摘要:而这场革命的宣言就在《新政治科学》的文本之中。 ...
[2] 在近些年来我国宪法学的优秀成果之中,具备此种作用的作品不胜枚举。
第三,现代法律制度中的人是被类型化的人,或者按照拉德布鲁赫(Gustav Radbruch)的说法——平均类型的人,甚至可以称为是一种整体之人。五是整体之人,即人的集体。
所谓管理也好,组织也好,都是现实中如何指挥人,从而促使人付出具体的实际行动,政治行为方可成立。用沃格林的术语来说的话,就是当一个帝国初步完成了社会连属化而具备了存在意义上的代表后,如何巩固已有的政治秩序。不过,琐碎也有琐碎的好处,那就是篇幅的小规模,也让我们没有很重的心理负担去尝试叩开作者的思想之门。施米特就曾断言:现代国家理论中所有重要概念都是世俗化的神学概念,这不仅由于它们在历史发展中从神学转移到国家理论,比如全能的上帝变成了全能的立法者,而且也是因为它们的系统结构,若对这些概念进行社会学考察,就必须对这种结构有所认识。(1)形成了3个时代前后相续的历史观。
所以,经验实证主义研究常常会受到一些诘问。[51][美]尤金·韦伯:《沃格林:历史哲学家》,成庆译,吉林出版集团有限责任公司2011年版,第16页。由上述数据出境的定义可反推境内存储的含义:第一,物理空间意义上,个人信息存储介质位于我国内地。
(2)弱本地化模式,即要求特定个人信息本地存储,如澳大利亚2012年《我的健康记录法》禁止将个人健康信息转移至境外,又如印度2019年《个人数据保护法》要求关键个人信息本地化。[xxxviii]第一次是2017年4月国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第17条的规定:数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。综上,《个人信息保护法》上的国家机关涵盖军事机关以外的所有党政机关以及法律、法规、规章授权的管理公共事务或提供公共服务的组织。另一方面,基于国际间政府交流、跨国执法协作、知识分享和技术转移等现实情境,国家机关处理的个人信息并非铁桶阵,而是有跨境流动的正当需求,尽管这种需求可能不如企业旺盛。
经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。GDPR第49条第1款a项也规定:当数据主体被告知其个人数据出境所包含的可能风险后仍明确表示同意时,允许个人数据出境。
物品管控可适用该条例第28条,将出境后会造成国家安全威胁的个人信息介质认定为法律、行政法规规定的危害国家安全和社会秩序的违禁物品予以禁运。[xlviii] 当然,在紧急情况下基于公共利益所必需的个人信息出境,比如跨境分享疫情防控信息,自行评估和行政协助可以根据《个人信息保护法》第40条最后一句予以豁免,或至少可相对简化程序以提高效率,但具体规则有待制定。[iii] 参见傅鹏:《〈网络安全法〉体系下的数据跨境传输监管框架研究》,载《贸大法律评论》2017年第2期。较之数据出境管控,数据本地化确实对数据自由流动限制更大,但能更有效地实现属地管辖,维护国家安全。
确需向境外提供的,应当进行安全评估。《个人信息保护法》第36条要求国家机关处理的个人信息原则上同时处于这两种状态。据此,个人信息安全影响评估与个人信息保护影响评估没有本质区别。(3)保障措施的有效性。
[lviii] 根据《国境卫生检疫法》第5条,中华人民共和国与外国之间的传染病疫情通报,由国务院卫生行政部门会同有关部门办理。(3)强本地化模式,即要求所有个人信息本地化存储,典型如俄罗斯2014年修订的《个人信息保护法》要求数据控制者在处理公民个人信息时必须使用境内的数据库。
由上述比较可得以下五点结论。其中,接受和处理数据出境所涉及的用户投诉,数据出境对个人、组织合法权益或者公共利益造成损害的依法承担责任,分别对应《个人信息保护法》第50条和第68条,也应适用于国家机关。
在此之前,人员管控可适用《出境入境边防检查条例》第15条,对掌握个人信息的人员出境会造成国家安全威胁的,边防检查站有权限制其活动范围,进行调查或者移送处理。数据本地化方面,我国选择了特定个人信息本地化模式,要求国家机关处理的个人信息境内存储,一般个人信息处理者则无此要求。此规定明确了数据出境语境下数据的含义,但未能澄清出境的意涵,因为提供给位于境外的机构、组织、个人难以作为解释《个人信息保护法》第36条向境外提供的参考依据。首先,基于前文的界定,国家机关处理的个人信息出境可分为两类。进一步的问题是:是否所有境内收集和产生的个人信息都应境内存储?答案是否定的。"向境外提供"指个人信息存储介质出境或境内介质存储的个人信息被境外主体以非公开方式读取。
