一、背景

2024年2月28日的第14117号行政命令(《防止相关国家获取美国人的大量敏感个人数据和与美国政府有关的数据》,EO14117)指示司法部长制定法规,禁止或限制美国人与受关注国家进行交易,一旦该交易涉及(1)任何美国政府相关数据;或(2)大量美国敏感个人数据。

2024年12月27日美国司法部针对EO14117发布最终规则,并在2025年1月8日于《联邦公报》刊发正式文本(简称“最终规则”)。最终规则将在发布之日起90天(2025年4月8日)后生效,其中部分积极合规义务(对受限交易的尽职调查与审计的积极义务、年度报告和对被禁止交易的报告等)于发布之日起270天后(2025年10月6日)逐步实施。自此,美国新设了一个数据出境国家安全审查制度。

特朗普上任初期撤销了近80份拜登政府的行政令,但EO 14117并未包含其中。截至2025年4月8日司法部最终规则生效当天,美国国会也未根据《国会审查法》(Congressional Review Act)推翻这项规则。这意味着美国EO14117法案及其配套规则现已正式落地施行。

在生效前几日,国内已有行业受到EO14117的影响。微软在中国负责售后的外包公司微创宣布与微软的合作停止,涉及2000余人。此外,由美国国家癌症研究所(National Cancer Institute)维护的、全球最大、最权威的公开癌症数据库之一 SEER(Surveillance, Epidemiology, and End Results)数据库,也已经禁止中国用户使用,此前已经注册过的用户再也无法登录。

虽然EO14117法案及配套规则有400余页,并配上了许多官方案例,但笔者在业务风险梳理中,仍发现一些存在模糊性尚无法准确给出法律意见的场景,希望在此将问题抛出来与其他受法案影响的相关方共同讨论。

二、司法部规则的4个管制逻辑

规则内容过于复杂,一共400多页的文件,包含200多页司法部针对征求意见稿的回复,这部分类似于GDPR的Recital,虽然没有法律意义,但对正确理解法案的原旨用意有着非常重要的作用。剩下200页左右的法案正文,通过概念的层层嵌套支撑起监管的骨架,并通过大量的案例填充起法案的正身。

有4个原则,需要贯穿在法律分析与风险研判的过程当中:

  1. 司法部最终规则可以简单总结为如下公式:“美国人”与“受关注国家/人”开展包含“大规模美国敏感个人数据或美国政府相关数据”为标的组成的禁止性或限制性交易。

  2. 最终规则以美国人/公司为抓手,要求美国人/公司履行数据出境交易中的国家安全审查义务,包括判断是否为限制或禁止交易、数据交易方KYC、补充安全措施、合规框架搭建、合规审计等义务。

  3. 此次法案的出发点是国家安全,而非个人信息保护,目的在于防止中国人/公司获取、访问大量美国人的数据。因此,隐私法中企业常见的告知、单独同意、透明度、数据最小化、SCC、TIA、DPA、RoPA等数据保护工作无法完全满足此司法部规则的国家安全要求。司法部在征求意见稿的回复中明确拒绝用户“告知-同意”这一常见的合规路径,其认为用户的同意流于形式易被操纵,且国家安全风险无法由单个公民独自判断。

  4. 数据经纪、数字广告是监管重点。司法部在规则的背景介绍部分引用了多份第三方研究报告,强调通过APP/SDK/Cookie/GPS等数字技术收集到的大量数据(订单/通讯记录/位置数据/设备标识符等),在数字广告市场中被不受控制地广泛访问、出售后,危害到了美国国家安全。

三、尚待回答的5个问题

问题1:美国司法部目前是否还有足够的资源去执行EO14117及最终规则?

EO14117中规定了该法案由美国司法部执行。(其中的利弊在之前的文章中有讨论:Samm Sacks| 拜登限制数据跨境流动的行政命令可能事与愿违

在2024年11月司法部最终规则的主要起草人在一档播客节目中透露:司法部内部负责EO14117专项的法律团队有11名正式成员,并且计划在2024年底扩张到17人。

但随着马斯克的DOGE在联邦政府中大刀阔斧地裁员,不清楚目前该团队的扩招计划是否如期施行,甚至是否仍然有11名成员?(毕竟负责监督欧美数据跨境框架的PCLOB中的四人都已经被裁了三人)。

最终规则生效之前 DOJ 本计划发布关于合规和执法的公开指导,但目前并未看到任何细化指导文件发布。从公开检索看,目前主要的几位规则起草者仍然在职,但其动态都在最近转发了有关联邦雇员下岗再就业的接力帮扶动态:)

问题2:母子公司内部间的【无偿】数据传输行为是否被定义为“数据交易”?

