證據開示（Discovery）是美國民事訴訟程式中一項極具特色的基本制度，亦是法院及案件各方當事人獲取證據的關鍵渠道。根據美國《聯邦民事訴訟規則》（Federal Rules of Civil Procedure）的相關規定，案件各方即使位於美國境外，也必須配合對方提出的合理證據開示請求，依據雙方約定和法院命令，全面檢索並充分披露己方所掌握的相關檔案和資訊。案件一方當事人或第三方無正當事由而拒不履行其證據開示義務的，可能面臨高額罰款、不利推定乃至缺席判決等制裁措施。

與此同時，由於《保守國家秘密法》《網路安全法》《資料安全法》和《個人資訊保護法》等我國現行資料法規對於資料出境作出了嚴格限制，參與美國訴訟的中國個人或企業面臨著資料合規義務與證據開示義務相沖突的兩難境地。2022年，在Cadence Design Systems, Inc. v. Syntronic AB案（“Syntonic案”）中，美國法院首次在裁決中就證據開示程式中《個人資訊保護法》下的“法定義務”及其例外作出解釋，認定個人資訊跨境傳輸的知情同意原則不能阻卻中國當事人在美國訴訟法下的證據開示義務。

2021年5月31日，主營電子設計自動化（EDA）的跨國軟體公司Cadence Design Systems, Inc.（“Cadence”）以版權侵權和合同違約為由，在美國加利福尼亞州北區聯邦法院提起訴訟，指控被告Syntronic AB及其關聯公司（“Syntronic”）未經授權，獲取、複製和使用其軟體產品。在證據開示程式中，法院命令被告之一新拓尼克（北京）科技研發中心有限公司（Syntronic (Beijing) Technology R&D Center Co., Ltd.，“Syntronic Beijing”）將其位於中國境內的24臺電腦運往美國以供檢視。Syntronic基於中國《個人資訊保護法》提出抗辯，稱電腦中存有Syntronic Beijing現任及前任僱員的個人資訊，且《個人資訊保護法》第39條明確規定，個人資訊出境須取得資訊主體的單獨同意，而相關僱員拒絕授權被告公司向境外提供其個人資訊。

（圖片來源於網路）

《個人資訊保護法》第39條規定：“個人資訊處理者向中華人民共和國境外提供個人資訊的，應當向個人告知境外接收方的名稱或者姓名、聯絡方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式和程式等事項，並取得個人的單獨同意。”作為該法第二章第一節“個人資訊處理規則”下的“一般規定”，第13條則列舉了一系列“不需取得個人同意”即可處理個人資訊的情形，其中即包含“為履行法定職責或者法定義務所必需”的個人資訊處理活動。

被告Syntronic主張，《個人資訊保護法》第13條與第39條處於該法的不同章節，且第39條規定中“個人的單獨同意”的提法有別於第13條下的“個人同意”，因而《個人資訊保護法》第13條不應作為第39條的例外情形適用於本案。

法院認為，鑑於第13條在《個人資訊保護法》中所處的章節位置，應當認定其具有個人資訊處理原則之一般規定的地位。第13條第二款明確規定：“依照本法其他有關規定，處理個人資訊應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。”據此，可以認為第13條項下的例外情形廣泛地適用於《個人資訊保護法》所規制的各類個人資訊處理活動，而非限於第13條所處章節所規定的具體情形。

根據《個人資訊保護法》第39條的規定，個人資訊出境須另行取得“單獨同意”而不僅是第13條所稱“同意”，但是，法院認為，這一差異旨在表明：個人授權同意個人資訊處理者收集個人資訊，並不意味著同意個人資訊處理者將其個人資訊轉移至境外。換言之，“單獨同意”的表述並不能排除第13條規定下無須個人同意之例外情形的適用。

因此，《個人資訊保護法》第13條構成第39條的例外，具有第13條規定之例外情形的，無需取得個人單獨同意即可向境外提供個人資訊。

在本案判決作出之時，《個人資訊保護法》尚且出臺不久，[2]亦無權威司法解釋，且雙方當事人均未在書狀中援引美國、中國或其他法域內任何涉及本案爭議條款的判例。並無案例表明，根據外國法院命令跨境傳輸個人資訊違反《個人資訊保護法》或可能遭致處罰。

法院認為，《個人資訊保護法》第13條所規定的“法定職責”和“法定義務”，不應限縮解釋為“由立法機關頒佈的成文法律所規定的”（statutory）的義務與責任，而是應當涵蓋依據司法判例、法院命令和法律原則等概括意義之法律而產生的義務（provided by law）。

此外，法院援引NML Capital v. Republic of Argentina案[3]，認為《個人資訊保護法》第13條第一款第三項所稱之“法”並不當然侷限於中國法。在該案中，被告依據西班牙法律主張減免其證據開示義務，稱該法禁止信貸機構向第三方提供有關其客戶餘額或交易的資訊。然而，該保密義務並不適用於“依法得向第三方披露的資訊”（capable of being disclosed to third parties…under law）。紐約南區聯邦法院認為，由於該法律本身並未明確對此作出規定，“依法”不應侷限於本國法律或法院命令。而本案涉及的《個人資訊保護法》同樣未對“法定”的含義作出明確限制。不僅如此，該法具有域外管轄權，其至少部分規定適用於位於中國境外的公司，同樣可能導致有關公司面臨法律義務的衝突。因此，《個人資訊保護法》第13條所稱“法定職責或法定義務”不應限於中國法律下的職責和義務。作為美國訴訟當事方，Syntronic Beijing有義務遵守證據開示的有關法律規則及法院命令，這一義務即構成《個人資訊保護法》第13條項下“為履行法定職責或者法定義務所必需”的例外情形。

綜上，Syntronic基於《個人資訊保護法》第39條的抗辯無效，個人資訊出境的同意要求不能阻卻中國當事人在美國訴訟法下的證據開示義務，Syntronic須在法院命令之期限內將案涉電腦運至美國以供檢視。

（圖片來源於網路）

美國加州北區聯邦法院在Syntronic案中對於《個人資訊保護法》第13條和第39條適用關係的闡釋並非其“一廂情願”。關於“第13條構成第39條之例外情形”的說理論證已經得到國內判例的確認。2023年9月，廣州網際網路法院作出全國首例涉及個人資訊跨境傳輸的司法判決。[4]法院在判決中明確指出，資訊處理者若具有《個人資訊保護法》第13條第二至七項所規定的合法性基礎，則其向境外提供個人資訊無需取得個人的同意或單獨同意。

此外，Syntronic案對於告知同意機制中“單獨同意”的解釋也在這一判決中得到確認。廣州網際網路法院進一步闡明，在我國以告知同意為基礎模式下的個人資訊保護制度下，“單獨同意是指個人針對其個人資訊進行特定處理而專門作出具體、明確授權的行為，不包括一次性針對多種目的或方式的個人資訊處理活動作出的同意。”在個人資訊出境等具有更高安全風險的情形中，單獨同意作為一種“增強性同意”，其設定旨在“賦予個人資訊處理者更高的注意義務，並採取有針對性的相關物理及技術等措施”，對於個人資訊主體的知情權、決定權予以充分保障。

原文連結：https://casetext.com/case/cadence-design-sys-v-syntronic-ab-6