本文梳理了美国“数据脱钩”最终规则下中资企业可能面临的合规风险,探索中资企业行之有效的合规应对策略。
当地时间2024年12月27日,美国司法部(U.S. Department of Justice)正式公布《防止受关注国家或受限制主体访问美国敏感个人数据和政府相关数据的相关规定》(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)的最终规则(以下简称
“最终规则”
),并将在刊登于《联邦公报》之日起90天后生效(部分义务将在270天后生效)。该最终规则来源于2024年2月28日拜登政府签署和发布的第14117号行政命令《关于阻止受关注国家获取美国人的大规模敏感个人数据及合众国政府相关数据的行政命令》(以下简称
“14117号行政令”
)。自此,美国历史上第一次从国家安全角度建立起全面数据跨境审查机制,打破其长期坚持的“数据跨境自由流动”国家立场。
本文旨在全面梳理最终规则项下中资企业可能面临的合规风险,探索在面对日益严峻的数据跨境流动监管压力之下中资企业行之有效的合规应对策略。
4117号行政令发布后,美国司法部分别于2024年3月和10月先后公布拟议规则的预通知和通知,广泛征求企业、组织、政府部门及外国合作伙伴的意见,在拟议规则基础上进行完善修改后形成最终规则。
最终规则的核心内容可概括为:禁止或限制
美国人
与
受关注国家和涵盖主体
开展与
美国政府相关数据和大量美国敏感个人数据
有关的
受涵盖的数据交易
(covered data transaction)
。以下是结合最终规则内容梳理后的关键示意图:
结合适格主体(美国人)在实际遵守最终规则中可能面临的核心问题和辨识要点,做如下梳理。
1、如何判断交易是否适用最终规则?
最终规则序言部分第202.216条“生效日期”中明确最终规则仅适用于在生效日期及之后进行的受涵盖的数据交易,不具备追溯力。但需要明确的是,所谓“进行受涵盖的数据交易”并非以相应数据交易协议签署日期判断,而是以实际开展的数据转移行为时间判断。即,即使数据交易合同在最终规则生效日期之前签署,但生效日期之后发生的交易仍需适用最终规则。
2、如何识别交易对方是否构成“涵盖主体”?
最终规则第202.211条明确了涵盖主体类型,包含由受关注国家或涵盖主体直接或间接、单独或合计持有50%及以上股份的实体;或依据受关注国家法律设立的实体;或主要营业地位于受关注国家的外国实体;作为受关注国家或涵盖主体的雇员或承包商的个人;主要居住在受关注国家领域内的个人;其他司法部长认定构成涵盖主体的情形
[1]
,例如将要、曾经或有可能被受关注国家或涵盖主体控制或受其管辖或指示。
需要明确的是,特殊情况下特定主体落入“美国人”范围的,仍有可能被司法部长认定为“涵盖主体”,需进一步结合实际情况进行判断(例如被受关注国家控制)。
3、如何判断交易的数据构成“大量美国敏感个人数据”?
最终规则第202.205条明确了“大量美国敏感个人数据”是指通过单次或多次受限制数据交易汇总
[2]
,在过去12个月内任意时间点收集或存储达到或超过以下阈值的敏感个人数据量:
需要明确的是,根据最终规则第202.206条,
对于大量美国敏感个人数据的定义而言,该等数据是否经过匿名化、假名化、去标识化或加密处理并不影响其性质的判断,因美国司法部认为这些数据规模庞大并被聚合起来仍有可能识别到个人并损害美国国家安全,故只要数据从数量和类型上达到法定标准即适用大量美国敏感个人数据的规定。
综合最终规则多项示例所述,涵盖主体或受关注国家通过受涵盖的数据交易对于政府相关数据或大量美国敏感个人数据大量美国敏感个人数据的
访问(“Access”)
行为是关注重点,根据第202.201条规定,访问包括逻辑和物理访问,包括通过信息系统、信息技术系统、云计算平台、网络、安全系统、设备或软件等以任何形式获取、阅读、复制、解密、编辑、转移、释放、影响、改变其状态或以其他方式查看或接收的能力。在确定某项交易是否属于受涵盖的数据交易时,不考虑任何安全要求的应用或效果。此处规定与前述数据安全措施规定相呼应。
此外,最终规则第202.249条还列明了
不属于敏感个人数据的特殊类型
,包含个人无关的公开或非公开数据(包含“商业秘密”和“专有信息”),公众可通过公开渠道合法获取的数据,个人通信,信息或信息资料以及通常相关的元数据,仅与另一项人口统计或联系数据相关联的人口统计或联系数据,或仅与提供电信、网络或类似服务的另一网络标识符、账户验证数据或通话详情数据相关联的网络标识符、账户验证数据或通话详情数据。
4、如何识别交易落入“受涵盖的数据交易”?
