史上首次：美国禁止向中国跨境传输数据

2024年2月28日，拜登政府依据《国际紧急经济权力法》（IEEPA）发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知（ANPRM）Fact Sheet，概述了实施该命令的规则。尽管预通知的全文还没公布（据说有200多页），但从已有信息已经可以判断，美国政府决意切断某些敏感数据向中国和其他几个同样被美国视为“外国敌手”的国家的跨境传输。

尽管要切断跨境传输的不是所有数据，针对的对象也只是几个国家，白宫也强调这不是要破坏美国维护开放互联网的承诺，但对一直主张比较彻底的数据跨境自由流动的美国而言，这些行动无疑代表了其数据政策和法律的重大转变，在美国历史上第一次创建了一个美国人数据跨境传输的审查机制，也成为继中国之后，第二个政府基于国家安全理由明确介入商业数据跨境流动的国家。白宫发布的新闻稿也承认，这是“美国总统为保护美国人的数据安全所采取的最重要的行政行动”。

去年10月份时，路透社的一个报道曾透露，美国贸易代表办公室（USTR）在WTO发表声明，表示美国政府将撤回其在数据跨境自由流动问题上的国家立场。对此，笔者曾经在美国要放弃数据跨境自由流动的主张？一文中进行了讨论。当时普遍的猜测是：拜登政府这样做是希望回应联邦参议员Elizabeth Warren等民主党进步派的关切，为国会提供监管大科技公司的空间。尽管似乎说得有点道理，但老实说总是感觉略显牵强。直到今天，笔者似乎明白了美国政府当时的真实意图。一个国家的立法作为国际法上的“国家实践”，需要和它的相关国际规则主张保持一致。如果无法继续保持一致了，就只能调整自己的国际主张了？

行政命令和预通知都说了什么？笔者认为核心的信息主要是以下几个：

1、美国想要保护什么数据：大部分是个人敏感信息，包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人可识别信息。

2、这些数据不能允许流向哪些国家：明确了包括中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗，把这些国家称为“受关注国家”（没有像CFIUS和ICTS规则一样直接叫“外国敌手”，还是给了一点点面子）。

3、给好几个政府部门下了任务：让他们在不同的事权范围内去完成KPI，核心就是要保护美国人的上述敏感数据不被“受关注国家”获取和访问。这里特别提到了让美国司法部和国土安全部制定一个比较高的网络安全标准，防止通过美国的数据经纪人访问美国数据。

和中国近些年才开始考虑数据交易问题不同，美国有着历史悠久和十分发达的数据经纪人制度。数据经纪人是一些收集、分析和出售个人数据给第三方的公司，这些数据可能包括个人健康信息、消费习惯、财务状况和在线行为等敏感信息。通过数据经纪人购买数据目前在美国是合法的。一些数据安全领域的美国专家学者一直在呼吁政府要管管数据经纪人，比如杜克大学的助理教授Justin Sherman写了很多文章，分析数据经纪人制度可能给美国公民的个人隐私和美国国家安全带来的危害，他甚至做过一个调查，发现外国政府和企业可以以每条记录0.12美元的价格从美国数据经纪人那里拿到美国军人的数据。

这些讨论逐渐影响了美国政府和一些国会议员的看法，美国情报机关和执法部门多年来一直从数据经纪人采购大量个人数据和商业数据，用于情报国安活动和调查犯罪，因此可能认为外国政府也会这么做。国会民主党参议员Ron Wyden长期关心数据经纪人问题，早在2021年4月就联合Chunk Schumer等议员提出《第四修正案不出售法案》（目前停留在参议院司法委员会），禁止数据经纪人向美国情报、执法机关出售位置数据等个人数据。从行政令看，这次美国政府终于下定决心要出手了。

4、金融数据的跨境传输得以豁免：金融数据的范围非常广泛，比如银行客户的姓名、银行账号、地址等基础身份信息，信用卡、支付记录、交易流水等。这次豁免金融数据并不奇怪，美国的金融系统高度全球化，太依赖跨境数据自由流动来支持国际贸易、投资、银行业务和支付系统了，所以美国在美墨加协定（USMAC）和其他一些自贸协定中一直坚持要让金融数据能跨境自由流动，这关系到美国在金融领域的全球商业利益。除此之外，司法部还强调，美国还是禁止数据本地化要求，并会豁免包括低风险商业数据在内的一般数据。

