诉讼或仲裁中证据的跨境传输,在当今世界各国为数据安全监管互相角力的背景之下,已不再是一池静水。这在十年前或无法预料。
中国内地在数据跨境活动的规管上起步稍迟,但立法势头正猛。在法律层面,从2017年生效的《网络安全法》开始,中国内地于2021年相继出台了《数据安全法》和《个人信息保护法》(统称“中国内地数据法律”)(请见本所针对《个人信息保护法》、《数据安全法》的法律动态评论,和中国内地数据法律的系列播客节目)。在行政法规和部门规章层面,则有于2022年9月起施行的国家互联网信息办公室(“网信办”)出台的《数据出境安全评估办法》(“《评估办法》”),《个人信息出境标准合同办法》,以及多项征求意见稿,如《网络数据安全管理条例(征求意见稿)》(“《网络数据意见稿》”)和最新的《规范和促进数据跨境流动规定(征求意见稿)》(“《促进数据传输意见稿》”)等。虽然征求意见稿并未生效,但其为监管机构审查数据跨境传输活动提供了参考依据。该等征求意见稿,与现行的法律法规和部门规章等构建了中国内地数据跨境安全的法律体系。
诉讼或仲裁中的证据,因其往往具有“数据”属性而被卷入这场角力。本文将从跨境民商事争议解决的场景出发,抛砖引玉,探讨证据从中国内地出境的合规义务、实务进展和合规启示。
合规义务
中国内地数据法律对于“数据”的定义非常宽泛,其指任何以电子或者其他方式对信息的记录1。类似地,个人信息指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但不包括匿名化处理后的信息2。
针对跨境司法活动,《数据安全法》第36条和《个人信息保护法》第41条较为笼统地规定,对于存储于中国内地境内的数据或个人信息,非经中国内地主管机关批准,不得向外国司法或者执法机构提供。
《评估办法》则提供了一条较为清晰的数据出境路径,其于第4条列明需进行安全评估并获批准的以下情形:-
(1) 数据处理者向境外提供“重要数据”(见下文评述);
(2) 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4) 国家网信部门规定的其它情形。
简单来说,在跨境司法或执法活动中,存储于中国内地境内的数据或个人信息需申报数据安全评估并获得内地主管机关的批准方可出境。
值得一提的是,在司法协助领域,中国司法部(“司法部”)已重申,外国司法机关或个人申请调取位于中国内地的证据材料或询问证人,均应通过国际条约规定的途径,向司法部或外交部提出申请;非经批准,任何机构或个人不得在中国内地进行取证3。这一规定十分明确,本文不加以展开。
实务进展
哪些数据需经批准方可出境?
《数据安全法》第36条和《个人信息保护法》第41条并未对需经批准才可出境的“数据”或“个人信息”设置限定条件。故而有从业者认为,这意味着一切存储在中国内地的数据和个人信息,无论性质和数量,均不得在境外司法活动中提供,即便其简单如一封电子邮件或一张照片。如该解读正确,这将是一项严格且宽泛的限制。
同时,也有从业者指出,司法部在答复询问时曾表示,对于不涉及重要数据且不属于上述《评估办法》第4条第(2)至(3)项规定情形的证据,原则上可以直接出境,而无需评估或批准。然而,目前没有任何法律文件对此豁免做出确认,这在一定程度上带来了合规风险。更令人关切的是,《规范数据传输意见稿》提议在特定条件下免除部分跨境活动的数据出境安全评估要求,并进行了列举式说明4,然而 “跨境司法活动”并不在列。
针对“重要数据”和《评估办法》第4条第(2)至(3)项规定的个人信息,将其提交至外国司法机构需获批准则比较明确。然而, 由于“重要数据”的定义极为宽泛5,识别标准模糊,实务上常常难以辨别。《规范数据传输意见稿》第2条现规定,“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。” 其似乎意味着,申请人可以先预设其并不处理重要数据,除非政府机构或公告另有通知。
此外,中国内地亦限制某些特定数据出境,主要涉及到国家秘密、健康医疗大数据、测绘成果和人类遗传资源信息6,该等数据通常需要取得相关主管部门的特别批准后,方可出境7。
最后,实践中对“出于自愿”还是“被要求”向境外提交证据是否应区别处理也有相关讨论。对此,司法部曾于日期为2022年6月的《国际民商事司法协助常见问题解答》(“《问题解答》”)中释疑,指无论是出于自愿还是被要求,数据出境均应符合《民事诉讼法》、《数据安全法》和《个人信息保护法》的相关规定8。该《问题解答》现已从司法部的官方网站中移除。官方态度是否有所改变尚未可知,但未履行合规义务而“主动”向境外提交证据的合规风险仍存。
“外国司法或者执法机构”的范畴
中国内地境外的法院、执法部门、证券主管机关(例如美国证券交易委员会)普遍被认为属于“外国司法机构或执法机构”。然而,实践中对国际仲裁机构、仲裁庭是否也包括其中存在争议。
有从业者认为,如香港国际仲裁中心、新加坡国际仲裁中心和伦敦国际仲裁院等仲裁机构均具有独立性和非行政性。该等机构均为依据各自所属地区法律成立的有限责任公司,其私有和独立的性质亦获得了法律确认。因此,仲裁庭不应受《数据安全法》第36条和《个人信息保护法》第41条规制。
