“关键信息基础设施运营者和处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者,应当将在中华人民共和国境内收集和产生的个人隐私信息存储在境内。
确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
《个人信息保护法》第四十条的理解与适用,在理论和实务界产生了诸多争议。不同学者、实务人士对该条的解读不一,最终会影响跨国企业的数据合规路径和落地成本。
有人将立法者比喻成厨师,精心制作的菜肴一旦端上桌的时候,关于这道菜的评价就交给了各位食客。当然,“食客”的立场不同、评价方法不同,也会导致评价的结论各异。因此,立法者为了消弭这种个性差异导致的法律解释不确定性,往往会采取多种立法技术提高法律解释的确定性,这种立法技术往往体现在文字或标点的选择,句式和段落结构的安排,以及章节体系的整体协调。
本文中,汇业律师事务所黄春林律师团队从立法技术和法律解释学的角度,以个体“食客”的视角,尝试通过菜肴表象成色,试图准确理解《个人信息保护法》第四十条的适用。本文非有权法律解释,亦非正式法律意见,内容仅供参考,欢迎各位探索不同的解读路径,共同优化行业实践落地。
根据《个人隐私信息保护法》第四条第二款规定,个人隐私信息的“处理”包括“收集”、“存储”、“使用”、“加工”等。但是,不论是《个人隐私信息保护法》第四十条还是《网络安全法》第三十七条,均只规定了境内“存储”而非境内“处理”。
因此,从文义解释的角度,企业仅需将有关数据存储在境内,而无需将处理数据的网络系统、硬件设备也部署在境内。即,本句仅要求数据本地化,而未要求系统本地化。我们大家都认为,该种解读也更符合当前很多跨国公司集中IT管理、境外供应商暂不可替代等现实情况。
法律条文不是孤立的。当某个概念不确定时,可以适用类推、比较和体系解释等解释方法“确定化”。
《个人隐私信息保护法》第四十条第二句主语缺省,说明与第一句的主语相同(即均为“关键信息基础设施运营者和处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者”)。在两句共用一个主语的情况下,主语的定义和范围应该相同。考虑到作为第二句的落地细则《数据出境安全评估办法》已经生效,其中关于“规定数量”已经明确,因此应参照适用,除非另有法律细则或有权法律解释。
此外,纵观我国网络安全审查、关键信息基础设施安全保护、重要数据识别等立法体系,“100万人”都是一个重要的参考标尺,体现了立法者对“量变-质变”风险的一致认知。
相较于更早立法《网络安全法》第三十七条第一句和《个人隐私信息和重要数据出境安全评估办法(征求意见稿)》第二条,除适用主体不同外,《个人信息保护法》第四十条第一句还删除了“运营中”几个字。《个人信息保护法》颁布在《网络安全法》实施后,当时的法律环境、突出矛盾和行业问题也发生了较大的变化,我们始终相信,这一细微的变化,从立法技术的角度恰恰体现了立法者的历史观。
因此,满足主体条件的数据应当存储在境内,但并不要求该主体必须在境内商业性“运营”,例如具有注册实体、具有办公机构或服务器等,这也更好的和《个人隐私信息保护法》第三条第二款衔接。
《个人隐私信息保护法》第四十条第一句和第二句都存在主体缺省的立法技术操作,例如第一句的“谁的”个人隐私信息,第二句“向谁”提供。这种主体缺省是立法者故意采取的一种立法技术,意在表明“不问主体”一律适用的态度,这时适用扩张解释。
即,在境内收集和产生的个人信息,不问主体身份是消费的人、用户、员工、访客还是合作伙伴员工,也不问主体的国籍。而向境外提供法律适用时,不问接收方的法律地位(受托人还是对外提供的接收方),也不问接收方的国籍。
《个人隐私信息保护法》第四十条第二句虽然与第一句的主体共用,但是行为却不统一。第一句规制的是“存储”行为,第二句规制的是“提供”行为。因此,“确需向境外提供的”,文义上不等于“确需存储在境外的”,也正因此,第一句和第二句中间用的是句号而不是分号。这个与《网络安全法》第三十七条的立法技术一脉相承。
此外,根据《个人隐私信息保护法》第四条第二款规定,个人隐私信息的“处理”包括“存储”、“传输”、“提供”等。但是,不论是《个人信息保护法》第四十条还是《网络安全法》第三十七条,均是使用了“提供”而不是“传输”。“提供”强调法律关系变化,而“传输”更多强调技术行为变化,网信办在《数据出境安全评估办法》答记者问中明确了三种跨境提供行为,这中间还包括跨境传输方式。同时考虑到数据的非占有属性,因此“跨境提供”本身在技术上不排除“境内存储”。
2.类推解释:“境外存储网络数据”和“向境外提供网络数据”是两个单独行为
《个人信息保护法》没有专对于第四十条规定罚则,但是《网络安全法》有专对于第三十七条规定罚则。《网络安全法》第六十六条分别规定了两个独立的违背法律规定的行为,即“违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的……”。因此,我们说“本地化”和“数据出境”是两个独立的合规控制项,不能简单的等同。
《数据出境安全评估办法》是网信部门发布的部门规章,其中第四条明确规定了四种应当开展安全评估的情形。未落入第四条任一种情况的,即可以不进行安全评估,而适用《个人隐私信息保护法》第三十八条第一款第(二)、(三)、(四)项出境路径。网信办在《数据出境安全评估办法》答记者问中也明确了上述观点。
大家在实务中很大的一个困惑,就是《个人隐私信息保护法》第四十条第一句与第二句之间到底是啥关系?第一句是第二句的前提,还是第二句是第一句的例外?
