数据出境与跨境诉讼证据提交——兼评美国法院对域外证据的审查标准

发布时间:2022-11-01

文 | 潘志成 安国胤 汇业律师事务所

一、个人信息、数据与证据

同一事物可以具有不同的属性。一封电子邮件既可以是受《个人信息保护法》保护的个人信息、又可以是受《数据安全法》保护的数据,还可以是诉讼案件中的证据。

《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”根据该条第一款,员工发送的电子邮件、办公电脑中存储的可识别登录者的登录日志、可识别使用者信息的软件使用记录、点击同意记录等信息均属于受《个人信息保护法》保护的个人信息,而这些个人信息往往又是诉讼案件中各方需要收集的证据。

另一方面,《数据安全法》第三条规定:“”本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”根据该条第一款,电子邮件、手机聊天记录等包含对信息记录的文件,属于《数据安全法》所保护的数据,而这些文件同样也常常是诉讼案件中各方需要收集的证据。

二、跨境诉讼证据提交与数据出境

伴随着国际经贸活动的开展,各种纠纷不时出现,中国企业也频繁地参与到境外商事仲裁或者民事诉讼活动中。特别是近年来,在美国各地联邦地区法院审理的许多知识产权诉讼中,越来越多中国企业成为被告。在这些案件中,原告根据《联邦民事诉讼规则》(Federal Rules of Civil Procedure/FRCP)中的证据开示程序(Title V. Disclosures and discovery),要求中国企业提交存放于中国境内的与案件相关的证据,这些案件的证据提交同时产生了个人信息和数据出境的问题。

例如,在伊利诺伊北区联邦地区法院东部分院审理的Philips Medical Systems (Cleveland), Inc., et al v. Jose Buan, et al(No. 19 CV 2648/Jose Buan案)案中,原告向法院起诉被告Jose Buan、Sherman Jen与其新雇主GL Leading Technologies, Inc. 以及与GL Leading关联的两家中国公司,称被告共同侵犯其与医用X光试管相关的商业秘密。

在该案证据开示阶段,原告要求被告提供中国公司员工手机中与案件相关信息等证据,被告以《国家秘密法》、《个人信息保护法》、《数据安全法》对国家秘密、个人信息、数据出境存在严格限制为由,申请法院出具对该等个人信息、数据的保护令,拒绝向原告提供。

的确,《个人信息保护法》第三十八条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”同时,《个人信息保护法》第三十九条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”此外,《个人信息保护法》第四十一条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”

与此同时,我国司法部2022年6月在其官方网站发布了《国际民商事司法协助常见问题解答》,其中问题8中国境内当事人出于自愿向外国司法机关或司法人员提交位于境内的证据材料?答复为:位于境内的相关材料如需出境,应符合《民事诉讼法》、《数据安全法》、《个人信息保护法》的相关规定。问题9数据信息出境应通过哪些部门审批?答复为:根据《数据安全法》、《个人信息保护法》,数据信息需要向境外提供的,应当经过国家网信部门组织的安全评估、认证后方可向境外提交。涉及到国际司法协助,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据或个人信息。

另一起案件是美国加州北区联邦地区法院审理的Cadence Design Systems Inc v. Syntronic AB, et al案(Case No. 21-cv-03610/Syntronic案)。在该案中原告诉被告及其中国关联公司侵犯其软件著作权。原告在证据开示阶段要求被告方从中国境内将24台员工电脑提交给美国法院进行检查,查看该等电脑是否存在下载、使用软件的记录。被告同样以电脑中存在员工的个人信息为由,并基于《个人信息保护法》申请法院出具保护令,拒绝向原告提供。

然而,前述两起案件中法院均驳回了被告基于《个人信息保护法》所提出的保护令申请,这就意味着被告仍然需向原告提供证据。Syntronic案的法官就被告保护令申请做出裁决后,曾在国内引起了广泛关注。有专家将本案解读为美国法院判决中国《个人信息保护法》不能阻止美国法院要求域外被告跨境提交证据,将其解读为美国法院的霸权。其实这是对美国法院对域外证据提交审查标准的误读。

