跨境数据合规 | 浅析中国企业对美国司法和执法机构调取跨境数据的法律应对

在全球化与数字化日益紧密融合的大数据时代，无论是货物贸易还是服务贸易，都离不开数据的跨境流动、存储或处理。在数字经济蓬勃发展的同时，由于不同国家和地区对数据跨境的相关法律制度、披露要求存在差异，司法或执法数据跨境调取与维护数据主权安全的风险碰撞也日益凸显。

中国出海企业在进行对外投资、国际贸易、跨境电商以及涉外诉讼中，可能会被外国司法和执法机构要求提供境内数据，但中国企业主张我国对数据出境行为的相关阻断规定作为抗辩时却多不被采纳。面对此种两难境地，本文结合美国法院近期判例，解析中国企业应对美国等外国司法或执法机构跨境调取数据的相关法律问题。

一. 我国对外国司法或执法机构跨境调取数据的规则

1. 数据出境行为

2022年8月31日正式发布的《数据出境安全评估申报指南（第一版）》将数据出境行为具体描述为：（一）数据处理者将在境内运营中收集和产生的数据传输、存储至境外；（二）数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（三）国家网信办规定的其他数据出境行为。

2. 对外国司法或执法机构跨境调取数据的规则

《中华人民共和国数据安全法》（以下简称“《数安法》”）第36条与第48条第2款规定，未经中国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据，除非我国缔结或者参加的国际条约、协定另有规定；如有违反，根据所造成的后果严重程度，承担相应的行政责任，包括不限于警告、罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。

《中华人民共和国个人信息保护法》（以下简称“《个保法》”）第41条及66条对向外国司法或者执法机构提供个人信息的行为规定了审批要求，要求个人信息处理者向外国司法或者执法机构提供存储于中国境内的人个信息，应当经中国主管机关批准，除非我国缔结或者参加的国际条约、协定另有规定（与《数安法》第36条等合称为“阻断条款”）；如有违反，根据所造成的后果严重程度，承担相应的行政责任，包括不限于罚款、暂停或终止相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。

2022年6月24日司法部发布《国际民商事司法协助常见问题解答》，明确回应位于中国境内的证据材料如需出境，应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。

同时，在特殊行业也有对外国行政机构调取我国境内数据的限制。《证券法》第177条要求境外证券监督管理机构不得在我国境内直接进行调查取证；未经我国主管部门同意，任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。值得注意的是，2022年8月26日，中美两国宣布签署审计监管合作协议，该协议将允许美国监管机构检查中国大陆和香港的审计机构，包括上市公司的审计底稿。但《数安法》与《个保法》以更广泛的适用范围将外国机构数据调取的审批制度应用于几乎每一个企业。           

3. 常见的境外司法或执法机构要求提供跨境数据的情形包括但不限于：

（1）2021年12月，美国总统拜登签署所谓的《涉疆法案》，要求涉及特定行业的中国企业向美国海关与边境保护局提供进口商品供应链中的相关数据，该数据可能被认定为“重要数据”

（2）中国公司申请在境外上市需要向外国的监管机构提交财务以及审计资料等，其中可能涉及我国“重要数据”；

（3）中国企业在境外参加民商事诉讼，面对普通法系国家诉讼制度，尤其是美国的证据开示程序而被要求提供证据材料，证据材料基本以电子数据的形式对外提供，其中可能含有“敏感个人信息”。

二. 阻断条款在美国证据开示制度下的适用

中国和美国均为《关于从国外调取民事或商事证据的公约》（以下简称“《海牙公约”》）签署国，《海牙公约》理论上适用于中美跨国诉讼。但在美国司法实践中，美国法院通常认为，由于中国当事人通过《海牙公约》处理和执行境外司法机构提出的证据开示请求的效率过低，致使《海牙公约》无法成为证据开示的合理方式，因此在美涉诉的中国企业仍然被要求遵守美国民事诉讼法的规定，跨境提供包括个人信息及数据的案涉证据；未履行该义务的，可能被追究民事甚至刑事责任4。

同时，对于当事方援引中国阻断条款拒绝提供涉外证据的，美国法院近期在相关案例中亦进行了论证，多数情况下都驳回了以阻断条款为由对证据开示程序的异议。

1. Philips Med.Sys.(Cleveland)v.Buan

2022年初，伊利诺伊州北区地方法院法官Young B.Kim在Philips Med.Sys.(Cleveland)v.Buan案中，论证被告方主张的《数安法》第36条时认为，“被告对该法条的理解将赋予中国的相关主管机关过于广泛的权力，以延迟或阻止美国法院的披露。实质上是允许中国司法机构监督美国法院对中国诉讼当事人所做的披露决定。因此，被告对法律的解释并不能视为中国在不披露特定数据方面的主权利益，而是试图将中国法院介入美国的法律程序中，为中国诉讼当事人带来潜在的利益”5。

2. Cadence Design Sys.v.Syntronic AB

2022年6月，在Cadence Design Sys.v.Syntronic AB案中，中国被告方主张以《数安法》第36条、《个保法》第39条、第41条对证据开示制度进行抗辩，北加州地方法院法官Susan Illston Cadence驳回了该抗辩，理由为：首先《个保法》为新颁布法律，并无配套司法或其他权威性解释，因此其有理由质疑其法律效力；其次法官将跨境提供个人信息需取得个人同意中的例外情形解释为适用于外国法律义务；因此法官认为《个保法》第39条等规定的跨境数据提供限制并不能阻却美国民事诉讼中证据开示的要求。

三. 对中国企业的合规建议

在涉外诉讼中，当中国企业面临境外执法或司法机构要求提供境内数据时，一方面，未经中国主管机构批准、私自向境外司法机构、执法机构提供境内数据可能会违反《数安法》《个保法》等数据法的相关规定，致使中国当事方面临行政处罚甚至刑事处罚；另一方面，中国当事方援引中国法律对抗境外执法机构，尤其是美国司法机构的证据开示制度时，极有可能不被采纳，拒绝提供证据甚至可能导致美国法院的巨额处罚。

面对此种两难境地，结合美国法院对中国数据法的解释，对可能面临境外执法或司法机构要求提供境内数据的中国企业，提出如下建议：

1. 按照中国法下法律规定进行数据出境申报

企业在内部建立常态化的数据合规机制，积极和中国数据出境的主管机关进行联系，对自身涉及的相关数据进行分类分级，进行数据出境风险自评估，按照《数据出境安全评估办法》以及《数据出境安全评估申报指南（第一版）》的相关规定进行申报。

2. 主张国际条约或协议的适用或申请对数据的保护

中国当事方可根据案件的具体事实评估并进行深入分析，判断是否针对证据开示制度申请适用《海牙公约》或其他国际协议，如被法院拒绝，则可考虑申请对拟开示的数据进行特定处理等措施。

3. 尽早披露中国法下的数据保护相关法规并持续关注后续的权威司法解释

在进入涉外诉讼程序后，若中国当事方认定向美国法院开示证据可能会违反中国的数据保护相关法规，其律师应主动向对方、并在必要时向法院主动披露相关的数据保护法规。在取证阶段开始后，若当事方在未披露数据保护法规的情况下拒绝开示证据，法院可能会对当事方的不披露行为进行制裁。同时，对涉外诉讼领域的数据跨境传输也应当对后续的权威司法解释或配套管理办法密切关注，将其视为一项重要的数据安全保护工作。