新闻资讯

高锐洞察 | 美国拟立法广泛限制中美数据传输

March 25, 2024高锐研究

近期,美国政府出台了一系列数据监管方面的立法提案和政策,旨在加强对美国个人数据的保护,以防止中国等国家获取重要的个人数据,进而对美国国家安全构成威胁。尽管近年来,美国一直在逐步加强对华数据传输的限制,比如2018年出台的《外国投资风险审查现代化法案》和2022年美国商务部发布的ICTS规则都对特定情况或场景下的对华数据传输进行了限制,但此前的监管机制仅限于在某类投资或交易场景下对特定领域中的数据传输进行限制。最新的数据监管立法提案和相关规则的出台,标志着美国政府开始寻求建立一套全面的、以国家安全为出发点的数据监管法律体系,以弥补现行联邦法律体系在数据流动方面的监管空缺。

继经济制裁、CFIUS审查、出口管制规则出台之后,美国新数据监管立法将进一步限制中国企业在美投资、交易和运营,并将对中国企业更广泛的出海投资、跨境交易、海外研发、电子商务、娱乐和社交媒体等活动产生普遍而深远的影响。由于这些立法提案和规则目前都尚未形成最终立法和规则或尚未生效,它们对数据跨境流动和全球经贸活动的具体限制范围和影响还有待进一步考量。随着人工智能等新兴科技的不断发展和进步,我们预计美国政府还将继续出台更多新的数据监管法规和实施细则,进一步扩大或调整对中美数据流通的限制范围。

  • 2024年3月20日,美国国会众议院全体一致通过了《2024年保护美国人数据免受外国对手侵害法案》(Protecting Americans’ Data from Foreign Adversaries Act of 2024,以下简称“法案”),旨在防止“外国对手”通过数据经纪人获取美国公民敏感数据。该法案主要针对数据经纪交易,禁止数据经纪人将美国人的敏感数据转移给“外国对手”或用于其他目的。该法案将授权美国联邦贸易委员会对这些数据经纪行为进行处罚。下一步,该法案将被提交到参议院。
  • 2024年2月28日,美国总统拜登签署了《关于防止“受关注国家”访问美国公民大规模敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,以下简称“行政命令”),要求美国司法部(以下简称“司法部”)制定法规,以防止将大规模的敏感个人数据和美国政府相关数据转移到"受关注国家"。与此同时,美国司法部发布了一份长达90页的《拟议规则制定预先通知》(Advance Notice of Proposed Rulemaking,以下简称“ANPRM”),详细说明了拟实施法规的内容,并征求公众意见。提交意见的截止日期为2024年4月19日。

本文旨在简要概括和分析上述两项近期美国数据监管方面的立法动态。

一. 美国总统拜登签署《关于防止“受关注国家”访问美国公民大规模敏感个人数据和美国政府相关数据的行政命令》

背景概览

这项行政命令的颁布旨在弥补美国现行法规的空缺,避免“受关注国家”访问美国公民敏感个人数据和政府相关数据对美国国家安全构成的不可接受的风险。行政命令指出,访问美国的大规模敏感个人数据或与美国政府相关的数据会增加“受关注国家”参与各种恶意活动的能力,比如“受关注国家”可以依靠包括人工智能在内的先进技术来分析和操纵大规模敏感个人数据,以从事间谍活动、影响、动力学或网络行动,从而威胁美国国家安全。因此,行政命令授权司法部阻止将美国公民的敏感个人数据大规模转移到“受关注国家”,并且指示其他政府部门和机构采取行动,包括制定新法规和细则,以遏制“受关注国家”对“敏感个人数据”的访问。

通过与国土安全部协调,并征求相关机构的意见,美国司法部公布了ANPRM。ANPRM建议使用行政命令提供的权力建立明确的规则,防止“受关注国家”获取美国公民的敏感个人数据和政府相关数据,从而减轻这些数据可能被利用或用于损害美国国家安全的风险,包括(1)确定禁止和受限制的交易类别;(2)确定“受关注国家”和“受控人员”类别;(3)确定“大规模敏感个人数据”和“美国政府相关数据”的范围;(4)建立适当的许可证发行机制和程序,来豁免某些被禁止或限制的交易类型;(5)明确与其他政府部门之间的职责分工;以及(6)确定合规和执法制度等。

“敏感个人数据”在行政命令中被广泛定义。根据行政命令,“敏感个人数据”包括个人识别符、地理位置和相关传感器数据、生物识别符、人类"组学"数据(即由人类产生的,表征或量化人类生物分子或代谢数据的数据)、个人健康数据、个人财务数据,或其任何组合。匿名化或假名化的数据也会被涵盖在监管范围之内。尽管ANPRM目前考虑对人类"组学"数据的监管限制于人类基因组数据的范围内,但ANPRM对于是否应当将其他类型的人类“组学”数据也纳入到监管范畴内,进行公开征求意见。随着人工智能等新兴技术的发展,这些数据监管定义所涵盖的范围可能会随时间进一步扩大。

