随着全球化的不断深入和信息技术的飞速发展,数据跨境传输已成为数字时代的关键议题之一。不同于欧盟对个人数据的严格保护,美国长期以来倡导数据自由跨境规则,强调个人数据充分自由地跨境流动和数据跨境传输制度的“兼容性”。然而,这一政策立场可能在美国政府发布行政令后发生重大转变,美国数据跨境监管趋势将由宽转严。我们旨在通过对本次行政令的解读,为涉美企业提供合规预警,并且强烈建议企业高度关注此法案对于公司日常业务开展可能带来的冲击。
一、美国首次针对个人敏感信息跨境传输制定规则
美东时间2024年2月28日,美国总统拜登签发了一项《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》(Executive Order on Preventing Access to Americans Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,以下简称“行政令”)。
行政令授权美国司法部采取系列措施防止美国人的个人数据被大规模传输到受关注国家(countries of concern),并为其他可能使这些国家访问美国人敏感个人数据的活动提供保障措施。
与此同时,美国司法部发布了《规则制定提案的预先通知》(Advance Notice of Proposed Rulemaking, ANPRM)相关的事实摘要(Fact Sheet),概述了行政令中的重要内容,并对常见问题进行了解答。
二、关键内容
(一)向哪些国家传输将受到限制?
行政令要求制定相关规则条例,以防止大规模传输美国个人敏感数据至受关注国家。目前,根据美国司法部发布的信息,ANPRM将考虑确定六个受关注国家,即中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
1. 向非受关注国家传输数据是否受限?
值得注意的是,为避免个人数据传输到非受关注国家之后,“再出口(re-exported)”到受关注国家,ANPRM可能针对美国与非受关注国家之间的数据交易(关于数据交易的含义和范围,详见本文“(四)哪些数据交易将受到管制?”)采取监管措施。
(二)哪些主体将受到管制?
类似于2022年9月美国白宫发布第14083号总统行政命令,美国外国投资委员会(CFIUS)对海外并购审查重点审查主体范围,本次行政令也关注对应实体或个人是否具备受关注国家背景或存在联系。具体而言,行政令界定了四类受管制人员(covered persons),包括:
- 由受关注国家拥有、控制,或受其管辖、指示的实体;
- 作为此类实体的雇员或承包商的外国人;
- 作为受关注国家的雇员或承包商的外国人;
- 主要居住在受关注国家领土管辖范围内的外国人。
此外,行政令还授权司法部长指定任何人补充为受管制的人员类别,如果该实体或个人由受关注国家拥有、控制,或受其管辖、指示,或代表受关注国家或另一个受管制人员行事。
(三)哪些数据受到管制?
1、敏感个人数据
根据行政令,敏感个人数据(sensitive personal data)涵盖个人标识符、地理位置及相关传感器数据、生物识别标识符、个人健康数据、人类基因组数据、个人财务数据,或者任何这些数据的组合。如果该数据与任何可识别的美国个人或一组特定的可识别的美国个人相关联或者可关联,则可能被受关注国家利用并会损害美国国家安全。司法部计划在稍后公布的规定中,进一步细化完善上述六类敏感个人数据的涵盖范围。
值得注意的是,公开记录中的数据、个人通讯、视频、艺术作品或出版物等不会被认定为敏感个人数据。同时,行政令也对敏感个人数据的监管设置了门槛。具体而言,只有交易超过规定的批量门槛(bulk thresholds)的情况下,即交易涉及一定数量的美国人或美国设备时,才会对六类敏感个人数据的指定类别的数据交易进行规制。具体门槛有待美国司法部在后续法律文件予以明确。
2. 美国政府相关数据
美国政府相关数据(U.S. Government-related data)是指可能被受关注国家利用以损害美国国家安全的、具有高度风险的敏感个人数据,如敏感政府部门的地理位置数据、联邦政府雇员的相关数据。此类数据无论数量多少,都将受到严格限制和规范。
(四)哪些数据交易将受到管制?
