如今,数据已然成为继土地、劳动力、资本、技术之外的第五大生产要素,被称为数字经济时代的"石油"。数据流动在带动技术流、物质流、人才流、资金流的同时,也带来了更多风险,引起了全球许多法域对"数据出境"问题的关注与监管的加强。日前,美国总统发布《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》,以"国家安全"之名,限制敏感数据流向中国等有关国家。实际上,中国近年来对于数据出境也构建了相关法律规则予以监管,企业需要详细了解与遵守,确保数据从中国出境到境外的合法合规性。尤其是,随着近年来越来越多的中国企业在美国等法域被起诉,数据出境合规性这一问题在实践中也变得愈发重要。

具体而言,当涉及到中国企业应对美国等普通法系国家的境外诉讼时,证据开示是程序和实体问题审理都无法绕开的关键环节。在证据开示这一环节,中国企业往往需要将储存在境内的大量电子数据发送至境外,作为证据进行开示,否则将面临被处罚和败诉的风险。而在应对境外诉讼程序中将证据开示给对方当事人,必然意味着证据的出境、数据的出境,只有符合中国的相关法律规定时才可以实施,否则,中国企业将面临违反中国法的严重后果。因此,在中国对数据出境的监管规则日渐完善和充实、国家对数据安全日渐重视的今天,对拟出境的数据进行前置性审阅和评估,已成为中国企业应对境外诉讼证据开示环节的必经之路。

本文基于中国已经发布的法律法规、标准、指南(包括征求意见稿),以及中国加入的国际公约,同时结合我们的实务经验,对在境外诉讼证据开示环节涉及的数据出境及合规审查问题进行全面介绍,以期对面对相关问题的中国企业有所助益。

一、跨境证据收集与出境的路径介绍

根据《中华人民共和国民事诉讼法》("《民事诉讼法》")、中国加入的《关于从国外调取民事或商事证据的公约》("海牙取证公约")、《中华人民共和国数据安全法》("《数据安全法》")、《中华人民共和国个人信息保护法》("《个人信息保护法》")和《中华人民共和国网络安全法》("《网络安全法》")的相关规定,中国主体向境外法院提供证据的途径主要有两条:

  • 一是由外国法院依据《海牙取证公约》、当事国与中国的双边协定、平等互惠原则等向我国司法部等部门请求协助调查取证(司法协助途径);
  • 二是中国主体主动或应境外法院要求向境外法院提供证据材料(当事人主动提供途径)。

1、司法协助途径

根据《民事诉讼法》第284条第1款的规定,请求和提供司法协助,应当依照中华人民共和国缔结或者参加的国际条约所规定的途径进行;没有条约关系的,通过外交途径进行。

关于调取实物证据,根据司法部于2023年3月30日发布的《国际民商事司法协助常见问题解答》("《问题解答》")第5条,应根据条约规定途径,由外国具有提出取证请求资格的司法机关或个人向司法部提出调查取证请求。与中国未缔结相关条约的,应向外交部提出请求。请求经审批后由人民法院执行,结果由请求接收部门答复请求方。目前,司法部司法协助交流中心开办了司法协助文书材料线上提交平台(即民商事司法协助系统,地址www.ilcc.online),用以提高国际民商事司法协助文书送达效率。一般而言,由于审批路径较长,司法协助途径通常将耗费数月时间。

关于调取言词证据,当外国司法机关或个人需要询问中国境内的证人或获取其他言词证据时,根据《问题解答》第6条,中国在加入《海牙取证公约》时已对公约第二章除第15条之外全部作出保留,不允许外国司法机关直接向位于中国境内的证人取证。外国相关机构应通过条约规定途径向司法部,或通过外交途径向外交部提出取证请求,请求经审批后由人民法院执行。因此,根据实务操作,如果外国司法机关或个人需要询问中国境内的证人或获取其他言词证据时,为了操作便捷,通常会请证人前往香港或澳门特别行政区进行作证。

2、当事人主动提供途径

根据《数据安全法》第36条、《个人信息保护法》第41条规定,中国主管机关根据有关法律和缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据和个人信息的请求。非经中国主管机关批准,相关组织、个人不得向外国司法或执法机关提供储存在中国境内的数据或个人信息。

