中美数据的自由流动还存在转机可能吗?

2024年12月26日,美国国务院国家安全司发布了执行第14117号行政命令的近421页的最终规则,正式确认《关于防止有关国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令》的最终执行规则。

这意味着,2025年3月开始之前后,中美之间的数据断流可能拉开历史性的篇章节点,众多企业的经贸交往也可能面临重大方向性调整。

大加那利岛

但事情的起源,还得从2022年12月14日开始说起。

这一天,著名作家三毛曾经居住的西班牙领地大加那利岛,举办了由西班牙、日本、韩国、美国等38个亚太经合组织(OECD)成员国召开的,主题为“长期推动,建立一个可信赖的,可持续的和包容性的数字未来”的部长级会议。

也正是在这一次会议上,经合组织成员国和欧洲联盟的部长和高级代表通过了《关于政府获取私营部门实体所持个人数据的宣言》,这是全球第一份关于在为国家安全和执法目的获取个人数据时,保障隐私及数据权利的政府合作事项宣言。

宣言提出了“政府获取私营部门实体持有的个人数据的七项原则”,这些原则反映了经合组织成员在现行法律和实践基础上的共性,并对保护隐私及其他数据权利和自由方面进行了相互补充。

这些原则包括法律依据、合法目的、批准、数据处理、透明度、监督和救济措施——无一不是对政府机构向私营企业索要数据进行限制。

最值得玩味的是,会议的基调为“ on the basis of common values”(基于共同的价值观)的国家间合作——言外之意为:只有具备共同价值观的民主国家才有必要努力促进跨境数据流动,在此基础上再来谈基于“七项原则”以实现“政府向私营组织索要数据”,而实现国家安全治理。没有共同价值观的国家之间,数据跨境流动不值得一提。

美国折戟沉沙

时间来到2023年7月10日,这兴许是美国数据保护历史上最刻骨铭心的日子。

在这一天,欧盟委员会终于通过了欧盟-美国数据跨境保护的充分性认定,即使用数据隐私框架(DPF)机制取代“欧盟-美国隐私盾”作为将个人数据从欧盟传输到参与 DPF 或获得 DPF 认证的美国组织的法律机制。

而在此之前的数年间,基于斯诺登等系列国家丑闻事件,欧洲硬汉Schrems发起Schrems I和Schrems II 案,直接把欧美安全港协议和隐私盾协议框架下的欧美数据跨境保护伞打碎,欧盟委员会承认这些隐私保护措施决定无效。

而为了重新赢得欧盟市场和监管的认可,美国确实是下了一番整改的“重药”。

2022 年 10 月 7 日,美国发布《Enhancing Safeguards for United States Signals Intelligence Activities》(《加强美国信息情报活动的保障措施-第 14086 号总统行政命令》)以及《关于数据保护审查法院的总检察长条例》。这些总统行政命令为个人就涉及从欧盟等第三国转移到美国有关其数据信息情报活动的涉嫌违法行为提供补救措施。

总统行政命令中似乎有所惶惶地表示:“美国认识到,信息情报活动必须考虑到所有人都应受到有尊严的对待和尊重,无论其国籍或居住在何处,而且所有人在处理其个人信息方面都有合法的隐私权。”除此外,行政命令中还列出了收集情报信息的十二个 "合法目标 "和四个 "禁止目标",特别是个人可以享有的救济路径,给自己上了结结实实的“紧箍咒”。

美国的矛头

在给自己戴上“紧箍咒”之时,美国也在积极地调转矛头——美国在面对中国数据安全问题时,持续保持着高度的警觉。

2017 年,美国《国家安全战略》指出,美国的竞争对手针对美国 "将信息武器化",并预测 "随着竞争对手将来自个人和商业来源的信息与基于人工智能(AI)和机器学习的情报收集和数据分析能力相结合,美国国家安全面临的威胁将越来越大"。2020 年 4 月,美国国家情报总监办公室("ODNI")公开发布的评估报告称,外国对手正在 "提高其分析和操纵大量个人信息的能力,使其能够更有效地瞄准和影响或胁迫美国及盟国的个人和团体"。

