1. 问题的提出
2021年8月,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)第38条第1款规定标准合同与安全评估、安全认证,一同构成个人信息处理者向境外提供个人信息的条件;2022年6月,国家互联网信息办公室起草《个人信息出境标准合同规定(征求意见稿)》及其附件《个人信息出境标准合同》,公开征求意见;2023年2月,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称“《办法》”)及正式的《个人信息出境标准合同规定》附件(以下简称“《规定》”),自2023年6月1日起施行。自此,作为我国个人数据出境规则之一,成文标准合同终于出台。
标准合同的核心思想是利用监管机构对合同模板进行严格的限定,从而确保数据发送方和境外数据接收方的行为符合法律的规定和监管部门的要求 [1] 。研究标准合同法律关系,一方面,能够落实《个保法》要求,保护个人信息权益;也能够促进数字经济,回应个人信息出境需求。另一方面,标准合同法律关系的特殊性决定其具有可研究之处,例如与民法之传统合同相比,个人信息出境标准合同兼具公法与私法双重意义。在公法上,国家互联网信息办公室基于《个保法》第38条第1款第3项创制标准合同,是预设内容并强制嵌入个人信息处理者跨境提供个人信息的商事合同中,保障信息安全的部门规章;在私法上,标准合同是个人信息处理者与境外接收方两类平等主体间,因业务等目的,确有必要签订的设立、变更、终止民事权利义务关系的协议。
现有对标准合同的研究,集中于比较法研究,亦有少量对我国标准合同功能的研究。然而,根据法秩序阶层构造论(Stufenbaulehre der Rechtsordnung)1,规则不应仅有法的适用(Rechtsanwendung),还应有法的创制(Rechtsetzung)。因此,本文运用体系解释进行规范分析,将上位法、相关法的根系探入标准合同的血管,从标准合同法律关系2的构成要素——主体、客体、内容三方面展开研究。
2. 标准合同的法律主体
《个保法》第38条规定个人信息出境的法律主体为个人信息处理者、境外接收方,作为38条第1款第3项,标准合同的规制主体亦为个人信息处理者、境外接收方,且《办法》通篇亦以个人信息处理者、境外接收方为适用主体。进而,个人信息处理者、境外接收方又可细分为国家机关、企业、自然人、其他组织等四类主体。《个保法》及《办法》虽未明确四类主体中哪些适用个人信息出境规则、哪些适用标准合同,但根据体系解释,应将标准合同中的个人信息处理者、境外接收方均限缩解释为企业、出境自身或家庭事务相关信息的自然人、非法律、法规授权的其他组织。
另外,标准合同的法律主体还包括信息主体,信息主体原则上是自然人,特殊情况下为自然人近亲属、自然人安排的其他人。
2.1. 国家机关
《个保法》第36条规定:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”,因此,国家机关非标准合同的法律主体,但值得注意:
第一,境内存储是指个人信息的物理存储设备,无论是用来存储个人信息的硬盘,还是云存储服务所对应的远端存储设备,均应当设置在中华人民共和国境内,而不得设置在境外 [2] 。根据《个保法》第4条第2款可知,“存储”与“提供”为两个并列的个人信息处理概念。因此,《个保法》第36条表述的是国家机关处理的个人信息的存储、提供两方面,而非原则上境内存储导致原则上不境外提供。
第二,此处的安全评估并非《个保法》第38条第1款第1项与《个保法》第40条所指的安全评估。后者的安全评估仅限于国家网信部门组织的安全评估,而前者的安全评估则为“要求有关部门提供支持与协助”。换而言之,国家机关为个人信息处理者时,可依法、合理地选择有关部门进行安全评估后向境外提供个人信息。
究其原因,是因为国家机关处理个人信息的数量规模、内容质量等方面,可能都远优于一般个人信息者 [3] ,规定更严谨的出境条件更有利于保障个人信息安全。
此外,《个保法》第41条规定:“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”因此,境外国家机关亦不能成为境外接收方,只能根据第41条向我国主管机关提出申请并获得批准,才能获得个人信息。
