美国对于数据的跨境流通采取“自由流入、严控流出”的政策,虽然表面上倡议数据跨境自由流动,并在贸易谈判中主张将“数据跨境自由流动”纳入协议条款,但同时通过《外国投资风险审查现代化法》《出口管理条例》等立法从行业角度严格控制AI等关键技术数据出口和特定数据领域的外国投资。
而随着中美两国在科技领域竞争的日益加剧,美国一直致力于利用多种手段遏制中国发展。
早在2020年,美国就以遏制潜在国家安全风险为由在美国国务院官网发布了一项“清洁网络计划”(CleanNetwork),并扬言将联合多个国家和地区打造“清洁国家联盟”,从运营商、应用商店、应用程序、云服务系统、光缆等行业和平台角度对中国实体采取措施,禁止中国云服务商访问美国公民最敏感的个人信息等。
2024年2月28日,美国发布《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》(简称“行政令”),其认为受关注国家可依靠人工智能等先进的技术分析和操纵大量的敏感个人数据,以此确定对美国的战略优势等并加剧了美国的国家安全和外交政策受到的威胁,因此,该行政令将管制对象聚焦于国家及其相关实体,明确限制相关受关注国家对美国人敏感数据的利用。同日,美国司法部发布了执行该行政令拟议规则制定预通知(Advance Notice of Proposed Rulemaking,简称“ANPRM”)的情况说明,概述了实施该行政令的规则。
(1)批量的美国人个人敏感数据,包括基因组数据、生物识别数据、个人健康数据、地址位置数据、财务数据及特定类型的个人身份信息,不包括属于公共记录的数据。其中,批量是指在规定时间内达到或超过司法部长根据该行政令第2条发布的条例中规定的阈值的敏感个人数据量。
(2)美国政府相关数据,即美国司法部长确定构成被相关国家利用以损害美国国家安全的高度风险的敏感个人数据,无论其数量如何。
该行政令明确,受关注的国家是指根据本行命令第2(c)(iii)或2(f)条确定的任何外国政府,该外国政府长期从事严重损害美国国家安全或美国人安全的行为、并构成利用批量敏感个人数据或美国政府相关数据损害美国国家安全或美国人的安全和保障的重大风险。
根据ANPRM情况说明,ANPRM将考虑确定六个受关注国家,即:中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
(1) 由受关注国家拥有、控制或受其管辖或指挥的实体;
(5)被司法部长指认为由某受关注国家拥有或控制、或受其管辖或指示,代表或声称代表某受关注国家或其他受规制对象行事,或在知情情况下直接或间接导致或指示违反该行政令及其相关法规的任何人。
ANPRM情况说明强调,任何美国公民、国民或合法永久居民或作为难民进入美国或获得庇护的人或仅根据美国法律或司法管辖而组织的实体以及任何位于美国境内的人都不属于此类受规制的对象。
ANPRM情况说明指出,对于基因组数据等六类个人敏感数据交易,当其数据交易的批量超过规定的阈值(即美国人人数阈值或美国设备数量阈值)时,个人敏感数据交易将受到监管;而对于涉及美国政府相关数据(如涉及美国政府人员或位置的敏感个人数据)的交易,则不受前述数据交易批量阈值的限制,均受监管:
ANPRM 计划确定禁止如下两类在美国人与受关注国家或受规制对象之间进行的数据交易:
(2) 涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据交易。
(1) 涉及提供商品和服务的供应商协议(包括云服务协议);
适用于这些受限制数据交易的安全要求将由国土安全部网络安全和基础设施局另行制定。该等安全要求可能包括基本的组织网络安全态势要求、物理和逻辑访问控制、数据掩码和最小化以及隐私保护技术的使用等网络安全措施,并旨在降低受关注国家或受管制对象访问的风险。
根据该行政令及ANPRM,如下数据交易不在监管范畴内:
(1)通常属于金融服务、支付处理和监管合规的一部分。例如,银行业、资本市场或金融保险活动;其他监管机构监管范围内的金融活动;为购买和销售商品和服务而提供或处理涉及转移个人财务数据或受保护的个人标识符的付款活动;以及法律和监管合规;
(2)通常属于跨国美国公司内部附属业务操作(如工资支付或人力资源)的一部分;
(3)美国政府及其承包商、雇员和资助者的活动,如联邦资助且自行管理的健康和研究活动;
(4)联邦法律或国际协议要求或授权的交易(如乘客名单信息的交换、国际刑警组织请求和公共卫生监视)。
ANPRM同时还考虑豁免某些投资,这些投资通常不会带来不可接受的国家安全风险,使受关注国家或受规制对象能够访问敏感个人数据。
为保护美国人的敏感数据,该行政令要求采取一系列措施,包括:
(1)美国司法部将颁布法规,明确保护美国人的敏感个人数据免遭受关注国家的访问和利用,以防止该等数据被大规模转移到有收集和滥用美国人数据记录的相关国家;
(2)美国司法部将颁布法规,加强对敏感政府相关数据的保护,包括敏感政府网站的地理位置信息和军事人员的信息。
(3) 美国司法部和美国国土安全部共同努力制定高安全标准,以防止受关注的国家通过其他商业手段获取美国人的数据,例如通过投资、供应商和雇佣关系获得的数据。
(4) 美国卫生与公共服务部、美国国防部和美国退伍军人事务部协助确保联邦拨款、合同和奖励不被用于帮助受关注国家(包括通过位于美国的公司)获取美国人的敏感健康数据。
(5) 美国电信服务部门外国参与评估委员会在审查海底电缆许可证时考虑对美国人敏感个人数据的威胁。
(6) 鼓励美国消费者金融保护局(“CFPB”)采取符合现行法律授权的措施,以应对相关威胁,并加强对联邦消费者保护法的遵守。
美国强调,上述行动不会阻止金融服务活动所需的信息流动,也不会施加旨在更广泛地使美国与其他国家之间的实质性消费、经济、科学和贸易关系脱钩的措施。
该行政令将授权美国司法部调查违反该行政令的行为,包括根据国际紧急经济权力法(IEEPA)追究民事和刑事补救措施。
目前美国司法部正在考虑为违规行为设立民事处罚。任何特定违规行为的具体处罚将取决于违规行为的事实和情况,包括任何合规程序的充分性。
根据美国司法部发布的相关常见问题解答,该行政令和ANPRM不会立即施加任何新的法律义务。相反,该行政令和ANPRM的发布将启动两轮正式机会,让公众在发布任何最终规则之前就计划中的程序提供反馈。
同时,美国司法部强调,为了防止数据被外国第三方“再出口”到受关注国家,ANRPM将计划仅允许美国公民与同意不向受关注国家及受管制对象转售或提供访问权限的外国人进行数据经纪交易。
据“外交部发言人办公室”消息,在2024年2月29日外交部例行记者会上,中国外交部发言人毛宁回应美国出台有关限制数据转移行政命令的问询时表示,美国泛化国家安全概念,诬称中方购买美国公民敏感数据从事恶意活动,禁止数据流向包括中国在内的所谓“受关注国家”,是明显针对特定国家的歧视性做法,中方对此坚决反对。中国政府一向高度重视保护数据隐私与安全,从来没有也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据、信息和情报。中方已经率先提出《全球数据安全倡议》,如果美方真的关心数据安全,可以公开支持中国的这一倡议,或者作出类似的承诺。我们要求美方停止对中国的污蔑抹黑,切实维护开放、公正、非歧视的营商环境,与各方共同制定普遍性的数据安全规则,促进全球数据有序自由流动。
对于具有涉美业务的中国企业而言,当涉及访问或以其他方式获取美国敏感数据时,应重点关注如下问题:
判定相关数据处理活动是否涉及访问美国个人敏感数据或美国政府相关数据;
确定相关数据量是否已经达到或超过美国司法部规定的阈值数量。
目前,现有公开资料暂未检索到美国司法部所规定的美国人人数阈值或美国设备数量阈值等的具体要求。
美国商务部于2023年通过的《确保信息统信技术和服务供应链安全的最终规则》曾明确,如果美国企业和中国企业在信息通信技术产品和服务的交易发生前,超过12个月已经或将会处理超过100万美国人的敏感个人数据,则美国商务部认为该等交易对美国国家安全带来了严重风险。该等数据阈值要求虽非由美国司法部发布,但也可供企业在美国司法部相关规定出台前作为参考。同时,建议企业持续关注美国司法部的相关立法和政策动态。
确定相关数据交易业务属于禁止的数据交易、受限制的数据交易或是豁免的数据交易:
-
若相关数据交易属于禁止的数据交易时,则建议企业在业务可行的情况下,优先考虑在美国或其他非受关注国家设立的子公司开展相关数据交易活动。同时,应注意,根据美国司法部的要求,在非受关注国家设立的子公司在开展相关数据交易时仍须承诺不向中国(含香港和澳门)境内的企业转售相关数据且也不得为中国(含香港和澳门)境内的企业提供相关数据的访问权限。
-
若相关数据交易属于受限制的数据交易时,则还需满足美国国土安全部网络安全和基础设施局所发布的相关安全要求。目前,企业具体需要采取的安全措施及如何确定企业所采取的措施满足相关监管要求,仍待美国国土安全部网络安全和基础设施局进一步制定实施细则予以澄清。
此外,企业在开展涉美业务时,也需要关注相关产品与服务供应链的安全,以确保相应合作方或供应商不存在违反美国相关数据跨境流通监管要求的情况,以免外部风险传导,导致企业受到相关处罚。
原文始发于微信公众号(内生安全联盟):拜登政府签署行政令,限制中俄等国访问美国“敏感数据”
评论