跨境诉讼证据开示中的数据合规
928

世界经济的互联互通,“一带一路”的开放战略,鼓励着越来越多的中国企业走向海外,在重要的境外市场逐渐开展并壮大了业务存在,并有不少企业根据当地法律成立了境外业务主体。伴随着商业规模的扩大,几乎无可避免的会面临商业利益的碰撞。根据所在国法律,发起或应对与竞争对手、合作方、消费者、所在国监管部门的诉讼无疑是其中较为激烈的一种表现形式。

不同于国内民商事诉讼中“谁主张,谁举证”的基本原则,境外特别是普通法系的不少国家所遵循的证据开示制度,往往包括强制性地要求当事人甚至第三人,就与案件相关的材料,甚至可能对己方不利的证据,也要向对方当事人予以披露。如不遵守法院或仲裁机构的证据开示要求或命令,将可能会面临一系列严重的负面后果。在这样的制度设计下,当事人在当地委托的诉讼律师也会对证据开示尤为重视,并敦促当事人——尤其是作为被告方应诉时——尽可能全面并迅速地提供所有相关的证据材料。

由于应诉的过程中将涉及大量数据需要跨境传输,面对这样的压力,中国企业在为境外的诉讼准备“子弹”的时候尤其不能自乱阵脚而导致对国内法的违反,而更应该把握数据合规的底线。在我们帮助中国客户应对境外诉讼证据开示的过程中,遵循我国《数据安全法》分级分类保护的基本逻辑,以及现行法律法规以及国家标准的相关规定,我们通常会从下面几个维度将数据分类,分别进行审查:

一、 国家机密

非法传输包含国家秘密的数据受到《保守国家秘密法》的直接禁止,在某些情况下,甚至会触犯《刑法》而遭到刑事起诉。这一规定由来已久,并没有因为近年来《数据安全法》的发布和发展有实质上的变化。

由政府机构标定密级(如“机密”或“绝密”)的数据受到相关法律的明确保护。然而,最高人民法院也曾明确指出,对于关涉国家安全和利益的数据和信息,没有标明密级并不意味着其不受国家秘密相关法律法规的保护;未经主管部门批准非法向境外提供这些信息也可能构成犯罪,需要承担相应的刑事责任。

企业首先可以参考国家保密局发布的一般规定和指南,以获取涉及国家安全和利益的信息的详细定义和分类。另一方面,由于不同行业的监管机构在国家秘密问题上可能存在特殊的规定,企业所涉具体行业的相关法规也应当被纳入考量范围。例如,对于具备科技属性的企业而言,除一般性规定外,还需考虑由国家保密局与科学技术部于2015年共同发布的《科学技术保密规定》。

二、商业秘密

选择是否以及在何种程度上披露商业秘密,是企业自身的权利。同时,在大多数情况下,域外证据开示程序对于企业出示某些涉及商业机密文件的强制要求,与中国法律并不直接冲突。这一要点的任意性,往往使其较难把握平衡。在部分企业容易受到过度关注而不恰当地扩大了商业秘密的范围,从而使得需要审查的数据量大增;而在另一些企业则被严重忽视,导致在与境外竞争对手的攻防诉讼中即便赢下诉讼,却因不经意地泄露商业秘密而在商业目标上遭受损失。因此,企业委聘律师在数据出境前的文件审阅过程中,应提供必要的便利,尤其是使律师了解并具有识别和保护此类商业秘密的能力,在此过程中律师也应主动寻求客户的指示,深入了解企业的业务。

三、个人信息

随着《个人信息保护法》在2021年8月的全面施行,除了遵循第三章“个人信息跨境提供的规则”,即一般意义上的个人信息保护合规要求外,跨境提供个人信息需要征求所涉个人的单独同意。

除个人信息外,对于频繁参与企业业务活动和决策的人员,往往是企业的高管或核心技术人员,需要作为证据开示的信息往往还涉及“个人敏感信息”。从实际收集证据过程来看,在征求同意时往往所涉人员态度较为保守,不愿给予同意的情况所在多有。在此情况下,征求同意的过程、问卷的设计变得尤为关键,一个客观且无诱导性的同意征求过程往往能够获得境外法院或仲裁庭的认可,确因所涉个人在充分自由有选择地情况下而拒绝给予同意(fully informed decision),从而不能进行相应证据的开示。反之,简单引用法条和带有诱导性(劝诱所涉人员不给予单独同意)的征求同意过程和问卷,会被认为不适当地拒绝进行证据开示,会带来不利于企业的后果。

