我国企业赴美上市蕴涵的数据安全风险，业已引起广泛关注和制度应对。例如，左晓栋谈及：“[近期对滴滴的安全审查]主要关注的是，重要数据和公民个人信息的出境安全风险。”[1]因此，有必要梳理美国法下引致数据安全风险的可能性。更具体地说，有必要梳理美国法下，对在美发行美国存托凭证（ADR）[2]的企业，美国司法部门、行政部门和其它实体获取企业数据的可能性。

　　以下分四段展开。首先是司法系统，先简述作为证据开示前提的管辖和域外适用，再是开示，并以常常被忽视的对外监控法庭（FISC）监控令作结。其次是行政部门和与之有密切关系的独立组织，讨论法庭之友意见、披露、执法和现场验视各自对获取企业数据的影响。再次，提请注意律所、投行、会计师事务所等中介的工作实践，伴有一些推论。最后，试论国家安全审查的法治化。

　　司法部门：管辖、域外适用、证据开示和对外监控

　　美国司法部门[3]获取我国赴美上市企业内的重要数据或个人信息，至少存在两种比较重要的可能性：其一，在证券欺诈等案件中，法院要求企业将数据作为证据开示；其二，FISC发出监控令，授权行政机关搜查或监听我国企业数据。以下主要讨论前者，并简要述及后者涉及的风险。

　　就针对我国赴美上市企业的证券欺诈案件，因企业注册地位于美国境外，美国法院通常需要考虑至少三个环节：首先，建立对企业的管辖；其次，讨论有关法律的域外适用；最后，才是开示。每一环节上，都存在一定的复杂性。

　　管辖层面，Pinker诉Roche Holdings Ltd.案认可了美国联邦法院在证券欺诈案件中对ADR发行者的管辖权，也是相应议题上有影响力的主要先例[4]。本案中，原告诉称：被告未披露在全球范围内操纵维生素市场一事，构成证券欺诈[5]。联邦第三巡回法院的管辖权裁决，综合考虑了三方面因素：被告是否令自身享有美国法赋予的权利，以及，被告是否合理预期到卷入[美国法]诉讼的风险；被告是否存在有意将自身置于美国法下的行为；以及，传统的公平和实质正义观念[6]。本案中，即使被告所发行ADR并未在美国境内交易所挂牌交易，法院仍然认为：发行ADR本身即足以构成前述“有意行为”，享有在美国证券市场开展活动的权利，亦足以合理期待因欺诈性披露而卷入诉讼[7]。法院同时认为：因被告需在一定程度上遵守美国证券交易委员会（SEC）的披露要求，又因美国在推动证券监管政策方面有着重要的国家利益，对被告行使管辖并不违背传统的公平和实质正义观念[8]。综上，发行ADR通常足以建立管辖权。

　　域外适用层面，有关美国法下的证券欺诈相关法律是否适用、又在何种程度上适用于美国境外，素有争议[9]。在2010年判决的Morrison诉National Australia Bank一案中，美国联邦最高法院正面解答了这一问题，提出了“交易[地]检验”，亦即：如果涉案证券的交易发生在美国，或者涉案证券在美国国内的交易所挂牌交易，则适用相应的证券欺诈法律[10]。仅就本文关注的、我国企业赴美上市（发行ADR）问题而言，相应证券显然满足检验条件，故足以适用美国相关法律[11]。

　　前两项问题，在很大程度上是证据开示问题的“铺垫”。对美国司法系统获取我国企业数据、进而造成数据安全风险而言，管辖和适用只是开示的前提；数据的（违法违规）出境，终究需要通过开示而发生。在这一最为重要的问题上，亦即，当美国法院的开示要求与他国法律冲突时是否礼让，有两方面结论：一方面，在相对抽象的法律原则上，并不存在如管辖或适用般的清晰结论，美国各地法院依赖于复杂的多因素权衡；另一方面，在更为具体的裁决结果上，美国法院通常令开示要求优先于他国法律。法律原则方面，此处有拘束力的主要先例，是美国联邦最高法院在Societe Nationale一案中的判决[12].简言之，就民事诉讼开示冲突中的礼让，最高法院确定了分析礼让时应当平衡的五类因素：涉案数据的重要性、开示要求的确切程度、数据是否产生于美国境内、是否存在其它获取数据的手段、不遵从要求是否会严重损害美国或数据所在国利益[13]。相应分析原则延续至今。不过，多因素平衡，本即难言清晰；各巡回区间，在因素的具体内容、分析顺序或者相对权重上，也仍然存在差异[14]。

