数据安全，国之重器——《数据安全法》第三十六条的适用与合规应对

///

本文结合实务经验，重点讨论企业向境外司法和执法机构提供数据的主要场景，为相关企业提供合规应对指南。

作者：陈际红 张国勋 郝竞宇 于楚佳

序言

持续推动数据全球流动的因素有两个，一是经济的全球化，二是产业的数字化及数字化转型。数据的跨境流动及域外存储，会对一国的司法和行政机构的司法和执法行为带来挑战，数据主权的掏空，会伴随着司法和行政主权的掏空。比如，对于案件中存储于境外的数据，一国司法机构往往需要依照国际公约和双边司法协助条约规定的司法协助程序才能调取，时间成本较高，且多有不及。因而，美国为加强本国执法机构对存储于他国的数据的获取能力，于2018年通过了CLOUD Act, 赋予了美国执法机构对存储于他国的数据直接获取的能力。例如，当美国执法机构对一个网络服务提供者启动法律程序，只要该网络服务提供者的公司实体受美国法律的管辖，且其拥有、保管或者控制相关数据，无论网络服务提供者被要求提供的通讯内容、记录或其他信息是否存储在美国境内，该网络服务提供者就需要按照CLOUD Act的规定提供[1]相关数据。

没有数据安全就没有国家安全。2021年9月1日，《中华人民共和国数据安全法》（以下简称“《数安法》”）正式生效。《数安法》第三十一条承继《中华人民共和国网络安全法》（以下简称“《网安法》”）第三十七条的要求，对数据跨境传输机制作出了进一步的规范，初步建立了我国数据跨境传输的一般性监管机制。同时，针对他国执法/司法机构对存储在我国境内数据的近乎肆意的长臂管辖，《数安法》第三十六条应运而生。

根据《数安法》第三十六条，对于外国司法或执法机构调取我国境内存储的数据的请求，中国主管机关将根据有关法律和中国缔结、参加的国际条约、协定处理。未经中国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供前述数据。由此，司法和执法领域的数据出境特殊机制得以形成，亦被称为中国的阻断条款（Blocking Provision）。下文将重点讨论企业向境外司法和执法机构提供数据的主要场景，并提供相应合规应对指南。

1

一

1

主要数据出境场景梳理

实践中，中国企业向境外司法和执法机构提供数据的情况屡见不鲜，按照境外司法和执法活动的属性，可以将其大致分为：行政审批、行政调查和诉讼仲裁三大类。这三类活动基本覆盖了中国企业涉外投资、融资、贸易、合作以及争议解决等各个方面的经济活动。

（一）

行政审批类

此处我们将所有涉及境外行政管理机关实施的行政许可、备案、审查等执法活动均定义为“行政审批”，比较典型的场景涉及国外上市、海外投资中的国家安全审查、海外并购中的反垄断申报、申请国外的进出口许可证、新产品海外市场准入、海关进出口申报、专利申请等等。

【境外上市】中国公司因在境外发行证券或者上市而需向所在国的证券交易所或者监管机关提交财务以及审计资料等。以美国为例，2020年12月美国通过了《外国公司问责法案》（以下简称“HFCAA”），2021年12月美国证券交易委员会（以下简称“SEC”）宣布通过法规修正案，完善了HFCAA相关的信息披露细则。实施细则要求在美国上市的公司遵守美国上市公司会计师监督委员会（以下简称“PCAOB”）的审计标准，接受PCAOB的检查，并需要进一步加强信息披露，其中就包括上市公司的审计工作底稿。审计工作底稿一般包括“业务完成阶段工作底稿”“初步业务活动工作底稿”“计划审计工作底稿”“风险评估工作底稿”“资产类工作底稿”“负债类工作底稿”“所有者权益类工作底稿”“损益类工作底稿”“特定项目工作底稿”等。

对于证券发行和上市而言，美国监管机关审查资料的出发点是确认申请人是否被政府所控制，是否满足美国公众公司的基本要求，是否能保障美国投资者的基本利益。然而，这些工作底稿作为上市公司财务报表以及审计结论的重要支撑，可能包含涉及企业经营成果和财务状况的敏感商业信息，比如供应商清单、客户清单、成本构成、关联交易等。对于特定行业的公司，审计底稿可能还会包括更为敏感的行业信息，例如反映社会经济运行状况、供应链安全、群体健康生理状况、族群特征、遗传信息等数据。

