前言:
在当前数字化时代,随着人工智能(AI)技术的快速发展,数据跨境已经成为商业界不可忽视的重要趋势之一。随着全球化进程的加速推进,中国企业越来越需要在不同国家之间快速、安全地共享数据,数据隐私和安全问题备受关注。为了帮助客户在数据跨境的各类交易中,有效管理和保护其数据资产,我们积极跟踪、深入研究多个司法领域最新的数据隐私法律法规,洞察最新的行业实践并分析最前沿的法律趋势。本文将探讨美国隐私数据相关的最新动向,为客户解疑答惑,以助力中国企业在数据跨境中做出明智的决策,在数字化时代与您一同面对未来的变化,把握商机,迎接挑战!
目 录
一、美国在数据跨境领域内的新动向
二、背景情况:与本次《行政令》相关的其他行政命令
三、本次《行政令》的具体内容
四、对中国企业潜在后果及应对措施
附:中文翻译参考
一
美国在数据跨境领域内的新动向
2024年新春伊始,我们就感受到了国际事务的变化和挑战,迅速关注到了美国在数据跨境领域内的新动向:
1. 美国总统拜登于2024年2月28日签署了有关限制中国和其他受关注国家获取美国人(美国人指任何美国公民、国民或合法永久居民)敏感个人数据的第14117号行政命令《防止受关注国家访问美国人的大量敏感个人数据和与美国政府有关的数据》(Executive Order 14117 on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,以下简称《行政令》)[注1],指示美国司法部、国防部、电信服务部等部门采取加强对美国人敏感个人数据审查、保护等行动。同时,美国白宫于同日发布关于该《行政令》的《情况说明:拜登总统发布行政命令以保护美国人的敏感个人数据》(FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data,以下简称《情况说明》)[注2],概述了可能涉及的关键内容。
2. 该《行政令》指示司法部长颁布法规,明确保护美国人的敏感个人数据免遭有关国家的大规模转移和滥用,并加强对敏感政府相关数据的保护,于是2024年2月28日,美国司法部也发布了一项《情况说明:司法部将在即将发布的突破性行政命令后发布拟议规则制定的预先通知,以解决有关国家获取美国人大量敏感个人数据的问题》(FACT SHEET: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern)[注3]。并于2024年3月5日发表了此预先通知(ANPRM,以下简称“预先通知”)《受关注国家访问美国人的大量敏感个人数据和政府相关数据》(Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern)[注4],预先通知在《行政令》基础上丰富了更多的细节内容,如公布了六个受关注的国家(Countries of Concern)为中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
3. 拜登又于2024年2月29日发布了《关于应对美国汽车行业国家安全风险的声明》(Statement from President Biden on Addressing National Security Risks to The U.S. Auto Industry)[注5],指出中国制造的汽车作为数据的载体,连接到用户手机、导航系统、关键基础设施以及制造它们的公司,可以收集有关美国人和基础设施的敏感数据,并发回中国。
二
背景情况:与本《行政令》相关的其他行政命令
首先,本次《行政令》扩大了2019年5月15日总统发布的第13873号行政命令《确保信息和通信技术与服务供应链安全》(Securing the Information and Communications Technology and Services Supply Chain,以下简称“第13873号行政命令”)宣布的国家紧急状态的适用范围[注6],自信息和通信技术和服务供应领域扩大至当关切国家获取美国人大量敏感个人数据和美国政府相关数据会威胁美国的国家安全和外交政策时。我们认为本次扩大紧急状态代表总统将继续实施该国家紧急状态,且自第13873号行政命令发布以来,总统每年都会根据《国家紧急状态法》宣布国家紧急状态继续有效:2020年5月14日发布继续实施有关保护信息和通信技术及服务供应链的国家紧急状态(85 FR 29321);2021年5月13日发布继续实施有关保护信息和通信技术及服务供应链的国家紧急状态(86 FR 26339);2022年5月13日发布继续实施有关保护信息和通信技术及服务供应链的国家紧急状态(87 FR 29645);2023年5月11日发布继续实施有关保护信息和通信技术及服务供应链的国家紧急状态(88 FR 30635)。
