中国企业在美诉讼的数据合规风险:Cadence诉Syntronic案
证据开示(Discovery)是美国民事诉讼程序中一项极具特色的基本制度,亦是法院及案件各方当事人获取证据的关键渠道。根据美国《联邦民事诉讼规则》(Federal Rules of Civil Procedure)的相关规定,案件各方即使位于美国境外,也必须配合对方提出的合理证据开示请求,依据双方约定和法院命令,全面检索并充分披露己方所掌握的相关文件和信息。案件一方当事人或第三方无正当事由而拒不履行其证据开示义务的,可能面临高额罚款、不利推定乃至缺席判决等制裁措施。与此同时,由于《保守国家秘密法》《网络安全法》《数据安全法》和《个人信息保护法》等我国现行数据法规对于数据出境作出了严格限制,参与美国诉讼的中国个人或企业面临着数据合规义务与证据开示义务相冲突的两难境地。2022年,在Cadence Design Systems, Inc. v. Syntronic AB案(“Syntonic案”)中,美国法院首次在裁决中就证据开示程序中《个人信息保护法》下的“法定义务”及其例外作出解释,认定个人信息跨境传输的知情同意原则不能阻却中国当事人在美国诉讼法下的证据开示义务。2021年5月31日,主营电子设计自动化(EDA)的跨国软件公司Cadence Design Systems, Inc.(“Cadence”)以版权侵权和合同违约为由,在美国加利福尼亚州北区联邦法院提起诉讼,指控被告Syntronic AB及其关联公司(“Syntronic”)未经授权,获取、复制和使用其软件产品。在证据开示程序中,法院命令被告之一新拓尼克(北京)科技研发中心有限公司(Syntronic (Beijing) Technology R&D Center Co., Ltd.,“Syntronic Beijing”)将其位于中国境内的24台电脑运往美国以供检视。Syntronic基于中国《个人信息保护法》提出抗辩,称电脑中存有Syntronic Beijing现任及前任雇员的个人信息,且《个人信息保护法》第39条明确规定,个人信息出境须取得信息主体的单独同意,而相关雇员拒绝授权被告公司向境外提供其个人信息。《个人信息保护法》第13条构成第39条的例外情形;
被告在本案中的证据开示义务构成《个人信息保护法》第13条下的“法定职责或者法定义务”。
《个人信息保护法》第39条规定:“个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。”作为该法第二章第一节“个人信息处理规则”下的“一般规定”,第13条则列举了一系列“不需取得个人同意”即可处理个人信息的情形,其中即包含“为履行法定职责或者法定义务所必需”的个人信息处理活动。1.《个人信息保护法》第13条构成第39条的例外情形。被告Syntronic主张,《个人信息保护法》第13条与第39条处于该法的不同章节,且第39条规定中“个人的单独同意”的提法有别于第13条下的“个人同意”,因而《个人信息保护法》第13条不应作为第39条的例外情形适用于本案。法院认为,鉴于第13条在《个人信息保护法》中所处的章节位置,应当认定其具有个人信息处理原则之一般规定的地位。第13条第二款明确规定:“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”据此,可以认为第13条项下的例外情形广泛地适用于《个人信息保护法》所规制的各类个人信息处理活动,而非限于第13条所处章节所规定的具体情形。根据《个人信息保护法》第39条的规定,个人信息出境须另行取得“单独同意”而不仅是第13条所称“同意”,但是,法院认为,这一差异旨在表明:个人授权同意个人信息处理者收集个人信息,并不意味着同意个人信息处理者将其个人信息转移至境外。换言之,“单独同意”的表述并不能排除第13条规定下无须个人同意之例外情形的适用。因此,《个人信息保护法》第13条构成第39条的例外,具有第13条规定之例外情形的,无需取得个人单独同意即可向境外提供个人信息。2.被告在本案中的证据开示义务构成《个人信息保护法》第13条下的“法定职责或者法定义务”。在本案判决作出之时,《个人信息保护法》尚且出台不久,[2]亦无权威司法解释,且双方当事人均未在书状中援引美国、中国或其他法域内任何涉及本案争议条款的判例。