全球数据流动变革,出海企业将如何应对——美14117行政令探析
发布日期:2025-02-05
2024年12月27日, 美国司法部正式发布了第14117号行政令——《关于防止受关注获取美国人大量敏感个人数据和美国政府相关数据的行政命令》的最终实施规则(以下简称“最终规则”),旨在禁止或限制美国主体进行会导致受关注和受限制人员获取美国人大量敏感个人数据和美国政府相关数据的交易。
走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人蔡鹏认为,最终规则的生效将会直接影响国内出海企业在美国开展业务或与美国人之间开展某些商业交易的可行性。根据最终规则,如出海企业与美国人之间开展的交易属于限制交易范畴,则必须要遵守美国网络安全与基础设施安全局(CISA)协同美国司法部制定的单独安全要求。最终规则针对从事医疗健康、金融、科技、云计算服务类出海企业的影响更为明显,企业在进行业务出海布局时,应当提前进行目标国数据合规的评估与规划,并据此设计出海架构,以确保业务或交易符合目标的合规要求。
美14117行政令的最终规则有哪些重点内容?走出去智库(CGGT)刊发中伦律师事务所蔡鹏、王梦迪的文章,供关注跨境数据合规的读者参阅。
要点
1、根据最终规则,当交易涉及美国人“批量”敏感个人数据时才会落入受限交易的范畴内。美国司法部对不同类别的数据设置了不同的“批量”阈值。
2、最终规则明确了受限交易、豁免交易的具体类型和范畴。根据最终规则,通过美国司法部的授权许可程序后,美国人将可以与受关注或者受限人员开展受限交易。授权许可分为一般许可及特别许可两种类型。
3、最终规则构建了一套严格且细密的数据出境监管审批规则。由于中国被列入了受关注范畴,中国的出海企业与美国人之间的交易将会极易触发该规则的适用。
一、引言
(一)立法进程概述
2024年2月28日,拜登政府发布《关于防止受关注获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(“《14117行政令》”),旨在针对受关注开展的威胁美国安全的某些交易采取额外措施。根据《14117行政令》,美国司法部分别于2024年3月5日和2024年10月29日发布了《拟议立法的非官方征求意见稿:关于受关注访问美国人大规模敏感个人数据及政府相关数据的规定》(“ANPRM”)及《拟议立法的征求意见稿:关于受关注访问美国人大规模敏感个人数据及政府相关数据的规定》(“NPRM”),明确受关注范围、禁止和限制的交易类型、受限人员、许可申请等具体规则,以实现《14117行政令》的目的。2024年12月27日,美国司法部发布《关于防止受关注或受限人员获取美国敏感个人数据及政府相关数据的相关规定》(“最终规则”),至此,“靴子落地”——美国构建起了关于数据出境的全新监管体系。最终规则将在《联邦公报》公布之日起90天后生效,某些义务(如针对受限制交易的尽职调查义务、特殊场景的报告义务以及审计要求)将在公布后270天内分阶段生效。
(二)适用范围与场景
相较NPRM,最终规则在适用范围和场景上并无实质变化,针对部分概念的定义、阈值、示例方面有所细化或者增加。根据最终规则,适用范围与场景由受关注、受限交易以及受限人员三方面构成。简言之,美国人(美国公民、根据美国法律组建的美国实体、美国境内的人)与受关注及受限人员开展受限交易,需遵守最终规则。
1. 受关注:中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
2. 受限交易:进一步区分为禁止交易与限制交易(以下统称“受限交易”),指的是涉及受关注或者受限人员获取任何政府相关数据或大量美国敏感个人数据的数据经纪、供应商协议、雇佣协议以及投资协议。
3. 受限人员[1]:最终规则第202.211条明确的实体、外国人或由美国司法部长指定的人员。
尽管中国企业并非最终规则的直接责任主体,但中国企业仍可根据如下流程图判断与美国人之间的相关交易是否会落入最终规则的管辖范围,从而开展针对性的合规计划。
