专业文章
跨境数据提供的限制与美国法院跨境取证冲突与裁判方向
一、中国《数据安全法》
(一)中国《数据安全法》出台
中国《数据安全法》由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日 通过,自2021年9月1日起施行。
|
法条编号 |
内容 |
备注 |
|
第三十六条 |
“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的 国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。” |
本条是关于向境外提供境内数据的原则规定。 |
|
第二十一条 |
“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织 合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。” |
本条是关于数据分类分级保护制度的规定。 |
|
第四十八条 |
“......违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主 管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以 上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业 执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。” |
本条是违反第三十六条的法律责任。 |
|
第二条 |
“在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。在中华人民共和国境外开展数据处理活动,损害中华人民人民共和国国家安全、公共利益或者公民、组织合法权益 的,依法追究法律责任。” |
本条是关于中国《数据安全法》适用范围的规定。 |
基于上述规定,可以看出中国《数据安全法》规定了向境外提供境内数据必须经过主管部门事前批准,并对数据进行分类分级保护,对向境外提供境内数据进行了严格限制,并规定了相应的严格的法律责任。第36条虽然字面上没有“反制”和“对等”这样的用词,却剑指美国等近年来出台的关于证据调取的长臂管辖法律的美国 CLOUD 法案。该法规定美国司法机关审案时有权要求美资通信企业提供所掌握的全球范围内的证据材料,确立了美国可全球取证的长臂管辖权力,此后欧盟和英国等纷纷效仿出台了相应的法律。如今,第36条确立了跨境提供数据的前置审批条件,即中国企业或个人面对境外司法机关要求需要提交数据的,必须以取得了中国政府机关的审批为前提。可见,第36条钳制了其他法域的长臂管辖权在中国的适用。当然,其他相关法域会怎样对待涉案企业因为没有得到中国政府批准,数据提交不能而引发的法律责任问题,有待具体个案对其中的冲突来做诠释。
(二)《数据安全法》出台之前,关于跨境诉讼中的证据提供
我国《民事诉讼法》并不禁止当事人主动向国外法院去提供证据,我国法律也不禁止律师为境外当事人在国内收集、提供证据。
|
法条 |
《民事诉讼法》第二百七十七条规定:请求和提供司法协助,应当依照中华人民共和国缔结或者参加的国际条约所规定的途径进行;没有条约关系的,通过外交途径进行。外国驻中华人民共和国的使领馆可以向该国公民送达文书和调查取证,但不得违反中华人民共和国的法律,并不得采取强制措施。除前款规定的情况外,未经中华人民共和国主管机关准许,任何外国机关或者个人不得在中华人民共和国领域内送达文书、调查取证。 |
|
我国《国际刑事司法协助法》第四条规定:非经中华人民共和国主管机关同意,外国机构、组织和个人不得在中华人民共和国境内进行本法规定的刑事诉讼活动,中华人民共和国境内的机构、组织和个人不得向外国提供证据材料和本法规定的协助。因此,在我国法律下,基于司法主权原则,无论是民事还是刑事案件,未经中华人民共和国主管机关准许,任何外国机关或者个人不得在中华人民共和国领域内送达文书、调查取证,进行民事、刑事诉讼活动,这是一个基本原则。 《刑事司法协助法》规定的更进一步,禁止当事人擅自向外国提供证据材料。 |
