安全法下的涉外數(shù)據(jù)保護(hù)和涉外個(gè)人信息保護(hù)（下）

- 引 言 -

在《安全法下的涉外數(shù)據(jù)保護(hù)和涉外個(gè)人信息保護(hù)（上）》一文中，筆者對(duì)《數(shù)據(jù)安全法》的相關(guān)要點(diǎn)已做解讀。本文將繼續(xù)探討《個(gè)人信息保護(hù)法》的相關(guān)要點(diǎn)。

- 探 討 -

一、《個(gè)人信息保護(hù)法》的簡(jiǎn)要解讀和重要性

《個(gè)人信息保護(hù)法》的基本情況

《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息權(quán)益保護(hù)、信息處理者的義務(wù)以及主管機(jī)關(guān)的職權(quán)范圍進(jìn)行了全面的體系化的規(guī)定。

在《網(wǎng)絡(luò)安全法》第41-45、76條等已經(jīng)規(guī)定了個(gè)人信息的定義和部分保護(hù)；在《民法典》的人格權(quán)編的第六章中規(guī)定了隱私權(quán)和個(gè)人信息保護(hù)，并規(guī)定了對(duì)個(gè)人信息處理的原則“合法、正當(dāng)、必要”；在《數(shù)據(jù)安全法》也涉及個(gè)人信息的少量具體保護(hù)制度。

所述各部法律相結(jié)合，切實(shí)保護(hù)個(gè)人信息權(quán)益，并明確了經(jīng)營(yíng)者行為的合法性邊界。

個(gè)人信息主要指所記錄的能夠識(shí)別自然人個(gè)人身份的各種信息。這里要進(jìn)一步明確“信息”和“數(shù)據(jù)”的區(qū)別，個(gè)人數(shù)據(jù)與個(gè)人信息不同，但存在轉(zhuǎn)化關(guān)系，個(gè)人信息被商業(yè)化后會(huì)轉(zhuǎn)化成商業(yè)數(shù)據(jù)[1]。

《個(gè)人信息保護(hù)法》出臺(tái)的重要性

個(gè)人信息保護(hù)是人類(lèi)文明發(fā)展的一項(xiàng)重要成果，并且其重要性被逐步體現(xiàn)。

隨著技術(shù)發(fā)展，個(gè)人信息可容易地利用人臉識(shí)別等技術(shù)獲得，確實(shí)有安全隱患，并且如果這些信息被境外掌握，可能相應(yīng)的犯罪率會(huì)攀升，并且懲罰犯罪的難度會(huì)加大。

下面給出兩個(gè)案例進(jìn)行說(shuō)明。

① 在2019年的人臉識(shí)別第一案中，個(gè)人向野生動(dòng)物世界購(gòu)買(mǎi)年卡，被要求留存了個(gè)人身份信息、照片和指紋，后野生動(dòng)物世界要將入園方式由指紋識(shí)別變更為人臉識(shí)別，引發(fā)糾紛。

二審法院認(rèn)定，生物識(shí)別信息作為敏感的個(gè)人信息，具備較強(qiáng)的人格屬性，如果被泄露或者非法使用，則可能導(dǎo)致個(gè)人受到歧視，甚或引起人身、財(cái)產(chǎn)安全，應(yīng)嚴(yán)格保護(hù)。

② 特別值得注意的是，在2016年微軟因被要求獲取個(gè)人信息起訴美國(guó)政府，聲稱根據(jù)憲法在政府要求獲取用戶個(gè)人資料時(shí)，要保證用戶的知情權(quán)，因此其不能為政府獲取私人資料的要求保密。

最后，法院判決微軟勝訴，美國(guó)政府不能強(qiáng)迫微軟提交存儲(chǔ)在海外服務(wù)器上的客戶郵件。這對(duì)于個(gè)人信息的處理提出了更高要求。

二、《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》的側(cè)重點(diǎn)區(qū)別

相對(duì)于《數(shù)據(jù)安全法》，《個(gè)人信息保護(hù)法》主要關(guān)注數(shù)據(jù)微觀層面的安全。

《數(shù)據(jù)安全法》不僅重視規(guī)范數(shù)據(jù)安全，同時(shí)注重?cái)?shù)據(jù)的開(kāi)放與利用，體現(xiàn)了依托數(shù)字經(jīng)濟(jì)的發(fā)展和創(chuàng)新，服務(wù)于國(guó)家社會(huì)經(jīng)濟(jì)的發(fā)展的主旨。

