案例笔记:中国个保法的美国法庭“历险记”

2022-07-13 15:17


以下文章来源于送法上网 ,作者时雨行


640.png

一、基本信息

案号:21-cv-03610-SI     (JCS)


审理法院:美国联邦地区法院加利福尼亚州北区


原告:CADENCE DESIGN SYSTEMS, INC.,


被告:SYNTRONIC AB, et al.,


裁判时间:2022年6月24日


二、案件事实

原告在美国起诉被告位于北京的公司未经许可使用其软件,法院命令被告将 24 台计算机从中国运往美国进行检查。


被告请求重新考虑法院之前要求被告北京公司出示计算机供美国检查的命令,认为《中华人民共和国个人信息保护法》(《个人信息保护法》)禁止在未经现任和前任员工同意的情况下跨境转移这些计算机,而这些员工拒绝这样做。法院于2022年6月24日举行了听证会。法院最终认为,《个人信息保护法》并不禁止遵守法院之前的命令,重新审议的动议被驳回。


在听证过程中,原被告双方各自出具了中国执业律师以中国法专家身份提供的法律意见。


被告的中国法专家认为:《个人信息保护法》第39条规定,在个人的个人信息被转移到中国境外之前,必须征得个人的同意。被告声称,有争议的计算机包含(或者在计算机被重新格式化的情况下,数据可能或可能无法恢复)使用这些计算机的被告公司员工和前员工的受保护的个人信息。这些个人用户拒绝同意转移他们的数据,或者在某些情况下无法找到。基于礼让因素,被告认为本法院不应该要求被告北京公司违反中国法律。


原告的中国法专家认为:《个人信息保护法》并没有区分中国法律或外国法律规定的义务,因此并不妨碍被告在本案中遵守其开示(Discovery)义务,包括法院之前的命令。原告还声称,为管理人力资源或应对公共卫生事件而收集的信息的例外情况适用于本案,使可能存在于有争议的计算机上的任何个人信息免于《个人信息保护法》的范围。虽然原告认为法院不需要进行礼让分析,因为中国和美国的法律没有冲突,但法院认为即使有任何冲突,相关因素都有利于命令在美国检查计算机,而且在中国进行检查是不切实际的,不会解决被告的反对意见。


被告在其答复中认为,《个人信息保护法》第13条其他情形对同意的豁免不适用于数据的国际转移,因为它出现在 《个人信息保护法》的不同章节中,外国法院的命令不能作为 《个人信息保护法》下的法律义务,除非中国法院通过类似于美国执行外国判决的程序予以承认。被告认为,违反《个人信息保护法》的后果可能很严重,并重申其观点,即礼让因素有利于修改法院之前的命令,以符合中国法律并允许在中国进行检查。被告还辩称,它在2021年10月的披露答复中声称,中国的《个人信息保护法》限制了某些个人信息的跨境转移,并要求在向外国司法或执法机构提供此类信息之前获得中国当局的批准。


三、法律适用


被告的抗辩点在于,如果不取得个人(现任员工与离职员工)的单独同意,则向美国法庭提供计算机会构成违法跨境传输数据,进而可能面临中国有关机构的高额罚金。但被告目前难以获得现任员工与离职员工的单独同意,因此不应向法庭提供计算机。


而原告的观点在于:在《个人信息保护法》下同意并不是个人信息处理的唯一合法性基础,如果处理个人信息不以同意为法律基础,那么“单独同意”自然也无需取得。原告中国法专家还专门引用了全国人大常委会法工委经济法室副主任杨合庆的观点证明该主张。


对比原被告的观点,法庭认定原告的观点更有说服力:如果个人信息处理不以同意为法律基础,那么跨境传输也无须单独同意。


但另一个问题随之而来,如果不以同意为处理个人信息的法律基础,那么法律基础是什么?被告在美国法庭的开示(Discovery)义务,包括法院之前发出的在美国提供计算机供检查的命令,是否构成《个人信息保护法》第13条所列的“为履行法定职责或者法定义务所必需”?


