科研动态

你在这里

首页 > 科研动态 > 证据法学 > 正文
李贤森:民事域外取证与数据出境监管的冲突及应对
  • 浏览
    • print document

作者:李贤森(北京理工大学法学院副研究员,法学博士)

出处《比较法研究》2025年第1期



目次

一、外国跨境数据取证与我国司法数据出境监管的法律冲突

二、我国数据出境监管规定对司法数据出境的影响

三、《海牙取证公约》下的跨境数据取证问题分析

四、各国数据出境监管规定对跨境数据取证的限制效果考察

五、我国数据出境监管规定限制跨境取证的案例考察与效果分析

六、完善数据出境监管规定对跨境数据取证限制效果的建议


摘要: 在数字时代的跨国诉讼中,民事域外取证与数据出境监管之间的冲突日益明显。中国企业因为难以同时遵守美国法院的跨境数据取证要求和中国的司法数据出境监管规定而面临双重处罚就是典型代表。问题的根源在于,美国法院常常不顾《海牙取证公约》而依据其国内立法向中国当事人发布单边域外证据开示命令,要求跨境提供储存在中国境内的数据以及个人信息等涉案证据。并且,美国法院经常会采用消解、规避以及在国际礼让分析中作出不利认定等方式,来否定中国数据法律中数据出境监管规定的限制效力。为此,一方面,中国可以通过打击以跨境取证为名的数据流出与严格处罚未经批准的司法数据跨境转移行为,让数据出境监管规定“长出牙齿”;另一方面,通过引入“属人主义”管辖连接点作出例外规定,为中国企业提供有条件的豁免机会,避免中国企业因跨境举证困难而败诉并维护我国数据安全。
关键词:跨境数据取证;司法数据出境;数据管辖权;数据出境监管规定


  在国际民商事案件中,跨境数据取证是指在一国法院从位于其他国家或地区的网络服务提供商、平台运营商等第三方获取存储或处理的数据证据,以便用于证明案件事实、支持诉讼请求或进行其他法律程序。这类数据证据通常包括与案件相关的电子通信记录、交易数据、用户个人信息等。国际民事诉讼中的跨境数据取证,需要依据国际公约或双边司法协助条约进行,以确保数据的安全、合法与合规传输。

  在数字化时代,证据与数据重叠或者带有数据属性,而跨国诉讼涉及两个以上的国家,法院不可避免需要跨境取证。因此在跨国民事诉讼中,跨境数据取证与司法数据出境密切相关,外国法院的跨境取证要求与证据所在国的司法数据出境监管规定之间经常发生法律冲突,使当事人陷入两难。司法数据出境的监管问题成为当前跨国诉讼面临的新挑战。


01

外国跨境数据取证与我国司法数据出境监管的法律冲突

  跨境数据取证通常涉及两个以上国家的法律体系,需要协调各国法律对数据隐私和安全的规定。在某些情况下,这些规定之间可能存在冲突,导致取证过程变得复杂困难。同时,很多国家对司法数据出境进行监管,以保护本国公民的个人信息和数据安全。司法数据出境的监管规定会影响跨境取证,因为在取证过程中可能需要获取、传输或存储来自境外的数据。由此,在跨国诉讼中,外国法院的跨境数据取证要求与我国的司法数据出境监管规定之间的法律冲突开始突显。一方面,中国企业如果不遵守美国法院发布的证据开示命令,可能会因不配合取证被裁定藐视法庭,被罚款甚至禁止进入美国市场;另一方面,如果贸然跨境提交了包含储存在中国境内的数据与个人信息的涉案证据,则可能面临中国数据法律的处罚。因此,如何应对外国跨境数据取证与中国司法数据出境监管之间的法律冲突,不仅关乎中国当事人在跨国诉讼中的权益维护,而且关乎我国的数据安全与数据主权保障。

  在跨境数据取证中,美国法院依据《澄清境外数据合法使用法案》(以下简称“《云法案》”)确立的“数据控制者”原则,对司法数据的跨境转移采取长臂管辖。这打破了原有的国家间司法协助机制,对各国的数据主权和司法主权构成了严峻挑战。为应对美国法院宽泛且随意的证据开示要求,各国陆续颁布数据法律试图以数据出境监管规定限制其长臂管辖,从而维护国家司法主权与数据主权。近年来,随着许多国家相继通过立法加强数据出境监管,很多跨国诉讼当事人面临违反本国法律或被裁定蔑视美国法庭指令的两难境地。我国在数据安全法、个人信息保护法等数据法律颁布前,为应对外国跨境数据取证中的长臂管辖,就已在相关法律中作出限制规定。我国2018年国际刑事司法协助法第4条、2019年修订的证券法第177条分别从刑事诉讼及证券业角度,对境外机构在中国境内直接进行调查取证活动,以及境内组织或个人未经主管机关同意向外国提供证据材料的行为作出禁止性规定。此后,我国数据法律明确了司法数据出境的监管规则,以限制外国法院伸向我国境内数据的“长臂”。我国数据安全法第36条、个人信息保护法第41条都规定了非经主管机关批准,个人、单位不得向境外提供存储于中华人民共和国境内的数据、个人信息。

  司法数据出境涉及证据规则、程序规则、国际司法协助等诸多法律问题。目前,我国已有学者讨论数据安全法、个人信息保护法等数据法律的域外效力,但还没有结合具体案例,对我国司法数据出境监管与外国跨境数据取证的法律冲突及应对这一问题进行定量分析研究。随着我国数据安全法、个人信息保护法等数据法律陆续出台,我国形成了数据安全监管的新格局。如何解决这种法律冲突对中国企业海外诉讼权益与我国数据安全、数据主权的影响具有现实意义。近期的案件显示,已有中国企业开始尝试运用数据法律,试图限制美国法院对跨境数据取证的长臂管辖。据此,本文将在国际民事诉讼场景中,从三方面具体分析“司法数据出境监管与跨境数据取证的法律冲突及应对”:首先回顾梳理美国法院适用《关于从国外调取民事或商事证据的公约》(以下简称“《海牙取证公约》”)的情况,考察各国法律对此的回应及效果;然后在分析最新涉华案例的定量研究基础之上,探讨美国法院对中国数据法律的态度,以及中国数据法律对美国法院跨境数据取证要求限制效力的不足之处;最后针对上述问题进行总结并尝试给出完善建议。


02

我国数据出境监管规定对司法数据出境的影响

  为限制外国法院对跨境数据取证的长臂管辖,我国数据法律明确规定国内当事人在跨国诉讼中不得未经主管机关批准而擅自进行数据转移。在《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等数据法律颁布前,我国民事诉讼法并不禁止中国当事人主动向外国法院提供证据。但是,《数据安全法》《个人信息保护法》出台后,我国法律明确规定非经主管机关批准,境内的组织、个人不得向外国司法机构提供存储于境内的数据信息。

  (一)司法数据出境的监管范围

  第一,出境监管的数据形式不限。《数据安全法》第3条规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”虽然数据通常通过网络收集、传输与储存,与电子形式密切相联,但是数据的基本功能是记录信息,并不局限于单一某种介质。从文义解释讲,《数据安全法》下的数据范围是非常广泛的,并不局限于以电子形式记录的信息。在跨国诉讼中,中国当事人要向外国法院提交的证据,无论是电子形式还是纸质形式,只要涉及《数据安全法》规定的重要数据、核心数据,都可能受到司法数据出境监管。

  第二,出境监管的信息范围宽泛。《个人信息保护法》第4条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”《个人信息保护法》对个人信息的界定与《数据安全法》对数据的界定相似,都采取了尽可能宽的范围。需要注意的是,匿名化处理后的信息不属于个人信息,因为这样的信息失去了识别具体个人身份的功能而相对安全。同时,这也提示我国当事人在面对外国法院的跨境数据取证要求时,如果法院拒绝适用《海牙取证公约》,并且当事人以司法数据出境监管规定作为抗辩理由而被驳回,可以考虑申请对拟提交的数据证据进行技术处理。

