进群交流
扫描文末二维码添加客服验证入群
活动报名
线上直播|涉外法律实务系列分享
课程报名
新公司法理解与适用研习班-深圳站
文章来源:中伦视界
作者:蔡鹏 胡云浪
2024年2月28日,依据美国宪法以及《国际紧急经济权力法》和《国家紧急状态法》等的授权,拜登政府发布《关于防止受关注国家获取美国人大规模敏感个人数据及美国政府相关数据的行政命令》(“《行政令》”),拟禁止受关注国家(中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗)访问大量美国人的敏感个人数据。
同时,《行政令》计划由美国司法部主导,与国土安全部、国防部和卫生及公共服务部等部门协作,共同制定一系列涉及敏感个人数据领域的综合性立法和执法措施,以对涉及该类数据的交易进行管控,覆盖受控数据、主体及交易等各方面。
根据该《行政令》,美国司法部分别于28日与29日制作并发布了针对性的《情况说明》与《拟议立法的非官方征求意见稿:关于受关注国家访问美国人大规模敏感个人数据及政府相关数据的规定》(“《征求意见稿》”或“新政”),这些文件围绕受控数据类型、数据主体、受控交易及交易双方等关键议题提出了拟议的规制措施,旨在强化美国国家安全。
本文旨在对新政内容进行分析,以帮助中国出海企业了解美国对于敏感数据跨境的政策趋势,以做好相关的应对和防范措施。
一、哪些交易行为会落入禁止之列
首先,《征求意见稿》将“交易”定义为:涉及外国国家或其国民可能具有任何利益的任何财产的获取、持有、使用、转移、运输或出口,或对此类财产的任何交易活动。
哪些交易行为会被法案所规制?纵览新政,以下三种类型的“交易” 会成为规制重点,即:
  • 类型一:涉及大量美国人的敏感个人数据。
  • 类型二:涉及美国政府的数据。
  • 类型三:司法部长判定为可能使受关注国家或特定人员获取美国民众大量敏感个人数据或美国政府数据,因此对美国国家安全构成不可接受风险的特殊交易类型。
二、哪些交易主体会落入规制范围
《行政令》并不限制美国实体之间的交易,意味着美国实体均不会被视为规制主体。[2]从法案本身分析,规制的目标主要与受关注国家有关,并具有一定的扩展性。以下是法案所规定的五类规制主体:
  • 第一类:直接或间接由受关注国家拥有50%或以上股份的实体,或在受关注国家法律下组织或注册、或其主要营业地点在受关注国家的实体;
  • 第二类:由第一类规制主体或第三、第四、第五类规制主体直接或间接控制超过50%股权的实体;
  • 第三类:作为受关注国家、第一类、第二类或第五类规制主体的雇员或承包商的外国人;
  • 第四类:主要居住在受关注国家领土管辖范围内的外国人;
  • 第五类:被美国司法部长指定为由受关注国家拥有或控制,或受其管辖或指导的或构成其他情形的主体。
美国司法部有权根据《行政令》的授权,补充这些规制主体的类别,并指定符合条件的特定实体或个人为规制主体。美国司法部负责发布并定期更新一份非穷尽的名单,以明确其监管职责和保证规则的确定性。
三、如何判断和理解受规制的交易
我们认为,“交易”定义本身的宽泛性并不能掩盖法案对于规制目标的确定性。据此,我们将上述三类被禁止的交易逐一拆解:
1. 涉及大量美国人敏感数据的交易
(1)什么是敏感个人数据
敏感个人数据的类型具体包括六大类,即受控个人标识符号、位置信息与传感器数据、生物特征标识符、个人基因组信息、个人健康数据、个人金融数据。具体介绍如下:
  • 受控个人标识符号
依据《征求意见稿》,落入司法部所列举的受控个人标识符清单的标识信息,属于敏感个人数据。此类受控标识符信息至少需要被受关注国家或受控实体掌握两类及以上,即产生交叉关联的效果后,才能被视为新政所指的敏感个人数据。值得注意的是,以下几类不会被纳入:
(1)员工雇佣历史
(2)教育背景
(3)机构会员信息
(4)犯罪历史
(5)网页浏览历史
  • 生物特征识别符

《征求意见稿》明确将生物特征识别符定义为用于识别或确认个人身份的可测量的生理特性或行为,包括面部图像、声纹与声纹模式、视网膜与虹膜扫描、掌纹与指纹、步态以及基于生物识别系统所创建的行为模板而记录的键盘操作习惯。
  • 人类生物基因组学信息
即代表组成人类细胞中全部或部分遗传指令集的核酸序列数据,包括个人“遗传测试”的结果,以及任何相关的人类遗传测序数据。
  • 个人健康数据
依据《征求意见稿》,个人健康数据的内涵将与HIPAA法案所定义的“个人健康信息”(PHI)拉齐,即个人健康数据是指任何与个人的过去、现在或未来的身体或精神健康状况、医疗服务的提供或为医疗支付的费用相关的个人可识别健康信息,包括人口统计数据。