在關(guān)于個(gè)人信息的管轄、跨境提供、對(duì)等處置方面，《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》有諸多相似之處，并結(jié)合個(gè)人信息的特點(diǎn)進(jìn)行了細(xì)化規(guī)定，這里簡(jiǎn)要說(shuō)明如下。

關(guān)于個(gè)人信息的管轄

與《數(shù)據(jù)安全法》類(lèi)似，在《個(gè)人信息保護(hù)法》第3條中明確了更為廣泛的境外司法管轄。

個(gè)人信息作為數(shù)據(jù)安全的重要保護(hù)對(duì)象，在境外處理我國(guó)境內(nèi)個(gè)人信息受《個(gè)人信息保護(hù)法》的管轄。

此外，在第53條規(guī)定要求境外的個(gè)人信息處理者應(yīng)在中國(guó)有聯(lián)絡(luò)機(jī)構(gòu)，并確保能夠被聯(lián)系到。

關(guān)于我國(guó)的個(gè)人信息的跨境提供

在《個(gè)人信息保護(hù)法》中專門(mén)設(shè)置第三章來(lái)規(guī)定“個(gè)人信息跨境提供的規(guī)則”，足以看出對(duì)個(gè)人信息出境的重視。這是因?yàn)?，一旦個(gè)人信息出境，則相關(guān)各方難以控制對(duì)個(gè)人信息的處理和使用，所以要謹(jǐn)慎提供。

在該第三章中，從個(gè)人信息處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、中國(guó)主管機(jī)關(guān)的角度進(jìn)行了規(guī)定。

對(duì)于境內(nèi)的個(gè)人信息處理者而言

需要保證個(gè)人的知情權(quán)、并取得個(gè)人同意，在經(jīng)過(guò)安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、根據(jù)標(biāo)準(zhǔn)合同與境外接收方訂立合同之后，才能向境外提供個(gè)人信息，并且需要保障境外接收方對(duì)個(gè)人信息的處理達(dá)到中國(guó)標(biāo)準(zhǔn)要求[2]；而且，在個(gè)人信息數(shù)量達(dá)到一定數(shù)量的情況下，必須將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。

對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者而言

必須將在境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)，并且除非按規(guī)定不需要，否則一般需要經(jīng)過(guò)安全評(píng)估后才能向境外提供。

對(duì)于中國(guó)的官方主管機(jī)關(guān)而言

其對(duì)接外國(guó)司法或者執(zhí)法機(jī)構(gòu)，根據(jù)國(guó)際條約、協(xié)定，或者按照平等互惠原則來(lái)處理提供存儲(chǔ)于境內(nèi)個(gè)人信息的請(qǐng)求。只有經(jīng)過(guò)主管機(jī)關(guān)批準(zhǔn)之后，個(gè)人信息處理者才能向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于境內(nèi)的個(gè)人信息。

要注意的是，對(duì)于個(gè)人信息跨境傳輸?shù)南拗剖菃蜗虻?，個(gè)人信息的流出被監(jiān)管，個(gè)人信息的流入則沒(méi)有限制。

關(guān)于個(gè)人信息保護(hù)方面的對(duì)等原則

在《個(gè)人信息保護(hù)法》第43條規(guī)定了我國(guó)在個(gè)人信息保護(hù)中遭遇外國(guó)或地區(qū)的歧視性禁止或限制時(shí)，可以對(duì)等采取措施。對(duì)等原則是國(guó)際貿(mào)易中常用的原則。

- 結(jié) 語(yǔ) -

當(dāng)今數(shù)字技術(shù)快速發(fā)展、全球互聯(lián)互通，《國(guó)家安全法》、《民法》、《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》從不同的角度對(duì)涉及不同國(guó)家的數(shù)據(jù)流轉(zhuǎn)等做出規(guī)定，從而維護(hù)國(guó)家和個(gè)人的安全。

在本文與上篇文章中，筆者簡(jiǎn)要說(shuō)明了國(guó)外的相關(guān)規(guī)定和趨勢(shì)，并且分析了數(shù)據(jù)或個(gè)人信息的涉外管轄、跨境提供、對(duì)等處置等內(nèi)容，有助于讀者更清楚地理解加強(qiáng)數(shù)據(jù)/個(gè)人信息保護(hù)的必要性、以及當(dāng)前從不同維度加強(qiáng)數(shù)據(jù)保護(hù)的趨勢(shì)。

[1] 馮曉青，數(shù)據(jù)財(cái)產(chǎn)化法律規(guī)制的理論闡釋與構(gòu)造，《政法論叢》，2021年8月。

[2] 參見(jiàn)《個(gè)人信息保護(hù)法》第38-39條。