查看原文
其他

前沿|张凌寒:数据出境安全评估的性质与救济

The following article is from 行政法学研究编辑部 Author 张凌寒


论数据出境安全评估的法律性质与救济路径

作者:张凌寒,中国政法大学教授。

来源:《行政法学研究》2023年第1期。全文转载自公众号“行政法学研究编辑部”。






|目录


一、问题的提出

二、安全评估的法律性质及其可能的救济模式

(一)安全评估的制度特点

(二)安全评估的法律性质

(三)小结:基于法律性质的可能救济模式

三、模式选择一:基于“不可诉性”的分析

(一)“最终结论”为不可诉性指向安全评估为行政终局行为

(二)安全评估是否符合行政终局行为的情形?

(三)安全评估因国家安全例外而成为行政终局

(四)安全评估作为行政终局行为的救济路径

四、模式选择二:以限缩解释为中心的分析

(一)“最终结论”的限缩解释

(二)行政复议救济的困境

(三)司法救济的实践难题

余论




|摘要


数据出境安全评估与我国法律中其他评估制度相比,体现出更强的国家安全考量并能产生独立直接的法律效力。但其法律性质并非国家行为或安全审查,仍属具体行政行为。然则,数据出境安全评估结论为“最终结论”则造成了理论困惑。解决模式一是将“最终结论”解释为安全评估具有不可诉性,理由是因国家安全例外而成为行政终局行为,但应通过修法或扩张解释的方式在法律层面予以明确。并且基于数字经济发展考虑应对动态累计数量情形的个人信息出境安全评估予以救济路径。解决模式二是将“最终结论”限缩解释为网信部门的最终结论,相对人可以行政复议与行政诉讼,但现实中有难以逾越的实质性困难。在此模式下,安全评估应免于行政复议,行政诉讼救济则基于国家安全不宜审查其实质正当性,但仍可审查其程序合法性。

|关键词


数据出境安全评估;国家安全;安全审查;行政终局行为





|正文

一、问题的提出


数据生产要素价值的充分释放取决于流通共享。数字经济时代产品和服务全球化的背景下,数据跨境流动是贸易活动与国际交流的必然组成部分。企业、公共部门等数据处理者的业务都可能存在数据跨境需求场景,如中国企业为国外客户进行跨境数据处理,境内企业为境外客户提供服务与产品销售,境外主体访问、使用境内数据,国际企业需要传输实现跨境数据共享等。2022年9月开始实施的《数据出境安全评估办法》(以下简称为《办法》)明确了数据出境安全评估的合规路径。新规出台当日,中概股多数收涨,其中阿里巴巴上涨2.75%,京东上涨2.22%,拼多多上涨0.88%,携程上涨6.95%,其原因在于规则的明晰使得监管的靴子得以“落地”,成为中国互联网企业发展的利好因素。[1]

数据出境安全评估的结果决定了数据处理者能否进行数据跨境业务。根据《办法》第4条的规定,以下四种情形需要数据出境安全评估:一是数据处理者向境外提供重要数据;二是关键信息基础设施运营者和处理100万以上个人信息的数据处理者向境外提供个人信息;三是自上年1月1日起累计向境外提供超过10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;四是国家网信部门规定的其他需要申报数据出境安全评估的情形。基于我国数字经济规模和数据处理的量级,可能相当数量的常见跨境数据处理活动都会落入《办法》的调整范围。这就决定了一旦数据出境安全评估未通过,数据处理者的活动会被“按下暂停键”,使业务开展和经营活动陷入被动。

征求意见后正式出台的《办法》已对数据出境安全评估结果新增了救济条款,但救济路径还不够明确。数据处理者申请数据出境安全评估的结果有通过安全评估、申报不予受理以及未通过安全评估三种情况。相较于《办法》的征求意见稿,《办法》第13条新增规定,数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。这一条款为对数据出境安全评估结果有异议的数据处理者提供了一定的救济。在理论和实践层面,数据出境安全评估的法律性质与救济路径仍存在诸多亟待厘清的疑问。数据出境安全评估的复评结果作为“最终结论”表述的法律含义是什么?这是否意味着数据出境安全评估的复评结果可以免受行政复议与行政诉讼?如果可以免受行政复议与行政诉讼,那么这种前置性的数据出境安全评估法律性质是什么?如果可以行政复议,是否意味着复评的终局效力实际上流于形式?如果可以行政诉讼,那么数据出境安全评估的初评与复评的关系如何界定,哪个应作为可诉的具体行政行为?这些问题如果无法在实践中明确,势必造成数据处理者权利的不确定性,并带来难以落地的合规风险。 

讨论数据出境安全评估的救济路径,一方面可在实践上回应数据出境具体制度落地的问题;另一方面在理论上尝试探究,已经成为互联网治理基础手段的评估制度对行政法理论的挑战,以及如何对其进行法律定性并融入传统行政法框架。本文的内容围绕如下思路展开:首先梳理现有法律框架下的评估制度,厘清数据出境安全评估在制度意义与法律效力方面的特点。安全评估作为具体行政行为却为何结果为“最终结论”,需探讨两种可能的理论解释以及与其对应的救济模式。下文分别根据模式一和模式二展开讨论,一方面分析两种解释模式下如何进行理论与法律上的修正,另一方面讨论初评与复评关系、法律救济路径类型化等实践问题。



二、安全评估的法律性质及其可能的救济模式


数据出境安全评估与我国现有的诸多风险评估、影响评估、安全评估相比,在法律依据、评估主体、法律效果方面均具有一定独特性。数据出境安全评估由法律设定并由规章设定具体规则,从法律性质的角度考察,并非国家行为、安全审查制度,因具备具体行政行为的实质性要素,法律属性应为具体行政行为。但安全评估作为具体行政行为,却在《办法》中规定评估结果为“最终结论”,这引发了理论困惑,需以不同的模式探讨可能的理论解释。

(一)安全评估的制度特点

数据出境安全评估制度相较已有的评估制度,具有两个重要的制度特点:其一,从评估制度设立的考量标准上来说,数据出境安全评估主要基于国家安全的考量,而现有的评估制度多被作为一个事实发现工具,以科学性作为考量标准。其二,从评估制度的效力来说,数据出境安全评估结果直接具有法律效力。而现有的评估制度一般分为组织评估与作出决定两个环节,基于组织评估的结果,经由相关考量作出评估决定。

