【编者按】2月28日,美国政府签署了一项关于监管跨境数据传输行为的最新行政命令,该命令及后续发布的几份相关文件的主要监管目的,是禁止或限制美国主体与受关注国家或受管辖主体之间涉及大规模敏感个人数据或政府相关数据的受管辖数据交易。
《互联网法律评论》邀请特约专家、环球律师事务所合伙人孟洁律师和团队成员赵姝、杜畅就上述美国最新监管政策进行详尽解读。孟洁律师指出,由于落实行政命令还需美国司法部向公众征求意见,因此中国相关企业在等待“靴子落地”的过程中应密切关注政策内容更新、相关政策变化及行业头部企业的表态,不断强化对相关政策思路与规则的感知,为后续实际合规行动做好准备。
解读分上下两篇,今日发表上篇。
前言
当地时间2024年2月28日,美国总统小约瑟夫·罗宾内特·拜登签署并发布了第14117号《关于阻止受关注国家获取美国人的大规模敏感个人数据及合众国政府相关数据的行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)》(以下称“《行政命令》”);1随后,白宫与美国司法部(Department of Justice)陆续发布了一系列文件。
这些以《行政命令》为核心的文件矛头直指所谓“受关注国家(Countries of Concern)”政府(包括中国、俄罗斯、朝鲜、古巴与委内瑞拉)以及与其存在关联的实体与个人。此次《行政命令》一定程度上表达出美国联邦政府修改其此前主张的数据跨境自由流动政策的意向,可能对“受关注国家”以及企业带来实质性影响。
在本文的上篇中,我们结合目前已公开发布的相关文件,以美国数据跨境流动政策的不变与变化为视角,分析美国在数据跨境政策上的整体方向;在将于后续发布的下篇中,我们将进一步结合企业关注的热点场景为我国企业在相关政策落地前进行风险预判,特别为我国出海企业提供应对参考。
《行政命令》的出台背景:美国数据跨境流动的政策趋势
由于美国联邦层面缺乏数据安全监管法规,且其在各类国际组织与国家间合作中表现踊跃,美国联邦政府对于数据跨境一直持自由流动的态度。
但是,仔细考察近几年来美国的国内政策与国际实践可以发现,虽然美国企业在国际市场上仍然保持着强势地位,国与国之间的数据自由流动也持续不断地为美国经济带来正面效益,但一些发展中国家经济的崛起,甚至他们某些行业的企业在全球细分领域的话语权增强,给美国带来了不少竞争压力。
与此同时,美国国内保守主义意识形态抬头,令美国联邦政府逐渐倾向于采取具有贸易保护主义色彩的监管政策——这些政策不仅针对特定经济部门、行业产业进行规制,也包括了对网络与数据进行监管。
近几年来,美国在数据跨境流动政策方面表现出较为明显的转向——美国联邦政府出于为境内数据监管政策(尤其是涉及源代码、算法等敏感领域的相关数据)保留空间的目的,倾向于在国际合作中避免在科技监管领域为自身设定具有约束力且可执行的限制——尤其是在进入2023年后,美国白宫在促进数据跨境自由流动方面几近失语,转而制定并落实各类数据监管政策并开展对应的国际实践。
下表针对美国联邦政府在数据跨境流动方面颁布的较为重要的部分国内政策与在国际方面的声明进行了简要梳理:
趋势
国内政策/国际实践
时间
自由流动
【美国国际工商理事会】
世界贸易组织电子商务谈判提案(USCIB Recommendations for the WTO E-Commerce Negotiations)2
2019/06/06
【二十国集团】
“基于信任的数据自由流通”倡议3
2019/06/29
【全球跨境隐私规则论坛】
全球跨境隐私规则声明(Global Cross-Border Privacy Rules (CBPR) Declaration)4
2022/04/21
【经济合作组织】
关于政府调取私营部门实体持有的个人数据的宣言(Declaration on Government Access to Personal Data Held by Private Sector Entities)5
2022/12/14
【美国商务部、欧盟委员会】
欧盟-美国数据隐私框架(EU-US Data Privacy Framework)6
2023/07/10
强化监管
【美国白宫】
第14034号关于防范外国对立方侵犯美国敏感数据的行政命令(Executive Order on Protecting Americans' Sensitive Data From Foreign Adversaries)7
2021/06/09
【美国贸易代表】
取消2019年提出的世界贸易组织电子商务谈判提案8
2023/10/26
【美国商务部】
采取额外措施应对重大恶意网络活动方面的国家紧急情况的拟议规则(Proposed Rules on Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities)9
2024/01/29