因此,原则上讲,一切存储在中国境内的数据(包括涉及到个人的信息),在获得相关主管机关的批准前,均不得在外国司法活动中提供。理论上,可以认为前述规定的主管机关是司法部司法协助交流中心。司法部司法协助交流中心作为协调机关,会同最高人民法院、国家互联网信息办公室("国家网信办")、相关业务主管部门审核通过后,为申请方出具批文,之后证据材料可以出境。

但随着数据出境安全评估制度和个人信息出境机制的逐渐建立,目前电子数据证据出境审查的政府部门职能发生了一些调整。目前,通过条约途径的证据出境仍由司法部司法协助交流中心负责办理,而境内当事人主动向境外司法机关提供证据的方式,则需要依据《网络安全法》《个人信息保护法》《数据安全法》等相关法律规定,由网信办作为归口管理部门,负责审查拟出境证据的安全性。

二、证据开示环节数据出境审查涉及的数据类型和处理方式

根据《网络安全法》《个人信息保护法》《数据安全法》的规定,对于不同类型的数据,如重要数据、个人信息和关键信息基础设施运营者的数据,存在不同类型的出境限制。另外,随着涉及央企和重要业务的境外诉讼数量增加,还需要考虑拟出境的数据是否可能涉及严控出境的国家秘密。因此,一般而言,在当事人主动向境外提供数据作为证据时,应首先对数据是否包含国家秘密、重要数据和个人信息以及是否涉及关键信息基础设施进行审查评估。

关于国家秘密、重要数据、个人信息、关键信息基础设施等特殊类型的数据,中国法律法规存在如下特别规定:

1、国家秘密的出境限制

根据《中华人民共和国保守国家秘密法》("《保守国家秘密法》")第2条,国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。在中国,任何单位和个人都有保守国家秘密的义务,国家机关和涉及国家秘密的单位管理本机关和本单位的国家秘密保密工作。根据该法第25条规定,机关、单位应当加强对国家秘密载体的管理,任何组织和个人不得未经有关主管部门批准,携带、传递国家秘密载体出境。第26条规定,禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。

因此,通常涉及到包含国家秘密的文件,一般被严格限制出境,不能作为证据在境外诉讼中开示给对方当事人。这种情况下,境内律师可以协助企业准备具体的审阅日志,从而在境外诉讼程序中用以说明其无法出境的合理原因。另外,需要注意的是,由于我国对于国家秘密定义的概括性,在境内审阅评估某一文件是否包含国家秘密时,需要结合相关企业所在行业的专门法律规定进行全面审查和分析,以防止对国家秘密过于狭隘的理解,引发出境合规风险。

2、个人信息的出境限制

根据《中华人民共和国民法典》("《民法典》")第1034条,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

根据《个人信息保护法》第38条、第40条以及《网络安全法》第37条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者向境外法院提供个人信息时,应当通过国家网信部门组织的安全评估;其他数据处理者可以选择通过国家网信部门组织的安全评估、取得专业机构组织的个人信息保护认证或与境外接受方签订国家网信部门制定的标准合同后向境外法院提供个人信息。因此,涉及到个人信息的出境,根据个人信息的情况不同,通常有以下路径:

  • 数据出境安全评估;
  • 个人信息保护认证;
  • 订立个人信息出境标准合同;
  • 取得相关个人的单独同意;和
  • 对个人信息进行模糊处理后出境。

(1)数据出境安全评估

根据《数据出境安全评估办法》第4条,涉及以下两种情况的个人信息,需要向网信办申请安全评估,通过后方可出境:

  • 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
  • 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

(2)个人信息保护认证

根据《个人信息保护认证实施规则》,对于个人信息处理者开展个人信息跨境处理活动,可以进行个人信息保护认证,《个人信息保护认证实施规则》适用的主体包括:

  • 申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉;
  • 跨国公司或者同一经济、事业实体下属子公司或关联公司;
  • 《个人信息保护法》第3条第2款规定的境外个人信息处理者(即在中国境外处理中国境内自然人个人信息以分析、评估境内自然人的行为的活动)

根据实务经验,个人信息保护认证之路径一般适用于需频繁进行数据出境的主体。

(3)订立个人信息出境标准合同

根据《个人信息出境标准合同办法》,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,如果同时符合下列情形的,由于不满足数据出境安全评估申报义务的触发条件,因此可以选择签署标准合同以降低出境的风险:

  • 非关键信息基础设施运营者;
  • 处理个人信息不满100万人的;
  • 自上年1月1日起累计向境外提供个人信息不满10万人的;
  • 自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

(4)获得个人的单独同意

  • 根据《个人信息保护法》第13条,如取得个人的同意,个人信息处理者也可以处理个人信息。因此,在需要出境的个人信息仅涉及到少量个人时,通过同意函等形式取得个人信息出境的单独同意,也是实践中较为便捷的处理方式。

(5)对个人信息进行模糊处理后出境

  • 在个人信息本身不构成对案件处理的关键证据,本身不需要向境外对方当事人或法院披露时,可以对个人信息进行模糊处理、使其不再能够准确识别到某特定自然人后(处理后使相关文件不包含个人信息)后,将相关文件出境。

03、重要数据的出境限制

根据《数据安全法》第21条,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成危害的数据。根据《数据出境安全评估办法》第4条的规定,数据处理者向境外提供重要数据均需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

全国信息安全标准化技术委员会于2022年1月13日发布了国家标准《信息安全技术 重要数据识别指南(征求意见稿)》,为识别重要数据提供了可供参考的详细标准。

04、涉及关键信息基础设施的出境限制

根据《数据安全法》第31条及《网络安全法》第37条规定,关键信息基础设施的运营者向境外法院提供个人信息和重要数据时,应当通过国家网信部门组织的安全评估。根据该条规定,关键信息基础设施运营者负有额外的数据出境安全审查的申报义务。

根据《关键信息基础设施安全保护条例》第2条,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

关于关键信息基础设施的具体判断标准,《关键信息基础设施确定指南》提供了初步的指引。根据该指南的规定,关键信息基础设施通常包括网站类,如党政机关网站、企事业单位门户网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。而具体关键信息基础设施的认定规定和认定工作,则有赖于相关行业和领域的主管部门、监督管理部门进行。

三、出境前的数据合规审查实操要点

在应对境外诉讼的证据开示环节而将电子数据出境前,一般会经过"数据提取/处理—数据审阅/标注—数据打包/导出—数据出境"四个步骤。其中,数据提取/处理和审阅/标注两个环节最为关键。

01、数据提取/处理

数据出境开始于在对目标设备(如某自然人的手机、电脑等)的数据进行提取、解析,并导入相关数据审阅系统(如Relativity等)的过程。此外,还需要根据涉案法院的要求对相关数据进行关键词检索处理、加密处理和提供保护措施等。根据被提取数据的主体的保密需求高低,数据审阅可以远程线上开展,也可以搭建保密服务器、保密室等工作环境线下开展。后者对数据的保密程度更高,被许多保密性较强的行业或者国有企业采取的居多,当然也需要更多的数据处理前期准备时间。

02 、数据审阅和标注

在数据导入数据审阅系统、审阅工作环境搭建完成后,审阅人员即可开展数据审阅的工作。

如前所述,在主动向境外法院或当事人提供数据作为证据前,一般需要按照如下步骤,对数据首先进行全面的审阅:

第一,全面审阅拟出境的证据,判断是否有国家秘密、重要数据、个人信息,判断依据主要包括:

  • 国家秘密:《保守国家秘密法》第9条,以及涉案公司所在行业的特定法律法律法规。例如,对于国有高科技行业,还可能需要依据《科学技术保密规定》第9条、《国有资产管理工作中国家秘密及其密级具体范围的规定》等;
  • 重要数据:《数据安全法》第21条、《数据出境安全评估办法》第19条、《重要数据处理安全要求(征求意见稿)》、《信息安全技术 重要数据识别指南(征求意见稿)》;
  • 个人信息:《民法典》第1034条。

第二,对于识别出的数据进行相应处理。

  • 对于国家秘密,根据《保守国家秘密法》,鉴于目前实践中报批程序上尚不具有实操性,出于谨慎考虑,可以考虑全部扣留,不予出境;
  • 对于重要数据,应进一步判断是否需要进行数据出境安全评估申报;
  • 对于个人信息,应当判断其是否为诉讼程序所必需。如果个人信息非诉讼程序必需信息,可以进行遮盖处理。如果个人信息为诉讼程序所必需,则进一步判断出境主体是否为关键信息基础设施经营者或处理个人信息达到一定规模,足以触发数据出境安全评估申报义务。如果未触发数据出境安全评估申报义务,则考虑是否采取个人信息保护认证或标准合同等替代性措施。此外,如获取个人信息保护认证或签署标准合同存在困难,也可以单独获得相关个人的同意。

第三,根据数据审阅的结果,对识别出的国家秘密、重要数据和个人信息添加描述,以便后续根据境外律师或对方当事人的要求制作相应的日志,在相关文件因中国法律规定无法出境时,用以替代原文件出境,成为当事人证据开示、质证的依据。

四、涉境外诉讼数据出境的合规工作要点提示

01、关注证据开示的时限要求

在应对境外诉讼证据开示的要求时,与我国所属的大陆法系不同,普通法系的证据开示属于当事人主导,时限通常是双方当事人对抗的重点问题。如果超过法院安排的证据开示时限,当事人不仅需要承担举证不能的不利后果,还有可能面对不菲的罚款。如前所述,数据出境往往需要大量的审阅工作,并且需要根据数据的情况向相关机构申报或申请认证,整个流程一般耗时较长。因此,在对方当事人证据开示的要求确定后,在提出抗辩尽可能缩减开示范围的同时,企业也需要提前进行数据提取和数据审阅的准备,以充分和及时应对。

02、做好境内和境外数据处理团队的衔接

一般情况下,数据提取后的解析、审阅、标注、批注、打包等工作,都依赖于专门的数据处理系统。除了需要境内有专门的数据处理和审阅团队对数据进行审阅外,在提供给对方当事人前,境外的诉讼团队也往往需要对数据进行"律师特权"和文件"相关性"的二次审阅或复核。境内、境外的数据审阅团队均需要数据处理团队提供技术和工作环境搭建的支持和辅助。但由于境内、境外的数据团队可能使用不同的数据审阅系统,对数据加密、解析的方式也可能存在不同,因此,为了尽可能节省数据出境的时间,建议境内外的数据处理团队提前就技术问题做好对接。

03、对法律规定和相关行业特别规定的恰当理解和把握

重要数据和关键信息基础设施的判断,均存在行业特殊性。并且,数据出境的规则仍处于发展过程中,重要数据和关键信息基础设施的认定标准尚在征求意见当中,随时可能发生变化或更新。而重要数据和关键信息基础设施都会为企业施加更多的数据出境安全评估义务,在出境前均需要额外的审批流程,可能影响数据出境的工作安排。因此,在数据审阅过程中,律师团队对相关法律规定的及时跟进,对相关行业重要数据的识别以及对关键信息基础设施的恰当认定都非常重要。

04、尽早引入数据审阅团队开展数据审阅工作

由于证据开示通常涉及大量的电子数据,即便进行了关键词检索,也通常意味着大量和多轮的审阅工作。如能尽早引入数据审阅团队,则可以及时对数据的状态和包含内容进行初步了解,以便对审阅和出境工作安排进行及时调整。

通常情况下,当事人的证据开示要求往往会发生多次变化,在阶段性地确定证据开示的要求后,即可引入数据审阅团队,滚动性、阶段性地对数据进行审阅,以尽可能及早完成境内数据的审阅,并判断是否需要安全评估申报等前置性审批工作。

在审阅数据的过程中,境内的数据审阅团队也可以初步帮助对证据中与涉诉事项的相关内容进行初步评估,以帮助企业对实体审理产生初步预期,为合理安排诉讼策略提供辅助。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.