|
|
案例 |
在(2019)浙01民终10636号徐州森蒂菲香氛科技有限公司、美国威莱克斯产品公司、北京奇志浩天科技有限公司等著作权权属、侵权纠纷二审案之中,判决书认为:浙江裕阳律师事务所作为境内机构,接受美国威莱克斯公司委托进行在国内收集证据(公证取证),该行为不涉及司法协助,不违反法律规定。 |
由此可见,在《数据安全法》颁布施行前,我国法律基于司法主权原则,限制了国外机关和个人在国内送达文书调查取证、进行民事、刑事诉讼活动,仅留下“公对公”这一途径,即在外国机关的司法协助申请获得我国主管机关的审核同意后,再根据相关规定自上而下收集、再自下而上反馈。
(三)数据安全法语境下的跨境诉讼之中的证据提供
|
法条 |
内容 |
备注 |
|
《数据出境安全评估申报指南(第一版)》 |
数据出境行为为:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。 |
除了对数据出境行为进行限定,且规定了详细的申报流程。 |
|
《数据出境安全评估办法》 |
国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 |
规定了数据出境申报之前,应先进行评估。 |
|
《数据安全法》第三条 |
本法所称数据,是指任何以电子或者其他方式对信息的记录。 |
从这个角度来讲,我国《数据安全法》下的数据是非常广泛的。例如,当事人向外国法院提交的证据,无论是电子形式,还是纸质版,可能都属于数据之一。 |
|
《数据安全法》第三十六条 |
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 |
|
|
《数据安全法》第四十八条 |
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 |
|
|
《个人信息保护法》第四十一条 |
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。 |
|
|
《个人信息保护法》第六十六条 |
违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 |
|
|
《网络安全法》第三十七条 |
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 |
二、美国的数据长臂管辖及各国针对跨境取证的封阻法案
(一)美国CLOUD法案出台
20世纪80年代,美国的数据主权战略建设实践逐渐起步,随后通过密集立法不断完善,当前已建设完成较为完善的数据主权战略体系。
|
年份 |
法案 |
|
1998年 |
美国政府发布《保护美国关键基础设施总统令》,从国家层面明确对数据主权战略的关注 |
|
2000年 |
美国政府颁布 《美国国家安全战略报告》,数据安全被纳入国家安全战略中 |
|
2001年 |
美国政府颁布《爱国者法案》,网络和信息安全成为国家安全领域的关注热点,对企业及个人信息的监控和审查大大强化 |
|
2003 年 |
美国政府颁布《网络空间国家安全战略》,数据主权被正式列入国家安全战略之中。总的来说,美国是全球最早制定数据主权战略的国,其数据主权战略体系内容丰富,综合了各主体、各方面的战略需求,同时随着环境变化不断进行方向转换和调试,不断纳入新的手段和方法,由此形成了独具特色的数据主权战略体系 |
美国国会于2018 年3月紧急通过了CLOUD法案,对Microsoft Corp.v. United States提出了针对性的解决方案:“无论通信、记录或其他信息是否存储在美国境内,只要上述通信内容、记录或其他信息为该服务提供者所拥有、监护或控制,服务提供者均应当按照本法所规定的义务要求,保存、备份、披露通信内容、记录或其他信息。”该法案对美国此前的系列数据主权法案做出了针对性的补充修正,紧急回应此案中暴露出的跨境数据流通中的主权风险问题。