1.蕴含极强的国家安全考量

评估制度是风险社会治理应运而生的制度。评估制度作为治理手段应用于事前与事中节点,以应对风险的不确定性、复杂性与多发性,目的在于增强相关活动的可控性、可信度和安全性,因此广泛适用于金融监管、食品安全、环境保护等领域。评估制度的广泛应用体现了风险社会的规制理论与实践特点,从强调“命令——控制型”的行政规制、强调行政的高权性和行政相对人的服从,发展为利用多方知识、信息、资源和能力形成政府与相对人等多主体的多元协同治理。数据出境安全评估制度尽管也以应对风险为制度目的,但主要考量的是国家安全领域的风险。

风险评估往往被作为一门客观理性的科学评估,为制定管理政策提供知识,通过量化方法建立概率性的因果关系。因此一般要求评估忠于科学,避免个人偏好、政策考虑对评估的不当干扰,确保价值中立。现有评估制度中较为典型的有环境影响评价、食品安全评估等。由于评估活动的高度技术性,《中华人民共和国食品安全法》(以下简称《食品安全法》)规定,食品安全风险评估由国务院卫生行政部门成立由医学、农业、食品、营养等方面专家组成的食品安全风险评估专家委员会具体负责。起草《食品安全法》并担任国家食品安全风险评估委员会主任的陈君石院士亦明确指出,风险评估“是一个由科学家独立完成的纯科学技术过程,不受其他因素的影响”[2]

在科技发展中,基于科学性的风险评估起到了重要的推动作用。1972年美国国会组建科技评估办公室,开启专家预警式科技评估模式,技术专家对科技产品特征与应用后果进行评估,并为立法机关财政资源配置与科技监管政策制定提供基于科技事实分析的专家报告。[3]食品安全、环境影响这类风险评估将事实发现作为主要任务,将成本效益分析等带有政策权衡的活动放在后续程序(如审批、许可)中进行,确保科学的部分分析更加客观,政策的部分权衡更加清晰,以期在科学决策的基础上使民主机制与法律制度能够更好结合。

与科学性的风险评估相比,数据出境安全评估标准包含大量的国家安全考量。《办法》中表述数据出境安全评估的制度目的是“保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动”[4]。《办法》第8条、第9条也体现出,数据出境安全评估的标准包括网络安全环境等技术性因素,但更为重要的是考量数据安全保护政策法规、法律制度、政策环境可能发生的变化等国家安全因素。世界各国在数据跨境流动领域设立的标准均呈现不同程度政治先行的特点。如欧盟的跨境流动政策对数据接收方“充分保护水平”的认定要考虑第三国的法治、人权和自由状况、有关国家安全和公共安全领域的立法以及有效的司法和行政救济。这些要求的相关概念具有高度政治色彩,范围广泛且模糊,缺乏可操作性。有学者直言,欧盟的“充分保护水平”认定标准中存在公共安全、国防、国家安全和刑事犯罪的相关立法评价,这些毫无疑问属于国家主权问题,对第三国的这些立法进行审查势必引起争议。[5]

在我国实践中,数据跨境流动也往往和国家安全审查交织在一起,制度目的类似且制度内容有交叉之处。我国 2022 年实施的《网络安全审查办法》第 7 条要求“掌握超过 100 万用户个人信息的网络平台运营者赴国外上市”需要进行网络安全审查。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)和《办法》也要求处理100万以上的个人信息处理者将数据本地化存储,数据出境需要经过网信部门的出境安全评估。当数据以数据处理者需要赴国外上市的形式出境,应该既申请网络安全审查又申请数据出境安全评估,还是只申请二者之一即可呢?目前实践中尚无定论。除此之外,考察网络安全审查的内容与数据出境安全评估的标准,二者也有较多的重合之处。

由此可见,数据出境安全评估的标准包含了国家安全等因素,与其他评估制度具有较为明确的技术指标与评价标准相比具有较大差异。

2.具有独立直接的法律效力

我国法律制度中的评估制度多作为申请行政许可的必要条件,性质上属于过程性行为,而数据出境安全评估则为一个具有独立的、直接的法律效力的制度。依据《办法》相关条款,可将安全评估的流程分为适用分析、申报准备、受理决定、进行评估、申请复评、重新评估等环节。评估结果书面通知数据处理者。

法律一般将涉及风险评估的决策划分为事实探究和政策形成两个阶段,即首先通过评估制度将具体事务在科学层面的事实与风险厘清,方可通过利益衡平作出后续的监管决策,实践法律赋予的职权。如环境影响评价是对可能影响环境的工程建设和开发活动,预先进行调查、预测和评价,提出环境影响及防治方案的报告,经主管部门审查和批准后才能进行建设的法律制度。[6]与此类似,《食品安全法》规定的食品安全风险评估是对食品、食品添加剂和食品相关产品中生物性、化学性和物理性危害进行评估,作出是否允许生产的监管决策,则是衡量了危害性和可接受性的判断结果。

数据出境安全评估结果则直接对相对人发生法律效力。原因在于,安全评估标准已经是利益权衡之后的结果,如安全评估事项就包括对风险衡量之后的判断,如“出境中和出境后遭到泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险”。换句话说,其评估事项本身就是若干个“风险评估”的集合。也是基于此,安全评估结果具有独立的、直接的法律效力,不通过数据出境安全评估无法开展数据出境活动。

相比之下,互联网治理领域的其他评估制度多作为行政许可的必要条件。如互联网新闻信息评估是作为互联网新闻信息许可的必要条件,评估申请人的信息安全管理制度和技术保障措施,以确定其风险等级。[7]



综上所述,在我国现有的评估制度体系中,数据出境安全评估具有较为鲜明的制度特点。其一,数据出境安全评估的标准包含大量国家安全的考量,与网络安全审查制度有一定的交叉之处。但其他多数评估制度以专业性、科学性作为评估标准,进行科学事实的判断。其二,数据出境安全评估制度是一个独立的法律制度,其评估结果直接决定相对人权利与义务,具有类似行政许可的效力。而其他多数评估制度或是行政许可的条件之一,或为行政决策提供正当性合理性依据。基于以上两个特点,进一步引发了对于数据出境安全评估法律性质的讨论。

(二)安全评估的法律性质

数据出境安全评估的法律性质是什么?由于其是新兴制度所以尚未在学界展开充分讨论。基于上文分析的特点,安全评估事项与国家安全高度相关,这是否使其性质不再是一个行政行为?本部分比较安全评估与国家行为、安全审查制度,可得出安全评估与安全审查在制度功能与适用范围方面存在一定的重合,但性质仍是一个具体行政行为。

