安全、“重要数据”与中国法院†
《数据出境安全评估办法》(“《办法》”)自9月1日起实施,预计将引发一系列由国家互联网信息办公室(“网信办”)进行的安全评估。任何“数据处理者”计划将其在中国境内运营中收集和产生的“重要数据”和“个人信息”出境到其他国家,都必须遵循一个程序,让网信办(必要时会同有关部门或专门机构)决定该数据处理者是否通过了安全评估。
如果未能通过安全评估,数据处理者可以向网信办申请复评,而根据《办法》,复评结果为“最终”结论。数据处理者是否可以在法庭上质疑网信办的复评决定?正如下文所讨论的,答案是“可以说是”且中国政策制定者应欢迎这种类型的司法审查。
司法审查网信办的“最终”复评决定?
除一些例外情况外,中国《行政诉讼法》一般授权法院审查行政机关作出的“行政行为”的合法性。《行政诉讼法》明确将“法律规定由行政机关最终裁决的行政行为”(强调后加)排除在司法审查之外。最高人民法院在相关的司法解释中明确,前文所称“法律”是指“全国人民代表大会及其常务委员会制定、通过的规范性文件”。
由于《办法》是由网信办而非全国人民代表大会或其常务委员会制定并通过的,《办法》中关于网信办的复评决定为“最终”的表述,不能使这些决定被排除在司法审查之外。而《行政诉讼法》中规定的其他排除事项所涵盖的专题,与此文无关。
《行政诉讼法》除了明确规定司法审查的排除范围外,还有一条列出了一个清单,指出法院有权“受理”哪些司法审查诉讼。列举的诉讼类型包括法人主张其“经营自主权”受到侵犯或行政机关滥用行政权力排除或者限制竞争的诉讼。鉴于此清单,对网信办复评决定提出质疑的数据处理者,必须证明该决定侵犯了其合法权益且该诉讼属于法院可以“受理”的类型。
法院与关键概念
基于以上分析,数据处理者一旦满足相关法律的要求,他们应可以对网信办的复评决定寻求司法审查。但更重要的问题是:这种司法参与是否应该受到中国政策制定者的欢迎?考虑到中国政策制定者一直努力探索与数据保护相关的关键概念的定义,答案是肯定的。
- “重要数据”
《办法》的基础是一个关键概念:“重要数据”。《办法》第十九条规定,“重要数据”是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。这个相当模糊的定义反映了中国政策制定者仍在探索“重要数据”一词的定义。自2017年中国《网络安全法》(也有“重要数据”一词)生效以来,中国政策制定者已经发布了多份文件,就如何定义“重要数据”征求公众意见。到目前为止,最主要的方法似乎是针对特定行业和特定地区来对该词作出定义。
这种寻求具体性且以特定行业或地区作为基础的方法,意味着法院的专长——通过具有高度具体事实模式的个别案件逐步锐化抽象术语的定义——可能会有所帮助。正因如此,应欢迎对网信办复评决定进行司法审查。法院可以借鉴丰富的案例和司法解释等相关资料,加深对数据安全背景下“经济运行”、“社会稳定”、“公共健康和安全”等术语的理解。
- “相关市场”
如果中国政策制定者仍然怀疑法院是否能协助寻找“重要数据”一词的更明确定义,他们不应该忘记,当中国《反垄断法》中的一个关键概念“相关市场”在互联网业务背景下的定义尚不明确时,指导案例78号(《北京奇虎科技有限公司诉腾讯科技(深圳)有限公司、深圳市腾讯计算机系统有限公司滥用市场支配地位纠纷案》)提供了一些说明。
我邀请了John M. Walker, Jr. 法官(美国联邦第二巡回上诉法院资深巡回法官、该院首席法官(2000-2006年))就指导案例78号发表评论。在题为“在《奇虎诉腾讯案》中,中国最高人民法院为数字时代提供反垄断洞见”一文中,Walker法官写道:
该判决反映了[最高人民法院]在考虑科技领域的市场定义和市场支配力这两个问题时审慎的分析思路。中国国内外的法学家会认同这一思路是很有用的。
《奇虎诉腾讯案》是一个典型例子,说明新通过的立法中的一个关键词导致了一定程度的不确定性以及法院如何填补立法空白。执行《反垄断法》的规定很大程度上取决于“相关市场”一词的定义。该法本身对该词没有作出明确定义,更没有说明其如何应用于新型业务。《奇虎诉腾讯案》表明,中国法院能够就法律术语和概念的适当解释进行此类针对事实的调查。因此,涉及“重要数据”等术语的司法审查案件,同样可以为中国数据安全新办法的施行发挥建设性作用。
† 此文章的引用是:熊美英博士,安全、“重要数据”与中国法院,丝络谈™,简讯20号,2022年8月31日,https://sinotalks.com/inbrief/2022w35-chinese-data-security。
此文章的英文原文由Nathan Harpainter编辑。中文版本由作者翻译。载于本文章中的信息和意见作者对其负责。它们并不一定代表丝络谈™的工作或意见。