2024年2月28日,美国总统签发第14117号行政令——《关于防止受关注国家获取美国人的大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,下称“14117号行政令”)。同日,美国司法部发布了关于14117号行政令的情况说明(Fact Sheet,下称“《情况说明》”),以及关于《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》(Provisions Regarding Access to Americans’ Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern,下称“《数据限制规则》”)的《拟议规则预通知》(Advance Notice of Proposed Rulemaking,下称“《预通知》”),对14117号行政令的要求进行细化,并就有关《数据限制规则》公开征求意见,目前正式的规则尚未发布。
根据上述14117行政令、《情况说明》以及《预通知》,美国司法部等部门将制定相应规则以限制或禁止美国主体,与中国(含香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉六个“受关注国家”及受关注国家有关的受限制主体,开展涉及特定美国主体大量敏感个人数据及美国政府相关数据的交易。目前,明确将被禁止或限制的相关交易形式包括数据经纪交易、基因组数据交易、供应商协议、雇佣协议以及投资协议。
因此,美国有关敏感数据跨境限制规则如最终落地,将对从事中美跨境贸易和投资的企业,以及在美国和中国等受关注国家经营的跨国公司的相关交易场景领域以及日常经营合规带来巨大挑战。对数据服务和交互依赖较强的相关行业领域而言,如生物科技、医疗健康、跨境电商、社交娱乐软件、IT及AI科技、智能汽车、地图测绘和金融行业等,美国的有关数据规则限制将广泛影响有关行业在中美间的跨境贸易和国际供应链稳定、中美间人才流动及科研合作,以及中国企业在美国投资经营。当前,美国针对中国的限制措施从出口管制、经济制裁、投资禁令等方面延展至数据合规领域,可能进一步影响中国科技、经济发展,在中美间进行贸易、投资的跨国企业同时将面临着全方位的合规挑战。
一、美国敏感数据跨境限制行政令的主要内容
根据14117号行政令、《情况说明》以及《预通知》的内容,行政令及美国司法部初步拟定的《数据限制规则》的核心内容可以概括如下:
美国禁止或限制“美国主体(United States Person)”与“受关注国家(Country of Concern)”及“受限制主体(Covered Person)”开展涉及受限的“大量敏感个人数据和政府相关数据(Bulk Sensitive Personal Data and Government-related Data)”的特定“数据交易(Data Transactions)”。
目前拟定的相关规则明确了可受到豁免的特定数据交易,同时美国政府相关部门有权通过颁发通用或特别许可的方式对特定受限的数据交易准许豁免(统称“豁免情形”)。如违反美国数据跨境限制新规,14117号行政令授权美国司法部制定相应的民事和刑事处罚规则,目前司法部的《情况说明》以及《预通知》对具体处罚措施尚未明确。
就上述主要关键词的具体含义和界定,我们总结如下:
1 美国主体(U.S. Persons)
14117号行政令对于美国主体进行了明确的定义,包括:美国公民、国民或合法永久居民;以难民身份进入美国或者获得美国庇护的个人;仅根据美国法或在美国境内司法辖区下组建的实体(或外国分支机构);以及任何位于美国境内的主体。
2 受关注国家(Country of Concern)
根据14117号行政令,“受关注国家”由美国司法部识别认定,指的是被美国认为从事损害美国国家安全行为且存在重大风险利用大量敏感个人数据或美国政府相关数据损害美国国家安全的国家。根据《情况说明》以及《预通知》,美国司法部目前拟将中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉认定为“受关注国家”。
3 受限制主体(Covered Person)