【美国白宫】
第14117号关于阻止受关注国家获取美国大规模敏感个人数据及合众国政府相关数据的行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)10
2024/02/28
表1 美国联邦数据跨境流动国内政策与国际实践
需要说明的是,《行政命令》的授权依据为《国际紧急经济权力法(International Emergency Economic Powers Act, IEEPA)》以及《国家紧急法(National Emergencies Act, NEA)》——在IEEPA与NEA中,美国国会对美国总统授予了在紧急状态下较为宽泛的明示授权。总统依据IEEPA及NEA来宣告国家紧急状态从而使相关紧急权力与授权,从流程上需要依据NEA规定立即向国会发送紧急状态命令公告(即下文提及的信函)并发布在联邦公报(Federal Register)上,而紧急状态的宣告多由美国总统通过行政命令的方式进行。
值得注意的是,IEEPA对紧急状态定义较为模糊并且对总统的授权相对宽泛,这使得美国总统援引IEEPA来宣告紧急状态、采取响应措施十分便捷,因此在联邦政府需要强化监管或推动制裁时,通过IEEPA宣告紧急状态也成为了多数情况下美国总统的首选项。
而由于需要宣告紧急状态以获取授权,国家安全的考量在相关政策文件的首段授权文段,以及序言的正当性说理中,均占据了重要位置。
通过观察国家紧急状态宣告的频次变化(1976年至今NEA项下共计发生了79次紧急状态宣告,其中有20次发生在近4年中,宣告频次显著提升11),我们也同样能够大致观察到美国联邦政府整体监管强化的蛛丝马迹。
《行政命令》的规则解读:基于风险控制的数据交易监管
除《行政命令》外,2月28日及其后的数日内,美国白宫与美国司法部还陆续发布了如下四份文件:
1) 白宫《事实概况:拜登总统发布行政命令保护美国人的敏感个人数据(Fact Sheet: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data)》12(以下称“《白宫概况》”);
2) 白宫《就防止受关注国家获取美国人的大规模敏感个人数据和美国政府相关数据致国会的信函(Message to the Congress on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)》13(以下称“《致国会信函》”);
3) 美国司法部《事实概况:司法部将在即将随突破性的解决受关注国家获取美国人的大规模敏感个人数据问题的行政命令后发布拟议规则制定的预先通知(Fact Sheet: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern)》14(以下称“《司法部概况》”);
4) 美国司法部《关于受关注国家获取美国人的大规模敏感个人数据和政府相关数据的规定的拟议规则制定预通知(Advance Notice of Proposed Rulemaking: Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern)》15(以下称“《预通知》”,美国司法部于当地时间2024年3月5日在《联邦公报(Federal Register)》上公布了《预通知》的正式文本)。
包括《行政命令》自身在内的上述文件,从整体结构上看,包含两层规则内容:(1)白宫在《行政命令》中向各联邦行政部门做出的授权与指令;16及(2)联邦行政部门根据《行政命令》中的授权与指令发布的规定与标准。根据《白宫概况》,《行政命令》的授权与指令主要包括六个方面,其中前三个方面与直接要求行政部门制定规则或标准有关,包括要求美国司法部颁布相关规定与要求美国国土安全部制定安全要求。
需要明确的是,《行政命令》所指示与授权的监管行动以美国司法部为主导,且美国司法部所颁布的、关于限制与禁止交易的规定在《行政命令》下具有核心地位,因此相关企业应充分关注《预通知》相关的后续规则制定进程。
1. 禁止或限制交易的一般规则
《行政命令》针对性地要求美国司法部颁布禁止或限制美国主体获取、持有、使用、转让、运输或进出口任何外国(政府)或外国公民在其中拥有任何利益的财产(即,“交易”),如果该交易:①涉及大规模敏感个人数据或与美国政府有关的数据;②属于对美国国家安全构成不可接受风险的交易类别;③在司法部规定的生效日期之后启动、待定或完成;④不符合豁免条件,或未基于许可获得授权;并且⑤不属于提供金融服务(包括银行、资本市场和金融保险服务)的正常相关活动和组成部分,也不是遵守任何联邦法定或监管要求(包括执行这些要求的任何法规、指南或命令)所必需的。
