作者:数据合规组
2024年2月28日,美国总统拜登正式签署了《关于防止关注国家获取美国公民大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)(“《行政令》”),限制中国、俄罗斯、伊朗等六个“关注国家”以及与其有关的实体/人员访问和利用美国公民与政府的“敏感数据”,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和特定种类的个人识别信息,以及与政府有关的敏感数据。[1]美国司法部于同日发布关于该《行政令》拟议规则制定预通知(ANPRM)的情况说明(Fact Sheet)(“《情况说明》”)[2],简要概述了ANPRM可能涉及的细化内容。
从性质和监管内容看,《行政令》意图建立的并非仅仅是数据跨境传输限制,而是以国家安全作为重心的数据安全审查措施。其意图解决由和美国处于不同利益阵营的国家能够以不同方式访问的大量美国敏感数据在人工智能技术高速发展的背景下给美国带来的国家安全问题。相关措施将和投资相关的CFIUS、通信网络和运营相关的Team Telecom等机制一起构建起美国的国家安全审查体系,对包括中国在内的相关国家背景的企业的出海运营、境外投资并购等活动将产生深远影响。
在此背景下,本文将分析《行政令》规制要点及其对中国企业的潜在影响,以供中国企业针对性参考。
一、《行政令》关键内容概述
《行政令》和《情况说明》从数据类型、数据交易的参与方、数据交易的性质、数据交易规模阈值等多方面提供了监管框架,禁止或限制美国人与关注国家或关注人员的数据交易。
(一)受监管的数据类型
《行政令》和《情况说明》中指出拟监管的数据类型为敏感个人数据或美国政府相关数据。
六类敏感个人数据:精确地理位置数据、生物识别信息、人类基因组数据、个人健康数据、个人财务数据、明确规定的个人识别信息和组合。其中,属于敏感个人数据的个人识别信息仅限于明确列出的个人数据类型,并非所有个人识别信息,例如不包括仅与其他人口统计或联系数据相关的人口统计或联系数据(如姓和名、出生日期、出生地、邮政编码、居住街道或邮政地址、电话号码和电子邮件地址以及类似的公共账户标识符)等。具体的敏感个人数据类型将在后续的规定中进一步细化。此外,敏感个人数据不包括已合法公开的公共记录数据,如法院记录或其他政府记录等。
美国政府相关数据:涉及美国政府人员或地点的敏感个人数据。其中与政府相关的位置数据将在后续进一步明确。
(二)受监管的数据交易参与方
《行政令》所监管的数据交易方包括关注国家和关注人员。具有关注国家背景或联系的实体或个人都可能落入到关注人员的范围内,而不仅限于关注国家境内主体。
关注国家:ANPRM将考虑确定六个关注国家,包括中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
关注人员:指如下四类受关注国家管辖、指导的实体和个人,以及其他额外指定的实体或人员:(1)受关注国家管辖或指示的实体;(2)作为该实体的雇员或承包商(Contractor)的非美国人;(3)作为关注国家的雇员或承包商的非美国人;(4)主要居住在关注国家的非美国人。
(三)受监管数据交易及阈值
需要说明的是,只有当数据交易超过规定的阈值(即美国人人数的阈值或美国设备数量的阈值)时,六类敏感数据的交易才会被规制。但此阈值规则并不适用于美国政府相关数据的交易。
ANPRM拟明确如下两类禁止数据交易和三类受限数据交易:
禁止的数据交易 |
1. 数据经纪交易(data-brokerage transactions)。因此数据经纪人与关注国家/人员之间关于敏感个人数据的交易可能被禁止; 2. 基因组数据交易,且涉及传输大量人类基因组数据或生物标本(从中可以获得此类数据) |
|
受限的数据交易 (即在满足所规定的安全要求的前提下可以进行的数据交易) |