  (二)司法数据出境监管规定的分析

  在跨国诉讼中,如果当事人拟向外国法院提交的证据材料涉及在我国境内储存的数据,则应符合数据法律对司法数据出境的监管规定。《数据安全法》第36条规定“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”;《个人信息保护法》第41条规定“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”。可见,虽然我国民事诉讼法并未禁止境内当事人出于自愿直接向外国法院提交位于境内的证据材料,但是相关材料如果涉及储存在境内的数据、个人信息,则涉案证据的出境将受到数据法律的监管。

  第一,从立法目的看,数据法律对司法数据出境的监管规定,虽然在文字内容上没有“反制”和“对等”等用语,但是目标却直指美国《云法案》、欧盟《电子证据条例》等,以限制外国法院对司法数据跨境转移的长臂管辖。具体而言,美国《云法案》规定美国法院在审理案件时,有权要求在美国的网络服务提供者披露所控制的全球范围内的证据材料,确立了美国可以全球取证的长臂管辖权。欧盟《电子证据条例》也规定无论数据在何处存储,欧盟成员国调查当局可命令在欧盟内提供电子通信和其他信息服务的企业提交或保存电子数据。为应对此,我国数据保护法第36条与个人信息保护法第41条确立了司法数据出境的前置审批条件,即中国当事人面对外国法院要求提交储存于中国境内的数据时,必须以取得中国主管机关的批准为前提。可见,数据法律在理论上钳制了其他国家法律对司法数据跨境转移的长臂管辖对我国境内数据的适用。但实践效果如何,还需要通过具体个案分析进行观察。

  第二,从实施细则看,其对司法数据出境与商业数据出境作出了区分,要求与程序不一样。2022年6月,司法部发布的《司法部关于国际民商事司法协助的常见问题解答》(以下简称“《解答》“)第8、9条表示,位于境内的证据材料如需出境,应符合我国民事诉讼法、数据安全法、个人信息保护法的相关规定。数据信息确需向境外提供的,应当通过国家网信部门组织的安全评估,认证后方可向境外提交。涉及到国际司法协助的,非经主管机关批准,境内的组织、个人不得向外国法院提供存储于中华人民共和国境内的数据或个人信息。从文字表述来看,《解答》区分了出于商业目的与司法协助目的的数据出境行为。国家网信部门是商业目的数据出境行为的主管部门,而司法协助目的数据出境行为的主管部门则应当为司法部。与商业数据出境不同,涉外纠纷解决中的司法数据出境,不仅涉及数据主权维护,还与司法主权保障密切相关,进行区分是必要的。

  还需要注意的是,根据《解答》第9条的内容,涉及到国际司法协助的数据出境,在条约规定框架下,由人民法院调取的证据材料等数据信息经最高人民法院审核后,由司法部转交外国请求方。从此处看,对于司法数据跨境转移,最高人民法院的审核具有替代网信部门安全评估的功能。换言之,不同领域的数据出境,监管部门不同。这种分类监管安排,有利于不同主管机关在各自专业领域具体把握不同类型数据出境安全的实际需求。

  第三,从配套办法看,《数据出境安全评估办法》作为数据法律的配套实施办法,第4条规定了数据出境前需要进行安全评估的具体情形,涉及特定信息、特定主体。在跨国诉讼的域外取证中,一些情形下的证据需要进行数据出境安全评估。例如,2021年美国要求涉及特定行业的中国企业向美国海关与边境保护局提供进口商品供应链中的相关数据,这些数据如果涉及国家安全、国家秘密、重大公共安全,可能被认定为“重要数据”。中国当事人在境外参加民商事诉讼,面对普通法系国家诉讼制度,尤其是美国的证据开示程序而被要求提供证据材料,其中可能含有“敏感个人信息”。在涉外案件中,个人电子邮件常常被作为证据,既是受《个人信息保护法》保护的个人信息,又是受《数据安全法》保护的数据。

  (三)司法数据出境监管对跨境数据取证的具体影响

  当今时代,全球化与数字化紧密融合,司法数据跨境转移与国家数据主权之间的冲突日益凸显。数据法律将对更多司法领域的传统规定产生冲击,迎接挑战与解决冲突将成为常态。

  第一,在跨国诉讼中,我国当事人未经国内主管机关批准,不得向外国法院跨境提交司法数据。中国当事人在参与有关司法数据出境的取证活动时,不能直接向外国法院跨境提交储存在中国境内的数据与个人信息等涉案证据,应该注意到我国数据法律对司法数据出境的监管规定,必须按照我国现行法律的规定进行司法数据出境申报。在《数据安全法》《个人信息保护法》出台前,我国法律并不禁止境内当事人主动向外国法院提供证据。但是《数据安全法》《个人信息保护法》明确规定,未经主管机关批准,在涉外案件中,境内当事人不得自行作出涉及跨境取证的数据出境行为。

  第二,基于商业目的和司法目的的数据出境由不同机关主管,申报流程与要求存在差异。根据《司法部关于国际民商事司法协助的常见问题解答》第9条,针对跨境证据提交的司法数据出境行为,国内主管机关批准具有数据出境安全评估的替代作用。跨国诉讼中的当事人应当树立数据合规意识,面对外国法院发出的跨境取证要求时,要注意是否符合我国的司法数据出境监管规定,否则将面临违反《个人信息保护法》《数据安全法》的行政处罚甚至刑事处罚。同时,涉诉企业在向司法部司法协助交流中心提交证据出境申请时,可以进行适当筛选,不必将所有证据全部提交申请,以节省审核时间。

  第三,相较于商业数据出境,数据法律对司法数据出境的监管更加严格。《数据出境安全评估办法》对商业数据出境安全评估的适用范围主要涉及特定数据、特定主体。对跨境取证的数据出境行为,《数据安全法》《个人信息保护法》规定凡是存储于我国境内的数据和个人信息都属于限制向外国法院提供的范围。换言之,我国对司法数据出境的监管规定比商业数据出境的范围更广、要求更严格。这增加了我国当事人在跨国诉讼中的举证难度,可能会影响其辩护权利。在办理司法数据出境审查的具体流程中,申请人需要对证据进行前期梳理,对于确实不涉及安全问题的证据可以无需审批。对于可能涉及重要数据的证据,或者申请方无法自行判断是否涉及重要数据的证据,可以提交司法部司法协助交流中心审核。


03

《海牙取证公约》下的跨境数据取证问题分析

  传统上,跨境取证主要通过国际司法协助来完成。跨境取证是跨国诉讼中经常会遇到的情况,但出于保护司法主权与各国法律的差异,一国通常不允许外国法院直接在本国境内取证,因此国家之间的取证合作成为必须。在跨境取证合作中,《海牙取证公约》是最重要的多边条约。虽然美国也是公约的缔约国,但从司法实践情况来看,美国法院很少采纳当事人依据《海牙取证公约》对域外取证要求提出的抗辩。

  (一)外国法院对我国的跨境取证

  外国法院向我国跨境取证需要注意两点:第一,我国认为《海牙取证公约》缔约国的法院应该适用公约进行跨境取证。第二,我国法律禁止外国法院直接对我国境内当事人进行跨境取证。我国主要依据《海牙取证公约》进行跨境取证的司法协助。公约是弥合大陆法系和普通法系之间取证差异,便利不同国家间跨境取证活动,增进各国在民商事领域司法合作的重要成果。公约作为民商事跨境取证合作领域使用范围最广、影响最大的多边条约,也是我国与其他缔约国进行跨境取证合作的主要法律依据。

