深度解读美国数据安全监管机制重大变化:判断公式、关键要点、模拟案例及影响分析
走出去智库官方账号
走出去智库(CGGT)观察
近日,拜登签发了行政令《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》(以下简称“新规”),以保护美国人的敏感个人数据不被受关注国家利用。
走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人李瑞与顾问贾申认为,美国此前从未出台过数据跨境流动限制的专门法规,但随着地缘政治的变化、AI技术迅速发展等因素,美国对于数据跨境流动的政策与主张在逐渐变化并日益限缩。还需要强调的是,本次新规不应被看做美国针对数据跨境监管机制的的综合性调整,它属于美国利用数据这一要素和抓手,进一步加强和升级其国家安全监管机制的举措,标志着美国相关措施的又一次重大升级。
美国新规将带来哪些影响?今天,走出去智库(CGGT)刊发中伦律师事务所李瑞、贾申、徐晨、马悦的文章,供关注美国数据管制的读者参阅。
要点
1、美国数据安全新规虽采用“数据交易”这个词,但其所指代的商业行为比中国法律法规项下仅针对数据资产的交易而言广泛得多,可以初步理解为任何涉及数据的所有商业交易活动,甚至不一定发生数据跨境传输活动。
2、从目前发布的框架及部分细节来看,美国数据安全新规不止将影响数据跨境流动,更会广泛地影响任何涉及美国主体及受关注国家或受关注主体的商业活动,贯穿于雇佣、投资、运营等各个商业环节。
3、除了禁止或限制一系列数据交易外,新规还提出了一些有待美国政府相关部门进一步研究、磋商的议题。
正文
2024年2月28日,美国总统签发行政令——《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,下称“EO”),限制乃至禁止中国(含香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉(Countries of Concern,下称“受关注国家”)及符合条件的实体获取大量美国人敏感个人数据及政府相关数据。相应地,美国司法部(the Department of Justice,下称“DOJ”)也已发布简报及非正式的法规制定提案预告(Advance Notice of Proposed Rulemaking,下称“ANPRM”),正式的规则尚未发布。
在EO、ANPRM、白宫和美国司法部分别发布的简报(Fact Sheet)(以下统称“美国数据安全新规”)中,美国政府多次强调了敏感个人数据跨境流动如不受任何规制而遭到滥用可能对国家安全造成的巨大威胁。因此,本次EO被普遍解读为“数据跨境新规”。但是,事实上,本次新规不仅管制数据跨境流动本身,还管制大量涉及“潜在的数据跨境流动”的行为,从而使得这份新规的管制范围不仅仅涉及受限实体(详见下文拆解)从美国向境外传输数据的活动,还广泛适用于这些实体对美国的投资活动、在美国的商务活动以及其在美国设立的实体在美国本土的经营活动,只要这些活动涉及满足特定条件的数据;因此,这次新规的影响范围非常之广泛。
很显然,本次新规的出台标志着美国针对包括中国在内的受关注国家的国家安全管制措施的又一次重大升级。并且,从“影响广泛程度”的角度来说,本次新规有别于美国政府近一年来出台的一系列类似行政令及配套文件,例如2023年8月份出台的《关于解决美国在特定国家对某些国家安全技术和产品的投资问题的行政命令》(Executive Order on Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern,下称“投资安全审查行政令”)以及2024年2月出台的《关于寻求在美国使用中国技术的网联汽车安全方面信息的拟议规则制定预先通知》(The Advance Notice of Proposed Rulemaking Seeks Information Regarding the Security of Connected Vehicles with PRC Technology in the U.S.)。过去这些行政令的规制行业和范围相对来说比较限缩和确定;尤其是,在2023年8月出台的投资安全审查行政令中,美国政府专门说明其监管思路是“小院高墙”,有意控制监管范围,避免过度影响商务活动。然而,在本次数据新规中,我们看不到这种克制。甚至可以说,这次新规影响范围之广泛,给人“图穷匕见”之感。这一变化背后所代表的寒意,值得深入研究和琢磨。
