郝勇:中美数据如何合法地相互“出境”?
中国关于数据传输的法定限制
在中美跨境诉讼中,证据开示在整个诉讼过程中通常是耗费时间最长、成本最高的一个阶段,并可能涉及复杂法律程序或造成直接争议。首先,根据《中华人民共和国民事诉讼法》的相关规定,任何外国机关或个人不得在中国境内进行取证;如需进行取证,外国机关或个人应向中国司法部事先申请批准。即使是由中国境内机构进行取证,中国法律对数据出境也做出明确限制。
《中华人民共和国网络安全法》(以下简称网络安全法)于2017年7月1日生效,目前是中国现行的数据保护方面的主要法规。网络安全法规定,与国防科技工业、金融,及公共通信等行业有关的“关键信息”的出境需要经安全评估,且收集或使用“记录个人身份的信息”需经被收集者同意。换言之,在网络安全法的法律框架下,数据主体向境外机构(包括司法机构)提供个人信息须获得被收集者的同意。除网络安全法外,某些针对特定行业(例如银行业)的法律法规也对数据出境做出了一定限制,具体在此不作详述。
自网络安全法生效后,我国对数据出境安全更为重视,并不断地加强立法以保护数据的出境安全,其中包括已于2021年9月1日生效的《中华人民共和国数据安全法》(以下简称数据安全法)和即将于2021年11月1日生效的《中华人民共和国个人信息保护法》(以下简称个人信息保护法)。这两项法规的出台将进一步增强我国对数据的保护,使数据出境受到更为严格的限制。“数据”在网络安全法中被定义为“任何以电子或非电子形式对信息的记录”。根据数据安全法的相关规定,原则上向境外司法或执法机构提供数据信息都需经中国主管机关的批准;如果存在类似于海牙公约的国际条约,中国主管机关将按照相关条约处理外国司法机构关于提供数据的请求。对于违规提供数据的行为,数据安全法明确了包括警告、罚款等在内的行政处罚措施。根据个人信息保护法的相关规定,“个人信息”被定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”;对于个人信息的跨境提供,信息提供方须获得被收集者的同意与中国主管机构的批准。因此,数据安全法及个人信息保护法明确了中国处理外国司法或者执法机构关于提供数据请求的一般原则,并强调了对中国企业合法合规地向外国司法或者执法机构提供数据的重视。
根据我们以往的经验,在中美跨境诉讼中,上述中国法下的数据出境限制往往对中国当事方履行其美国法下的证据开示义务带来一定的挑战。美国证据开示制度的基本原则是“公众有权获得每个人的证据。”正如美国最高法院在尼克松水门案件中所言,对于上述基本原则,法院“不能轻易建立例外情况,也不能扩大解释,因为它们将有损于对真相的探索。”因此,美国的证据开示规则旨在让当事方在庭审前尽可能充分地了解问题和事实。根据美国《联邦民事诉讼程序》(简称《民事诉讼程序》)第26(b)条,“考虑到诉讼所涉事项的重要性、争议金额、双方对相关信息的相对访问权限、双方的资源、证据开示对解决问题的重要性,以及证据开示的负担或费用是否超过其可能带来的收益,当事方可以根据案件需要获得与任何一方的请求或抗辩相关的任何非保密事项的证据开示。”对于电子证据,《民事诉讼程序》第26(a)条规定,诉讼相关方需提供其所拥有、保管或者控制的可能用于支持其主张和抗辩的电子存储信息以及其他任何形式的相关复制品。换言之,如果被要求开示的信息与诉讼标的相关,即属于证据开示的范畴。若诉讼当事方未能完成开示或拒绝开示关键性文件,可能会削弱该方律师申诉或辩护的能力,对自身的主张产生不利影响。此外,除诉讼相关方,第三方也有可能收到证据开示要求。《民事诉讼程序》规定,只要一方当事人在法院的管辖范围内,法院就可以以传票形式要求第三方提供文件或庭外证人证言。履行有关证据开示的请求或依传票要求出庭是强制性的,若未能履行该义务,将可能会产生民事甚至是刑事责任。