  公约规定了请求书,外交官员、领事代表和特派员取证三种途径,但我国在1997年加入公约时作出了部分保留。根据《全国人民代表大会常务委员会关于我国加入〈关于从国外调取民事或商事证据的公约〉的决定》,我国现行的协助调查取证制度只保留了请求书途径、领事途径两种方式,排除了特派员取证以及任何形式的个人取证方式,取证的范围也限制在请求书所确定的范围内。可见,我国的跨境取证制度主要是“公对公”,外国法院的司法协助申请获得我国司法部审核同意后,将相关材料转交最高人民法院,由法院系统负责执行,再根据相关规定自上而下收集与反馈证据。因此,在跨国诉讼中我国当事人在面对外国法院的跨境取证要求时,首先应当考虑公约的适用,而非直接将数据跨境提交。从我国现行法律规定看,公约在缔约国之间跨境取证领域应该是排他性适用的,缔约国应该按照公约的规定和我国对相关条款的保留开展跨境取证活动。我国法律禁止外国法院直接对我国境内当事人跨境取证。

  考虑到中国和美国均为公约签署国,公约应适用于中美之间的跨国诉讼。但在美国司法实践中,美国法院通常认为,由于中国当事人通过公约处理和执行证据开示要求的效率过低,致使公约无法成为证据开示的合理方式,因此在美涉诉的中国企业仍被要求遵守美国《联邦民事诉讼规则》的规定,跨境提供包括个人信息及数据的案涉证据;未履行该义务的,可能被追究民事甚至刑事责任。同时,对于当事方援引中国数据法律中数据出境监管规定拒绝提供涉外证据的,美国法院近期在相关案例中亦进行了论证,多数情况下都驳回了以数据出境监管规定为由对证据开示程序的异议。准确理解并灵活运用公约的具体规则,尝试实现公约规定与我国数据法律中数据出境监管规定的相互配合,是善用国际条约助力国内立法效果的重要方式。

  (二)跨境数据取证中公约的适用现状与问题

  在跨境数据取证中,公约从正面规定了外国法院应当如何进行跨境数据取证,各国的数据出境监管规定则从反面限制本国当事人不得随意向外国法院提供数据信息。在跨国诉讼中,两者经常被当事人一起提出,作为拒绝外国法院证据开示要求的抗辩理由。因此,考察各国的数据出境监管规则就不能忽视公约的相关规定,同理,理解公约有助于数据出境监管规定发挥功效。

  公约并未规定排他适用,大陆法国家多将公约作为域外取证的唯一手段,普通法国家则相反,这为日后冲突埋下伏笔。在域外取证中,与公约冲突最明显的就是美国民事诉讼程序中的证据开示制度(discovery)。美国《联邦民事诉讼规则》第26条规定,当事人可以获得与任何一方主张或辩护相关的任何非特权事项的证据。此外,第45条还规定了使用传票迫使诉讼非当事方出示文件,传票可能要求接受传票人出示指定文件、电子存储信息或者其他持有或控制的有形文件。证据开示制度不仅在适用范围上十分宽泛与随意,而且可能被用于拖延诉讼进程、迫使当事人或非当事人选择和解等恶意目的。例如,在Gucci America, Inc., et al. v. Weixing Li, et al.案(以下简称“Gucci案”)中,中国银行因拒绝向美国纽约南区地方法院提供被告在中国银行的境内账户信息,在长达五年的法律争端中,两次被美国法院判定为藐视法庭,并按日罚款累计高达一百万美元。中国银行最终作出妥协,应法院要求提供了相关记录。

  尽管美国早在1972年就批准了《海牙取证公约》,但从实践看,美国法院对公约的适用情况并不理想,甚至尽量规避对公约的适用。自20世纪80年代起,美国法院就将公约视为获取境外证据的非强制性、非排他性机制,可以无视公约而选择美国《联邦民事诉讼规则》或各州民事诉讼规则。这一点与中国认为公约应当在缔约国之间强制适用的态度截然不同。在Societe Nationale Industrielle Aerospatiale v. U.S. District Court案(以下简称“Aerospatiale案”)中,美国最高院认为,就境外取证而言,公约规定的途径不具有唯一性与强制性:(1)法院认为公约中普遍使用“可以”来限定缔约国的行为,并且第27条的例外条款没有约定排他性的适用,从而认为公约提供的是一种可选择的证据开示方法。(2)法院认为公约第23条既然约定了“缔约国可以在签署、批准或加入时声明,不执行普通法国家的旨在进行审判前文件调查的请求书”,正是对缔约国本国证据开示规则的一种适用地位的认可,美国的证据开示制度当然具有可适用性。(3)公约第27条允许缔约国以限制更少的方式调取证据,这也能表明公约只是跨境取证的方式之一,而不能囊括所有可行选择。以此判决为开端,美国法院开始消极适用公约。

  虽然美国法院对《海牙取证公约》的适用不尽如人意,但通过检索美国近年来涉及中国当事人试图使用公约抗辩证据开示规则的案例,分析发现这种做法在一定情况下似乎也能看到一些尝试的前景:在Tiffany (NJ) LLC v. Qi Andrew案(以下简称“Tiffany案”)中,三家中资银行作为被告要求法院适用公约进行证据调取时,法院使用“国际礼让原则”进行了分析。虽然法院认为原告请求银行出示的信息具有重要性,倾向于命令银行出示信息,但是接受了中国当事人在其他考量因素上的抗辩,最终驳回证据开示请求,指示原告首先通过海牙取证公约进行取证。但是,在之后的Gucci案、Nike案中,美国法院又支持了原告的证据开示请求。摇摆不定的态度说明在跨境取证中,美国法院对国际礼让的分析适用具有较大不确定性。整体而言,在美国民事诉讼中公约的效力有限,中国当事人难以据此抗辩证据开示要求。例如在Nike案中,法院指出中国司法部没有提供回应公约要求的司法先例;在Inventus案中,法院认为通过公约程序向中国企业取证,通常非常昂贵和耗时,且不太可能获取到所需的证据,因此公约程序无法作为有效或及时的替代方案。可见,公约对阻断美国证据开示程序的实践作用有限,还需要配合各国阻断法发挥功效。


04

各国数据出境监管规定对跨境数据取证的限制效果考察

  对司法数据出境进行监管,以应对外国法院随意调取本国数据的需求是普遍且迫切的,包括中国在内的不少国家纷纷出台数据出境监管规定,以限制外国法院伸向境内数据的“长臂”。

  (一)美国的数据长臂管辖与各国应对的数据出境监管规定

  基于国家司法主权平等,外国法院调取存储在他国的数据,需要向数据存储国提出司法协助请求,而不得直接跨境取证。《云法案》确立“数据控制者”原则,使美国在数据跨境流动领域建立了长臂管辖,对全球数据流动生态产生了极大冲击。对此,各国纷纷出台阻断法应对美国法院的单边域外取证。

  1.美国对数据跨境流动的长臂管辖

  在数据跨境流动领域,美国奉行所谓的数据自由流动,但是在数据流入与流出上实行了双重标准,在数据流入上采取积极态度,在数据流出上设置诸多限制。因此《云法案》有两大特征:第一,在数据跨境流动领域确立“数据控制者”原则。据此,美国政府有权要求在美国的通信服务提供者提供其所掌握的数据,即使该数据储存在美国境外。这扩张了美国数据主权的效力范畴,将长臂管辖延伸至各主权国家境内,是美国国内法在数据跨境流动领域的域外适用。第二,当外国需要调取存储在美国境内的数据时,需要被认定为“适格外国政府”。“白名单”国家的认定需要符合一定的前提条件。

  实际上,早在20世纪80年代,美国的数据主权战略建设实践就已起步,并通过《保护美国关键基础设施总统令》《美国国家安全战略报告》《爱国者法案》《网络空间国家安全战略》等立法与文件不断推进完善,当前美国已经建成完善的数据主权战略体系。美国不仅是全球最早制定数据主权战略的国家,同时能随着国际环境与国家战略需求的变化而不断调整。《云法案》对数据跨境流动“内外有别”的双标规定,体现了美国构建全球数据霸权的企图。在美国和欧盟的推动下,一国政府直接向外国公司索要数据的跨境取证,可能成为常态化的法律规则。这意味着跨境数据取证与司法数据出境监管间的冲突将呈常态化。

