刑法理论对此问题的立场历经从不知法不免责到不知法可不罚的复杂嬗变,但在解释具体出罪理由时又有故意说和责任说的观念区分。
⑤周黎安:《如何认识中国?——对话黄宗智先生》,载《开放时代》2019年第3期。对国家机构之间的纵向权力关系,因为我国《宪法》第3条第4款有相对具体的表述(中央的统一领导加上地方的主动性、积极性),所以往往不用民主集中制直接指涉。
毛泽东等宪法起草者已经说明,制定民族自治法规等权力是出于灵活性的考虑而设置的,我国《宪法》本身已经另作安排。而后者又常常表现为各行其是,偏离失控。(39)此处借用德国私法的常用概念以更好地说明问题,而并非对其法律性质的判断。钱颖一曾经指出:东欧和苏联的组织结构是一种以职能和专业化‘条条原则为基础的单一形式(‘U型经济)。略作展开时,毛泽东说:共产党员应在民族战争中表现其高度的积极性。
(63)毛泽东:《在听取甘孜、凉山两个自治州改革和平乱问题汇报时的谈话》,载中共中央文献研究室、中共西藏自治区委员会、中国藏学研究中心编:《毛泽东西藏工作文选》,中央文献出版社、中国藏学出版社2001年版,第149页。(34)毛泽东:《论十大关系》,载中共中央文献研究室编:《毛泽东文集》(第七卷),人民出版社1999年版,第32页。(二)权利本位体系下的数据权利保护理论权利本位体系下的数据权利保护理论以欧盟为典型代表。
(四)降低合规成本随着人工智能、大数据等技术的进一步发展,利用法律+科技的手段实现监管与合规的自动化、智能化已经逐渐成为未来的发展趋势。实践中,虽然大部分申报主体在国家网信办进行审核评估期间仍能继续进行数据出境活动,国家网信办对此也予以默认许可,但是这种潜规则的方式缺乏稳定性和可预期性,不利于市场主体正常开展业务。就安全评估、标准合同、保护认证的适用关系而言,安全评估将申报主体限定为处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者。其中,最具代表性的是人类遗传资源信息的出境,根据《人类遗传资源管理条例》,人类遗传资源包括人类遗传资源材料和人类遗传资源信息。
另一方面,行业场景制度由于出台时间跨度较大,且政出多门,即由不同的国家机关起草或出台,背后自然承载了各自不同的利益考量,因而在适用上多有龃龉。第五,《规范和促进数据跨境流动规定(征求意见稿)》与《数据出境安全评估办法》在一定程度上相互冲突。
因此,欧盟GDPR规定了较为严格的数据跨境流动制度。因此,未来的数据出境许可条件的设置应当根据数据处理者的实际情况和合理需求制定标准,从而将监管资源集中于保障真正关系国家安全、社会安全和公民权益的数据出境活动。前者采用私主体商事行为+行政备案的方式,仅要求符合条件的个人信息处理者与境外接收方按照给定的模板签订个人信息出境标准合同并进行备案,在此基础上即可实现个人信息出境,最大限度地促进和保障个人信息依法有序自由流动。在贸易领域,通过一个地方的商品类型、快递物流信息等供应链数据就可以判断出当地的支柱性产业、产品销量、上下游合作方等信息,并可以较为容易地评估当地的经济状况、劳动力状况、产业结构,从而发起精准的经济制裁和封锁,美国早在2019年就已经注意到了供应链数据的重要性及其对国家安全的影响,并采取了一系列保护措施。
同时,对内而言,鼓励行业主管部门、自贸区等积极参与数据跨境制度的制定,根据行业特点、地区特点,因时因地制宜地规范数据跨境流动。通过加入CPTPP、DEPA、RCEP等国际规则,表明了中国政府加快推动数据跨境流动、促进数字经济贸易全面发展、实现数据要素高水平开放的决心,跨境数据流动贸易规制提供了国际合作的基本制度框架,确认了跨境数据自由流动的共同发展方向。涉及金融数据出境的,监管部门可基于国家安全和审慎原则采取监管措施,同时保证重要数据和个人信息安全。但是,由于起步较晚,针对中国网民规模巨大、企业平台众多、产品业态丰富的实际情况,适应法律主体多元、法律关系多样、法律适用场景多变的特点,中国的数据跨境流动无论在理论上还是在实践中,均出现了一些问题与缺陷,尚待进一步完善。
