跨境數據合規 | 中美法律衝突：中國反制立法及數據出境相關要求_風聞

走出去智庫觀察

日前，大成律師事務所和美國科文頓-柏靈律師事務所主辦、走出去智庫和道瓊斯風險合規協辦在線研討會——“國際貿易、跨境數據合規主題研討會——經濟制裁、出口管制、數據保護”，對貿易管制、爭議解決、數據保護等當前熱點問題進行分析研討，旨在提升企業在跨境投資與國際貿易領域的風險防控水平，並進一步提升中國企業全球化經營中的合規管理水平。

走出去智庫（CGGT）特約法律專家、北京師範大學網絡法治國際中心執行主任吳沈括在主旨演講中指出，在美上市中企面臨着中美兩國“雙重合規”的挑戰，一方面是美國證券交易委員會（SEC）等機構對中概股信息披露提出新要求，另一方面是中國開始加強數據安全監管，針對外國法的長臂管轄進行立法反制，即中國法的域外適用。在新的監管形勢下，數據服務提供者要加強戰略風控思維來應對合規風險。

在美上市企業如何應對中美“雙重合規”的問題？今天，走出去智庫（CGGT）刊發吳沈括教授演講的重點內容，供關注跨境數據合規管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、以美國《雲法案》為基礎對中企提出的數據披露要求，引起了國內監管部門對赴美上市企業的數據安全風險的擔憂。

2、中國監管部門在強化中國法的域外適用，這個概念不同於國外的長臂管轄，具有中國特殊的含義。

3、隨着《數據安全法》於9月1日正式施行，表明在數字化博弈的全球浪潮下，數字化轉型的全球競爭日趨激烈，圍繞數據資源的國際爭奪大幅延伸，針對數據安全的治理力度持續走強。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/吳沈括

走出去智庫（CGGT）特約法律專家

北京師範大學互聯網發展研究院院長助理

北京師範大學網絡法治國際中心執行主任

聯合國網絡安全與網絡犯罪問題高級顧問

最高人民法院諮詢監督專家

在當前大國複雜博弈的情況下，在美上市企業面臨着長臂管轄和母國管轄的中外雙重合規問題，其中主要是網絡安全涉及到國家數據安全的問題。

6月，《數據安全法》出台，BOSS直聘、滿幫集團、滴滴在美上市；7月，監管部門啓動對滴滴出行、運滿滿、貨車幫、BOSS直聘的網絡安全審查，中辦、國辦出台《關於依法從嚴打擊證券違法活動的意見》，網信辦公佈《網絡安全審查辦法（修訂草案徵求意見稿）》，隨着中企赴美上市，國內監管也日益趨嚴。

