圣诞假期后首日,中国六代战机亮相当天,美国司法部发布了“应对外国对手获取美国公民敏感个人数据”的最终规则。
通过该规则,美国政府
针对美国个人敏感数据向中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输,设立了一个数据出境国家安全审查制度
。
这也标志着拜登政府今年2月发起的限制美国个人数据向中国跨境流动的联邦法规,在本届政府即将谢幕之际最终落地。
2024年2月28日,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“关注国家”利用的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知,概述了实施该命令的想法,并公开征求意见
。
10月21日,美国司法部在拟议规则制定的预通知基础上,公布了“应对美国敏感数据面临的国家安全风险拟议规则”,并再次公开征求意见。
本次最终规则在拟议规则基础上进一步修改完善后形成了最终版本,将在刊登于《联邦公报》之日起90天后生效,其中部分规定(对受限交易的尽职调查与审计的积极义务、年度报告和对被禁止交易的报告)于刊登之日起270天后生效。
与中国在数据领域逐渐脱钩,自特朗普1.0时起就已成为美国政府的既定方针。特朗普政府推动国会出台《外国投资风险审查现代化法案》,将外国投资委员会审查中国对美投资并购的重点也从国防、反恐转移到科技领域,聚焦数据安全。此后,众多涉及数据安全或敏感个人信息的中资并购被其否决或要求采取缓解措施,例如蚂蚁金服收购速汇金、昆仑万维收购Grindr等。特朗普任内还启动了针对中国信息通信技术与服务的国家安全审查,其核心目标之一也是防止中国经由和美国的信通技术与服务交易获取
涉及美国人敏感个人数据
。
但美国司法部发布的这个联邦法规,在美国历史上第一个建立起了一个全面的数据跨境流动审查制度,也使美国成为继中国之后第二个由政府从国家安全角度介入和审批数据出境的国家。自此,
美国一直奉为圭臬的“数据跨境自由流动”主张加了个明确的限定:仅适用于不是“外国对手”的国家。如果美国数据出境到“外国对手”国家,则不再适用“数据跨境自由流动”的一般原则,需要司法部的许可。
特别值得警惕的是,该规则的影响可能超出数据跨境流动,波及中国企业的美国子公司在美国开展的交易。
美国司法部一方面明确该规则
不监管“美国人”之间在美国境内进行的“纯国内交易”(如“美国人”对数据的收
集、维护、处理或使用),但又加了个限定:
该“美国人”没有被明确且公开指定为“涵盖主体”
(对涵盖主体,司法部禁止或限制美国公司与之进行涉美国人批量敏感数据的交易)。
最终规则对“涵盖主体”适用类似财政部外国资产控制办公室的50%规则向下穿透。这也就意味着,
美国司法部至少理论上有可能把一些中国公司的美国子公司列入“涵盖主体”清单,限制甚至禁止其在美国从事数据收集和处理活动
,这对大部分在美国有业务的中国公司来说都将是致命打击。通过埋进去这一条,美国司法部给自己制造了一个未来可以制裁中国在美公司的工具,而且裁量权很大。
对比拟议规则,最终规则的实质内容几乎没有什么变化,以下结合起来对关键内容做一梳理:
一、哪些类型的数据适用本规则?