三、国家机关处理的个人信息跨境流动制度之整体定位 《个人信息保护法》针对三类主体设定了个人信息跨境流动制度,分别为第36条的国家机关,第38条的一般个人信息处理者以及第40条的关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者。若将《个人信息保护法》第36条解读为要求我国国家机关将境外收集和产生的信息也本地化存储,有悖于上述立场。
第五,从权威定义来看,2016年国家网信办发布的《国家网络空间安全战略》将关键信息基础设施界定为关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统等。综上,各国个人信息跨境制度的不同形态可如下图所示: 在此视野下,《个人信息保护法》第36条所建立的国家机关处理的个人信息跨境流动制度既沿袭国际经验,也富有本土特色。
如果基于非同意类合法性基础向境外提供个人信息仍然需要取得单独同意,那么当信息主体事后撤回单独同意,信息处理者依旧可以根据非同意类合法性基础向境外提供数据,这将事实上架空单独同意。然而,遗憾的是,个人信息保护相关文献虽早已汗牛充栋,但既有研究或探讨中国的数据跨境流动的宏观模式,[i]或聚焦于非国家机关主体处理的个人信息跨境流动,[ii]或解读《网络安全法》第37条及《个人信息保护法》第三章个人信息跨境提供的规则,[iii]却极少论及国家机关处理的个人信息跨境,[iv]对《个人信息保护法》第36条的专题分析更是付之阙如。
[xlvii] 如《数据出境安全评估办法(征求意见稿)》中的相关规定。这表明电子政务项目在规划、建设、运行阶段都应同步使用安全技术措施。[xxxvii]此解释的问题是:即便个人信息的物理存储设备位于境内,数据仍然可以出境,比如允许境外组织或个人通过网络远程读取位于境内的存储介质。第二,通过虚拟载体出境,包括网络、电话、电报、通信卫星等传输信息。
是否会被接收方用来侵害我国境内个人的合法权益,危害我国主权和国家安全。因此,尽管第36条的表述是可以要求,但非网信部门的国家机关原则上都应当要求支持与协助,且被要求部门应当提供支持与协助。
[vii] 程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第301页。但根据《个人信息保护法》第18条和第35条,国家机关在如下情形中免于告知:法定应当保密、不需要告知、应急时无法事前告知以及告知将妨碍履行法定职责。
2020年10月1日实施的《信息安全技术个人信息安全规范》第3.9条将其界定为:针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。因此,对《个人信息保护法》第36条境内存储更好的解释进路是先厘清什么是向境外提供或数据出境,再反推境内存储的含义。
这对国家机关是否适用,须分情况讨论。这些修改表明:《个人信息保护法》草案原本对国家机关规定了和一般个人信息处理者相同的个人信息出境风险评估义务,但终稿放弃这一做法,转而对国家机关规定与关键信息基础设施运营者相同的个人信息出境安全评估机制[xxx],以区别于一般个人信息处理者的个人信息保护影响评估义务。[lv] 否则第2款可直接表述为前款第二项至第七项规定情形下,不需取得个人同意。[xiii] 参见许多奇:《个人数据跨境流动规制的国际格局及中国应对》,载《法学论坛》2018年第3期,第134页。
[xxvi]美国2011年《爱国者法》第1016(e)条将关键基础设施界定为任何物质或虚拟的系统和资产,对美国至关重要,其失效或破坏会对国家安全、经济安全、公共卫生安全中的一种或几种产生破坏性影响。为进一步夯实个人信息保护制度,建议尽快制定专门的管控规则。
[xviii]所以,安全评估机制同时体现了数据自由流动和安全保障两种价值。第三,监管评估的主要内容虽有细微差异,但都包括如下三点:(1)数据出境的合法性、必要性、正当性。
龙卫球主编:《中华人民共和国个人信息保护法释义》,中国法制出版社2021年版,第120页。[xiv] 参见王融:《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》,载《信息安全与通信保密》2018年第3期,第45页。