目前,世界各国为抢占数字经济繁荣高地,纷纷制定更加宽松开放的数据跨境流动政策法规,力求夺取数字产业发展先机,从激烈的国际竞争中胜出。这就导致安全评估与标准合同、安全认证的适用关系出现瑕疵,未来应当基于数据主权理论明确安全评估单列且优先适用的法律地位,且只有在数据出境行为及境外数据处理活动会对国家安全产生危害时才能触发。
虽然在实践中由于保安全之达摩克利斯之剑的存在,绕开安全评估和标准合同的行为几乎不会发生,但是在理论上却存在一定的漏洞,暴露出上位法依据不清或缺失所导致的协调性失衡,进而导致制度的适用关系不清。其次,充分考虑行业的安全特性和对数据跨境的正当需求,对于一般数据,原则上应当通过立法明确允许自由流动,提升市场预期和信心。
国际上的数据跨境将迎来新一轮的合作高峰,从而在全球经济低迷的时代背景下促进国际贸易的复苏,提升各国经济发展,同时给中国社会经济的发展带来机遇和启示。但是,中国与欧盟的法律文化不同,在立法诉求上也存在差异,不能照搬欧盟的制度设计,而是应立足本土法律文化与国情,基于中国当前处于数字经济弯道超车的历史机遇期,明确经济发展的巨大需求。进入专题: 数据跨境制度 。由此可以看出,对于既非个人信息又非重要数据的其他类型数据,目前均尚未有应当遵守的出境制度予以规范,处于监管真空状态。同时,安全评估中要求双方签订的具有法律效力的文件在内容上也与标准合同模板相似,实践中申请安全评估的主体多参照标准合同模板制定或修改双方的法律文件。2.境内外配合难度高安全评估中,境内数据处理者需要明确境外数据接收方的境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性,与其订立数据出境相关合同或者其他具有法律效力的文件,充分约定数据安全保护责任义务以及履行责任义务的管理和技术措施、能力等,保障出境数据的安全。
另一方面,要从定量的角度判断危害产生的概率,如虽然一组数据泄露后产生的危害程度为90%,但这种情况发生的可能性仅为0.01%,是否应将其纳入重要数据的范围就有待商榷。在该理论下,安全评估应当处于单列且优先使用的地位,但其适用需要遵循严格的触发条件,即:只有数据出境行为及境外数据处理活动将对国家安全产生危害时才需要进行安全评估,这种规定是国家主权之自保权的体现,当境外数据处理行为危害到本国国家之安全时,国家有抵御外来侵犯之绝对权利,本国对境外数据威胁行为采取防御、处置措施是国家主权作用的当然结果,此为数据保护权。
虽然在总体方向上强调兼顾经济发展与数据利用,在保障安全作为红线与底线的前提下促进数据的跨境流动,统筹兼顾不同领域对数据跨境的不同关切面向,但是在具体制度设计及实践中,中国的数据出境制度却出现了混乱情形,难以在实际操作层面真正实现平衡安全与发展的规制导向,尤以过度注重安全而一刀切的做法最为显著,安全大于天的红线使得保安全的边界不断扩张和泛化,甚至可以压倒一切,反噬并扼杀了数据的创新性利用,从而导致了上文所述的系统性、协调性、国际性和可操作性层面的重重问题。首先,基于数据主权的重要数据识别,应当聚焦国家安全、数据主权面向,明确重要数据与重要的数据之间的关系,避免为了过度追求安全而盲目扩张重要数据的范围。
由于中国的数据出境通用性制度起步较晚,先前有关数据出境的要求多散见于各行业主管部门制定的法规中。但另一方面,数据的跨境流动又与数据主权、国家安全、公共利益、个人合法权益等非经济领域密切关联,甚至会威胁到一国的稳定与安全,致使数据安全与数据自由流动之间关系紧张。
