网安法第37条背景下的境外证据开示与数据出境问题
数据隐私和网络安全
专栏
作者:冯坚坚 胡科 朱菁
本文首发于威科先行法律信息库
导言:
在中国企业海外投资、境外上市浪潮不断高涨的背景下,中国企业在境外面临诉讼、仲裁的风险也显著增加,其中英美法系国家采取的证据开示制度(Discovery)给中国企业带来了很大的挑战。在以往面临境外证据开示时,一些中国企业曾试图以《中华人民共和国保守国家秘密法》作为依据提出异议并说服外国法庭或仲裁庭缩小相关证据开示的范围,又或请求法院允许按照《海牙取证公约》[1]进行取证,成功和失败的案例均有。《中华人民共和国网络安全法》(以下简称“网安法”)生效后,其中第37条对于“个人信息”和“重要数据”的跨境传输做出了相关规定,也使得中国企业日后在面临境外诉讼或仲裁中的证据开示时,增加了一个需要考虑的角度。
关键词:证据开示 个人信息 重要数据 跨境传输
中国企业的境外证据开示(以美国为例)
证据开示制度是英美法系国家的一项特色制度,鲜见于大陆法系国家,其表面似与国内法院主持的证据交换程序相类,但实则不然。以美国为例,其证据开示程序所涉及的范围广度、深度和程序之复杂,远超中国公司在国内诉讼时所习惯的证据交换程序。未经历过在美诉讼的中国公司往往会惊讶于证据开示程序所需耗费的时间、精力和费用,甚至会认为证据开示程序是对公司和管理层内部事务的窥探[2]。
1. 高昂的成本
进入互联网和大数据时代后,公司内的大量信息和资料均以电子数据形式存在且呈爆炸式增长,而昂贵的电子证据开示已经成为近年来推高美国民事诉讼成本的最重要因素之一。根据美国著名智库兰德公司在其官方网站公布的调查数据[3],一个案件平均的电子证据开示成本在180万美金左右,金额最高的可达2700万美金。在这些成本中,律师成本约占70%,第三方服务商成本约占26%,企业内部成本约占4%。这些高额的证据开示费用常常令在美国面临诉讼的中国企业咋舌。
2. 证据开示程序的效力和影响
美国法院将证据开示视为一种工具,旨在“使诉讼成为一场关于最大限度披露基本问题和事实的公平竞赛,而不是一场盲人虚张声势的游戏”[4],所以美国法官通常会全面看待证据开示的信息,而不愿限制诉讼当事人或第三方必须出示信息的范围。《美国联邦民事诉讼规则》(“联邦规则”)允许一方诉讼当事人从对方当事人手中取得除律师与客户间的特许交流文件外的相关文件来支持己方的诉求或抗辩,纵使这些证据将对提供方带来不利后果[5]。这些证据的常见形式包括应对方要求而提供的书面证据、通过庭外证人证言形成的口头证言,以及通过回答书面质询形成的书面证言。
此外,让很多中国企业常常措手不及的是,即使作为并非诉讼原、被告的第三方也可能受制于美国法院的证据开示程序。如果中国企业在美国拥有资产、分公司或者关联企业,或在美国境内开展业务,或前往美国,则都可能会被视为处于美国法院的管辖范围内。
履行有关证据开示的请求或依传票要求出庭具有强制性效力,若未能履行该等义务,将可能会产生民事甚至是刑事责任。此外,若诉讼当事方未能完成证据开示的要求,法院可能会因此作出不利于拒绝披露方的推论,对当事方自身的主张产生不利影响。
3. 中国企业过往对证据开示程序提出异议的角度
中国企业过往在美诉讼面临证据开示要求时,通常会考虑尽量要求法院适用《海牙取证公约》的规定来限制信息披露的范围,以及避免因披露信息而违反中国法律的风险。但由于通过《海牙取证公约》进行取证的周期较长(通常在6到12个月),美国法院通常认为其费时、昂贵和低效而倾向于不予适用。而关于披露信息而违反中国法律的风险,过去中国企业主要考虑的角度主要是主张其被要求披露的信息可能包含了国家秘密(《中华人民共和国保守国家秘密法》)、商业秘密或银行秘密,如果披露,可能在中国面临现实的法律责任。但从实际效果来看,这些主张要取得境外法院认可具有相当的难度[6]。
网安法第37条——在面临境外证据开示时需要考虑的新角度
网安法第37条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
虽然在网安法出台前,我国已经有了若干针对具体行业的数据本地化存储或跨境限制的规定,包括国务院2013年出台的《征信业管理条例》,国务院2015年出台的《地图管理条例》,原国家卫计委 2014年出台的《人口健康信息管理办法(试行)》,中国人民银行2011年出台的《关于银行业金融机构做好个人金融信息保护工作的通知》,国家新闻出版广电总局、工业和信息化部2016年出台的《网络出版服务管理规定》,交通部、工信部、公安部、商务部、工商总局、质检总局、国家网信办2016年出台的《网络预约出租汽车经营服务管理暂行办法》等。但是这些规定最高的立法层级也不过是行政法规,其余多为部门规章,在境外证据开示时即使作为异议依据提出,其说服力也非常有限。而网安法作为《立法法》意义上的真正法律,第一次对数据本地化存储和跨境传输做出了跨行业的高效力层级的法律规定,且具备明确的法律责任[7],其配套规范文件随着相关立法工作的逐步实施也日渐完备。
