从《国家安全和个人数据保护法 (草案)》看美国数据出境管理新举措

一、背景介绍

近期，中美贸易战形势瞬息万变，数据作为重要的基础战略资源，受到美国高度重视，从国家安全角度出发，加强数据安全、数据出境安全领域的立法布局。2019年11月18日，美国参议员提议制定《2019年国家安全和个人数据保护法》（草案）（以下简称“《法案》”），以阻止美国个人敏感数据流向中国及其他威胁美国国家安全的国家。目前，该《法案》已提交美国参议院并送达商业、科学和运输委员会。2020年2月13 日，美国外国投资委员会（CFIUS）外国投资审查法案最终规则正式生效，严控对 AI 等关键技术和敏感个人数据领域的外商投资，防止尖端技术数据和敏感个人信息外泄。

从上述美国近期立法趋势不难发现，美国对向我国进行数据出境的活动管控愈加严格 。在此背景下，本文将从数据出境管理的角度分析《法案》的立法目的和主要内容，同时提出对我国数据出境管理的相关启示和建议。

二、主要内容

1、立法目的

《法案》以保护美国国家安全的名义阻止美国数据流入中国及相关国家。《法案》明确提出，“通过实施数据安全要求，加强对外国投资审查及其他目的，保护美国人民的数据从而避免外国政府对国家安全构成侵害。”

2、适用范围

《法案》主要适用于相关“科技企业”对“特别关注国家”的数据跨境传输和存储行为。“科技企业”被划分为“特别关注科技企业”和“其他科技企业”两类，“特别关注科技企业”是指在州际贸易和涉外贸易中提供基于数据在线服务或提供基于数据在线服务可能影响州际贸易或涉外贸易，并根据特别关注国家法律成立的实体。“特别关注国家”是指“中华人民共和国、俄联邦和为保护数据隐私和安全，国务卿认定的其他国家。

3、数据出境限制

《法案》对于运营或影响洲际/跨境贸易、提供网站或互联网应用程序等以数据为基础服务的企业（包括特别关注企业和非特别关注企业）均提出了严格的数据出境限制要求，禁止向特别关注国家传输用户数据以及破译相关用户数据所需的密钥数据（包括间接通过第三方非特别关注国家传输）。仅设置两种例外允许情形：一是应非特别关注国家的司法和军事协助要求；二是个人用户间的数据共享，且数据仅保留在个人用户的设备上。《法案》数据出境限制指向性明确，基本切断了相关企业向中、俄等特别关注国家传输用户数据的所有通道。

4、数据存储限制

《法案》根据企业类型提出差异化数据存储位置限制要求。一是对于特别关注企业，提出严格的本地化存储要求，禁止特别关注企业将其从美国公民或居民处收集的用户数据存储在美国或和美国签订协议共享数据的国家以外的国家或地区。二是对于非特别关注企业，虽不强制数据本地化存储，但也禁止企业将从美国公民或居民处收集的用户数据存储在特别关注国家的服务器或其他数据存储设备上。

5、最小化要求和目的限制

《法案》对于根据我国和俄罗斯等特别关注国家法律成立的实体（特别关注企业）的数据收集范围和使用目的提出明确限制。《法案》规定特别关注企业仅能收集为运营网站、服务和应用的最小限度数据，且不能将该部分数据用于其他次要用途，如投放定向广告、不必要的数据共享或用于面部识别技术等。该要求缩小了特别关注企业获取和使用美国用户数据的数量、类型和范围，旨在降低数据滥用、数据外泄等风险，保障国家安全和数据安全。

6、特定交易批准

为了防止外国企业通过特定交易控股美国企业，从而大量掌握美国公民的用户数据，《法案》第六章规定，对于特定交易要经过外商投资委员会的审查批准，必要时通过谈判、签署协议或施加限制条件等方法以降低该项交易对美国国家安全构成的风险。法案对于特定交易中被控股的美国企业进行了限定，一是涉及收集、购买、出售或处理用户数据，且主营业务是数据传输，而非制造、物流、维修、提供实体货物或提供实际服务的企业；二是经营社交媒体平台或网站的美国企业。

7、监管和处罚

在监管方面，《法案》由联邦贸易委员会根据《联邦贸易委员会法》执行，《联邦贸易委员会法》所有条款和规定均可作为执行依据。在处罚方面，《法案》除明确技术企业故意违反草案行为的刑事责任外，州检查总长可以以政府监护的名义，代本州居民提起民事诉讼。

三、对我国的启示

1、加快建设数据出境法律管理制度体系

《法案》是美国“规则制华”策略的延续和深化，企图通过国内立法限制科技企业数据流入我国。对此，我国在加速制定《个人信息保护法》《个人信息出境安全评估办法》《关键信息基础设施安全保护条例》等《网络安全法》的相关配套规范过程中，在政策层面应就数据出境管制与开放实现合理平衡，一方面，设置安全评估、例外事项、标准合同等多元数据出境途径，促进我国企业数据出境，助力我国数字经济发展；另一方面，结合特定国家针对我国采取的数据出境管理措施，设置弹性化、差异化的数据出境管理法律制度，实现对特定国家法律规则层面对冲与反制。

2、建立数据出境安全分类管理制度

《法案》从国家安全出发，对特别关注国家和特别关注企业提出数据出境特殊管理要求，且明确将我国及我国企业纳入其中，具有明显的针对性。为应对上述情况，我国应参考借鉴欧盟、美国做法，分级分类制定数据出境管理制度，对影响我国国家安全、国家核心利益的数据出境活动进行限制。一是研究制定数据出境黑名单和白名单。根据我国的国际关系、国家经济发展需要以及各国个人信息保护水平等因素，研究出台数据出境黑名单和白名单，促进数据在白名单地区自由出境，同时严格限制重要数据出境至黑名单内国家和地区，平衡国家安全和经济发展。二是针对数据出境高危主体制定特别管理要求。根据数据出境主体的所属行业、掌握数据情况、股权结构、实际控制方等因素综合考虑，对于数据出境风险较高的主体如外资企业、合资企业、境外组织机构等差异化制定数据出境管理要求，加强数据出境安全管理。

3、落实数据本地化存储要求

为加强对数据资产的控制，《法案》提出了严格的数据本地化存储限制，数据竞争意图明显。针对上述情形，我国应围绕《网络安全法》第37条“关键基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据应在境内存储”的管理要求，加快相关配套规范标准的出台，明确管理范围、流程和方法，形成管理机制，尽快实现数据本地存储管理要求的落地实施，有效限制部分外资企业境外存储其在我国境内运营中收集和产生的个人信息和重要数据的情形，减少数据外泄风险，在国际数据竞争的舞台上对欧美等国形成对抗与制约。

4、加强数据出境安全管理国际合作

美国意图通过《法案》有针对性地对中国实施“数据封锁”，对此，我国在国际合作方面应该采取积极措施，以工业互联网、车辆网等重点领域数据出境为突破口，加速通过双边和区域性协议积极构建与重要贸易伙伴国的数据出境国际通道，防止美国《法案》生效后引发连锁效应，在数据跨境领域将我国“孤立”起来。

（作者：中国信息通信研究院安全研究所信安部 姜宇泽 李晓伟）

声明：本文来自互联网新技术新业务安全评估中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。