然而,实践中,相关政府部门之间对此态度不一。在笔者近期处理的一宗案件中,司法部认为仲裁庭确属“外国司法机构”,因此向其披露重要数据须经批准。
另,从法域的角度来看,此处的“外国”应亦包括港澳台地区。这在中国内地的《出入境管理法》9 以及《网络数据意见稿》》10中皆有印证,也符合中国内地民事诉讼领域一贯的司法实践,即将涉港澳台地区比照域外处理11。
审批机关、流程与时限
《数据安全法》和《个人信息保护法》均未指明处理批准申请的主管机关;而《数据安全法》第5条和第6条则规定了中央和地区层面、各行业主管部门、公安机关、国家安全机关以及网信部门对数据安全各自承担的监管责任。这在一定程度上带来了职权竞合与重叠,给申请人造成困扰。缺乏既定指引、指示不一以及机构之间的责任推诿,则带来了进一步的混乱和延误。
回顾笔者近期的一宗案件,证据出境的申请流程可大致分为以下几步12:-
(1) 首先,申请人向司法部提出数据出境的书面申请,并提交支持材料。
(2) 随后,司法部将会同最高人民法院和网信部门等对拟出境的材料进行审核。审核并无明确的时间表,但根据案件的重大及复杂程度,可能需要数月。
(3) 审核通过后,司法部将为申请人出具批文。
(4) 申请人随后依据批文的内容向境外提交证据材料。
针对申请的支持材料,根据《评估办法》第6条,其可包括(1)申报书;(2)数据出境风险自评估报告和(3)数据处理者与境外接收方拟订立的法律文件。实践中,通常还需提交证据清单和由中国内地的律师事务所出具的针对该等证据材料的法律评估报告。
合规启示
提前评估与规划
对于中国内地的当事人而言,在程序初期,即应开始梳理证据的范围和性质,明确可能适用的有关数据出境的法律法规、主管部门、申请流程与时限。这将有利于评估数据出境的合规风险,采取适当的合规策略,避免因解决跨境争议引发数据合规风险。
对于中国内地境外的当事人,如经评估认为所涉纠纷可能需要跨境证据传输,应密切留意中国内地数据法律的更新发展,并因应案件整体策略,未雨绸缪,预先咨询法律意见、部署对应措施。
积极沟通以增强程序的可预见性
如前所述,如当事人对于证据材料出境是否需要批准、数据的属性(例如是否属于“重要数据”)或仲裁庭的属性存疑,可就相关事项提前与司法部、行业主管机关积极沟通,获取反馈意见,并及时通报律师团队、司法机构、执法机构以及对方当事人。
在国际仲裁领域,考虑到当事人意思自治的特点,各方可就文件开示程序商议必要的替代措施。而仲裁庭也可因应证据跨境传输所需的程序和时间,相应调整程序时间表,为证据跨境传输预留充分时间,以增强程序的可预见性。
避免极端操作
中国内地的当事人向境外提供证据时,应避免漠视数据出境的合规义务,而直接向境外司法机构或执法机构提交证据。若证据涉及“重要数据”或大量个人信息,则可能引致违反中国内地数据法律的严重后果13。
另一方面,在就证据出境与司法部或其它相关部门进行前期沟通,以及在提交证据出境申请之前,务必首先进行筛选,缩小文件范围,避免不加节制地提交全部证据材料。后者不但有可能导致无效沟通、申请被驳回,更会严重增加审核难度,拖长时限。当然,文件的前期梳理有赖于当事人内部健全的文件管理体系。故而,在必要情况下,可让中国内地的律师事务所提早介入,联合当事人的法务部门,对文件进行初期评估,这亦有利于备置申请所需的法律评估报告。
合理管控无法提交证据的潜在不利影响
如因数据出境的合规义务,确实无法提交重要证据,当事人及其律师团队应采取一系列措施以合理管控由此产生的潜在不利影响。比如时刻保持诚信诉讼,展现尽职勤勉,积极讨论、提出替代措施等,以将不利影响降到最低。
1 见《数据安全法》第3条
2 见《个人信息保护法》第4条
3 见司法部于2023年3月发布的《国际民商事司法协助常见问题解答》第二部分。
4 见《规范数据传输意见稿》第1条。
5 根据《数据安全法》第21条以及《评估办法》第19条,“重要数据”指的是一旦遭到泄露会对国家安全、公共利益、社会稳定、公众健康以及安全会造成重大影响及危险的数据。
6 该等数据可对应《评估办法》第4条第(4)项。
7 可参考 《中华人民共和国保守国家秘密法》第30条,《国家健康医疗大数据标准、安全和服务管理办法(试行)》第30条,《中华人民共和国测绘法》第34条,《中华人民共和国生物安全法》第57条。
8 见《问题解答》问题8。
9 在其第89条中,“出境”被定义为“由中国内地前往其他国家或地区,包括由中国内地前往香港特别行政区、澳门特别行政区,由中国大陆前往台湾地区。”
10 根据其第13条的规定,“数据处理者赴香港上市,影响或者可能影响国家安全的”,“应当按照国家有关规定,申报网络安全审查”。
11 见自2022年4月10日起施行的关于适用《中华人民共和国民事诉讼法》的解释第549条。
12 此项申请大约于2022年第三季做出。其后的申请,是否仍旧依照此流程暂不明确。
13 例如,《数据安全法》第48条第2款。