1.安全评估不是国家行为

国家行为是指国务院、中央军事委员会、国防部、外交部等根据宪法和法律的授权,以国家的名义实施的有关国防和外交事务的行为,以及经宪法和法律授权的国家机关宣布紧急状态等行为。[8]国家行为在不同的国家有着不同的称呼。英国称为“国家行为”(act of state),法国和日本称为“统治行为”(acte de gouvernement),美国称为 “政治行为”或“政治问题”(political questions),国家行为免受司法审查已经成为各国通例。[9]判断一个行为是否为国家行为,主要看这个行为是否以政治上的利益为目的,是否涉及国家主权和整体上的国家利益。[10]虽然各国未形成国家行为的统一标准,但基于各国理论和我国实践,一般认为国家行为是具有较强的政治性,实施主体多为国防、外交等有明确法律授权的机关,并以国家的名义实施的行为。

第一,数据出境安全评估并非以国家名义实施的行为。实施国家行为的特定国家机关是国务院、中央军事委员会、国防部、外交部,以及经宪法和法律授权宣布紧急状态的国家机关。根据最高人民法院行政审判庭的观点,实施国家行为的特定国家机关仅指国务院、中央军事委员会、国防部、外交部以及特别情况下的省一级人民政府。[11]即使实践中可能落到具体行政部门,但因主要行为对象多为境外个人、组织和国家,因此具有高度的国家代表性,如海关、外交、公安的出入境管理部门等。数据出境安全评估决定是以国家网信部门的名义作出,主要针对的对象是境内的数据处理者,显然并非以国家名义对境外对象作出的行为。

第二,数据出境安全评估的适用情形并非全部具有较强的国家安全因素考量。《办法》第4条所要求进行数据出境安全评估的情形中,第一种情形数据处理者向境外提供重要数据和第二种情形关键信息基础设施运营者提供信息,基于《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)的规定可能涉及国家安全。但第三种情形“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”仅在《个人信息保护法》中有规定,更多体现保护个人信息权益的制度目标,并非完全为国家安全考量。

2.安全评估并非安全审查

数据出境安全评估与安全审查制度功能相似,并有一定交叉重合之处,但在法律依据、实施主体、适用情形、审查或者评估要素、工作程序、法律效果上都有较大差异。

第一,从法律依据来看,安全审查是以国家安全审查为上位概念,网络安全审查、数据安全审查为具体制度的制度体系。数据出境安全评估则是数据跨境流动制度体系的具体制度,安全评估、认证和跨境标准合同构成了数据跨境的三个并行具体制度。尤其是安全评估需企业基于商业活动自行申请,安全审查则由监管机构主动发起,因此分属不同的制度,这也在相关主管机构的机构设置当中得到了体现。但与此同时,数据出境安全评估又与数据安全审查存在重合,如赴境外上市的企业如果已经通过网络安全审查,是否还需要再进行安全评估?数据安全审查的制度目标在于国家安全,但安全评估的制度价值虽然蕴含国家安全考量,但也仍以日常数据跨境的商业活动为主要适用场景,因此仍须分别进行。

第二,从考察事项及适用场景来看,安全审查更为复杂。结合《数据安全法》的条文表述及近期对滴滴出行等多家企业的网络安全审查,数据安全审查的适用范围将涵盖全链路、全周期的数据处理行为(如收集、传输、共享、融合等)。除此之外,安全审查的适用情形除了涉及数据出境场景,还可能涉及外商投资等其他领域。《网络安全审查办法》第22条第2款指出,国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。换言之,网络安全审查的适用范围并不限于《办法》中列出的数据出境安全评估的情形。今后,监管部门可能会在数据安全、外商投资相关审查办法中提出网络安全审查的要求。数据出境安全评估则主要是为了满足数据跨境流动的监管需求,目的在于防范国家安全、数据安全、个人信息权益等面临的风险。

第三,从实施主体上看,数据出境安全评估的主体是国家网信部门,而安全审查则涉及中央国家机关与国家安全审查的所有部门。《中华人民共和国国家安全法》(以下简称《国家安全法》)第60条明确赋予中央国家机关各部门行使国家安全审查职责,各部门可依法作出国家安全审查决定或者提出安全审查意见并监督执行。在网信部门内部,有专门的网络审查安全办公室。[12]数据出境安全评估则由国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

综上所述,数据出境安全评估制度尽管与数据安全审查功能相似,且适用条件有一定的交叉重合,但并非同一个制度。《数据安全法》第24条规定的“依法作出的安全审查决定为最终决定”是不是《办法》规定的“安全评估复评结论为最终结论”的法律依据,后续将予以展开讨论。

3.安全评估是具体行政行为

数据出境安全评估符合行政行为的要素。根据一般理论和司法实践,具体行政行为是指国家行政机关和行政机关工作人员、法律法规授权的组织、行政机关委托的组织或者个人在行政管理活动中行使行政职权,针对特定的公民、法人或者其他组织,就特定的具体事项,作出的有关该公民、法人或者其他组织权利义务的单方行为。[13]数据出境安全评估符合具体行政行为的四要素:

第一,安全评估是由国家网信部门实施的行为,这符合具体行政行为的主体要素。2014年国务院颁布《国务院关于授予国家互联网信息办公室负责互联网信息内容管理工作的通知》以来,网信部门密集地出台规章与规范性文件。2022年国家网信办成立执法局,并于9月就《网信部门行政执法程序规定(征求意见稿)》公开征求意见。这些进一步明确了网信部门具有独立制定部门规章和开展行政执法的行政主体地位。

第二,安全评估是国家网信部门行使行政权力所为的单方行为,这符合具体行政行为的成立要素。即该行为无需对方同意,仅行政机关单方即可决定,且决定后即发生法律效力。数据出境安全评估是针对数据处理者,就数据出境的具体事项,作出的有关数据处理者是否可以开展数据出境活动的单方行为。根据《办法》第4条规定,凡是有相关情形的数据出境处理者,在数据出境之前,都需申请数据出境安全评估,由网信部门评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。评估决定由网信部门单方作出,并直接决定数据处理者是否可以继续从事数据出境活动。