最终规则第202.210条明确了受涵盖的数据交易是指涉及受关注国家或涵盖主体获取任何美国政府相关数据或大量美国敏感个人数据的交易,且涉及数据经纪、供应商协议、雇佣协议或投资协议。交易行为包含获取、持有、使用、转让、运输、出口或其他获取利益的行为。其中:
a. 数据经纪
是指数据销售、数据访问许可或类似的商业交易,涉及从任何人向其他人转让数据,而结合接受方并没有与直接从数据关联的个人收集或处理数据(最终规则第202.214条);
b. 雇佣协议
是指除独立承包商外,个人直接为他人工作或履行工作职能以换取报酬或其他对价的协议或安排(最终规则第202.217条);
c. 供应商协议
是指除雇佣协议外,任何人向另一方提供商品或服务以换取报酬或其他对价的协议或安排(最终规则第202.258条);
d. 投资协议
是指任何人以报酬或其他对价换取房产或法律实体的直接或间接所有权利益或权利的协议或安排,被动投资除外(最终规则第202.228条)。
需要明确的是,美国司法部明确受涵盖的数据交易需要形成某种商业关联,包含对价。但对于何为对价以及判断的标准仍是模糊的,例如为了撰写和发表学术期刊文章而分享数据本身不构成有价值的对价,但参加志愿者委员会提供无偿服务有可能构成通过个人经验换取价值利益的对价。企业在实践中仍需结合具体案例分析是否构成商业关联。
基于交易行为的影响程度和风险大小,最终规则又将前述交易行为分为:受限制的交易与禁止的交易。
此外,最终规则豁免交易部分还列明了受涵盖的数据交易的豁免情形,包含:
a. 个人通信;
b. 表达性信息或信息资料;
c. 进出任何国家旅行的正常附带费用;
d. 美国政府公务活动;
e. 金融服务通常附带的交易;
f. 公司集团内关联方之间的日常行政或辅助性业务运营相关的交易活动;
g. 遵守法定要求;
h. 明确被法律或监管豁免的投资协议;
i. 提供电信服务:提供电信服务所附带的交易;
j. 药品、生物制品和医疗器械授权所持监管审批数据;
k. 其他临床研究或上市后监督数据。
关于前述g项和h项,进一步说明的是,最终规则豁免在美企业与中国公司之间基于《中美科技合作协定》等国际协定要求、授权或受美国外国投资委员会行动制约的投资协议所进行的数据交易。
5、如果落入“受涵盖的数据交易”,需要采取哪些措施?
针对落入受涵盖的数据交易,最终规则许可部分提供了两种类型的许可证,分为:
通用许可和特殊许可。
针对落入受涵盖的数据交易,最终规则还列明了详细的合规要求:
6、如果未依法采取合规措施,可能面临哪些风险?
