![]()
2023年8月,印度通过了其首部综合性数据保护法《数字个人数据保护法》(Digital Personal Data Protection Act),并就跨境司法协助情形下个人数据的跨境传输设置了一定的豁免空间,为印度司法机关在跨境电子取证过程中处理个人数据提供了宽松的管理模式。由于印度《数字个人数据保护法》具体实施仍依赖于更加详细的配套行政规则,目前,该法生效日期暂未确定。本文将对《数字个人数据保护法》出台背景下印度跨境电子取证制度进行初步探索,并将印度跨境电子取证制度与我国跨境电子取证相应规范进行比较。就两国跨境电子取证制度规定存在的不同之处,相关企业应当对制度差异存在的法律风险进行识别,及时会同国内、国外相关主管机关开展沟通,及时做好数据出境合规工作,以避免潜在法律风险。
印度在2007年批准加入《关于从国外调取民事或商事证据的公约》(“《海牙取证公约》”),并对该公约第十六条予以保留,声明在得到印度司法部事先许可的情况下,缔约国外交官员或领事代表才能调取证据。总体上,印度并未针对跨境电子取证出台专门的阻断法律(Blocking Statutes),但是,印度政府不支持个人主动向境外司法机构提供相关数据,通常而言需遵循印度承认的跨境电子取证渠道,主要包括:- 依照国际公约规定的方式取证:根据《海牙取证公约》以及印度签署的双边或多边司法协助条约,外交官员/领事代表可以在印度司法部事先许可的情况下调取证据,外国法院则应当提请所在国司法部向印度司法部提交请求书,再由印度相关法院调取证据。
- 依照印度国内法规定的方式取证:根据印度《民事诉讼法》(Code of Civil Procedure, 1908)的规定,外国法院和相关当事人也可以向印度境内相关的高等法院提交请求书,以获取位于印度境内的证据。[1]
2023年8月,印度通过了《数字个人数据保护法》,并规定中央政府可以通过通知的方式限制数据受托人将个人数据向印度之外的国家传输,但是,该法同时为“司法、准司法、监管”等机关履行职能过程中所必需采取的个人数据处理行为设置豁免空间,中央政府的限制措施不适用于上述豁免情形。总体上,该法对印度跨境电子取证的消极影响较为有限,其他影响有待该法生效及相关配套措施出台后进一步观察。第一,就外交官员/领事代表进行跨境取证方面,根据《海牙取证公约》第十六条的规定,在不采取强制措施的情况下,每一缔约国的外交官员或领事代表在另一缔约国境内其执行职务的区域内,可以向执行职务地所在国或第三国国民调取证据,以协助本国法院中进行的诉讼。具体而言需同时满足如下条件:- 所在国许可:执行职务地所在国指定的主管机关已给予一般性或对特定案件的许可。同时,缔约国可以声明,无须取得事先许可即可依本条进行取证;
- 合规:外交官员或领事代表需遵守主管机关在许可中设定的条件。
如上所述,印度在加入《海牙取证公约》时对该公约第十六条予以保留,声明在得到印度司法部事先许可的情况下,缔约国外交官员或领事代表才能调取证据。第二,就外国法院通过《海牙取证公约》途径进行跨境取证方面,根据《海牙取证公约》第二条的规定,每一缔约国应指定一个中央机关接收来自另一缔约国司法机关的请求书,并将其转交给执行请求的主管机关。印度指定司法部作为接收其他缔约国司法机关请求书的中央机关。如果根据印度与其他国家签署的司法协助条约提出跨境取证请求,印度内政部则是相关的中央机关。在印度司法部或内政部收到请求书后,其通常会将请求书转递给相关的高等法院或地方法官执行,在完成相应的证据收集之后,依照原路径将证据交至提出申请的相应司法机关。《海牙取证公约》规定的跨境取证程序已经纳入印度《民事诉讼法》。此外,印度《民事诉讼法》第十九条为境外司法机关跨境取证提供了更多可供选择的途径和渠道,具体而言:外国法院可以通过发送请求书的方式,向具有管辖权的高等法院提出取证请求。请求书可以通过以下两种方式提交:(1)根据前述《海牙取证公约》规定,由印度司法部转递至相关高等法院;(2)由外国诉讼案件的当事人将外国法院的请求书直接提交至有管辖权的高等法院。经过审查之后,印度相关高等法院将组建工作委员会,并对外国法院请求提供的证据进行收集。如上所述,《数字个人数据保护法》规定中央政府可以通过通知的方式限制数据受托人将个人数据向印度之外的国家传输,但是,该法同时为“司法、准司法、监管”等机关履行职能过程中所必需采取的个人数据处理行为设置豁免空间,中央政府的限制措施不适用于上述豁免情形。就具体规定内容而言:- 第十六条:(1)中央政府可以通过通知的方式,限制数据受托人将个人数据传输到印度以外的国家或地区进行处理。(2)针对印度现行有效的任何对印度境外的数据受托人就任何个人数据传输提供更高程度保护或限制的法律,本条中任何内容均不构成对其适用的限制。[2]