其次,《行政令》还进一步采取了额外措施,相关措施我们将于第二部分中详细展开讲解,以应对2021年6月9日《保护美国敏感数据免受外国对手侵害》第14034号行政命令(Protecting Americans’ Sensitive Data from Foreign Adversaries)[注7]中所述的外国对手方(包括中国)所设计开发的软件应用程序存在访问和捕获用户的大量信息的风险,包括访问敏感或机密政府、商业信息、个人敏感数据等信息,而产生了一系列的相关问题。
此外,拜登曾于2023年10月30日发布了有关保护美国人隐私的《关于安全、可靠和值得信赖的人工智能的行政命令》(Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)[注8],该行政命令的主要内容包括为更好地保护美国人的免受人工智能带来的隐私风险,避免联邦政府机构因不负责任地滥用人工智能而导致和加深司法、医疗保健和住房等领域的歧视、偏见的情况。总统呼吁国会通过两党制数据隐私立法(bipartisan data privacy legislation)并在联邦层面采取以下行动,以保护所有美国公民,尤其是儿童:
1. 优先支持开发和使用隐私保护技术,如使用尖端人工智能技术(cutting-edge AI)训练人工智能系统保护数据隐私;
2. 资助一项“研究协调网络(Research Coordination Network)”的个人隐私加密工具,以加强隐私保护的研究;
3. 评估联邦政府机构如何收集和使用商业可用信息,特别关注使用人工智能技术收集个人可识别数据(personally identifiable data)时的隐私保护工作;
4. 制定有关评估隐私保护技术有效性的指南,帮助联邦政府机构保护美国人的数据。
该行政命令加强了对人工智能的安全和安保工作,具有里程碑意义。对此,在保护美国人隐私和公民权利方面,各个联邦政府机构也积极相应。于2024年1月29日,白宫发布情况声明在医疗保健领域已经得到了推进,明确已经在卫生与公众服务部(Department of Health and Human Services)成立了人工智能工作组(AI Task Force),负责制定政策,以提供明确的监管并促进医疗保健领域的人工智能创新。例如,该工作组将开发评估人工智能工具和框架的方法,以促进人工智能的药物开发、加强公共卫生和改善医疗保健服务。此外,该工作组已经协调工作,发布了解决医疗算法中种族偏见的指导原则。[注9]
三
本次《行政令》的具体内容
该《行政令》主要内容是采取各类新的措施性限制和防止中国等受关注国家获取美国人的敏感个人数据,以及与政府有关的个人数据的行为,限制中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉六个受关注国家,以及与其有关的实体/人员访问和利用美国人与政府的“敏感数据”,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和特定种类的个人识别信息,以及与政府有关的敏感数据。
(一) 受监管的数据类型
1. 美国人敏感个人数据
美国人敏感个人数据包括个人身份信息、地理位置及相关传感器数据、生物识别信息、人类组学数据、个人健康数据、个人财务数据或上述任何组合的数据(personal identifiers, geolocation and related sensor data, biometric identifiers, human ‘omic data, personal health data, personal financial data, or any combination thereof)。如果以上数据与任何美国个人或美国群体有联系或关联,则可能被有关国家利用来损害美国国家安全。
但是,需要注意的是敏感个人数据不包括:公共事项的记录,如法院的记录或其他政府部门的记录,这些记录可以合法普遍地向公众提供;个人通讯记录;和表达信息,如视频、艺术品或出版物。
此外,敏感个人数据只有在数据交易量超过规定时才会受到监管。
2. 美国政府相关数据
