我國企業赴美上市蘊涵的數據安全風險,業已引起廣泛關注和制度應對。例如,左曉棟談及:“[近期對滴滴的安全審查]主要關注的是,重要數據和公民個人信息的出境安全風險。”[1]因此,有必要梳理美國法下引致數據安全風險的可能性。更具體地說,有必要梳理美國法下,對在美發行美國存托憑證(ADR)[2]的企業,美國司法部門、行政部門和其它實體獲取企業數據的可能性。
以下分四段展開。首先是司法系統,先簡述作為證據開示前提的管轄和域外適用,再是開示,并以常常被忽視的對外監控法庭(FISC)監控令作結。其次是行政部門和與之有密切關系的獨立組織,討論法庭之友意見、披露、執法和現場驗視各自對獲取企業數據的影響。再次,提請注意律所、投行、會計師事務所等中介的工作實踐,伴有一些推論。最后,試論國家安全審查的法治化。
司法部門:管轄、域外適用、證據開示和對外監控
美國司法部門[3]獲取我國赴美上市企業內的重要數據或個人信息,至少存在兩種比較重要的可能性:其一,在證券欺詐等案件中,法院要求企業將數據作為證據開示;其二,FISC發出監控令,授權行政機關搜查或監聽我國企業數據。以下主要討論前者,并簡要述及后者涉及的風險。
就針對我國赴美上市企業的證券欺詐案件,因企業注冊地位于美國境外,美國法院通常需要考慮至少三個環節:首先,建立對企業的管轄;其次,討論有關法律的域外適用;最后,才是開示。每一環節上,都存在一定的復雜性。
管轄層面,Pinker訴Roche Holdings Ltd.案認可了美國聯邦法院在證券欺詐案件中對ADR發行者的管轄權,也是相應議題上有影響力的主要先例[4]。本案中,原告訴稱:被告未披露在全球范圍內操縱維生素市場一事,構成證券欺詐[5]。聯邦第三巡回法院的管轄權裁決,綜合考慮了三方面因素:被告是否令自身享有美國法賦予的權利,以及,被告是否合理預期到卷入[美國法]訴訟的風險;被告是否存在有意將自身置于美國法下的行為;以及,傳統的公平和實質正義觀念[6]。本案中,即使被告所發行ADR并未在美國境內交易所掛牌交易,法院仍然認為:發行ADR本身即足以構成前述“有意行為”,享有在美國證券市場開展活動的權利,亦足以合理期待因欺詐性披露而卷入訴訟[7]。法院同時認為:因被告需在一定程度上遵守美國證券交易委員會(SEC)的披露要求,又因美國在推動證券監管政策方面有著重要的國家利益,對被告行使管轄并不違背傳統的公平和實質正義觀念[8]。綜上,發行ADR通常足以建立管轄權。
域外適用層面,有關美國法下的證券欺詐相關法律是否適用、又在何種程度上適用于美國境外,素有爭議[9]。在2010年判決的Morrison訴National Australia Bank一案中,美國聯邦最高法院正面解答了這一問題,提出了“交易[地]檢驗”,亦即:如果涉案證券的交易發生在美國,或者涉案證券在美國國內的交易所掛牌交易,則適用相應的證券欺詐法律[10]。僅就本文關注的、我國企業赴美上市(發行ADR)問題而言,相應證券顯然滿足檢驗條件,故足以適用美國相關法律[11]。
前兩項問題,在很大程度上是證據開示問題的“鋪墊”。對美國司法系統獲取我國企業數據、進而造成數據安全風險而言,管轄和適用只是開示的前提;數據的(違法違規)出境,終究需要通過開示而發生。在這一最為重要的問題上,亦即,當美國法院的開示要求與他國法律沖突時是否禮讓,有兩方面結論:一方面,在相對抽象的法律原則上,并不存在如管轄或適用般的清晰結論,美國各地法院依賴于復雜的多因素權衡;另一方面,在更為具體的裁決結果上,美國法院通常令開示要求優先于他國法律。法律原則方面,此處有拘束力的主要先例,是美國聯邦最高法院在Societe Nationale一案中的判決[12].簡言之,就民事訴訟開示沖突中的禮讓,最高法院確定了分析禮讓時應當平衡的五類因素:涉案數據的重要性、開示要求的確切程度、數據是否產生于美國境內、是否存在其它獲取數據的手段、不遵從要求是否會嚴重損害美國或數據所在國利益[13]。相應分析原則延續至今。不過,多因素平衡,本即難言清晰;各巡回區間,在因素的具體內容、分析順序或者相對權重上,也仍然存在差異[14]。
