跨境诉讼证据提交场景下的数据出境合规——实务最新进展
发布时间:2023-04-27
文 | 潘志成 安国胤 汇业律师事务所
一、跨境诉讼证据提交与数据出境监管
诉讼中的证据往往同时具有数据的属性,例如个人电子邮件常常被作为证据,但又是受《个人信息保护法》保护的个人信息、同时也是受《数据安全法》保护的数据。
近几年来,伴随着《个人信息保护法》《数据安全法》等法律法规的颁布,我国对数据监管——尤其是跨境数据传输的监管力度不断加强。另一方面,近期以来,在美国等域外司法辖区发生的跨境诉讼中,越来越多的中国企业成为被告。在这些案件中,如果原告或法庭要求被告将存放于中国境内的证据进行提交,就可能产生数据出境问题。
那么,《个人信息保护法》《数据安全法》是否阻却跨境诉讼中的证据提交?中国企业能否依据这些法律主张其证据无法跨境提交?美国法院又将如何评判这些法律的效力?过去在实务中不乏这样的案例,但是这些案件中被告所提出的中国法律阻却证据提交的主张均未获得美国法院的支持。
例如,伊利诺伊北区联邦地区法院2019年审理的Philips Medical Systems (Cleveland), Inc., et al v. Jose Buan, et al(No. 19 CV 2648/Jose Buan)案,原告向法院起诉被告Jose Buan及关联的两家中国公司,称被告侵犯其与医用X光试管相关的商业秘密。在证据开示阶段,原告要求被告提供中国公司员工手机中与案件相关的信息等证据,被告以《国家秘密法》《个人信息保法》《数据安全法》对国家秘密、个人信息、数据出境存在严格限制为由,申请法院出具保护令,拒绝向原告提供。但被告的申请未被法院接受。
另一起案件是美国加州北区联邦地区法院2021年审理的Cadence Design Systems Inc v. Syntronic AB, et al(Case No. 21-cv-03610/Syntronic)案。该案原告诉被告及其中国关联公司侵犯其软件著作权。原告在证据开示阶段要求被告方从中国境内将24台员工电脑提交给美国法院进行检查,查看该等电脑是否存在下载、使用软件的记录。被告同样以电脑中存在员工的个人信息为由,并基于《个人信息保护法》申请法院出具保护令,拒绝向原告提供。但被告的申请也被法院驳回。
Syntronic案法院判决后,该案曾在国内引起了广泛关注。有专家将本案解读为美国法院的霸权,认为美国法院判决中国《个人信息保护法》不能阻止美国法院要求域外被告跨境提交证据,其实这是对美国法院是否需要遵循域外法进行证据提交的评判规则的误读。
在前述两起案件中,美国法院均援引了美国最高法院的判例Societe Nationale Industrielle Aerospatiale v. U.S. District Court (482 U.S. 522 (1987)/Aerospatiale)案。美国最高法院通过该案确立了是否遵循域外法进行证据提交的评判规则:即当存在域外法或国际公约阻却证据提交时,既不应一概否认域外法效力、也不应一概优先遵从域外法,而是由审理法院根据每一案件的具体事实、外国法所保护的主权利益、适用外国法能否有效进行证据提交等因素进行衡量评估(balance test),决定是否遵从域外法中的证据提交规定。
在Aerospatiale案之后,美国各巡回区的联邦地区法院又在Aerospatiale案的基础上,发展出一系列衡量评估要素,并根据这些要素,由法院决定是适用外国法规定的域外证据审批流程、还是直接适用美国联邦民事诉讼规则。这些要素包括:1)外国法是否确实对证据提交进行阻却;2)证据和文件对于诉讼的重要性;3)适用外国法可能产生的审批流程是否迅速;4)是否有其他替代性途径获取证据;5)如果违反证据提交要求是否会损害美国主权利益,以及如果遵从证据提交要求是否会损害外国主权利益(参见潘志成:数据出境与跨境诉讼证据提交——简评美国法院对域外证据提交的审查标准)。
回到前述Jose Buan案和Syntronic案中,美国法院实际上均适用了上诉衡量评估审查标准。在Jose Buan案中,法院指出被告并未明确究竟哪些信息属于应受保护的个人信息,且《个人信息保护法》也并未禁止被告公司从员工个人手机设备中导出公司信息,因此《个人信息保护法》并未真实阻却被告证据的提交。而在Syntronic案中,法院认为《个人信息保护法》第十三条“为履行法定职责或者法定义务所必需,个人信息处理者可以处理个人信息”的法定义务并非仅指中国法律规定的义务,还包括外国法律规定的义务。因此,《个人信息保护法》并未真实阻却被告提供个人信息。法院还特别指出,在原告首次要求被告提交中国公司员工电脑时,被告回复称其没有这些电脑。结合以上案件具体事实,法院驳回了被告的保护令请求。
需要注意的是,美国法院的衡量评估要素中,包括适用域外法审批流程提交证据是否迅速,而在这些案件发生当时,我国司法部以及网信部门并未就跨境诉讼证据提交中的数据出境出台的具体流程,也未明确审批时间,这也不利于让美国法院允许被告适用中国法律规定进行证据提交。
