知识产权相关数据出境合规问题
近年来,随着中国数据保护相关法律法规日臻成熟,数据出境合规机制不断完善,企业的数据出境合规问题备受关注。在知识产权领域,相关数据的出境可能涉及到不同方面的合规问题。本文在此梳理知识产权相关数据出境的典型场景,并从数据安全与个人信息保护合规、《反间谍法》合规、境外上市合规等角度对合规要求分析,在此基础上提供相关的合规建议,供企业参考。
一、知识产权数据出境的典型场景
企业在各类场景下都可能涉及知识产权诉讼相关数据的出境活动,我们在此总结典型的出境场景如下:
(一)应对海外的执法调查和司法程序
如企业遭遇海外的知识产权相关执法调查或司法程序,可能涉及到将有关知识产权的数据作为证据材料,向海外执法部门或司法部门提供。根据我国《数据安全法》第36条的规定,非经主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。因此,在这种场景下,企业需特别关注向境外提供知识产权相关数据的合规程序。例如,在我国某无人机制造商与美国航空航天企业德事隆集团近期在美国法院的专利诉讼中1,就存在将专利相关数据作为证据材料进行开示的情况,其中可能涉及数据出境相关问题。
(二)与知识产权相关的涉外交易
在涉外交易中,无论是交易各方前期接洽、尽职调查、谈判或交易交割流程中,都可能涉及到数据的跨境传输。在与知识产权业务相关的涉外交易中,可能会涉及知识产权相关数据的出境活动。例如,2022年7月,英国政府以国家安全为由禁止曼彻斯特大学向我国某企业转让某视觉传感器技术科研成果2;2023年,中国某企业与美国福特汽车就电池专利技术进行许可的相关合作也遭遇了美国众议院的审查3,这两项交易中的知识产权转让或许可安排中就可能涉及数据出境情况。
(三)跨国企业关联公司之间的数据传输
在跨国公司的日常经营管理中,不可避免涉及到关联公司之间的数据传输,例如境内公司向境外总部传输相关数据等,其中可能涉及到相关知识产权的数据。因此,在跨国企业的关联公司之间发生的知识产权相关数据出境活动也十分常见,对于具有海外业务的国内企业而言,其海外业务过程中也可能发生类似的数据出境情况。值得注意的是,2023年9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》(“数据跨境新规”),对当前已落地的数据跨境合规监管机制进行了实质性调整,该规定正式实施后,很多具有跨国业务需求和全球运营布局的企业的数据跨境传输合规压力与成本可能会有所降低。
(四)公司海外上市的信息披露
在公司海外上市的流程中,基于证券交易所或海外监管机构的信息披露要求,企业可能会涉及到将相关知识产权数据等信息、档案材料向海外机构提供,以履行上市程序的要求。在这种场景下,企业应当关注境外上市合规的要求,特别是《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》中关于信息披露和档案管理的监管要求。
由上述梳理可知,企业在日常经营、管理和商业交易过程中涉及的数据跨境场景非常广泛,知识产权相关数据的出境活动也十分常见。
二、知识产权相关数据出境的合规问题
(一)数据安全与个人信息保护合规
数据出境是数据安全与个人信息保护领域的重要合规问题。在《网络安全法》《数据安全法》《个人信息保护法》等法律法规项下,中国针对数据出境行为设立了三层次的监管制度,具体包括:
1.禁止数据出境的情形:根据《保守国家秘密法》等法律法规的要求,国家秘密原则上禁止出境。
2.限制数据出境的情形:《数据安全法》《个人信息保护法》及配套法规规定了限制数据出境的情形,包括但不限于(1)针对个人信息和重要数据出境,企业应采取法律法规要求的措施及/或开展特定合规程序,以确保数据安全和保护个人信息主体的合法权益;(2)某些行业对于特定行业数据有本地化存储或者额外的主管机关审批的要求,该等行业数据出境还需要遵守特定行业监管要求和/或程序;(3)如前文所述,根据我国《数据安全法》第36条的规定,向外国司法或者执法机构提供存储于中国境内的数据,也需要遵循特定的合规流程。