司法部规则中的【202.101】条将“交易”定义为:任何获取(acquisition)、持有(holding)、使用(use)、转让(transfer)、进口(transportation)、出口(exportation)或处理(dealing in)外国国家或其国民有利益的任何财产。

司法部在针对征求意见稿202.214的回复中表示“数据经纪和受管制的交易(包括禁止性和限制性)被限制在具有商业性质(commercial in nature)的交易中,这意味着交易需涉及某种支付(payment)或其他有价值的对价(consideration)。”

在美国子公司和中国母公司之间的数据传输场景中,即使有DPA,但一般也不会有交易合同,不会计算财产价值,基本上都是“无偿”传输,那么这种是否仍然属于这个定义中的“对价”?如果不属于,是不是就不属于数据交易,进而也不属于任何一种“供应商交易”“数据经纪交易”等限制性禁止性交易,因此不受到此次法案的规制?

虽然有这个解释的可能性,但笔者认为抗辩的空间较小,因为:

(1)司法部在对征求意见稿202.217条的回复中提到,即使是基于志愿或出于慈善人道目的的无偿志愿者服务,该志愿者个人经验所获得的价值和利益也可以作为所提供服务交换的一部分,构成“其他对价”。而在公司场景中,无论是从节约成本还是提高效率的角度都可以认为是一种“价值”。

(2)EO 14117法案的全称为《防止相关国家获取美国人的大量敏感个人数据和与美国政府有关的数据》,其指示司法部制定的规则全称为《关于防止受关注国家或人员获取美国敏感个人数据及政府相关数据的相关规定》,从名称就可以看出立法规制的风险就在于中国人获取/访问美国人的数据,如果仅仅因为不涉及“有偿”交易,就不规制,不符合立法的初衷。

问题3:美国子公司与中国母公司之间行政性/辅助性业务活动是否落入法案规定的豁免场景?

【202.506】条“Corporate group transaction”豁免适用的关键点是:

(1)判断公司之间是否属于“子公司(subsidiary)”或“关联公司(affiliate)”;

(2)判断是否属于行政或辅助性业务活动的一部分。

此豁免的典型场景是特斯拉美国与特斯拉中国这种,即当美国公司是母公司,中国公司是子公司时,明确落入豁免。

但是对于大部分在美国有业务的中国公司来说,常见的情况是中国公司处在控股的关系,即中国公司为母公司,美国公司是子公司。此时美国子公司向中国母公司回传数据,是够能够落入法案规定的“美国公司的外国关联公司(affiliate)”场景?

问题4:如果APP是中国公司主体运营的,直接在美国市场投放,直接采集美国C端消费者信息,是否不在此次法案的规制范围内?

原因1:司法部规则中的【202.101/202.301/202.401】条,禁止或限制行为是以美国公司为抓手的,是限制/禁止美国主体在明知的情况下与中国主体开展数据方面的合作,那如果没有了美国主体,而是中国主体直接运营采集是否不需要主动采取合规义务?

原因2:如果将C端消费者当成一个个单独的个体来看,APP运营主体与一个个C端消费者之间,即使发生收集、传输敏感个人数据的行为,在一年内也不可能达到最终规则中的阈值的要求。例如电商平台不可能在一年内对同一个消费者收集10w条联系方式或者1千个生物数据。

问题5:消失的202.408条规定?

在202.401条中提到了如果满足安全要求,是可以进行限制性交易的。在对“安全要求”定义的解释中提到了202.408条,可是搜索全文,并没有看到这一条规定,与其相关的可能是202.248条。这里或许是立法者的一个笔误?

四、法案中的6个关键概念

下面的概念是笔者在实践中,常常遇见但又容易混淆的。

关键概念1:美国人/公司

  • 规则中的美国人/公司包括:美国公民(包括双重国籍)、美国永久居民、美国境内任何人(包括受关注国家的人)、根据美国法律成立的实体(包括外国分支foreign branch,但不包括外国子公司subsidiary)。

  • 美国人(公民/双重国籍/永久居民)不受其所在的地理位置影响,即使其位于受关注国家(如中国、俄罗斯),也不影响其是美国人。

  • 由于司法部的最终规则以美国人/公司为抓手,对于没有美国主体的中国公司来说,其影响是间接的,即只有涉及跟美国人/公司发生数据交易行为的时候才会受到影响,而不需要主动采取司法部规则中的一系列合规义务。

关键概念2:中国人/公司

根据【202.211】和【202.256】整理,主要的场景如下:

  • 根据中国法律成立的或者主要营业地位于中国的公司。

  • 中国公司及其雇员(美国人除外)及其≥50%控股的其他公司(根据美国法律成立的公司除外)。

  • 位于中国境内的所有人(美国人除外)。

  • 中国公民在非受管制国家(如美国/欧盟/巴西/新加坡等),不属于受管制主体,除非其是中国公司的雇员或被司法部指定。

  • 中国公司的美国分支属于受管制实体,但根据美国法律成立的子公司(无论其是否被控股),都属于美国公司,但司法部有权力指定其为受管制的公司。

  • 股权穿透:下图ABCD都属于中国公司。

关键概念3:数据

只有涉及两类数据的数据交易受到管制:大量美国个人敏感数据和美国政府数据。

  • 个人敏感数据有“阈值”,即达到相应数量才受到管制;而美国政府数据没有阈值,涉及一个就管制。

  • 这里的“敏感”是从国家安全角度考虑的,而不是类似GDPR等隐私法从人权/公民权角度考虑的,所以包含了很多GDPR中的一般个人数据。

  • 司法部明确拒绝承认个人数据的匿名化、假名化、去标识化、加密的脱敏效果,也就是说即使数据采取了这些脱敏方法,仍然被视为敏感个人数据。

  • 对于敏感个人数据中的“受管制个人标识符(Covered personal identifiers),其必须与其他个人标识符或敏感数据相结合后才属于受管制的个人标识符。单一的某个个人标识符不是受管制个人标识符。同时,还存在两个组合的例外:

关键概念4:数据交易

  • “交易(transaction)”是指:任何获取(acquisition)、持有(holding)、使用(use)、转让(transfer)、进口(transportation)、出口(exportation)或处理(dealing in)外国国家或其国民有利益的任何财产。

  • 规则采用基于活动的评估方法,因为对国家安全构成不可接受风险的是某些活动(交易),而不论从事这些活动的实体是营利实体还是非营利实体。比如当一家非营利机构与受管制人员签订供应商协议以托管美国敏感个人数据时,规则仍然适用。

  • 司法部在针对征求意见稿公众意见的回复中表示:数据经纪和受管制的交易(包括禁止性和限制性)被限制在具有商业性质(commercial in nature)的交易中,意味着这些交易涉及某种支付(payment)或其他有价值的对价(consideration)。司法部认为共同撰写论文并不构成有价值对价,但是志愿者在无偿服务中所获得的个人经验可以构成其他对价。

关键概念5:数据经纪

  • 部分场景中数据经纪与供应商协议可能会出现重合。司法部最终规则里增加了一句话,澄清数据经纪与供应商协议/雇佣协议/投资协议是互斥的关系,即公司可以先判断其是否属于供应商协议/雇佣协议/投资协议,再判断是否属于数据经纪。

  • 规则中的“数据经纪”不只包含了CCPA等美国隐私法中通常理解的第三方“数据经纪”,同时还包含第一方“数据经纪”,即虽然公司不是专门从事收集、整理、分析并出售消费者个人信息的数据公司,但只要涉及到向任何不直接从个人处收集数据的人出售或转售数据,则也都属于司法部规则下面的“数据经纪”行为。

  • 数据经纪中的“数据访问许可和类似商业交易”,是指涉及向有关国家或受保人转让政府相关数据或大量美国敏感个人数据的其他商业安排(不仅仅是销售和许可)。商业安排就其性质而言是有偿的。不会无意中涵盖电子商务活动,因为其已被【202.505】条中的金融服务豁免规定排除。

关键概念6:CISA安全要求

需要明确CISA安全要求的意义在于:对于受限制类型的交易(供应商/雇佣/投资),通过采取CISA安全措施确保中国人/公司不能访问到大量美国敏感个人数据或与美国政府相关的数据,那么这些受限制交易没有国家安全风险,是可以继续进行下去的。

这也是为什么近期微软等美国公司,通过停止合作、关闭账号等手段限制中国境内人员访问相关系统。

司法部明确点名了2024年3月谷歌软件工程师Leon Ding在谷歌就职期间拷贝数百份内部文件并发送给中国科技企业的例子,证明“外国对手”会利用供应商角色、雇佣关系或商业投资获取美国关键技术和数据信息,如果不管的话,美国的国家安全会受到威胁。司法部甚至表示其考虑过全面禁止这些类型的交易,但国土安全部已经发布了网络安全要求,表示遵守这些要求可以有效降低风险,所以才不把这些类型全部禁止。

五、可能的出路

  1. 此次法案中管制的很多企业经营中的典型场景,都需要建立在概念的厘清、例外与豁免的适用以及数以百计官方案例的综合判断中抽丝剥茧地逐案分析。如果真的想掌握了解此次法案的影响,还是建议自己人工(AI目前无法取代,会损失太多细节)花时间研究一下。目前市面上的公开解读大多基于司法部Fact Sheet展开的,骨架基本完整,但细节可能因篇幅所限,无法完整阐释。

  2. 在对法案有基本了解后,挑选典型的业务场景寻求能在美国当地被认可的律所出具专业法律意见做背书。

  3. 对于有一定体量或者存在历史技术/业务包袱的公司来说,EO14117完全合规的成本非常大,可以考虑根据专业的法律意见和公司的风险承受能力/偏好决定自己的合规做到什么水位。

作者:陆天渊

以上内容不作为法律意见,所有观点仅作参考,欢迎留言分享你的观点

参考资料:

EO14117及最终规则官方资料库:https://www.justice.gov/nsd/data-security

《2024年美国国家反情报战略》:https://www.dni.gov/files/NCSC/documents/features/NCSC_CI_Strategy-pages-20240730.pdf

MITRE Corporation美国人遭受的广告技术风险:https://www.mitre.org/sites/default/files/2023-01/PR-22-4107-INTELLIGENCE-AFTER-NEXT-14-January-2023.pdf

司法部采访:https://www.youtube.com/watch?v=PEgMH98v24M

微软外包公司停止中国区运营,裁撤约2000人团队:https://mp.weixin.qq.com/s/LssZENb3Xuv-QJvPDMXIHw

声明:本文来自越洋网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。