因而,不论作为个人信息处理者或境外接收方,国家机关都非个人信息出境规则的法律主体,亦非标准合同的适用主体。
2.2. 自然人
《个保法》第72条第1款规定:“自然人因个人或者家庭事务处理个人信息的,不适用本法。”,即自然人只有在出境自身及家务之外的信息时,才成为个人信息出境规则的法律主体。
一方面,该条规定体现的是“公平信息实践原则”,其要义有二:一是通过法律赋权的方式,授予能力和信息弱势地位的个人以制约、抗衡信息处理者及算法权力的权利或手段;二是对借由“技术赋权”获得信息优势地位的个人信息处理者,设置一些针对性的、严格化的注意义务和法律责任 [4] 。在“公平信息实践原则”中,因个人或者家庭事务处理个人信息的自然人处于信息弱势地位,而非如国家机关、企业等强势的个人信息处理者,因此不成为个人信息出境规则的法律主体。
另一方面,通过梳理《个保法》第72条第1款与第38条第1款,可以得知,出境除自身、家庭事务相关信息的自然人可以成为个人信息出境的主体,其可通过安全评估、标准合同、安全认证或其他3出境个人信息。
然而在实践中,由于大多数自然人天然不具备国家机关、企业、其他组织广泛收集、处理、存储个人信息的优势,其出境的信息数量较少,如若仅由于这些少量信息非与出口方自然人自身或家庭事务相关,便要求其繁琐的出境条件,不利于数据资源的有效使用,在经济学上称为“反公地悲剧”(Tragedy of the Anti-commons)4。与之相反,在乌尔里希·贝克所建构的“风险社会”框架下,风险社会的特征是“人们不再极力追求‘好’,而是尽力避免‘最坏’” [5] 。这在法律系统层面表现为立法者不再追求风险结果的不可发生,而是将风险控制在可接受范围内 [6] 。新生的标准合同初出茅庐,尚未经历风雨,是为该类出境少量个人信息的自然人设置较为宽松的其他出境条件,如仅需获得信息主体的单独同意,还是保持现有的狭窄出口甚至未来更窄,仍待再斟酌。
此外,根据对等原则,如若境外接收国亦给予我国公民有关自身或家庭事务信息的出境便利,那么接收自身或家庭事务相关信息的自然人亦可成为我国境外接收方,如国外留学生回国后获取其留学证明。
2.3. 其他组织
《个保法》第37条规定:“法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。”
第一,虽无国家机关之名,但有国家机关之实,这就是法律、法规授权的具有管理公共事务职能的组织。两者关系犹如行政法中行政机关与授权组织,不可将该组织等同于国家机关,故此单列进其他组织中进行区分。
第二,该条亦侧面说明,有关个人信息的职能只能通过法律、法规授权,不可经过国家机关委托。境内个人信息便是如此,境外提供的个人信息面临更大的风险、更重要的法益,以当然解释之逻辑,法律、法规授权的其他组织自然更不能成为个人信息出境规则、标准合同的法律主体。
2.4. 信息主体
作为非商事合同的任意一方,信息主体本不能成为标准合同的法律主体。但在跨境传输中,个人信息主体易受损害,一旦违约,多难以确定过错方,受害人难以直接向出口方主张救济。引入受益第三人条款,能够突破合同仅拘束进出口方的结构性限制,为第三人直接提供请求权 [7] 。在正式的《个人信息出境标准合同》第5条中,已规定个人信息主体作为合同第三方受益人。
关于信息主体的类型,《个保法》第2条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”,可知,原则上,只有自然人能够成为信息主体。
但是,《个保法》第49条规定:“自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章5规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。”因此,在特殊情况下,自然人近亲属、自然人安排的其他人也可以成为信息主体,享有权利。
3. 标准合同的法律客体
个人信息处理者、境外接收方、信息主体三者间权利义务共同所指向的对象是出境的个人信息。
3.1. 个人信息的概念
《中华人民共和国民法典》(以下简称“《民法典》”)的颁布,是我国首次明确将个人信息权益作为法律保护的对象的法律,区分保护了隐私与个人信息。《民法典》第1032条第2款规定:“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”;《民法典》第1034条第2款规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”。