从目前的行业实践情况来看,人类遗传资源信息出境由人类遗传资源信息主管部门进行监管更加有利于跨国科研等业务的开展。《个人信息保护法》继续在上述二者的基础上通过专章对个人信息跨境规则进行了顶层设计,其第3章专门规定了个人信息处理者进行个人信息跨境时应满足的条件和履行的义务,并将个人信息跨境提供划分为三类场景:一是个人信息处理者的业务需要。例如,谷歌公司、苹果公司的海外市场收入占比常年保持在它们总营收的50%甚至更高,亚马逊公司也有差不多1/3的收入来自海外。保护认证则是通过将行政成本转移为市场成本来实现更加灵活的数据出境,增强用户对中小微互联网企业和新兴数字产业的信任感并增加中小微互联网企业的交易机会,避免因盲目追求安全而妨碍正常的数据出境流动。
安全评估、标准合同和保护认证三者看似相互补充并组成了一个完整的制度框架,但在实践中则碎片化严重,相互之间缺乏科学的逻辑设计,暴露出中国数据出境制度在系统性、国际性、可操作性方面存在的短板和待完善之处。只有明确了数据分类分级、一般数据、重要数据以及核心数据等基础概念,才能为相关主体提供合理预期,便于根据不同类别和重要程度采取不同的出境路径和保护措施。
未来,可以参考此类经验制定一系列规则,规范和促进数据通过港澳进行跨境传输的相关活动。因而,美国鼓励全球数据自由流动,要求其他国家和地区降低数据跨境门槛,弱化监管和司法限制,并提出公平信息实践理论。
一方面,应当坚持数据主权和国家安全的底线不动摇。1.部门协调成本较高无论是安全评估还是标准合同,都需要数据处理者首先进行自评估,这就要求对数据出境涉及的业务、数据链路等内容进行梳理和评估,而一项数据出境业务往往涉及技术、法务、管理、业务、营销等多个部门,有的数据处理者也会有多个业务场景需要进行数据出境,这就使得多部门协同配合成为数据出境安全评估申报的重中之重,其配合程度与效率高低将直接决定自评估能否顺利进行。
显然,数据自由贸易理论与数据权利保护理论并不能有效满足中国现阶段的发展需求。预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估。在当前的实践中,中国的数据出境制度与监管力度过于偏向保安全,在具体手段上借鉴了保护基本权利的欧盟制度,如安全评估与欧盟GDPR的核心机制——充分性认定——相类似,需要评估数据流入国家或国际组织的数据保护水平以及其与欧盟的政治关系、经贸关系、法治水平、人权保护等因素,此外,欧盟GDPR也规定了标准合同、第三方认证等制度。《2022年保护美国人数据免受外国监视法案》(Protecting Americans Data from Foreign Surveillance Act of 2022),旨在防止美国公民敏感的个人数据流入恶意的外国实体
同时,在我国,不具备法人地位的国家机关也在功能独立性标准意义上享有实际的法律行为能力,公安机关的派出机构即为典型,由此《公安机关办理国家赔偿案件程序规定》(第2条)才会不得已将派出所所属公安机关列为赔偿义务机关,派出所也就成为承担传递性责任的法律能力主体。但仍需注意的是,要考虑不同国家机关的宪法地位和角色。
因此,该派驻监督活动要充分考虑其国家性和企业性两个方面:对于自主经营权,派驻机构应该予以尊重。例如,对没有配置执法力量的派驻机构,配置留置权则不合适。
(四)监察专员及办公室法律地位:观察与期待监察专员在法律上的地位值得进一步研究。确立该条的最大意义在于,充分实现设置派驻机构的法律目的,即确保一级监察委的职责能够最大程度向被监察对象,尤其是基层延伸,形成多点位的监测机制。
还没有评论,来说两句吧...