第三,安全评估是对从事数据出境业务的数据处理者实施的行为,这符合具体行政行为对特定的公民、法人或者其他组织作出的对象要素。安全评估适用的数据处理者范围可分为静态和动态两类标准。静态即指关键信息基础设施运营者和涉及处理100万人以上的个人信息处理者,从主体角度要求数据出境业务需要通过安全评估实施。在中国市场,100万人以上是较为容易达到的标准,各大应用市场的APP下载量显示极少有低于100万量级的个人信息处理者。动态条件则指自上年1月1日起累计向境外提供10万个人信息和1万敏感个人信息的数据处理者向境外提供个人信息。在当年内累计的跨境个人信息数据流动达到这个标准也仍然较为容易。

第四,安全评估是直接对特定数据处理者的权利义务产生影响的行为,这符合具体行政行为的内容要素。通过评估即可进行数据出境业务,未通过评估则需中止数据出境业务。从法律效果的角度来看,安全评估的法律效果表现于外部,针对特定的数据处理者,安全评估对数据出境活动的效力本身即存在,无需借助于其他行政行为。除了通过安全评估的情形,还有未申请、未通过或已通过但情形变更的三种情形,对应三种法律效果:一是数据处理者如不通过数据出境安全评估不可进行数据出境,需申请复评;二是之前通过评估后因情形变化不再符合安全管理要求的,“数据处理者终止数据出境活动”[14];三是“违反本办法向境外提供数据的”,任何组织和个人可向省级以上网信部门举报。[15]由此可见,数据出境安全评估结果具有实质上决定相对人是否可以进行数据出境活动的法律效果。

综上,据出境安全评估的法律性质仍是具体行政行为,甚至是授益性行政行为。“判断一个行为是否属于行政法律行为,重要的是它的法律效果,而非实施依据。”[16]区分一个行为是否属于行政处理、是否构成法律行为,不能只看名称,而要看其所涉事项和实际影响。[17]通过安全评估,数据处理者被准予实施数据出境行为,这是在《个人信息保护法》明确规定相关数据应该本地化存储的前提下,对其数据出境行为的“解禁”。

(三)小结:基于法律性质的可能救济模式

数据出境安全评估的法律性质应为行政行为,但这一结论又与数据出境安全评估复评结果为“最终结论”存在制度上的不协调之处。存在以下困惑需要进一步讨论:如果数据出境安全评估的法律性质是行政行为,数据出境安全评估的复评结果为“最终结论”的法律含义是什么?不同的答案引向了不同的可能性。

第一,如果“最终结论”的法律含义是数据出境安全评估是终局行为,不可进行行政复议和行政诉讼,然而这并不满足现行法律关于终局行政行为的既有规定。这就需要讨论,为何数据出境安全评估是一个终局性的行政行为?

第二,如果“最终结论”的法律含义是复评结论,仅仅是国家网信部门内部的最终结论,数据出境安全评估是一个可以复议可以诉讼的行政行为,那么如何进行行政复议和行政诉讼救济呢?

综上所述,如果数据出境安全评估的法律性质是行政行为,那么其复评结果为何“最终结论”即令人疑惑。本文将在第二、三部分探究“最终结论”的法律含义并进一步分析数据出境安全评估救济路径。


三、模式选择一:基于“不可诉性”的分析


如果数据出境安全评估复评结论为“最终结论”的法律含义是数据出境安全评估不可诉,那么,安全评估不可诉的法律与理论依据是什么?本节分情形讨论安全评估作为行政终局行为的理论基础与法律依据,提出安全评估的不可诉性的法律依据应通过修改法律或扩张解释在法律层面予以明确。此外,动态累计情形的个人信息出境安全评估在数字经济运行中具有普遍性,这使得为此种情形的安全评估设置一定的救济路径成为必要。

(一)“最终结论”为不可诉性指向安全评估为行政终局行为

数据出境安全评估复评结果为“最终结论”的一个可能解释是指行政机关的行为是终局行为,效力由行政机关最终决定,不受法院的司法审查而具有不可诉性。根据《办法》的规定,国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。故讨论数据出境安全评估的复评是终局性行政行为,是指在数据出境安全评估与复评之后,行政机关不再作出其他行政行为,相对人也不可以向法院起诉,不属于人民法院行政诉讼受案范围。

类似的具有终局效力的制度在互联网治理制度中并非唯一,但其并不直接决定相对人权利义务。如《互联网信息服务算法推荐管理规定》要求算法推荐服务提供者进行算法备案,《区块链信息服务管理规定》要求区块链信息服务提供者进行区块链信息服务备案。两种备案的程序相似:如材料齐全则发放备案编号并公布备案信息,材料不齐全的不予备案并说明理由。[18] 尽管相关规章未规定行政机关的后续行为,但实践中相对人往往在当次备案没有通过的情况下,会申请下一批次备案。在《办法》征求意见过程中,有学者提出如没有复评结果之后的后续行为,则可能相对人会选择更改目的、方式、范围、种类等内容,根据《办法》第14条的规定作为新的数据出境安全评估申请而规避第13条的“最终结论”规定。但在《办法》现有条文中并未规定行政机关后续的行为,因此可理解为第13条的“最终结论”即为终局行为。

哪些行为属于终局行为不受司法审查需要有法律的明确规定。《办法》作为部门规章显然并无此权限,而《网络安全法》《数据安全法》和《个人信息保护法》中虽然多次提及数据出境安全评估制度,但一般限于需要评估的情形,并未涉及评估效力的问题。因此,只能考察数据安全出境评估是否符合《行政诉讼法》相关法律规定的不属于人民法院行政诉讼的受案范围。《行政诉讼法》第13条第1款规定:人民法院不受理公民、法人或者其他组织对下列事项提起的诉讼:(一)国防、外交等国家行为;(二)行政法规、规章或者行政机关制定、发布的具有普遍约束力的决定、命令;(三)行政机关对行政机关工作人员的奖惩、任免等决定;(四)法律规定由行政机关最终裁决的行政行为。《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》第1条也详细列举了九项不具有可诉性的行为。[19]经过法条梳理,安全评估并无明确适用条款,因此只可能归于《行政诉讼法》第13条第1款第4项所规定的“法律规定由行政机关最终裁决的行政行为”。那么,下文将进一步寻找安全评估作为行政终局行为的法律依据,就其可能的理由展开讨论。

(二)安全评估是否符合行政终局行为的情形?