　　至于具体的数据开示冲突，《通用数据保护条例》（GDPR）已引起直接相关的案例。在涉及专利侵权的Finjan诉Zscaler案中，开示涉及受GDPR保护的个人邮件，且匿名化等方式不可行[15]。加利福利亚州北区联邦法院援引前述因素，作出了要求开示的裁决。本案中，法院首先指出：Societe Nationale案并未穷尽所有应予平衡的因素，法院尚可考量开示方在法律冲突中所面临的困难和相冲突法律各自执法时的遵从情况[16]。在几乎所有因素上，法院都倾向于开示[17]。尤其值得注意的，是“开示对美国或数据所在国利益的损害”这一因素上的分析。法院首先认定，美国保护本国专利的利益“十分有力”[18]。其次，尽管法院承认英国确有保护公民隐私的利益，然而，由于法院认为自身发出的、针对相应数据的保护令足以显著缩减英国的相应利益，同时，法院不清楚相应邮件“在何种程度上蕴涵了英国利益”，在“显著的、美国保护本国专利的利益”和“经缩减的、英国保护本国公民的利益”之间，这一因素显著地倾向于开示[19]。在相近的开示礼让案件中，本案有相当代表性[20]。

　　回到我国赴美上市企业可能面临的数据开示要求，除上述直接适用的案件外，还有三点值得注意。其一，国家安全显然不可简单与隐私利益等量齐观。批量个人信息或数据出境蕴涵的国家安全风险，也通常要显著高于开示特定个体邮件所蕴涵的风险。其二，尽管美国法院认为，就出境数据发出保护令，足以保护他国利益，其它主权国家恐怕难以信服这一观点。涉及国家安全风险时，他国法院的保护令意义如何，更为成疑。其三，一旦发生相应诉讼，即使我国有关部门出具对我国相关法律法规的权威解释，美国法院亦可能仅给予“尊重性的考量”，而不会作为“结论性”的解释[21]。如前，面对美国法院针对GDPR（数据）开示礼让的判决，一方面，既有判决强烈地倾向于开示；另一方面，在我国赴美上市企业数据安全这一语境下，担忧更加强烈。综之，美国法下美国法院通过开示获取企业数据一事，蕴涵了需要重视的风险。

　　在证券欺诈案件的证据开示以外，美国司法系统获取我国企业数据的另一可能性，是通过FISC发出的监控令。简言之，基于《对外情报监控法案》（FISA），就美国政府针对特定个体的监控申请，如果FISC高度确信相应个体为从事特定活动的“外国势力”或“外国势力代理人”，则可以批出监控令[22]。FISC的运作始终处于秘密之中：案件、程序与判决一律保密，被监控方无法知晓、亦不可能参与相应程序。在很长一段时间内，我们无法确认是否存在针对我国企业的监控令。然而，2019年美国政府针对华为的诉讼[23]，确认了存在针对华为的监控令。具体而言，FISA规定：如果政府希望将监控所得信息列为诉讼证据，则应就此通知诉讼被告与审理法院[24]。因此，由于美国政府向华为发出了相应通知，可以确信FISC曾批出针对我国企业的监控令[25]。这是美国司法系统获取企业数据、造成安全风险的又一方式。

　　以上，总结了美国法院通过证据开示与批出监控令（后续可能成为证据）而获取我国赴美上市企业数据的可能性。第一种可能性与发行ADR关联紧密、相对透明、先例亦多。仅就目前进展而言，很难认为美国法院会在开示争议中充分尊重我国利益。第二种可能性与ADR大体无关、完全秘密、且缺乏先例。尽管如此，因确实存在针对我国企业的监控令，值得引起更多的注意。