  2.不同数据立法模式下的数据出境监管规定

  为保障数据主权,各国纷纷出台数据出境监管规定。这是数据存储地国家为了捍卫数据主权,防止美国“任意得近乎恣意”的司法跨境数据调取而采取的防卫和反击措施。数据出境监管规定分为适用于所有数据的一般立法与针对特定领域或类型数据的特别立法。

  (1)一般法模式的数据出境监管规定

  这种类型数据出境监管规定的实施,主要围绕对本国当事人遵守外国法律的行为进行处罚而展开。在跨境取证中,最著名的、也是最早的数据出境监管规定是法国在1968年颁布的第68-678号法令(French Blocking Statute)。其初衷是为了应对美国在二战前夕对国际船运卡特尔发起的反垄断调查,为法国船运公司拒绝美国法院的证据开示要求提供法律依据,防止敏感信息泄露给外国,维护法国的主权和经济。1980年,法国通过第80-538号法令对1968年的第68-678号法令进行修改。新法第1条规定,在没有法国法院命令的情况下,禁止任何法国个人出于提交证据的目的,向境外司法或行政机关披露关于经济、商业、工业、金融、技术方面的信息。并且,还为法国主体向境外提供特定类别的文件或回应证据开示要求增加了刑事责任。这种规定为法律禁止本国当事人私自向外国法院跨境提供数据提供了威慑力,但也为外国法院拒绝遵循本国阻断法埋下了伏笔。

  在法国的影响下,其他国家也陆续出台了相关法律规定,以限制外国法律在本国的不当适用。例如,英国在1980年通过贸易利益保护法(Protection of Trading Interests Act of 1980),授权国务大臣(the Secretary of State)基于英国贸易利益或有侵越英国主权疑虑的考虑下,可以要求本国当事人禁止配合外国法院或其他公权力机关的证据开示要求。一般法模式的数据出境监管规定适用范围广泛,不论何种数据只要存储在本国境内,均不得随意向外国提供。宽泛的规定看似全面,但会带来适用上的困难,也给跨国诉讼中的本国当事人带来较大压力。

  (2)特别法模式的数据出境监管规定

  与一般法模式的数据出境监管规定相对,一些国家的数据出境监管规定采取了对特定类型数据的跨境传输进行限制的模式。例如瑞士、卢森堡、新加坡等国家,对金融数据的跨境调取进行了限制。这些国家金融业发达,金融数据的安全对其地区或国际金融中心的地位影响重大,因此专门立法对金融数据的跨境取证进行了限制,规定银行负有对客户信息严格保密的义务。尽管这种立法模式的管辖范围相对集中,但也提高了外国法院跨境数据取证的难度。同样,我国也颁布了适用于特定行业的概括性数据出境监管规则。例如我国证券法第177条的规定,《工业和信息化领域数据安全管理办法》第24条、《汽车数据安全管理若干规定》第11条也属于此。

  另一种情况,就是个人信息保护方面的法律。2018年生效的欧盟《通用数据保护条例》(以下简称GDPR)就是例子,GDPR在适用范围上仅对个人信息的跨境调取作出限制,这也是特别法立法模式的一种体现。GDPR第五章专门设置了个人信息向欧盟境外传输的合法事由和条件,规定外国法院要求欧盟境内当事人将涉及个人信息的证据转移至欧盟境外时,只能通过《海牙取证公约》下的司法协助方式。需要注意,GDPR虽然只针对个人信息作出规定,但是其长臂管辖的力度却并不比《云法案》《电子证据条例》弱。GDPR约束的网络服务提供商不一定必须是欧盟本国公司,也并不一定必须是在欧盟境内设立代表机构的公司,而是只要面向欧盟境内提供服务,就会受到条例管辖。

  (二)数据出境监管规定应对跨境数据取证的效果考察

  各国的数据出境监管规定明确反对《云法案》的跨境数据取证规定,但实践效果并不理想。美国法院通常并不认可各国的数据出境监管规定,很少支持当事人据此提出的抗辩。虽然美国法院对涉及强制要求外国当事人披露信息,可能会冒犯到另一国的国家利益时,会进行“国际礼让分析”(comity analysis),但通常得出否定结论。某种程度上国际礼让分析成为一种掩饰,美国法院可以根据案件需要而对外国当事人的抗辩理由进行任意解释。从以下案例中,可以作出清晰考察:

  1.Aerospatiale案:形成国际礼让分析七要素

  1987年的Aerospatiale案是美国法院消极适用《海牙取证公约》,否定外国阻断法效力的源头。Aerospatiale是一家法国的飞机制造商。1980年,一架Aerospatiale制造的飞机在美国坠机,因坠机遭受损害的美国公民起诉法国所有参与飞机设计、制造和推广的公司。在证据开示程序中,Aerospatiale抗辩称,被要求披露的文件在法国,只能通过《海牙取证公约》规定的程序获取,并表示法国法律禁止直接披露此种证据。初审法院驳回了Aerospatiale抗辩,并指出:第一,法院不认为《海牙取证公约》要优先于《联邦民事诉讼规则》,公约并非法院获取境外证据的首要方式;第二,French Blocking Statute在法国很少被实际执行,当事人几乎没有真正被处罚的风险;第三,更重要的是,法院认为“美国法院保护美国公民免受外国产品侵害的利益”高于“外国政府保护其公民免受侵入式的外国证据开示程序的利益”。

  Aerospatiale上诉到美国最高法院后,最高法院就证据开示程序中的域内外法律冲突问题进行了初步分析。最高法院认为,《海牙取证公约》规定的程序是选择性的,并无强制性和排他性。但是初审法院在接到Aerospatiale的请求后,考虑是通过公约的规定程序还是《联邦民事诉讼规则》的证据开示传票程序获取证据时,需在“国际礼让概念”(concept of international comity)的指导下进行多因素的“具体分析”(particularized analysis)。法院将“礼让”定义为“国内法庭处理涉及其他主权国家法律和利益的案件的合作精神”,国际礼让并不意味着应优先适用公约。在衡量评估(balance test)中,分析因素包括“特定案件事实”、“国家主权利益”和“诉诸非《海牙取证公约》程序的有效性”。

  总结而言,美国最高法院的核心观点有三:第一,《海牙取证公约》并不具有排他性,而是《联邦民事诉讼规则》的补充手段;第二,即使其他国家有限制规定,法院也不一定必须适用公约;第三,在证据开示程序与他国法律发生冲突时,法院应进行国际礼让分析,根据分析结果决定是否适用公约。至今,美国最高法院一直对公约的效力和适用场景问题保持以上态度。此后,美国法院在Aerospatiale案的基础上,逐渐发展出了国际礼让分析的七大要素。法院在向外国当事人调取证据的过程中,如存在法律冲突,由法院根据这些要素进行具体分析后,来决定是适用外国法,还是适用《联邦民事诉讼规则》。

  2.国际货运航空案:美国利益优先

  在2010年国际货运航空案中,法国航空公司的抗辩被美国法院以国际礼让分析的结果驳回。在本案中,原告对法国航运公司发起了一项反垄断诉讼,并要求被告披露存储于法国境内的文件。法国公司辩称,在此前的刑事航运反垄断调查之中,美国司法部是通过两国之间的《刑事司法互助协定》,在遵守French Blocking Statute的情况下获取的相关文件,民事诉讼的原告也应当通过《海牙取证公约》中规定的程序获取证据。美国法院驳回了这一抗辩,并与其他案件一样,指出航空公司因提供这些文件被法国追究刑事责任的风险很小。既然法国当局已经同意向美国司法部公开这些文件,那么可以认定法国主权利益不会因此受损,法国法院也不会因为当事人披露了文件而追究其责任。同时,法院再次强调了美国反垄断执法中的国家利益的重要性。