某一行为是否属于行政终局行为应当具有相应的特征,满足特定的条件。虽然从形式而言,法律可以规定一些行政行为由行政机关最终来裁决,从而排除司法审查,但从实质法治层面分析,立法者不能随意设定行政终局行为。从我国行政诉讼法学理和实务主流观点来分析,行政机关最终裁决的行政行为具有五个特征:一是涉及国家重要机密,一旦进入诉讼,会严重损害国家利益;二是具有极强的专业性,需要非常专门的知识、经验和技能,以至于法院没有能力进行审查;三是不可能或者极少可能侵犯相对人的权益;四是已经有近乎司法程序的行政程序作保障,以至于司法救济没有必要;五是因不可抗力,使得司法救济不可能。[20]为此,有必要灵活处理个人利益与国家利益,局部调整司法权与行政权的关系,排除对这些行为的诉讼。那么数据出境安全评估是否符合这几种情形呢?

第一,数据出境安全评估是否符合“涉及国家重要机密,一旦进入诉讼,会严重损害国家利益”的特征?这需要分具体情况来分别对待。从类型而言,数据出境安全评估的启动大致分为两类,第一类是基于安全价值的关键信息基础设施和重要数据的出境,这可能与国家秘密相关。《办法》第19条定义重要数据,是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。第一类分类可能与国家安全、国家利益相关,但并不当然属于“涉及国家重要机密”的情形。第二类则是基于一定规模的个人信息的数据出境安全评估,一般情况很难说涉及“国家重要机密”。

第二,数据出境安全评估是否符合“不可能或者极少可能侵犯相对人的权益”?根据前文分析,按照《办法》需进行数据出境安全评估的情形,“未申请、未通过或已通过但情形变更的三种情形,数据处理者不能开展数据出境活动”。[21]数据出境安全评估具有实质上准许相对人是否可以进行数据出境活动的法律效果。因此,安全评估结果一旦出错,一定会影响到数据处理者的数据跨境活动,很难不对相对人权益产生影响。

第三,数据出境安全评估是否满足“已经有近乎司法程序的行政程序作保障,以至于司法救济没有必要”的特征?这就需要分析我国《办法》对数据出境安全评估的具体程序。对于该程序,《办法》第11条、第12条、第13条作了极为简单的规定,如材料不全的要求相对人补充更正材料、评估的期限、以及复评程序。对于数据处理者所享有的基本权利,比如评估之后能否获得证据文件和理由说明的权利,并未作任何规定。显而易见的是,目前的数据出境安全评估程序远远不是“近乎司法程序的行政程序,以至于司法救济没有必要”。安全评估是一个单方行为,并非行政机关居间裁决,相对人也一般只有提交材料和申请复评的权利,并无“近乎司法程序的行政程序”。可见,基于此理由主张数据出境安全评估属于行政终局行为的观点不成立。

第四,数据出境安全评估是否符合“具有极强的专业性,以至于法院没有能力进行审查”?数据出境安全评估具有较强的专业性。数据出境安全一方面涉及数据处理行为的应用场景,结果具有较强的技术性,另一方面涉及对国家安全、公共利益、个人信息权益保障等不确定性概念的判断,因此具有较强的专业性。《办法》中评估的工作由国家网信部门组织国务院有关部门、省级网信部门、专门机构等进行,落地可能由网信部门组织国家互联网安全中心进行评估,法院很有可能不具有相关专业能力进行审查。

综上,数据出境安全评估可能成为终局行政行为的理由有二:其一,可能因涉及国家秘密,进入诉讼会损害国家利益;其二,具有极强的专业性以至于法院没有能力审查。那么,这两个原因是否适用于《办法》规定的安全评估呢?

(三)安全评估因国家安全例外而成为行政终局

数据出境安全评估因为何种原因成为终局行政行为?最可能的法律依据是因为安全评估涉及国家安全因而进入“国家秘密”范畴而无法进入诉讼,否则会损害国家利益。在我国总体国家安全观中,数据安全是国家安全的重要组成部分。至于推论的第二个理由,安全评估仅可能因评估具有极强的专业性,以至于法院没有能力进行审查而成为行政终局行为。但目前并无法律的明确规定,涉及重大的行政诉讼制度,在权力来源上应当严格把握,即法律授权应当作出直接而明确的规定。

安全评估的三种适用情形均事关国家安全。第一种情形,向境外提供重要数据需安全评估与国家安全密切相关,并在相关法律层面有明确规定。《网络安全法》第37条明确要求关键信息基础设施的运营者向境外提供重要数据需要进行安全评估。《数据安全法》第31条重申了以上立场,并在此基础上将其他数据处理者向境外提供重要数据所适用的具体出境安全管理办法交“由国家网信部门会同国务院有关部门制定”。《办法》第19条对重要数据作出的定义:“本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”这些法律规定充分体现了重要数据对于国家安全的重大意义。

第二种情形,关键信息基础设施运营者向境外提供个人信息,同样基于国家安全的考量需要评估。由于关键信息基础设施运营者的数据活动本身就事关网络安全国家利益,此主体实施的数据处理行为都需要更为严格的安全评估。

第三种情形,处理100万以上个人信息的数据处理者和自上年1月1日起累计向境外提供超过10万人个人信息和1万人敏感个人信息的处理者。《个人信息保护法》第40条是处理个人信息达到国家网信部门规定数量即应进行数据出境安全评估的法律依据。[22]达到一定量级的个人信息处理如果发生重大网络安全事件,在我国法律体系中被列为与重要数据安全事件同等级别的事件。在《关键信息基础设施安全保护条例》中明确将二者并列,[23]与此类似,《网络安全审查办法》也将重要数据、关键信息基础设施与大量个人信息的风险并列。[24]因此基于体系性解释,第三种情形适用的安全评估也同样基于国家安全例外,成为行政终局行为。


涉及国家安全的行政行为免受司法审查在国内外也有相似制度。在国内,因涉及国家安全而不可诉的是我国法律规定的对于恐怖组织和人员的认定决定。《中华人民共和国反恐怖主义法》赋予了国家反恐怖主义工作领导机构认定恐怖活动组织和人员的权力。该法同时规定,被认定的恐怖活动组织和人员对认定不服的,可以通过国家反恐怖主义工作领导机构的办事机构申请复核。国家反恐怖主义工作领导机构应当及时进行复核。复核决定为最终决定。在国外,也有因数据跨境流动涉及国家安全而免受司法审查的制度。欧盟 2020 年实施 《外国直接投资审查框架条例》,将数据出境活动纳入审查范围,提出成员国应重点关注涉及“取得敏感资料(包括个人数据)或控制这些资料信息能力”的投资领域。2018 年 8 月,美国总统特朗普签署了《外国投资风险审查现代化法》(Foreign Investment Risk Review Modernization Act of 2018,FIRRMA)重点之一就是关注和应对外国投资交易中高风险敏感数据对国家安全的影响。该法一是界定影响国家安全的高风险敏感数据的范围;二是将涉及这些高风险敏感数据的外国非控制性投资纳入外资安全审查范围。[25]

综上所述,数据出境安全评估的复评结果为“最终结论”的理由是安全评估基于国家安全原因成为行政终局行为。但仍存在问题需要探讨:第一,现有法律并无明确规定涉及国家安全即可能构成行政终局行为,数据出境安全评估的复评结论为最终结论的理由与依据仍不充分。第二,在现有数字经济规模下,绝大多数数据出境活动落入了安全评估的适用情形,如何在保证国家安全的前提下给予相对人一定的救济?

