以获得其他国家的重要数据,本条也为跨国公司等实体对未经刑事司法互助而直接开展的数据调取提供了相应依据。
【关联规定】
《中华人民共和国国家安全法》第25条,《中华人民共和国网络安全法》第37条
(撰稿人:何傲翾)