  从理论上讲,French Blocking Statute将在《海牙取证公约》规定之外的任何“诉讼中提供证据”的行为定为犯罪。无论是法国当事人根据美国法院的证据开示要求提供了证据,还是向美国个体提供了阻断法所包含的任何信息,都将面临刑事处罚。但是,在实践中,法国在1980年通过该法律后的多年时间里,几乎没有执行该法律。French Blocking Statute执行上的缺位似乎很大程度上源于法律象征性的目的,即通过与颁布该法律只是为了阻止美国司法部对法国的航运集团执行美国《反垄断法》而作出的一种反制措施。当这些垄断集团解散时,法国并没有开始利用其权力来拒绝美国法院对法国实体日益激进的司法管辖。因而,美国法院一再迫使法国当事方支持证据开示,而不担心法国当事方将在法国面临刑事起诉。

  3.Nike案:中国司法部函件被美国法院否认

  在我国数据法律陆续出台之前,中资银行已有以国内法应对美国法院跨境取证要求的实践,但效果并不理想。例如,在耐克商标侵权案(以下简称“Nike案”)中,2013年耐克公司对数百家网上零售商提起商标侵权诉讼,法院判处未到庭被告赔偿18亿美元。鉴于判决可能难以实现,2017年Nike公司将判决债权转让给了Next Investments公司。由于判决中的被告大多位于中国,Next Investments公司随即申请法院向中国农业银行、交通银行、中国建设银行、招商银行和中国工商银行发放传票,要求提供判决中债务人的资产信息。中资银行抗辩称,中国的商业银行法规定了银行对个人账户信息的保密义务,Next Investments公司应按照《海牙取证公约》提出调查取证申请,然而这一抗辩并未得到法院支持。2019年,法院命令银行自收到命令之日起28日内执行调查令。最终,银行通过与司法部合作的“公对公”的方式提供了文件。

  在本案中,美国法院在进行国际礼让分析时认为:第一,六家中国银行对个人账户具有控制权,原告要求的开示义务对银行而言是具体的,且调取相关信息并不繁琐;第二,在获取债务人的个人账户信息问题上,《海牙取证公约》并非证据开示的有效替代路径,银行要求适用公约就是为了“缩小目前过于宽泛的开示范围”,而这将减损相关证据的功效;第三,美国实施商标法的利益要高于中国商业银行法反映的利益。中国银行对账户所有者提供的保障可以由其本人放弃,中国商业银行法保护的仅为账户所有者的个人利益而非国家利益。同时,美国法院还特别强调,虽然中国司法部出具了函件,表示根据中国商业银行法,只有中国有权机关才能根据法定程序获取个人银行账户信息,但是,中国司法部的函件更像是一封套用信函(form letter),其中并没有分析阐明中国商业银行法的性质和重要性以及其所保护的具体利益。因此,中国司法部的函件并不能证明中国对执行其商业银行法具有重大利益。总体而言,法院认为,通过国际礼让的分析,“请求是否具体”“是否存在其他取证方式”“美国利益与外国利益孰轻孰重”这三要素支持证据开示。

  总结上述典型案例,可以看出在国际礼让分析中美国法院权衡本国与外国国家利益时,倾向于美国利益优先,没有支持中国的先例。在说理时,美国法院往往通过强调被告行为的不法性,削弱在单边域外取证中保护中国司法主权的必要性;强调美国国会立法背后的权益相对外国利益的绝对性;否认强制取证事实上损害了中国的具体利益等方式,论证美国利益的优越性。数据法律中的数据出境监管规定很难从根本上抵抗美国法院这一分析范式的泛化使用。


05

我国数据出境监管规定限制跨境取证的案例考察与效果分析

  我国数据出境监管规定对外国跨境取证的限制效果一直有待观察。近两年来,美国法院出现了关于中国数据安全法、个人信息保护法在证据开示程序中具体适用的实践案例。跨国诉讼的中国当事人已经开始尝试运用数据法律中的数据出境监管规定作为依据,对美国法院的域外证据开示要求提出抗辩。在当前时代背景与司法环境下,我国数据出境监管规定能否阻挡美国法院的强制域外取证,需要结合具体案例进行分析。

  (一)数据出境监管规定限制跨境数据取证的案例考察

  在这些案件中,原告根据美国《联邦民事诉讼规则》中的证据开示程序,要求被告中国企业提交存放于中国境内的与案件相关的证据。这些证据的提交同时产生了个人信息和数据出境监管问题,属于我国数据安全法、个人信息保护法的适用范围。我国数据法律对司法数据出境的监管规定与美国法院的跨境取证要求之间存在实质冲突,中国当事人据此提出抗辩。对此,不同美国法院的态度不一。

  1.Valsartan案:中国数据法律与美国域外取证的首次交集

  2021年的In re Valsartan, Losartan, & Irbesartan Products Liability Litigation案(以下简称“Valsartan案”),是首起同时涉及中国数据安全法与美国法院证据开示制度的案件。本案性质为药品销售跨境诉讼。本案背景为中国企业生产的Valsartan原料药中被检出杂质,随后被美国食品药品监督管理局叫停进口,同时美国市场消费者向法院对中国企业提起诉讼。本案争论点是美国《联邦民事诉讼规则》与《中华人民共和国保守国家秘密法》(以下简称“《保密法》”)、《数据安全法》之间的法律冲突。

  美国法院进行调查取证,中国当事人首先以《保密法》规定为由提出抗辩。在案件审理过程中,《数据安全法》已颁布并施行,中国当事人进而以《数据安全法》提出抗辩。中国当事人声称,《数据安全法》与《保密法》禁止披露涉案的23份文件,因为这些文件具有中国国家安全利益,并位于中国境内的服务器上,不得提供给外国法院或中国境外。美国法院认为,在哪方国家利益更为重要的“大局”平衡中,中国的《保密法》《数据安全法》都没有特别定义什么是国家安全利益,模糊的定义促使中国被告在可能符合定义的文件周围划出广阔的界限,特别是鼓励不披露被指控有罪的信息。并且中国政府在决定文件如何以及是否包含具有重大国家安全利益的信息时缺乏透明度和礼让性,导致该决定的及时性和公平性将不可避免地受到质疑。

  同时,美国法院认为对被告依据中国《数据安全法》所提出的抗辩,该法在表达上只禁止当事人将中国境内的数据提供给美国法院,并没有禁止将数据提供给对方当事人。中国《数据安全法》对数据出境的限制不适用于当事人之间交换的证据,因此驳回了中国当事人的抗辩。由于彼时《数据安全法》才刚刚颁布并实施不久,本案中美国法院狡黠地选择在法律适用范围的界定上做“文字游戏”,实际上回避了对中国《数据安全法》的实质内容作详细分析。

  2.Jose Buan案:中国当事人未成功申请保护令

  2022年,在Philips Medical Systems (Cleveland), Inc. v. Jose Buan案(以下简称“Jose Buan案”)中,原告向美国法院起诉Jose Buan等被告,称被告共同侵犯其商业秘密。在该案证据开示阶段,原告要求被告提供中国公司员工手机中与案件相关信息等证据,被告以《保密法》《数据安全法》《个人信息保护法》对国家秘密、个人信息、数据出境存在严格限制为由,申请法院出具对该等个人信息、数据的保护令,拒绝向原告提供证据。在2021年的AnywhereCommerce案中,被告法国企业就通过GDPR成功申请保护令。但是,在Jose Buan案中,法院驳回了中国企业提出的保护令申请。理由是就“中国的数据保护法律禁止被告履行证据开示义务”这一问题,被告没有进行充分说明也没有提供对应的专家意见证据。具体而言,在本案中,中国当事人称原告的证据开示请求造成了过重负担,因为这些请求:(1)要求搜查员工的个人移动设备,违反了中国《数据安全法》《个人信息保护法》等隐私法;或者(2)要求收集、复制和存储可能包含国家机密的国力信息,违反了中国《保密法》。中国当事人列出了《个人信息保护法》第38、39、41条对个人信息数据出境的监管规定。与此同时,司法部在2022年6月发布了《国际民商事司法协助常见问题解答》,表示中国境内当事人出于自愿向外国司法机关或司法人员提交位于境内的证据材料,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。涉及到国际司法协助的,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据或个人信息。同时,为了支持这些理由,被告附上了关于中国法律的专家意见。

