如何正确理解《数据安全法草案》第33条跨境数据取证条款？

 7月3日，《中华人民共和国数据安全法（草案）》正式向社会公众征求意见。草案第33条对境外执法机构调取境内数据时，有关组织和个人的相关义务作了规定。该条规定：

这条规定直接涉及我国企业如何回应外国执法机关提出的跨国调取或披露数据的请求，特别是对掌握和控制海量数据的阿里、腾讯等互联网巨头具有重要意义。

随着信息通信技术的飞速发展，互联网深度融入人类社会生活，全球范围内的跨国网络犯罪日益猖獗，以数据形式呈现的电子证据广泛应用于各类刑事、民商事乃至行政案件的调查和裁判。我国企业正面对越来越多外国跨国调取数据的要求。例如，2010年以来，美国地方法院多次以调查相关诉讼案件的事实为由，要求中国银行纽约分行等多家中资银行提供存储在我国境内的客户电子邮件、银行账户等数据，不配合的银行被以藐视法庭罪每日处以高额罚款。

美国2018年通过《云法案》，允许联邦调查局、司法部等执法机关直接要求在美国管辖之下的企业提供或披露有关数据。这些数据并不局限于存储在美国的数据，也包括存储在别国境内的数据。《云法案》的管辖范围很广，不仅能管到微软、苹果、脸书、亚马逊等总部在美国的互联网公司，也能管到在美国有分公司或其他代表机构的外国互联网公司。由于美国频繁基于“效果原则”等实施长臂管辖，即便外国互联网公司在美国没有分支机构，美国也可以基于其在美国有用户、面向美国提供服务，或在美国境内产生“影响”等理由行使管辖权，要求这些公司向联邦调查局或者司法部提供数据。这就意味着，阿里、腾讯这些掌握海量数据的中国互联网公司，即便在美国没有分公司或代表机构，也可能因为存在与美国的管辖权连接点而受到《云法案》的长臂管辖，被美国执法机关要求提供存储在中国境内的数据。

正在拟定的《欧盟电子证据条例》也准备采用与美国类似的跨境取证模式。从目前公开披露的条例草案看，条例采用了和《通用数据保护条例》几乎一样的域外管辖条款。能被条例管的网络服务提供商不一定必须是欧盟本国公司，也并不一定必须是在欧盟境内设立代表机构的公司，而是只要面向欧盟境内提供服务，就会受到条例管辖。这意味着中国互联网公司就算在欧盟没有分公司，也没有设立代表机构，但是只要面向欧盟境内提供服务，比如手机游戏的用户是欧盟国家公民，欧盟国家的执法机关就可以要求他们提供数据。在美国和欧盟的推动下，这种一国政府直接向外国公司索要数据的跨境取证可能成为常态化的法律规则。

在跨境取证方面，我国仍然通过国际司法协助的途径，同时也要求外国通过同样的渠道向我国取证。2018年，我国通过了《国际刑事司法协助法》，该法第4条第2款规定：

不论立法者本意如何，该款规定客观上起到了“阻断”外国直接要求我国互联网公司提供或披露数据的效果，或者说为我国互联网公司回应外国此类请求提供了法律理由。例如，2019年美国联邦调查局为调查一家香港公司涉嫌违反美国制裁朝鲜法令案件，要求招商、交通、浦发三家中资银行提供有关银行记录等数据，三家银行均以《国际刑事司法协助法》第4条提出抗辩，强调因为中国法律的禁止性规定，银行无法提供相关数据。

从《数据安全法草案》第33条看，实际上是将“阻断”外国跨境取证的范围进行了扩大。《刑事司法协助法》只能覆盖刑事跨国取证中的数据调取和披露要求。而根据《数据安全法草案》第3条，本法所称的数据是“任何以电子或非电子形式对信息的记录”，不仅能够涵盖民事诉讼和行政诉讼领域的数据，而且不限于以电子形式存在的数据。这显然更有利于我国互联网公司以中国法律的禁止性规定为由拒绝外国执法机关的数据请求。

从《数据安全法草案》第33条的字面含义看，如果外国执法机关要求我国境内的互联网公司数据提供或披露数据，企业应当向有关主管机关报告，获得有关主管机关的批准后，公司可以向外国执法机关提供数据。虽然关于该条具体如何实施，比如应向哪些主管机关报告，主管机关审核批准的流程和要求是什么等尚不清楚，但从该条的字面含义似乎可以得出这样的结论：如果主管机关批准了，企业就可以直接向外国执法机关提供数据。这和《国际刑事司法协助法》第4条、《民事诉讼法》第277条形成了直接的冲突。

如前所述，《国际刑事司法协助法》第4条具有“阻断”外国向我国互联网公司调取数据的效果。非经主管机关同意，我国境内的互联网公司不得向外国提供数据，但这是不是意味着只要主管机关同意了，企业就可以直接向外国提供数据呢？举个例子，假如美国司法部直接向阿里发出请求，要求提供涉嫌售假的相关淘宝店主的个人信息，阿里在征得主管机关同意后就可以直接将相关个人信息发送给美方呢？

当然不是，对《国际刑事司法协助法》第4条的理解，必须结合该法第二章“刑事司法协助请求的提出、接收和处理”才能准确理解。事实上，对于外国执法机关的跨境取证请求，根据我国目前的法律和实践，只能通过两国刑事司法协助条约或外交途径为之。

刑事司法协助一般要经过以下程序：外国通过外交途径或我国与其签署的刑事司法协助条约，向我国司法部提出书面请求，描述要调取的证据、用途和法律依据等；司法部根据两国的刑事司法协助条约和本国法律对请求进行审查，主要审查涉案行为根据我国法律是否构成犯罪（即“双重犯罪”原则），向该外国提供协助是否可能损害我国主权、安全利益等。如认为可以提供协助，则交给有管辖权的公安机关去找企业要证据，拿到证据后交给司法部，由司法部转交给该外国的司法部。

如果提出司法协助请求的国家和我国没有签订刑事司法协助条约，则需要基于互惠原则，通过外交渠道提出请求、转递相关数据。

根据《民事诉讼法》第277条，涉及民事案件的跨国数据请求也要遵循类似的“官方对官方”模式。

这也就意味着，在上述虚拟的阿里案件场景中，美国政府首先应该通过《中华人民共和国政府和美利坚合众国政府关于刑事司法协助的协定》向中国司法部提出请求，经由司法协助程序获得有关的数据。即便我国司法部允许向美国提供数据，涉案淘宝店主的个人信息也应该由公安机关从阿里调取，交我国司法部再转交美国司法部，而绝不应由阿里直接交付。如果我国互联网公司基于对《数据安全法草案》第33条的误读而直接向外国执法机关交付了相关数据，则可能违反《国际刑事司法协助法》和《民事诉讼法》。

同时，由于《数据安全法》与《国际刑事司法协助法》和《民事诉讼法》属于相同位阶的法律，如果就同一问题所作出的规定不甚一致，也可能会引发法律冲突及法律适用上的问题，甚至被外界误认为，基于“后法优于前法”的法律原则，《数据安全法》在回应外国执法机关数据调取或披露请求方面的法律规定和立场实践发生了变化。

为了避免这种误解，笔者建议在征求公众意见后对《数据安全法草案》第33条的具体措辞作出相应修改，使之与《国际刑事司法协助法》和《民事诉讼法》的规定更为协调。

当我国企业面临美国执法机关直接向其提出的跨国调取数据要求时，通常会依据美国法院经由一系列判例形成的“国际礼让”（International Comity）或“外国主权强制”（Foreign Sovereign Compulsion）进行抗辩。例如上面提到的“交通、招商、浦发三家银行案”、2011年的Gucci案、2018年的Nike案等。从美国法院的司法实践看，无论是“国际礼让”还是“外国主权强制”，都要求相关外国企业面临美国法律和本国法律之间的“真实冲突”，并且企业如果向美国执法机关提供了数据将会面临所在国的严厉处罚。如果没有真实的法律冲突，或者美国法院在分析企业所在国法律和司法实践后认为企业不会受到处罚或只可能面临轻微处罚，则不会支持“国际礼让”或“外国主权强制”抗辩。

例如，在Gucci案中，美国纽约联邦地区法院要求中国银行纽约分行提供相关售假淘宝店主在我国境内的银行账户信息，中行纽约分行提出这将会违反中国的《商业银行法》，但由于《商业银行法》对银行保密义务的规定较为笼统，美国法院认为银行因为向美国提供数据遭受行政或刑事处罚的“现实可能性”很小，最终没有支持中行的抗辩。有不少分析认为，由于《国际刑事司法协助法》在跨国取证方面只有一条简略的规定，没有设置具体的罚则，美国法院可能会因此倾向于认为中国政府不会严厉处罚向美国提供了数据的互联网公司，从而驳回公司的“国际礼让”或“外国主权强制”抗辩。

目前的《数据安全法草案》某种程度上也存在和《国际刑事司法协助法》同样的问题。虽然草案“法律责任”部分针对第25、27、28、29、30和31条规定了罚则，但却没有规定对违反第33条向外国执法机关提供数据的企业或个人应该如何处罚。如果实际遇到美国执法机关向我国互联网公司调取数据的情况，我国公司恐怕很难依据《数据安全法》去主张“国际礼让”或“外国主权强制”。

整体来看，我国互联网公司目前主要的市场还在国内，但走出国门、进入国际市场不可避免。以腾讯、抖音为代表的社交媒体平台要突破用户的天花板，就必须扬帆出海，走国际化的道路，向脸书、推特等具有全球影响力和动辄几十亿粉丝的社交媒体巨头看齐。我国的一些有实力的跨境电商早已在布局美国、欧盟和东南亚的市场。可以想见，未来我国的互联网公司在跨国调取数据方面必然会面对更多来自外国的数据要求，承受更多法律冲突与合规压力。《数据安全法》似乎有必要照顾到这一未来的发展趋势，吸收借鉴域外好的做法，为我国互联网公司“走出去”创造更有利的法律和规则条件。