基于《行政命令》的要求,美国司法部在《预通知》中进一步强调:①美国司法部规则禁止美国主体从事“受管辖数据交易(covered data transactions)”类型,因为这些类型的数据交易可能使受关注国家或受管辖主体访问美国的“大规模敏感个人数据(bulk sensitive personal data)”或“政府相关数据(government-related data)”;②一些原本被禁止的交易可能受到限制,并仅在符合某些条件——如,国土安全部发布的“安全要求(security requirements)”——的情况下才被允许开展;③被禁止或受限制的交易可能适用通用或特定“许可(license)”而被允许开展;④任何限制或禁止的要求均不适用于“豁免交易(exempt transactions)”。
不难看出,作为一般适用的基本规则,《行政命令》及相关文件禁止或限制了美国主体与受关注国家或受管辖主体之间涉及大规模敏感个人数据或政府相关数据的受管辖数据交易,除非该等交易构成豁免交易或基于许可获得了授权;但受限交易可以在满足安全要求的前提下开展(以下称“禁止/限制规则”)。我们从禁止/限制规则中汇总提取了4组关键要素:
1) 作为监管目标的数据——大规模敏感个人数据、政府相关数据;
2) 作为监管事项的交易——受管辖数据交易、具体禁令;
3) 开展交易的合规路径——安全要求、许可;
4) 作为监管对象的主体——美国主体、受关注国家与受管辖主体。
以下我们将围绕上述禁止/限制规则中的关键要素及相关概念,基于《行政命令》《司法部概况》与《预通知》等相关文本,对相关政策规则进行进一步解读。
2. 作为监管目标的数据
白宫在《行政命令》中将受管辖的数据类型限定在了“大规模敏感个人数据”与“政府相关数据”两类(在《行政命令》的语境下,二者均为“敏感个人数据”的子类别)并提供了基础的定义,美国司法部则在《司法部概况》与《预通知》为这两类数据提供了更加细致的定义与更加明确的范围。
(1) “敏感个人数据”
《行政命令》语境下的“敏感个人数据”主要被分为了六类,并同时提供了三类不构成敏感个人数据的情形作为对照参考;结合《司法部概况》与《预通知》中的梳理与细化说明,我们将相关定义总结如下表:
定性
类别
定义
构成敏感个人数据
受管辖的个人识别数据
具体列明的、与个人有合理关联的个人识别数据类别,这些数据可用于从数据集当中识别特定的个人,并且可以将多个数据集当中的数据与该特定的个人联系起来。
“受管辖的个人识别数据”包括:
相互结合的、列明的个人识别数据;与其他敏感个人数据结合的、列明的个人识别数据;与交易方根据交易披露的其他数据结合并使个人识别数据可被受关注国家利用的、列明的个人识别数据。“受管辖的个人识别数据”不包括:
单独的、列明的个人识别数据;未列明的个人识别数据的结合;仅与另一项人口统计或联系数据相关联的人口统计或联系数据(例如姓和名、出生日期、出生地、邮政编码、住宅街道或邮政地址、电话号码和电子邮件地址以及类似的公共账户标识符);仅与提供电信、网络或类似服务的另一网络标识符、账户验证数据或通话详情数据相关联的网络标识符、账户验证数据或通话详情数据。“列明的个人识别数据”清单:
完整或经过截断处理的政府身份证号或账号——如,社会安全号、驾照或州身份号、护照号或外国人注册号;与金融机构或金融服务公司相关的完整金融账号或个人识别码;基于设备或硬件的标识符——如,国际移动设备识别码(IMEI)、媒体访问控制(MAC)地址或用户身份模块(SIM)卡号码;人口统计或联系数据——如,姓名、出生日期、出生地、邮政编码、住宅街道或邮政地址、电话号码和电子邮件地址以及类似的公共账户标识符;广告标识符——如谷歌广告标识符、苹果广告标识符或其他移动广告标识符(MAID);账户验证数据——如,账户用户名、账户密码或安全问题答案;基于网络的标识符——如,互联网协议(IP)地址或 Cookie数据;呼叫详情数据——如,客户专有网络信息(CPNI)。相互结合的、列明的个人识别数据
定义
任何与其他列明的个人识别数据相关联的个人识别数据,除了:
仅与其他人口统计或联系人数据相关联的人口统计或联系人数据;以及仅与其他网络识别符、账户验证数据或通话详情数据相关联的网络识别符、账户验证数据或通话详情数据,且为提供电子通讯、网络或类似服务所必需。判断标准
在单个受管辖数据交易中,或在相同或相关当事方之间的多个受管辖数据交易/中,所涉及的(各项)个人识别数据能够与同一个特定的人相关联,则该等个人识别数据被视为“相关联的”。如果需要其他与受管辖数据交易不相关的识别数据才能将特定识别数据与同一特定人联系起来,则不认为该等特定识别数据不被视为“相关联的”。不包括未列明的数据类型间的相互结合
就业经历;教育经理;组织成员资格;犯罪记录;或上网浏览记录。与交易方根据交易披露的其他数据结合并使个人识别数据可被受关注国家利用的个人识别数据
示例
连接到位于特定政府建筑中的某一美国快餐餐厅无线网络的所有设备的MAC地址(未提供任何其他列明的个人识别数据或敏感个人数据)。具备性少数群体身份的美国现役军官的全名(未提供任何其他列明的个人识别数据或敏感个人数据)。地理位置数据及相关传感器数据