原告及其中国法专家认为:当至少《个人信息保护法》的某些部分可以域外适用于中国以外的外国公司时,将外国法律义务纳入适用情况是有意义的,这些公司将根据外国法律承担潜在的相互矛盾的责任。最终,法院拒绝将第13条的法律义务限制在中国法律下的义务。


法院也不认为被告的开示义务必须得到中国法院的确认才能作为该例外(履行法定义务所必需)的前提条件。被告中国法专家提到了中国法律中关于在中国法院执行外国命令和判决的规定。但法院认为原告并没有寻求通过中国法院来执行法院的命令。被告公司由于其作为本案当事人的地位,有义务遵守美国的证据调查规则和本法院的命令,而不需要在中国执行。


根据以上分析,法院认为关于在美国出示计算机供检查的命令产生了一项法律义务,足以援引《个人信息保护法》第13条第1款第3项的规定,并根据第39条的规定,在没有雇员个人同意的情况下进行。因此,该命令与中国法律之间没有冲突,法院不需要处理双方关于放弃、礼让和第13条中其他例外情况的其余论点。


四、启示


我没有找到原被告双方中国法专家的完整法律意见,仅根据法庭文件能够还原的只言片语做些发散性思维。


美国法院关于不以同意为基础的个人信息出境是否需要单独同意的分析,是目前我国数据合规工作中的主流意见,也是比较务实的意见。


但是,关于美国法庭的命令与美国法下义务能否构成《个人信息保护法》第13条中的“为履行法定职责或者法定义务所必需”,是非常值得商榷的。这个问题往小了说是《个人信息保护法》的适用与理解、域外适用的问题;往大了说是涉及司法主权的问题。


我不确定为何被告方没有提及《个人信息保护法》第41条与《数据安全法》第36条关于向境外司法机构提供数据的规定:


中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

《个人信息保护法》第四十一条

中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

《数据安全法》第三十六条

当然,被告即使援引了这两条规定,美国法庭仍可能找到其他理由予以拒绝。但两部法律都对向境外司法机构提供数据进行了限制。在司法部发布的《国际民商事司法协助常见问题解答》中,明确:


8.中国境内当事人出于自愿能否直接向外国司法机关或司法人员提交位于境内的证据材料?


答:位于境内的相关材料如需出境,应符合《民事诉讼法》《数据安全法》《个人信息保护法》的相关规定。


9.数据信息出境应通过哪些部门审批?


答:根据《数据安全法》《个人信息保护法》,数据信息确需向境外提供的,应当通过国家网信部门组织的安全评估、认证后方可向境外提交。涉及到国际司法协助的,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据或个人信息。


在条约规定框架下,由人民法院调取的证据材料等数据信息经最高人民法院审核后,由司法部转交外国请求方。


http://www.moj.gov.cn/pub/sfbgw/jgsz/jgszzsdw/zsdwsfxzjlzx/sfxzjlzxxwdt/202206/t20220624_458335.html

另外,个人信息向境外提供,除了单独同意的规定,还要个人信息保护影响评估、安全评估/认证/标准合同的要求,但这些限制可能无法构成实质性的阻却。


中国企业如何遵从美国法庭的命令,向其提供数据一直都是一项非常有挑战的工作。在另一些较为早期的案件实践中,我们也曾尝试过使用“通信秘密”这一宪法性权利来向美国法院与相关机构陈述提供相关信息需要获得个人的同意。


但问题始终在于,如果没有我国有关部门针对向境外司法机构、执法机构违法提供数据的公开处罚案例,那么境外法院很难认为此种跨境提供数据的行为可能导致中国法下的违法后果,进而作出不适用礼让原则的裁决。因此,法律的适用远比法律规定更加重要。只有相关部门对违法提供数据行为的公开处罚,才会让合规的努力没有白费,否则所有人都会选择责任更低的通路。






推荐新闻
会员升级
会员升级