  法院驳回了这些反对理由,指出被告未能证明原告正在寻求中国的国家机密或本案涉及国家机密,并且法院和原告都没有要求被告违反中国的任何国内法律。法院指出:第一,在《个人信息保护法》的抗辩理由中,被告没有充分地证明案件涉及的证据开示内容是否属于《个人信息保护法》的规制范畴。尽管被告列举了《个人信息保护法》的条文,同时提供了中国法律专家意见,但并未明确究竟哪些信息属于应受保护的个人信息,致使证据无法提供。并且《个人信息保护法》也并未禁止被告公司从员工个人手机设备中导出公司信息,同时被告的中国法律专家证人也说明员工个人可以从手机中筛查出其个人信息和公司信息,《个人信息保护法》不应该成为限制被告证据提交的理由。第二,在《数据安全法》的抗辩理由中,被告也没有合理地论证该法如何禁止被告履行证据开示义务。《数据安全法》确实限制外国法院的跨境取证,但是美国的证据开示制度是发生在双方当事人之间,证据并非提供给法庭。同时,法院对中国数据法律具有明显的意识形态偏见,认为被告对《数据安全法》的“理解”将会赋予中国最高人民法院广泛的权力来延迟或阻止在美国法院的披露。这种解释实质上将允许中国司法机构监督美国法院就中国诉讼当事人的责任作出的披露决定。《数据安全法》并不代表中国在不披露特定材料方面的主权利益,而是试图将中国法院介入到美国的法律程序中,从而为中国诉讼当事人带来潜在利益。这样的法律不仅侵犯了美国的主权,并且严重不利于在美国法庭上与中国当事人对立的各方。因此,美国法院认为,尽管被告辩称《数据安全法》《个人信息保护法》限制了他们履行证据开示义务,但是他们未能履行其举证责任,即证明“(中国)法律实际上禁止对相关争议的证据提交”。

  本案中美国法院确实考虑了被告的抗辩理由,这是试验中国《数据安全法》《个人信息保护法》中数据出境监管规定对跨境取证限制效果的绝佳机会。但是美国法院则从举证责任入手,认为中国当事人没有充分举证,未尽到举证责任,来证明中国的数据法律禁止被告履行证据开示义务。这实际上再次回避了对中国数据法律中数据出境监管规定的实质分析。

  3.Chou案:美国法院首次支持中国当事人

  在2022年的Juul Labs, Inc. v. Andy Chou案(以下简称“Chou案”)中,美国法院首次支持了被告方中国当事人基于《数据安全法》对跨境数据取证提出的抗辩。本案中,原告提出动议要求检查被告位于中国境内的6台电子设备。被告的反对理由之一是从中国运送包含其客户个人信息的设备到境外,将违反中国《数据安全法》。被告声称存储在中国的任何数据未经中国有关当局事先批准,禁止向任何外国法院提供。美国法院经过召开一次证据开示会议,虽然未对中国《数据安全法》展开分析,但支持了被告据此提出的抗辩,拒绝了原告要求被告提交位于中国境内的相关设备作为电子证据的动议。

  美国法院认为,虽然被告提出的中国《数据安全法》问题不是起到决定性作用的理由,但是结合原告未能证明被告故意毁灭或藏匿有关电子证据、原告要求的证据多且对被告经营有较大影响但原告未能提出其要求的某项证据可能于某项所要求的设备之内存储、原告要求的证据可能延期返还对被告利益的损害等其他一系列反对理由综合来看,足以证明该动议给被告的负担。从案件的公开文书可以看出,虽然美国法院拒绝原告的证据开示动议主要是基于程序法的考虑,但被告提出的出示证据将违反中国法律也被法官视为中国当事人提供证据的一个负担与压力予以了考虑。这说明,美国法院在证据开示阶段的裁量空间是比较大的,所以即便《数据安全法》《个人信息保护法》的数据出境监管规定可能无法直接阻止美国法院要求跨境提交数据的命令,但中国当事人对于相关法条的援引是必要的、不可或缺的。

  4.Syntronic案:美国法院扩大解释了豁免条款范围

  在2022年的Cadence Design Sys. v. Syntronic AB案(以下简称“Syntronic案”)中,美国法院认为中国《个人信息保护法》第39条的跨境个人信息提供义务的履行不能限制《联邦民事诉讼规则》中的证据开示义务,被告中国当事人需向美国原告跨境转交储存于中国的证据。该案在我国国内引起了广泛讨论,有观点解读为美国法院判决中国《个人信息保护法》不能阻止美国法院的跨境取证要求。这需要结合案件情况对美国法院对域外证据提交审查标准进行具体分析。在本案中,原告诉被告使用其开发软件的盗版,侵犯其软件著作权。原告在证据开示阶段要求被告从中国境内将24台员工电脑提交给美国法院进行检查,查看该等电脑是否存在下载、使用软件的记录。被告以电脑中存在员工的个人信息为由,并基于《个人信息保护法》申请法院出具保护令,以拒绝向原告提供。本案中,美国法院驳回了被告中国当事人基于《个人信息保护法》所提出的保护令申请,认为《个人信息保护法》并未真实限制被告提供个人信息。

  第一,美国法院通过法律解释消解了跨境取证要求与《个人信息保护法》之间的法律冲突。法院参考原被告双方中国法律专家证人的意见,给出了对《个人信息保护法》第13条第3款“为履行法定职责或者法定义务所必需,个人信息处理者可以处理个人信息”的解读。法院认为,第13条中的法定义务并非仅包括中国法律规定的义务,还包括外国法律规定的义务,即本案中的证据开示指令。虽然从中国当事人的角度来看,这里的法定义务当然仅指中国法律规定的义务。但是美国法院援引了一项关于西班牙法律的判例Republic of Arg. v. NML Capital, Ltd.案来说明,美国法院对于其他国家法律的“法定”不能局限在其本国法律。美国法院在没有给出其他更有说服力的文献进行进一步论证的情况下,径直采取了有利于证据开示的推定,即认为豁免条款中的“法律”未排除外国法律。

  在美国法律中,主张因为外国法律而不能应承美国法庭指令的诉讼主体,对于该外国法律的禁止性效力负有举证责任;如果当事人不能满足这种举证责任,法院也就不必考虑司法互惠的问题。换言之,试图遵守外国法律的当事人一方有责任证明这种法律的要求与美国法院命令相冲突,否则法院不必考虑国际礼让测试。因此在美国民事诉讼中,法院进行国际礼让测试的先决条件是案件确实存在法律冲突。在本案中,美国法院通过法律解释消解了跨境取证要求与中国《个人信息保护法》的法律冲突,从而规避了实质分析,导致《个人信息保护法》的数据出境监管规定落空。

  第二,从事实层面,法院还特别指出,在原告首次要求被告提交中国公司员工电脑时,中国的《个人信息保护法》并未生效,被告并未基于该法律提出任何个人信息保护的问题,而是回复其没有这些电脑。在原告通过系统确认被告中国公司北京办公室存在使用过原告Cadence软件的24台电脑后,被告才以《个人信息保护法》为由提出不予提交,但是仍未明确《个人信息保护法》限制其证据提交的具体条款。结合以上案件的具体事实,法院驳回了被告的保护令请求。

  综上可见,在本案中美国法院主要还是基于案件具体事实以及被告未能证明《个人信息保护法》对证据提交形成真实阻碍,而并非简单地否认《个人信息保护法》等域外法中关于证据提交路径的适用。这也促使反思我国《数据安全法》《个人信息保护法》等数据法律对外国法院跨境数据取证的限制效果到底有何缺失以及如何完善。