基于以下协议进行的数据交易: 1. 涉及提供商品和服务的供应商协议(包括云服务协议); 2. 雇用协议;以及 3. 投资协议。 适用于这些受限交易的安全要求将另行制定,可能包括网络安全措施,如基本的组织层面的网络安全要求、物理和逻辑访问控制、数据掩码(data masking)和最小化,以及隐私保护技术的使用等。 |
豁免的数据交易 |
1. 通常与金融服务、支付处理和监管合规相关且是其一部分(如银行、资本市场或金融保险活动;其他监管机构管辖范围内的金融活动;为购买和销售商品和服务而提供或处理涉及支付的个人财务数据或所规定的个人标识符;以及法律和监管合规); 2. 通常与美国跨国公司内的辅助业务运营(例如工资或人力资源)相关且是其一部分; 3. 美国政府及其承包商、雇员和被授权人(grantee)的活动;或者 4. 联邦法律或国际协议要求或授权的交易(例如乘客舱单信息交换、国际刑警组织请求和公共卫生监视)。 此外,ANPRM还考虑豁免某些不会传达(Convey)权利或影响力的投资,具体情况待后续规定细化。 |
值得注意的是,《情况说明》还提到虽然ANPRM仅监管与关注国家/人员之间的数据交易,原则上不包含其他非关注国家/人员,但“数据再传输”的情况可能受到例外监管。为了解决数据被外国第三方“再传输”到关注国家的风险,ANPRM可能会要求与美国人进行数据经纪交易的非关注人员同意不转售或允许关注国家/人员访问相关数据。
(四)罚则
违反《行政令》的具体罚则尚未公布,但根据《情况说明》,司法部将有权调查违反规定的行为,包括根据《国际紧急经济权力法》寻求民事和刑事措施,同时对任何违规行为的具体处罚将取决于违规的事实和情况。
二、对中国企业的影响及缓释措施
基于上述规定,我们理解如下企业可能受到《行政令》、《情况说明》及后续相关规定的影响,并可视后续细化规定情况采取相应合规措施以降低风险。
业务涉及处理美国敏感个人数据的企业(包括中美跨国企业),尤其涉及汽车或测绘领域、医药领域、生物识别领域、金融领域等的企业:若在开展业务过程中涉及远程访问或在中国境内处理美国的精准地理位置信息、生物识别信息、个人健康信息、个人基因组信息、个人财务信息等,或者基于提供商品和服务的供应商协议(包括云服务协议)而使得中国公司/人员具有美国敏感个人数据的访问或处理权,则可能落入管辖范畴;
出海企业:一方面向美国出海的企业可能由于中国公司处理美国敏感个人数据而受到监管,另一方面在出海过程中若企业在美国境内设立办公室或雇用人员,考虑到可能基于雇用协议而处理工资或人力资源管理以外的敏感个人数据,则可能落入管辖范畴;
投资企业:对于投资美国企业的公司,鉴于中国公司可以基于投资协议访问或处理被投资美国企业的数据,若其中涉及敏感个人数据则可能落入监管范畴。
基于《行政令》和《情况说明》,我们理解受影响的中国企业可采取如下措施以降低合规风险:
审查现有数据处理的必要性,尽可能避免收集、访问涉及六类敏感个人数据或美国政府相关数据,或在业务可行的前提下替换为其他类型的个人数据;
若确实基于业务必要需处理六类敏感个人数据或美国政府相关数据,在业务可行的前提下考虑在美国境内处理或在其他非关注国家处理;对于拟出海企业,建议在出海整体规划和部署阶段考虑此限制情况并相应安排服务器和人员部署方式,以及针对相关数据处理活动建立完善和有效的合规制度;
若需在美国开展投资,在投资前确保所投资的企业不涉及对敏感个人数据或政府相关数据的处理,或通过数据剥离的方式确保被投资企业不直接持有相关数据。
鉴于具体规定尚待后续ANPRM和相关细则的出台,建议企业持续关注相关立法和执法动态以适时采取具体合规应对方案。
特别声明 |
|
汉坤律师事务所编写《汉坤法律评述》的目的仅为帮助客户及时了解中国或其他相关司法管辖区法律及实务的最新动态和发展,仅供参考,不应被视为任何意义上的法律意见或法律依据。 如您对本期《汉坤法律评述》内容有任何问题或建议,请与汉坤律师事务所以下人员联系: |
|
段志超 电话: +86 10 8516 4123 Email:kevin.duan@hankunlaw.com |