(四)安全评估作为行政终局行为的救济路径

尽管安全评估基于国家安全考量应作为行政终局行为,但仍应及时在法律层面进行修改赋予其明确法律依据。考虑到我国数字经济规模,绝大多数数据出境落入了安全评估适用范围。对于最普遍常见的数据出境活动,有必要基于数字经济发展的考虑给予其一定的救济路径。

1.基于国家安全作为行政终局行为应及时在法律层面予以修改回应

安全评估因为涉及国家安全而免于司法审查,其在理论上与国内外司法实践中可获得解释,但在法律层面仍需明确依据。安全评估的复评结论为“最终结论”与《数据安全法》第24条规定“数据安全审查的决定为最终决定”尽管都涉及国家安全且均免于司法审查,但法律依据并不相同。

数据安全审查的决定为最终决定,并不能成为出境安全评估的复评结论为最终结论的法律依据。尽管数据安全审查与数据出境安全评估在制度目的和适用情形上有诸多相似之处,但不可忽略其设立的根本目的和法律依据有本质不同。一是在设计的根本目的上,安全评估是为了常态的数据跨境流动活动,安全审查则是为了应对非常态的“影响或者可能影响国家安全”的情形。换句话说,安全评估是为了避免正常商业活动中数据出境可能造成的国家安全和个人信息风险,但安全评估一旦启动意味着国家安全已经存在出现问题的高度可能性。二是在行为结果上,安全评估的结果为通过或未通过,安全审查的结果则是决定。换句话说,安全评估满足评估事项要求即可通过,而安全审查则是有了影响国家安全的情形才启动,目的在于探究其对国家安全影响的严重程度。三是在法律依据上,安全评估是具体行政行为,即使存在高度国家安全考量,但在数字经济背景下与行政相对人的日常经营活动密切关联,仍应在行政法框架内予以规范。数据安全审查是国家安全审查的具体制度,与网络安全审查并列,其具有高度政治性、不可预测性,无需遵循行政正当程序,无需说明理由且并无期限限制,本质上是以国家安全目的为导向的行为。基于此三点理由,《数据安全法》第24条规定的数据安全审查决定为最终决定,并非安全评估的结论为最终结论的法律依据。

因此,涉及国家安全而免于司法审查仍需要法律层面的规定,以消解对于《办法》作为规章的立法权限的质疑。针对此问题,有两条路径可供选择,一是对法律中行政终局行为予以有权的扩张性解释。数据出境安全评估是由规章设立的,如果直接规定其具有不可诉性,《办法》作为部门规章并不具有超出法律进行扩张解释的权限。未来或应在法律中明确规定,或对《行政诉讼法》第13条作出具有权限的扩张性解释。二是对“国家安全例外”免于审查作出法律层面的明确规定。如果数据出境安全评估具有不可诉性的原因是国家安全的考虑,则需要在未来《网络安全法》《数据安全法》的修改或其他相关法律的制定中予以明确。安全评估是国家网信部门在履行行政管理职能过程中作出的行政行为。目前已有的规定中,依据《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》(法释〔2018〕1号)第1条、第2条,可豁免行政司法审查的公权力行为是国家安全等机关实施的刑事领域相关行为。因此,如何与美国、欧盟一样在数据跨境流动中也在一定场景适用“国家安全例外”,应在法律中及时修订予以回应。

2.基于数字经济发展需要应对一定情形的安全评估设置必要救济途径

基于数字经济发展的需要,《办法》规定的安全评估适用的第三种情形“自上年1月1日起累计向境外提供超过10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”应设置必要的救济途径。

首先,此种情形落入安全评估是基于国家安全的考量,但也囊括了大多数日常的数据出境活动。基于《个人信息保护法》第40条的“一定规模个人信息处理者”落入安全评估,既包含静态规模情形,也包括动态数量情形。静态规模情形是指“处理100万以上个人信息的数据处理者”,其中的处理是包含所有数据处理方式。动态数量情形是指“自上年1月1日起累计向境外提供超过10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息”,仅指数据出境的数量。当一个企业或者公共部门有跨境业务时,按照我国数字经济的用户规模,上述动态数量情形是极为容易达到的。因此,安全评估的适用情形实际上囊括了大多数日常的数字经济中的数据出境活动。

其次,动态数量的情形由于其数量要求较低成为安全评估的常态,可能涉及海量的从事数据跨境业务的行政相对人,应基于数字经济发展的考虑设置一定的救济路径。在消费、投资、外贸作为三驾马车的中国经济中,涉及数据跨境的不仅包括互联网企业,也包括有跨境业务的传统企业,以及保险、金融、医院、高校等。在这种情况下,基于数字经济发展应对的需要,为安全评估设置一定的救济即成为必要。此外,安全评估是数据跨境的主要途径,即使蕴含国家安全考量,也应更为明晰可预测,避免公众对于具体行政行为“安全例外”滥用的忧虑。国家网信部门应尽快出台评估指南,对评估中的各种程序环节事前作出安排,对评估标准如何落地作出具体规定, 可以形成对裁量权行使的自我约束,此外应加强评估过程的透明度。

最后,不仅应区隔安全评估与安全审查,而且应明晰各个不同数据出境方式的适用情形,尽快实现数据出境制度的合理化与体系化。常理来说,适用于普遍数据跨境流动活动的安全评估与安全审查应有明确的区别。国家安全审查制度的优势在于具有较强灵活性以应对国家安全的复杂性与不可预测性。数据出境安全评估则包含着安全考量也包含着个人信息保护考量,而个人信息权益保护的制度目的也可通过数据出境制度中的标准合同与认证制度实现。过于强调数据出境安全评估中的安全评估事项,可能造成制度适用场景的重合和制度比较优势无法充分发挥的后果。