  (二)数据出境监管规定对跨境数据取证的限制效果分析

  整体而言,美国法院对中国数据法律中数据出境监管规定的态度是消极的,认为这些规定不能阻却美国法院依据《联邦民事诉程序规则》对中国当事人发出的跨境数据取证要求。例如在Valsartan案中,法院就表示“中国的被告不能进入美国市场并期望通过中国的阻断法规获得可能的保护以避免不利的取证”。在Buan案中,法院还表达出了这样的顾虑,“如果允许中国《数据安全法》作为美国取证的合法障碍,实质上将允许中国司法机关监督美国法院就中国当事人责任作出的取证决定”。总结而言,美国法院通常会采取以下几种方式否定中国数据法律中数据出境监管规定对跨境数据取证的限制作用:

  1.消解:否认案件存在真实法律冲突

  在美国司法制度中,法院在跨国诉讼案件中进行国际礼让分析的前提条件是案件在法律适用上确实存在“真实冲突”。而一旦法院认为,被告没有能够证明法院要求被告出示的涉及个人信息或相关数据的证据与中国法律存在冲突(to show a true conflict between Chinese law and the Court’s previous order),则将直接消弭国际礼让分析的前提条件,而径直适用美国法。

  在Syntronic案中,美国法院扩大解释《个人信息保护法》中“豁免条款”第13条保护范围的方式,消解了美国法院跨境取证要求与中国《个人信息保护法》第39条之间的法律冲突。法院为论证证据开示程序导致的个人信息出境不需要个人的同意,对《个人信息保护法》第13条进行了扩大解释,将该条中的“法定义务”诠释为包含(或至少不排除)“外国法律规定的义务”。虽然这种解释论证并不充分,甚至可以说比较牵强。但从司法实践来看,这种认定又在意料之中,因为美国法院在外国法律规定不明确的情况下径直采取有利于证据开示的法律解释是有先例的。例如在Republic of Arg. v. NML Capital, Ltd.一案中,美国最高法院对西班牙、巴西、玻利维亚、智利、巴拿马、巴拉圭等国法律与美国法律之间的法律冲突进行了解释,认定这些国家的相关法律并没有排除外国法律或外国法院。一方面,由于语言的模糊性与歧义性,总是会存在法律解释不清楚、法律术语外延不确定的情况;另一方面,面对不可避免的模糊情况,如果被告方当事人无法提出决定性的抗辩证据,美国法院更倾向于推定该法律并不反对证据开示。在这种情况下,我国《个人信息保护法》第39条的限制效果可能会大打折扣。

  2.规避:回避对中国数据法律的实质分析

  美国法院的另一做法就是通过法律解释绕过我国数据法律中的“禁止跨境取证条款”,回避对相关数据出境监管规定的实质分析。例如,在Buan案中,法院认为与法官主导证据收集的大陆法系不同,在美国的普通法体系下证据的请求和回应主要是在当事人之间进行,而《数据安全法》第36条强调的是当事人不得将涉案数据提交给外国法院,因此当事人之间的证据交换并不在《数据安全法》的阻止范围之内,从而驳回了中国当事人据此提出的抗辩。美国法院认为,虽然法院监督取证过程,但法院不提出要求也不管理或使用用于交换的信息,因此这些涉案数据并不被提供给美国法院。

  在Valsartan案、Buan案中,美国法院都注意到了中国《数据安全法》第36条的限制,但将其规定解释为仅限制与“外国的司法或执法机构”的数据交换,不限制中国当事人与美国当事人之间分享数据。上述解释的问题在于:一旦这些数据其后用于任何法庭或审判,则又属于第36条的适用范围,难以自圆其说。在Buan案中,美国法院还认为被告方中国当事人没有满足举证责任,未能证明包括《数据安全法》在内的中国法律阻碍了其提交案件中的特定证据。美国法院通过这种解释绕过《数据案例法》第36条的规定,无法对美国法院的证据开示要求产生限制效果。

  3.不利认定:分析强调美国利益优先

  在美国法院的国际礼让分析框架下,七要素中有三项与外国政府或立法有关。换言之,中国数据法律可能对国际礼让分析的第4、5、6项产生影响,即“是否存在其他取证方式”;“美国的利益与外国利益孰轻孰重”;“出示信息是否存在艰难情形”。然而,美国法院对这三个因素的分析认定,特别是对美国利益与外国利益的权衡,表现出明显的“美国优先”特点。

  第一,从“是否存在其他取证方式”来看,长期以来,美国法院对于中国依据《海牙取证公约》构建的跨境取证司法协助体系的效率一直存在怀疑,认为公约在中国的执行历史并不成功。例如,在Inventus Power v. Shenzhen Ace Battery案中,法院就认为公约无法成为证据开示的有效替代手段。美国法院对中国司法体系的长期不信任,从早年间中资银行饱受证据开示之苦的一系列案例中就存在,并非中国的数据法律出台就能产生实质改变。

  第二,从“美国的利益与外国利益孰轻孰重”来看,相较于传统的《商业银行法》《保密法》,数据法律也难以使中国当事人取得更明显的帮助。美国法院在进行国家利益之间的权衡分析时,往往强调美国立法所保护的权益相对于外国利益具有广泛性、绝对性、优越性,或者直接否认跨境取证要求会损害外国利益。在以往的跨境取证案件中,中国当事人依据《商业银行法》《保密法》所保护的中国利益与美国法律之间的冲突而提出反对证据开示的抗辩,都被此种说理所驳回。因此,基于既往经验与实践惯性,中国数据法律可能难以从根本上抵抗美国法院在国际礼让分析中泛化使用这种分析范式的习惯。

  第三,从“出示信息是否存在艰难情形”来看,数据法律的数据出境监管规定虽然增加了中国当事人提供证据的困难程度,但如果结合执法情况看,美国法院仍可能给出否定认定。长期以来,美国法院在分析“出示信息是否存在艰难情形”要素时非常强调对相关外国法律执法历史的考察。例如,在Tiffany案中,美国法院就认为“中国银行事实上不会遭受任何惩罚”,因为“中国政府享有中行的所有权利益”。从这个角度看,新出台的数据法律在这一分析要素上所能发挥的作用也可能相对有限。

  综上可见,美国法院对域外取证具有较大的自由裁量空间,国际礼让分析实际上是利弊权衡,法院很难完全脱离意识形态影响而做到完全中立。因此,在这种多维度、多因素相互交织的司法判断中,美国法院往往会借助国际礼让的复杂分析作为形式外观,而掩盖“美国利益优先”的实质目的。由此可见,一方面,中国当事人如果寄希望单纯依靠《个人信息保护法》《数据安全法》中的数据出境监管规定来阻止美国法院的跨境取证要求,成功概率较小。但是另一方面,数据法律的数据出境监管规定作为中国当事人提交证据的潜在“负担”,当事人在诉讼中援引相关法条十分必要,不过,关键在于如何证成这些规定对跨境证据提交形成了真实阻碍。美国法院对中国当事人以数据法律为依据对跨境取证要求提出的抗辩,今后可能会采取更加严厉的审查态度。


06

完善数据出境监管规定对跨境数据取证限制效果的建议

  目前我国的数据法律难以完全阻断美国法院对跨境数据取证的长臂管辖,可以从严格执行违反数据法律的处罚规定、引入“属人主义”管辖连接点作为例外规定等方面入手,增强我国数据出境监管规定对外国法院强制域外取证的限制效果。

  (一)严格执行违反数据法律的处罚规定

  我国数据法律要真正长出牙齿,必须加大数据法律的执法力度,严格落实违法责任。在数据跨境流动领域,严厉打击以跨境取证为名的数据流出,促使美国法院承认我国数据法律“有牙齿”,构成了对域外取证的实质阻碍,也倒逼国内企业在进行涉外业务时提前做好数据合规工作。