根据14117号行政令、《情况说明》以及《预通知》,“受限制主体”主要是指被受关注国家管辖、管理、所有或控制的实体和个人,美国认为从法律和实际角度看,向这些主体提供敏感个人数据和美国政府相关数据都将使相关数据处于受关注国家的控制范围内。具体而言,美国司法部目前列举了以下五类主体:
(1)由受关注国家直接或间接拥有50%或以上股权的实体,以及在受关注国家注册或其主要业务地在受关注国家的实体;
(2)由第1)、3)、4)或5)类受限制主体直接或间接拥有50%或以上股权的实体;
(3)作为受关注国家或第1)、2)或5)类受限制主体的雇员或承包商的外国主体(foreign person,即非美国主体);
(4)主要居住在受关注国家领土管辖范围内的外国主体(foreign person);以及
(5)被美国司法部部长指定为由受关注国家拥有或控制,或受关注国家管辖或管理的主体,或者是代表或声称代表受关注国家或相关人员行事的主体,或者是“故意”导致或“引起”违反相关规定行为的主体。
4 大量敏感个人数据(Bulk Sensitive Personal Data)
根据14117号行政令、《情况说明》以及《预通知》,受限制的大量敏感个人数据是指达到一定阈值的敏感个人数据,包括特定的个人标识符(covered personal identifiers)、地理定位和相关传感器数据(geolocation and related sensor data)、生物识别标识(biometric identifiers)、人类组学数据(human omic data)、个人健康数据(personal health data)、个人财务数据(personal financial data)。
美国司法部目前考虑在下列范围内设定相关敏感个人数据的相应阈值:
【敏感个人数据的例外】:根据《预通知》的规则,以下数据类型可能将被排除在敏感个人数据之外,包括:
(1)与个人无关的公开或非公开数据,包括符合《美国法典》相关规定对“商业秘密”或“专有信息”定义的数据;
(2)公众可以从联邦、州或地方政府记录或其他不受限制、可广泛传播的媒介(如开庭记录等)中合法获取的数据;
(3)《美国法典》定义的不会转让任何有价值的个人通信消息。
5 美国政府相关数据(Government-related Data)
美国政府相关数据指的是被司法部认定的下列可能被利用来破坏美国国家安全的敏感个人数据(不论数量阈值),包括:
(1)精确的地理位置数据,主要与军事、其他政府机构或敏感设施或地点相关的特定地理围栏区域列表中列出的任何区域内位置;
(2)敏感个人数据,与美国政府(包括军队和情报部门)现任、前任雇员、承包商或前任高级官员关联或可关联的任何敏感个人数据。
6 特定数据交易(Data Transactions)
根据14117号行政令、《情况说明》以及《预通知》,美国将受规制的特定数据交易分为两类:(1)被禁止的数据交易,即相关交易被完全禁止,包括数据经纪交易以及涉及转移大量人类基因组数据或生物样本(此种数据可从交易中提取)的基因组数据交易;和(2)受限制的数据交易,即该交易需要符合美国相关政府部门制定的安全要求的条件下经批准才能进行,包括涉及提供商品和服务的供应商协议、雇佣协议以及投资协议。
综上所述,14117号行政令及相关规定的出台体现了美国近年针对中国、俄罗斯等国家管控政策在数据安全限制方面的进一步加强。根据目前已公布的管控政策和拟定规则,如果美国主体与包括中国主体在内的受关注国家和受限制主体之间进行的交易(包括数据交易,商品或服务交易、雇佣协议或投资交易)涉及到使受关注国家或受限制主体获取/访问一定量级的敏感个人数据或美国政府相关数据,则该种交易都可能被禁止或限制。
二、美国敏感数据跨境限制令将影响的主要行业和领域
14117号行政令及相关拟生效的法规,主要针对的是对美国主体的敏感个人数据和美国政府相关数据的保护,从目前有关拟定规则对相关数据界定的范围来看,将主要影响对数据服务和交互依赖较强的相关行业领域,如生物科技、医疗健康、跨境电商、社交娱乐软件、IT及AI科技、智能汽车、地图测绘和金融行业等。
1 敏感个人数据的具体界定
如上所述,美国主要将管控的是大量美国主体的敏感个人数据以及美国政府相关数据。具体而言,美国司法部目前将相关敏感个人数据的定义如下:
2
受影响的主要行业和领域
结合上述有关敏感个人数据及美国政府相关数据的具体定义,以及有关被禁止或限制的数据交易形式,在下列有关行业和领域进行中美跨境贸易和投资的中国企业可能将受到美国敏感数据跨境限制令的重大影响:
(1)生物科技、医疗健康行业
目前的拟定规则中特别将生物识别标识、人类组学数据、个人健康数据作为受限制的敏感个人数据,占到所有敏感个人数据类别的一半,且禁止涉及转移大量人类基因组数据或生物样本的基因组数据交易。对于从事生物科技、医疗健康行业的主体而言,前述数据是相关领域交易的重要组成部分,例如基因组学研究、个性化医疗、智能医疗器械设备及云服务等,生物科技和医疗健康行业的创新通常依赖于数据的收集、分析和应用。如果相关中国企业或有关受限制主体与该领域的美国主体进行相关交易(例如相关受限数据经济交易、对美投资、受美国主体雇佣和提供可能获取相关数据的设备或服务、基因组数据交易),当交易涉及到一定量级的相关数据跨境传输或访问,则相关交易可能会受到禁止和限制。生物科技、医疗健康行业在中美之间的数据获取、技术合作和创新、市场准入等将大幅受限。
此外,美国国会于2024年1月提出了《生物安全法案》草案,拟禁止美国政府机构采购或使用所谓“受关注生物技术公司”(主要为中国公司)的生物科技设备或服务,并禁止政府机构与使用相关产品的实体签订、延长或续签合同。因此,由于有关敏感个人数据的界定范围大篇幅涉及生物科技、医疗及生命科学领域可能接触的数据,加之美国近年来针对中国生物安全领域的遏制政策动态,相关领域的中国企业将可能在跨境交易中进一步受到美国敏感数据跨境限制令的负面影响。
(2)跨境电商、社交娱乐软件行业
目前的拟定规则将特定的个人标识符(包括个人身份信息、广告识别符、账户认证数据等)以及精确的地理定位数据列为受限制的敏感个人数据,并限制涉及提供商品和服务的供应商协议以及投资协议。跨境电商通常依赖于大量的个人用户数据来进行市场定位、广告定向和个性化推荐,社交娱乐软件行业则通常依赖于用户规模和活跃度及相应的数据支撑来吸引广告主和投资者。如果限制相关数据交易,赴美投资、经营的中国跨境电商、社交娱乐软件企业可能将面临新的市场准入门槛障碍,且很大程度上将被削弱对市场的数据洞察力,影响营销策略和产品定位,进一步影响相关产品、内容和服务的输出质量,降低相关平台的功能和吸引力。
(3)IT及AI科技行业
此外,最受影响的行业之一可能包括IT及AI科技行业,例如人工智能、大数据分析、云计算服务等依赖于大量的数据来进行算法训练和模型开发的领域。然而,目前的拟定规则将禁止或限制可能使中国主体获取美国敏感个人数据和政府相关数据的相关数据经纪交易、涉及提供商品和服务的供应商协议等交易形式,如果中美IT及AI科技企业在进行技术研发合作、提供数据相关的技术服务或投资过程中涉及相关受限数据,则交易可能被禁止或受限。因此,美国敏感数据跨境限制令不可避免将对中美间IT及AI科技企业的数据获取能力、技术合作、市场准入和创新等方面产生负面影响。
(4)智能汽车、地图测绘
由于美国敏感数据跨境限制令的拟定规则中将地理定位数据、生物识别标识等界定为敏感个人数据,且在美国政府相关数据中设置了地理位置数据,因此对智能汽车、地图测绘等行业也可能将产生多方面影响。智能汽车依赖高精度的地图数据来进行导航和自动驾驶,且需要实时的交通和路况数据来优化交通流量和路线规划,而地图测绘行业需要大量的地理位置数据和传感器数据来绘制地图并提供定位服务。如果禁止或限制中国主体对美国地理位置数据和传感器数据的获取,将影响地图的更新和精度,可能导致中国智能汽车、地图测绘相关企业在美国导航和自动驾驶方面的竞争力下降。
(5)金融行业
数据的跨境传输及交易在金融服务行业中也很常见,其经常被应用于风险评估、信用评分、反洗钱、反欺诈等方面。金融机构通常需要处理大量的个人识别符、个人财务数据等敏感数据来进行客户身份验证、交易监控、信用评估等。因此,由于目前拟定规则中将特定的个人识别符和个人财务数据列为敏感个人数据,对中美间的金融跨境服务而言,如果相关交易涉及受限敏感数据,则亦可能被禁止或限制。因此,对于有关金融服务行业的跨境支付、投资和资产管理而言,有关数据交易的限制将会增加企业的合规运营成本和管理压力。
三、美国敏感数据跨境限制令对中美贸易和投资可能带来的重大影响
目前美国敏感数据跨境限制令的拟定规则就有关禁止或限制的数据交易形式进行了明确界定,从相关受限数据交易形式来看,美国的有关数据规则限制将广泛影响上述有关行业在中美间的跨境贸易和供应链稳定、中美间人才流动及科研合作、以及中国企业在美国投资经营。
1 特定受限数据交易的具体形式