- 第十七条:本法……第十六条不适用于以下情况:(a)个人数据处理行为是执行任何法定权利或请求所必需;(b)印度任何法院、法庭或任何其他依照法律要求履行任何司法、准司法、监管或监督职能的机构,对个人数据的处理行为,如果此类处理是履行此类职能所必需;…… [3]
印度对个人数据跨境传输采取了较为宽松的“黑名单”模式。首先,根据《数字个人数据保护法》第十六条关于限制个人数据跨境传输的规定,除了印度中央政府明确的特定禁止国家之外,印度不禁止向其他国家传输印度的个人数据。其次,针对跨境电子取证可能涉及到的个人数据,根据《数字个人数据保护法》第十七条的规定,由于这些个人数据通常涉及“司法、准司法、监管”等机关履行必要职能,即使数据接收方位于第十六条及后续具体“黑名单”涉及的禁止个人数据传输的司法辖区,该类数据通常也能够适用豁免情形,进而免于中央政府的限制措施。“黑名单”具体禁止的国家名单以及其他细则还有待配套规定予以明确。我国在跨境电子取证方面采取了更为严格的规范态度。我国同样系《海牙取证公约》的缔约国,但在加入《海牙取证公约》时明确对第十六条作出保留,不允许外国司法机关直接向位于中国境内的证人取证。外国相关机构应通过条约规定途径向司法部,或通过外交途径向外交部提出取证请求,经审批后由人民法院执行。具体而言:- 针对没有条约关系的司法协助:通过外交途径进行,向中国外交部提出请求,经审批后由法院执行,结果由外交部答复;
- 针对存在条约关系的司法协助:由外国具有提出取证请求资格的司法机关或个人向司法部提出调查取证请求,经审批后由法院执行,结果由司法部答复;
- 使领馆对本国公民取证:外国驻我国的使领馆可以向该国公民送达文书和调查取证,但不得违反我国法律,并不得采取强制措施。
- 涉及数据/个人信息的跨境取证:尽管存在上述跨境取证规定,但在涉及存储于我国境内的数据/个人信息的情况下,通常来说,非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于我国境内的数据。个人信息处理者因业务等需要,确需向境外提供个人信息的,必须符合我国数据出境制度要求(主要包括数据出境安全评估、个人信息出境标准合同、个人信息保护认证)。
| |
|
| 在满足……审理条件的情况下,高等法院可设置委员会,对证据进行审查,并就如下情形提供证据:(a)位于印度的外国最高级别领事官员签署并通过中央政府向高等法院提交请求书;(b)由外国法院签发并通过中央政府向高等法院提交请求书;或(c)由外国法院签发并由诉讼一方当事人向高等法院提交请求书。 | 请求和提供司法协助,应当依照中华人民共和国缔结或者参加的国际条约所规定的途径进行;没有条约关系的,通过外交途径进行。外国驻中华人民共和国的使领馆可以向该国公民送达文书和调查取证,但不得违反中华人民共和国的法律,并不得采取强制措施。除前款规定的情况外,未经中华人民共和国主管机关准许,任何外国机关或者个人不得在中华人民共和国领域内送达文书、调查取证。5.外国司法机关或司法人员如何调取位于中国境内的证据材料?答:应根据条约规定途径,由外国具有提出取证请求资格的司法机关或个人向司法部提出调查取证请求。与中国未缔结相关条约的,应向外交部提出请求。请求经审批后由人民法院执行,结果由请求接收部门答复请求方。6. 外国司法机关或个人能否直接询问(包括通过电话、视频等技术手段)位于中国境内的证人?答:不能。中国在加入《海牙取证公约》时已对公约第二章除第15条之外全部作出保留,不允许外国司法机关直接向位于中国境内的证人取证。外国相关机构应通过条约规定途径向司法部,或通过外交途径向外交部提出取证请求,请求经审批后由人民法院执行。 |
|