四、模式选择二:以限缩解释为中心的分析


如果将“最终结论”理解为复评结果仅仅是国家网信部门作出的最终结论,而非不可诉的行政终局行为,则面临着更为严峻的行政复议与行政诉讼救济的实质性困难。

(一)“最终结论”的限缩解释

数据出境安全评估复评结果为“最终结论”的第二个可能解释是对“最终结论”作出限缩性解释,即最终结论并不指评估结论是行政终局行为,仅仅指复评结果是国家网信部门作出的最终结论,数据出境安全评估的相对人可以对数据出境安全评估的结果提起行政复议或行政诉讼进行救济。通过对比《办法》的征求意见稿和正式稿,《办法》明确了评估不同环节的程序性要求,并增加了复评程序,意在为相对人提供更为明确的指引和一定的救济路径。一是《办法》的正式稿明确了省级网信部门是接受申请的主体,且明确了省级网信部门完成完备性查验的时间要求及材料补正程序,以及明确了该完备性查验的时间是不计算在国家网信部门作出正式受理的时间之内的。二是《办法》正式稿提供了申报材料不符合要求时的补正程序,明确了数据出境安全评估的完成时间期限为发出书面受理通知书之日起45日。三是《办法》增加了数据处理者申请复评的权利,以及复评的法律效力。然而,在海量的数据出境安全评估涌来之后,《办法》中较为粗略的规定必然面临实践中细化规则的要求。在大量的数据出境安全评估结果产生之后,当事人或存在寻求行政复议和行政诉讼救济的较大需求。

(二)行政复议救济的困境

假设数据出境安全评估可以行政复议救济,有两项突出优点:一是行政复议范围远大于行政诉讼,根据概括性条款,行政相对人认为行政机关的其他具体行政行为侵犯其合法权益的,也可以申请行政复议。二是行政复议向行政机关提起,而数据安全领域的争议需要有管理经验和专门知识方可判定,行政机关比法院更为适合从事纠纷解决的工作。但数据出境安全评估如可进行行政复议,则存在以下困境:

第一,数据出境安全评估如进行复议,缺乏层级监督关系,主要通过审查具体行政行为的合法性和适当性,为受到行政侵权的公民、法人和其他组织提供法律救济。数据出境安全评估是由国家网信部门作出的具体行政行为,如果进行复议,是否仍由国家网信部门进行复议?国家网信部门作出的结论,不可能交给国务院,或者由本部门行政复议?根据《行政复议法》规定:“对国务院部门或者省、自治区、直辖市人民政府的具体行政行为不服的,向作出该具体行政行为的国务院部门或者省、自治区、直辖市人民政府申请复议。”在数据出境安全评估制度中,省级网信部门并不作出评估决定,其职责只是在时间要求内完成完备性查验以及依照程序补正材料。数据出境安全评估仍由国家网信部门组织并作出评估决定。因此,如果可以申请行政复议,则应由相对人向国家网信部门申请行政复议。但经过了数据出境安全评估和复评,再次向国家网信部门申请复议,等于一个部门审查行政行为三次,是否具有实际意义?数据处理者对行政复议决定不服的,可以向人民法院提起行政诉讼;也可以向国务院申请裁决,国务院依照本法的规定作出最终裁决。但目前以数据出境安全评估可能产生的体量判断,国务院很难专门设置部门和组织专业队伍对数据出境安全评估作出最终决定。

第二,如果可以进行行政复议,数据出境安全评估与复评的关系如何?评估和复评应该作为一个行政行为还是两个行政行为?我国法律存在类似的复评、复核制度。如公安部2008 年《道路交通事故处理程序规定》规定,当事人对道路交通事故认定有异议的,可以在规定期限内书面提出复核申请;上一级公安机关交通管理部门应当予以审查,并作出复核结论。《中华人民共和国教师法》第39 条规定,教师对学校或者其他教育机构侵犯其合法权益的,或者对学校或者其他教育机构作出的处理不服的,可以向教育行政部门提出申诉。在这些制度中,均是相对人向上一级行政机关提出复核、申诉,并不符合数据出境安全评估仍然向国家网信部门申请复评的情形。《办法》也未提供数据出境安全评估的行政复议救济路径。因此,如相对人可以提起行政诉讼救济,应将数据出境安全评估与复评作为一个整体的行政行为。

可以预见,未来对安全评估允许复议面临着实质性的困难。国家网信部门并不适合同时作为作出评估决定和对评估决定复议的机关,国务院设置相关部门作为复议机关难以实现。

(三)司法救济的实践难题

司法审查也是传统行政法的核心支柱,具有确保行政机关遵循立法机关的意志、避免行政机关被利益集团俘获、促进行政决策的合理性、增进行政决策的透明度和保证公众参与等制衡行政权力的功能。[26]但是,司法审查制度的确立、运转多少会减损行政权的效率,这是不言而喻的事实。[27]因此数据出境安全评估如果可以申请司法救济,也存在实践中亟待解决的实际困难:

第一,专业性过强司法审查力有不逮。数据出境安全评估涉及专业数据安全、网络安全知识,又涉及模糊的国家安全考量与不确定概念,世界各国均存在不同程度的专业力量不足问题。以欧盟为例,欧盟委员会即使拥有技术专长的官僚和高水平律师团队,也无法准确认定“充分性认定”中需要确认的第三国立法的保护水平;欧洲人权法院往往也需要数年时间才能对监控案件作出判决;对于海量的数据工作,欧盟已有其他繁重任务、人手严重不足且对国家安全立法缺乏专业能力的数据保护机构无力应对。欧盟评估主体的“能力赤字”,使得“充分保护水平”的评估呈碎片化趋势。[28]基于该数据评估的复杂性、专业性,司法机关存在实质审查上的困难。即使可以进行司法审查,法院应从司法实践伦理出发,通过设定合法性标准与程序性义务对明显具有不合理情形的评估结论作出甄别和判断。第二,如果进行数据出境安全评估的司法审查,实际中的第三人制度如何实践?我国《行政诉讼法》第29条规定:“同提起诉讼的具体行政行为有利害关系的公民、法人或其他组织,可以作为第三人申请参加诉讼,或者由人民法院通知参加诉讼。”如数据处理者向法院提起对国家网信部门的行政诉讼,涉及个人信息权益的第三人是否应被通知参加诉讼?“超过10万人个人信息和1万人个人敏感信息出境”也使得潜在的第三人数量过多,不可能实现行政诉讼第三人的诉讼制度。