并无案例表明,根据外国法院命令跨境传输个人信息违反《个人信息保护法》或可能遭致处罚。法院认为,《个人信息保护法》第13条所规定的“法定职责”和“法定义务”,不应限缩解释为“由立法机关颁布的成文法律所规定的”(statutory)的义务与责任,而是应当涵盖依据司法判例、法院命令和法律原则等概括意义之法律而产生的义务(provided by law)。此外,法院援引NML Capital v. Republic of Argentina案[3],认为《个人信息保护法》第13条第一款第三项所称之“法”并不当然局限于中国法。在该案中,被告依据西班牙法律主张减免其证据开示义务,称该法禁止信贷机构向第三方提供有关其客户余额或交易的信息。然而,该保密义务并不适用于“依法得向第三方披露的信息”(capable of being disclosed to third parties…under law)。纽约南区联邦法院认为,由于该法律本身并未明确对此作出规定,“依法”不应局限于本国法律或法院命令。而本案涉及的《个人信息保护法》同样未对“法定”的含义作出明确限制。不仅如此,该法具有域外管辖权,其至少部分规定适用于位于中国境外的公司,同样可能导致有关公司面临法律义务的冲突。因此,《个人信息保护法》第13条所称“法定职责或法定义务”不应限于中国法律下的职责和义务。作为美国诉讼当事方,Syntronic Beijing有义务遵守证据开示的有关法律规则及法院命令,这一义务即构成《个人信息保护法》第13条项下“为履行法定职责或者法定义务所必需”的例外情形。综上,Syntronic基于《个人信息保护法》第39条的抗辩无效,个人信息出境的同意要求不能阻却中国当事人在美国诉讼法下的证据开示义务,Syntronic须在法院命令之期限内将案涉电脑运至美国以供检视。美国加州北区联邦法院在Syntronic案中对于《个人信息保护法》第13条和第39条适用关系的阐释并非其“一厢情愿”。关于“第13条构成第39条之例外情形”的说理论证已经得到国内判例的确认。2023年9月,广州互联网法院作出全国首例涉及个人信息跨境传输的司法判决。[4]法院在判决中明确指出,信息处理者若具有《个人信息保护法》第13条第二至七项所规定的合法性基础,则其向境外提供个人信息无需取得个人的同意或单独同意。此外,Syntronic案对于告知同意机制中“单独同意”的解释也在这一判决中得到确认。广州互联网法院进一步阐明,在我国以告知同意为基础模式下的个人信息保护制度下,“单独同意是指个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。”在个人信息出境等具有更高安全风险的情形中,单独同意作为一种“增强性同意”,其设定旨在“赋予个人信息处理者更高的注意义务,并采取有针对性的相关物理及技术等措施”,对于个人信息主体的知情权、决定权予以充分保障。综上所述,《个人信息保护法》下个人信息处理、传输的告知同意机制不能阻却美国诉讼各方对于法院的证据开示义务。值得注意的是,援引域外法律请求减免证据开示义务的主张普遍难以得到美国法院的支持。除本文探讨的《个人信息保护法》之外,诸如《保守国家秘密法》《数据安全法》等常见的抗辩基础亦无被法院认可的先例。[5]原文链接:https://casetext.com/case/cadence-design-sys-v-syntronic-ab-6
[1] Cadence Design Systems, Inc. v. Syntronic AB, 2022 WL 2290593 (N.D. Cal. Jun. 24, 2022)
[2] 译者注:本案裁决于2022年6月24日发布,而《个人信息保护法》于2021年8月20日公布,2021年11月1日正式施行。
[3] NML Cap., Ltd. v. Republic of Argentina, 2013 WL 491522, at *4 (S.D.N.Y. Feb. 8, 2013).
[4] 左某诉某琴商务咨询(上海)有限公司、某高股份有限公司,广州互联网法院(2022)粤0192民初6486号民事判决书。
[5]例如 Richmark Corp. v. Timber Falling Consultants, 959 F.2d 1468