结合HIPAA的隐私规则(“Privacy Rules”)关于PHI标识符的规定,可以理解《征求意见稿》所规制的个人健康信息标识符必须包含以下字段:
姓名;地址(包括街道地址、城市、县和邮政编码,国家级别以下的所有地理分区);与个人相关的所有日期元素(年份除外),包括出生日期、入院日期、出院日期、死亡日期以及如果超过 89 岁的确切年龄;电话号码;传真号码;电子邮箱地址;社会保障号码;医疗记录号;健康计划受益人号码;账户号码;证书或许可证号码;车辆标识符和序列号,包括车牌号码;设备标识符和序列号;网络 URL;互联网协议(IP)地址;指纹或声纹;照片图像(照片图像不仅限于面部图像);或者任何其他可以独特识别个人的特征。
另外值得关注的是,《征求意见稿》在HIPAA的基础上扩大了个人健康数据的适用范围,相关限制性要求不再仅仅适用于特定主体或其商业伙伴(如医院、医疗保险供应商、医院电子病历供应商等)。
  •  个人财务数据
依据《征求意见稿》,个人财务数据指涉及个人信用卡、借记卡或银行账户的信息,包括购买与支付记录;银行、信用或其它金融报表中的数据,涵盖资产、负债、债务及交易信息;或信用报告或“消费者报告”中的信息。
结合我们对美国法的研究,“消费者报告”泛指消费者信用评估机构提供的、关于消费者的信用价值、信用状况、信用能力、人品、声誉、个人特性或生活方式的书面、口头或其他形式的信息报告。这类信息被整体或部分用于或预期将用于评估消费者在获取个人、家庭或家庭用途的信用或保险、就业机会时,作为考量因素。
(2)达到什么量级的涉敏感个人数据交易才被禁止
根据我们对新政的理解,只有“大量”的、涉及敏感个人信息的跨境才可能被禁止。这里的“大量”既包括数量级,也包括时间范围。具体如下表:
点击可查看大图
2. 涉及美国政府数据的交易
根据《征求意见稿》,“涉及美国政府的数据”必须包括以下两种特征:
(1)“敏感数据”,无论其量多少;
(2)司法部长认定敏感数据存在被受关注国家利用,从而对美国国家安全造成伤害的高风险。
根据新政,“敏感数据”指的是以下三种数据:
  • 与当前或近期前联邦政府雇员、承包商或前高级官员(包括军事人员)相关或可能相关的数据;
  • 与可用于识别当前或近期前联邦政府雇员、承包商或前高级官员(包括军事人员)的数据类别相关联;
  • 与特定敏感地点相关或可关联的数据。
除此之外,以下数据会被考虑认定为敏感数据:
  • 任何位于与军事、其他政府机关或其他敏感设施或地点相关的特定地理围栏区域列表(政府相关地点数据列表)内的任何精确位置数据;
  • 任何被交易方宣称与当前或近期前美国政府雇员、承包商或前高级官员(包括军事与情报界人员)相关或可关联的敏感个人数据。
我们分析后发现,新政中某些定义存在不一致的地方。如《征求意见稿》对于敏感个人数据的分类本就包含了“位置信息”,在明确两种与美国政府数据相关的两类情形时,司法部却强调的是“精确位置信息”。因此,有关概念仍需要待正式稿发布后才能确定。
3. 特殊类型的交易
《征求意见稿》将特殊交易类型定义为指任何涉及大量美国敏感个人数据或政府相关数据的交易,具体包括:数据经纪、供应商协议、雇佣协议、投资协议。这些协议涉及从任何提供方向接收方转移数据的商业交易;提供商品或服务换取付款的协议;个人为美国主体工作或提供服务的安排;以及直接或间接获得美国房地产或法律实体所有权利益的协议。
《征求意见稿》进一步将特殊交易类型划分为禁止的交易与受限制的交易。
根据此定义,禁止的交易必须包括全部以下特征:
(1)关注国家或关注国家的个体访问大量美国人的敏感个人数据或政府数据;
(2)该访问对国家安全构成不可接受风险;
(3)该访问行为构成受限制交易。
这里的“访问”包括:实际获得、读取、复制、解密、编辑、转移、发布、影响、改变状态或以其他方式查看或接收数据的能力,以及具备执行物理或逻辑访问的能力。
值得注意的是,受限制交易可以通过实施安全要求来降低其危害性,从而改变交易的属性而不被纳入禁止交易的范畴内。这些安全要求包括实施网络安全基本措施、采取数据最小化和屏蔽、使用隐私保护技术、开发防止未授权披露的信息技术系统、实施访问控制等。此外,安全要求还包括通过独立审计师进行的年度审计,以及可遵循的美国网络安全和基础设施安全局(CISA)的指南和美国国家标准与技术研究院(NIST)的框架。
值得特别注意的是,美国司法部目前在考虑是否仿照出口管制机构(OFAC),就上述禁止与受限交易设定一般许可与特殊许可,通过发放许可的方式允许特定主体跨境传输大量美国人的敏感个人信息。
四、豁免情形