在《个人隐私信息保护法》中,主要有如下两种例外的立法技术,但是第四十条均未采取该种处理:
(1)同段落中后置“除外条款”,之间用分号隔开。例如第十六条、第二十六条、二十七条。
既然第四十条并未采取典型的例外条款的立法技术,我们大家都认为第二句就不是第一句的例外条款,即不能用“通过出境安全评估”排除“存储在境内”的适用,因此,即便“通过出境安全评估”的,也不能直接传输出境,仍应当满足“存储在境内”的合规要求。
此外,从之前文义解释的角度,第二句采用的是“确需向境外提供的”,而不是“确需存储在境外的”,文义上两者也不具有同一性,逻辑上也不能简单的理解为否定适用。
准确理解我国的网络安全法、数据安全法和个人隐私信息保护法很重要的一个前提,就是要准确理解这些法律及规范背后的立法目的。
《个人隐私信息保护法》不单单是一个民事权益保护法,数据本地化和数据出境制度还有他背后的主权、安全及资源目的。
考虑到《个人隐私信息保护法》第四十条规制的主体类型已经做了限缩,同时考虑到该等主体处理的个人信息(因为敏感性和数量级)可能会转换为重要数据(例如,参照《汽车数据安全管理若干规定(试行)》),因此这一些数据承载了更高的主权、安全和资源目的。
因此,如果第二句的“通过出境安全评估”就排除第一句的“存储在境内”的合规控制项的话,显然不符合数据主权目的(无法确保控制力)、数据安全目的(无法确保数据质量,也无法确保业务连续性因地理政治学事件等因素中断后的境内重建)和数据资源战略(中国好不容易建立起来的数据资源流失,数据资源壁垒丧失)。那么,出境安全评估制度能不能起到“水龙头”的作用,进而抵销上述风险担忧呢?实践中可能弥合部分安全目的,但很难弥合主权目的和资源战略担忧,否则就会导致出境安全评估“一刀切”、“全否定”,制度价值名存实亡。
在立法文义不明确的情况下,很多时候使用限缩解释和扩张解释方法。但是,使用扩张解释技术,必须以文本为基础,尊重立法目的,且例外规定应作严格解释。
即,如果要将第二句扩张解释为第一句的例外,不仅违反了立法之时的特殊价值考量,而且违背了一版规定和例外规定的关系。因为,例外规定本来就是某种特定情况的特殊规则,没明确的限定和严格的文义支持(例如“但是”、“除外”、“不适用”等),必须作限缩解释。
法律本身不限定技术路径,不会直接规定某个供应商的解决方案合规,但法律会引导和规范技术路径及解决方案背后的价值导向。
因此,在未出台有权立法解释或监管指引之前,企业选择的数据出境技术路径或解决方案,不论是先存储在境内再传输至境外,还是先传输至境外再备份至境内,必须契合第2点的立法目的,符合如下立法价值导向,打消监管审批顾虑:
(2)数据质量价值,确保数据质量可控、真实完整,维护国家数据资源战略,确保企业能够有效配合境内执法活动;
(3)数据权益价值,即便是在数据跨境传输因特殊原因中断的情况下,仍能保护个人查询、复制等合法权益,确保企业业务连续性,等等。