原告A公司为一家软件公司，对被告B公司提起诉讼，指控其未经许可使用原告生产的软件。

被告方被要求依据证据开示义务，将报告中指出的由被告在中国保管的24台电脑，依照法院的指令，在2022年4月29日之前交付给美国并接受检查。

1. 证据开示制度

美国的证据开示程序（“Discovery”）是美国诉讼当事人获得证据的重要渠道，一方当事人可以通过证据开示程序强迫诉讼对方当事人、甚至第三方提交与诉讼相关的文件和信息（只要该信息不适用特别保护）。

根据美国法律，民事证据的范围很广，比如可以经过对信息的合理归集和计算来进一步发现潜在的可采信的证据——相比于证据的关联性性质，它涉及的范围更加广泛，因为它考虑的是探索“可能”相关的证据。

根据《联邦民事诉讼规则》（“Federal Rules of Civil Procedure”）中的规定，原告必须在向被告送达诉状后召开双方当事人会议，以计划证据开示程序。各方应提议并就证据开示程序的时间安排达成一致，并在会议后 14 天内向法院提交证据开示计划。

在此之后，主要的证据开示流程包括：初始披露（initial disclosures）、证词（depositions）、质询（interrogatories）、书面承认请求（RFA） 和文件出示请求（RFP）。多数情况下在联邦地区法院，相关文件通常在当事人双方之间流转，而非向法院提交。但是，如果申请方未在时限内收到答复，当事方可以提出强制证据开示申请。

进一步而言，美国的证据开示程序不仅仅能用来为美国本土诉讼收集证据，还可以用来协助他国的诉讼或仲裁程序的当事人收集证据，既可以为国际诉讼当事方提供有效的援助手段，又能鼓励外国向美国的的法院提供类似的协助。

2. Societe Nat. Ind. Aero. v. U.S. Dist. Court（1987）案及Philips Med. Sys. (Cleveland) v. Buan（2022）案中美国法院的思考

美国法院对证据开示制度的思考可以追溯到1987年的Societe Nat. Ind. Aero. v. U.S. Dist. Court案。该案的法官确定了在向境外当事人调取证据的过程中，如存在规则冲突，如何衡量两国之间的利益基础并确定适用法律的规则。其中，信息的来源、获取信息的其他手段及可能性、该证据对案件审理的重要性、冲突下域外国家的利益、当事人履行法院要求的难易度，以及诚实信用原则，是几大主要的考量基准。

而在今年年初的Philips Med. Sys. (Cleveland) v. Buan案中，法院也对中国的《个人信息保护法》，包括《数据安全法》等法规与证据开示制度之冲突展开了论证。其中，针对被告方主张的第三十六条：“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”

“Defendants' ‘understanding’ of the DSL would give the Chinese Supreme People's Court broad power to delay or prevent discovery in American courts. Such an interpretation would in essence permit the Chinese judiciary to oversee discovery decisions made by American courts regarding the responsibilities of Chinese litigants. The DSL therefore would not represent a Chinese sovereign interest in the nondisclosure of specific material, but rather an attempt to insert a Chinese court into the American legal process for the potential benefit of Chinese litigants. ”

法院认为，被告对该法条的理解将赋予中国的相关主管机关过于广泛的权力，以延迟或阻止美国法院的披露。实质上是允许中国司法机构监督美国法院对中国诉讼当事人所做的披露决定。因此，被告对法律的解释并不能视为中国在不披露特定数据方面的主权利益，而是试图将中国法院介入美国的法律程序中，为中国诉讼当事人带来潜在的利益。

1. 被告方观点

（1）即使进行格式化等技术操作，案涉计算机中仍可能包含使用这些计算机的被告方雇员和前雇员的受保护的个人信息。然而，这些个人用户未向被告方同意向境外提供他们的个人信息。（《个人信息保护法》第三十九条）

（2）《个人信息保护法》第十三条第（三）款“为履行法定职责或者法定义务所必需；”……“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”，该法条中的法定职责或法定义务，除非中国法院通过类似于美国执行外国判决的程序予以承认，该条款并不应涵盖国外法院的命令。如果擅自扩大法条的解释范围，可能被视为违法行为。

2. 原告方观点

（1）被告在此前的诉讼程序中从未提及过该观点，因此可以视为其放弃了基于中国个人信息保护法的主张。

（2）原告方第一次要求检查这些案涉电脑时，中国的个人信息保护法还没有生效，并且被告方初期未披露他们有这些电脑，是在故意拖延诉讼时间，等待中国的个人信息保护法生效。

（3）《个人信息保护法》第十三条第（三）款：“为履行法定职责或者法定义务所必需；”……“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”被告应当依据该法条向美国提供证据。

3. 双方争议焦点

可以看出，原被告双方的争议焦点主要存在于中国《个人信息保护法》第十三条第（三）款豁免条款的应用，即：

（1）如果落入个人信息处理同意豁免范围内，是否无需再获取个人的单独同意；以及

（2）“为履行法定职责或者法定义务所必需”中的“法定”是否能够涵盖国外法院的规定义务。

4. 法院论述观点

最终，法院驳回了被告方对证据开示程序的异议，即认为中国的《个人信息保护法》中的义务不足以阻却美国的证据开示程序，法院主要从美国民事诉讼法的规定，以及法院对《个人信息保护法》相关条款的解读两方面展开论述。