3.数据自由出境的情形:出于个人目的、家庭活动而出境的个人信息,以及非个人信息中的非重要数据、非特定行业数据不受制于上述禁止/限制的规定,可以自由出境,但相关方仍应采取适当措施确保数据安全。此外,如果对于个人信息进行匿名化处理,则经匿名化处理的数据将不再被视为个人信息,而无需受制于关于个人信息出境的相关限制。值得注意的是,数据跨境新规特别明确了几类无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的个人信息出境情形4,该规定正式实施后,将大大简化个人信息出境的合规流程。
就知识产权相关数据的出境场景,企业应当严格遵守上述数据安全与个人信息保护的合规要求。在这一场景下,值得企业关注的是知识产权相关数据中哪些可能属于个人信息和重要数据:
第一,个人信息。知识产权相关数据通常不会包含大量的个人信息,但可能涉及到特定研发人员、联系人或参与试验人员的个人信息一并出境的情况。例如,在医药领域,临床试验场景下的信息出境可能伴随着受试者、研究者和记录创建者的个人信息出境。
第二,重要数据。就科技领域的重要数据,《信息安全技术 重要数据识别规则(征求意见稿)》中提供了可供借鉴的考量因素5。根据我们的实践经验,在技术领域可能落入重要数据范畴的类型可能包括:涉及特定敏感行业/领域的研发数据、使用了国家研发基金的技术、技术先进性达到某种标准、技术得到国家立项等。通常而言,由公开信息集合而成的数据不会落入重要数据的范畴,除非集成式的数据能够体现或反映上述涉及重要数据的考虑因素。
(二)《反间谍法》合规角度
2023年4月26日,新修订后的《中华人民共和国反间谍法》(“《反间谍法》”)正式颁布,并于7月1日起正式施行。相比此前的版本,《反间谍法》拓宽了间谍行为的认定范围。特别是,《反间谍法》第四条扩大了窃密的对象范围,将“间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供……其他关系国家安全和利益的文件、数据、资料、物品”纳入间谍行为的范畴。6
近年来,我国监管部门对于数据安全所牵涉的国家安全问题越来越重视。国安部门在2023年4月的一起执法行动中调查了某外资咨询公司的上海办公室;在《反间谍法》修订稿颁布后几天内,国家安全部门又对上海某咨询机构非法向国内党政机关、重要国防科工等涉密人员获取国家各类敏感信息的案件采取了公开执法行动7;近日,某日本药企高管涉嫌间谍行为被正式逮捕8。
在实践中,如企业评估出境的知识产权相关数据可能“关系国家安全和利益”,则应当更加关注出境的合规要求:一方面,审慎评估数据出境的目的、境外接收方是否与间谍机构及其代理人有关、境外接收方使用出境数据的方式和用途等,避免向境外提供数据的行为落入间谍行为的范畴;另一方面,企业应更加积极履行出境相关的合规监管程序,以证明自身并不具备“窃取、刺探、收买或者非法提供”数据的主观意图。
需要说明的是,从数据安全保护的角度而言,此类“关系国家安全和利益”的数据与重要数据可能存在一定的范围重合。根据《数据安全法》及其配套法规的规定,重要数据是指一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。而《反间谍法》最新修订版中新增的“其他关系国家安全和利益的数据”与《数据安全法》项下的“重要数据”的范围在一定程度上存在交叉和重合。如前文所述,如企业排查出出境数据中包含重要数据的,则应当根据《数据出境安全评估办法》的要求,向国家网信部门申报数据出境安全评估或其他适用的合规程序。此外,依据数据跨境新规,重要数据的出境合规程序并未得到简化或豁免,如前文所分析的,企业应当特别关注出境数据中涉及知识产权领域重要数据的可能性。
(三)境外上市合规角度
2023年2月24日,证监会、财政部、国家保密局、国家档案局联合发布《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》(“《规定》”),自2023年3月31日起,与《境内企业境外发行证券和上市管理试行办法》同步施行。
《规定》为企业境外上市增加了信息披露和会计档案管理方面的要求:
一方面,强调了信息披露方面的程序性要求,要求境内企业或其境外上市主体向第三方提供或公开披露文件、资料的,应当严格履行相应合规程序;另一方面,明确会计档案管理的合规要求,要求境内企业以及提供相应服务的证券公司、证券服务机构应当完善保密和档案工作制度,不得泄露国家秘密和国家机关工作秘密。
