第三,《科学技术普及法》的立法根据用根据宪法和有关法律也不妥。
[21]应当注意的是,这里所谓的法制方面的监督并不局限于对法律实施的监督,也包括对宪法实施的监督。[7]倘若合宪性审查无须包含实质性的制裁措施,那么,地方人大常委会根据《立法法》第99条第1~2款提出合宪性审查的要求或者建议似乎也可以被视为合宪性审查的结果。
依据明示其一等于否定其余的法解释规则,[27]其他任何国家机关均不享有合宪性审查权。参见全国人大常委会法制工作委员会国家法室编:《中华人民共和国立法法释义》,法律出版社2015年版,第232页。由此可见,《广东省地方立法条例》第76条以及相关省级地方性法规的类似规定对《立法法》第72条第2款进行了必要补充。然而,监督宪法的实施乃是《宪法》明确赋予全国人大及其常委会的职权。[41]可见,德国的其他联邦法院和各州法院[42]通常均不直接负责审查联邦法和州法是否符合德国《基本法》。
[25]这里以《福建省人民代表大会及其常务委员会立法条例》进行例示,根据其第46条第1款的规定,福建省人大法制委员会审查认为,福建省政府的规章同《宪法》相抵触而制定机关不予修改的,应当向人大常委会主任会议提出书面审查意见和予以撤销的议案,由主任会议决定是否提请常务委员会会议审议决定。近年来,美国联邦最高法院每年均收到7000多件调卷令申诉,而该法院仅选择其中区区70~90件[34]开庭审理,[35]一个重要原因就在于:下级联邦法院和州法院与其分享合宪性审查权。[vii] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第301页。
但根据《个人信息保护法》第18条和第35条,国家机关在如下情形中免于告知:法定应当保密、不需要告知、应急时无法事前告知以及告知将妨碍履行法定职责。2020年10月1日实施的《信息安全技术个人信息安全规范》第3.9条将其界定为:针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。因此,对《个人信息保护法》第36条境内存储更好的解释进路是先厘清什么是向境外提供或数据出境,再反推境内存储的含义。这对国家机关是否适用,须分情况讨论。
这些修改表明:《个人信息保护法》草案原本对国家机关规定了和一般个人信息处理者相同的个人信息出境风险评估义务,但终稿放弃这一做法,转而对国家机关规定与关键信息基础设施运营者相同的个人信息出境安全评估机制[xxx],以区别于一般个人信息处理者的个人信息保护影响评估义务。[lv] 否则第2款可直接表述为前款第二项至第七项规定情形下,不需取得个人同意。
[xiii] 参见许多奇:《个人数据跨境流动规制的国际格局及中国应对》,载《法学论坛》2018年第3期,第134页。[xxvi]美国2011年《爱国者法》第1016(e)条将关键基础设施界定为任何物质或虚拟的系统和资产,对美国至关重要,其失效或破坏会对国家安全、经济安全、公共卫生安全中的一种或几种产生破坏性影响。为进一步夯实个人信息保护制度,建议尽快制定专门的管控规则。[xviii]所以,安全评估机制同时体现了数据自由流动和安全保障两种价值。
第三,监管评估的主要内容虽有细微差异,但都包括如下三点:(1)数据出境的合法性、必要性、正当性。龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第120页。[xiv] 参见王融:《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》,载《信息安全与通信保密》2018年第3期,第45页。2021年10月29日公布的《数据出境安全评估办法(征求意见稿)》第2条也规定:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。
洪延青:《推进一带一路数据跨境流动的中国方案——以美欧范式为背景的展开》,载《中国法律评论》2021年第2期。[xxii] 军事网络的安全保护,由中央军事委员会另行规定。
[xli] 这方面或可参考美国的受控非密信息(controlled unclassified information)制度。又如依据《个人信息保护法》第13条第1款第4项为应对突发公共卫生事件所必需,出于避免传染病扩散之目的,我国边检部门向外国边检机关通报即将进入外国的感染者或密接者的个人信息,同样无须取得当事人单独同意。
