跨境数据合规 | 浅析中国企业对美国司法和执法机构调取跨境数据的法律应对
中国出海企业在进行对外投资、国际贸易、跨境电商以及涉外诉讼中,可能会被外国司法和执法机构要求提供境内数据,但中国企业主张我国对数据出境行为的相关阻断规定作为抗辩时却多不被采纳。面对此种两难境地,本文结合美国法院近期判例,解析中国企业应对美国等外国司法或执法机构跨境调取数据的相关法律问题。
1. 数据出境行为
2022年8月31日正式发布的《数据出境安全评估申报指南(第一版)》将数据出境行为具体描述为:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。
2. 对外国司法或执法机构跨境调取数据的规则
《中华人民共和国数据安全法》(以下简称“《数安法》”)第36条与第48条第2款规定,未经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据,除非我国缔结或者参加的国际条约、协定另有规定;如有违反,根据所造成的后果严重程度,承担相应的行政责任,包括不限于警告、罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。
《中华人民共和国个人信息保护法》(以下简称“《个保法》”)第41条及66条对向外国司法或者执法机构提供个人信息的行为规定了审批要求,要求个人信息处理者向外国司法或者执法机构提供存储于中国境内的人个信息,应当经中国主管机关批准,除非我国缔结或者参加的国际条约、协定另有规定(与《数安法》第36条等合称为“阻断条款”);如有违反,根据所造成的后果严重程度,承担相应的行政责任,包括不限于罚款、暂停或终止相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。
2022年6月24日司法部发布《国际民商事司法协助常见问题解答》,明确回应位于中国境内的证据材料如需出境,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。
我国司法和执法领域的数据出境阻断条款 | |
《数据安全法》 | 第36条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 |
第48条第2款:违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 | |
《个人信息保护法》 | 第41条:中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。 |
第66条:违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 | |
《证券法》 | 第177条:国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理。 境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。 |
第214条:发行人、证券登记结算机构、证券公司、证券服务机构未按照规定保存有关文件和资料的,责令改正,给予警告,并处以十万元以上一百万元以下的罚款;泄露、隐匿、伪造、篡改或者毁损有关文件和资料的,给予警告,并处以二十万元以上二百万元以下的罚款;情节严重的,处以五十万元以上五百万元以下的罚款,并处暂停、撤销相关业务许可或者禁止从事相关业务。对直接负责的主管人员和其他直接责任人员给予警告,并处以十万元以上一百万元以下的罚款。 |
(1)2021年12月,美国总统拜登签署所谓的《涉疆法案》,要求涉及特定行业的中国企业向美国海关与边境保护局提供进口商品供应链中的相关数据,该数据可能被认定为“重要数据”1;
(2)中国公司申请在境外上市需要向外国的监管机构提交财务以及审计资料等,其中可能涉及我国“重要数据”;
(3)中国企业在境外参加民商事诉讼,面对普通法系国家诉讼制度,尤其是美国的证据开示程序2而被要求提供证据材料,证据材料基本以电子数据的形式对外提供,其中可能含有“敏感个人信息”3。
中国和美国均为《关于从国外调取民事或商事证据的公约》(以下简称“《海牙公约”》)签署国,《海牙公约》理论上适用于中美跨国诉讼。但在美国司法实践中,美国法院通常认为,由于中国当事人通过《海牙公约》处理和执行境外司法机构提出的证据开示请求的效率过低,致使《海牙公约》无法成为证据开示的合理方式,因此在美涉诉的中国企业仍然被要求遵守美国民事诉讼法的规定,跨境提供包括个人信息及数据的案涉证据;未履行该义务的,可能被追究民事甚至刑事责任4。
同时,对于当事方援引中国阻断条款拒绝提供涉外证据的,美国法院近期在相关案例中亦进行了论证,多数情况下都驳回了以阻断条款为由对证据开示程序的异议。
1. Philips Med. Sys. (Cleveland) v. Buan