仅包含精确地理位置数据,即基于电信号或惯性传感单元,识别到特定个人或设备的物理信息在特定距离进度范围(具体精度标准待美国司法部进一步明确)内的实时或历史数据。
生物识别数据
用于识别或认证特定个人的、可测量的物理特征或行为,包括面部图片、声纹信息、视网膜与虹膜扫描、掌纹与指纹、步态、键盘使用习惯,该等数据在生物识别系统中进行了注册且由该系统生成了数据模板。
生物组学数据
由人类生成的表征或量化人类生物分子的数据,如人类基因组数据、表观基因组数据、蛋白质组数据、转录物组数据、微生物组数据或代谢组数据,目前阶段仅包含人类基因组数据。
人类基因组数据指代表构成细胞中整套遗传指令或子集的核酸序列的数据,包含了个人基因测试的结果。
个人健康数据
即“可识别个人身份的健康信息”,指从个人收集的任何信息,包括人口统计信息,这些信息:
由医疗保健提供者、医疗保险计划、雇主或医疗保健结算中心创建或接收;与个人的过去、现在或将来的身体或精神健康或状况、与为个人提供医疗保健服务有关,或与为个人提供医疗保健的过去、现在或将来的支付有关;并且可识别个人身份,或有合理依据认为该信息可以用于识别该个人。个人金融数据
有关个人信用卡、签账卡或借记卡或银行账户的数据,包括购买和付款记录;银行、信贷或其他财务报表中的数据,包括资产、负债和债务以及交易,或信贷或“消费者报告”中的数据。不构成敏感个人数据
可以合法向公众公开的公共记录数据
如,法庭记录及其他政府记录。
IEEPA的个人通信例外所包含的数据
不涉及有价物转让的任何邮政、电报、电话或其他个人通信。(IEEPA总统授权的个人通信例外,50 U.S. Code § 1702(b)(1))
IEEPA的信息材料例外所包含的数据
任何信息或信息资料,包括但不限于出版物、电影、海报、唱片、照片、缩微胶卷、缩微胶片、磁带、光盘、CD ROM、艺术品和新闻电讯,不论其格式或传播媒介如何。(IEEPA总统授权的信息资料例外50 U.S. Code § 1702(b)(2))
表2 敏感个人数据
(2) “大规模”敏感个人数据的门槛
《预通知》则基于预先风险评估的方式对“大规模”的门槛提供了对应不同个人敏感数据类别的范围(每类数据均包含“低门槛”与“高门槛”两个数值):
敏感个人数据类型
“大规模”门槛范围
低门槛
高门槛
受管辖的个人识别数据
超过1万名美国人
超过100万名美国人
地理位置数据及相关传感器数据
超过100部美国设备
超过1万部美国设备
生物识别数据
超过100名美国人
超过1万名美国人
生物组学数据
超过100名美国人
超过1000名美国人
个人健康数据
超过1000名美国人
超过100万名美国人
个人金融数据
超过1000名美国人
超过100万名美国人
表3 大规模敏感个人数据的门槛
上述门槛数量中的“美国设备(U.S. device)”被美国司法部定义为“任何与一位美国人关联或存在关联可能性的设备”。需要注意的是,《司法部概况》中强调“大规模”数据的门槛仅适用于敏感个人数据的监管触发;而针对美国政府相关数据,美国司法部会不区分数量地进行全面监管。
美国司法部基于上述门槛范围明确了“大规模敏感个人数据”的定义,即“美国人有关的任何格式的数据集合或数据集,无论这些数据是否是匿名的、假名的、去身份化的还是加密的,且该等数据在过去12个月的任一时间点,无论是通过单一的受管辖数据交易,还是以涉及同一外国人或受管辖主体的受管辖数据交易的集合之方式,达到特定门槛”。
(3) “政府相关数据”
《行政命令》将美国政府相关数据定义为“具有被受关注国家利用以损害美国国家安全的高度风险的敏感个人数据,无论其数量多少”。针对政府相关数据的具体规定,我们将相关内容总结如下表:
类别
定义
示例
政府人员关联数据
交易方认为与美国政府(包括军队和情报部门)现任或前任雇员、现任或前任承包商、前任高级官员相关联或存在关联可能性的任何敏感个人数据,无论数量多少。
一家美国公司在销售一组敏感个人数据的广告中称,这些数据属于“现役”人员,“喜欢阅读的军人”,“国防部”人员,“政府雇员”或“与附近军事基地关系密切的社区”。
政府人员识别数据
与可用于识别联邦政府(包括军队和情报部门)现任或前任雇员、现任或前任承包商、前任高级官员身份的数据类别相关联的敏感个人数据,无论数量多少。
一家美国公司在与外国交易方就出售一组敏感个人数据进行讨论时,将这组数据描述为属于一个特定组织的成员,而该组织的成员仅限于现役和退役军人及其家属。
政府精确位置数据
特定地理围栏区域清单中列举的任何区域内,与军事、其他政府或其他敏感设施或地点相关的任何位置的任何精确地理位置数据,无论数量多少。
N/A
表4 政府相关数据
3. 作为监管事项的交易