美国政府相关数据指涉及美国政府人员或地点的敏感个人数据。在人员方面,会重点关注前任和现任的雇员、承包商和高级官员;在地点方面,会重点关注某些敏感地点,这些地点的地理区域将公开指定,并由联邦政府(包括军方)控制。
此外,需注意前文提到的数据交易量的监管规定不适用于美国政府相关数据。
(二) 受监管的数据交易参与方
受监管的数据交易参与方包括受关注国家和有关人员。其中:
1. 受关注国家具体为中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉;
2. 有关人员包括实体和个人,具体分为四类:由关切国家拥有、控制或服从其管辖或指示的实体;是该实体的雇员或承包商的外国人;是关切国家的雇员或承包商的外国人,以及主要居住关切国家的领土管辖范围内的外国人。为协助此监管的施行,有关部门将进一步细化澄清以上内容。
(三) 受监管的数据交易
1. 禁止的数据交易
禁止的数据交易分为两类:数据经纪交易,以及涉及大量人类基因组数据或生物样本传输的基因数据交易。
2. 受限的数据交易
受限的数据交易分为三类:涉及提供货物和服务的供应商协议(包括云服务协议);雇佣协议,以及投资协议。
3. 豁免的数据交易
以下四类数据交易被排除在监管范围之外,具体为:
(1) 涉及金融服务、付款程序以及合规监管(如银行、资本市场或金融保险活动;其他监管机构管辖范围内的金融活动;付款时转移的用于购买和销售货品及服务的个人财务和身份信息;和法律及合规监管);
(2) 涉及美国跨国公司内部的辅助业务(如工资或人力资源);
(3) 涉及美国政府及其承包商、雇员和被授权人的活动(如由联邦政府资助的健康研究项目);或
(4) 联邦法律或国际协定所要求或授权的数据交易(如旅客名单信息交换、国际刑警组织要求和公共卫生监督)。
4. 要求行动
根据《行政令》及《情况说明》之规定,拜登要求各部门行使下列行动:
(1) 司法部将颁布法规,明确保护美国人的敏感个人数据免遭有关国家的访问和利用。这些保护将扩展到基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人标识符。他们将阻止这些数据大规模转移到相关国家——这些国家有收集和滥用美国人数据的记录;
(2) 司法部将颁布法规,加强对敏感政府相关数据的保护,包括敏感政府网站的地理位置信息和军事人员的信息;
(3) 司法部和国土安全部共同努力制定高安全标准,以防止有关国家通过其他商业手段获取美国人的数据,例如通过投资、供应商和雇佣关系获得的数据;
(4) 卫生与公共服务部、国防部和退伍军人事务部帮助确保联邦拨款、合同和奖励不被用于帮助相关国家(包括通过位于美国的公司)获取美国人的敏感健康数据;
(5) 美国电信服务部门外国参与评估委员会(通常称为电信团队)在审查海底电缆许可证时考虑对美国人敏感个人数据的威胁。
这些活动不会阻止金融服务活动所需的信息流动,也不会采取旨在更广泛地脱钩美国与其他国家之间的大量消费者、经济、科学和贸易关系的措施。这些行动不仅符合美国长期以来对可信赖的数据自由流动的支持,而且也符合美国对开放互联网的承诺,对个人隐私提供强有力和有效的保护,并采取措施维护政府执法能力并推进符合公共利益的政策。政府将继续与利益相关者合作,包括科技公司和隐私、安全、竞争、劳工和人权倡导者,以适当平衡所有这些目标的方式向前推进。
该《行政令》中制定上述必要行动的主要目的为,防止受关注国家接触美国政府相关数据以及获取有关美国人敏感的数据,这些数据包括但不限于财务信息、基因数据、语音模式甚至键盘使用习惯等。因为受关注国家可能利用这些数据训练人工智能模型,或其他先进手段分析利用这些高价值数据,对美国政府敏感岗位人员及普通美国人进行侧写、建档和跟踪,支持其实施招募策反、网络攻击、勒索胁迫等恶意行为,进而获取相关领域的战略优势,同时也让中国政府建立起一系列包括美国政府雇员在内的特定美国人的详细档案。
四
对中国企业潜在后果及应对措施
(一) 影响
我们认为,上述限制性措施可能直接影响中国企业的某些跨境投资和并购交易,同时也可能间接影响美国与中国之间的数据跨境传输和流动。本《行政令》将对各行业企业的涉外业务产生深远影响,尤其当该企业需要收集美国人个人数据以从事跨境销售、进出口业务时。包括但不限于导致以下影响:
1. 信息披露
要求企业披露其在中国人工智能、生物医药、汽车科技或涉及隐私敏感数据传输的等领域内对美国公司或实体的投资,可能会增加商业机密泄露的风险,影响交易的成功性,进而影响商业竞争力;
2. 数据传输
进一步禁止涉及美国人的个人高度敏感的隐私信息跨境向包括中国在内的六个受关注国家传输,可能会增加数据存储和处理成本,对中国企业的国际业务运作造成不利影响;