根据洪延青博士《构建数据跨境流动安全评估框架:实现发展与安全的平衡》[8]文中的观点,在数据本地化存储和数据跨境传输问题上,一国的立法应当尽力实现以下三个层次的目标:数据安全、个人信息保护、国家层面的数据保护。而网安法及其配套规范文件主要也是围绕这三个层次对数据跨境传输问题作出了一系列的限制和规定(详见本文第三部分)。
中国企业如因境外证据开示程序向外国法院或者仲裁庭提供包含大量个人信息和重要数据的证据,很可能受到网安法第37条及相关配套规范文件的规制。正是基于此,在网安法生效实施后的部分境外诉讼及仲裁中,中国企业已经开始在证据开示程序中以网安法第37条及其相关配套规范文件(包括征求意见稿)作为依据来提出异议,要求对被要求披露的信息在中国国内事先进行评估或者编辑修订(redaction,指将披露范围内含有个人信息或者重要数据的内容进行匿名化处理或者删除)。而考虑到网安法的效力层级且具有明确的法律责任,国外法庭或仲裁庭一般都会慎重考虑中国公司方面以此提出的异议和请求。
我国目前数据出境规则(含征求意见稿)的简要梳理
2017年是我国信息安全年,不仅网安法生效施行,还陆续出台了GB/T 35273—2017《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”),《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《评估办法》”)以及《信息安全技术 数据出境安全评估指南》(征求意见稿)(以下简称“《评估指南》”)等规范,均对数据出境进行了不同程度、区分侧重的监管。分析其中规则,其本质将数据出境分为三个层次:
据上表,第一层次公开信息包含政府、个人和企业等各组织公开的信息,实践中可通过是否可以从公开渠道访问、获取来判断,较为容易理解。而第三层次的禁止出境信息也有相关法律法规明确规定,比如《中华人民共和国保守国家秘密法》等。因此,本文对该两者不作赘述,而是对位于第二层次的个人信息和重要数据展开重点讨论。
1. 何为数据出境场景下的个人信息和重要数据?
根据近年出台的相关法律法规,对于个人信息和重要数据的把握主要有两点,关注内涵以及明晰来源。
首先,关于个人信息和重要数据的内涵,《评估指南》第3.3和3.5条,以及《个人信息安全规范》均有作出相应解释和阐述。简而言之,个人信息是指能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息;重要数据则是指不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据。
其次,关于个人信息和重要数据来源,《评估指南》提出了一项重要前提条件——境内运营收集和产生。根据《评估指南》,境内运营指网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。[9]同时,《评估指南》作出进一步解释:
未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的,属于境内运营;
中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。
由此可见,境内运营的核心不是网络运营者的注册地是否在境内,而是网络运营者提供的产品或服务的对象是否在境内。换而言之,以种树卖果为例,就是果树栽在哪不重要,重要的是果子都卖向哪了,就是在哪运营。
另外,《评估指南》进一步指出,若个人信息和重要数据非因境内运营收集和产生,关于其的“数据出境”,无论是否经过加工处理,均不视为我国需监管的数据出境。[10]仍以种树卖果为例,小X在A国种树结果,在B国卖果子,期间在B国收集了当地客户的信息后传送至A国分析,重新排列组合后形成B国客户喜好表重新发送至B国用于营销。在此过程中,客户信息从B国传到A国属于我国规定的数据出境;从A国传回B国则不属于我国规定的数据出境。
2. 个人信息和重要数据如何出境?
如前文所述,个人信息和重要数据位于第二层次,属于限制出境类目。所谓限制出境,即是指个人信息和重要数据原则上不得出境,但确有需要的经合法程序可以出境。如此则迎来第二个问题——如何出境?
关于如何出境,首先要理解何为数据出境。根据《评估指南》3.7,数据出境的情形主要有下列三种[11]:
向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据,比如驻华使领馆等。
数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外)。
网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
《评估指南》指出的三种数据出境情形,较为全面的覆盖了实践中可能涉及数据出境的情形,其中需注意的是第二点“被境外的机构、组织、个人访问查看也属于数据出境”。在微软海外数据案[12]中,政府一方曾主张搜查令只要求微软在美国境内作出一定的操作,并在美国境内向政府披露数据,以试图规避他国数据出境的问题[13]。但根据我国规定,此举也属于数据出境,故我国企业在面临相似情形时需慎重对待。
明白何为数据出境,那么究竟如何出境呢?根据我国相关法律法规,对于需要出境的个人信息和重要数据应当经相应评估程序。
《网络安全法》第三十七条即指出,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,因业务确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。其后,2017年4月发布的《评估办法》第二条,将需经评估的范围扩大至网络运营者(不再限于关键信息基础设施的运营者)境内运营收集和产生的个人信息和重要数据。[14]《评估指南》沿用了这一提法。
关于评估程序,《评估指南》规定了两个层次,企业自评估和主管部门评估。首先,企业需对所有限制出境的个人信息和重要数据应采取自评估程序,建立数据出境安全自评估工作组,数据出境计划以及完成安全自评估报告[15];其次,若企业数据出境涉及下列情形的,需经国家网信部门、行业主管部门等主管部门评估[16]:
关键信息基础设施运营者开展的安全自评估;
一年内出境的个人信息数量达到国家网信部门、行业主管部门上报要求的,比如含有或累计含有50万人以上的个人信息,或数据量超过1000GB;
包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境敏感地理信息数据,以及其他重要数据的;
涉及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息的;
其他可能影响国家安全、经济发展和社会公共利益的。
最后,需提醒中国企业注意的是,在展开数据出境评估工作时,涉及个人信息出境应先取得用户的同意。《评估指南》将个人信息主体的同意纳入评估要点之一[17],且此处的用户同意应当为明示同意[18]。
肆
由此带来的变化和不确定性
从前述分析和归纳中可以看出,网安法第37条及相关配套规范文件,一方面为中国企业在海外面临证据开示要求时,提供了一个新的抓手来缩小信息披露的范围;另一方面也为企业增加了必须从个人信息和重要数据角度对其拟提供证据进行筛查和后续数据出境评估的义务,而怠于履行该义务可能使中国企业在国内面临承担网安法第66条规定的相关法律责任的风险。但考虑到《评估指南》和《评估办法》仍均为征求意见稿,以及海外法庭、仲裁庭对以个人信息、重要数据的出境限制作为证据开示程序异议理由的接受程度有待更多观察,我们认为仍然存在下列不确定性:
1. 关于网安法第37条原文中“因业务需要,确需向境外提供的”如何理解适用的问题。按照《评估指南》5.1的规定,数据出境计划中出境目的应同时满足合法性、正当性和必要性的要求。而其中的“必要性”包括以下任一种或几种情况:
1) 履行合同义务所必需的;
2) 同一机构、组织内部开展业务所必需的;
3) 我国政府部门履行公务所必需的;
4) 履行我国政府与其他国家和地区、国际组织签署的条约、协议所必需的;
5) 其他维护网络空间主权和国家安全、经济发展、社会公共利益和保护公民合法利益需要的。
很明显,除非外国法院是按照《海牙取证公约》通过中国司法部和最高院进行证据开示程序,否则中国企业根据证据开示程序跨境提供数据并不在上述必要性的列举情形之中。此时如果不对“必要性”做扩大理解,中国企业进行数据出境评估将面临无法通过的可能。
2. 个人信息出境时的明示同意问题。如前文所述,个人信息在进行跨境传输前须征得数据主体的明示同意,这也是数据出境评估要点中“正当性”的要求之一[19]。但如果中国企业在证据开示中需要提供的个人信息数据量庞大,牵涉到大量用户或数据主体,可能导致征求所有用户同意的成本过高甚至没有实施的可能性。
3. 考虑到目前数据出境评估尚无已经生效的办法和指南(均在征求意见中),部分中国企业在现阶段的证据开示实操中采用了对拟披露信息进行编辑修订(redaction)的方法,即将个人信息删除或做匿名化处理,将重要数据做删除处理,然后将信息提供到境外。但是目前的规范性文件中没有相关操作指南,也没有规定何种机构有资质进行前述编辑修订。
我们倾向于认为,中国企业应当委托具备经验和专业能力的中国律师事务所进行披露信息的编辑修订工作;相比于自行编辑修订,通过律师事务所更容易得到外国法院或仲裁庭的认可。但需要提醒的是,对披露信息的编辑修订本身不应构成实质性的数据出境行为,因此将披露信息的编辑修订工作交给诉讼或仲裁的境外代理律师事务所或其在中国的分支机构以及其他境外律师事务所都是不妥当的。
注释:
[1]全称为《关于从国外调取民事或商事证据的公约》(Convention on the Taking of Evidence Abroad in Civil or Commercial Matters),1970年3月18日海牙国际私法会议签订,1972年10月7日生效。中国、美国均为该公约缔约国。
[2]财新网2013年7月10日刊载文章,《“证据开示”程序——中国公司在美诉讼教训》http://opinion.caixin.com/2013-07-10/100554013.html
[3]原文链接http://www.rand.org/pubs/monographs/MG1208.html
[4]United States v. Proctor & Gamble Co., 356 U.S.677,682-83(1958)
[5]参见《联邦民事诉讼规则》(“联邦规则”)第26条(b)款(i)项。美国法院系统分为联邦法院和州法院两套系统,因为大部分涉及外国当事人的诉讼在联邦法院审理,故本文所述基于联邦规则。州法院诉讼程序规则因各州法律而异。
[6]根据《人民法院报》2016年11月4日所载“美国钓鱼式取证与中国的应对”一文,2015年12月,在美国纽约南区联邦地区法院审理的Gucci America,Inc.et al v. Li案中,中国银行因没有提供由原告申请而被法院所许可的大量银行记录,被法院裁定藐视法庭,并处以每天5万美元的罚款,而这些银行记录很多并非与案件有直接的联系。
[7]《网络安全法》第37条和66条,关键信息基础设施的运营者违反本法第三十七条规定,向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
[8]发表于《信息安全与通讯保密》2017年第2期
[9]《评估指南》3.2
[10]《评估指南》第3.7条。
[11]《评估指南》第3.7条。
[12]2013年12月,美国联邦司法部门签发搜查令,要求微软提供一名用户的邮件信息以协助一起毒品案的调查,但微软以该信息存储于美国境外(爱尔兰)为由拒绝提供,并发起废除搜查令的动议(此事件引发的马拉松诉讼直至2018年3月CLOUD Act修订通过使得该案争议失去意义后,美国司法部才向美国最高院撤回了诉讼)。
[13]《美国Cloud Act法案到底说了什么》,作者:洪延青。
[14]《评估办法》第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
[15]《评估指南》第4.2条。
[16]《评估办法》第九条、《评估指南》4.2.6。
[17]《评估指南》第5.1条。
[18]《评估指南》第3.12条:个人信息主体同意,指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息出境做出明确授权的行为。
[19]《评估指南》第5.1条。
本专栏往期文章
4. GDPR之“用户数据可携权”评析(三) —— “数据可携权”视角下的数据之争
5. GDPR之“用户数据可携权”评析(二) ——“用户数据可携权”实务运用的若干问题
6. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
作者介绍合伙人
021-2613 6221
feng.jianjian@jingtian.com
竞天公诚律师事务所合伙人。
冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员,曾任阿里巴巴特色中国训练营讲师,长期为众多大型跨国企业、大型互联网科技企业提供法律服务,对于互联网新技术与商业模式有独到而深刻的理解。
自2016年开始,冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务,并从2017年网络安全法生效实施后,协助客户应对与网络安全合规有关的政府检查和调查,在公司的网络安全合规和调查应对上积累了丰富的经验。
合伙人
010-5809 1182
hu.ke@jingtian.com
胡科律师毕业于北京大学和加州大学伯克利分校,分别获得法学学士和法学硕士学位,具有中华人民共和国和美国纽约州律师资格。
胡科律师是竞天公诚律师事务所争议解决部合伙人。其执业领域为商事争议解决,尤其擅长跨境商事和知识产权争议的诉讼和仲裁。胡律师经常代理客户处理在中国法院的重大涉外诉讼以及在CIETAC、BAC、HKIAC、ICC、SCC、SIAC等中外仲裁机构进行的商事仲裁案件,涉及公司、股权、中外合资、PE/VC投资、金融、贸易、工程、能源、文化娱乐、技术许可以及外国仲裁裁决或法院判决的司法审查和执行。2018年,他被《法律名人录》认可为国际仲裁领域的"未来领袖"之一。
胡律师是国际商事仲裁理事会(ICCA)-清华大学中国仲裁法律与实践联合工作组成员,国际律师协会(IBA)仲裁委员会成员和IBA ARB 40协调委员会的中国国家代表,中国青年仲裁小组组织委员会成员和YSIAC领导委员会成员。
胡律师的工作语言是中文和英文。
律师
021- 2613 6221
zhu.jing@jingtian.com
竞天公诚律师事务所律师。华东政法大学国际法硕士。自2014年开始执业,执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。朱律师曾参与中国汽车行业的纵向限制问题的调研,对于汽车行业的反垄断合规体系建设及落地有着一定的实操经验。
同时,朱律师还曾先后参与多个新三板挂牌项目、私募基金融资项目、上海股交中心挂牌项目以及企业债项目,在证券与资本市场、并购重组与外商投资方面积累了较为丰富的经验。
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.