文│ 中国法学会法治研究所研究员 刘金瑞
随着数字经济的迅速发展,数据呈现爆发式增长并且海量集聚,对经济发展、社会治理、人民生活都产生了重大而深刻的影响,数据安全已成为事关国家安全与经济社会发展的重大挑战。美国近期在外国投资安全审查制度改革中重点关注了数据安全风险并进行了针对性制度设计。本文将对美国外资安全审查改革中的数据安全审查规定做一梳理,以期为我国数据安全审查制度的构建提供有益参考。
一、美国外资安全审查制度及近期改革概述
美国是世界上最早对外国投资实施国家安全审查制度的国家。1988 年,美国颁行《1988 年综合贸易与竞争法》。该法授权美国总统可以为了国家安全调查外国主体收购、兼并、接管或入股美国企业,并在必要时可以阻止相关交易。之后,美国通过 2000 年《伯德修正案》和 2007 年《外国投资与国家安全法》,逐步形成了以美国外国投资委员会(CFIUS)为审查机构的外资安全审查制度。
美国外国投资委员会是直接受命于美国总统的一个跨部门委员会,由美国财政部部长担任主席,协助美国总统审查外国对美经济直接投资的国家安全风险,美国总统根据该委员会的审查建议可以做出暂停或禁止交易的决定。传统的美国外资安全审查的管辖范围仅包括可能导致外国主体“控制”美国商业的交易。根据美国上述法律的规定,“控制”是指“确定、指导或决定受影响主体重要事项的直接或间接的权力”;“美国商业”是指不论控制人的国籍如何,任何在美国从事跨州商务的实体。
2018 年 8 月,美国总统特朗普签署了《外国投资风险审查现代化法》(Foreign Investment RiskReview Modernization Act of 2018,FIRRMA)。该法增强了美国外国投资委员会(CFIUS)的授权和现代化,以更加有效地应对国家安全关切。在美国此次外国投资安全审查改革中,重点之一就是关注和应对外国投资交易中高风险敏感数据对国家安全的影响。对此,美国《外国投资风险审查现代化法》主要从两方面进行了制度设计:一是界定影响国家安全的高风险敏感数据的范围;二是将涉及这些高风险敏感数据的外国非控制性投资纳入外资安全审查范围。
二、审查要素增列了敏感个人数据的国家安全风险
美国《外国投资风险审查现代化法》认为,外资安全审查应该增加考虑“受管辖交易直接或间接可能暴露美国公民个人可识别信息、基因信息或其他敏感数据的范围”,原因在于“这些信息可能被外国政府或外国主体获取,并以威胁美国国家安全的方式挖掘利用”。例如,通过数据聚合分析,可能会发现某些关键岗位人员的财务或健康状况,以此威胁、利诱这些人员实施危害国家安全行为。
从上述逻辑出发,该法将对于国家安全造成威胁的高风险敏感数据界定为“敏感个人数据”,并明确将敏感个人数据列为外国投资安全审查时评估国家安全风险的要素之一。需要指出的是,这里的“敏感个人数据”并不是常说的“个人敏感数据”或“个人敏感信息”,这里的“敏感”并不是强调相关主体个人权益的保护,而是强调对美国国家安全的威胁。《外国投资风险审查现代化法》的实施细则,从两方面界定了影响国家安全的敏感个人数据:
一是界定了可识别数据,其是指“可用于区分或追踪个人身份的数据,包括个人身份标识符”。如果交易一方具备使聚合数据分解、匿名数据去匿名化的能力,那么聚合数据和匿名数据也是可识别的。实施细则列出了 10 类个人可识别数据,分别是:个人财务状况数据,消费者信用报告数据,保险申请相关数据、个人身体、精神或心理健康状况数据,非公开的电子通信数据,地理位置数据,生物识别数据(包括面部、声音、视网膜/虹膜和手掌/指纹),州或联邦的个人身份证数据,政府工作人员安全审查状况相关数据,政府工作人员安全审查申请或公众信任职位申请。此外,个人的基因检测结果包括基因测序数据,也构成可识别数据,但应该排除美国政府维护的数据库为了研究目的定期向私营部门提供的基因检测结果数据。
二是界定了“对国家安全的风险性”。细则规定被投资的美国商业应具备下列情形之一:目标或定制产品或服务是针对负有情报、国家安全或国土安全职责的美国行政机构或军事部门,或者针对这些机构或部门的工作人员和承包商;在交易完成或者提交书面通知或申报之前 12 个月内的任一时间节点,曾经持有或者收集超过 100 万人的可识别数据;其已证明的商业目标,是持有或者收集超过 100 万人的可识别数据,且这些数据属于所投美国商业的主营产品或服务不可分割的一部分。由此可知,只有所投资的美国商业持有或收集的个人可识别数据不是来自上述美国政府部门或人员,并且数据量没有达到 100 万人的门槛,该笔投资才不属于美国外资安全审查的范围。
三、审查扩大至涉及敏感个人数据的非控制性投资
相较于之前美国外资安全审查仅可管辖外国主体对美国商业的“控制性”交易,《外国投资风险审查现代化法》授权美国总统和外国投资委员会可以审查某些针对特定领域美国商业的外国非控制性投资,这些特定领域美国商业是指涉及关键技术、关键基础设施和敏感个人数据(CriticalTechnologies, Critical Infrastructure, SensitivePersonal Data,TID)的商业,简称“美国 TID 商业”。
