2024年2月28日,美国总统拜登正式签署第14117号行政命令《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)(以下简称14117号行政命令)。其旨在进一步加强对美国个人敏感数据以及政府数据的保护,对这些相关交易进行审查与限制,防止受关注国家(中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉)利用此类敏感信息。
14117号行政命令的出台并非偶然,美国两党已经树立起将中国视为“美国最大的地缘政治威胁”与“国际秩序的挑战者”。在此之前,美国虽然一直高举着数据自由流动的大旗,与欧盟等进行数据流动方面的合作,但对于中国、俄罗斯等国家在数据安全方面进行封锁。在2020年便以TikTok收集大量数据,对TikTok有关交易实施禁止令。2021年6月9日,拜登在前任总统特朗普所发布的第13873号行政命令《确保信息和通信技术与服务供应链安全》(Securing the Information and Communications Technology and Services Supply Chain)基础上,进一步发布第14034号行政命令《关于防范外国对立方侵犯美国敏感数据的行政命令(Protecting Americans' Sensitive Data From Foreign Adversaries),建立起外国对立方关联软件应用程序的评估机制,以防止对美国国家安全造成威胁。本次14117号行政命令基于第14034号行政命令的基础上采取了更进一步的措施。
行政命令是由美国总统行使其行政权签发的正式命令,用于管理与指导联邦政府进行执行的命令。美国现任总统有权撤销前任总统所发布的行政命令,国会也有权通过立法进行干预使之无效,而总统也可以否决国会的立法。在被总统否决立法后,国会需要以三分之二多数的同意的投票来推翻总统否决。此外,联邦最高法院也有权以违宪推翻总统的行政命令。
目前,14117号行政命令在意见征求阶段,公众有45天向美国司法部提供意见。根据14117号行政命令,其限制的数据包含达到由司法部确定体量标准的敏感个人数据。敏感个人数据包含了:涵盖的个人标识信息;地理位置和相关传感器数据;生物识别信息;个人健康数据;人类基因数据以及个人财务数据。其中个人标识信息将在最终版的14117号行政命令发布清单。14117号行政命令目前监管范围为:由“受关注国家”拥有、控制或受其司法管辖或指导的实体;这些实体的外国雇员或承包商;受关注国家的外国雇员或承包商;主要居住在受关注国家管辖领土的外国人以及由司法部判定的由受关注国家拥有、控制或受其司法管辖或指导,1)作为代表或声称代表受关注国家或其他受管制对象行事;或2)在知情的情况下直接或间接参与或指导违反14117号行政命令后续规定行为的任何个人或实体。但以下个人和实体不属于监管范围:美国公民或合法取得永居权的居民;任何以难民身份进入美国或取得庇护权的人;根据美国法律或司法管辖区组建的任何实体和位于美国的任何人。另外,14117号行政命令还讲规制范围进一步延伸到经第三过再出口的情形,类似于其常用的制裁方式。目前在当受限制的数据交易发生前的12个月内任何时间点,数据量超过下表门槛数量时,14117号行政命令才会规范和监管上述六类敏感个人数据种类。
| 受涵盖的个人标识数据 | 地理位置和相关传感器数据 | 生物识别信息 | 个人健康数据 | 人类基因数据 | 个人财务数据 |
范围 | 10,000-1,000,000 | 100-1,000 | 100-1,000 | 1,000-1,000,000 | 100-1,000 | 1,000-1,000,000 |
4.美国政府相关数据
政府相关数据有两类:美国政府工作人员相关数据(包含美国联邦政府现任或近期前任雇员、承包商、前任高级官员等);美国政府位置相关数据。政府相关数据没有数量门槛,只要数据涉及此类,即受到监管。14117号行政命令不直接对数据跨境进行前置性审查,其切入点为受规制数据的交易。其将交易分成三类:被禁止的交易、受限制的交易、可豁免的交易。被禁止的交易:数据经济交易(即数据接收方不直接从个人收集数据,而是从数据提供方处购买数据);基因组数据交易受限制的交易:供应商协议(包括云计算服务);投资协议(包括任何人为换取付款或其他对价直接或间接取得的位于美国的房地产或美国法律实体直接或间接所有权权益或权利的任何协议或安排);雇用协议(涵盖个人直接为某人工作以换取报酬或者其他任何对家的任何协议或安排)可豁免的交易(不传递所有者利益的被动类交易):金融服务、支付处理和监管合规所附带的数据交易;美国跨国公司内部运营所附带的数据交易;联邦法律授权的交易;美国政府及其承包商、雇员和受赠者的公务。虽然14117号行政命令仍在征求意见阶段,但其目标直指中国,且可能直接影响跨境投资与并购。对于其的动态,中国企业应密切关注。对于14117号行政命令所规制的数据类型,可以看出其将对生物科技与医疗产业、智能汽车、金融投资和电子商务造成直接影响。首先在信息披露方面,要求中国企业披露在美国上述领域相关的投资,可能造成商业机密的泄漏。其次在数据传输方面,禁止涉及美国人的个人敏感信息跨境流动会造成数据处理成本与储存成本的增加。对于云储存服务公司而言将造成巨大影响。最后则是对于中国企业跨境投资的影响。在某些交易中可能涉及大量敏感个人数据或美国政府相关数据的情况,在次情况下的投资与并购将被禁止,此举可能削弱中国企业在全球市场上的竞争地位。目前对于企业而言最重要的是建立起一套成熟的合规制度。针对可能受到14117号行政命令限制的企业,可以提前进行数据分类手段。除了将数据是否处于敏感信息的分类外,将数据来源地也进行区分,以便制定风险的隔离措施。通过数据的控制的思路,设立起层层屏障来尝试阻隔基于数据的长臂管辖。将数据处理记录得更完整,以满足数据审计要求与监管要求。在信息披露方面,也需要对于隐私数据跨境可能带来的风险进行全面评估,包括法律、政治、商业等多方面。制定相对应的风险应对措施以确保遵守美国的联邦法与州法。在数字经济时代,越来越多的国家对于数据出境开始进行限制。如何应对数据流动方面的限制是当下的难题。我们将持续关注数据跨境流动领域相关热点问题,并未企业提出合规建议。
- 本公众号的信息仅作一般性参考,不应视为如闻律师事务所或其律师针对特定事务出具的正式法律意见或建议。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
《金刚经》卷首语:“如是我闻”,如闻律师事务所藉此得名。“盛世法,如闻人”是本所之铭。法律的精神在于维护社会的公平与正义。但,“徒法不足以自行”。法律的正确实施,公平价值得以实现,离不开一位好律师来为您的权益保驾护航。愿我们能和您一起,在这个新时代里,追逐梦想,实现梦想。所有的如闻人,以钻研精神,饱含着无限热情,践行着法律者的初心,为所有如闻的朋友们,做好专业的服务。