如上所述,美国将受规制的特定数据交易分为两类:被禁止的数据交易,和受限制的数据交易,相关交易形式具体界定如下:
(1)被禁止的数据交易
依据《情况说明》以及《预通知》,美国将禁止美国主体与受关注国家或受限制主体进行涉及将使后者获取大量敏感个人数据或美国政府相关数据的如下交易,包括:
A. 数据经纪交易:指出售、授权访问或类似涉及任何提供方向接收方转移数据的商业交易,并且接收方收集或处理的个人数据并非直接从数据关联主体处收集;以及
B. 涉及转移大量人类基因组数据或生物样本(此种数据可从交易中提取)的基因组数据交易。就该种交易的具体定义,目前已发布内容尚未进行明确。
(2)受限制的数据交易
依据《情况说明》以及《预通知》,除非满足美国相关政府部门制定的安全要求,美国将限制美国主体与受关注国家或受限制主体进行涉及到将使后者获取大量敏感个人数据或美国政府相关数据的如下交易,包括:
A.涉及提供商品和服务的供应商协议:指一方向另一方提供商品或服务以换取付款或其他对价的协议或安排,包括技术服务和云计算服务,但不包括雇佣协议。
B.雇佣协议:指个人直接为某一主体工作或履行工作职能以换取报酬或其他对价的任何协议或安排,包括在董事会或委员会中的雇佣、行政级别的安排或服务以及业务层面的雇佣服务,但不包括独立承包商。
C.投资协议:指任何主体以付款或其他对价为交换条件,直接或间接获得位于美国的不动产或美国法律实体的所有权益或相关权利的任何协议或安排。
2 对中美贸易和投资的主要影响
结合上述有关受限数据交易形式的具体界定,以及有关敏感个人数据及美国政府相关数据的具体定义,拟定的美国敏感数据跨境限制令将可能主要影响中美间的跨境贸易和国际供应链稳定、中美间人才流动及科研合作,以及中国企业在美国投资经营。
(1)对中美跨境贸易和国际供应链的影响
美国敏感数据跨境限制令瞄准生物科技、医疗健康、跨境电商、社交娱乐软件、IT及AI科技、智能汽车等核心行业领域强依赖的数据资源,并限制涉及相关敏感个人数据的商品和服务供应商协议交易,在全球产业链、供应链调整的背景下,美国拟以立法和行政执法手段进一步限制中国主体向美国主体提供有关商品和服务,将可能影响现有全球产业供应链的安全和稳定。具体而言,根据《预通知》,拟定规则的影响场景可能如下:
a)例如,假设一家美国公司通过APP收集美国用户大量的具体地理位置数据,美国公司与一家总部在中国的公司签订供应商协议,由中国公司处理和存储该等数据,则该交易将可能被认定为受限制的交易;
b)又如,假设一家在美国的医疗机构与总部在中国的公司签订供应商协议,由中国公司提供IT相关服务。该美国医疗机构拥有关于美国病患的大量个人健康数据,而IT服务可能使中国公司访问该医疗机构的系统,系统中包含了大量的美国主体个人健康数据,则该交易也将可能被限制。
(2)对中美人才流动和科研合作的影响
美国敏感数据跨境限制令所界定的敏感个人数据是生物科技、医疗健康、IT及AI科技、智能汽车等高新技术行业强依赖的数据资源,有关产业通常对高新技术人才需求较强,跨国间技术交流合作也是推动技术创新进步的重要动力。因此,拟定规则不仅限制商品和服务供应商协议交易,还限制雇佣协议,将可能大大降低美国企业及为美国主体提供服务的他国公司雇佣中国籍员工的意愿,进而限制有关跨国公司的人力资源和雇佣市场选择,可能会对跨国公司的人力资源战略产生负面影响,从而影响中美间人才流动以及中美技术研发合作交流。具体而言,根据《预通知》,拟定规则的影响场景可能如下:
a)例如,假设一家美国公司进行消费者基因检测时收集且保存了大量美国人的人类基因数据,该公司的全球IT维护中包括雇佣了一个团队或个人(其是中国公民或主要居住地在中国)来提供后端服务。如果该种雇佣将使得该中国主体获取美国公司系统中的大量人类基因数据,则该雇佣将可能因此而被限制。
b)又如,假设一家美国公司开发了自己的手机游戏和社交媒体APP,收集了大量美国用户的敏感个人数据。美国公司的开发团队拟雇佣一位CEO,其被司法部指定为受限制主体。CEO的权限包括获取所有通过APP收集的数据,包括美国用户的敏感个人数据,则该雇佣也可能因此而受限。
(3)对相关行业的中国企业在美投资和经营的影响