本文将聚焦本次新规,介绍其出台背景、核心要求、典型场景和其他需关注的拟出台监管措施。我们建议所有已经在美国开展业务、或者有计划在美国开展业务的中国公司,密切关注这份新规的立法进程以及最终出台规则,以准确判断美国的监管政策趋势,提前规划自身的商业部署和安排。
一、EO及配套文件出台的背景及政策趋势
近年来,美国网络安全与数据保护的立法和监管动态在联邦层面与州层面均非常活跃,但主要聚焦于消费者数据保护、儿童数据保护、网络安全攻击事件等领域。单就数据跨境流动领域而言,美国此前从未出台过数据跨境流动限制的专门法规,其基本主张是数据自由流动、维护开放网络环境。部分议员曾于2022年向国会提交《保护美国人数据免受外国监视法案》(Protecting Americans' Data From Foreign Surveillance Act),以期体系性规制数据跨境流动,但该法案目前也尚未通过。然而,随着地缘政治的变化、AI技术迅速发展等因素,美国对于数据跨境流动的政策与主张在逐渐变化并日益限缩。代表性的事件包括美国贸易代表戴琪明确表示美国正在撤回在世贸组织谈判中美国坚持的数据跨境自由流动主张。
与此同时,美国在安全审查领域一直以来就较为关注涉及数据的投资、交易等对于国家安全带来的影响,典型代表包括美国外商投资委员会的国家安全审查机制(CIFUS)和ICTS机制。就CIFUS机制,美国政府在2018年颁布《外国投资风险审查现代化法案》(Foreign Investment Risk Review Modernization Act of 2018,下称“FIRRMA”),扩大了受辖交易范围,将敏感个人数据的保护作为衡量国家安全的重要因素。在此基础之上,美国政府还于2022年通过总统行政令的方式,重申CFIUS应作为重要工具打击通过外国投资获取敏感数据,从而对国家安全造成威胁的行为。就ICTS机制,美国商务部在2021年发布的《确保信息和通信技术及服务(ICTS)供应链安全》(Securing the Information and Communications Technology and Services Supply Chain)中也明确指出,其关注美国主体敏感数据是否会被外国敌手政府所掌握,但仅限定于ICTS行业。
相比而言,通过本文第三章描述的本次新规的机制要求,可以看出,本次新规不应被看做美国针对数据跨境监管机制的的综合性调整;它属于美国利用数据这一要素和抓手,进一步加强和升级其国家安全监管机制的举措。如下文所介绍的,本次新规仅针对特定国家的实体,且其拟规制的活动范围远超数据跨境传输活动。
二、本次EO出台的具体文件以及接下来的落实步骤和时间表
本次出台文件是美国总统基于《国际紧急经济权利法》(International Emergency Economic Powers Act,下称“IEEPA”)制定的行政命令(EO)。依据美国立法的框架,总统签发的行政命令并非立法,但仍具有法律效力。行政命令通常仅会提出规制的框架及基本要点,并提出相关部门的工作目标,较难直接作为法律实施。美国司法部(DOJ)等相关部门如需发布行政法规,则需遵循启动规则制定、起草拟议规则和制定最终规则的步骤。ANPRM并非立法程序中强制需发布的文件,但一般用于提前征求意见,以了解相关主体及社会公众的态度,在正式发布行政法规之前,DOJ等相关部门还需发布规则制定通知(Notice of Proposed Rulemaking,NPRM),而后发布最终的行政法规。就本次新规而言,截至目前,白宫已发布了EO及简报;美国司法部则发布了相关新闻、简报及ANPRM。
依据上文介绍的立法流程,可以把目前发布的EO和ANPRM理解为《最终规则》的“征求意见稿”的“征求意见稿”。从目前已发布的EO和ANPRM到《最终规则》之间,尚需经历两轮征求意见:2月28日发布的ANPRM正处于第一轮征求意见阶段,并设有45天的公众评论期;在第一轮征求意见结束后,DOJ会在综合考虑公众意见的基础上发布NPRM,并进行第二轮征求意见。待两轮征求意见结束后,DOJ才会发布《最终规则》。
除《最终规则》外,EO指出新规的具体实施方式还有待相关机构进一步出台实施细则予以明确,主要包括:
(1)由美国国土安全部部长和/或司法部部长与相关机构负责人协调和协商,确定有关受限制数据交易需满足的安全要求和相关指南;
(2)由美国总检察长与国务卿、商务部长、国土安全部长和其他相关机构负责人协商,搭建有关受规制数据交易的许可签发机制;
(3)由美国司法部协同相关部门为相关主体建立就新规适用的咨询机制和发布一般解释性指南;
(4)……
图 1、新规相关制度文件出台计划
三、EO及配套文件的关键内容
1.新规所提出的核心要求是什么?换言之,它如何禁止和/或限制数据交易(“判断公式”)?
