美国白宫于2024年2月28日,发布了美国总统拜登签署的一项新的行政命令*,这项行政命令指示美国司法部长和国土安全部等多个政府机构,发布新的限制措施,限制因被“关注国家”(“countries of concern”)获取,从而威胁国家安全的数据的交易。
如你所猜想,中国正在“关注国家“名单上。
一、这是否意味着,中国出海美国的企业必须实施数据本地化存储,无法再进行数据回传交流?
从命令的第一条内容来看,其依然注重数据安全及经济之间的平衡关系,因此,“本命令不授权实施一般性数据本地化要求,即将美国的大量敏感个人数据或美国政府相关数据存储在美国境内,或将用于处理美国的大量敏感个人数据或美国政府相关数据的计算设施定位在美国境内。本命令也不会广泛禁止美国个人进行商业交易,包括在销售商业货物和服务的过程中与位于或受到关注国家的实体和个人进行财务和其他数据交换,或实施旨在更广泛地削减美国与其他国家之间重要消费者、经济、科学和贸易关系的措施。”。同时,第二条g点第3款也提及:不得设立将大量敏感个人数据或美国政府相关数据存储于美国境内或将用于处理大量敏感个人数据或美国政府相关数据的计算设施设立在美国境内的普遍数据本地化要求。
由此可以看出,
1. 该命令并不要求进行数据必须进行本地化存储;
2. 限制的数据范围为:1)大量敏感个人数据;2)美国政府相关数据。
命令本身并未对“大量”(“bulk”)这个词框定阈值或范围,而是提出由司法部后续做具体规定。但对敏感个人数据在第7条有规定,即涉及个人标识符、地理位置和相关传感器数据、生物识别标识符、人类‘组学’数据、个人健康数据、个人财务数据或其任何组合,并可由司法部长根据命令第2条颁布的规定作出进一步定义。如果该数据与任何可识别的美国个人或一组明确可识别的美国个人相关联或可关联,可能被关注国家利用以危害美国国家安全的,也属于敏感个人数据范畴。此处的“个人” ,根据命令中的定义,则指美国公民、国民或合法永久居民,即持绿卡者。命令对敏感个人数据也有一些除外条款,如,在法院或其他政府公开记录的个人信息。
出海企业可以对照来看,数据传输的标的是否落入上述敏感个人数据的范围。
二、重点管控的数据传输交易
命令的第3条提及三类数据传输交易属于重点管控的范围:
1. 利用海底电缆将数据(包括大量敏感个人数据或美国政府相关数据)传输到外国管辖区域内的特定数据中心的,由于“关注国家”对此类访问风险的可能性进一步增加。为了应对这一威胁,美国电信服务部门应对由国家关注的国家所拥有、控制或受其管辖或指导的个人拥有或运营的海底电缆系统的现有许可证进行审查。
2. 美国医疗保健市场所涉个人健康数据和人类基因组数据。由国防部长、卫生和公众服务部长、退伍军人事务部长和国家科学基金会主任,对此类数据交易考虑采取措施。
3. 数据经纪行业,由于其大量收集、加工的个人敏感数据,由消费者金融保护局制定并提交相关提案,进行管制。
三、命令的影响
由该行政命令来看,命令旨在防止通过目前合法的数据经纪人、第三方供应商协议、雇佣协议和投资协议等交易获取大量个人敏感数据。行政命令涉及的行业活动,将使得中国的视频分享网站,如TikTok、拥有大量个人数据的电商网站和社交媒体平台,涉及数据分析和AI技术的公司和收集和分析DNA的生物技术公司等,其商业活动都属于被影响的范畴。
四、后续
欧洲有GDPR,我国有《数据安全法》及《个人信息保护法》。美国目前并没有专门的针对美国人个人信息出境的联邦法律,如果说有一定程度上限制个人信息自由出境的条款,则散见于《隐私法》(Privacy Act),《HIPAA法案》以及州法,如加州的《加州消费者隐私法》(California Consumer Privacy Act)等中对个人信息的使用和披露的限制方面。美国的此番行政命令,昭示了全球范围对个人数据和隐私保护日益增强的关注。
立法不易,是因为需要平衡国家安全、个人隐私和经济利益之间的复杂关系。美国总统签署的行政命令虽然本身并非法律,无需经过国会批准,但它具有类似法律的效力。且行政命令要求多个行业主管部门继续进一步出台相关的管控措施,这将对我国有数据入境需求的出海企业产生深远影响。因此,建议出海美国的中国公司,尤其是涉及上述行业处理大量美国人个人敏感数据的公司,与我们一起共同关注后续的具体合规要求。
*https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/
点击关注企业数据合规
🔻