根据ANPRM,司法部考虑禁止对于国家安全构成威胁的某些类别的数据交易,而其他类别的交易将受到限制,并且可能在符合某些预先定义的“安全要求”(“security requirements”)的条件下继续进行。具体而言,司法部考虑确定两类被“禁止”的数据交易:(1)数据经纪交易,以及(2)涉及大规模人类基因组数据或从中可以得出人类基因组数据的人类生物标识数据转移的交易。此外,司法部还在考虑确定三类“受限制”的数据交易:(1)供应商协议(包括技术服务协议和云服务协议);(2)雇佣协议;以及(3)投资协议。这些受限制交易适用的“安全要求”将由国土安全部的网络安全和基础设施安全局制定。

虽然行政命令强调,美国继续支持跨境数据的开放、交互操作、可靠和安全流动,以及与其他国家之间的重要消费、经济、科学和贸易关系的维护,但它将不可避免地对与中国、俄罗斯和其他“受关注国家”有关的各种行业的交易产生广泛影响,尤其是依靠数据服务的行业。这些行业包括医疗和生命科学、科技、电子商务、娱乐和社交媒体,等等。值得注意的是,ANPRM为相关行业提供了一个机会,让相关行业主体评估相关规定并提供反馈意见,供拜登政府在推进最终规则制定程序时考虑。

重点内容摘要

“受关注国家”和“受控人员”.    该行政命令的限制侧重于国家安全,并旨在将敏感个人数据转移到“受关注国家”。司法部目前考虑“受关注国家”为中国(包括香港和澳门)、俄罗斯、古巴、伊朗、委内瑞拉和朝鲜。然而,行政命令不仅防止 “受关注国家”直接获得大规模敏感个人数据或美国政府相关数据,还旨在阻止“受关注国家”通过“受控人员”间接访问这些数据。根据ANPRM,司法部考虑对“受控人员”进行广泛定义,包括“受关注国家"所有、控制和管辖或指令的个人和实体与这些个人或实体的外国雇员和承包商,以及被认定为受‘关注国家’所有、控制和管辖或指令的任何其他个人和实体。”ANPRM计划将构成“受控人员”的直接或间接所有权阈值设置为50%或更高,并且提出创建一个与财政部外国资产控制办公室(OFAC)设立的制裁名单类似的“受控人员”的公开名单。此外,为了解决将敏感数据“再出口”给“受关注国家”的风险,司法部考虑要求非“受控人员”的外国人承诺不将禁止或受限制的数据重新销售或提供给"受关注国家"或"受控人员"。

“敏感个人数据”.    ANPRM明确指出,敏感个人数据包括六大类别:(1)特定的美国公民的个人识别符;(2)个人财务数据;(3)个人健康数据;(4)精准的地理位置数据;(5)生物识别符;以及(6)人类基因组数据。这些广泛的敏感个人数据类别在ANPRM中的定义比较宽泛,还需进一步细化。值得注意的是,这些敏感个人数据类别,不包括在其他联邦和州法律下被视为敏感信息的许多个人数据类型。这加剧了美国已有的复杂数据保护框架,增加了相关主体的合规难度和成本。

“美国政府相关数据”.   根据ANPRM,美国政府相关数据包括:(1)关于特定的军事基地、政府和其他敏感设施相关的特定的地理围栏区域中地理位置数据,以及(2)作为与美国政府(包括军方和情报机构)现任或最近离职的员工或承包商,或前高级官员相关联或可关联的敏感个人数据。值得注意的是,涉及政府相关数据的交易,无论数据的体量如何,都将被认为对国家安全构成威胁,从而受到禁止和限制。

“禁止和受限制”的交易.  行政命令明确要求禁止或以其他方式限制美国人从事任何涉及外国国家或其国民利益的财产的收购、持有、使用、转让、运输或出口,或处理(统称为“交易”),若交易涉及大规模美国敏感个人数据或美国政府相关数据,并且这些交易发生在美国人和“受关注国家”或“受控人员”之间,被认为对美国国家安全构成“不可接受的”风险。