继而,《个保法》第4条第1款的规定,进一步明确了个人信息的概念和范畴,即“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”。根据特别法优于一般法原则,自此,“可识别性”作为判定个人信息范围的标准。《个保法》也为未来个人信息范围的划定预留了空间,因“可识别性”是一个随着技术发展而动态革新的概念。随着数据分析范围的扩大、数据分析技术的增强、可对比信息丰富,个人信息被识别的可能性也在不断增加 [8] 。
3.2. 个人信息的范围
《办法》第4条规定:“个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:
(一) 非关键信息基础设施运营者;
(二) 处理个人信息不满100万人的;
(三) 自上年1月1日起累计向境外提供个人信息不满10万人的;
(四) 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
法律、行政法规或者国家网信部门另有规定的,从其规定。”
由该条规定可见,标准合同从出境个人信息的种类、数量两方面区分规定了适用标准合同的法律客体。在种类上,适用标准合同的出境个人信息分为一般个人信息、敏感个人信息、非关键信息;在数量上,以人数而非信息数为计量单位,包括不满100万人次、累计不满10万人次(一般个人信息)、累计不满1万人次(敏感个人信息)。
其中,有关“非关键信息基础设施运营者”的解释,《关键信息基础设施安全保护条例》第2条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”简而言之,即关键信息基础设施为重要行业、领域内处理重要数据的设施。
然而,“非关键信息基础设施运营者”更像是对法律主体的限定,但前文所指的出境自身或家庭事务相关的自然人在不适用标准合同的前提下,亦符合“非关键信息基础设施运营者”的身份,存在逻辑错误。那么,为何要排除关键信息基础设施运营者适用标准合同呢?一是从《个保法》第40条来说,关键信息基础设施运营者直接适用安全评估而非标准合同;二是从重要性来说,关键信息基础设施的重要性不是指组成关键信息基础设施的网络设施、信息系统很重要,而是因为关键信息基础设施所支撑的关键业务非常重要。那么,既然在关键信息基础设施运营者所有网络设施、信息系统中,有些网络设施、信息系统对关键业务的持续、稳定运行是至关重要的,有些网络设施、信息系统仅仅是比较重要的,甚至有一些网络设施、信息系统对关键业务是无关紧要的,因此,开展关键信息基础设施边界识别应聚焦一旦遭到破坏、丧失功能或者发生数据泄露,会严重危害关键业务持续、稳定运行的网络设施、信息系统,严格控制范围6。简言之,关键信息基础设施一定由关键信息基础设施运营者来运营,而关键信息基础设施运营者运营的不一定都是关键信息基础设施 [9] 。
因此,既然该条除“非关键信息基础设施运营者”外,均在描述个人信息种类、人次数量的情形,不如将“非关键信息基础设施运营者”改为“非关键信息”。但是,鉴于正式的《信息安全技术关键信息基础设施边界确定方法》尚未公布,而正式的标准合同却已经问世,或许是出于保守、安全考虑,所以暂时搁置这一逻辑漏洞。
4. 标准合同的法律内容
标准合同的规范目标是保障个人信息安全,在法律关系内容上体现为个人信息处理者的义务、境外接收方的义务、信息主体的权利。其中,个人信息处理者的义务为《规定》第2条;境外接收方的义务为《规定》第3条;信息主体的权利为《规定》第5条。
4.1. 个人信息处理者的义务
4.1.1. 告知义务
根据告知的对象不同,个人信息处理者的告知义务可分为对信息主体、境外接收方、监管机构三者的告知。其中,对境外接收方、监管机构的告知义务均基于要求、询问的前提,并非个人信息处理者的主动告知。对境外接收方仅限于即相关法律规定和技术标准的副本的告知;对监管机构仅限于告知有关境外接收方的个人信息处理活动7。
对信息主体的告知义务是告知义务的主要组成部分,包括“仅告知”、“告知+单独同意”、“告知 + 不明确拒绝”、“要求告知”四类8。在域外,告知主体因传输模块而异,而我国未区分数据处理者与控制者,统称为个人信息处理者,因此并无因传输模块不同导致的告知差异。