此外,《规定》还要求为境内企业境外发行上市提供相应服务的证券公司、证券服务机构在境内形成的工作底稿应当存放在境内,需要出境的,按照国家有关规定办理审批手续。
因此,在公司海外上市的场景下,涉及知识产权相关数据出境的(包括形成的工作底稿中涉及与知识产权有关的数据的),企业及提供上市服务的相关中介机构均应关注《规定》中对于信息披露和档案管理的监管要求,履行必要的数据出境审批手续。
三、合规建议
综合上述合规要求,对于涉及知识产权相关数据出境的情形,我们建议企业加强合规意识,积极采取相关合规措施,确保履行相关法律法规项下的合规义务。包括但不限于:
1.排查出境的知识产权相关数据中是否可能涉及国家秘密,如涉及国家秘密,则原则上不应向境外传输或提供;
2.排查出境的知识产权相关数据中是否涉及《数据安全法》项下规定的重要数据,如涉及重要数据的,则应根据相关法规要求向国家网信部门申报数据出境安全评估或履行其他适用的合规程序;
3.排查出境的知识产权相关数据中是否涉及个人信息,如涉及,则根据《个人信息保护法》及配套法规的要求,履行数据出境安全评估、个人信息标准合同、数据跨境合规认证或其他适用的合规程序,并采取必要的合规措施确保个人信息安全,包括征得个人信息主体的单独同意、履行个人信息保护影响评估义务、采取必要的数据安全保护措施等,此外,数据跨境新规中明确提出预计一年内向境外提供不满1万人个人信息的无需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,建议企业持续关注新规的落地情况;
4.排查出境的知识产权相关数据中是否涉及需要遵守特定行业监管要求和/或程序的行业数据,如涉及,则应根据相关行业监管要求采取相应的合规措施;
5.关注特殊场景下的数据出境合规义务,包括:1.如涉及向外国司法或者执法机构提供数据的,应当按照《数据安全法》的要求,向主管部门申请批准;2.如涉及企业海外上市的,应当关注中国监管机关对于信息披露和档案管理的监管要求,履行必要的数据出境审批手续;
6.如因涉及知识产权的相关数据出境活动面临境外政府监管或法院诉讼等行政及司法程序,应对所涉及的数据出境及知识产权法律问题本身、个人信息保护要求和国家安全要求、域外法律冲突、国际礼让原则等进行综合考虑后制定解决方案,尽早引入专业律师协助应对调查或诉讼。
尾注:
<1> 参见:《大疆对美国德事隆发起反击,指控其直升机侵犯大疆四项专利》,访问地址:https://mp.weixin.qq.com/s/aeV_SkLW74a05Kqo_-5VWA
<2>参见:《英国颁令阻曼彻斯特大学对中国企业出售视觉传感技术》,访问地址:https://mp.weixin.qq.com/s/tQl1mT5DNdkYIHbCg2EfSA
<3> 参见:《福特宁德时代合作项目遭美国众议院审查》,访问地址:https://mp.weixin.qq.com/s/8b_dG5JLpsG9_jrrRScN4A
<4>具体情形包括:
(1)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(2)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(3)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的;以及
(4)预计一年内向境外提供不满1万人个人信息的。
<5> 包括:“关系国家科技实力、影响国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等属于重要数据”。
<6> 《反间谍法》第四条:“本法所称间谍行为,是指下列行为:……(三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品,或者策动、引诱、胁迫、收买国家工作人员叛变的活动”。
<7> 参见环球网:https://baijiahao.baidu.com/s?id=1765458702514234421&wfr=spider&for=pc
<8> 参见环球网:https://mp.weixin.qq.com/s/5d8lCldr2H898H6ZqSiQfw
来源:中国贸促会商事法律服务中心
作者:蒋蕙匡、李瑞、贾申、李梦涵,陈清澄,中伦律师事务所
注:本文仅代表作者观点。