3. 跨境投资
采取各类审批监管手段直接或间接禁止某些行业的跨境并购或投资,例如在交易中可能涉及大量敏感个人数据或美国政府相关数据等几种情况下,禁止或以其他方式限制美国人从事任何收购、持有、使用、转让、运输或出口、与外国或其国民交易其拥有的任何利益和财产,更多细节将由司法部长(Attorney General)与相关机构负责人颁布法规或规则进一步定义,该举可能会削弱中国企业在全球市场上的竞争地位,限制创新和技术进步。
(二) 应对措施
我们还需要提醒的是,这种数据跨境阻碍不仅可能会导致跨国企业面临更多的监管和法律风险,还可能会进一步冷却美中两个超级大国之间的经济关系,对全球经济发展产生负面影响,造成大环境的动荡风险。因此,企业需要制定合理的政策和机制,以平衡企业在从事国际业务时的商业利益,顺应人工智能蓬勃发展的数据化时代下的跨境投资以及隐私数据保护制度,采取各类措施,例如:
1. 关于信息披露,所有企业均应积极应对,加强隐私风险评估审查
企业内部应对该等隐私数据跨境阻碍可能带来的风险进行全面评估,包括政治、法律、商业等多个方面。在进行合规性审查及隐私风险评估时应特别关注数据的处理和存储过程,及时制定相应的风险应对措施。针对既存企业,我们建议重点关注审查其信息技术系统、云计算平台、网络、安全系统、设备或软件是否存在以下情况:获取、读取、复制、解密、编辑、转移、发布、影响、更改状态或以任何其他形式查看或接收下列信息,包括受保护的个人标识符、地理位置及相关传感器数据、生物识别符、人类组学数据、个人健康数据、个人财务数据或上述任何组合的数据,确保遵守美国联邦和州法律,例如《隐私权法》(Privacy Act)、《健康保险隐私及责任法案》(The Health Insurance Portability and Accountability Act of 1996)、《加州消费者隐私法》(The California Consumer Privacy Act)等法律法规;
2. 关于数据传输,既存企业内部数据合规机制的健全及外部参与
企业必要时可借助外部专业法律服务团队的协助,建立健全的数据合规机制,确保合法、安全和规范使用数据和离境传输信息,审查当前的数据处理的具体情况,尽量避免收集、获取美国人敏感隐私数据或美国政府相关数据,或者在不影响业务的情况下考虑替换为其他类型的个人数据,以避免违反相关法律法规。同时,企业更应积极参与相关政策的制定和修订过程,并通过行业协会、商会等渠道参与行业间的交流和沟通,响应相关制度和政策,以维护企业合法权益,进而推动数据跨境流动的便利化和规范化;
3. 关于跨境投资,在跨境投资及跨境并购的交易中,全面尽调目标公司的数据处理情况
若中国企业计划在美国进行跨境投资及并购,务必在投资前确保目标公司不涉及美国人敏感的个人隐私数据或美国政府相关数据的处理,或通过数据隔离或剥离相关业务的方式,确保被投资的目标公司不直接持有相关数据。
五
附:中文翻译参考
我们在第一时间翻译了《情况说明:拜登行政命令,保护美国人隐私数据》和《关于防止关切国家获取美国人批量敏感个人数据和美国政府相关数据的行政命令》的全文,以供参考。
注释及参考文献
作者简介
董 亮
国浩上海合伙人
董亮律师是中国和美国双执业律师,具有美国多个司法领域联邦法院出庭资格。担任华东政法大学特聘教授,西南政法大学等各高校法学院的客座教授。擅长跨境并购、美元基金私募股权、境内外资本市场,在代表中国企业跨境投融资和境内外融资方面具有近十五年的经验。客户主要是国有企业,上市公司,私募投资基金,以及具有高成长性的清洁能源,人工智能,半导体以及生物医药等行业的初创公司。董亮律师是亚洲法律杂志上榜律师,曾荣获2023年度中国并购专项奖之“最佳并购律师奖”,2023-2024年度《商法》A-List法律精英奖项-Rising Stars律师新星,2023年度ALB CHINA十五佳律师新星,2023年legalband风云榜:创新律师15强。自2019年在中资律所担任合伙人之后,曾荣获ALB CHINA客户首选律师,并连续荣获“新锐合伙人”和“突出贡献奖”。
邮箱:lyon.dong@grandall.com.cn
赵璐瑶
国浩上海律师助理
邮箱:zhaoluyao@grandall.com.cn
(同济大学2020级法学本科伦敦大学学院2024级法学硕士、实习生尹思琳也为本文写作提供了支持与协助。)
【 特别声明:本篇文章所阐述和说明的观点仅代表作者本人意见,仅供参考和交流,不代表本所或其律师出具的任何形式之法律意见或建议。】