Microsoft Corp.v. United States 在美国数据搜查令的域外效力这一核心议题上, 暴露出了美国现有跨境执法协助机制难以满足跨境调取数据执法需求的现实问题。CLOUD法案之前, 美国执法部门一般依靠条约、协定、警方间的合作这三种途径访问存储于其他国家的数据。但现有途径和法律存在覆盖范围小、行政程序复杂,同时处理成本高的问题,并不能满足当前跨境调取数据的执法需求。美国急需制定新的法案来弥补当前的法律弊端,加快数据调取进程,满足美国跨境调取数据的执法需求,从而保障美国对于本国数据的域外控制能力。CLOUD法案重新确认了美国对本国数据在境外的控制能力和主权所有,同时,依靠这一法案,美国在其企业、机构的助力下,实际扩张了其数据主权的效力范畴,长臂管辖至各主权国家的境内范畴,美国的数据主权得到进一步强化。
(二)各国针对跨境取证的封阻法案
|
国家 |
法案内容 |
备注 |
|
法国 |
1968年颁布的第68-678号法令(Loi n° 68-678,“法国封阻法令”),其立法初衷是为了应对美国在二战前夕对国际船运卡特尔发起的反垄断调查,为法国船运公司拒绝证据开示提供法律依据。随后在1980年,法国通过第80-538号法令(Loi n° 80-538)对1968年封阻法令作了修改,为法国主体向境外提供特定类别的文件或回应证据开示要求增加了刑事责任。 |
从法国封阻法令的规定来看,其“封阻”的数据范围较广,不论被要求提供的信息是否涉及法国主权、安全或关键经济利益,也不论被要求提供信息的主体是本国人还是外国人,只要该信息是用于跨境取证,且信息内容与经济、商业、工业、金融和技术相关,就只能通过《海牙公约》,在法国法院的监管之下进行。可以说,法国的立法模式和中国较为相似,即“封阻法令”适用于所有数据类型,但凡是存储在本国境内的数据,均不得随意向他国公共机关提供。采用这种立法模式的国家还包括德国和英国等。 |
|
1980年,为了阻止美国针对法国航运公司的反垄断调查,法国通过了专门的《封阻法令》。该法案第1条规定,在没有法国法院命令的情况下,禁止任何法国个人出于提交证据的目的,向境外司法或行政机关披露关于经济、商业、工业、金融、技术方面的信息。 |
法国的封锁法规有两个不利影响。它使法国公司陷入两难境地,要么选择遵守发现程序并可能使自己在法国受到起诉,要么遵守《封阻法令》的规定并危及他们在美国未决诉讼中的地位 。《封阻法令》实际上可能剥夺公司在外国法院有效地为自己辩护的权利,尽管该法规的最初目标是保护法国的经济利益。 |
|
|
英国 |
1980年通过《贸易利益保护法案》(Protection of Trading Interests Act of 1980),授权国务大臣基于英国主权或贸易利益,可以要求禁止配合外国法院或其他公权力机关的证据开示要求。 |
|
|
欧盟 |
2018年4月17日,欧盟委员会发布了《电子证据条例(草案)》(Electronic Evidence Regulation),计划在刑事程序中建立具有强制执行效力的“欧洲数据提交令”(European Production Order)和“欧洲数据保存令”(European Preservation Order)制度。根据这两项制度,成员国的执法或司法当局可直接指令欧盟境内的服务提供者或设有代表机构的服务提供者提交或保存电子数据,而不用考虑相应数据是否存储于欧盟境内。 根据“欧洲数据提交令”,为了保证该程序快捷开展,执法或司法当局可以要求服务提供者必须在10天之内做出响应;而在紧急情况下,后者在6小时内就必须做出响应。此外还需要注意的是,服务提供者需要提交或保存的数据范围相较过往的法律规定明显扩大,不仅包括订户数据(subscriber data)、访问数据(access data)、交易数据(transactional data)等非内容数据,而且还扩展到了内容数据。 |
从目前公开披露的条例草案看,条例采用了和《通用数据保护条例》几乎一样的域外管辖条款。能被条例管的网络服务提供商不一定必须是欧盟本国公司,也并不一定必须是在欧盟境内设立代表机构的公司,而是只要面向欧盟境内提供服务,就会受到条例管辖。这意味着中国互联网公司就算在欧盟没有分公司,也没有设立代表机构,但是只要面向欧盟境内提供服务,比如手机游戏的用户是欧盟国家公民,欧盟国家的执法机关就可以要求他们提供数据。在美国和欧盟的推动下,这种一国政府直接向外国公司索要数据的跨境取证可能成为常态化的法律规则。 |