其次,根据原《国家安全法实施细则》和现《反间谍法实施细则》第3条,国家安全语境下的境外机构、组织包括境外机构、组织在中华人民共和国境内设立的分支(代表)机构和分支组织,境外个人包括居住在中华人民共和国境内不具有中华人民共和国国籍的人。尽管两个分句之间是句号,但既然同处一条,就表示同意和单独/书面同意都是对基于个人同意处理个人信息这一合法性基础的具体解说,区别在于一般情况下只需要同意,法律、行政法规规定的例外情形下才需要单独/书面同意。其二,内容包括:(1)个人信息的处理目的、方式等是否合法。[vi]作为数据跨境流动的子概念,个人信息跨境流动(trans-border #64258;ow of personal information)是指一国境内的个人信息流出境内,为他国的公权力机关或者民事主体所读取、收集、存储、加工、使用等。相同点在于都采用列举+兜底的结构,先列举重要行业和领域,再以核心特征来兜底,前后通过以及其他相关联。[xl]根据《个人信息保护法》第4条,个人信息不必然以电子方式记录,口耳相传或分享纸条、笔记、信件、存储设备等也可实现个人信息出境。
尽管美国联邦层面未就个人信息跨境进行统一立法,但根据其主导构建的APEC 跨境隐私规则体系(CBPR)可以发现,美国在原则上允许个人数据跨境的前提下,要求数据控制者确保个人数据跨境传输的安全。接下来的问题是:何谓关键信息基础设施?中国法上,其首见于《网络安全法》第31条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
(2)对个人权益的影响及安全风险。需要说明的是,《个人信息保护法》第38条第1款第2-4项并不能作为国家机关处理的个人信息出境的通路,否则会使第40条关于关键信息基础设施运营者个人信息出境的特别规定失去意义。
其次,根据《个人信息保护法》第39条,向境外提供个人信息的处理者还应履行两项义务——告知信息主体和取得单独同意。参见周亚超、左晓栋:《美国受控非密信息分类与安全控制解析》,载《网络空间安全》2020年第3期。
(2)数据控制者担保模式,即在数据控制者自身能确保个人数据安全时允许数据出境。(1)无本地化模式,即不要求个人信息本地存储,只规定个人信息出境管制,典型如欧盟《通用数据保护条例》(以下简称GDPR)。国家机关依据第36条自行开展个人信息出境安全评估就相当于一般个人信息处理者依据《个人信息保护法》第55条自行开展个人信息保护影响评估。关于告知,根据《个人信息保护法》第7条,处理个人信息应当遵循公开、透明原则,明示处理目的、方式和范围。
换言之,国家机关、非国家机关的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者、一般个人信息处理者向境外提供个人信息前,都需要自行开展内容基本相同的评估,只不过评估的名称分别为个人信息出境安全评估个人信息出境风险自评估和个人信息保护影响评估,而且国家机关和一般个人信息处理者无须进一步申报国家网信部门的监管评估,除非一般个人信息处理者向境外提供的个人信息达到一定规模以上。据此,对个人信息出境安全评估和个人信息保护影响评估之间的关系以及国家机关处理的个人信息出境安全评估的具体操作应作如下理解。
第二,从法律衔接来看,《数据安全法》第37条规定国家大力推进电子政务建设,第39条明确国家机关应当依照法律、行政法规的规定,保障政务数据安全,第40条指出国家机关委托他人建设、维护电子政务系统,应当监督受托方履行相应的数据安全保护义务。许可:《自由与安全:数据跨境流动的中国方案》,载《环球法律评论》2021年第1期。
[xxxv] 综上,《个人信息保护法》第36条所称的国家机关处理的个人信息是指国家机关处理的在中华人民共和国境内收集和产生的、未经当事人自行公开或者合法公开的个人信息。基于如下五点理由,应采包含说,国家机关基于非同意类合法性基础向境外提供个人信息,无需按照《个人信息保护法》第39条取得单独同意。
第11.4条明确评估内容主要包括处理活动遵循个人信息安全基本原则的情况、个人信息处理活动对个人信息主体合法权益的影响以及个人信息安全措施的有效性。例如,我国刑法上的隐瞒境外存款罪就涵盖国家工作人员在港澳台地区的存款。[l] 《数据出境安全评估办法(征求意见稿)》第5条第4项。首先,从法律衔接的角度看,其他相关规范均明确规定只有在我国境内收集和产生的个人信息才面临跨境管控。
[viii] 本文遵从国内外主流文献惯例,不区分使用数据和信息。后者可适用《个人信息保护法》第36条,前者则不适用——难以想象国家机关工作人员原则上要境内存储,只有先经过安全评估才能接待外宾或出境执行公务。
但这会架空《个人信息保护法》第13条第2款:依照本法其他有关规定,处理个人信息应当取得个人同意,但有前款第二项至第七项规定情形的,不需取得个人同意。其一,规章授权的具有管理公共事务职能的组织也应纳入其中,理由有二。
如此安排体现了数据安全保障和数据自由流动两者之间的审慎平衡。(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。