  • 根据ANPRM,司法部考虑确定两类“禁止”的数据交易:(1)数据经纪交易;和(2)任何提供大规模人类基因组数据或可提取出人类基因组数据的人类生物样本的交易。
  • 此外,ANPRM考虑确定三类“受限制”的数据交易:(1)供应商协议(包括技术服务协议和云服务协议等其他类型);(2)雇佣协议; 和(3)投资协议。这些受限交易类别代表了“受关注国家”可以获取大规模美国敏感个人数据或政府相关数据的重要手段。
  • 通过实施符合由国土安全部通过网络安全与基础设施安全局指定的“安全要求”,或可减轻与上述交易相关的国家安全风险。这些“安全要求”可能包括:(1)组织要求(例如,基本的组织网络安全态势);(2)交易要求(例如,数据最小化和屏蔽,使用保护隐私技术,要求信息技术系统防止未经授权的披露,以及逻辑和物理访问控制),和(3)合规性要求(例如,审计)。
  • 关于 “大规模” 敏感个人数据的标准,ANPRM目前设定了以下阈值:

风险

人类基因组数据

生物识别标识符

精确地理位置数据

个人健康数据

个人财务数据

特定个人标识符

100-1000名美国人

100-10,000名美国人或美国设备

1,000名-100万名美国人

超过1万名美国人

超过1,000名美国人

超过10,000名美国人或美国设备

超过100万名美国人

超过100万名美国人

 

豁免和许可.    根据ANPRM,最终法规将不会建立一个对于所有数据交易进行逐案审查的机制,而将创设一套综合且透明的规则体系,以针对性适用于各类特定数据交易。而对于被规则所禁止或限制的某一交易,相关方可以向司法部等联邦机构提出豁免申请,并在取得许可后再合法实施交易。司法部将确定豁免数据交易的类别,并将设立发布通用和具体许可证的机制和程序。ANPRM指出,司法部考虑豁免以下类型的数据交易:(1)涉及某些特定数据的数据交易;(2)政务相关交易;(3)银行、资本市场与金融服务,支付服务和与监管合规相关的交易;(4)日常业务相关的集团内交易;以及(5)联邦法律或国际条约要求或授权的交易。

回溯力.   行政命令框架下的数据交易限制不具有追溯效力,不会适用于最终法规生效之前的数据交易。但需要注意的是,在最终法规生效后,司法部可以要求有关美国人提供行政命令发布之后完成或达成协议的数据交易的有关信息,以便为该法规的制定和实施提供信息。

对网络基础设施的日益关注.   行政命令将潜水电缆和海外数据中心确定为大规模敏感个人数据或美国政府相关数据风险的焦点。预计美国政府将针对这类基础设施进一步制定新的法规。

对数据经纪的新限制.   行政命令鼓励消费者金融保护局(CFPB)考虑采取措施,解决由数据经纪交易引起的国家安全风险,并增强对联邦消费者保护法的遵守。CFPB主任Rohit Chopra在行政命令发布后发布了一份声明,表示CFPB将在今年提出新规定,限制数据经纪人将“大规模敏感数据”出售给外国购买者。值得注意的是,近年来,美国国内非常关注数据经纪对国家安全的潜在风险。美国国会众议院刚刚通过的《2024年保护美国人数据不受外国对手侵害法案》就针对数据经纪交易中的敏感数据对华传输提出了限制要求(详情见下文)。广泛的“数据经纪”定义可能将更多类型的数据交易纳入到限制范畴中。

回顾与建议

在司法部发布最终法规之前,公众将有两次反馈意见的机会。最终法规如何定义数据交易监管中的具体术语和范畴,将极大地影响对数据交易的限制范围。受影响的行业主体,包括数据经纪人和云服务提供商,可以就ANPRM中的具体问题向司法部提出反馈意见。司法部将在最终规则中考虑公众意见,因此参与公众意见过程可以帮助塑造最终结果。

拜登总统颁布的这项最新的行政命令、ARNPRM和最终生效的法规,将对中国投资者和众多行业中的中国企业产生广泛的潜在影响,包括对海外投资、市场准入、技术发展、商业合作、国际关系和运营模式等方面的影响。中国投资者和公司应该做好准备,应对最终法规对中国在美国投资和经营的重大影响。比如,除非美国企业在投资之前有一个合规的数据安全计划或已获得许可,否则中国投资者对美国数据密集型企业进行任何规模的直接投资都将是不可能的,而对持有美国基因组数据的企业的投资可能会被禁止。这可能会对交易可行性和时间安排产生重大影响。中国投资者和企业应开始将敏感数据考虑纳入其尽职调查和合规流程,包括评估数据库存和安全控制的步骤。

二. 美国国会众议院通过《2024年保护美国人数据不受外国对手侵害法案》

背景概述

2024年3月20日,美国国会众议院以414票对0票的结果,全体一致通过了《2024年保护美国人数据不受外国对手侵害法案》(以下简称“法案”)。众议院两党对该法案的通过表现出了高度一致的支持态度,足见美国社会已经围绕该法案的宗旨,即防止“外国对手”国家通过数据经纪人获取美国人敏感数据以及由此而造成的国家安全隐患,形成了很强的共识。