2022 年美国国家安全战略则强调,有必要制定一种方法来 "打击利用美国人敏感数据的行为"。2024年11月,美中经济与安全审查委员会向美国国会提交报告称:"中国了解数据对人工智能的价值,并已采取积极措施,在其人工智能生态系统内提高优质数据的可用性"、"中国基因组和生物技术服务公司在美国的主要研究和市场存在使这些公司有机会获得关键技术和数据",从而导致 "美国敏感健康数据转移的风险增加"。

在此其中,美国据以开始斗争的法律基础,是一部2018年8月由特朗普政府颁布并在2019年被不断扩张和细化的《外国投资风险审查现代化法案》(FIRRMA)。

正是基于上述审查,2018年,蚂蚁金服收购美国速汇金国际公司(MoneyGram International Inc)的计划宣告失败;2019年,美国外国投资委员会审查认为,美国生产医疗和工业用机器人外骨骼的美国公司 Ekso Bionics 和中国公司在中国绍兴设立合资公司行为可能构成“国家安全风险”,要求 Ekso 终止与中国合资公司的合作。

这些收购,都被认为可能涉及到美国公民等数据安全问题。

拜登政府虽然和特朗普政府有“过节”,但在打击中国数据问题的态度上,可谓青出于蓝而胜于蓝。

2024年2月28日,拜登总统根据《国际紧急经济权力法》(IEEPA)(该法授权总统处理全部或部分来源于美国境外的对国家安全和外交政策的特殊威胁),发布了第14117号行政命令(《关于防止有关国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令》),目的是防止“受关注国家”访问美国大量敏感的个人数据和美国政府数据,行政令认为,受关注国家可以依靠包括人工智能(AI)在内的先进技术来分析和操纵大量敏感的个人数据,以从事间谍活动、影响力、动力学或网络行动,或确定对美国的其他潜在战略优势。

受关注的国家还可以利用对大量数据集的访问来推动人工智能和其他先进技术的创建和完善,从而提高他们利用基础数据的能力,并加剧国家安全和外交政策威胁。

为配合行政命令执行,2024 年 3 月 5 日,美国司法部国家安全司发布了一份拟议规则制定的预先通知(ANPRM),并在2024 年 10 月 29 日发布《规则制定提案通知》(NPRM)征求公众意见。

14117最终规则

2024年12月26日,美国国务院国家安全司发布了执行第14117号行政命令的近421页的最终规则,其将在联绑登记册上公布90日后生效。

正如在 ANPRM 和 NPRM 中预告的那样,最终规则将六个国家——中国(包括香港和澳门)、古巴、伊朗、北朝鲜、俄罗斯和委内瑞拉指定为关注国家。

也正如在 ANPRM 和 NPRM 中预告的那样,最终规则对涉及六类敏感个人数据的交易进行监管,而且最终规则的禁止和限制一般适用于涉及敏感个人数据且超过特定批量阈值的承保数据交易。"批量 "是指在 "涵盖的数据交易 "之前的 12 个月内,敏感个人数据的总量超过某些阈值的任何数量。

请注意,无论这些数据是匿名的、化名的、去标识的还是加密的,均在限制之内。

字段名称

示例

批量阈值

个人标识符

与设备标识符、社会安全号码、驾驶执照或其他政府识别号码相关联的姓名

100,000名美国人

精准定位数据

GPS数据

1,000台美国设备的精准地理位置数据

生物特征标识符

面部图像、语音指纹和图案、视网膜扫描

1,000名美国人的生物识别信息

人类基因组数据和其他组学数据

表观基因组、蛋白质组学或转录组学数据

超过100名美国人和超过1,000名美国人的其他三类人类“奥米克”数据

个人健康数据

身高、体重、生命体征、症状、测试结果、诊断、数字牙科记录和心理诊断

10000名美国人的个人健康数据

个人财务数据

与个人信用卡、借记卡、银行账户和金融负债相关的信息,包括支付历史

10000名美国人个人财务数据

同时,阈值不适用于涉及某些政府相关数据的交易,这些数据无论数量多少都受到监管。最终规则还将任何与美国政府现任或近期前任雇员或承包商(包括军队和情报部门)相关联的敏感个人数据视为政府相关数据。