四、重要数据

对于不属于以上三类的数据,我们需进行是否“重要数据”的识别。

《网络安全法》最早提出了“重要数据”这个概念,但并没有给出明确的定义,且主要是针对“关键信息基础设施的运营者”做了规定。《数据安全法》提出了数据分类分级保护制度,根据数据在经济社会发展中的重要程度,对数据实行分类分级保护。在法律层面提及了“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”

相应的,针对数据如何进行分类分级,如何制定重要数据目录,我们主要关注全国信息安全标准化技术委员会从2017年起发布的国家标准的起草、发展情况。其中较为重要的包括《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)中对“重要数据”的定义,即“在境内收集、产生的,不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。”在《评估指南》附录A“重要数据识别指南”中,还按照行业(领域)将重要数据划分为石油天然气、电力、通信、交通运输、金融、气象等28大类(包括“其他”),并明确了各行业(领域)重要数据的范围。

此后,信安标委在2020年9月发布了《重要数据识别指南(征求意见稿)》,从泄露可能引发的结果评价来看待数据的重要程度,并明确将“重要数据”区别于国家秘密和个人信息(但基于海量个人信息形成的统计数据、衍生数据可能属于重要数据,这方面我们可以参照国家网信办2021年发布的《网络数据安全管理条例》(征求意见稿)中“一百万以上个人信息”这一标准)。

最近一轮的立法和国标修订中,除了上文提及的《网络数据安全管理条例》(征求意见稿)外,我们还重点关注国家网信办同样在2021年底发布的《数据出境安全评估办法》(征求意见稿)以及信安标委在2022年1月发布的新一版《重要数据识别指南(征求意见稿)》。

五、小结与展望

在进行数据分级分类识别,并对企业如何整理和保全数据、避免不恰当的泄露,或因加工、编辑、篡改或混入第三方数据而污染,以备跨境进行证据开示进行相应辅导和建议外,与行业主管部门和网信办的沟通和保持全过程的透明可核查是题中应有之义。

在《数据安全法》于2021年9月1日开始施行后,其中第36条明确了“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”有观点认为,该条款是对于某些国家滥用“长臂管辖”的反制。从实践效果来看,尽管由于施行时间尚短,如何申请“主管机关批准”从而完成跨境证据开示还缺乏成熟和统一的审批形式,但即便在《数据安全法》颁布施行之前,企业在进行跨境证据开示的过程中与主管机构的沟通也必不可少。这些沟通能够帮助企业更好的了解特定行业主管机构如何划定国家机密的范围,如何进行重要数据的分级,从而帮助企业做到一般意义上的数据合规,进而顺利获得跨境证据开示的批准。

随着大国博弈和中国企业走出国门参与世界经济竞争成为“新常态”,境外诉讼将有增无减,数据出境前为保护国家、企业和个人的利益而进行的多层级审阅法律服务存在很大的需求。这需要企业具备开放和国际化的视野,日常数据合规建设的良好基础,也需要训练有素且经验丰富的专业人员,紧跟飞速变化的立法和实践,在数据出境的惯常紧迫性和企业不断变化的需求之间保持完美的平衡,符合并进而运用我国数据法的规则,帮助企业决胜于境外诉讼的舞台。

实务导师介绍

郑彦律师是天册律师事务所合伙人,主要业务领域为跨境投资并购、国际仲裁和企业合规。郑律师毕业于复旦大学和哥伦比亚大学,拥有中国和美国纽约州律师执业资格。郑律师早年执业于国际知名律所,并曾在全球三大锂业公司之一任职亚太区法务总监,具有丰富的跨境交易和法务管理经验。加入天册后,近年深耕锂电新能源、装备制造、化工、标准化等行业的相关法律事务,服务于相关行业的国内外领先企业,并在数据合规等新兴领域在日常运营场景中的适用和合规方面,进行了积极探索并积累了大量实务经验。

  • 分享: