跨境数据合规 | 中美法律冲突：中国反制立法及数据出境相关要求

走出去智库观察  

日前，大成律师事务所和美国科文顿-柏灵律师事务所主办、走出去智库和道琼斯风险合规协办在线研讨会——“国际贸易、跨境数据合规主题研讨会——经济制裁、出口管制、数据保护”，对贸易管制、争议解决、数据保护等当前热点问题进行分析研讨，旨在提升企业在跨境投资与国际贸易领域的风险防控水平，并进一步提升中国企业全球化经营中的合规管理水平。

走出去智库（CGGT）特约法律专家、北京师范大学网络法治国际中心执行主任吴沈括在主旨演讲中指出，在美上市中企面临着中美两国“双重合规”的挑战，一方面是美国证券交易委员会（SEC）等机构对中概股信息披露提出新要求，另一方面是中国开始加强数据安全监管，针对外国法的长臂管辖进行立法反制，即中国法的域外适用。在新的监管形势下，数据服务提供者要加强战略风控思维来应对合规风险。

在美上市企业如何应对中美“双重合规”的问题？今天，走出去智库（CGGT）刊发吴沈括教授演讲的重点内容，供关注跨境数据合规管理的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、以美国《云法案》为基础对中企提出的数据披露要求，引起了国内监管部门对赴美上市企业的数据安全风险的担忧。

2、中国监管部门在强化中国法的域外适用，这个概念不同于国外的长臂管辖，具有中国特殊的含义。

3、随着《数据安全法》于9月1日正式施行，表明在数字化博弈的全球浪潮下，数字化转型的全球竞争日趋激烈，围绕数据资源的国际争夺大幅延伸，针对数据安全的治理力度持续走强。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/吴沈括

走出去智库（CGGT）特约法律专家

北京师范大学互联网发展研究院院长助理

北京师范大学网络法治国际中心执行主任

联合国网络安全与网络犯罪问题高级顾问

最高人民法院咨询监督专家

在当前大国复杂博弈的情况下，在美上市企业面临着长臂管辖和母国管辖的中外双重合规问题，其中主要是网络安全涉及到国家数据安全的问题。

6月，《数据安全法》出台，BOSS直聘、满帮集团、滴滴在美上市；7月，监管部门启动对滴滴出行、运满满、货车帮、BOSS直聘的网络安全审查，中办、国办出台《关于依法从严打击证券违法活动的意见》，网信办公布《网络安全审查办法（修订草案征求意见稿）》，随着中企赴美上市，国内监管也日益趋严。

一、在美上市企业的数据信息披露：从美国《云法案》谈起

在美上市企业面临的数据信息披露场景非常广泛，包括：

（1）美国证券交易所；

（2）美国证券交易委员会（SEC）：《外国公司问责法案》等；

（3）行政机关（如美国商务部）：《出口管制条例》、《国际武器贸易条例等》；

（4）司法机关（如美国司法部）：《反海外腐败法》、《反不正当竞争法》、《版权法》等；

（5）专门针对跨境数据直接调取数据：《澄清境外数据的合法使用法》（简称《云法案》）、《布达佩斯公约第二附加议定书(草案)》等。

以美国《云法案》为基础对中企提出的数据披露要求，引起了国内监管部门对赴美上市企业的数据安全风险的担忧。

1、《云法案》概览

《云法案》于2018年3月23日经美国时任总统特朗普签署成为法律，该法案包括两个部分——

第一部分：详细规定根据美国《电子通信隐私法案》（“ECPA”）向科技公司发出相应法律手续可以取得该公司所拥有、保管或控制的（内容）数据，无论数据存储于何处——即使存储于美国境外。

第二部分：《云法案》为美国及外国政府创设了一个新的有关数据跨境请求的双边协议框架。

若美国有关机构对某一服务提供者启动法律程序，该企业有3个关键问题需要考虑：

（1） 被开启司法程序的公司实体是否受美国法院的管辖；

（2） 该公司实体是否拥有、保管或者控制相关数据；

（3） 该法律程序（如传票、法院令、搜查令）是否可以要求强制提供相关数据。

当然，数据服务提供者可以基于《云法案》对其启动的法律程序进行抗辩：

1、如果基于《云法案》的执法要求与没有和美国签署《云法案》第2部分列出的双边协议的国家的法律规定有冲突，则服务提供者可以基于普通法权利提出司法协助互惠的抗辩。

2、《云法案》还创立了一套新的法定机制，科技公司可以基于搜查令可能造成与签署了上述双边协议国家的法律相冲突的实质风险，而对搜查令进行抗辩。

2、《云法案》管辖

美国法院只能对其有一般管辖权或者特别管辖权的公司执行法律程序，《云法案》不会改变这些管辖规定：

（1）一般管辖权通常只针对总部在美国或者在美国注册的公司。受限于一般管辖权的公司可在美国法院被任何类型的权利请求而起诉。

（2）对于一个不受一般管辖权约束的公司，如果它和美国之间有足够的合同关系，特别管辖权可能会适用。是否适用特别管辖权的分析会告诉依赖个案情况，最多的情况下用于确定被告的管辖权上，在极少数的评估对接受法律程序的第三方是否有特别管辖权的一个案例中，法院考虑：A.第三方的合同与法院地和相关法院令之间的联系；B.为实现法院令目的而行使管辖权是否符合公平和实质公正。

（3）一般而言，法院在衡量特殊管辖权时会考虑：A.一个公司是否刻意进行在美国的行为；B.诉讼的事由是否适因为公司在美国的行为导致；和C.在该案中行使管辖权是否合理。

若某一美国境外公司的母公司为美国上市公司，美国对该美国境外公司不会享有属人管辖权。在美国，普遍的观点认为只是在美国证券交易所上市交易证券，或者采取行动措施上市交易，单凭这一简单事实并不足以使美国法院对其自动享有一般管辖权。

在《云法案》下，美国政府对美国上市公司在美国境外注册的子公司没有属人管辖权。我们理解一些美国上市公司的子公司成立在/总部设在美国境外。因此，他们应该不会受到美国法院一般管辖权的约束。但是在符合特别管辖权的情况下，美国法院有可能对非美国的美国上市公司的子公司主张特别管辖权，比如产生管辖权争议或者与之相关的判决。

3、《云法案》拥有、保管或者控制数据

在《云法案》下，关于拥有、保管或者控制数据有以下几个问题：

1、什么情况下一个受美国法管辖的科技提供者会被强制提供美国境外储存的数据？

在《云法案》下，如果一个受美国法管辖的提供者拥有、保管或者控制存储在美国境外的数据，法院一般会认为其拥有、保管或者控制该数据。如果一个公司（1）有取得数据的合法权利；或者（2）技术上可以取得数据，法院一般会认为其拥有、保管或者控制该数据。

在《云法案》颁布之前，在什么程度上美国执法活动可以强制技术公司披露美国境外存储的数据尚未确定。这个问题主要是美国vs微软的案例，2018年2月份在美国最高法院进行了庭审。

2、法院有可能强迫美国境内公司披露其美国境外姐妹公司持有的数据吗？

这取决于该美国境内公司是否拥有、保管或者控制相关数据。美国法院不会自动要求公司披露其国外关联公司持有的数据。他们会对两个公司的关系根据特定事实进行调查，以辨别美国公司是否拥有、保管或者控制一个关联公司持有的数据。一般来讲，法院不太倾向于认为一个公司拥有、保管或者控制其姐妹公司持有的数据。相反地，法院比较倾向于认为母公司拥有或者控制其子公司持有的数据。

3、除了向科技服务提供者提出法律要求，美国政府是否可以直接对该提供者的某个客户的法律程序直接从用户处得到数据？

是的。如果客户受美国法管辖，美国政府可以直接对该客户启动法律程序，比如通过搜查令或者大陪审团传票。该美国客户随后可以要求科技服务提供者传输相关数据给它以便它按照法律程序要求披露数据。

4、在《云法案》下，有没有对美国政府权力的限制？如：对于云服务提供商，如果其提供的是IAAS(基础设施即服务)，它们客户的内容架构的可见程度比较有限。

存在一些对美国政府强制公司交出数据的限制，这些限制在实施《云法案》之后继续有效。作为起点，云服务提供商可以考虑证明对于客户内容有限的可见意味着它不拥有、保管或者控制相关法律程序要求的数据。另外，如果这些请求造成过重/不当负担，云服务提供商还可以抵制相应的繁重请求。即便云服务提供商拥有、保管或者控制被要求的数据，它还是可以基于该要求引起法律冲突而进行抗辩。

二、中概股国内监管态势：以2021中办、国办《意见》为例

2021年7月6日，中共中央办公厅、国务院办公厅公布《关于依法从严打击证券违法活动的意见》，其中第五部分强调进一步加强跨境监管执法司法写协作，包括制度配套、流程管理、主体责任、执法联盟，对跨境数据安全、流动和涉密信息管理等合规提出了明确的要求。

目前来看，监管部门在强化中国法的域外适用，这个概念不同于国外的长臂管辖，具有中国特殊的含义。当前整体合规形势和工具的变化，预示着未来特殊的监管趋势：

1、坚持零容忍要求。严厉查处证券违法犯罪案件，加大对大案要案的查处力度，加强诚信约束惩戒，强化震慑效应。——监管力度更强

2、坚持法治原则。遵循公开、公平、公正原则，坚持严格执法、公正司法，统一标准、规范程序，提高专业化水平，提升透明度，不断增强公信力。——执法颗粒度更细；

3、坚持统筹协调。加强证券期货监督管理机构与公安、司法、市场监管等部门及有关地方的工作协同，形成高效打击证券违法活动和合力。——跨部门联动执法更密；

4、坚持底线思维。将依法从严打击证券违法活动和有效防范化解风险、维护国家拿权和社会稳定相结合，加强重点领域风险排查，强化源头风险防控，严防风险叠加共振、放大升级。——合规格局更高。

三、中概股网络安全审查合规：《网络安全审查办法》洞察

随着《数据安全法》于9月1日正式施行，表明在数字化博弈的全球浪潮下，数字化转型的全球竞争日趋激烈，围绕数据资源的国际争夺大幅延伸，针对数据安全的治理力度持续走强。

《数据安全法》在体系设计层面提供了特殊时期合规风控的方法论支撑，包括两个方面：

1、 外部资源利用：国家社会支持

明确了国家层面与数据安全有关的几个重要制度，构成主要外部支撑：

（1） 数据分类分级制度（各地区各部门重要数据目录）；

（2） 数据安全风险管理制度和数据安全应急处置制度；

（3） 数据安全审查制度（2020年《网络安全审查办法》）

（4） 管制物项数据出口管制制度；

（5） 数据安全国际对等制度。

2、 内部机制的建设：法律合规体系

（1） 技术层面治理：数据风险检测评估与通知处置机制；

（2） 组织管理治理：全生命周期的数据治理安排（合法性论证）、面对国内外执法司法机关的数据协助、配合、报告与批准机制、数据安全教育培训等；

（3） 内容价值治理：特别是数据内容、数据技术、数据应用的伦理关切。

2021年7月10日，国家互联网办公室公布《网络安全审查办法（修订草案征求意见稿）》，其中第10条：网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：

1、产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

2、产品和服务供应中断对关键信息基础设施业务连续性的危害；

3、产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

4、产品或服务提供者遵守中国法律、行政法规、部门规章情况；

5、核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

6、国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

7、其他可能危害关键信息基础设施安全和国家数据安全的因素。

当前，国际形势的变化对国内监管有明显影响，在全球化、数字化的背景下，需要从三个方面加强战略风控思维：

1、积极营造共生型社群生态：外国法长臂管辖VS中国法域外适用；

2、持续优化数据供应链安全：系统终端/业务流程→核心数据、重要数据、用户个人信息；

3、扩大配置国家安全绝缘层：设备部署、人员配置、运营架构。