还是六类“美国人的批量敏感数据”和“美国政府相关数据”。最终规则排除了
公开数据、表达性信息及普通个人通信
,并明确“美国政府相关数据”如属于公开数据,也可以不受本规则管辖。
(一)“美国人的批量敏感数据”
1、涵盖的个人识别符:
公众就该部分提交的评论全部被司法部拒绝,维持了拟议规则的原状。涵盖的个人识别符分为两种情形:
(1)任意“列举的识别符”(listed identifiers)与另一列举识别符的组合;
(2)任意列举识别符与交易当事方基于交易而披露的其他数据组合后,使该列举识别符可以链接或可被链接到其他列举识别符或敏感个人数据。
存在两项例外:(1)只是和其他人口统计或联系方式相链接的人口统计或联系数据;(2)只是和为提供电信、网络或类似服务所必需的网络识别符、账号验证数据或通话详单数据相链接的情形。
有评论者提议排除“已做匿名化、去识别化、假名化、聚合处理或被各隐私法视为公共可用的数据”,但被司法部拒绝。司法部认为,
即使是匿名化数据,如果它们规模庞大并且被聚合起来,中国仍能据此识别具体个人,并可能用来损害美国国家安全,这正是美国要防范的风险。
2、列举的识别符
“列举识别符”(listed identifier)是指以下数据字段(data fields)中的任一项:
(1)完整或截断的政府识别号码或账号号码(例如社会安全号码、驾照或州身份证号、护照号或外国人登记号);
(2)与金融机构或金融服务公司关联的完整金融账号或个人识别码;
(3)基于设备或硬件的识别符(如国际移动设备识别码 IMEI、媒体访问控制地址 MAC、用户识别模块 SIM 卡号码);
(4)人口统计或联系数据(例如姓名、出生日期、出生地、邮政编码、居住街道或邮寄地址、电话号码、电子邮箱地址或类似的公共账号标识符);
(5)广告识别符(例如谷歌广告 ID、苹果广告标识符,或其他移动广告 ID);
(6)账号验证数据(例如账号用户名、账号密码或答案安全问题);
(7)基于网络的识别符(如 IP 地址或 Cookie 数据);
(8)通话详单数据(如客户专有网络信息 CPNI)。
3、精确的地理位置数据:
相比拟议规则没有任何修改。“精确地理位置数据” 被定义为能够以 1000 米以内的精度确定个人或设备的物理位置的数据,包括历史数据和实时数据,例如GPS 坐标和IP地址。
3、
生物识别
标识符
:
相比拟议规则没有任何修改。定义为:用于识别或验证个人身份的一种可测量的生理特征或行为方式,包括面部图像、声纹及其模式、视网膜与虹膜扫描、手掌纹和指纹、步态以及键盘输入模式等,这些特征被录入生物识别系统,并由该系统生成模板(templates)。
4、人类基因组数据:
从公众反馈看,针对该类数据的不同意见很多,不少评论担心以后人类基因数据会因为该规则被社会渲染为“特殊且危险”的数据,从而损害公众对科学家群体的信任,并对后续研究招募造成不利影响。
但司法部认为,美国情报部门已明确指出,
中国能接触美国大规模人类基因组数据会带来严重的国家安全风险,这些安全风险的重要性远胜于上述对公共信任或科研招募的潜在、间接影响
,因此仍有必要将人类基因组数据列管。
司法部采纳了一些反馈意见,对该定义作出一些修订:
(1)将“人类蛋白组数据(human proteomic data)”明确定义为不包含常规临床测量数据;
(2)对“人类表观基因组数据(human epigenomic data)”和“人类转录组数据(human transcriptomic data)”也作了类似补充,并明确其须源自对系统层面(systems-level)的分析。
(3)保持拟议规则对人类基因组数据的 100 名美国个人阈值不变,但
对表观基因组、蛋白组和转录组数据的阈值提升为1000 名美国个人
。
5、个人金融数据:
和拟议规则没有明显变化。有评论希望澄清“个人金融历史”是不是限于和金融机构发生的交易记录,购买和支付记录算不算。对此,司法部明确:“个人金融数据”包括支付记录,并不局限于金融机构掌握的支付与购买历史。
6、个人健康数据:
司法部在本规则中对“个人健康数据”的定义作了更清晰的解释,尤其是帮助不熟悉《健康保险携带与责任法》及其术语的行业主体理解:
个人健康数据需要是“指示、揭示或描述”某个人过去、现在或未来的身体或心理健康状态、医疗服务过程或相关医疗付款。
有评论表示,《健康保险携带与责任法》关于去标识化的标准已不适应当下“数据丰富、计算能力强”的环境,建议对传统意义上已符合《健康保险携带与责任法》去标识化的数据(例如医疗记录、药房记录及生殖健康记录)也纳入本规则,司法部采纳了这个建议。
关于美国个人敏感数据的“批量”阈值
