中国式的封阻立法

　　不论立法还是实践，对于执法司法目的的跨境调“取”数据还是“防”范境外的数据跨境调取行为，中国的基本立场均是强调主权不容侵犯，坚持应通过主权国家之间的平等互惠合作来开展。【见：数据跨境流动 | “法律战”漩涡中的执法跨境调取数据：以美欧中为例】类似的立场可从见于：

　　《国际刑事司法协助法》

　　第四条　中华人民共和国和外国按照平等互惠原则开展国际刑事司法协助。

　　国际刑事司法协助不得损害中华人民共和国的主权、安全和社会公共利益，不得违反中华人民共和国法律的基本原则。

　　非经中华人民共和国主管机关同意，外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动，中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。

　　《数据安全法》

　　第三十六条　中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

　　《个人信息保护法》

　　第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

　　类似的，数安条例在第三十九条也提出了类似的规定：

　　第三十九条 数据处理者向境外提供数据应当履行以下义务：

　　（一）不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息；

　　（二）不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据；

　　（三）采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；

　　（四）接受和处理数据出境所涉及的用户投诉；

　　（五）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；

　　（六）存留相关日志记录和数据出境审批记录三年以上；

　　（七）国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；

　　（八）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；

　　（九）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。

　　非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

　　强制要求提供 vs. 自愿提供

　　对于上述规定的第一个事项是：上述条文中要求“主管机关批准”，仅针对外国司法执法机关明确提出的数据调取要求，还是同时覆盖境内个人、组织主动向外国司法执法机关提供数据的行为。

　　首先，2018年10月通过的《国际刑事司法协助法》的相关审议情况中可以看到，该条款专门针对外国司法执法机关针对中国境内的机构、组织和个人直接发出数据和信息调取命令的情况，并不包含中国境内的机构、组织和个人在海外应诉时主动且自愿向外国司法执法机关提供数据和信息的行为。

　　在全国人民代表大会宪法和法律委员会关于《中华人民共和国国际刑事司法协助法（草案）》审议结果的报告中，有这么一段话——“有的部门提出，实践中有外国司法执法机关未经我国主管机关准许要求我境内的机构、组织和个人提供相关协助，损害我国司法主权和有关机构、组织和个人的合法权益。为有效应对这种情况，抵制外国的”长臂管辖“要求，建议在草案中增加相关的规定。宪法和法律委员会经研究，建议采纳这一意见，增加规定，非经中华人民共和国主管机关同意，中华人民共和国领域内的机构、组织和个人不得向外国提供证据材料和本法规定的协助”。【http://www.npc.gov.cn/zgrdw/npc/xinwen/2018-10/26/content_2064519.htm】

　　其次，看《数据安全法》和《个人信息保护法》的行文逻辑。《数据安全法》第36条——“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。应当特别注意到第36条两句话并为一段，而非并未分立为两款。因此两句话内容是承接关系。

　　第一句话内容是中国主管机关处理“外国司法或者执法机构关于提供数据的请求”时应当秉持的原则和立场。第二句话顺承地表述了和《国际刑事司法协助法》一样的语句，即面对外国司法执法机关直接调取数据和信息的强制命令时，境内机构、组织和个人应当事先申请并获得中国主管机关的批准。

　　《个人信息保护法》采取了与《数据安全法》几乎一致的行文逻辑。

　　因此综上可以确认，从立法意图上来说，中国法律中的相关条款，主要是为了应对外国政府和司法机构在数据方面的“长臂管辖”——直接且具有强制力地调取存储于中国境内的数据和信息。对于中国境内机构、组织和个人，应对海外诉讼和海外调查时，主动、自愿、不受任何压力地向外国司法执法机关提供数据和信息的行为，似乎并不要求批准。

　　主管机关批准 vs. 数据出境安全管理

　　第二个事项是：主管机关批准和数据出境安全管理的竞合关系。这里面有两个方面的问题：第一个问题，对于境外的强制调取，是否要同时履行数据出境安全义务（无论是安全评估、合同等）和主管机关批准程序，或者后者即可？第二个问题，对于向境外主动提供，如果按照前文分析无需主管机关批准的话，是否要履行数据出境安全义务？

　　首先，从《数据安全法》和《个人信息保护法》中，似乎读不出对于境外的强制调取，需要同时履行数据出境安全义务（无论是安全评估、合同等）和主管机关批准程序的要求。

　　《数据安全法》中，第三十六条出现在“第四章 数据安全保护义务”之中，第三十六条和第三十一条【“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。】是个并列的关系。因此，可以理解为针对不同情形的不同规定。

　　在《个人信息保护法》中，第四十一条出现在“第三章 个人信息跨境提供的规则”之中。但第三十八条有个前置条件——“因业务等需要”。一般来说，境外执法和司法机构的强制调取，不是业务需要的一部分。因此，也可以理解为第三十八条和第四十一条是不同情形的不同规定。

　　第三十八条 个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

　　（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

　　（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

　　（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

　　（四）法律、行政法规或者国家网信部门规定的其他条件。

　　中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

　　个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

　　但在数安条例中，很有意思的是，“非经中华人民共和国主管机关批准，境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”的规定不是独立成条（而且这是否意味着自愿提供也要求批准？）而是放在第三十九条的第二款。而第三十九条第一款是“数据处理者向境外提供数据应当履行以下义务”。

　　应该来说，不是同一个事项的内容，不放在同一个条款之中。因此，似乎可以认为数安条例的立法原意是——对于境外的强制调取，数据处理者需要同时履行数据出境安全义务（无论是安全评估、合同等）和主管机关批准程序的要求。如果是这样的要求，那么就要明确网信部门的数据出境安全评估和主管机关批准程序之间的关系。相信现在已经有组织或个人已经有着厘清上述关系的要求。

　　而对于中国境内机构、组织和个人，应对海外诉讼和海外调查时，主动、自愿、不受任何压力地外国司法、执法机关提供数据和信息，公号君始终认为应当遵守数据出境安全方面的要求。具体来说，应当主动过滤、删减掉明文禁止出境的数据和信息；对于为明文禁止出境的数据和信息，进行数据出境安全评估。数据出境安全评估主要考虑：数据出境的目的、类型、量级、使用目的，数据接收方的安全能力，所在地政治法律环境情况是否会导致数据（非自愿的）二次共享等情况。也就是数安条例和数据出境安全评估办法中规定的评估事项。（完）