根据最终规则处罚和违规认定部分,任何违反最终规则或美国司法部做出的任何许可、裁决、规定、命令、指令或指示的行为,将
同时面临民事和刑事处罚
。对于每次违规的民事处罚不得超过368,136美元(每年根据通货膨胀进行调整)或违法交易金额的两倍(以较高者为准)。对于任何故意实施、企图实施、密谋实施、协助或教唆实施违反最终规则,每次违规的刑事处罚不超过100万美元罚款、20年监禁或两者兼有。
在作出处罚前美国司法部将向被指控的违法者发出书面通知,指控者有权对此类通知作出回应,之后司法部可能会确定违法裁决不合理或施加处罚。司法部的处罚通知作为最终机构行动,将接受联邦地区法院的司法审查。
最终规则并非单纯从数据安全维度监管数据交易行为,而是从保护美国
国家安全
的最终目的出发禁止或限制特定数据交易,因此需综合数据交易的
(直接/间接)相关方
、数据交易的
对象、数据交易行为
本身判断不同运营模式下出海美国企业进行的相关数据交易是否落入最终规则范围。以下从出海企业常见的本地运营模式和跨境运营模式探讨常见风险场景。
(一)本地运营模式
本地运营模式下,中国出海企业(以下称
“中国关联公司”
)依据美国法在美国设立独立子公司(以下称
“美国子公司”
)负责当地运营:
* 美国人:符合最终规则定义的美国子公司
[3]
、美国供应商;
* 涵盖主体:符合最终规则定义的中国关联公司、中国供应商、前述公司的员工等中国个人。
1、业务原生风险
基于美国子公司运营业务差异,美国子公司自身业务运营可能产生落入最终规则覆盖范围。如:
* 美国子公司作为数据库平台,向中国市场通过会员订阅的形式开放其收集的大量美国敏感个人数据;
* 美国子公司和中国关联公司开展大模型训练,向中国关联公司提供超过
数量阈值的受限数据集
,或者,提供根据大量美国敏感个人数据训练的人工智能聊天机器人,且明知可通过提问引导获取其训练数据等。
2、美国子公司与相关主体交互风险
此外,值得注意的是,由于“美国子公司”与中国公司存在的关联,不排除其可能落入
“将要、曾经或有可能被受关注国家或涵盖主体控制或受其管辖或指示”或“将要、曾经、已经或有可能为(代表)受关注国家或涵盖主体行事”
等范围,进而
被美国司法部长认定构成涵盖主体
的可能性。
前述列举场景中,关于云服务的应用和集团公司交易豁免的场景均为争议较多的内容,有待监管进一步澄清。
(二)跨境运营模式
跨境运营模式下,由中国公司直接远程运营(比如跨境交付),或由中国公司实际控股的第三国公司远程运营:
* 美国人:符合最终规则定义的美国供应商或合作伙伴、拟投资的美国公司;
* 涵盖主体:符合最终规则定义的中国公司、中国供应商。
1、中国公司直接远程运营
(1) 原生运营风险
在此运营模式下,通常的2C业务模式中,中国公司直接从美国个人(用户)处收集并进一步处理敏感个人数据的行为,因不涉及与美国人之间的数据经纪活动,同时很难触及受监管数据数量门槛,一般情形下不落入最终规则覆盖范围;但当中国公司为“美国人”供应商,通过美国公司(B端客户)接收其处理的大量美国敏感个人数据或美国政府数据时,如相关数据交易不落入豁免范围且无相关许可,美国公司(B端客户)应基于最终规则终止与中国公司的该等交易,或根据最终规则要求对受限制的数据交易施加系列规定的安全要求。
常见被豁免的数据交易情形如:
* 中国商户在美国电子商务平台上售卖商品,并在12个月内从美国电子商务平台处获取超过1万人的美国人的个人财务数据,由于该服务通常被认为是金融服务下美国消费者购买商品的附带交易和组成部分,故被最终规则所豁免;
* 中国云服务提供商为美国银行提供数据存储服务,在12个月内涉及存储超过1万人的位于中国的美国人与该美国银行之间进行国际支付而产生的相关个人财务数据,由于该服务通常被认为是金融服务下便利国际支付的附带部分,故被最终规则所豁免;