首先，根据地方法院的规则，法院认为一方提出复议（a motion for reconsideration）必须满足以下要求：

(1) 在提出复议申请时，案件的事实或法律上的规定相比起法院在做出相关指令之前的情况存在重大差异。同时，当事人还必须证明，申请复议的一方已经行使了合理的努力（exercise of reasonable diligence），仍然对相关的事实或法律变动不知情；或

(2) 新的重要事实的出现或法律的变更发生在相关指令发布时间之后；或

(3) 法院明显没有考虑在该指令发布之前已经提交给法院的重要事实或决定性的法律论点。

（Civ. L.R. 7-9(b).）

结合上述观点，法院认为，被告方并未尽到相关的合理努力。虽然被告方声称其未获取到相关员工的个人信息处理同意，但是被告未在早期尝试获取员工同意。同时，在法院发布证据开示指令时，被告方也已有合理渠道获知《个人信息保护法》中有关的强制性规定（即使当时法律尚未生效）。

首先，法院提到，《个人信息保护法》是最近颁布的法律，似乎还没有配套的司法或其他权威性解释。并且双方都没有引用任何案例，无论是在美国、中国或任何其他司法管辖区，相关的强制性条款的适用仍然存在争议，因此有理由质疑其法律效力。

其次，法院对《个人信息保护法》第十三条的规定作出了解释，其认为该条款的最后一句“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。”其中，“依照本法其他有关规定”的辐射面应当是整部《个人信息保护法》，而非仅限于十三条的规定，因此该规定的豁免情况，应当辐射到后续法条中规定的“单独同意”条款，包括第三十九条的个人信息向境外提供应获取个人单独同意的规定。

最后，对于“法定职责和法定义务”涵盖范围是否辐射域外法问题的论述，美国法院认为，既然《个人信息保护法》的某些部分可以在域外适用于中国以外的外国公司，那么将外国法律义务纳入例外是有意义的。根据外国法律，这些公司未来当然也可能面临潜在的法律冲突问题。

未来，企业数据出海会面临境外法律的数据索取需求会大大增加，如18 U.S. Code § 2713中的规定：

A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

此类辐射至美国境外的数据权益需求必然会导致与中国国内法律规定冲突，即使法条中有明文规定，仍可能被质疑其法律效力引起两国基于数据权益的涉外纠纷，涉及对法条解释和应用。比如在本案中，个人信息处理者是根据“取得个人的同意”之外的条件取得个人信息处理的合法性基础，在数据出境场景下“单独同意”如何适用的问题，美国法院给出了自己的理解，同时目前国内实务届也在广泛开展思考。

根据《个人信息出境标准合同（征求意见稿）》第二条第2款的规定：“已告知个人信息主体该第三方身份、联系方式、处理目的、处理方式、个人信息种类以及行使个人信息主体权利的方式和程序等事项，并已取得个人单独同意，相关法律法规规定无需取得个人单独同意的除外；……”

该“无需取得个人单独同意”例外的情形，是否同时适用于通过合同进行数据跨境传输与《个人信息保护法》第十三条中规定的个人一般同意例外耦合，具备进一步探讨的空间。这直接关系到“单独同意”是否“个人同意”概念之进阶，抑或是特殊场景下对个人信息处理者的特殊义务规定。

对此，美国法院的观点是根据第十三条最后一段规定的文字解释，认为该豁免条款应当辐射至整部法律，从而对所有“单独同意”条款均进行豁免。

但是，立足于对中国公民个人信息的保护，以及对国家利益的维护，我们理解对该条款的解读应当从个人信息处理的法律基础及国家、社会利益的角度出发。

首先，《网络安全法》第1条明确“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法”，从个人信息出境的场景而言，应注意其需要同时符合《网络安全法》的大原则开展信息处理活动。

因此，基于第十三条中的豁免同意获得个人信息处理法律基础的有关个人信息向境外提供（或触发个保法中任意一条单独同意规则的情况发生时），如牵涉到国家利益、社会安全、公共利益相关，此时如个人信息无法豁免单独同意，会拉低工作效率，导致法益平衡不均情况出现。

其次，如第（二）款中规定的“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”，如后续个人信息出境，其同意基础仍与当初订立合同的目的耦合（如某平台用户在使用跨境电商平台购物时订立合同，平台为履行该合同义务需向境外提供个人信息的），可以考虑豁免单独同意。

当然，学界目前亦有观点认为。“单独同意”乃《个保法》第十三条第（一）款的加强版本，是为个人信息处理者有权通过同意处理其个人信息时才适用的情形，通过豁免条款获取信息处理法律基础的，一律无法豁免单独同意的义务。对于该法律责任的实践和适用，目前在业内尚无形成定论。我们认为，在权威的司法解释未出台之前，应当从严履行法定义务，以获得个人单独同意为优先选项。