适用场景
涉及国际仲裁、需要向境外仲裁机构(如HKIAC、SIAC)或外国司法机构提供证据材料的中国企业,尤其是在仲裁程序启动或证据开示阶段。
核心要点
1. 中国数据出境法规框架与限制
《网络安全法》、《数据安全法》、《个人信息保护法》共同构成了数据出境的基本监管框架。关键信息基础设施运营者的个人信息和重要数据需境内存储,出境需通过安全评估。向境外司法或执法机构提供境内存储的数据,必须事先获得中国主管机关批准。
2. 国际仲裁场景下的法规模糊地带
目前尚无明确书面规则直接适用于国际仲裁中的数据出境场景。向境外仲裁机构、仲裁庭及对方当事人披露证据,可能触发何种合规要求存在不确定性。监管主体多元且标准未完全统一,给企业申请带来挑战。
3. 仲裁庭对数据出境争议的处理倾向
仲裁庭可能依据《IBA国际仲裁取证规则》第9条,综合考虑中国法下的义务、数据出境具体情况、仲裁效率与公平性,决定是否排除相关证据披露。也可能命令当事人采取数据加密、去标识化等保护措施,或做出不利推断、调整费用分配。
4. 获得主管机关批准的可能路径与效力
实践中,有企业通过向司法部司法协助交流中心申请,由司法部组织网信部门及法院联合审批来处理诉讼中的数据出境。有观点认为,获得此类批准可替代单独的数据出境安全评估。但这在仲裁中尚未有明确先例。
实务建议
- 在仲裁程序初期(程序时间表确定前)即开始规划数据出境方案,因审批流程可能耗时1至4个月。
- 尽早识别拟出境数据的性质(是否属于重要数据、个人信息、敏感个人信息等),并据此判断需履行的合规义务(安全评估、标准合同、认证等)。
- 若涉及个人信息,确保事先获得数据主体的单独同意。
- 与监管机构保持沟通,密切关注数据出境法规的动态变化,以确定最新的合规要求。
- 在设计出境方案时,考虑是否需要境外仲裁相对方的配合(例如签署标准合同)。
- 强化数据管理控制,可考虑引入第三方专业机构处理和维护数据,或采用加密、云存储等技术保障数据安全。
风险提示
- 切勿在未履行中国法规定的安全评估或获得批准的情况下,擅自向境外仲裁机构或对方提供受管制数据。
- 不要误认为国际仲裁程序可以自动豁免中国数据出境法规的约束。
- 注意法规的模糊性可能被对方利用,以规避其证据披露义务,或对我方施加压力。
- 避免仅以中国数据法规为理由简单拒绝披露,而应积极寻求合规路径,否则仲裁庭可能做出不利推断。