4.1.2. 评估义务
《规定》第2条第1款第8项规定,个人信息处理者按照相关法律法规对拟向境外接收方提供个人信息的活动开展个人信息保护影响评估,并详细规定了评估的内容。
同为评估,安全评估中的风险自评估与标准合同的个人信息保护影响评估具有相似性。有学者认为,为了增加数据出境安全评估与标准合同制度之间制度定位的区分度,将《办法》第5条中“应当事前开展个人信息保护影响评估,重点评估以下内容”调整为“应当事前自行开展个人信息保护影响评估,重点评估以下风险事项”。其目的是突出个人信息保护影响评估所遵循的方法是风险自评估,由数据处理者先行判断个人信息出境可能存在的风险水平及其危害结果 [10] 。
4.1.3. 其他义务
除告知义务、评估义务外,《规定》中个人信息处理者的义务还有“目的限制 + 数据最小化”的义务、举证义务、合规审计义务等9。
4.2. 境外接收方的义务
较个人信息处理者而言,对境外接收方的义务设置更为繁琐。除与个人信息处理者共有的义务,如目的限制的义务、告知义务、接受监管机构监管义务等等,境外接收方还有其他的目的限制义务、补救义务等等。
4.2.1. 目的限制义务
《个保法》第6条第1款规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”目的限制是个人信息处理的最基本原则,在收集阶段,处理者应有明确目的,使用信息不得违背约定目的,在处理阶段,应限于特定目的处理 [6] 。
目的限制义务可区分为一般规则、豁免规则两类。
其一,一般规则。如遇个人信息处理者相同,境外接收方应限于约定目的、采取对信息主体权益影响最小的方式处理个人信息、境外接收方保存个人信息期限为所必要的最短时间等等。
其二,特殊规则,主要针对境外接收方。如《规定》第3条第1款第8项对信息再传输情形,仍然要履行与原始出境相同的目的限制义务。
4.2.2. 补救义务
基于《个保法》第57条第1款第2项和第2款,在发生或可能发生个人信息安全事件时,处理者应履行补救、减损义务。实践中,进口方更能有效实施补救、减损行为。《规定》中境外接收方的补救义务为:(一) 及时采取适当补救措施;(二) 立即通知个人信息处理者与通知的内容;(三) 依法通知个人信息主体;(四) 记录情况。
4.2.3. 其他义务
标准合同规制的是个人信息处理者提供境外接收方个人信息的权利义务关系,为避免境外接收方后续开展的信息处理业务侵害信息权益,《规定》对一些特殊的处理业务进行了规制。如转委托处理、自动化决策10等等。
4.3. 个人信息主体的权利
因个人信息主体是个人信息安全事件的直接权益受损方,标准合同对信息主体的法律关系内容仅限于权利,而无义务。此外,由于采用个人信息处理者、境外接收方约定的方式赋予信息主体权利,个人信息主体的权利多与上述个人信息处理者、境外接收方的义务相对应,如告知义务–知情权利、赔偿义务–获偿权利等等。
5. 结语
哲学三问为“我是何人”、“来自何方”、“去向何处”。不论是比较法研究,抑或是功能研究,均聚焦于个人信息出境标准合同如何监管个人信息安全,即“去向何处”,有关“我是何人”、“来自何方”的研究寥寥。关注上位法、相关法,运用体系解释进行规范分析,认识标准合同的法律关系是对前两个问题的补充。知其所来,识其所在,才能明其将往。
基金项目
“江苏省社科应用研究精品工程”涉外涉港澳专项课题“‘一带一路’背景下江苏境外园区法律服务的挑战与路径选择”(编号:22SWGA-02)。
NOTES
1法秩序阶层构造论在相对意义上区分法的创制和法的适用,认为中间层级的规则同时呈现出法律创设和法律适用的面向。比较法研究、标准合同自身功能研究均为法的创制,由上位法、相关法来解释标准合同则为法的适用。
2本文所指法律关系是广义的法律,即标准合同作为部门规章,也属于法律范畴。
3兜底条款,并无具体规定。
41998年,由美国黑勒教授提出,指过度设置障碍,导致资源的闲置和使用不足。
5《个保法》第四章,即个人在个人信息处理活动中的权利。
6参见《信息安全技术关键信息基础设施边界确定方法(征求意见稿)》。
7参见《规定》第2条第1款第6、7项。
8参见《规定》第2条第1款第2、3、4、9项。
9参见《规定》第2条第1款第1、10、11款。
10参见《规定》第3条第1款第9、10款。