  长期以来,美国法院在国际礼让分析时十分注重对外国数据出境监管规定执法历史的考察,以确定外国当事人在跨境提交证据后,是否真正受到处罚。如果当事人无法举出数据出境监管规定曾被执行的案例,美国法院通常会驳回当事人的抗辩。对此,我国可以借鉴欧盟对GDPR的执法经验,以实现震慑效果。另一方面,虽然我国数据安全法、个人信息保护法等建立了数据分类分级保护制度,并据此制定了《数据出境安全评估办法》《网络安全标准实践指南——网络数据分类分级指引》等配套规定,但对“核心数据”“重要数据”等概念的描述存在模糊、重叠、缺乏实操性等问题。目前,我国已经出现了数据泄漏被传输境外的执法案件,但是关于违反涉诉数据信息跨境调取规则的处罚案例尚未出现。严格的执法行动,既是我国数据法律真正发挥作用所必须,也是应对外国法院不当跨境取证的现实需要。

  1.构建精细化的处罚机制与法律解释体系

  数据出境监管规定的执行力度直接关系到数据法律的权威性和有效性。为了确保数据出境监管规定得到有效执行,需要构建一个精细化的处罚机制。这一机制应当明确列出各种违规行为,并对应具体的法律后果。例如,对于未经批准擅自向境外提供重要数据的行为,应当规定具体的罚款金额、业务限制期限等。同时,对于数据出境监管规定中的模糊地带,如“重要数据”的具体界定问题,需要通过司法解释或立法修正案的形式予以明确。这不仅有助于减少法律适用过程中的不确定性,还能为企业提供清晰的合规指引。

  在构建处罚机制的过程中,可以借鉴欧盟GDPR的处罚规定,结合我国实际情况,制定出既具有国际兼容性又能体现中国特色的处罚细则。例如,GDPR规定对于严重违反个人信息保护规定的行为,可以处以高达全球年营业额4%或者2000万欧元的罚款。我国可以在此基础上,根据企业的规模和违规行为的严重程度,制定出相应的罚款标准。同时,对于违反数据出境监管规定的企业,可以加大对违法行为的曝光力度,并通过司法判例形成有效的法律威慑,让社会公众了解违法行为的处罚后果。

  此外,对于数据出境监管规定中的“个人信息”处理规则,也需要进一步明确。例如,对于涉及个人隐私的数据,应当明确哪些情况下可以跨境传输,哪些情况下需要进行脱敏处理等。这有助于企业和个人更好地理解和遵守数据出境监管规定,减少因误解规定而产生的违规行为。

  2.实施动态监管与执法协作机制

  跨境数据取证的复杂性要求监管部门必须具备高效的监管能力。动态监管机制要求监管部门利用先进技术手段,如大数据监测、人工智能分析等,对数据流动进行实时监控,及时发现并阻止违规行为。例如,可以建立一个全国性的数据流动监测平台,通过收集和分析数据流动信息,识别出异常的数据传输行为,并及时采取措施。

  在此基础上,建立跨部门执法协作机制,包括网信部门、公安机关、国家安全机关等形成合力,对跨境数据违法行为进行快速响应。例如,当监测平台发现异常数据传输行为时,网信部门可以立即通知公安机关进行调查,国家安全机关可以提供必要的技术支持,共同打击违法行为。

  此外,应加强国际合作,与其他国家的数据保护机构建立信息共享和执法合作渠道,共同应对跨境数据违法活动。例如,可以与欧盟的数据保护机构建立定期的信息交流机制,共享数据违法案例和执法经验,共同提高数据跨境流动安全保护水平。

  (二)引入“属人主义”管辖连接点作为例外规定

  本质上,跨境数据取证中的“长臂管辖”,在法律技术上体现为“管辖连接点”的转变。《云法案》《电子证据条例》等欧美法律有一个共性特征:将境外数据的认定标准从传统的“数据存储地”逐步转变为“数据控制者”标准,将储存在本国境外的数据转变为境内数据,从而规避跨境取证的国际司法协助而径直采用国内法规定。从域外管辖权看,欧美立法均在拓展“非中介获取数据模式”,即由根据数据存储地确定管辖的“属地原则”向依靠数据控制者的“属人主义”转型。

  在跨境取证的数据转移中,欧美采取“属人主义”的管辖模式,主要是基于其高度发达的网络服务与数据交易市场。全世界提供跨国网络服务的企业都难以绕开欧美市场,而且多数知名网络服务或数据公司都位于美国。这种模式很可能在欧美的共同推动下成为新的国际标准。因此,我国需要在坚持数据主权与提高跨境取证效率之间寻求平衡,有必要在一定情况下引入“属人主义”管辖连接点作为例外规定。

  目前,如果直接将“属人主义”管辖模式移植到我国立法中,可能不符合我国现在情况。因此,可以尝试通过“但书”对《数据安全法》第36条、《个人信息保护法》第41条等现有数据出境监管规定进行适度改造,选择性地引入“属人主义”管辖连接点以调整“数据控制者”模式,限制性地允许向在外国设立有分支机构的境内网络服务提供者,跨境提供仅与外国业务有关的数据信息。如此,既能为中国企业提供了有条件的豁免机会,以免因为国内外法律冲突而陷入两难境地,在诉讼中因举证困难而权益受损,同时又可以避免外国法院过于宽泛的跨境取证要求,保障我国数据安全。具体而言,在数据出境监管中引入“属人主义”管辖连接点需要注意以下两个方面:

  第一,明确“属人主义”管辖连接点在数据出境监管中的法律定义和应用范围。引入“属人主义”管辖连接点,首先需要对其进行明确的法律定义,以确定其在数据出境监管中的适用性和操作性。根据国际私法理论,属人法通常以法律关系当事人的国籍、住所或惯常居所等作为连接点来指引准据法。在我国法律体系中,属人法连接点的选择已经经历了由“国籍国法—当事人居所地法—当事人经常居所地法”的发展历程。因此,在数据出境监管领域引入“属人主义”管辖连接点时,可以考虑将“经常居所地”作为主要的连接点,同时保留国籍和住所地作为辅助连接点,以适应不同情况的需要。

  第二,构建“属人主义”管辖连接点的例外规定。在确立了“属人主义”管辖连接点的法律定义后,需要构建相应的例外规定。这些例外规定应当明确在何种情况下数据出境可以不受常规监管限制,例如,当数据处理者和数据主体均位于同一管辖区域内,且该管辖区域与数据存储地不一致时,可以考虑放宽数据出境的限制。此外,对于涉及国家安全、重大公共利益的数据,即使符合属人主义管辖连接点的要求,也应当维持严格的出境监管。

  从既往经验看,过于严格的国内数据立法,难以单方面从根本上解决数据出境的安全问题,反而可能使本国企业在境外诉讼中因严格限制而失去有效地为自己辩护的权利。文武之道一张一弛,为了促进数字经济的发展,可以适度限缩我国数据出境安全评估的适用范围,适度放松数据跨境流动的监管规定,找到安全与发展的平衡点。2024年3月,国家网信办公布的《促进和规范数据跨境流动规定》,体现了我国对数据出境安全从普遍式监管转变为选择性监管。减负、澄清是新规的亮点。第一,新规第1—5条明确了无需办理数据出境手续的豁免情形,减轻了数据跨境传输的合规成本。第二,新规澄清了重要数据出境是否需要申报数据出境安全评估的问题,明确规定未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。在数字时代,数据出境安全监管不可松懈,但需要及时调整现有规则,提供兼具安全性和实操性的数据出境评估方案。目前新规并未就涉诉数据信息的跨境提交作出规定,涉外争议解决中存在的向外国法院提供境内个人信息及数据的操作将如何开展监管,仍有待进一步的细节性规定指引。


上一条:韩旭:非法证据排除新规的进步与不足 下一条:杨波:程序性事实观下刑事证据制度改革路径探究

关闭