《行政命令》将“交易”定义为“获取、持有、使用、转让、运输或进出口任何外国或外国公民在其中拥有任何利益的财产”的行为,并明确了“涉及大规模敏感个人数据或与美国政府有关的数据,对美国国家安全构成不可接受风险的交易”应受限制或禁止。《预通知》则在此基础上将更为具体的“受管辖数据交易”的概念定义为“任何涉及美国大规模敏感个人数据或美国政府相关数据的交易,且该交易也涉及:①数据经纪;②供应商协议;③劳动协议;或④投资协议。”
值得注意的是单词“涉及(involve)”在此处的多次使用,说明了《行政命令》相关政策规则体系下的“受管辖数据交易”不仅限于直接进行数据交互的交易活动(如,数据经纪),也包括了可能产生数据访问风险的其他交易活动(如,供应商协议、劳动协议、投资协议)——这一结论也在《预通知》针对各类受管辖数据交易提供的类型示例中得到了充分的证明——而在《行政命令》的语境下,前述有关风险主要是指受关注国家或受管辖主体访问美国大规模敏感个人数据或政府相关数据的风险。如果使用数据合规实务领域常用的概念来理解,《行政命令》的“受管辖数据交易”实质上覆盖了各类针对大规模敏感个人数据或政府相关数据的、向受关注国家或受管辖主体进行的共享、转移、委托处理、授权访问的行为,以及直接或间接产生受关注国家或受管辖主体访问大规模敏感个人数据或政府相关数据可能性的其他特定交易行为。
受管辖交易行为定义如此宽泛,虽然会受到豁免交易、交易许可及数据范围的三重限制,但仍然可以预期相关规则在具体落实时可能存在较广的灰色地带,给执法机关留下比较大的自由裁量权。
(1) 数据交易的分类监管
针对数据交易的监管,《预通知》中采取了分类监管的策略,将交易分为禁止交易、受限交易与豁免交易。根据《司法部概况》与《预通知》,我们将相关数据交易分类与规则总结如下:
分类
具体情形
分类规则
禁止交易
数据经纪
定义
出售、许可访问或涉及从任何主体(提供者)向任何其他主体(接收者)转移数据的类似商业交易,且接收者并未直接从与所收集或处理的数据有关联或存在关联可能性的个人处收集或处理数据。
示例
一家美国公司向总部位于受关注国家的实体出售大规模的美国敏感个人信息。一家美国公司与受管辖主体签署协议并向该主体授权访问美国公司持有的政府相关数据。一家美国组织运营大规模美国敏感个人信息的数据库,并向受管辖主体收费提供年费会员以访问该数据库中的数据。基因组数据交易
定义
涉及转让大规模人类基因组数据或可从中提取此类数据的生物样本的基因组数据交易。
受限交易
供应商协议
定义
除劳动协议之外的任何协议或安排,根据该等协议或安排任何主体向任何其他主体提供商品或服务(包括云计算服务)以获取付款或其他对价。其中,云计算服务被定义为与提供或使用“云计算”相关的服务,包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)。劳动协议
定义
任何协议或安排,根据该等协议或安排除独立承包商外的个人直接为某主体工作或履行工作职能以换取报酬或其他对价,包括在董事会或委员会中的任职、执行级别的安排或服务,以及业务级别的劳动服务。
投资协议
定义
任何协议或安排,根据该等协议或安排任何主体为获取付款或其他对价获取与下列资产有关的直接或间接的所有权益:①位于美国境内的不动产;②美国法律实体。美国司法部正在考虑从作为受限交易的范围中排除:①特定类别的各类被动投资,②对投票权与股权利益的影响低于特定最低门槛的投资行为,以及③未给投资者带来超出合理认定的标准少数股东保护的权利的投资行为。豁免交易
涉及特定类别数据的交易
IEEPA总统授权的个人通信例外——不涉及有价物转让的任何邮政、电报、电话或其他个人通信。(50 U.S. Code § 1702(b)(1))IEEPA总统授权的信息资料例外——任何信息或信息资料,包括但不限于出版物、电影、海报、唱片、照片、缩微胶卷、缩微胶片、磁带、光盘、CD ROM、艺术品和新闻电讯,不论其格式或传播媒介如何。(50 U.S. Code § 1702(b)(2))联邦政府的官方业务交易
定义
由美国政府雇员、资助者或承包商进行的美国政府官方业务的交易,以及根据与美国政府签订的赠款、合同或其他协议进行的交易。具体而言,官方业务交易包含为了以下事项开展的交易:
美国政府雇员、资助者或承包商进行的美国政府的官方业务;任何美国政府部门或机构的授权活动(包括由联邦储蓄机构或信用合作社监管机构以接管人或保守者身份执行的活动);或根据与美国政府签订的赠款、合同或其他协议进行的交易。金融服务、支付处理及监管合规相关的交易
定义
通常作为提供金融服务的一部分,包括银行、资本市场与金融保险服务;或是为了遵守联邦法律或监管要求所必需,包括实施这些要求的任何规定、指导或命令。
作为业务运营一部分的实体内部的交易
定义
通常与美国跨国公司内部辅助业务运营相关且作为其一部分的交易,具体包括:
美国主体及其位于受关注国家(或从属于该受关注国家的所有权、指示、管辖或控制)的子公司或附属公司之间的交易,通常是跨国公司内部辅助业务运营的一部分(例如,出于人力资源目的共享员工的个人识别数据;薪酬交易,如支付给海外员工或承包商的工资和养老金;支付商业税费;购买商业许可证或执照;以监管合规和风险管理为目的与审计师和律师事务所共享数据)。联邦法律或国际协议要求或授权的交易
示例
乘客舱单信息交换国际刑警组织协助请求公共卫生监管表5 数据交易的分类
(2) 数据交易的具体禁令
针对具体的禁止措施,美国司法部在《预通知》中提出了针对受管辖数据交易的五类具体禁令,并计划在后续规定中予以进一步落实。我们将相关内容总结如下:
禁令事项
禁令规则
通用数据交易禁令
除非规定中另有授权,美国主体不得在明知的情况下参与同受关注国家或受管辖主体的受管辖数据交易。
数据再传输禁令
除非规定中另有授权,美国主体不得在明知的情况下参与同外国主体间涉及数据经纪活动的受管辖数据交易,除非美国主体通过合同的方式要求该外国主体不得参与同受关注国家或受管辖主体间涉及相同数据的受管辖数据交易。
基因组数据与生物样本禁令
除非规定中另有授权,美国主体不得在明知的情况下参与同受关注国家或受管辖主体的受管辖数据交易,如果该等数据交易使得该等受关注国家或受管辖主体能够访问由人类基因组数据(或可从中获取人类基因组数据的人类生物样本)组成的美国大规模敏感个人数据,且在过去12个月的任何时候,无论是在单个受管辖数据交易中还是在各受管辖数据交易的集合中,其所涉及的美国人的数量均超过特定门槛。
不完整及边缘违规禁令
(美国司法部在考虑制定规则以)禁止规避、造成违规、未遂和共谋行为。
规避规定适用禁令
(美国司法部在考虑制定规则以)禁止美国主体在明知的情况下指示境外主体开展特定的受管辖数据交易(包含未遵守安全要求的受限交易),该等交易如果由美国主体参与则会被禁止。
- “指示”指该美国人有权(单独或作为团体的一部分)代表外国实体做出决定,并行使该权力命令、决定或批准某项交易。
表6 数据交易的具体禁令
值得注意的是,上述禁令中使用的“明知(knowingly)”的措辞将禁令的适用范围限制在了“知道或应当知道交易情况”的美国主体,判断所参考的要素包括①外国主体结构的相对复杂程度,②交易所涉及数据的规模与敏感性,以及③(根据相关事实)交易各方是否以及在何种程度上试图规避规则的适用。根据目前披露的信息,美国司法部并不要求美国主体在与任何外国主体签订协议或开展其他类别的数据交易时对这些外国主体的背景信息及雇佣行为进行尽职调查,以确定其是否构成受管辖主体;但这一措辞明确禁止了美国主体在明智的情形下逃避或规避禁令的行为,包括以试图规避这些禁令的方式构建交易。
4. 开展交易的合规路径
(1) 受限交易的安全要求
针对受限交易,《行政命令》要求其满足特定的安全要求作为前提,以缓释其所产生的受关注国家及受管辖主体访问大规模敏感个人数据或政府相关数据的风险。《司法部概况》中强调,该等安全要求旨在降低风险,并可能包括网络安全措施,如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化,以及隐私保护技术的使用等。
基于上述要求,《预通知》规定了必要的安全要求基本事项,包括:
1) 落实组织网络安全基本态势要求;
2) 在开展受管辖数据交易时遵守下列条件——
① 数据最小化与掩码措施;
② 使用隐私保护技术;
③ 开发用于组织非授权披露的信息技术系统;
④ 落实逻辑与物理访问控制措施;
3) 满足特定合规相关的条件,如设置独立审计人员按以开展对于上述要求落实情况的测试与审计。
(2) 数据交易的许可制度
基于目前美国司法部披露的信息,《行政命令》下的数据交易许可制度可能基于外国资产控制办公室(Office of Foreign Assets Control, OFAC)的许可制度修改而来,并同样会包括“通用许可(general licenses)”与“特定许可(specific licenses)”,用于批准禁止或受限的受管辖数据交易。
通用许可是对于特定类别交易的全面授权,相当于在对于受管辖数据交易的禁止/限制规则下创设一个例外性的授权,为美国司法部提供了灵活的调整空间,以应对政策需求的变化。援引通用许可开展数据交易的美国主体无需自行进行申请,而只需根据美国司法部对于通用许可的相关规定提交报告与声明,并根据相关要求在交易进行过程中进行充分披露;如果未能履行充分披露义务,则给予通用许可的授权可能面临失效,并同时导致相关交易活动构成对于规定中禁令的违反,相关主体可能面临执法机构制裁的风险。
特定许可是由参与特定受管辖数据交易的特定美国主体主动申请的、一事一议的专项授权,美国主体需要填写并递交各类申请文件以申请特定许可,并可能同样需要遵守通用许可中的持续性披露的义务(如,持续提供有关授权开展的数据交易的报告)。美国司法部目前在针对特定许可考虑要求任何获得特定许可进行大规模敏感个人数据或政府相关数据交易的主体必须在可行的范围内提供保证,确保根据此类交易转移的任何数据都可以恢复、不可逆地删除或以其他方式使其失效。