图1:最终规则适用性判断流程图
二、值得关注的重点内容
(一)敏感个人数据的内涵与范围
相较NPRM,最终规则主要在人类基因组的具体概念范围上进行了扩展,其他敏感个人数据的范围以及具体含义基本未发生变化,仍包含如下六大类:
(1)个人识别符信息,如与社会保障号关联的姓名、与护照号码相关联的驾照号码,与住址相关的MAC地址,与姓名相关的账户名称等;
(2)精准地理定位数据,如GPS坐标,不论是实时数据还是历史数据;
(3)生物识别信息,如面部图像、声纹、虹膜等;
(4)人体“组学”数据,如人类基因组数据、人类表观基因组数据、人类蛋白组数据、人类转录组数据等;
(5)个人健康数据,如身高、体重、生命体征、诊断记录、处方药购买或使用记录等;
(6)个人财务数据,如银行账户名、付款记录、信用报告等。
值得关注的是,如下类别的数据被排除在“敏感个人数据”范围之外:
(1)与个人无关的公开或非公开数据,包括商业秘密和专有信息;
(2)在进行交易时,公众可从政府记录或广泛传播的媒体中合法获取的数据;
(3)个人通信;
(4)信息或信息资料,如出版物、电影、海报、唱片、照片、胶卷、磁带、光盘等表现性材料。
(二)明确不同类别敏感个人数据的“批量”阈值
根据最终规则,当交易涉及“批量”敏感个人数据时才会落入受限交易的范畴内。美国司法部对不同类别的数据设置了不同的“批量”阈值,具体阈值范围如下:
(三)受限交易的范围及其豁免
相较NPRM,最终规则中受限交易的范畴及相关概念并未发生变化;在豁免交易的具体交易类型阐释及示例方面,最终规则进行了部分措辞调整及示例的补充(如金融服务、公司集团交易等),以帮助适用主体更好理解和判断。根据最终规则,受限交易及豁免交易范畴如下:
(四)授权许可程序——开展受限交易的合法化路径
根据最终规则,通过美国司法部的授权许可程序后,美国人将可以与受关注或者受限人员开展受限交易。授权许可分为一般许可及特别许可两种类型,这两类许可在适用情形、申请程序等方面均存在明显差别,互相补充地成为受限交易合法化的官方路径。
(五)特定场景的报告义务
最终规则设置了特定场景的报告义务,以确保相关措施的落地执行以及对安全的保障:
(1)年度报告:从事“云计算服务”相关的限制性交易,且由受关注及其公司直接或间接持股25%或以上的美国主体,应在每年3月1日前提交上年度数据交易报告。报告内容包括参与受限交易的美国主体姓名、地址、联系人信息、数据交易日期、交易中涉及的政府相关数据或大量敏感个人数据的类型和数量、数据传输方式、交易参与方及其各自所在地等。
(2)被拒禁止交易报告:明确拒绝了他人提出的“被禁止的数据经纪交易”的美国实体,应在拒绝后14天内提交报告。报告内容包括拒绝禁止交易的美国人姓名、地址、联系人信息、交易被拒日期、交易中涉及的政府相关数据或大量敏感个人数据的类型和数量、数据传输方式、拟参与交易的参与方及其各自所在地等。
(3)违规交易报告:在美国人与非受限主体开展数据经纪合作时,知晓或怀疑该非受限主体违反合同约定与受关注或受限人员开展提供或转售数据的行为,应在知晓或者怀疑违约之日起14天内提交报告。
(六)罚则
最终规则赋予了司法部广泛的执法权,包括调查、召开听证会、检查证据、询问证人,并发出相关的传票来获取证人或文件。如违反最终规则,相关主体可能会面临民事罚款(更高368,136美元或交易金额的两倍,取金额较高者为准)。如故意违反,相关主体将会面临民事罚款(更高100万美元),或刑事责任(更高20年监禁),或两者并罚。
三、重点问题Q&A
(一)根据最终规则,判断是否达到“批量”阈值时,匿名化处理后的敏感个人数据是否可排除?
不可排除。根据最终规则关于“批量美国敏感个人数据”的相关解释,匿名化、假名化、去标识化或者加密处理后的数据仍然属于敏感个人数据范畴,在计算阈值时,均应将其考虑在内。
(二)在美国国内收集、处理和使用数据的行为是否受最终规则的规制?