三、美国法院对域外法证据提交路径的审查标准

在前述两起案件中,美国法院均援引了美国最高法院的判例Societe Nationale Industrielle Aerospatiale v. U.S. District Court (482 U.S. 522 (1987)/Aerospatiale案)。在Aerospatiale案中,法国飞机制造公司Societe Nationale Industrielle Aerospatiale因坠机事故而被美国遇难者家属起诉,原告在证据开示阶段要求法国公司提供与该飞机安全检测、试飞等所有相关资料。法国飞机制造公司申请保护令拒绝提交,理由是根据法国和美国均签署的《海牙公约》,证据跨境提交应通过司法协助途径进行。

审理该案的爱荷华南区联邦地区法院拒绝了法国公司的保护令申请,最后法国公司一直上诉至美国最高法院。美国最高法院通过该案确立了对于域外证据提交的审查标准:即当存在域外法或国际公约阻却证据提交时,既不应一概否认域外法效力、也不应一概优先遵从域外法,而是由审理法院根据每一案件的具体事实、外国法所保护的主权利益、适用外国法能否有效进行证据提交等因素进行衡量评估(balance test),决定是否遵从域外法中的证据提交规定。

在Aerospatiale案之后,美国各巡回区的联邦地区法院又在Aerospatiale案的基础上,发展出一系列衡量评估要素,并根据这些要素,由法院决定是适用外国法规定的域外证据审批流程,还是直接适用美国联邦民事诉讼规则。这些要素包括:1)外国法是否确实对证据提交进行阻却;2)证据和文件对于诉讼的重要性;3)适用外国法可能产生的审批流程是否迅速;4)是否有其他替代性途径获取证据;5)如果违反证据提交要求是否会损害美国主权利益,以及如果遵从证据提交要求是否会损害外国主权利益。

在前述Jose Buan案和Syntronic案中,美国法院实际上均适用了上诉衡量评估审查标准,并未一概否认域外法的适用。在Jose Buan案中,法院指出尽管被告列举了《个人信息保护法》的条文,同时提供了中国法律专家意见,但是并未明确究竟哪些信息属于应受保护的个人信息,致使证据无法提供,且《个人信息保护法》也并未禁止被告公司从员工个人手机设备中导出公司信息,同时被告的中国法律专家证人也说明员工个人可以从手机中筛查出其个人信息和公司信息,因此《个人信息保护法》不应成为阻却被告证据提交的理由。

而在Syntronic案中,法院参考了原被告双方中国法律专家证人的意见,特别是《个人信息保护法》第十三条第一款第三项“为履行法定职责或者法定义务所必需,个人信息处理者可以处理个人信息”的解读,法院认为该条中的法定义务并非仅包括中国法律规定的义务,还包括外国法律规定的义务。因此,《个人信息保护法》并未真实阻却被告提供个人信息。法院还特别指出,在原告首次要求被告提交中国公司员工电脑时,中国的《个人信息保护法》并未生效,被告并未基于该法律提出任何个人信息保护的问题,而是回复其没有这些电脑。在原告通过系统确认被告中国公司北京办公室存在使用过原告Cadence软件的24台电脑后,被告才以《个人信息保护法》为由提出不予提交,但是仍未明确《个人信息保护法》阻却其证据提交的具体条款。结合以上案件具体事实,法院驳回了被告的保护令请求。

综上可以看出,在Jose Buan和Syntronic两起案件中,法院拒绝被告的保护令申请,主要是基于案件具体事实、以及被告未能证明《个人信息保护法》对被告证据提交形成真实阻却,而并非简单地否认《个人信息保护法》等域外法中关于证据提交路径的适用。

四、美国法院审查标准对中国企业的启示

正如美国最高法院在Aerospatiale案中所明确的审查标准,美国法院不会一概否认域外法规定的证据提交路径的适用效力,也不会因存在域外法就优先遵从域外法中关于证据提交的路径,而是会结合每一起案件的具体事实,结合评估要素进行全面衡量,进而决定选择域外法规定的证据提交路径,还是选择按美国联邦民事诉讼规则进行证据提交。为此,中国企业应在应诉时,尽早明确指出域外阻却法对原告所要求提交的证据形成了真实阻却,并清晰地指出受法律保护的个人信息或数据,指出未经审批提交可能损害的国家和个人利益。

同时,考虑到美国法院的衡量评估要素中,包括适用域外法审批流程提交证据是否迅速的要素,我国司法部以及网信部门也应尽快出台域外民事诉讼证据提交审批的具体流程,明确、简便的审批流程也可以帮助中国企业争取在域外诉讼中说服法院适用《个人信息保护法》等法律规定的证据提交流程,在取得审批后再向境外提交。

返回列表