【国家安全审查】中国企业收购美国企业或资产还可能面临美国外国投资委员会（以下简称“CFIUS”）的国家安全审查。按照美国《外国投资与国家安全法》和《2018年外国投资风险评估现代化法案》等法律规定，外国中央或地方政府持有实质性利益的外国投资人收购美国相关TID[2]企业的实质性利益的交易，以及涉及相关TID企业的将关键技术出口、再出口、（境内）转让或再转让给某些外国公司或个人的交易，都需要向美国CFIUS进行强制性申报。申报材料主要有：包括交易性质、交易主体、交易标的、相关金融服务机构在内的交易基本信息；被收购的美国资产信息；交易标的是否涉及美国出口管制、国防产品和服务等相关信息。尽管CFIUS收集这些信息的目的是维护美国国家安全，但是中国企业对外提交的数据中一般会包括高管个人基本信息、身份信息、任职信息、住址信息，企业战略报告、管理制度、董事会决策内容、党组织作用，对企业本身业务的详细介绍，企业与政府、军队的合作与联系，企业所涉及敏感行业的情况等。此类数据涉及个人敏感信息，亦可能涉及国家秘密或重要数据，擅自对外提供有可能危害国家安全。

【出口管制许可】美国对受到《出口管理条例》（以下简称“EAR”）管辖的物项的出口、再出口和境内转移实施许可证管理。即便身处境外，只要再出口和转移的物项属于管制范围，都需要向美国商务部产业和安全局（以下简称“BIS”）申请许可证。申请过程中需要登录BIS的SNAP-R系统填写申报信息，同时上传随附资料。需要申报和提交的资料包括：交易物项的名称、数量、金额、ECCN编码、制造商以及详细的技术指标；中间收货人、最终用户，用途等信息。目前美国对俄罗斯和白俄罗斯实施严格的出口管制措施，中国企业向其出口电信等产品很可能需要向美国BIS申请许可证，提交上述关键数据信息。这些数据很可能会反映我国特定行业和特定产品的技术水平以及特定企业的技术秘密。

【境外通关】在向境外海关办理通关手续时也需要提交大量与境内产品和交易有关的数据。以机电产品为例，进口国海关为了审查确定进口商品的海关编码是否准确，一般要求提供包含产品规格、关键技术指标，功能、用途等对商品归类其决定性作用的资料信息。例如，商品编码为8481.8021.10的“伺服器”，该商品本身属于“导弹及相关物项和技术出口管制清单所列物项和技术”所列的两用物项，其关键性能指标包括一定压强下的流量和作动响应时间等。如果含有这些关键数据的技术资料被提供给进口国海关，将有可能导致我国出口管制关键数据的外流。

（二）

行政调查

行政调查类活动中，最典型的场景涉及出口管制调查、制裁调查、反倾销反补贴调查、外国海关调查等。

【制裁调查】自中美贸易争端以来，美国加强了对中国企业违反其制裁法律法规的调查活动。不少企业接到了来自美国有关部门直接或者间接的调查通知，要求对特定交易提供证据材料。由于美国制裁的领域涉及贸易、金融等各个方面，不同程度的制裁措施涵盖了朝鲜、伊朗、古巴、叙利亚、克里米亚、俄罗斯、白俄罗斯、委内瑞拉等有关国家和地区。受到调查的企业需要披露与被制裁国别、被制裁对象的特定交易，包括中外双方交易主体、交易物项、交流流程和交易渠道的详细信息。

【双反调查】贸易救济调查是在《WTO反倾销协定》、《WTO补贴与反补贴措施协议》以及《WTO保障措施协定》框架内，由外国行政机关开展的行政调查执法活动，其调查的结果是确定是否对中国出口产品加征特别关税。中国企业在接受外国政府的贸易救济调查过程中要对外提交大量本公司的内销、出口和成本数据，有时甚至要提供相关行业的数据。在涉及市场经济地位以及关联公司的调查过程中，有些国家要求中国企业提供股东以及董事、监事和其他高级管理人员在其他公司的兼任职情况，党员身份情况，甚至过去多年的任职经历；在反补贴调查中，外国调查机关往往要求中国企业特别是国有企业提供土地证明材料，相关地区的水电价格，国家对特定领域的产业政策；反倾销调查中，需要对外提供包含数量、金额、价格等关键信息在内的内、外销逐笔信息和成本数据，在钢、铝等原材料案件中难免会涉及国内特殊客户的敏感业务，有些敏感的化工品还会涉及出口管制问题，甚至会涉及关键基础设施运行或敏感领域工业生产的重要数据。实务中，这些数据全部由应诉企业直接提供给外国调查机关，往往并未经过任何审查或评估程序。