美国数据安全新规的核心机制可以归纳成下面这句话,其中包含7个关键词:
如果“美国主体(United States Person)”(关键词①)与“受关注国家(Country of Concern)”(关键词②)及“受关注主体(Covered Person)”(关键词③)开展涉及“受规制数据类型(Sensitive Personal Data and Government-related Data)”(关键词④)的“特定数据交易(Data Transactions)”(关键词⑤),将会受到禁止或限制(关键词⑥)。EO及配套文件明确了特定受到豁免的数据交易,此外,美国政府相关部门有权通过颁发许可等方式对于特定理应受到规制的数据交易进行豁免(统称“例外情形”,关键词⑦)。
美国数据安全新规虽采用“数据交易”这个词,但其所指代的商业行为比中国法律法规项下仅针对数据资产的交易而言广泛得多,可以初步理解为任何涉及数据的所有商业交易活动,甚至不一定发生数据跨境传输活动。如特定数据交易同时满足关键词①至关键词⑤中的要件,且不符合例外情形(关键词⑦)的,视乎数据交易类型所带来的风险及涉及的数据量级,不同的受规制数据交易可能会被禁止或限制。
基于上述对于特定数据交易是否落入新规核心要求规制的判断公式的初步总结,我们可以注意到,整体评估涉及多个关键词法律技术性的分析与理解,因此我们结合EO及配套文件将各个关键词的判断要点进行了总结,具体请见本章第2小节。
美国数据安全新规将不会采取个案审核的方式,而是采取依据IEPPA建立的其他监管机制的路径,制定通用性的系列规则。如相关企业违反美国数据安全新规,可能受到民事乃至刑事的处罚。
2.判断公式中的7大关键词如何理解?
2.1关键词①:什么是“美国主体(United States Person)”?
EO及ANPRM对于数据交易中的美方,也就是“美国主体”的定义十分广泛,包括:
(1)美国公民、国民或合法永久居民;
(2)在美国获准作为难民或被授予庇护的人;
(3)仅根据美国法或美国境内任何司法管辖区的法律组建的实体(包括外国分支机构);以及
(4)在美国境内的任何主体。
2.2关键词②:“受关注国家(Country of Concern)”有哪些?
依据目前发布的材料,受关注国家包括中国(含香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。EO也授权DOJ可不时增删受关注国家清单以更好地实现保护美国实体敏感数据及国家安全的目标。
2.3关键词③:如何判断是否企业自身为“受关注主体(Covered Person)”?
美国政府认为向与受关注国家相关个人和/或实体(即“受关注主体”)提供敏感个人数据也会直接和/或间接使得受关注国家能够掌握这些数据,从而造成类似的安全威胁,因此将其一并纳入受规制主体概念,并做出了清晰界定。依据目前发布的材料,受关注主体主要包括以下几类:
(1)由受关注国家直接或间接拥有50%或50%以上股份的实体,或根据受关注国家法律组建或特许的实体,或主要营业地位于受关注国家的实体;
(2)由第(1)类所述实体或第(3)、(4)或(5)类所述主体直接或间接拥有50%或以上股份的实体;
(3)是受关注国家或第(1)、(2)或(5)类所述实体的雇员或承包商的外国主体;
(4)主要居住在受关注国家领土管辖范围内的外国主体;
(5)被总检察长指定的由受关注国家拥有、控制、受其管辖或指示的任何主体;或代表或声称代表受关注国家或受关注主体行事的任何主体;或在明知的情况下违反或指示违反规定的任何主体。
2.4关键词④:“受规制数据类型”包含哪些?
从目前发布的材料来看,美国数据安全新规主要规制敏感个人数据(Sensitive Personal Data)和政府相关数据(Government-related Data)。实际上,依据EO中的定义,政府相关数据是一类特殊的敏感个人数据,由于EO及配套文件将其分别描述,且其适用的监管要求不同,因此在本文中我们分别进行说明。
此外,并非一涉及受规制数据类型就能满足这一关键词所含要件,还需考虑涉及的数据量级。具体而言,如受规制数据交易涉及前述敏感个人数据且达到一定量级,那么将受到规制。如前述出境数据为美国政府相关数据,那么无论量级是多少,都将受到规制。
(1)敏感个人数据(Sensitive Personal Data)有哪些?
依据EO及ANPRM,目前明确被认定为敏感个人数据主要有以下6类数据:
表格1、敏感个人数据的主要类别及说明
美国司法部发布的ANPRM在EO的基础上将以下数据类型排除在敏感个人数据之外,包括:
· 与个人无关的公开或非公开数据,包括符合《美国法典》相关规定对“商业秘密”或“专有信息”定义的数据;
· 公众可以从联邦、州或地方政府记录或其他不受限制、可广泛传播的媒介(如开庭记录等)中合法获取的数据;
· 《美国法典》定义的不转让任何有价值的个人通信消息;
· 《最终规则》中将进一步明确的信息或信息资料。
(2)政府相关数据(Government-related Data)
ANPRM在EO的基础上将政府相关数据的内涵做了进一步的细化,包括:
· 与军队、其他政府或其他敏感设施或地点相关的特定地理围栏区域清单中列举的任何区域内的任何位置的精确地理位置数据;
· 交易方认为其与美国政府(包括军队和情报机构)现任、近期前任雇员、承包商或前任高级官员关联或可关联的任何敏感个人数据。
(3)不同受规制数据类型的阈值如何?