5、具体门槛：对涉及美国政府的敏感数据（比如敏感政府部门的地理位置数据，跨境传输到“受关注国家”一概要审查；对其他受限数据，只有达到一定量级才会审查。

6、监管方式：考虑模仿由财政部外国资产控制办公室基于IEEPA的经济制裁机制：美国公司将根据自己的实际风险概况开发和实施遵守新规的计划。如果发生违规，监管部门将在执法行动中考虑有关公司合规的情况，可能进行民事处罚。司法部同时也在考虑基于IEEPA对违规行为实施刑事处罚的可行性。总的来说，行政令对司法部等具体主责部门的授权很广泛，既既包括禁止交易也包括限制交易，并且也授权各部门行使IEEPA授予总统的所有其他权力，以实现该行政令目的，具体的机制应该会在预通知中完整体现。

行政命令和预通知是美国在中美数据跨境流动问题上的一次重大政策转向，但其脉络甚至可以追溯到十年之前。随着两国数字技术的发展，数据安全也成为双边经贸关系中一个越来越突出的问题，两国在数据安全领域的互信越来越缺乏。不管是在中国还是美国运营的跨国公司，都在彼此国家遇到了数据安全方面越来越大的不信任和监管压力。

这种不信任的根源在于双方的政治互信在削弱，对国际战略环境的判断也都发生了很大的变化，都开始更加强调国家安全。在网络和数据领域，我国三法一条例的很多制度设计，网络安全审查、数据安全审查着眼点主要都是国家安全。中美关于会计底稿审计的博弈更是体现了鲜明的国家安全关切。拜登政府的国家安全战略报告明确认为中国是美国面对的“最严重的地缘政治挑战”，未来10年是美国与中国进行较量的“决定性10年”。中美博弈的时代背景下，地缘政治和数据安全空前交织在一起，双方在彼此跨境运营的企业也因此承受了巨大的合规和声誉成本。

具体来说，美国对中国企业收集和跨境传输美国人的数据有很独特的关切：

首先，企业的中国背景本身就被认为是国家安全风险。美国传统上是鼓励和倡导数据跨境流动的，但后来越来越明显地把国家分成了外国敌手和非外国敌手，采用不同的标准区别对待。美国两党初步达成共识、但推进困难的联邦隐私法案要求美国公司如果向外国对手传输数据，要在隐私政策里写清楚，已经隐含了这个思路。很多时候企业合规上可能没有任何问题，但只要是被认为是外国敌手国家的企业，就会被推定可能威胁美国数据安全，需要严格审查、区别对待。

其次，美国政府对中国企业收集和跨境传输美国敏感数据的关切重点也发生了转变。美国十分权威的数据安全政策法律界专家认为，以前美国担心敏感数据被中国获取和访问集中在网络攻击问题，但现在认为中国对美国一般商业数据的获取和访问，也会给带来国家安全风险。其所秉持的核心逻辑是：

1、中国在美国运营的企业会收集美国用户的数据，而这些企业在中国的母公司受到中国国家情报法、国家安全法、网络安全法、数据安全法等法律的约束，这些法律明确要求中国企业配合提供情报协助和在外国收集数据。尽管中国外交部早就发布了《全球数据安全倡议》，中国政府也一直对外澄清不会要求企业提供域外存储的数据，但由于无论是倡议还是政府表态都没有法律效力，其效果比较有限。

2、如果中国企业收集了美国人，特别是美国官员、安全、军事人员等敏感人员的数据，在上述中国法律要求下就会把这些数据交给中国政府。如果把这些数据汇总结合起来进行分析，就能对这些人进行操纵或胁迫，危害美国的国家安全。中兴、华为最开始是被排除出美国联邦和州政府设备，很大程度上出于上面这一逻辑链条。哪怕一般美国人的数据，如果相关的数据比较敏感和重要，而且数量又比较大，那么美国政府也会认为外国可能通过这些数据深入了解美国消费者的行为、风险承受能力和其他偏好，这种类型的洞察力绝不能被外国敌手获得。

笔者感觉，如果说这些关于数据安全的关切一直存在了很多年，人工智能大语言模型的出现无疑极大放大了这些关切。用一个美国专家在推特上的话说，美国政府可能担心先进的大语言模型能够帮助外国国家在海量数据中“大海捞针”，识别和控制关键敏感数据，并且使用这些敏感个人数据来训练算法，威胁美国的国家安全。