根据《征求意见稿》,美国司法部就禁止跨境传输的法规框架设定了如下豁免情形:
点击可查看大图
五、对于有关政策的展望

拜登政府针对防止受关注国家获取美国人大规模敏感个人数据及美国政府相关数据的行政命令,体现了在数据保护领域内实施“长臂管辖”综合监管的明确意图。通过设定明确的管控交易类型及相关豁免情形,透露出浓厚的管制与制裁意味。然而,由于法规的最终形态仍处在各方利益的博弈中,具体如何平衡国家安全、个人隐私保护与数据自由流动之间的关系,目前还存在较大的不确定性。特别是考虑到《征求意见稿》在一些关键问题上可能与现有美国数据保护法律产生冲突。
以健康数据保护为例,《征求意见稿》在规制涉及敏感个人数据的交易时,似乎没有充分考虑到与HIPAA等现有法规的协调性。HIPAA对于去标识化后的个人健康信息(PHI)的处理提供了明确的指导,即按照其隐私规则去除18个标识符后的PHI,不再构成PHI。而《征求意见稿》则在处理匿名化、假名化或去标识化数据的立场上与HIPAA的尺度不一致。因此,我们认为《征求意见稿》的最终版本会进行相应的调整。 
六、出海企业的合规应对

对于国内的出海企业而言,《行政令》和《征求意见稿》带来的最大不确定性就在于因中国被列为受关注国家,而导致绝大多数的国内出海企业都会被框入受规制的主体。因此,国内企业应当特别关注其在美国的“交易”是否会被列入禁止或被限制的“交易”类型。当下而言,我们建议国内出海企业应当做好如下准备:
1. 就出海中涉处理数据类型进行尽调排查
企业首先需针对处理美国人的数据进行细致的梳理工作,识别出哪些数据属于《征求意见稿》中定义的敏感个人数据类别,如个人健康信息、生物特征识别符、个人财务数据等。其次,分析自己的交易场景是否落入豁免。最后,如果鉴别属于或可能属于被禁止或限制的“交易”,有关企业需要做出应对措施,以便《征求意见稿》正式生效时能迅速响应。
2. 分析交易类型与应用场景的合规性
鉴别交易是否落入《征求意见稿》中所描述的禁止或受限交易范畴,需要企业根据自身业务特点和应用场景,详细评估自身的数据处理活动,分析涉及敏感数据的交易类型。对于某些敏感行业(见下),以及那些在云计算、数据经纪、软件服务等领域的企业,更需仔细考量自身的服务是否涉及对敏感数据的处理和传输,从而触发特定的合规要求。
3. 关注特殊行业监管风险
针对从事金融、医疗以及在美TO C相关业务的企业,受到新政的影响会比较大。以医疗行业为例,针对涉及到国际临床试验、生物基因组数据收集和分析的公司,需特别警惕《征求意见稿》中对大规模敏感个人数据交易的限制。当企业处理的数据包括1000个以上美国人的生物基因组学数据时,此类数据交易即被视为高风险,极可能落入《行政令》所定义的第一类受限交易范畴。因此,企业在开展这类数据处理活动前,应进行严格的合规性评估,必要时寻求专业法律咨询,确保交易设计满足美国的合规要求,避免触发潜在的法律风险。
结语

《行政令》及其配套的《征求意见稿》标志着美国在数据跨境传输与国家安全的问题上将采取更为严格和审慎的立场。对出海企业而言,这不仅意味着必须对数据的管理和处理活动进行更细致的审查和调整,确保符合美国的新规定,还代表着出海企业必须积极适应这种不断变化的国际法律环境,通过加强数据合规机制和风险评估,确保其跨境业务的顺畅和合法。随着全球数据治理格局的演变,中国出海企业应将境外的数据合规应对提升至第一优先需要考量的层面,以确保其在海外的可持续发展,并在全球市场中保持竞争优势。
[注] 
[1] 详见:https://www.justice.gov/nsd/media/1340421/dl?inline
[2] 根据《行政令》,美国实体的定义具体包括:美国公民、国民或合法永久居民;作为难民进入美国或获得美国庇护的个人;仅在美国法律下或在美国境内司法辖区内成立的实体(或其外国分支机构);以及所有位于美国境内的主体。
推荐课程
随着全球化不断深入发展,以及复杂的地缘政治影响,目前中国企业走出去面临的国际商业经营环境日趋复杂,而且各国监管部门的合规监管执法力度不断加大,合规风险成为公司经营的重要风险。因此,WELEGAL法商学苑给大家准备了涉外法律实务系列分享,每晚19:30约定你:
文末彩蛋
扫码加入法盟社群  与同行交流
领跑一千万市场紧缺法商人才;
助法商人成为企业核心贡献者。
声明:我们尊重原创,也注重分享。本文版权归文章作者所有,仅代表作者观点,不代表本公众号观点,仅供学习参考之用。如需转载、节选,请联系作者授权。本文不用于商业用途,仅为学习交流之用,如文中的内容、图片、音频、视频等存在第三方的在先知识产权,请及时联系我们删除。
继续阅读
阅读原文