如上文所述,受规制数据交易涉及前述敏感个人数据且达到一定量级,那么将受到规制。如涉及的数据为美国政府相关数据,那么无论量级是多少,都将受到规制。据ANPRM,司法部考虑在以下范围内确定敏感个人数据受规制量级的起始数量:
表格2、各类别敏感个人数据的监管起始数量的阈值范围
2.5关键词⑤和⑥:针对“特定数据交易(Data Transactions)”的规制措施是哪些?
就目前已发布内容来看,受规制的数据交易分为(1)禁止的数据交易;和(2)受限制的数据交易两类,具体而言:
(1)禁止的数据交易
依据ANPRM,此类数据交易目前包括:(i)数据经纪交易;(ii)涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据交易。
(2)受限制的数据交易
此类数据交易目前包括:(i)涉及提供商品和服务的供应商协议;(ii)雇佣协议;(iii)投资协议。受限制的数据交易需满足美国相关政府制定的安全要求。
依据EO的安排,安全要求清单将由美国国土安全部(the Department of Homeland Security)及DOJ牵头其他相关部门和/或机构共同制定,目前尚未发布。ANPRM对拟定的安全要求进行了初步介绍,指出此类安全要求可能包括使用隐私保护技术、采取数据最小化和屏蔽、实施基本的组织网络安全态势要求、实施逻辑和物理访问控制、开展合规审计等。
2.6关键词⑦:新规有哪些适用的“例外情形”?
整体来看,EO及ANPRM设置了两类豁免适用的情形:一方面,EO及ANPRM计划将一些情形明文列为豁免的数据交易;另一方面,EO也授权DOJ协同相关部门基于个案,针对某些本应落入规制的数据交易通过颁发许可的方式进行豁免,为数据跨境传输的监管提供了一些灵活性。
(1)明文豁免情形
ANPRM在EO的基础上拟将一些情形作为不受限制的数据交易,具体包括:
表格3、豁免的数据交易情形
(2)通过许可进行豁免的机制
EO还授权DOJ协同相关部门,通过发布一般许可和特别许可的方式豁免可能被限制或禁止的受规制交易。根据ANPRM对许可制度的初步介绍,相关部门拟对许可的主体提出特定要求。例如,就获得特定许可而言,相关要求包括持续提供关于授权交易的报告,或在可行的范围内,保证根据此类交易转移的任何数据可被恢复、不可逆转地删除或以其他方式使其失效等。目前,DOJ正在就颁发许可的考量要素、程序要求等征求公众意见。
3.实战虚拟案例—新规提出的核心要求将如何广泛影响企业相关投资、运营等决策?
如我们在前文中所介绍的,从目前发布的框架及部分细节来看,美国数据安全新规不止将影响数据跨境流动,更会广泛地影响任何涉及美国主体及受关注国家或受关注主体的商业活动,贯穿于雇佣、投资、运营等各个商业环节。纷繁复杂的关键词设置实际上广泛地覆盖了受关注国家及受关注主体访问、或者可能访问敏感个人数据和/或政府相关数据的投资、商务合作及/或经营活动。
为便于可能受影响企业更好开展判断,我们结合EO、ANRPM等文件准备了三个虚拟案例,分别映射涉及跨境经营企业常见的商务合作、投资和当地运营场景。值得注意的是,我们所举的这三个虚拟案例均不直接涉及数据跨境传输活动,但仍大概率会落入新规管辖范围之内。具体如下:
3.1 虚拟案例①:
(1)案例情形——商业服务场景
A公司是美国的一家电商平台公司,A公司与总部位于受关注国家X的B公司签订合同,由B公司为A公司提供IT运维服务。A公司掌握美国千万级以上个人用户的大量精确地理位置信息和个人财务数据。根据双方签订的合同,B公司在提供IT服务时涉及访问A公司存有上述大量精确地理位置信息和个人财务数据信息系统。此类运维服务安排是否会落入新规的限制?