至于具體的數據開示沖突,《通用數據保護條例》(GDPR)已引起直接相關的案例。在涉及專利侵權的Finjan訴Zscaler案中,開示涉及受GDPR保護的個人郵件,且匿名化等方式不可行[15]。加利福利亞州北區聯邦法院援引前述因素,作出了要求開示的裁決。本案中,法院首先指出:Societe Nationale案并未窮盡所有應予平衡的因素,法院尚可考量開示方在法律沖突中所面臨的困難和相沖突法律各自執法時的遵從情況[16]。在幾乎所有因素上,法院都傾向于開示[17]。尤其值得注意的,是“開示對美國或數據所在國利益的損害”這一因素上的分析。法院首先認定,美國保護本國專利的利益“十分有力”[18]。其次,盡管法院承認英國確有保護公民隱私的利益,然而,由于法院認為自身發出的、針對相應數據的保護令足以顯著縮減英國的相應利益,同時,法院不清楚相應郵件“在何種程度上蘊涵了英國利益”,在“顯著的、美國保護本國專利的利益”和“經縮減的、英國保護本國公民的利益”之間,這一因素顯著地傾向于開示[19]。在相近的開示禮讓案件中,本案有相當代表性[20]。
回到我國赴美上市企業可能面臨的數據開示要求,除上述直接適用的案件外,還有三點值得注意。其一,國家安全顯然不可簡單與隱私利益等量齊觀。批量個人信息或數據出境蘊涵的國家安全風險,也通常要顯著高于開示特定個體郵件所蘊涵的風險。其二,盡管美國法院認為,就出境數據發出保護令,足以保護他國利益,其它主權國家恐怕難以信服這一觀點。涉及國家安全風險時,他國法院的保護令意義如何,更為成疑。其三,一旦發生相應訴訟,即使我國有關部門出具對我國相關法律法規的權威解釋,美國法院亦可能僅給予“尊重性的考量”,而不會作為“結論性”的解釋[21]。如前,面對美國法院針對GDPR(數據)開示禮讓的判決,一方面,既有判決強烈地傾向于開示;另一方面,在我國赴美上市企業數據安全這一語境下,擔憂更加強烈。綜之,美國法下美國法院通過開示獲取企業數據一事,蘊涵了需要重視的風險。
在證券欺詐案件的證據開示以外,美國司法系統獲取我國企業數據的另一可能性,是通過FISC發出的監控令。簡言之,基于《對外情報監控法案》(FISA),就美國政府針對特定個體的監控申請,如果FISC高度確信相應個體為從事特定活動的“外國勢力”或“外國勢力代理人”,則可以批出監控令[22]。FISC的運作始終處于秘密之中:案件、程序與判決一律保密,被監控方無法知曉、亦不可能參與相應程序。在很長一段時間內,我們無法確認是否存在針對我國企業的監控令。然而,2019年美國政府針對華為的訴訟[23],確認了存在針對華為的監控令。具體而言,FISA規定:如果政府希望將監控所得信息列為訴訟證據,則應就此通知訴訟被告與審理法院[24]。因此,由于美國政府向華為發出了相應通知,可以確信FISC曾批出針對我國企業的監控令[25]。這是美國司法系統獲取企業數據、造成安全風險的又一方式。
以上,總結了美國法院通過證據開示與批出監控令(后續可能成為證據)而獲取我國赴美上市企業數據的可能性。第一種可能性與發行ADR關聯緊密、相對透明、先例亦多。僅就目前進展而言,很難認為美國法院會在開示爭議中充分尊重我國利益。第二種可能性與ADR大體無關、完全秘密、且缺乏先例。盡管如此,因確實存在針對我國企業的監控令,值得引起更多的注意。