最终规则还明确规定,提供第三方平台或基础设施的美国人对其客户在这些平台上进行的被禁止或受限制的交易不承担民事或刑事责任,他们只对自己进行的被禁止或受限制的交易负责。

个人通信被最终规则所豁免纳入,即不转移任何有价值的东西;涉及表达性材料的信息材料的进口或出口;以及旅行信息,包括有关个人行李、生活费用和旅行安排的数据。除此外,电子商务附带的个人金融数据传输、美国人与其外国子公司或关联公司之间的公司集团交易、电信服务有关的交易和电信服务的一部分,包括所有语音和数据通信服务等也被纳入豁免之中。

最终规则生效后,所有美国人(包括根据规则中定义的美国法律组建的实体)都必须遵守,非美国人也必须遵守最终规则的某些禁令。

但需要说明的是,最终规则并不禁止应用程序或社交媒体平台,也不涉及任何单一应用程序或技术,最终规则只涉及应用程序和社交媒体平台收集和使用的部分数据(敏感个人数据,而非所有数据)所带来的最严重的数据安全风险,并且只涉及数量有限的已确定的相关国家。

自上述最终规则落地之日起,即使不能完全被评估为中美数据“断流”,但至少中美经贸中的数据往来将变成评估成本异常巨大,无疑将进一步阻碍中美经贸中涉及数据项目的合作考量。

特朗普的法庭之友

在此其中,Tiktok非售即禁案无疑是最为典型的代表。也中美数据断流中的活脱脱案例。

2024 年 4 月,拜登总统通过通过了一项法律,即《保护美国人免受外国对手控制的应用程序法案》,出于国家安全考虑,该法案禁止 TikTok 在美国使用,除非其母公司字节跳动有限公司剥离其在美国版 TikTok 中的所有权。

TikTok 对这项法律提出质疑,认为它侵犯了美国用户的第一修正案权利。2024年12月9日,TikTok提交了一份紧急动议,要求在美国最高法院审理 TikTok对华盛顿特区巡回上诉法院判决的上诉之前,发布禁令阻止“2025 年 1 月 19 日的TikTok 禁令”生效。

就在2024年12月19日,美国最高法院发出裁定,要求TikTok和Garland Att"y Gen,以及任何法庭之友说明,均须在2024年 12 月 27 日星期五下午 5 点前提交答辩,以便于最高法院能够组织在2024年1月10日召开口头辩论会,讨论“Whether the Protecting Americans from Foreign Adversary Controlled Applications Act, as applied to petitioners violates the First Amendment”(《保护美国人免受外国敌对势力控制申请法》是否违宪?)

赶在截止日期之前,即将上任的美国总统特朗普根据上述裁定向最高法院提交了法庭之友辩护状《BRIEF OF PRESIDENT DONALD J. TRUMP AS AMICUS CURIAE SUPPORTING NEITHER PARTY》(唐纳德·J·特朗普总统作为法庭之友提交的不支持任何一方的简报)。

特朗普认为:“本案在言论自由权与外交政策和国家安全问题之间呈现出前所未有、新颖而棘手的紧张关系。”“特朗普总统目前在 TikTok 上拥有 1,470 万粉丝,并积极与他们交流,这与他在这一领域的影响力不谋而合,使他能够评估 TikTok 作为包括核心政治言论在内的言论自由的独特媒体的重要性。”

特朗普法庭之友的最终结论和请求是:“总统反对在此时此刻在美国禁止 TikTok,并寻求在上任后通过政治手段解决目前的问题。”

特朗普还认为,解决此类问题是有法院判例支持的,即在Zubik 诉 Burwell 案中,法院也采取了类似的做法,撤销了下级法院的判决,暂停执行 HHS 针对宗教组织的避孕授权,以 "让各方有足够的时间解决他们之间任何悬而未决的问题"。

法律的片段和细节

乱花渐欲迷人眼,在这些复杂的宣言、规则、禁令的背后,是否有清晰的脉络和底层逻辑?兴许,所有的底层逻辑,看似复杂,但却存在于法律的片段和细节之中。

2019年,经济合作与发展组织 (OECD) 将 "法律隐私制度的不确定性"列为个人数据跨境流动面临的最大挑战。

早在2021年11月,欧盟数据保护局EDPB发布了非官方版《Government access to data in third countries》,对中国、印度以及俄罗斯三国的数据保护状况进行了法律评估——集中锚定于中印俄三国政府(包括执法和情报机构)获取个人数据的实质性和程序性条件。