不受。最终规则并不规制美国人在纯美国境内开展的数据处理活动,除非该美国人已被明确且公开指定为受限人员。
(三)位于美国的受关注公民是否属于受限人员,是否需要遵守最终规则的要求?
不属于。根据最终规则,位于美国的受关注的公民视为美国人,不属于受限人员。作为美国人,该人员需要按照最终规则的要求与受关注或受限人员开展相关交易。当该公民离开美国时,将不再被视为美国人,此时需要进一步判断该公民是否构成受限人员而落入最终规则的规制范围。
(四)美国人访问受关注或者受限人员的掌握的大量美国敏感个人数据,是否受最终规则的规制?
不受。概括而言,最终规则虽规制的是美国人与受关注或受限人员开展的受限交易,但更进一步来说,最终规则规制的是单向行为,也就是禁止或者限制受关注或者受限人员访问、使用批量美国个人敏感数据,但并不禁止或者限制美国人访问、使用受关注或者受限人员已经掌握的美国敏感个人数据。
(五)最终规则是否提出了普遍的数据本地化要求?
没有。最终规则并未针对受限交易涉及的特殊类型数据提出普遍的数据本地化要求。如本文适用范围部分所述,最终规则规制的是美国人与受关注或受限人员开展的受限交易,并非从全面管理数据跨境行为的角度对某类数据提出普遍性、无差别的数据本地化要求。美国人仍可自由地在受关注之外的和地区存储数据。
(六)最终规则是否禁止来自受关注的应用程序或者技术?
不禁止。与拜登政府于2024年4月份签署的《保护美国人免受外国对手控制的应用程序法案》不同,最终规则并不针对受关注特定的应用程序或者单一技术。最终规则主要从特定类型交易的角度,规制与受关注和受限人员相关的数据出境行为(包括跨境传输、跨境访问等)。
(七)如果落入受限交易范畴,相关企业可采取救济措施?可采取哪些救济措施?
可采取救济措施。如上文所述,最终规则构建了一套许可机制,一方面,如受限交易落入了一般许可的范畴,则该项交易将可以根据特定的条件或者要求继续开展;另一方面,如受限交易未落入一般许可的范畴,则交易的任何利益相关方均可以向司法部提出特别许可申请,在获得特别许可后,该交易亦可以继续开展。值得注意的是,不论是一般许可还是特殊许可,交易的继续开展均需遵守相应的条件和限制,并需按照要求提交报告。
四、出海企业应对措施
结合上文的梳理与总结,可以看出,最终规则构建了一套严格且细密的数据出境监管审批规则。由于中国被列入了受关注,中国的出海企业将会极易触发该规则的适用。因此,在该规则及相关合规义务正式生效前,我们建议相关出海企业可从以下几方面着手,提前展开合规布局:
(一)开展数据类型、交易类型自查
企业首先需要开展关于与美国人之间的数据交易行为的自查,一方面,核查所涉数据类型是否落入美国政府相关数据或者美国敏感个人数据范畴,是否满足“批量”阈值;另一方面,核查所涉交易行为是否落入受限交易范畴,是否属于可豁免的交易行为,进一步地,企业还应当判断具体交易行为构成禁止交易还是限制交易,从而制定针对性的合规路径或救济策略。
鉴于最终规则针对受限交易监管的严格性,其具体规定中对美国敏感个人数据的类型、受限交易的类型、受限人员的范畴等内容进行了诸多的阐述。结合具体内容,我们理解,数据类型和交易类型是否落入规制范围的判断并非易事,如同为雇佣协议,可能会构成禁止交易也可能会构成限制交易;同为社会保障号码,在某些情况下可能会构成敏感个人数据在某些情况下不会,因此,企业在必要时可引入外部机构协助进行梳理、分析和判断。
(二)实施有针对性的合规计划
最终规则的生效将会直接影响国内出海企业在美国开展业务或与美国人之间开展某些商业交易的可行性。因此,对于中国出海企业而言,首先应当基于商业考量、合规成本等判断是否有必要将美国作为出海国或者选择;如选定美国作为出海国或者已经在开展相关业务或者交易(尤其是拥有美国子公司或者美国雇员的企业),则需要根据最终规则的相关要求,考量交易所涉数据类型、数量、交易性质等制定并实施针对性的合规计划,包括但不限于制定数据合规计划以开展限制交易相关尽职调查与合规审计,申请特定许可以及履行特定场景的报告义务等。另外,出海企业还需关注美国司法部未来出台的相关指引,以作为企业合规活动的参考。