一、在美上市企業的數據信息披露：從美國《雲法案》談起

在美上市企業面臨的數據信息披露場景非常廣泛，包括：

（1）美國證券交易所；

（2）美國證券交易委員會（SEC）：《外國公司問責法案》等；

（3）行政機關（如美國商務部）：《出口管制條例》、《國際武器貿易條例等》；

（4）司法機關（如美國司法部）：《反海外腐敗法》、《反不正當競爭法》、《版權法》等；

****（5）專門針對跨境數據直接調取數據：《澄清境外數據的合法使用法》（簡稱《雲法案》）、《布達佩斯公約第二附加議定書(草案)》等。

以美國《雲法案》為基礎對中企提出的數據披露要求，引起了國內監管部門對赴美上市企業的數據安全風險的擔憂。

1、《雲法案》概覽

《雲法案》於2018年3月23日經美國時任總統特朗普簽署成為法律，該法案包括兩個部分——

****第一部分：****詳細規定根據美國《電子通信隱私法案》（“ECPA”）向科技公司發出相應法律手續可以取得該公司所擁有、保管或控制的（內容）數據，無論數據存儲於何處——即使存儲於美國境外。

第二部分：《雲法案》為美國及外國政府創設了一個新的有關數據跨境請求的雙邊協議框架。

若美國有關機構對某一服務提供者啓動法律程序，該企業有3個關鍵問題需要考慮：

（1） 被開啓司法程序的公司實體是否受美國法院的管轄；

（2） 該公司實體是否擁有、保管或者控制相關數據；

（3） 該法律程序（如傳票、法院令、搜查令）是否可以要求強制提供相關數據。

當然，數據服務提供者可以基於《雲法案》對其啓動的法律程序進行抗辯：

1、如果基於《雲法案》的執法要求與沒有和美國簽署《雲法案》第2部分列出的雙邊協議的國家的法律規定有衝突，則服務提供者可以基於普通法權利提出司法協助互惠的抗辯。

2、《雲法案》還創立了一套新的法定機制，科技公司可以基於搜查令可能造成與簽署了上述雙邊協議國家的法律相沖突的實質風險，而對搜查令進行抗辯。

2、《雲法案》管轄

美國法院只能對其有一般管轄權或者特別管轄權的公司執行法律程序，《雲法案》不會改變這些管轄規定：

（1）一般管轄權通常只針對總部在美國或者在美國註冊的公司。受限於一般管轄權的公司可在美國法院被任何類型的權利請求而起訴。

（2）對於一個不受一般管轄權約束的公司，如果它和美國之間有足夠的合同關係，特別管轄權可能會適用。是否適用特別管轄權的分析會告訴依賴個案情況，最多的情況下用於確定被告的管轄權上，在極少數的評估對接受法律程序的第三方是否有特別管轄權的一個案例中，法院考慮：A.第三方的合同與法院地和相關法院令之間的聯繫；B.為實現法院令目的而行使管轄權是否符合公平和實質公正。

（3）一般而言，法院在衡量特殊管轄權時會考慮：A.一個公司是否刻意進行在美國的行為；B.訴訟的事由是否適因為公司在美國的行為導致；和C.在該案中行使管轄權是否合理。

****若某一美國境外公司的母公司為美國上市公司，美國對該美國境外公司不會享有屬人管轄權。****在美國，普遍的觀點認為只是在美國證券交易所上市交易證券，或者採取行動措施上市交易，單憑這一簡單事實並不足以使美國法院對其自動享有一般管轄權。

****在《雲法案》下，美國政府對美國上市公司在美國境外註冊的子公司沒有屬人管轄權。****我們理解一些美國上市公司的子公司成立在/總部設在美國境外。因此，他們應該不會受到美國法院一般管轄權的約束。但是在符合特別管轄權的情況下，美國法院有可能對非美國的美國上市公司的子公司主張特別管轄權，比如產生管轄權爭議或者與之相關的判決。

3、《雲法案》擁有、保管或者控制數據

在《雲法案》下，關於擁有、保管或者控制數據有以下幾個問題：

1、什麼情況下一個受美國法管轄的科技提供者會被強制提供美國境外儲存的數據？

在《雲法案》下，如果一個受美國法管轄的提供者擁有、保管或者控制存儲在美國境外的數據，法院一般會認為其擁有、保管或者控制該數據。如果一個公司（1）有取得數據的合法權利；或者（2）技術上可以取得數據，法院一般會認為其擁有、保管或者控制該數據。

在《雲法案》頒佈之前，在什麼程度上美國執法活動可以強制技術公司披露美國境外存儲的數據尚未確定。這個問題主要是美國vs微軟的案例，2018年2月份在美國最高法院進行了庭審。

2、法院有可能強迫美國境內公司披露其美國境外姐妹公司持有的數據嗎？

這取決於該美國境內公司是否擁有、保管或者控制相關數據。美國法院不會自動要求公司披露其國外關聯公司持有的數據。他們會對兩個公司的關係根據特定事實進行調查，以辨別美國公司是否擁有、保管或者控制一個關聯公司持有的數據。一般來講，法院不太傾向於認為一個公司擁有、保管或者控制其姐妹公司持有的數據。相反地，法院比較傾向於認為母公司擁有或者控制其子公司持有的數據。

3、除了向科技服務提供者提出法律要求，美國政府是否可以直接對該提供者的某個客户的法律程序直接從用户處得到數據？

是的。如果客户受美國法管轄，美國政府可以直接對該客户啓動法律程序，比如通過搜查令或者大陪審團傳票。該美國客户隨後可以要求科技服務提供者傳輸相關數據給它以便它按照法律程序要求披露數據。