|
瑞士、卢森堡、新加坡 |
对金融数据的执法跨境调取进行了限制,规定银行负有对客户信息严格保密义务。 |
这种立法模式柔和很多,但事实上也极大地抬高了他国跨境调取数据的门槛。 |
|
中国 |
2019《数据安全保护法》 |
已经明确有关组织、个人应当经主管机关批准后方可向境外执法机构提供存储于境内的数据,在后续立法过程中,还应进一步明确具体在申请、审核、批准等方面的法律程序和时限,与数据出境安全评估之间的关系和协调,以及违反该义务的法律责任等。 |
(三)国际应对跨境取证的实践案例
1. 国际货运航空卡特尔案
本案中,美国公民Hausfeld发起了一项集体诉讼,要求法国航运公司披露存储于法国境内的文件。法国公司辩称,在此前的刑事航运反垄断调查中,美国司法部是通过《刑事司法互助协定》,在遵守封阻法令的情况下获取的相关文件,因此原告也应当通过《海牙公约》中的类似程序获取。地区法院驳回了这一抗辩。
美国法院首先指出,航空公司因提供这些文件被法国追究刑事责任的风险很小。并且在本案中,法国当局已经向美国司法部公开了这些文件,这更是使得法院没有任何理由相信,法国执法机构会因为法国航空公司披露了相同的文件追究它的刑事责任,法国主权利益也不会因此受到减损。
2. Christopher X/ MAAF案
在本案中,法院裁定,一名法国律师在不遵守《海牙公约》要求的情况下,试图从一家法国保险公司的董事那里获取信息,从而构成刑事犯罪,而这些信息本可以在法庭诉讼中作为证据在美国法院适用。首先,法院认为《海牙公约》是在法国获取信息以用于外国诉讼的唯一方式。其次,法院认为,绕过《海牙公约》可能会导致根据《封阻法令》的规定进行起诉。
然而,在 2008 年 1 月 30 日,法国最高法院撤销了其步骤,维持驳回基于涉嫌违反《封阻法令》的刑事诉讼。法院裁定,在美国法院诉讼过程中披露的信息与私人事务有关,并表示,尽管该信息具有机密性,但不属于该规约的范围,因为这不是敏感的经济数据。
尽管表面上是一起具有里程碑意义的案件,能够证明法国封阻法令的罚则并非形同虚设,但它对实践的影响实际上非常有限。一方面,尽管判决强调,《海牙公约》是在法国境内取证用于境外诉讼的唯一路径,绕过《海牙公约》可能会构成对封阻法令的违反,但这也意味着法国主体自愿在境外举证程序中提供证据这一常见的行为也是违法的。另一方面,该案的事实实在过于特殊,且当事人被判有罪是显而易见的,以致美国法院认为“Christopher X案中的情形与其他违反封阻法令的一般案件并没有什么可比性”,并未改变法国封阻法令执法可能性非常小的事实。
(三)中国《数据安全法》的在美国证据开示制度下的实践案例
1. In re Valsartan, Losartan, & Irbesartan Products Liability Litigation (D.N.J. 2021)
本案背景为关于在中国创建的23份文件中是否有一份是《国家机密法》下的国家机密,如果是,《国家机密法》是否因此规范了他们在本次诉讼中的不披露。争论点是《联邦民事诉讼规则》,特别是规则26——公正和透明地确定美国民事诉讼中的每项诉讼和程序与中国《国家机密法》的矛盾。美国法院进行调查取证,中国当事人以中国《国家机密法》规定为由提出抗辩,中国当事人声称,自2021年9月1日起生效的《数据安全法》与《国家机密法》,禁止披露这23份文件,因为这些文件具有中华人民共和国国家安全利益,位于中华人民共和国的服务器上,不得转让给外国法院或中华人民共和国以外。
原告声称,被告没有履行其提供可靠专家证词的负担,换句话说,被告没有可靠地证明这些文件中的任何一份都包含《国家机密法》中定义的国家机密。原告还推断,由于商业日志上没有显示包含国家机密的文件,因此所有文件都应根据《联邦民事诉讼规则》规则26披露。
本案中,美国法院认为中国《数据安全法》只禁止将中国的信息“提供给美国法院”,表面上并没有禁止将信息提供给对方当事人。因此,中国《数据安全法》的限制不适用于当事人之间交换的证据。本案中美国法院实际上回避了对中国《数据安全法》的详细分析。
2. JUUL Labs, Inc. v. Chou, 557 F.Supp.3d 1041 (2021)