| (1)中央政府可以通过通知的方式,限制数据受托人将个人数据传输到印度以外的国家或地区进行处理。(2)针对印度现行有效的任何对印度境外的数据受托人就任何个人数据传输提供更高程度保护或限制的法律,本条中任何内容均不构成对其适用的限制。本法……第十六条不适用于以下情况:(a)个人数据处理行为是执行任何法定权利或请求所必需;(b)印度任何法院、法庭或任何其他依照法律要求履行任何司法、准司法、监管或监督职能的机构,对个人数据的处理行为,如果此类处理是履行此类职能所必需;…… | 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。 |
总体而言,印度对包括个人数据跨境传输在内的跨境电子取证采取了较为宽松的管理模式,我国则采取了更为严格的规范态度。近期,国家互联网信息办公室出台《促进和规范数据跨境流动规定》,对于部分情形下数据和个人信息出境提出了“松绑”措施,例如,数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。因此,特定情形下外国机关向我国进行跨境电子取证的难度可能有所降低。就两国跨境电子取证制度规定存在的不同之处,相关企业应明确自身涉案信息的类型以及与之对应的印度或中国的法律规定,及时会同国内、国外相关主管机关开展沟通,就获取相关跨境电子证据申请批准。如果涉及个人信息,相关企业应当确认能否得到《促进和规范数据跨境流动规定》豁免,及时做好数据出境合规工作,以避免潜在法律风险。[1] https://www.lexmundi.com/guides/gathering-evidence-in-aid-of-foreign-litigation-guide/jurisdictions/asia-pacific/india/
[2] Art. 16: (1) The Central Government may, by notification, restrict the transfer of personal data by a Data Fiduciary for processing to such country or territory outside India as may be so notified.
(2) Nothing contained in this section shall restrict the applicability of any law for the time being in force in India that provides for a higher degree of protection for or restriction on transfer of personal data by a Data Fiduciary outside India in relation to any personal data or Data Fiduciary or class thereof.
[3] Art. 17. (1) The provisions of Chapter II, except sub-sections (1) and (5) of section 8, and those of Chapter III and section 16 shall not apply where— (a) the processing of personal data is necessary for enforcing any legal right or claim; (b) the processing of personal data by any court or tribunal or any other body in India which is entrusted by law with the performance of any judicial or quasi-judicial or regulatory or supervisory function, where such processing is necessary for the performance of such function. ……
邓志松 律师
大成北京
专业领域:数据与隐私保护竞争与反垄断、公司与并购、跨境投资与贸易
电子邮箱:zhisong.deng@dentons.cn
戴健民 律师
大成上海
专业领域:数据与隐私保护、竞争与反垄断、公司与并购、生命科学与医药
电子邮箱:jianmin.dai@dentons.cn
本文系本公众号原创,转载请注明文字出自本公众号。
