文 龚一朵 天同律师事务所合伙人；张逸飞 天同律师事务所上海办公室

 

栏目主持人龚一朵、吴颖按：本文梳理了中国现行法对于数据出境的要求，并结合国际仲裁程序，浅析中方当事人在证据跨境传输时应当注意的问题和可以采取的合规措施。

每一起国际仲裁案件都可能涉及大量证据文件的交换。当事人可以主动提交用以支持其仲裁请求的证据，也可以在文件披露环节要求对方提交相关文件。如对方拒绝提供，申请方还可以请求仲裁庭指令对方提供。通常而言，证据提交、文件披露的程序取决于当事人的协议和仲裁庭的自由裁量权，不受各国国内法的限制。但是，国际仲裁的当事双方和仲裁庭常常分属不同法域，在文件交换过程中将不可避免地产生大量数据的跨境传输，随着数据安全被提升至国家安全和公共利益层面，国际仲裁文件交换的数据合规问题越来越受到各国重视。

中国法以往对于数据出境并无系统的合规要求。近年来，《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等多项数据保护法规相继出台，在中国境内的当事人需要按照各项数据保护法规的要求参与国际仲裁程序，完成必要的合规审查。本文将梳理中国现行法对数据出境的法规要求，并结合国际仲裁程序流程，浅析中方当事人在证据跨境传输时可以采取的合规措施。

 

 

现行法规对数据出境的合规要求

基于对国家安全、公共利益重要性的考量，我国从国家秘密、个人信息、重要数据等多个维度将不同类型数据分类，并采取了相应的监管与审查措施。本文以监管方式为标准，将应通过合规审查的数据划分为两类，第一类为禁止出境的数据，第二类为应完成相应出境业务的数据。

（一）禁止出境数据

1. 国家秘密不得非法传输

国家秘密关乎国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉。《保守国家秘密法》第26条明确规定，禁止非法复制、记录、存储国家秘密；禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密；禁止在私人交往和通信中涉及国家秘密。非法传输包含国家秘密的数据受到《保守国家秘密法》的明确禁止，在某些情况下，甚至可能构成犯罪而需承担刑事责任。

关于国家秘密的认定，一般由各主管部门按照国家秘密及其密级的具体范围的规定确定密级（分为“机密”“绝密”“秘密”三级），确定密级的文件将受到《保守国家秘密法》的直接保护。如果文件没有标明密级但包含未公开信息，根据《对外交往与合作提供涉密资料保密管理规定》第17条，对于不属于国家秘密但尚未公开的内部资料，机关、单位也应按国家秘密进行管理。但由于该规定本身也同时涉密，目前尚未见到当事人直接援引该条以应对文件披露请求，因此对于未确定密级的内部文件，如果决定提交出境可能存在一定的合规风险。

2. 单行法律法规明确特定数据禁止出境

除国家秘密外，特定领域的单行法律法规中也明确规定，人口健康信息[1]、依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息[2]、遥感数据[3]、无线电电波参数资料[4]、人类遗传资源[5]等数据因关乎国家安全和公共利益，必须进行本地化存储，不得向境外提供或在境外服务器中存储。

（二）完成出境业务后可出境数据

上述禁止数据出境的法规多在数据保护法规出台前施行。随着数据保护法规逐步实施，我国对于数据出境的整体策略遵循分类分级管理的基本逻辑，对重要数据[6]和个人信息[7]等数据的合规监管进行了差异化设计，通过事前审批、自愿认证和事后备案等手段完成出境业务后方即可出境。目前，出境业务主要包括数据出境安全评估、签署个人信息出境标准合同、个人信息跨境处理活动安全认证、主管机关批准四项。

1. 重要数据和大规模的个人信息出境需完成数据出境安全评估

数据出境安全评估，即对数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息的安全评估。根据《数据安全评估办法》第4条，以下三种情形应当进行数据出境安全评估：

（1）数据处理者向境外提供重要数据；

（2）关键信息基础设施运营者[8]和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息[9]的数据处理者向境外提供个人信息。

在各项数据出境业务里，因涉及的数据量最大、数据内容最为关键，数据出境安全评估具有以下特点：第一，规则最为完善、适用范围最广；第二，流程最为复杂，申请评估方应先提交省级网信部门完成完备性查验，申报材料齐全的，省级网信部门再将申报材料报送国家网信部门进行实质审查；第三，办结时限最长，整个程序完成一般需经过三个月时间。