本案中,原告要求对被告若干位于中国的电子设备进行取证检查。被告争辩说,中国《数据安全法》禁止其在未经政府批准的情况下将从中国运输包含客户个人信息的设备运出中国。美国法院认为:虽然中国《数据安全法》问题不是决定性的,但结合被告引用的其他因素,足以限制这一取证申请给被告造成的负担。美国法院未对中国《数据安全法》展开分析,但支持了被告的抗辩。案例内中国《数据安全法》参考条款第三十六条规定:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
3. Philips Medical Systems (Cleveland), Inc. v. Buan (N.D. Ill. 2022
本案被告昆山一元医疗科技有限公司和昆山国立电子科技有限公司(统称“被告”)要求重新审议本法院关于原告文件出示请求(“RPD”)号的命令的动议。具体而言,被告对法院关于中国法律对其发现义务的影响的裁决提出质疑。在该案证据开示阶段,原告要求被告提供中国公司员工手机中与案件相关信息等证据,被告以《国家秘密法》、《个人信息保护法》、《数据安全法》对国家秘密、个人信息、数据出境存在严格限制为由,申请法院出具对该等个人信息、数据的保护令,拒绝向原告提供。
被告反对某些请求过于繁琐,因为它们要么:(1)要求搜查员工的个人移动设备,违反了中国隐私法;要么(2)要求收集、复制和存储可能包括国家机密的信息,违反了中国《国家机密法》。法院驳回了这些反对意见,称被告“未能证明原告正在寻求国家机密或本案涉及国家机密”,并且“法院和原告都没有要求被告违反中国的任何国内法”。
被告辩称,法院犯了明显的错误,“错误地断言,其任何裁决都不会要求他们违反中国法律”。然而,在这种争论中,被告不恰当地将他们的复议动议视为发展新论点的机会,首次提出中国《数据安全法》,并提交新的支持声明。被告没有提出任何证据是新发现的,他们在保护令动议中提出中国法律反对意见时,他们有充分的机会提出这些论点,虽然被告在异议被推翻后,现在可能会有后悔,但重新考虑动议并不是以更具体和更详细地重新提出这些异议的适当方法。
本案中,美国法院则从举证责任入手,认为中国当事人未尽到举证责任,证明中国法律包括(中国《数据安全法》)实际上禁止出示有争议的具体文件,并据此驳回中国当事人的抗辩。法官认为,“被告对该法条的理解将赋予中国的相关主管机关过于广泛的权力,以延迟或阻止美国法院的披露。实质上是允许中国司法机构监督美国法院对中国诉讼当事人所做的披露决定。因此,被告对法律的解释并不能视为中国在不披露特定数据方面的主权利益,而是试图将中国法院介入美国的法律程序中,为中国诉讼当事人带来潜在的利益”。
三、案例总结及司法部对应对跨境数据的取证意见
上述案例均体现了外国法院对实质性分析中国《数据安全法》的回避态度,形成中国《数据安全法》与美国法院取证的尖锐冲突的一大主要原因是《数据安全法》第三十六条的规定。该条文明确指出了非经中国主管机关批准,禁止国内的组织或个人向国外的司法机关提供存储中国境内的数据。
中国和美国均为《海牙公约》)签署国,《海牙公约》理论上适用于中美跨国诉讼。但在美国司法实践中,美国法院通常认为,由于中国当事人通过《海牙公约》处理和执行境外司法机构提出的证据开示请求的效率过低,致使《海牙公约》无法成为证据开示的合理方式,因此在美涉诉的中国企业仍然被要求遵守美国民事诉讼法的规定,跨境提供包括个人信息及数据的案涉证据;未履行该义务的,可能被追究民事甚至刑事责任。同时,对于当事方援引中国阻断条款拒绝提供涉外证据的,美国法院近期在相关案例中亦进行了论证,多数情况下都驳回了以阻断条款为由对证据开示程序的异议。
美国各法院对是否采纳中国《数据安全法》相关条款,同意中国当事人拒绝提供数据的态度偏向否定。但并不意味着中国当事人拒绝向美国法院提供数据就必然导致败诉。从上裁判案例来看,美国联邦法院及州法院对此的做法存在差异,这其中既有案件具体情况及应对策略的差异,也与美国法官的自由裁量有关。随着中美关系变化,美国法院可能会对中国当事人的此类抗辩采取更严格的审查倾向。