4、在《雲法案》下，有沒有對美國政府權力的限制？如：對於雲服務提供商，如果其提供的是IAAS(基礎設施即服務)，它們客户的內容架構的可見程度比較有限。

存在一些對美國政府強制公司交出數據的限制，這些限制在實施《雲法案》之後繼續有效。作為起點，雲服務提供商可以考慮證明對於客户內容有限的可見意味着它不擁有、保管或者控制相關法律程序要求的數據。另外，如果這些請求造成過重/不當負擔****，雲服務提供商還可以抵制相應的繁重請求。即便雲服務提供商擁有、保管或者控制被要求的數據，它還是可以基於該要求引起法律衝突而進行抗辯。

二、中概股國內監管態勢：以2021中辦、國辦《意見》為例

2021年7月6日，中共中央辦公廳、國務院辦公廳公佈《關於依法從嚴打擊證券違法活動的意見》，其中第五部分強調進一步加強跨境監管執法司法寫協作，包括制度配套、流程管理、主體責任、執法聯盟，對跨境數據安全、流動和涉密信息管理等合規提出了明確的要求。

目前來看，****監管部門在強化中國法的域外適用，這個概念不同於國外的長臂管轄，****具有中國特殊的含義。當前整體合規形勢和工具的變化，預示着未來特殊的監管趨勢：

1、堅持零容忍要求。嚴厲查處證券違法犯罪案件，加大對大案要案的查處力度，加強誠信約束懲戒，強化震懾效應。——監管力度更強

****2、****堅持法治原則。遵循公開、公平、公正原則，堅持嚴格執法、公正司法，統一標準、規範程序，提高專業化水平，提升透明度，不斷增強公信力。——執法顆粒度更細；

3、堅持統籌協調。加強證券期貨監督管理機構與公安、司法、市場監管等部門及有關地方的工作協同，形成高效打擊證券違法活動和合力。——跨部門聯動執法更密；

4、堅持底線思維。將依法從嚴打擊證券違法活動和有效防範化解風險、維護國家拿權和社會穩定相結合，加強重點領域風險排查，強化源頭風險防控，嚴防風險疊加共振、放大升級。——合規格局更高。

三、中概股網絡安全審查合規：《網絡安全審查辦法》洞察

隨着《數據安全法》於9月1日正式施行，表明在數字化博弈的全球浪潮下，數字化轉型的全球競爭日趨激烈，圍繞數據資源的國際爭奪大幅延伸，針對數據安全的治理力度持續走強。

《數據安全法》在體系設計層面提供了特殊時期合規風控的方法論支撐，包括兩個方面：

**1、**外部資源利用：國家社會支持

明確了國家層面與數據安全有關的幾個重要制度，構成主要外部支撐：

（1） 數據分類分級制度（各地區各部門重要數據目錄）；

（2） 數據安全風險管理制度和數據安全應急處置制度；

（3） 數據安全審查制度（2020年《網絡安全審查辦法》）

（4） 管制物項數據出口管制制度；

（5） 數據安全國際對等制度。

**2、**內部機制的建設：法律合規體系

（1） 技術層面治理：數據風險檢測評估與通知處置機制；

（2） 組織管理治理：全生命週期的數據治理安排（合法性論證）、面對國內外執法司法機關的數據協助、配合、報告與批准機制、數據安全教育培訓等；

（3） 內容價值治理：特別是數據內容、數據技術、數據應用的倫理關切。

2021年7月10日，國家互聯網辦公室公佈《網絡安全審查辦法（修訂草案徵求意見稿）》，其中第10條：網絡安全審查重點評估採購活動、數據處理活動以及國外上市可能帶來的國家安全風險，主要考慮以下因素：

1、產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險；

2、產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；

3、產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；

4、產品或服務提供者遵守中國法律、行政法規、部門規章情況；

5、核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險；

6、國外上市後關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險；

7、其他可能危害關鍵信息基礎設施安全和國家數據安全的因素。

當前，國際形勢的變化對國內監管有明顯影響，在全球化、數字化的背景下，需要從三個方面加強戰略風控思維：

1、積極營造共生型社羣生態：外國法長臂管轄VS中國法域外適用；

2、持續優化數據供應鏈安全：系統終端/業務流程→核心數據、重要數據、用户個人信息；

3、擴大配置國家安全絕緣層：設備部署、人員配置、運營架構。