2. 小规模个人信息出境需签署出境标准合同或完成跨境处理活动安全认证

如果承载的个人信息量未达到《数据安全评估办法》第4条需进行数据出境安全评估的规模，当事人可以以仲裁庭、对方当事人为境外个人信息接收方，根据《个人信息保护法》第38条选择与境外接收方订立个人信息出境标准合同或完成个人信息跨境处理活动安全认证以完成合规要求。

由于个人信息出境标准合同与个人信息跨境处理活动安全认证都具备“一事一议”的特点，目前相关配套规范、标准还在完善过程中。2022年6月30日，国家互联网信息办公室发布《个人信息出境标准合同规定（征求意见稿）》，包含标准合同的主要条款、合同签订后在主管部门的备案义务，以及在有效期届满前重新签订的续期义务等内容。2022年12月16日，全国信息安全标准化技术委员会秘书处发布正式版《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》，作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据。由于前述规范发布时间不长，在实践中的具体操作流程和效果仍有进一步跟进。

3. 通过主管机关批准后出境

对于外国司法或执法机构要求提供数据和个人信息的情形，《数据安全法》第36条和《个人信息保护法》第41条明确规定：凡需向外国司法或执法机构提供数据尤其是涉及重要数据以及个人信息的，如果该数据原本是存储于我国境内，则在对外提供时必须向我国主管机关申请并获得批准后方可对外提供。

实践中，此类审批通常由司法部司法协助交流中心处理。司法部司法协助交流中心收到申请材料后，通常将会同网信办或相关主管部门对材料进行审核，审核通过后，司法部司法协助交流中心将会出具批文同意出境。整个流程大概需要一个月时间。

 

 

中方当事人参与际仲裁程序的数据合规指引

根据上述数据保护法规要求，结合国际仲裁证据提交、文件披露程序的特点，我们认为，中方当事人可以采取如下必要的数据合规策略，尽量减小文件跨境传输可能发生的风险。

（一）尽早评估证据跨境传输的适用法规，与各方共同制定数据处理和披露协议

仲裁程序启动后，或在对案件争议有初步认识后，当事人应当尽早明确可能适用的数据保护法规，逐一核实以下事项：第一，案涉争议是否涉及禁止出境的敏感数据；第二，结合公司文件管理制度、个人信息收集制度，披露证据是否将涉及提供关键数据或大量个人信息、是否有完成数据出境安全评估等数据出境业务的必要；第三，根据案件整体策略，联系主管机关确认仲裁证据的跨境传输是否应通过主管机关批准。

在仲裁程序中，上述第三项事项尤其值得考虑。《数据安全法》第36条和《个人信息保护法》第41条所涉及的对象是外国司法机构或执法机构，而国际仲裁机构、仲裁庭是否属于外国司法机构或执法机构目前仍存在争议。一方面，有观点认为，仲裁机构具有独立性和非行政性。香港国际仲裁中心、新加坡国际仲裁中心、伦敦国际仲裁院等多家仲裁机构均明确为有限责任公司，并且许多境外司法管辖区域的法律也明确了仲裁机构的独立性和非行政性，因此向其披露证据不属于相关数据保护法规规制的范畴。另一方面，实践中，相关政府部门对这一问题的态度并不统一。例如，主管审批工作的司法部在部分案件中认为仲裁程序的数据出境需要经过批准，而在另一些案件又认为不需要经过批准。另外，也有中方当事人向多个不同的主管部门提交数据出境的审批申请，但不同部门的回复意见不一，其中有主管部门就仲裁中文件的跨境转移提供了口头同意，而其他则以仲裁事务不属于其职责范围为由拒绝审查当事人的请求。[10]这种处理方式的不统一，将在一定程度上给文件跨境传输和案件审理造成拖延。

通过前期评估，当事人能够基本明确证据跨境传输在中国法下的数据合规风险。当事人可以梳理与数据合规相关的信息，包括适用的数据保护法规、数据出境业务、主管部门、预计办结时间等内容，提交仲裁庭和对方当事人。如果各方均认可大量证据文件的跨境传输将导致不必要的程序延误和成本支出，甚至可能面临严重的合规风险，当事双方可以签订数据处理和披露协议，放弃文件披露环节，减少证据文件的交换数量。即使无法就放弃文件披露达成一致，通过告知证据跨境传输的合规要求，仲裁庭在确定程序时间表时也可以提前考虑数据保护问题，预留政府审查和批准造成的延迟时间，增强仲裁程序的可预见性。