在上述许可机制外,公司和个人还可以依据法规对特定交易的适用性征求美国司法部(或其他有关部门)的咨询意见。
5. 作为监管对象的主体
上文已提及,《司法部概况》将受关注国家限定在了中国(含中国香港与中国澳门),俄罗斯,伊朗,朝鲜,与委内瑞拉。在此基础上,《行政命令》《司法部概况》及《预通知》对于受管辖主体及美国主体进行了进一步规定,总结如下:
受管辖主体
美国主体
① 被受关注国家直接或间接持股50%或以上,或在受关注国家组建、注册或设有主要营业地的实体。
任何美国公民、国民或合法永久居民;
任何以难民身份进入美国或获得庇护的人;
任何仅根据美国法律或美国管辖权范围内的适用法律组建的实体;
任何位于美国境内的主体。
② 被属于第①类的实体,或属于第③类、第④类、第⑤类的个人,直接或间接持股50%以上的实体。
③ 作为受关注国家或属于第①类、第②类、第⑤类的实体的员工或供应商的外国人。
④ 主要居所地位于受关注国家领土管辖范围内的外国人。
⑤ 被美国司法部长指认为由某受关注国家拥有或控制,或受其管辖或指示,代表或声称代表某受关注国家或其他受管辖主体行事,或在知情的情况下直接或间接导致或指示违反《行政命令》或用于落实《行政命令》的任何法规的任何人。
表7 受管辖主体的范围
《行政命令》的管辖分析:与其他监管机制的协调联动
《行政命令》中要求美国司法部在制定规则时考虑与其他联邦政府实体的协调,被提及的联邦政府实体包括美国财政部(the Department of the Treasury)下辖的美国外国投资委员会(Committee on Foreign Investment in the United States, CFIUS)与外国资产控制办公室(Office of Foreign Assets Control, OFAC),美国商务部(the Department of Commerce)下辖的工业及安全局(Bureau of Industry and Security, BIS),以及负责落实第13873号行政命令、第14034号行政命令以及第13913号行政命令的其他联邦政府实体。根据美国司法部在《预通知》中的判断,在其他相关行政命令下,现有的授权规则尚未针对以下风险提供前瞻性的分类规则:由美国主体与受关注国家或受管辖主体间的交易所带来的国家安全风险,该等风险由于使受关注国家有机会获取美国的大规模敏感个人数据或政府相关数据而构成不可接受的风险。因此,美国司法部目前不认为《行政命令》与《预通知》下的政策会与现有授权规则存在重大重合。
作为以上结论的唯一例外,在《行政命令》下涉及投资协议的受管辖数据交易,由于其可能落入《美国法典(United States Code)》第50章第4565条定义的“受管辖数据交易”的定义范围,也可能会受到CFIUS跨境交易执法权力的管辖。针对这一管辖范围重叠与管辖权冲突的潜在风险,美国司法部在《预通知》中提出了一套管辖礼让的制度设想,即:
1) 在默认状态下,美国司法部对涉及投资协议的受管辖数据交易进行独立监管,适用《行政命令》《预通知》(即后续规定文件)中的规则;
2) 如果CFIUS采取了包括临时命令、缓解协议,以及根据命令或缓解协议作出的终止行动决定在内的各类缓解措施,以解决由受管辖交易所产生的国家安全风险,则司法部在《预通知》内规划的规则将不再适用于收到CFIUS缓释措施影响的相关交易;
3) 即便出现了第2)项涉及的情形,参与受管辖交易的美国主体仍需完全遵守《预通知》中规划的合规要求。
此外,美国司法部也在《预通知》中列举了部分不会落入CFIUS管辖范围的、涉及投资协议的场景,包括:
1) 涉及的数据为低于CFIUS的100万人门槛的敏感个人数据或无法识别的数据的非控制性投资;
2) 相关风险与CFIUS管辖范围内的交易有关但并非作为其结果而产生;
3) 在投资协议签订后,但在相关主体向CFIUS申报相关交易前(同时也在相关交易成为CFIUS缓解措施的对象之前)可能出现的时间差。
结语
由于对《行政命令》的落实极为重要的美国司法部规则尚处于通过“拟议规则制定预通知(Advance Notice of Proposed Rulemaking, ANPRM)”征集意见的阶段,美国司法部预计会根据公众对于ANPRM的意见反馈再行制定更加成熟的“拟议规则制定通知(Notice of Proposed Rulemaking, NPRM)”,并根据公众对于NPRM的再次反馈制定最终规则(final rules)并发布在联邦法规汇编(Code of Federal Registration, CFR)上。
前述过程往往需要一定的时间来逐步推进,因此我们建议相关从业企业在等待“靴子落地”的过程中密切关注政策内容更新、相关政策变化及行业头部企业的表态,不断强化对相关政策思路与规则的感知,为后续实际合规行动做好准备。