在Buan案中,法院援引了美国最高法院的判例Societe Nationale Industrielle Aerospatiale v. U.S. District Court (482 U.S. 522 (1987)/Aerospatiale案)。在该案中,Aerospatiale是一家法国的飞机制造商,其子公司在美国经营Aerospatiale设计、制造、销售的飞机,其中一架Aerospatiale飞机于1980年8月在爱荷华州坠毁。受伤的飞行员和乘客起诉Aerospatiale侵权。Aerospatiale作为境外被告并没有提出属人管辖异议。对于原告和法庭的证据开示要求,Aerospatiale以法国法律要求必要的适用《海牙公约》对基于美国联邦民事诉讼证据规定的证据开示要求进行抗辩。美国最高法院审理认为,《海牙公约》中普遍使用“可以”来限定缔约国的行为,以及第二十七条的例外条款证明《海牙公约》不是唯一的获取境外证据的途径,即《海牙公约》不是美国的诉讼参与人来获取境外证据的唯一途径。
在Aerospatiale案之后,美国各巡回区的联邦地区法院又在Aerospatiale案的基础上,发展出一系列衡量评估要素,并根据这些要素,由法院决定是适用外国法规定的域外证据审批流程,还是直接适用美国联邦民事诉讼规则。这些要素包括:1.外国法是否确实对证据提交进行阻却;2.证据和文件对于诉讼的重要性;3.适用外国法可能产生的审批流程是否迅速;4.是否有其他替代性途径获取证据;5.如果违反证据提交要求是否会损害美国主权利益,以及如果遵从证据提交要求是否会损害外国主权利益。其他一些法庭,如美国联邦巡回法院第九巡回法庭,及其下辖的包括加州联邦地区法院在内的法庭,还要求考虑提供证据的一方执行法庭证据开示指令的困难,以及其因为跨境传递证据而可能面临的其住所国的法律制裁。
在Buan案中,美国法院实际上均适用了上诉衡量评估审查标准,并未一概否认域外法的适用。法院指出尽管被告列举了《个人信息保护法》的条文,同时提供了中国法律专家意见,但是并未明确究竟哪些信息属于应受保护的个人信息,致使证据无法提供,且《个人信息保护法》也并未禁止被告公司从员工个人手机设备中导出公司信息,同时被告的中国法律专家证人也说明员工个人可以从手机中筛查出其个人信息和公司信息,因此《个人信息保护法》不应成为阻却被告证据提交的理由。
关于调查取证,中国司法部针对国际民商事司法协助中常见的问题做出回复,可为处理中美跨境数据信息交换提供参考思路。
1.外国司法机关或司法人员如何调取位于中国境内的证据材料
应根据条约规定途径,由外国具有提出取证请求资格的司法机关或个人向司法部提出调查取证请求。与我国未缔结相关条约的,应向外交部提出请求。请求经审批后由人民法院执行,结果由请求接收部门答复请求方。
2.外国司法机关或个人能否直接询问(包括通过电话、视频等技术手段)位于中国境内的证人
中国在加入《海牙公约》时已对公约第二章除第15条之外全部作出保留,不允许外国司法机关直接向位于中国境内的证人取证。外国相关机构应通过条约规定途径向司法部,或通过外交途径向外交部提出取证请求,请求经审批后由人民法院执行。
3. 外国司法机关或相关人员能否委托中国境内的律师或其他机构询问证人或其他人员,或调取位于中国境内的材料,并将结果用于外国法院的诉讼
根据中国《民事诉讼法》,取证由人民法院或者经人民法院批准后由律师进行,其他任何机构或个人不得在中国境内进行取证。
4.中国境内当事人出于自愿能否直接向外国司法机关或司法人员提交位于境内的证据材料
位于境内的相关材料如需出境,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。
四、《数据安全法》对我国跨境数据取证的影响
(一)第36条为互联网公司拒绝外国执法机关的跨国取证请求提供了法律依据
美国CLOUD法案允许联邦调查局、司法部等执法机关直接要求在美国管辖之下的企业提供或披露有关数据。这些数据并不局限于存储在美国的数据,也包括存储在别国境内的数据。CLOUD法案的管辖范围很广,不仅能管到微软、苹果、脸书、亚马逊等总部在美国的互联网公司,也能管到在美国有分公司或其他代表机构的外国互联网公司。由于美国频繁基于“效果原则”等实施长臂管辖,即便外国互联网公司在美国没有分支机构,美国也可以基于其在美国有用户、面向美国提供服务,或在美国境内产生“影响”等理由行使管辖权,要求这些公司向联邦调查局或者司法部提供数据。这就意味着,阿里、腾讯这些掌握海量数据的中国互联网公司,即便在美国没有分公司或代表机构,也可能因为存在与美国的管辖权连接点而受到CLOUD法案的长臂管辖,被美国执法机关要求提供存储在中国境内的数据。