美国敏感数据跨境限制令针对个人财务数据、特定的个人标识符、地理定位数据以及生物识别标识、人类组学数据、个人健康数据,禁止或限制可能使包括中国主体在内的受关注国家和受限制主体获取相关数据的投资协议交易。有关限制将不可避免地为中国企业赴美投资生物科技、医疗健康、跨境电商、社交娱乐软件、IT及AI科技、智能汽车、地图测绘和金融等行业领域设置新的市场准入障碍,且可能影响到总部在中国的相关行业领域企业在美国的融资渠道,尤其是依赖于数据驱动的行业,可能会面临融资渠道收窄的风险。具体而言,根据《预通知》,拟定规则的影响场景可能如下:
a)例如,假设一家美国公司拟在美国领土内建设一个数据中心,数据中心将会存储大量美国人的个人健康数据。一家中国私募股权基金同意为该数据中心建设提供资金,从而获取该数据中心的大多数股权,则该交易将可能因拟定规则而受限。
b)又如,假设一家中国科技公司,与一家开发手机游戏和社交媒体APP的美国公司签订了股东协议,来获取美国公司的少数股权。这些APP会系统性地收集大量美国用户的敏感个人数据,该投资协议将同样可能属于受限制的交易。
四、跨国企业面临的综合性合规挑战—出口管制、经济制裁和数据合规
14117号行政令及相关美国敏感数据跨境限制令拟定规则显示了美国对中国等受关注国家的数据流通及附带交易的收紧政策。对于在中美间进行贸易、投资的跨国企业,尤其是生物科技、医疗健康、跨境电商、社交娱乐软件、IT及AI科技、智能汽车、地图测绘和金融行业领域的企业而言,将可能同时面临着出口管制、经济制裁、数据合规等多重合规挑战,建议企业采取综合性的应对措施,以确保可持续发展和国际竞争力:
1.建立完善的合规制度:跨国企业应建立完善的合规制度,包括合规流程、风险评估、应对及监测机制等,尤其需结合公司自身业务特征和组织架构进行个性化设计,以确保业务活动符合相关法律法规和政策要求。
2.对相关交易和投资提前进行风险评估:跨国企业应审视自身业务需求,有针对性地对可能涉及出口管制、经济制裁或敏感数据的跨境交易或投资业务进行风险筛查和评估,制定合规条款和采取必要的保护性措施,以降低企业经营风险。
3.关注相关许可、豁免以及采取合规要求措施:美国的出口管制及经济制裁政策以及目前美国敏感数据跨境限制令拟定规则中均对有关交易情形所涉的许可证申请、豁免和合规要求进行了规定。企业可关注相关内容并采取对应的合规措施。
4.适时调整人员和市场布局:企业可多元化进行人员和市场布局,减少对特定市场和人员的依赖,整体规划出海计划和人员部署,适时剥离有关风险业务或调整经营架构,以降低有关限制规则带来的风险。
5.关注政策规则动态:美国针对中国等受关注国家的出口管制、经济制裁及数据合规限制措施可能会持续增加和变化,建议企业持续关注有关政策变化并适时调整企业合规制度和进行风险评估。
作者介绍
杨波律师在国际贸易领域具有扎实的专业知识和丰富的实践经验,常年为多家境内外企业提供国际贸易相关的法律服务,包括贸易合规、贸易融资、信用证、外汇、关税等相关的非诉及诉讼、仲裁事务,尤其在出口管制及经济制裁领域具有专门经验,曾为多家国有及民营企业提供贸易管制及制裁方面的合规法律服务,可调动和协同境外律师和专业机构为客户提供境外制裁相关的风险评估、政府公关等综合性服务,获得客户好评。
杨律师在海事海商、船舶及海上工程领域具有专业知识和常年经验,长期处理各类型的货物运输、船舶、海上平台、码头及沿海设施的买卖、建造、融资租赁相关的非诉及争议案件。
杨律师同时擅长处理贸易、航运、境外投资等领域的涉外商事诉讼和国际仲裁案件,曾经处理过多起涉及香港、伦敦、新加坡等地的涉外诉讼及国际仲裁案件。
杨律师曾荣获The Legal 500 2023年度中国大陆“WTO/国际贸易特别推荐律师”及新一代合伙人(广东省:广州市和深圳市)、2022年度亚太地区“争议解决仲裁”领域推荐的核心律师”、Benchmark Litigation 2022年中国区“商业纠纷、国际仲裁特别推荐律师”、Chambers and Partners 2023年度大中华区“海事海商:中国南部”推荐律师等荣誉推荐,并入选中国司法部“全国千名涉外律师人才”、全国律师协会及广东省律协、广州市律协“涉外律师领军人才”。
陈旻律师本科毕业于中山大学,并在北京大学获得Juris Doctor(美国法)及法律硕士(中国法)学位,主要业务领域为涉外商事争议解决与合规,尤其在出口管制与经济制裁合规、国际贸易与境外投资领域的国际仲裁、涉外诉讼以及合规领域具有专业知识及经验。
陈旻律师的工作语言是中文和英文。
声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