然而伴随着近期司法部《国际民商事司法协助常见问题解答》《数据出境安全评估办法》等法规、细则和指南的颁布,关于跨境诉讼证据提交所涉及数据审查的流程、标准越来越清晰,实践中笔者也办理过相关案件。
二、实务最新进展
我国司法部2022年6月在其官方网站发布了《国际民商事司法协助常见问题解答》,明确了不同类型域外诉讼中的证据提交,均需要履行审批手续。例如该《解答》问题8:中国境内当事人出于自愿向外国司法机关或司法人员提交位于境内的证据材料?答复为:位于境内的相关材料如需出境,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。该《解答》问题9:数据信息出境应通过哪些部门审批?答复为:根据《数据安全法》《个人信息保护法》,数据信息需要向境外提供的,应当经过国家网信部门组织的安全评估、认证后方可向境外提交。涉及到国际司法协助,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据或个人信息。
2022年9月1日生效的《数据出境安全评估办法》,更为清晰地规定了经审核才能出境的数据标准,同时给出了数据出境的基本路径。例如该《办法》第4条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”
与此同时,各省级网信部门也在进一步细化和完善其审查的规则。例如江苏省网信办颁布的《江苏省数据出境安全评估申报工作指引》,对重要数据有更为清晰明确的定义,为实务操作提供了具体标准。根据该《指引》,重要数据的判断标准包括:1. 未公开的政务数据、工作秘密、情报数据和执法司法数据;2. 重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;3. 达到国家有关部门规定规模或者精度的基因、地理、矿产、气象等国家基础数据;4. 影响关键信息基础设施安全稳定运行的数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;5. 出口管制物项涉及的核心技术、设计方案、生产工艺等相关数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争力有直接影响的科学技术成果数据;6. 国家法律、行政法规、部门规章明确规定需要保护或者限制处理的国家经济运行数据、重要行业和领域业务数据、统计数据等;7. 其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
在笔者近期办理的一起案件中,通过与司法部司法协助交流中心沟通,我们了解到目前监管实务中的证据出境审查办理流程,一般包括三个步骤:
步骤一:由申请方对证据进行前期梳理,对于确实不涉及重要数据的证据,例如一张照片、一件实物,且不涉及上述《数据出境安全评估办法》第4条第(二)至(四)项规定的情形的,原则上可以直接出境,无需进行审批。
步骤二:对于可能涉及重要数据的证据,或者申请方无法自行判断是否涉及重要数据的证据,可以提交司法部司法协助交流中心审核。提交时需要提交四份书面材料:1)申请书;2)按照参照格式填写的证据清单;3)公司出具的评估报告;3)律师或公司法务部门出具的法律评估报告。其中公司评估报告和法律评估报告需分别确认,所提交证据不包含国家秘密、所涉及商业秘密的部分已做遮挡处理、涉及个人信息的内容已取得个人单独同意。
步骤三:司法部司法协助交流中心将会同最高人民法院、国家网信办、业务主管部门对拟出境证据进行审核。审核一般需要2-4个月,审核通过后,将会为申请方出具批文。获得批文后,申请方的证据方可出境提交。
司法部司法协助交流中心证据出境审批流程图如下所示:
三、给参与跨境诉讼企业的合规提示
提示一:中国企业在参与跨境诉讼时,应坚守诚信诉讼的原则,诚信诉讼方可增加抗辩理由、保护令申请被采纳的可能性;另一方面,美国法院仅在中国法律真实阻却跨境诉讼证据提交的情况下,可以考虑依据中国《个人信息保护法》《数据安全法》的路径进行证据提交。
提示二:中国《个人信息保护法》《数据安全法》并非完全禁止可能涉及个人信息和数据的证据的跨境提供,而是要求履行审批流程;当然,该审批流程客观上可以给中方企业增加更多的诉讼准备时间。
提示三:向境外提供证据时,应避免完全不考虑《个人信息保护法》和《数据安全法》,直接向境外提交证据的极端做法;如果该证据涉及重要数据,则可能带来违反数据出境监管的处罚后果。例如《数据安全法》第48条第2款规定:“违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。”
提示四:在向司法部司法协助交流中心提交证据出境申请时,应避免另一种极端:即完全不进行任何筛选,将所有证据全部提交申请;根据目前司法部司法协助交流中心的监管口径,此类做法可能会导致不符合材料受理要求,并可能增加审核时间。
*实习生谢佳明对本文亦有贡献