司法部即将发布的 ANPRM 预计禁止两种高度敏感的数据交易类别:
- 数据经纪交易(data-brokerage transactions)
- 涉及批量人类基因组数据或可从中提取此类数据的生物样本的基因组数据交易(genomic-data transactions involving the transfer of bulk human genomic data or biospecimens from which such data can be derived)
另有三类数据交易可能受到限制:
- 涉及商品和服务提供的供应商协议,包括云服务协议(vendor agreements involving the provision of goods and services including cloud-service agreements)
- 雇佣协议(employment agreements)
- 投资协议(investment agreements)
(五)哪些数据交易可以豁免?
行政令与 ANPRM 将考虑对数据交易进行多项全面豁免,以下交易将被排除在监管范围之外:
- 金融服务、支付处理和监管合规的通常组成部分,如银行、资本市场或金融保险活动;
- 美国跨国公司内部辅助业务运营的通常组成部分,例如工资和人力资源;
- 美国政府及其承包商、雇员和受赠者的活动,例如联邦政府资助的健康和研究活动;
- 联邦法律或国际协议要求或授权的交易,例如交换乘客名单或国际刑警组织的请求。
(六)违规后果
司法部表示对违规者的处罚仍在考虑之中,但预计将包括《国际紧急状态经济权力法》(IEEPA)规定的“民事和刑事补救措施”。根据现行美国法律,IEEPA 的制裁措施包括最高 1 万美元的民事处罚,以及最高 25 万美元和 10 年监禁的刑事处罚。针对任何特定违规行为,具体处罚将取决于违规行为的事实和情节,如合规计划的充分性。
(七)重点关注领域
根据行政令,以下三个行业领域将迎来一系列针对性的措施,以解决数据安全风险:
- 电信基础设施
- 医疗健康
- 数据中介
三、给企业的提示和建议
本次发布的行政令被视为美国政府保护数据安全和国家安全的重要举措,预示着美国在数据跨境流通问题上的立场转变和政策调整。在美国限制数据流通的背景下,出海企业的合规工作必将面临艰巨的挑战,建议涉美业务的中国企业及时采取应对措施降低合规风险,具体从以下几方面着手:
其一,及时跟进美国相关监管机构的立法动态。目前,行政令中的规定较为粗略模糊,大量的关键概念和重要制度有待明确。后续美国司法部将公布ANPRM,初步说明实施规定的框架和内容,并向公众征求建议。建议企业密切关注后续发布的规则、条例、标准、解释性指南等,明确敏感个人数据类型、批量门槛数值、限制数据交易类型等关键概念,了解尽职调查要求、管制豁免条件,以便于快速更新和调整企业数据合规策略。
其二,盘点企业数据情况,梳理数据跨境流向。建议企业充分利用现有的数据合规管理架构,如首席数据官、数据合规委员会等,组织开展数据资源盘点梳理工作。以数据字段为单位,调查每类字段的具体数量、数据类型、收集来源、储存位置、内部流转情况、境外传输情况等。其中,重点关注数据是否流向受关注国家,数据类型是否涉及敏感因素,以及数据数量是否达到较大量级。在此基础上,制作全面、细致的数据清单或数据映射图,为制定数据合规计划奠定基础。
其三,开展数据跨境传输合规评估,完善数据跨境传输机制。建议企业围绕数据跨境传输机制的合规性和有效性开展评估,审查政策指引的制定情况和执行情况,评估内容应包括数据出境管控流程、数据安全事件处置等。同时,排查企业日常运营过程中的数据合规风险。根据评估报告结果,完善企业内部数据跨境传输机制,以保障业务稳定开展和企业可持续发展。
附录:
1.《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》|原文链接:
2.《规则制定提案的预先通知》(Advance Notice of Proposed Rulemaking, ANPRM)相关的事实摘要(Fact Sheet) |原文链接:
https://www.justice.gov/opa/media/1340216/dl
来源:通商律师事务所
作者:
- 郭小明,合伙人,深圳办公室;业务领域:合规与政府监管,知识产权,商事诉讼,商事仲裁;邮箱:guoxiaoming@tongshang.com
- 黄嘉洁
- 陈奕竹
特别声明:本文和其内容仅代表作者本人观点,不视为通商律师事务所或其律师的法律意见或建议。