图2虚拟案例①
(2)倾向性分析
依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明,A公司与B公司之间的IT服务协议大概率构成受限制的供应商协议,需要受制于上文第2.5条所述的“限制”措施。
3.2虚拟案例②
(1)案例情形——当地运营场景(人员雇佣)
为进一步深化出海战略,一家总部位于受关注国家Y的游戏公司在美国建立了A公司以开展北美业务,A公司与总部和/或其旗下的分子公司无任何股权关系。A公司成功开发了多款手机游戏,在美国广受欢迎,拥有千万级以上的美国用户。A公司开发的手机游戏涉及收集使用美国用户的大量敏感个人数据,例如精准地理位置、人脸识别数据等。A公司的大部分雇员为美国主体,但新一任的CEO拟定为其总部海外业务线的负责人(长期居住于受关注国家的该国公民张三)。作为首席执行官,张三有权访问应用程序收集的所有数据,其中包括大量敏感个人数据。此类人事安排是否会落入新规的规制?
图3 虚拟案例②
(2)倾向性分析
依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明,作为首席执行官,X有权访问应用程序收集的所有数据,其中包括大量敏感个人数据。因此这种情况下,此类人事安排大概率构成受限制的雇佣协议,需要受制于上文第2.5条所述的“限制”措施。
3.3虚拟案例③
(1)案例情形——股权投资场景
A公司是一家开发社交媒体应用程序的美国公司,其开发的社交平台涉及收集处理千万级以上美国用户的敏感个人数据,例如特定个人标识符等。B公司是总部位于受关注国家Z的科技公司,并经谈判与A公司达成协议,计划收购A公司5.6%的股权。双方签订的协议中明确规定B公司不参与业务的实际运营,也无权访问A公司所掌握的用户数据。此项投资活动是否落入新规的规制?
图4 虚拟案例③
(2)倾向性分析
依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明,即使投资协议中明确禁止B公司访问上述数据,该投资协议大概率仍然属于对国家安全构成不可接受风险的受限制的数据交易。因为该交易可能仍使得受关注主体( B公司)有能力访问大量敏感个人数据。
四、除核心要求,企业还需关注EO及配套文件提出的哪些监管机制?
除了禁止或限制一系列数据交易(即上文详细说明的核心要求)外,EO还提出了一些有待美国政府相关部门进一步研究、磋商的议题。如这些议题后续进一步落实,那么会对于中美企业之间有关数据的商业安排产生更大的影响,因此我们在此也进行总结,以便相关企业密切追踪可能与自身商业形态有关的监管机制。依据EO的安排,美国政府还可能考虑在下述方面加强管制,以全面保护敏感个人数据及政府相关数据。
1.Team Telecom将加强对于海底电缆许可的审查
作为承载几乎全球互联网数据跨境传输的基础设施,海底电缆的安全性、运营及控制情况对于数据跨境传输安全而言至关重要。美国电信安全审查小组(the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector),也就是Team Telecom被要求加强对于海底电缆相关许可的审查,包括已发布的许可及收到的新的许可申请,并持续关注受规制主体访问受规制数据可能带来的风险。由此可见,不止是涉及实际跨境数据传输的企业,涉及基础设施投资、建设及参与的企业也有可能受到进一步影响。
2.考虑对个人健康数据和人类组学数据采取额外监管措施
医疗健康数据是EO及ANPRM中特别关注的数据类型,且美国政府目前采取比较审慎的态度,强调美国卫生与公共服务部等相关部门不得协助受规制主体访问批量个人健康数据和人类基因组数据。特别地,目前发布的材料仅将人类组学数据中的人类基因组数据(human genomic data)列为受规制的数据类型之一,但EO要求美国总统国家安全事务助理(Assistant to the President for National Security Affairs,下称“APNSA”)及其他相关部门评估规制其他人类组学数据(human omic data,如蛋白组数据、代谢组数据等)交易的风险及收益,并向总统提交评估报告。因此,未来可能有更多的监管要求与细则出台。
3.加强数据经纪人的监管
美国数据交易机制由来已久,因此EO专门强调了数据经纪人长期频繁收集、交易受规制数据可能带来的风险。依据EO安排,美国消费者金融保护局(Consumer Financial Protection Bureau,下称“CFPB”)需考虑针对这一问题研究制定监管方案。
4.对此前已开展的受规制数据交易进行评估
依据EO的要求,在《最终规则》生效后的120天内,美国总检察长、国土安全部部长、国家情报总监将联合其他部门研究如何评估已发生的受规制数据跨境传输活动所带来的风险,提出风险管控措施,并向APNSA提交方案。APNSA将在研究方案后,与其他部门共同决定是否及如何落实针对已开展的受规制数据交易的规制方案。因此,如企业经评估注意到此前的运营及业务中存在已发生的受规制数据交易,应特别关注本机制项下的监管方案。
来源:中伦视界