不是只要属于上述数据才会落入新规管辖。在2月份的拟议规则预通知中,司法部就确立了一个基于“阈值”的风险分析框架,为各类敏感个人数据设置了不同的数量门槛,涵盖的数据交易发生前的12个月内的任何时间点,同一涵盖人员在所有交易中涉及的数据累计达到一定数量才能算。在预通知中,司法部为每个类别的数据的批量阈值设定了潜在的上限和下限,分别对应高风险和低风险,依靠数量级差异来初步判断风险。
在10月份发布拟议规则的时候,司法部抱怨说,收到的评论对“批量”阈值的观点五花八门,但没有一个提供了可操作的数据点、用例或证据来支持替代的分析框架,或支持采用这个特定阈值而不是哪一个。司法部甚至还连同商务部分别去一对一请教了对这个问题发表了评论意见的人,但一无所获,也就是大家都不知道应该怎么来定这个阈值。最后,司法部采取的办法是折中,
除人类基因组数据因为高度敏感以及能带来的超出反情报风险的重大额外国家安全风险,所以保持低阈值外,其他敏感个人数据类别的批量阈值大约是预通知中确定的初步范围的中间数量级
(例如,生物识别标识符的批量阈值是1000 名美国人,对应预通知里100到10000的中间数)。这样,几类数据的批量阈值分别是:
・人类基因组数据:超过 100 名美国人。
・生物识别标识符和精确地理位置数据:超过 1000 名美国人。
・个人健康数据和个人财务数据:超过 10000 名美国人。
・涵盖的个人标识符:超过 100000 名美国人。
本次最终规则里,司法部说,没有评论反对上面基于“阈值”的风险分析框架,也没有人提出其他的替代方法,大部分评论都只是表达对阈值的政策倾向。因此,最终规则基本维持了上述阈值,只对人类基因组数据中的三类数据(表观基因组、蛋白组和转录组数据)阈值从100名美国人提升到1000名。同时,司法部也强调,打算持续关注技术和威胁演变,如果有必要的话可以修改本规则调整阈值。
可以看到,最终规则上述
基于“阈值”的风险分析框架和
中国的“重要数据”相关规定很像。在美国公众和专家提交的评论中,果然也有人指出来了,说司法部这是在抄中国的作业,咱们美国不能学中国那一套。但司法部说,
咱们和中国不一样,美国秉持跨境数据自由流动的基本立场,只有当特定商业交易场景涉及“国家安全风险”才加以禁限。而中国的模式是一般情况下默认限制数据出境,本质上和本规则“只限制特定敏感数据交易”不同;即使都采用了某个数值门槛,也不能把两者同日而语。
(二)政府相关数据
相比NPRM没有变化,两类政府相关数据(对这类数据没有阈值限制,不管多少都算):
1、关于政府活动地点的数据
,司法部和其他政府部门协商,制定了一个《政府相关位置数据列表》的格式,并且表上列出了一些地理区域内的“精确地理位置数据”,统一将其划入“政府相关数据”。主要包括一些政府部门、军事基地、大使馆等。
2、关于美国政府人员的数据,
即与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联或可关联的数据。“近期前任雇员或承包商” 是指在涵盖的数据交易之前的 2 年内,有偿或无偿为美国政府工作或向美国政府提供服务的雇员或承包商。
二、受管辖的人员或实体
(一)关注国家
相比NPRM没有变化,还是中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
(二)涵盖主体(美国主体涉上述数据的交易的中国合作方):
具体来说,以下情况属于“涵盖主体”:
-
由关注国家直接或间接、
单独或合计
拥有50%或以上股权的实体,以及在关注国家注册或其主要业务地在关注国家的实体(A);
-
由A、C或E涵盖主体直接或间接、
单独或合计
拥有50%或以上股权的实体(B);
-
作为关注国家、A、B或E涵盖主体的员工或合同工的外国主体(C);
-
主要居住在关注国家领土管辖范围内的外国主体(D);
-
美国司法部部长指定为:1)
现在、曾经或可能被
关注国家拥有或控制,或受关注国家管辖或指示的主体;2)
现在、曾经或可能
代表或声称代表受关注国家或相关人员行事的主体;3)“故意”(知道或应知)导致或“引起”(决定、批准)违反相关规定行为的主体(E)
在拟议规则中,司法部曾提到若某实体由关注国家或已被认定的涵盖主体直接或间接持股 50% 以上,或其注册地、主要营业地在关注国家,或其对该实体有控制力的母公司或利益持有人为关注国家,即可被自动视为“涵盖主体”。
最终规则中,
司法部对上面做了一些文字上的技术性修订,使之更符合美国财政部外国资产管理办公室(OFAC)的“50%规则”表述:明确“直接或间接”以及“单独或合计达 50%”的持股方式,引入“多个受关注国家或多个涵盖的人员或实体”合计持股情形。这些修订不改变原本意图和范围,只是帮助企业和机构在实际执行时与过去熟悉的OFAC规则接轨。