脚注:
1.https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/ (last visited March 6, 2024).
2.https://www.uscib.org/uscib-content/uploads/2019/06/USCIB-WTO-E-Commerce-Recommendations.pdf (last visited March 6, 2024).
3.https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf (last visited March 6, 2024).
4.https://www.globalcbpr.org/wp-content/uploads/Global-CBPR-Declaration-2022.pdf (last visited March 6, 2024).
5.https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0487 (last visited March 6, 2024).
6.https://www.dataprivacyframework.gov/ (last visited March 6, 2024).
7.https://www.federalregister.gov/documents/2021/06/11/2021-12506/protecting-americans-sensitive-data-from-foreign-adversaries (last visited March 6, 2024)
8.https://www.reuters.com/world/us/us-drops-digital-trade-demands-wto-allow-room-stronger-tech-regulation-2023-10-25/ (last visited March 6, 2024).
9.https://www.federalregister.gov/documents/2024/01/29/2024-01580/taking-additional-steps-to-address-the-national-emergency-with-respect-to-significant-malicious (last visited March 6, 2024).
10.https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related (last visited March 6, 2024).
11.https://www.brennancenter.org/our-work/research-reports/declared-national-emergencies-under-national-emergencies-act (last visited March 6, 2024).
12.https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/ (last visited March 6, 2024).
13.https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/message-to-the-congress-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/ (last visited March 6, 2024).
14.https://www.justice.gov/opa/media/1340216/dl (last visited March 6, 2024).
15.https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and (last visited March 6, 2024).
16. 基于本文的分析目的,《行政命令》中的授权与指令虽然与受管辖主体所面对的落实规则不直接而相关,但由于其包含对联邦行政部门规则制定行为的限制与指引,在最终落地规则尚未完全明晰,且缺乏任何相关的监管实践与解读的情况下,授权与指令规则为理解政策的倾向、范围与基线提供了支持与证据。
作者:
孟洁 《互联网法律评论》特约专家、北京市环球律师事务所合伙人
赵姝 北京市环球律师事务所
杜畅 北京市环球律师事务所
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。