因此,如果数据出境安全评估可以获得后续的行政诉讼救济,仍有实质性的现实困难。法院不能裁决安全评估决定的实质正当性,可能仅能就评估部门是否遵循了正当程序原则进行审查。由于安全评估具有国家安全考量,不应对安全评估结论作出实质性审查。但是,可以在司法审查层面考察程序的合法性,是否遵循了时限要求与透明度要求,这是具体行为行政正当程序的重要体现。


余论


数据出境安全评估与我国现有的诸多风险评估、影响评估、安全评估相比,在法律依据、评估主体、法律效果方面均具有一定独特性。数据出境安全评估由法律设定并由规章设定具体规则,从法律性质的角度考察,并非国家行为、安全审查制度,因具备具体行政行为的实质性要素,法律属性应为具体行政行为。作为一种具体行政行为,数据出境安全评估的复评结果为“最终结论”的法律含义是什么?不同的答案引向了不同的可能性。第一,如果“最终结论”的法律含义是数据出境安全评估是终局行为,不可进行行政复议和行政诉讼,《办法》作为规章并无权限规定。数据出境安全评估基于国家安全例外成为行政终局行为,在法律系统内达成自洽仍需进行制度修改或扩张解释。对于可能海量的常态化的基于动态数量的个人信息出境安全评估情形,应考虑提高安全评估透明度,出台指南并提供一定的救济路径。第二,如果“最终结论”的法律含义是复评结论仅仅是国家网信部门作出最终结论,数据出境安全评估是一个可以复议可以诉讼的行政行为,则面临复议与诉讼的实质性障碍。安全评估基于复议主体等问题应免于行政复议,但对于基于动态数量情形的个人信息出境安全评估,应允许对于程序正当性的司法审查。但司法审查专业力量不足的问题,以及行政诉讼中第三人制度如何实践都有待进一步讨论。

互联网治理领域近年来的治理手段给传统行政法理论提出了诸多挑战,数据出境安全评估制度的救济问题仅仅是管中窥豹。应对国家安全、网络安全与数据安全的风险,各种安全审查、安全评估制度被广泛应用,但其程序、权利义务、救济方式大多缺乏详细的法律规定。由于网络安全与数据安全的特殊性,在政府采购、数据跨境、外资审查等大量领域存在国家安全例外,但其具体标准模糊,救济路径不明。随着数字经济的发展,这些规则将日益成为影响公民、法人的重要制度,亟待学界的进一步深入研究。




|参考文献


[1]参见罗亦丹:《〈数据出境安全评估办法〉出台 中概股多数上涨迎监管“落地”》,新京报网,https://www.bjnews.com.cn/detail/1657285326168896.html.(最后访问时间:2022年7月12日)。

[2]参见陈君石:《食品安全风险评估概述》,载《中国食品卫生杂志》2011年第1期,第4页。

[3]Smits R, Leyten J, Den Hertog P. “Technology Assessment and Technology Policy in Europe: New Concepts, New Goals, New Infrastructures”,Policy Sciences, Vol 28, No.3,1995, pp.271-299.

[4]《数据出境安全评估办法》(2022)第1条。

[5]参见杨帆:《后“Schrems Ⅱ案”时期欧盟数据跨境流动法律监管的演进及我国的因应》,载《环球法律评论》2022年第1期,第187页。

[6]《中华人民共和国环境影响评价法》(2019)第2条。

[7]在此制度目标下,《互联网新闻信息服务管理规定》第10条、《互联网新闻信息服务许可管理实施细则》第6条将互联网新闻信息服务安全评估报告作为申请互联网新闻信息许可的必备材料。与此同时,一些互联网新技术新应用可能同样具有新闻信息舆论属性,因此法规增设了互联网新闻信息服务新技术新应用安全评估、具有舆论属性或社会动员能力的新技术新应用评估。

[8]《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》(法释〔2018〕1号)第2条。

[9]参见胡锦光、刘飞宇:《论国家行为的判断标准及范围》,载《中国人民大学学报》2000年第1期,第84页。

[10]参见胡锦光、刘飞宇:《论国家行为的判断标准及范围》,载《中国人民大学学报》2000年第1期,第87页。

[11]参见最高人民法院行政审判庭 编:《关于执行〈中华人民共和国行政诉讼法〉若干问题的解释释义》,中国城市出版社2000年版,第9-10页。

[12]《网络安全审查办法》(2021)第7条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

[13]参见姜明安:《行政法与行政诉讼法》(第5版),北京大学出版社、高等教育出版社2011年版,第503-506页。

[14]《数据出境安全评估办法》第17条:国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。

[15]《数据出境安全评估办法》第16条:任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。

[16]何海波:《行政诉讼法》(第3版),法律出版社2022年版,第144页。

[17]参见何海波:《行政诉讼法》(第3版),法律出版社2022年版,第144页。

[18]《区块链信息服务管理规定》(2019)第12条规定:“国家和省、自治区、直辖市互联网信息办公室收到备案人提交的备案材料后,材料齐全的,应当在20个工作日内予以备案,发放备案编号,并通过国家互联网信息办公室区块链信息服务备案管理系统向社会公布备案信息;材料不齐全的,不予备案,在20个工作日内通知备案人并说明理由。”

[19]参见《最高人民法院关于适用〈中华人民共和国行政诉讼法〉的解释》第1条规定。

[20]参见姜明安 主编:《行政法与行政诉讼法》(第5版),北京大学出版社、高等教育出版社2011年版,第1288页。参见何海波:《行政诉讼法》(第3版),法律出版社2022年版,第163页。

[21]《数据出境安全评估办法》第17条规定:“国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。”

[22]《个人信息保护法》第40条规定:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。” 

[23]《关键信息基础设施安全保护条例》第18条规定:“发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。”

[24]《网络安全审查办法》第10条规定:“网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:……(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。”

[25]See H.R.5841 - Foreign Investment Risk Review Modernization Act of 2018,https://www.congress.gov/bill/115th-congress/house-bill/5841.(2022-07-05 accessed).

[26]See Emily Hammond,David L Markell. “Administrative Proxies for Judicial Review: Building Legitimacy from the Inside - Out”, Harvard Environmental Law Review,Vol 37, No. 2, 2013,pp.313 - 364.

[27]参见章剑生:《现代行政法基本理论》(第2版),法律出版社2014年版,第763页。

[28]参见杨帆:《后“Schrems Ⅱ案”时期欧盟数据跨境流动法律监管的演进及我国的因应》,载《环球法律评论》2022年第1期,第189页。

前沿 | 郑曦:刑事数据出境规则研究

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存