(三)关注CISA提出的安全要求
根据最终规则,如出海企业与美国人之间开展的交易属于限制交易范畴,则必须要遵守美国网络安全与基础设施安全局(CISA)协同美国司法部制定的单独安全要求。这些安全要求包括组织层面的要求、系统层面的要求(如确保基本的组织网络安全政策、做法和管控措施落实到位)以及数据层面的要求(如数据最小化、数据掩码处理、数据加密以及隐私增强技术等)。未来, CISA将会在官网上发布具体的安全要求,出海企业在识别交易类型的基础上,需要密切关注未来相关安全要求的出台及落地。
可以预见的是,此类安全要求将会是具体且全面的,因此,我们建议出海企业应当将此类安全要求纳入到整体的数据合规计划与方案中,以便进行体系性的落地,避免因忽视相关要求而导致交易受限、面临处罚或者引发数据安全风险,进而影响企业在海外市场的正常运营和良好声誉。
(四)特定行业企业的重点关注
针对从事医疗健康、金融、科技、云计算服务类的出海企业,最终规则的影响更为明显。以科技类企业为例,如其美国子公司运营一款针对美国人的TO C应用软件,有可能会收集大量的个人识别符。在境外公司收集的数据量到达10万美国人时,如国内需要访问这些数据,将可能会构成禁止交易,直接导致企业跨境业务体系(经营、人员、成本等)的重构。因此,企业在进行业务出海布局时,应当提前进行目标国数据合规的评估与规划,并据此设计出海架构,以确保业务或交易符合目标的合规要求。
五、结语
在当今全球化深度推进的商业浪潮中,数据合规已然成为企业出海征程中一道绕不开的关键命题。而随着最终规则重磅落地,出海商业生态面临将全面冲击,数据流动格局亦将被重塑。在此情势下,出海企业势必需要投入更多资源确保业务运营的合规性。面对纷繁复杂的海外数据合规要求,企业仍应秉持谨慎、积极的态度,在企业内部统一的合规战略基础上,根据自身业务特性制定灵活的合规战术,以多元化策略应对复杂多变的合规挑战,冲破合规困境,护航企业出海之路。
参考资料(滑动阅览):
根据最终规则第202.211条,受限人员包含:
(1) 由一个或多个受关注或本节(a)(2)款所述人员直接或间接、单独或合计拥有50%或以上股权的实体;或者依据任一受关注的法律组建或设立,或其主营业地位于任一受关注境内的实体;
(2) 由一个或多个本节(a)(1)、(a)(3)、(a)(4) 或 (a)(5) 款所述人员直接或间接、单独或合计拥有 50% 或以上股权的实体;
(3) 受关注或者本节 (a)(1)、(a)(2) 或 (a)(5) 款所述实体的雇员或承包商;
(4) 主要居住地位于任一受关注的属地管辖范围内的个人;或者
(5) 任意一个由司法部长认定的如下实体或个人:
(i) 目前、曾经或有可能被受关注或受限人员拥有或控制,或者受其管辖或指挥;
(ii) 目前正在、曾经或声称代表受关注或受限人员行事,或者有可能代表其行事;或者
(iii) 故意造成或指挥(他人)违反本部分规定,或者有可能故意造成或指挥(他人)违反本部分规定。
作者
蔡鹏,走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人;业务领域:网络安全、数据保护及知识产权等领域,擅长处理人工智能、TMT、金融等行业领域的合规与诉讼问题
特别声明:本文仅代表原作者观点,不代表走出去智库立场。
(来源:走出去智库)
本文转自贸法通,转载请注明出处,版权归原作者所有,侵删
联系我们
鼎之诺能够为您提供专业的第三方验货服务、供应商审核服务、验厂咨询服务、电商全检服务、清关认证服务,扫码添加客服微信,了解更多相关信息。
本内容来源于互联网,如若侵权请及时联系我们,我们将按照规定及时处理。
来源:https://www.cuiqq.com/newsdetail/10682