一旦最终通过,该法案将授权美国联邦贸易委员会(Federal Trade Commission,又称“FTC”)按照《美国联邦贸易委员会法》第18条(a)(1)(B)的规定,对把美国个人敏感数据传输给外国对手国家或被其控制实体的数据经纪人进行处罚。该法案对于“被外国对手国家控制实体”、“数据经纪”、“传输”和“敏感数据”的定义都非常宽泛,若最终通过,将对大量的对华数据流通产生限制和影响。

重点内容摘要

“外国对手”国家. 该法案定义的“外国对手”国家包括4个国家,即中国、俄罗斯、伊朗和朝鲜。该定义比上文描述的行政命令中涉及的“受关注国家”的范围要小,排除了古巴和委内瑞拉,但动因不详。值得注意的是,该法案未明确说明,通过第三国向中国传输美国敏感个人数据的数据经纪是否也被禁止。

“被外国对手国家控制的实体”. 根据该法案的定义,包括(A)居住在、总部设立于、主要经营场所位于外国对手国家,或根据外国对手国家的法律而设立的外国实体或个人;(B)由前述(A)中的外国实体或其组合直接或间接拥有20%或以上权益的实体或个人;以及(C)受到前述(A)和(B)中的外国实体或个人的指示或控制的实体或个人。该定义所涵盖的潜在范围可能包括任何被认定为受“外国对手”国家所指示和控制的实体和个人,包括中国公司在海外的分支机构,甚至可能包括被认定为与“外国对手”国家或被其控制的实体之间具有协议控制、实际控制、直接或间接控制关系的美国实体或个人。

“数据经纪人”.  该法案界定的“数据经纪人”包括通过出售、许可、租赁、交易、转让、发布、披露、提供或帮助其他实体(服务提供商除外)获取美国公民的个人数据来换取对价的实体或个人,且该实体或个人并不直接从个人数据的来源方直接收集这些个人数据。该定义潜在地排除了直接从来源处收集个人数据的实体(如互联网平台),或不以获取经济利益而提供个人数据的实体和个人;购买或接受个人数据的实体不是“服务提供商”,因而可能排除向云服务提供商出售或授权访问数据的实体。此外,该法案还列举了几类不属于“数据经纪人”的实体或个人,包括:(1)经美国人要求或指示而传输该美国人的个人数据(如通信活动)的实体或个人;(2)新闻媒体、电视、广播、互联网、网站等对公众开放和发布信息或新闻(色情信息除外)的实体或个人;(3)作为服务提供商的实体或个人。

“敏感个人数据”.该法案列举了以下15种敏感个人数据:
(A)政府颁发的标识符,如社会安全号码、护照号码或驾驶执照号码;

(B)描述或揭示个人过去、现在或未来的身体健康、精神健康、残疾、诊断或保健状况或治疗的任何信息;

(C)财务账号、借记卡号、信用卡号或描述或揭示个人收入水平或银行账户余额的信息;

(D)生物特征信息;

(E)遗传信息;

(F)精确的地理位置信息;

(G)个人的私人通信,如语音邮件、电子邮件、文本、直接信息、邮件、语音通信和视频通信,或识别该等通信双方或与该等通信的传输有关的信息,包括所拨打的电话号码、拨打电话的电话号码、拨打电话的时间、通话时长和通话双方的位置信息;

(H)帐户或设备登录凭据,或帐户或设备的安全码或访问码;

(I)识别个人性别的信息;

(J)为个人私人使用而保留的日历信息、地址簿信息、电话或文本日志、照片、录音或视频,无论这些信息是否存储在个人设备上,或可从该设备访问并备份在单独的位置;

(K)照片、影片、录像或其他类似媒介,暴露个人私密部位;

(L)披露个人要求或选择的视频内容的信息;

(M)17岁以下个人的信息;

(N)个人的种族、肤色、民族或宗教信息;

(O)识别个人随时间和跨网站或在线服务的在线活动的信息;

(P)显示个人作为武装部队成员身份的资料;以及

(Q)数据经纪人为识别(A)至(P)所列数据类型的目的而出售、许可、出租、交易、转让、发布、披露、提供访问或以其他方式提供给外国对手国家或由外国对手控制的实体的任何其他数据。

回顾与建议

鉴于该法案已在众议院获得通过,下一步将被提交到美国参议院,并由美国参议院交给常设委员会来审议。虽然该法案是否最终被批准成为法律尚不确定,但该法案在众议院获得两党全体一致的通过说明在美国数据监管立法已经成为了大势所趋。该法案与上述行政命令的共同关切在于防止中国等国家获取美国敏感个人数据。若其最终被批准通过,中国实体获得美国敏感个人数据的渠道会受到广泛的限制,而美国政府针对对华数据传输的管制力度也会空前增强。任何依赖数据服务和数据载体的中国企业或投资者,都应该提前评估该法案对自身业务和投资的潜在影响。