【美国海关强迫劳动调查】去年12月23日，美国总统签署所谓的《强迫劳动法案》后，美国海关与边境保护局（以下简称“CBP”）对来自中国的部分商品签发暂扣令，暂停进口通关，限时要求美国进口商向其提供进口商品的供应链溯源信息。表面看起来，向CBP提交数据的是美国进口商，但事实上需要中国出口企业收集、整理，向境外提供。需要特别说明的是，在所谓强迫劳动法案项下，CBP要求对输美商品的供应链进行极限溯源，提交的数据中包括产品BOM表、产品成本构成、供应商清单、员工个人信息、薪资水平、日常活动记录等大量敏感数据和个人信息，而中国企业直接向美国海关提交涉疆信息或与我国反对外国歧视性制裁措施的政策相违。

（三）

司法诉讼

中国企业在境外参加民商事诉讼和仲裁程序必然面临对外提供证据的问题。目前，仲裁机构是否属于《数安法》相关条款所指的“司法和执法机构”尚需明确，我们的讨论聚焦在境外诉讼。

在普通法系国家的诉讼程序中，证据开示（discovery）的范围较广，对抗的双方会尽可能的收集和使用有利于己的证据。以美国为例，根据联邦民诉规则（Federal Rules of Civil Procedure）,双方当事人必须主动向对方当事人出示与请求有关的任何信息。即一方当事人利用证据开示制度可以要求对方当事人提供任何信息，除非该方所要求的信息与案件毫不相关或对另一方造成过分负担，或该等信息属于保密特权信息[3]。

对外提供的证据资料从类型上主要是书证、物证、证人证言、鉴定意见等，这些资料基本都以电子数据的形式对外提供。例如涉及专利权、技术秘密的跨境诉讼中，当事人会对外提交大量证明产品特征、技术指标的书证材料和鉴定意见；再比如涉及管制产品出口的贸易跨境诉讼中，当事人有可能对外提交涉及出口管制方面的敏感信息和数据。这些都有可能详细披露我国在特定行业或领域的技术水平和管制政策。

1

二

1

企业的合规应对指南

首先，《数安法》第三十六条所规范的向境外司法或执法机构提供数据的行为，其本质仍属于数据跨境传输。这意味着虽然该行为需受《数安法》第三十六条的规制，履行数据出境前向主管机关报批的特殊义务，其亦需受《数安法》第三十一条和《个人信息保护法》（以下简称“《个保法》”）第三十八条的规制，履行数据出境的一般义务。下文将从数据出境的一般义务起进行介绍，探讨企业向境外司法或执法机构提供数据前应履行的义务。

（一）

数据出境的一般义务

对于数据出境的监管，《网安法》第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”该条确立了关键信息基础设施运营者（以下简称“CIIO”）数据本地化、出境需安全评估的基本制度。

《数安法》第三十一条重申了《网安法》第三十七条对CIIO的要求，并增加了对其他数据处理者的要求，即“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”参考《数据出境安全评估办法（征求意见稿）》（以下简称“《办法》”）的规定，我们理解，只要跨境数据中包含了重要数据，无论数据处理者是否构成CIIO，都会触发安全评估义务。

除对重要数据的管理外，《个保法》就个人信息的跨境提供设置了专门规则。根据《个保法》第三十八条的要求，对于涉及到中国境内个人信息出境的情形，需要满足如下条件之一：（1）通过国家网信部门组织的安全评估；（2）经专业机构进行个人信息保护认证；或（3）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利义务。《办法》第五条要求数据处理者在向境外提供数据前，应事先开展数据出境风险自评估。第四条则要求若出境数据中存在重要数据或数据处理者处理个人信息达到一百万人的，或累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息的，需要向国家网信部门申报数据出境安全评估。具体申报评估判断标准及申报评估流程可以参见下图。

图一：申报评估判断标准

图二：申报评估流程

（二）

数据出境的特殊义务

根据前文对《数安法》第三十六条所覆盖场景的介绍，我们可以看出，执法/司法领域的数据调取虽然分为了行政审批、行政调查和诉讼仲裁等三类，但从企业是否可主动且不受压力的应对的角度进行判断，可大致分为两类：主动配合与强制调取。

