个人信息和重要数据出境安全评估之“向境外提供”
接着前文【个人信息和重要数据出境安全评估之“境内运营”】继续聊。除了“境内运营”,还有几个棘手的定义问题。本文将专门讨论“向境外提供”(或“数据出境”)。
有必要再次回顾《网络安全法》第37条:“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。但具体什么叫做“向境外提供”,其实情形多种多样。以下举5个场景为例:
a. 向位于境外的组织、机构、个人提供
这是最广被人接受的解释,也非常符合法律文件中关于“境外”的解释。也正是如此,4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》在第17条指出:“数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。”
这里是严格按照领土来划定的。
b. 使领馆、航空器、船舶
1961年4月18日的《维也纳外交关系公约》的规定,外国大使馆、领事馆和外交人员的确不受我国司法管辖,而受本国的司法管辖。
1963年9月14日订于东京的《关于在航空器内的犯罪和其他某些行为的公约》第3条1款规定:“航空器登记国对该航空器内所犯的罪行和行为有权行使管辖。”
1988年3月10日订于罗马的《制止危及海上航行安全非法行为公约》第6条1款规定:如果该公约所列举的“罪行发生时是针对悬挂其国旗的船舶或发生在该船上”,船旗国应采取必要措施确定其刑事管辖权。
因此,外国使领馆、航空器、船舶即便在我国境内,也不接受我国司法管辖。那数据从我国境内传输至在我国境内的外国使领馆,以及停泊在我国领土上的航空器、船舶,算不算是“向境外提供”?
也许会有小伙伴认为,外国使领馆、航空器、船舶可以被认为是外国领土的延伸,因此可以认为是“位于境外”,所以和情形a一样,都是严格按照领土来划定何为境内和境外。
但我个人认为,我国境内的外国使领馆、航空器、船舶,更应当其位于我国领土内,只不过是根据国际协议,我国如需对其追究责任,应从另外的渠道,而非直接行使执法权力。
基于此理由,我认为情形b是根据司法管辖权来划分境内境外的:即境外是指“我国领土外,以及位于我国领土内但不受我国司法管辖权的”。
c. 位于境内的外国组织、机构(未在中国经过法律注册成立),以及外国个人在我国境内收集信息,进行分析处理,是不是“数据出境”?
此情形中,数据没有出境,但是却被临时位于我国境内的外国组织、机构、个人所获得【注:没有在境内注册成立,因此为临时】。
夸张一点的例子是:外国安全人员于我国境内获取了大量的数据,但是没有将数据传输至其母国,而是就地分析,并运用。
稍微不夸张的例子是:外国母公司临时派出一位数据分析师,到中国参与一个项目,这位数据分析师没有将任何数据携带回国。
按照领土说(情形a)、司法管辖权说(情形b),此种情形均未发生数据出境的情形,似乎不受数据出境安全评估制度的管辖。
但让我们先看看美国。在美国出口管制体系中,有一个非常有特色的概念,“视同出口”。“视同出口”的涵盖范围很广,包括任何能够使得外国人得到敏感技术的行为,如阅读技术材料、口头交流、电话电传以及在掌握敏感技术的人员指导下的试验操作等。根据美国的《出口管理条例》的规定,视同出口主要分以下三类:外国人查看美国的设备、资料;在美国国内或国外进行的口头信息交流;在国外运用在美国获得的个人知识或进行技术实验。
但目前正在征求意见的《中华人民共和国出口管制法(草案征求意见稿)》中,也设立了“视同出口”的要求。
如果从“视同出口”的角度来看,似乎情形c也应当属于“向境外提供”。
以上三种情形实质上提出了三种认定“向境外提供”的理论。那么在数据出境安全评估制度中选择哪一个理论,需要有个决断。
而接下来的情形d和情形e,从行为上来看,符合“向境外提供”,但是根据政策考量,又应当予以从“向境外提供”中豁免:
d. 合法公开信息(包括已经公开在互联网上)的数据
既然信息已经合法公开,则世界上任何不特定组织和个人均可以访问,因此可以认为不属于有主观意图专门向境外提供。
当然其情形有一个前提——“合法公开”,例如正规的新闻报道、政府数据开放等。
e. 非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境
此种情形属于普通的数据过境,应当不属于“向境外提供”,一是境内没有数据提供方,二是不存在有主观意图,仅仅是因为路由原因。