由于美国与中国均为《关于从国外调取民事或商事证据的公约》(“海牙公约”)的签署国,海牙公约理论上适用于中美跨国诉讼,且对当事方证据开示的手段有所限制。然而在实践操作中,美国法院有较大可能拒绝遵循国际条约设定的程序,仍要求当事方遵守《民事诉讼程序》等法律规定。在考虑海牙公约是否适用时,美国大多数联邦法院(包括纽约联邦法院)会对数个因素进行综合考量,包括但不限于:申请开示的文件或信息对诉讼的重要性、证据是否来源于美国、是否存在除《民事诉讼程序》外的其他证据开示方法及依海牙公约开示证据是否会损害美国的利益等。在该类案件中,美国法院通常认为,中国方面通过海牙公约处理和执行境外司法机构提出的证据开示请求的效率过低,致使海牙公约无法成为证据开示的合理方式。
若美国法院拒绝履行海牙公约,中国当事方未经中国主管机构批准、私自向美国司法机构开示证据的行为可能将违反数据安全法及个人信息保护法的相关规定,致使中国当事方面临潜在的行政处罚。反之,若中国当事方不遵守美国《民事诉讼程序》等法律规定开示证据,则可能受到美国法院的制裁。2018年弗吉尼亚州一起诉讼案件中,中国当事方称其无法获得掌握诉讼相关证据人员的同意,并以开示微信记录将违反中国隐私法为由,拒绝开示证据。法院最终对该中国当事方采取了制裁措施,并指出“中国当事方不应被允许轻易地以中国法为借口来避免其证据开示的义务”。
面对上述似乎是两难的境地,我们结合以往经验及相关案例,在此提出以下数种应对思路供涉及跨境诉讼的中国企业参考。需注意,考虑到中国的数据安全立法仍然在不断更新,中国企业须根据其案件中的具体事实独立评估相关方案的可行性,并判断是否存在更为适当的处置方式。
步入争议或诉讼程序后,若中国当事方认定向美国法院开示证据可能会违反中国的数据保护相关法规,其律师应主动向对方、并在必要时向法院主动披露相关的数据保护法规。在取证阶段开始后,若当事方在未披露数据保护法规的情况下拒绝开示证据,法院可能会对当事方的不披露行为进行制裁。
除披露相关法规外,中国当事方可酌情向美国法院申请基于海牙公约进行证据开示。如上文所述,虽然美国法院在大多数相关案例中明确拒绝海牙公约的适用,但也存在一定的成功案例。例如,在纽约州的一起诉讼中,美国当事方要求某中资银行的纽约分行(案件第三方)开示中国当事方的账户信息,遭到中资银行拒绝。该银行随后要求法院通过海牙公约,申请中国主管机构批准其对中国境内的账户信息进行开示。在考虑海牙公约是否适用时,纽约州联邦法院认为,中国当事方的账户信息确实存储在中资银行的中国境内分行系统中,且银行当事方向法院出具了中国数据保护方面的详细法规。此外,法院认为,若强制要求银行开示中国境内证据,可能会导致银行违反中国法律并受到相应制裁。由于银行本身并非案件当事方,为避免证据开示对第三方造成过大负担,法院经综合考量认为海牙公约在该案中的适用是合理的。鉴于美国法院在考虑海牙公约的适用性时会对各方因素进行综合考量,中国当事方在潜在争议中应对具体案件事实进行深入分析,从而判断是否应向法院申请海牙公约的适用。
若美国法院拒绝中国当事方通过海牙公约进行证据开示,我们建议可进一步考虑包括向法院申请保护令,申请对拟开示的数据进行特定处理等措施。
(君合律师事务所纽约分所律师刘义婧与实习生武心阳对本文亦有贡献)
微信公众号
微博