不论立法者本意如何,该款规定客观上起到了“封阻”外国直接要求我国企业提供或披露数据的效果,或者说为我国企业回应外国此类请求提供了法律理由。从《数据安全法》第36条看,实际上是将“封阻”外国跨境取证的范围进行了扩大。《刑事司法协助法》只能覆盖刑事跨国取证中的数据调取和披露要求。而根据《数据安全法》第3条,本法所称的数据是“任何以电子或非电子形式对信息的记录”,不仅能够涵盖民事诉讼和行政诉讼领域的数据,而且不限于以电子形式存在的数据。这显然更有利于我国互联网公司以中国法律的禁止性规定为由拒绝外国执法机关的数据请求。
(二)能否实际封阻跨境数据取证仍有待观察
虽然我们期待封阻法令可以成为数据攻防战中的“盾牌”,但这一法令是否真的可以起到封阻效果仍然存疑。从上述几例与封阻法令相关的经典案例中可以看出,美国法院在进行国际礼让分析、判断要求当事人提供位于境外数据时是否会造成当事人母国法律与美国法律之间的“真正冲突”时,一个关键因素是当事人是否会真正受到母国法律的惩罚。如果美国法院认为,当事人母国的“封阻法令”仅仅是一个表面上为了宣誓数据主权、而无实际的法律效力时,其往往会认为跨境数据传输并不会使得当事人母国的国家利益真正受损。而《数据安全法》目前暂时没有实际处罚案例。在这种情况下,美国法院极有可能会将中国这一“封阻法令”视为“用来逃避合法披露程序的伎俩”,以及“从未使用过的虚假惩罚”,而难以将其作为企业进行抗辩的有力支撑。
(三)第36条难以实际抗衡美国执法机关的跨国调取数据要求
当我国企业面临美国执法机关直接向其提出的跨国调取数据要求时,通常会依据美国法院经由一系列判例形成的“国际礼让”(International Comity)或“外国主权强制”(Foreign Sovereign Compulsion)进行抗辩。从美国法院的司法实践看,无论是“国际礼让”还是“外国主权强制”,都要求相关外国企业面临美国法律和本国法律之间的“真实冲突”,并且企业如果向美国执法机关提供了数据将会面临所在国的严厉处罚。如果没有真实的法律冲突,或者美国法院在分析企业所在国法律和司法实践后认为企业不会受到处罚或只可能面临轻微处罚,则不会支持“国际礼让”或“外国主权强制”抗辩
五、对中国企业的合规建议
在涉外诉讼中,当中国企业面临境外执法或司法机构要求提供境内数据时,一方面,未经中国主管机构批准、私自向境外司法机构、执法机构提供境内数据可能会违反《数据安全法》《个人信息保护法》等数据法的相关规定,致使中国当事方面临行政处罚甚至刑事处罚;另一方面,中国当事方援引中国法律对抗境外执法机构,尤其是美国司法机构的证据开示制度时,极有可能不被采纳,拒绝提供证据甚至可能导致美国法院的巨额处罚。面对此种两难境地,结合美国法院对中国数据法的解释,对可能面临境外执法或司法机构要求提供境内数据的中国企业,提出如下建议:
1. 按照中国法下法律规定进行数据出境申报
企业在内部建立常态化的数据合规机制,积极和中国数据出境的主管机关进行联系,对自身涉及的相关数据进行分类分级,进行数据出境风险自评估,按照《数据出境安全评估办法》以及《数据出境安全评估申报指南(第一版)》的相关规定进行申报。
2. 主张国际条约或协议的适用或申请对数据的保护
中国当事方可根据案件的具体事实评估并进行深入分析,判断是否针对证据开示制度申请适用《海牙公约》或其他国际协议,如被法院拒绝,则可考虑申请对拟开示的数据进行特定处理等措施。
3. 尽早披露中国法下的数据保护相关法规并持续关注后续的权威司法解释
在进入涉外诉讼程序后,若中国当事方认定向美国法院开示证据可能会违反中国的数据保护相关法规,其律师应主动向对方、并在必要时向法院主动披露相关的数据保护法规。在取证阶段开始后,若当事方在未披露数据保护法规的情况下拒绝开示证据,法院可能会对当事方的不披露行为进行制裁。同时,对涉外诉讼领域的数据跨境传输也应当对后续的权威司法解释或配套管理办法密切关注,将其视为一项重要的数据安全保护工作。