（二）尽早开展文件保存工作，与保留文件的个人进行充分沟通

如保留文件披露环节，为了避免文件丢失导致的不利后果，中方当事人应在可以合理预见披露情况后的第一时间（而不是在收到披露令时），向负有文件保留义务的个人（Custodian）发出文件保留通知，告知其需要保留所有与案件有关的文件。当事人还需要安排IT部门进行风险排查，从公司层面确保不会因为自动删除设定和邮箱容量上限等原因而导致文件被删除。在特殊情况下，当事人可以考虑聘用第三方法证服务公司（Forensic Service Company）帮助收集和存储文件。例如，在我们处理过的一起案件中，因文件数量巨大，当事人选择了第三方法证服务公司提供文件收集扫描、文件相关性初步筛选以及文件存放等服务，最大程度确保了相关文件的安全性与完整性。

另外，实践中，公司内部与案件相关的工作人员可能出现抗拒提供文件的情况。对此，公司需要与律师配合，向该工作人员充分解释文件披露程序的含义和规则，告知即使披露了不利证据，也可以在法律观点上做好准备，将该不利证据对己方主张的影响降低在可控范围内；同时也应提醒拒绝披露的可能后果，如故意隐藏文件的行为被仲裁庭知悉，会让仲裁庭对当事人的诚信产生怀疑，作出针对未披露当事人的不利推定，甚至可能对案件审理产生重大影响。

（三）开展文件审阅工作，个人信息出境征求个人同意，无关信息采取涂色处理

文件收集完成后，当事人可以组织律师根据披露令以及中国数据保护法规要求完成文件审阅工作。本着谨慎及从严审阅的态度，任何可能涉及国家秘密或敏感行业信息的禁止出境数据都应该被保留在境内，对于与案件无关的关键数据和个人信息，可以将相关信息涂黑处理。如果存在与案件相关需要出境的数据，应提前取得相关人员的明示同意，告知提供个人信息的处理目的、处理方式，同时也向其承诺他们的个人信息安全。上述做法也符合《个人信息保护法》对于取得个人信息处理者单独同意的合规要求。

（四）选择适当的出境业务，主动获得主管机关批准

通过文件审阅筛选出与案件相关的文件后，当事人可根据数据类型和数据规模选择安全评估、标准合同或跨境认证完成出境合规审查，三种出境路径在不同场景下存在着不同的优先适用。对于规模较小、可一次性完成传输的数据出境，当事人可选择与境外接收方签订标准合同或完成跨境认证，在短时间内完成合规审查，减少合规成本；如果数据规模较大，或涉及重要数据和敏感个人信息，则必须通过数据出境安全评估，当事人应尽早向国家网信部门申报。

如果案涉仲裁机构、仲裁庭的行政属性不明，我们建议当事人主动与主管机关沟通，以书面函件形式获取主管机关的反馈意见。如果确认文件出境需要经过批准，当事人应尽快向司法部司法协助交流中心提出申请、获得批文；如果确认无需经过批准，当事人应妥善保存反馈意见，并尽快落实文件出境。就上述沟通情况，当事人可以与仲裁机构、仲裁庭保持信息更新，以体现积极参与程序的善意，也有利于仲裁程序各方对于程序时间表有更准确的预期。

 

 

小结

在国际仲裁中，证据是仲裁庭作出裁决的重要依据，证据提交、文件披露也是仲裁程序中的关键环节。近年来，随着数据安全的重要性不断提升，国际仲裁中证据跨境传输产生的数据合规问题越来越受到重视，特别是在文件披露程序中，由于涉及的文件量较大，由此可能引发的数据合规风险也较高。中方当事人在参与涉外争议解决的过程中需要明确数据出境的相关法规要求，研判企业类型和数据类型以评估出境风险，采取妥善的数据合规策略，选择适当的数据出境路径，避免因解决商事争议引发数据合规风险。

 

注释：

[1] 《人口健康信息管理办法(试行)》第10条。

[2] 《银行业金融机构反洗钱和反恐怖融资管理办法》第28条。

[3] 《国家民用卫星遥感数据管理暂行办法》第19条。

[4] 《中华人民共和国无线电管理条例》第55条。

[5] 《中华人民共和国人类遗传资源管理条例》第7条。

[6] 《数据出境安全评估办法》第19条：本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。《<信息安全技术重要数据识别指南>征求意见稿》为识别重要数据提供了14项判断因素，整体上看，与国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据均可能被视为重要数据。

[7] 《中华人民共和国个人信息保护法》第4条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[8] 《关键信息基础设施安全保护条例》第2条：本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[9] 《中华人民共和国个人信息保护法》第28条：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

[10] Hong Kong Arbitration Week Recap:Implications of PRC’s Evolving Data Protection Laws in International Arbitration, http://arbitrationblog.kluwerarbitration.com

/2022/10/25/hong-kong-arbitration-week-recap-implications-of-prcs-evolving-data-protection-laws-in-international-arbitration/