只要对美国敏感个人数据商业的非控制性投资使得外国主体取得了以下权利,该投资就属于审查范围:取得该美国商业重大非公开技术信息的访问权限;取得该美国商业董事会或同等管理机构的成员或观察员权利,或者有权指定他人进入董事会或同等管理机构任职;除了股份投票权外,取得该美国商业有关敏感个人数据业务实质性决策的参与权,包括决定使用、开发、获取、保管或发布其持有或收集的美国公民的敏感个人数据。因此,如果外国主体针对持有或收集美国公民敏感个人数据的美国商业投资,并且能够取得上述权利,例如参与“美国公民个人敏感数据的使用、开发、获取、保管或发布”业务的决策等,该外国主体对美国商业的投资就应纳入美国外资安全审查的范围。
当然,如果外国主体对持有或收集个人可识别数据的美国商业的投资达到了“控制”程度,那么不论这些数据是否涉及上述有关国家安全的部门和人员,只要外国主体能够获取大量的个人可识别数据,也有可能会纳入美国外资安全审查范围。2020年 3 月,美国总统特朗普基于美国外国投资委员会的审查发布行政命令,要求北京石基公司在 120天内剥离其收购的美国 StayNTouch 公司的所有权益。StayNTouch 提供云端酒店管理软件,获取和存储美国公民的酒店入住数据,2018 年石基公司收购了其 100% 股权。从行政命令“可能损害美国国家安全”以及要求石基公司完成撤资前“不得通过StayNTouch 访问酒店客人数据”的表述来看,大量个人可识别数据对国家安全的威胁是禁止该交易的主要考虑。
相较于之前交易当事方自愿申报的程序,《外国投资风险审查现代化法》规定了强制申报程序,对于美国敏感个人数据商业的投资应适用强制申报程序:外国政府直接或间接拥有实质利益的外国主体,其投资交易如果会导致该主体直接或间接获得美国敏感个人数据商业的实质利益,那么该交易就应当向美国外国投资委员会申报。对于何为“实质利益”,根据目前实施细则,外国政府对于外国主体拥有的“实质利益”,是指外国政府直接或间接拥有 49% 或以上的投票权;外国主体获得美国敏感个人数据商业的“实质利益”,是指外国主体直接或间接获得 25% 或以上的投票权。交易当事方应当在完成交易之前的 30 天提交申报。由此,外国政府控制的国有企业等对涉及敏感个人数据的美国商业的部分投资,必须进行申报。
四、美国将数据安全风险纳入外资安全审查的评析及启示
总结来看,美国开始关注和应对高风险敏感数据带来的国家安全风险,将这种高风险敏感数据主要界定为“敏感个人数据”,并将敏感个人数据风险纳入了外资安全审查之中。美国《外国投资风险审查现代化法》及实施细则,明确界定了个人数据可能影响国家安全的判定标准:一是数据本身就属于个人的敏感可识别数据,列举了11 类个人可识别数据;二是界定了数据的国家安全敏感性,要么数据主体的身份敏感,属于关系国家安全的行政机构或军事部门工作人员等,要么数据的体量巨大,目前规定的下限是 100 万人的可识别数据。这种界定的道理在于,对敏感身份主体可识别数据和大体量可识别数据集合的利用,都有可能威胁国家安全。上述立法思路和制度设计对于应对数据处理活动带来的国家安全风险有一定的借鉴意义。
当然也应该看到,外商投资安全审查的初衷是维护国家经济安全,审查重点是外国资本控制本国企业的国家安全风险,审查标准较为模糊、透明度较低,这种仅侧重外国投资控制性的国家安全审查显然无法涵盖所有可能影响国家安全的数据处理活动。从近期美国的相关审查实践来看,仅从外国投资控制性出发考虑数据安全审查,很容易导致以安全之名干涉正常贸易,使得安全审查异化成一种政策工具和贸易壁垒。
美国上述制度设计对我国构建数据安全审查制度的启示在于:一是数据安全审查不应该不加区分地针对所有数据,应该从国家安全高度界定数据安全审查的范围。从我国《数据安全法》的规定来看,在我国就可以将这种关系国家安全的高风险敏感数据认定为“重要数据”,那么重要数据的处理活动才应该是数据安全审查的范围。二是针对“数据安全”的国家安全审查制度,应该形成不同规范相互配合的制度体系。将数据安全风险作为外资安全审查的考虑因素,虽然可以防范和化解一些国家数据安全风险,但不足以应对所有可能影响国家安全的数据处理活动,还是有必要应该探索一种基于技术标准、具有较高透明度的安全审查制度。我国于2020 年颁行的《网络安全审查办法》,在定位上聚焦维护国家安全,在审查标准上突出供应链安全,明确将“重要数据被窃取、泄露、毁损的风险” 列为关键信息基础设施供应链国家安全风险评估的考虑因素,并建立了相对透明合理的审查程序,为这种制度探索积累了一定的实践经验。我国《数据安全法》第 24 条进一步规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”相信随着《数据安全法》的实施及其配套立法的完善,我国数据安全审查的范围、方式和程序会进一步细化,我国将逐步建立起适应实践需求、切实维护国家安全的数据安全审查制度体系。[本文为国家社科基金重大项目“网络空间政策法规的翻译、研究与数据库建设”(20&ZD179)的阶段性研究成果]
(本文刊登于《中国信息安全》杂志2021年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