在主动配合中，企业可以自行决定是否提供，拒绝提供相应数据不会造成罚款或制裁等重大不利影响；而拒绝强制调取数据的命令或证据调取令时，可能会带来罚金、业务禁止等处罚。企业可主动而不受压力地配合的场景主要包括：申请国外的进出口许可证、新产品海外市场准入、专利申请、国外诉讼程序中的主动起诉或主动提交证据等。而强制调取则包括海外投资中的国家安全审查、接受PCAOB对上市公司审计底稿的检查、出口管制调查等。

从《数安法》第三十六条的立法目的出发，由于司法权、行政执法权是国家权力的重要组成部分，无论是本国司法机关、行政执法机关调取存储在国外的数据，又或是外国司法机关、行政执法机关调取存储在本国的数据，均需遵循国家主权原则，通过国际法框架下的司法协助、行政执法协助进行。因此学界有观点认为，《数安法》第三十六条主要的立法用意在于针对前文所述一些国家绕开国际司法协助、行政执法协助，通过制定国内法案赋予本国司法机构、行政执法机构强制调取海外数据权力的行为，通过设置前置审批的机制，阻断他国的域外管辖能力。

而对于主管机关批准的机制，根据2022年4月2日公开征求意见的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定（征求意见稿）》（以下简称“《上市保密新规》”）相关内容，我们认为已经初见端倪。《上市保密新规》在SEC公布相关中概股公司进入预摘牌名单之后出台，意在应对PCAOB对上市公司审计底稿进行审查的行为。其第九条明确要求为境内企业境外发行证券和上市提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内。涉及对国家和社会具有重要保存价值的档案或档案复制件需要出境的，需办理审批手续。同时，第十条说明证监会、财政部、国家保密局和国家档案局等有关部门建立协作机制，对涉及保密和档案管理的有关事项进行规范和监督检查。据此，我们结合实务判断，具体的主管机关应根据企业所属行业及数据的性质进行综合判断，多部门协同审批应是常态机制。

基于上述，我们给出以下的合规建议：

首先，企业在向境外传输数据前，应首先判断是否属于触发《数安法》第三十六条前置审批义务的场景，企业可对照本文“二、主要数据出境场景梳理”中列举的场景进行初步判断。

其次，针对拟出境的数据，应进行全面梳理，制作数据清单。企业应结合法律法规的要求、国家标准及行业规范的指引，对数据进行分类分级，比如包括国家秘密、重要数据、个人信息（敏感个人信息）、工作秘密、对国家与社会有重大价值的档案资料等。

第三，企业应遵循数据出境一般机制的要求，进行数据出境风险自评估。自评估完成后，若存在触发数据出境安全评估的情形的，企业应向国家网信办申报。

第四，若触发《数安法》第三十六条申报义务的，企业应结合自身业务性质和数据分类分级结果，向行业主管部门同时申报。

若以上的第三步的安全评估和第四步的申报义务同时触发，在实务中能否合并处理，有待有关部门执法程序的进一步明确。

若国家网信办就安全评估（若适用）和行业主管部门就《数安法》第三十六条申报作出允许数据出境的批复的，企业可以据此向境外提供数据。之后，企业要对出境数据的安全保护情况进行关注，确认相关司法机构或执法机构按照其数据调取申请上所述的目的对出境数据进行相应处理。若发现存在数据滥用或泄漏的情况，应及时向国家网信办与相关行业主管部门报告。

 · 结语 · 

随着国际竞争局势的日趋严峻，他国数据强权主义的任意扩张，面对他国执法机构或司法机构任意调取存储在我国境内数据的情形，企业数据跨境提供的合规开展迫在眉睫。

[注] 

[1] A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.  CLOUD Act § 103(a).

[2] TID:“关键技术”（Critical Technology）、“关键基础设施”（Critical Infrastructure）或“敏感个人数据”（Sensitive Personal Data）

[3] FRCP R26（b）

 作者简介

陈际红  律师

北京办公室  合伙人

业务领域：知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法

特色行业类别：金融行业, 通讯与技术

张国勋

北京办公室  高级顾问

业务领域：贸易合规和救济, 反垄断和竞争法, 海关和进出口

特色行业类别：通讯与技术

郝竞宇  律师 

北京办公室  合规与政府监管部

于楚佳

北京办公室  知识产权部

作者往期文章推荐

《<商务部关于两用物项出口经营者建立出口管制内部合规机制的指导意见>简析》

《投资并购交易中贸易合规尽职调查的必要性与重要性》

《保护中国企业权益，遏制域外管辖权滥用——解读2021商务部1号令》

《美国出口管制与经济制裁执法2020年度回顾》

点击“阅读原文”，可查阅该专业文章官网版。