2022年初,伊利诺伊州北区地方法院法官Young B. Kim在Philips Med. Sys. (Cleveland) v. Buan案中,论证被告方主张的《数安法》第36条时认为,“被告对该法条的理解将赋予中国的相关主管机关过于广泛的权力,以延迟或阻止美国法院的披露。实质上是允许中国司法机构监督美国法院对中国诉讼当事人所做的披露决定。因此,被告对法律的解释并不能视为中国在不披露特定数据方面的主权利益,而是试图将中国法院介入美国的法律程序中,为中国诉讼当事人带来潜在的利益”5。
2. Cadence Design Sys. v. Syntronic AB
2022年6月,在Cadence Design Sys. v. Syntronic AB案中,中国被告方主张以《数安法》第36条、《个保法》第39条、第41条对证据开示制度进行抗辩,北加州地方法院法官Susan Illston Cadence驳回了该抗辩,理由为:首先《个保法》为新颁布法律,并无配套司法或其他权威性解释,因此其有理由质疑其法律效力;其次法官将跨境提供个人信息需取得个人同意中的例外情形解释为适用于外国法律义务;因此法官认为《个保法》第39条等规定的跨境数据提供限制并不能阻却美国民事诉讼中证据开示的要求。
在涉外诉讼中,当中国企业面临境外执法或司法机构要求提供境内数据时,一方面,未经中国主管机构批准、私自向境外司法机构、执法机构提供境内数据可能会违反《数安法》《个保法》等数据法的相关规定,致使中国当事方面临行政处罚甚至刑事处罚;另一方面,中国当事方援引中国法律对抗境外执法机构,尤其是美国司法机构的证据开示制度时,极有可能不被采纳,拒绝提供证据甚至可能导致美国法院的巨额处罚。
面对此种两难境地,结合美国法院对中国数据法的解释,对可能面临境外执法或司法机构要求提供境内数据的中国企业,提出如下建议:
1. 按照中国法下法律规定进行数据出境申报
企业在内部建立常态化的数据合规机制,积极和中国数据出境的主管机关进行联系,对自身涉及的相关数据进行分类分级,进行数据出境风险自评估,按照《数据出境安全评估办法》以及《数据出境安全评估申报指南(第一版)》的相关规定进行申报。
2. 主张国际条约或协议的适用或申请对数据的保护
中国当事方可根据案件的具体事实评估并进行深入分析,判断是否针对证据开示制度申请适用《海牙公约》或其他国际协议,如被法院拒绝,则可考虑申请对拟开示的数据进行特定处理等措施。
3. 尽早披露中国法下的数据保护相关法规并持续关注后续的权威司法解释
在进入涉外诉讼程序后,若中国当事方认定向美国法院开示证据可能会违反中国的数据保护相关法规,其律师应主动向对方、并在必要时向法院主动披露相关的数据保护法规。在取证阶段开始后,若当事方在未披露数据保护法规的情况下拒绝开示证据,法院可能会对当事方的不披露行为进行制裁。同时,对涉外诉讼领域的数据跨境传输也应当对后续的权威司法解释或配套管理办法密切关注,将其视为一项重要的数据安全保护工作。
2. 在美国法中,能否从境外调取数据最为关键的因素并非数据的存储地,而是诉讼能否在美国进行。如果美国法院具有管辖权,那涉案方就需要提供其所拥有、控制或能够访问的与案件相关的境外文件和数据。-参见洪延青,“法律战”旋涡中的执法跨境调取数据:以美国、欧盟和中国为例
3.《网络安全标准实践指南——网络数据分类分级指引》定义的敏感个人信息,是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
4. Gucci America Inc.诉中国银行案,中国银行辩称“披露客户信息将违反中国银行保密法律、法规,且该等证据开示请求应遵守《海牙取证公约》的程序,而非美国联邦民事诉讼规则”,但纽约南区法院于2015年11月下令对中国银行处以每天五万美元的罚款。2016年2月,当罚款累计达一百万美元时,中国银行做出了妥协,应法院要求提供了相关记录。参见天同诉讼圈,中美热点法律问题和案例研究(三):中国银行案 | 跨境顾释 。
5. “Defendants'' ‘understanding’ of the DSL would give the Chinese Supreme People's Court broad power to delay or prevent discovery in American courts. Such an interpretation would in essence permit the Chinese judiciary to oversee discovery decisions made by American courts regarding the responsibilities of Chinese litigants. The DSL therefore would not represent a Chinese sovereign interest in the nondisclosure of specific material, but rather an attempt to insert a Chinese court into the American legal process for the potential benefit of Chinese litigants. ”
—— 推荐阅读 ——
——