* 中国支付机构为美国电子商务平台提供清算和结算该平台上美国个人与中国商户之间的支付交易服务,在12个月内涉及处理超过1万人的美国人的个人财务数据,由于该服务通常被认为是金融服务的附带部分,故被最终规则所豁免;
* 中国电信服务提供商与美国电信服务提供商在12个月内共享超过10万前往中国的美国人的网络和设备信息(含相互关联的个人标识符),以便美国人根据国际漫游协议使用移动网络服务并支付费用,由于该数据共享通常被认为是提供电信服务的附带及组成部分,故被最终规则所豁免;
* 中国投资代理商协助美国公司执行美国人购买中国公司证券的相关交易,在12个月内涉及处理超过1万的美国人的个人财务数据,由于该服务通常被认为是金融服务下提供投资管理服务的附带部分,故被最终规则所豁免。
(2)中国公司与相关主体交互风险
在此运营模式下,
* 如第三国子公司构成“涵盖主体”,
如为由中国公司直接或间接、单独或合计持有50%及以上股份的实体,则与“1.中国公司直接远程运营”模式下面临的风险类似;
* 如第三国子公司不构成“涵盖主体”,
其与“美国人”签署的与获取大量美国敏感个人数据或美国政府相关数据相关的协议将禁止其将此类数据再披露至中国关联公司。
尽管最终规则规制的主体为美国人,但相关规定的潜在影响可能会波及涉及美国数据处理业务的各国经贸主体,鉴于互联网业务的依存性以及美国市场的多级影响,可能会为中企出海带来更多的不确定性和合规挑战。我们理解涉及美国业务的中国出海企业可以在两个层面做好应对准备。
1、策略层面
根据自身所处行业,审视目前在美运营的商业模式。
对于数据密集型的智能网联汽车行业、生物医药行业、物联网行业、信息娱乐服务行业的中国出海公司,需要根据采取的运营模式考虑最终规则的适用性,考虑业务原生风险和关联公司直接受到最终规则管辖的次生影响。
内部盘点,进行业务可持续性分析。
已有计划对美相关行业公司进行投资,或者已在美通过投资提供服务的公司应当尽快采取行动,进行业务活动是否落入受涵盖的数据交易的分析,根据最终规则进行内部数据分类分级,对于敏感的数据交易、投资、供应商选用、雇佣等活动进行识别并论证是否构成豁免场景,明确可能提出其受到最终规则约束的关联公司和合作伙伴的范围,做好业务可持续性分析。
进行数据传输风险隔离设计,做好脱钩应对。
对于涉及处理大量美国敏感个人数据的企业,如相关数据流动确落入最终规则范围,一方面应尝试达成CISA制定的安全要求以降低对于受限制交易的影响,另一方面可评估美国主体全面独立运营或IT基础设施的隔离的可行性并予以落实以降低最终规则合规风险,做好脱钩应对。
与美公司合作获得许可证。
该等机制为最终规则设置的审查通路,尽管有待观察实践情况,但公司仍可考虑与在美关联公司或美国合作伙伴密切合作,通过美方获得相关数据交易等受涵盖的数据交易的许可证,并支持美方满足审计等其他合规要求以实现相关数据流动。
2、执行层面
在明确在美业务可能受到影响的前提下,我们建议企业尽早开展具体合规风险评估工作。我们密切关注最终规则的落地情况,并结合之前相关的出海合规经验总结具体流程如下:
美国“数据脱钩”最终规则既定,中企出海美国或涉美交易将面临更多的挑战,企业应系统分析,缜密应对。
[1] 根据最终规则第202.701(c)款,被指定为涵盖主体的人员名单将在《联邦登记册》上公布,并纳入国家安全司的名单,具体可通过https://www.justice.gov/nsd.访问。
[2] 根据最终规则第202.205条规定,汇总交易量是指通过涉及同一美国人和同一外国人或涵盖的主体开展受限制数据交易的数据量汇总。
[3] 在特定情形下,美国子公司可能构成涵盖主体,详见后文分析。
业务领域:
网络安全和数据保护,知识产权权利保护,反垄断和竞争法
行业领域:
金融创新和金融科技,电信和互联网,信息和智能技术