基于上述的政策考虑，美国从特朗普政府时期就已经开始出台一些限制中国企业收集和跨境传输美国人数据的政策法律工具。

1、外国投资安全审查

在这些动作当中，美国外国投资委员会（CFIUS）操刀的外国投资审查是给中国在美涉及数据的投资并购带来最大影响的机制之一。CFIUS审查的重点曾经长期专注于国防和反恐领域，侧重审查美国军工国防产业，但近年来开始扩展到数据安全领域，特别是美国敏感数据的安全。包括保险、金融、教育、娱乐和社交媒体等广泛的涉及个人数据的领域，都成了审查对象

特朗普政府2018年8月颁布《外国投资风险审查现代化法案》（FIRRMA），不仅扩大了CFIUS的管辖范围，还把保护敏感的个人数据作为国家安全风险考量的重要因素。FIRRMA对中国和中国企业有很强的针对性，很多涉及数据安全/敏感个人信息的中国企业对美国企业的收购被否决，或在施加缓解措施之后才通过。而相对比的是，非中国企业的收购即便是涉及美国敏感数据，被审查的也很少，并且在大多数案件中根本不用和CFIUS签订国家安全协议。

2022年9月，拜登政府就CFIUS审查应考虑的国家安全风险因素发布了一个新的总统行政令，这是CFIUS1975年成立以来的第一次。这个行政令特别强调CFIUS在审查一项交易对美国国家安全的影响时，应当考虑涉及敏感数据的国家安全风险因素，用了两大段阐述了上面讲到的美国政府在数据安全方面的政策考虑。

2、信息通信技术和服务供应链安全审查

2023年，美国商务部又通过了《确保信息通信技术和服务供应链安全的最终规则》（ICTS规则）。和CFIUS审查的是外国对美投资不同，ICTS规则审查的是美国公司和中国公司涉及所谓“信息通信技术产品和服务”（ICTS）的交易。典型的例子比如一家中国公司对美国公司提供云服务。

ICTS规则明确：如果相关ICTS交易涉及美国的”个人敏感数据“，且商务部认为交易对美国国家安全带来了严重风险，则有权进行审查，可以要求采取缓解措施，也可以直接否决交易。具体来说，针对的是“对数据托管及计算服务不可或缺的软件、硬件或任何其他产品或服务（包括例如虚拟私人服务器等软件定义服务）”，而且这些软件、硬件或任何其他产品或服务“在ICTS交易发生前的超过12个月已经或者将会使用、处理或保留超过100万美国人的敏感个人数据”。

这也是美国首次在法律中引入了一个数据量级的门槛。至于说为什么美国政府会认为100万美国人的敏感数据会直接影响到国家安全，则不得而知。值得注意的是，中国的数据出境安全评估办法也有100万人个人信息的量级标准，达到这个量级的个人信息出境按照目前的规定需要进行安全评估。

不管是外资审查还是ICTS审查，尽管实际上都限制了美国个人敏感数据向中国的跨境流动，中国政府也明确将其定性为“泛化国家安全”“违反了世贸组织开放、透明、非歧视原则”，但不能不承认，它们整体上是比较狭窄的，局限在投资和ICTS贸易两个领域，且至少表面上有国家安全例外作为国际法基础，哪怕你投诉到WTO或者援引TRIMs协定，也很难认定其违反WTO规则的国家安全例外，很难证明其构成TRIMs禁止的违反国民待遇和取消数量限制原则。并且，两个审查机制具有相当程度的个案性质，比如一个案例中的缓解措施不一定能在其他审查案例中适用，很多情况下取决于具体交易中相关数据的数量和敏感性，以及和数据无关的其他国家安全考量因素，比如外国政府对相关公司的控制权等等。

3、2023年《保护美国人数据免受外国监视法案》

2023年6月14日，美国国会参议员Ron Wyden（民主党）和Cynthia Lummis（共和党）向参议院提交了2023年《保护美国人数据免受外国监视法案》。笔者认为，这个法案虽然还没有成功，但却是一个实质性的、全面限制数据跨境流动的国会立法。法案把出口管制作为数据跨境流动的监管工具，核心思想是：如果美国人的数据出口到对美国不友好的国家可能威胁到国家安全，需要修改2018年《出口管制改革法》，对某些类型的美国人数据出口到特定国家进行出口管制。主要内容是一个两步走的机制：

