1. 境内企业主动向域外司法机关提供

主动提供，即数据处理者自愿向境外提供数据。在本案例背景中，若A公司依照开曼诉讼法的规定自发地向开曼法院提供其境内产生的数据以作证据开示之用，则属于境内企业主动向域外司法机关提供数据。

为了更具象地认识到数据处理者跨境数据传输申报的工作流程，我们以A公司为例子展开。根据开曼诉讼法的规定，A公司应诉后，在证据开示环节需要将其案件有关的所有证据提交给案件原告即B公司。作为一家成立在中国境内的新兴科技型企业且涉及到即时通讯软件的开发，A公司的日常业务将会涉及大量的数据及个人信息的处理，且由于本次诉讼的根源亦与数据处理有关，故A公司必须将部分储存于境内的数据用于本次诉讼。

有鉴于此，A公司需要根据《数据出境安全评估办法》（“《评估办法》”）的规定完成数据出境风险自评估工作并完成风险自评估报告。在评估过程中，A公司需要特别留意其将用于诉讼的数据的内容、种类及数量是否达到了法律规定的门槛，即自上一年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息，亦或是涉及重要数据等。

如果评估认为满足上述标准的，A公司必须在完成风险自评估后将评估报告及法律规定的其他文件提交至当地网信部门用于监管部门的二次评估审核。只有当A公司获得了网信部门的批文后，案涉数据才能够出境递交给B公司用于诉讼。

如果A公司对评估结果有异议的，A公司可以向该部门申请复评一次。但需要注意的是，根据《评估办法》的规定，该复评结果仅为最终结果，且暂无其他救济途径。由于复评的终局性，根据《行政诉讼法》等的规定，A公司因此提起的行政复议及行政诉讼亦不会被受理。

2. 应境外执法、司法机构请求被动提供

若A公司在诉讼过程中收到了来自开曼法院的文书，请求其依照特定程序向开曼法院直接提交其在中国境内产生的数据的，属于应境外司法机构请求被动提供数据。

区别于主动提供，被动提供更多类似于一种司法协助程序，涉及到国家司法主权等一系列问题，故会受到更加严格的监管规则。

《个人信息保护法》第41条及《数据安全法》第36条均规定，中华人民共和国主管机关根据有关法律和中国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内数据或个人信息的请求。非经主管机关批准，机构或个人信息处理者不得向外国司法或者执法机构提供存储于中国境内的数据或个人信息。不难看出，对境外执法、司法机关调取境内证据而言，中国法律作出了严格的限制。

司法部于2023年3月30日对国际民商事司法协助作出了进一步说明，明确了外国司法机关调取境内证据的，应当按照《海牙民商事案件国外调取证据公约》（“《海牙公约》”）规定的途径向有关机关提出请求，经批准后由法院执行[1]。由此我们也能够推断出，境内企业不得应境外司法机关的请求直接向其提供存储于境内的数据，而应当通过指定渠道完成证据转递。

另外，境外执法、司法机构在境内取证时可能会遇到的部分问题，司法部均在问答中给予了详细说明，例如：

我们理解，由于涉及国家司法主权，故立法者通常都会对境外机关直接调取境内证据设定较为严苛的程序。恣意允许外国机关调取证据的，不但会破坏一国的司法主权，更可能会涉及到国家秘密的泄露，危害国家安全。因此，《数据安全法》对未经法定程序即向境外司法机关提供境内数据的增设了沉重的法律责任，例如警告、停业整顿、吊销营业执照以及最高达到数百万元的罚款等行政处罚[2]。境内企业切不可忽视上述规定，依照法律规定向境外提供数据，否则将会面临沉重的法律责任。

1. 对信息进行匿名化处理

根据《个人信息保护法》第4条的规定，经匿名化处理的信息不属于该法定义的“个人信息”。因此，在主动向境外提供的情况下，企业可以根据实际情况对数据作出评估，情况允许的，可对部分信息进行匿名化处理，以规避网信部门的审核。

2. 向有关部门如实申报

在主动提供的情况下，如涉及重要数据或实践情况下不允许匿名化处理的个人信息及重要数据等，我们建议企业严格按照法律规定完成安全自评估及网信部门安全评估，在获得监管部门的许可后再跨境传输。在收到被动请求提供的情况下数据处理者应当第一时间向当地有关部门报告，按照规定程序完成境内证据调取，以免因此错过期间而有损自身权益。

数据跨境传输无小事。随着对外开放不断扩大，中国企业参与的境外诉讼或仲裁会只增不减，因此而涉及到的跨境数据传输也会越来越多。为维护自身合法权益，保障诉讼程序如期推进，我们建议企业应当按照法律的规定对跨境传输的数据完成必要的风险评估工作，履行相关备案申报程序，确保数据跨境合法合规。