报告认为,中国并不是西方标准定义下的民主法治国家。中国虽然于1988年签署了《公民权利和政治权利国际公约》,但至今尚未批准,中国并不能被视为有能力为人们提供与欧盟同等保护的个人数据保护。

如果按照亚大经合组织定义的法律依据、合法目的、批准、数据处理、透明度、监督和救济措施原则以践行政府机构向私营企业索要数据行为,中国无疑是不合格的。

中国近些年和数据保护立法的几部大法,包括《国家安全法》《数据安全法》《个人信息保护法》,虽然与数据保护权相关的权利和义务与《欧盟数据保护条例》(GDPR)引入的权利和义务相似,但这只是形式上的,而不是预期的实质效果。

这些法规无一例外不是将“公共安全”放在特别重要的位置,虽然这一目标和欧盟都是一致的。但最为重要的是,这些法规并没有对限制政府部门向私营部门配合提供数据进行明确的限制,而是一边倒要求公民或企业无条件配合,且未提供有效的救济措施。

《Government access to data in third countries》甚至还深入刑事诉讼领域进行了深挖,其认为:2016版《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》原文为“对于原始存储介质位于境外或者远程计算机信息系统上的电子数据,可以通过网络在线提取。”,本质是侵犯了无国界的国家网络空间主权。而2019版《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》“对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。”则去除了“境外”数据的随意获取,无疑是一种进步。

未来会好吗?

在所有的中国数据立法中,我们会神奇地发现,即使我们的个人信息保护法已经九分复制并近乎神似于GDPR,中国的大部分全球化布局企业也正遵循着GDPR最为严格的法规实施个人数据保护立法,中国企业的数据保护水平似乎并不低于西方企业,但外媒们似乎有意无意地选择忽略这些努力。

而我们,仍认为之所以西方不待见我们,不实施充分性认定的原因是我们的数据保护法规仍不完善,需要进一步立法。所以,类似于《促进和规范数据跨境流动规定》的法规似乎正向全球示好,但效果却总感并不尽如人意。

岂不知我们融于心智的日常立法价值取向和方式,正被他们一天天在窥探,并在内心积累不信任感。

《互联网平台企业涉税信息报送规定》(意见),明确“税务机关依法开展涉税风险应对、税务检查时,有权要求互联网平台企业提供平台内的经营者和从业人员的合同订单、交易明细、资金账户、支付金额、物流等涉税信息,互联网平台企业应当按照税务机关要求的期限、方式和内容如实提供。”

《银行保险机构数据安全管理办法》规定:“国家金融监督管理总局及其派出机构对银行保险机构数据安全保护情况进行现场检查、事件调查,对于发现涉嫌违法违规事项的有关单位和个人,依法开展调查。”

欧盟认为,在宪法之下,我们似乎并没有制定高位阶的并用于限制政府机关从企业获得数据的“法律”。相反,我们几乎大部分具有“立法”能力的机关均可以通过“立法”“通知”“口头指导”等任何形式,以国家安全以外的目的,伸手向企业要数据。而在我们朴素的价值观中,企业不给数据简直是不可容忍的违法行为。

我们的立法中,往往也只是轻描淡写地要求“主管机关对于获取的数据,应当依法……”。然后,依哪部法呢?似乎总不见有下文。

所以,并不是我们的数据立法有力借鉴了欧盟GDPR,或者是我们未来的人工智能法借鉴了欧盟人工智能法,或是我们提出了促进数据流动的意见,也并不是法律条款形式上的趋同性借鉴,就能够换来国家间的信任。

真正起到决定性作用的,是国家层面的价值观趋同。

如果这种裂痕无法弥补,中美或者中欧的“数据断流”将可能愈演愈烈,未来有意参与全球化竞争的中国企业,仍可能面临更多更频繁的“非售即禁”困扰。

未来的跨境数据会如何发展,不得知!

声明:本文来自互联网法律匠,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。