第一步：商务部对美国人的个人数据进行分类，确定哪类数据出口、达到多大量级（法案设定的阈值是1万到100万之间，对每一类数据都会设置具体的阈值）可能危害美国的国家安全，编制一个这类数据类别的清单。第二步：制定风险数据类别清单后，商务部再制定针对这些数据的出口管制条例，以及一份“高风险”国家名单、一份“低风险”国家名单。对“高风险”国家采取“推定拒绝”，即禁止向其出口风险数据类别清单上的数据，除非能够证明出口不会危害美国的国家安全。对“低风险”国家，则允许自由出口上述数据，无须申请许可。对不在两个名单上的国家可以出口上述数据，但需要申请许可。

尽管这个法案在国会暂时被搁置，但它很有可能给拜登政府这次行政命令不少灵感和思路：一方面要限制向中国的数据跨境传输，另一方面又要避免过度限制数据跨境流动、损害美国公司的商业利益、违背自己在数据跨境流动国际规则上的承诺，所以采取了精准打击的策略，挑出特定的国家和特定的数据，采取区别对待的政策和监管工具。

行政命令表明，在美国联邦层面的统一隐私法因为国会内部分歧裹足不前的形势下，拜登政府正把其行政权力工具箱用到极致，以回应当前的地缘政治形势以及美国各界对数据安全的关切，应该也有借此为11月份大选加分的考虑。这是对美国国家安全群体和对华鹰派的一个积极回应，但美国的跨国公司很受伤，特别是和中国有大量商业往来（以及附带的大量数据交互）的公司。不出意外，行政命令和预通知刚出来就引起了美国商界极大的关切。美国跨国企业和商业团体很担心这些限制数据跨境自由流动的新规则可能会影响正常国际业务中进行的交易和数据传输，特别是这些规则对美国大科技公司的影响可能是最为显著的。代表企业软件公司的贸易组织BSA|软件联盟全球政策高级副总裁艾伦·库珀马上发表了一份声明，表示：“数据和信息的跨境交换是美国在全球经济中领导地位的基石，世界各地的政策制定者在引入可能对不同行业产生广泛影响的限制之前应该谨慎行事。”

应该是预料到了商界的反弹，白宫和司法部不断强调，该行政命令和预通知不会影响跨国公司因为内部人力资源管理等产生的数据跨境传输，且只会狭窄地针对美国公司和“受关注国家”之间的交易，不是要切断国际数据流，更不会限制低风险商业活动的数据流动。但问题是，“受关注国家”里的中国和俄罗斯、伊朗这些国家对美国公司的意义完全不同，哪怕是非常狭窄的数据范围切口，也会影响一大批企业。何况，对数据的精确分类和定义已经被证明是世界难题，一个“个人可识别信息”已经难倒了一众法学家和技术专家，实操中怎么明确受限制数据的范围，怎么真正排除低风险的商业数据，司法部等部门怎么去识别和监管受限数据，在肉眼可见的一段时期恐怕都会是笔糊涂账。

两个潜在的法律问题

WTO规则：这种挑出几个国家在数据跨境流动方面区别对待的做法，在国际贸易的场景下是否构成歧视，是否构成对WTO规则的违反？诚然，WTO框架下有国家安全例外，行政命令和预通知也明确指向的是国家安全政策目标。如果中国政府选择针对行政令向WTO申诉，这会是在数据跨境流动问题上一个很有看点的、涉及“国家安全例外”的纠纷。

伯曼修正案：由于行政命令的法律基础是IEEPA，一些人可能会思考这对伯曼修正案会有什么影响。IEEPA诚然允许美国总统基于美国国家安全利益宣布“国家紧急状态”，对美国公司和外国公司的正常经济活动实施限制，但这要受到“伯曼修正案”的制约，也就是这种限制不能阻碍“信息或信息材料的传输”。起源于限制冷战时期美国总统禁止进口古巴书籍权力的“伯曼修正案”，反映的是美国限制行政权力的历史传统，但根基是美国宪法第一修正案的言论自由权。批量数据的跨境传输，和言论自由、信息或信息材料的跨国传输之间是什么关系，数据和信息、言论之间是否存在重叠的部分，也是很有意思、值得琢磨的问题。

附件：