高度关注美国敏感数据法案及其对测绘地理信息管理的启示

本文作者为自然资源部测绘发展研究中心马萌萌、徐坤、贾宗仁。文章于2024年6月18日发表于内参《测绘地理信息智库建议》第213期。

2024年3月13日、3月20日，美国众议院通过了H.R.7520和H.R.7521法案。H.R.7520法案[1]全称为“保护美国人数据免受外国对手侵害法案”，H.R.7521法案[2]全称为“保护美国人免受外国对手控制应用程序侵害法”。本文对两个法案及美国其他相关政策法规进行了初步分析，提出了一些可能对测绘地理信息行业产生的影响。供参考。

一、美国H.R.7520和H.R.7521法案主要内容

（一）H.R.7520——保护美国人数据免受外国对手侵害法案

H.R.7520法案明确提出了“禁止数据经纪人将美国个人的可识别的敏感数据转移给外国对手或用于其他目的”。法案的主要内容如下：

1、以下均是非法的：将美国个人的敏感数据出售、许可、出租、交易、转让、发布、披露、提供访问或以其他方式提供给：任何外国对手国家；受外国对手控制的任何实体。

2、法案生效后再有数据经纪人从事上述行为，就会被认定为《美国联邦贸易委员会法》第18条（a）（1）（B）小节规定的“不公平或欺骗性行为”，从而被美国联邦贸易委员会（FTC）依据该节的规定进行处罚。

3、“数据经纪人”是指为了获取利益而出售、许可证、租金、交易、转让、释放、披露、提供或以其他方式提供美国个人敏感数据的实体，且购买和接收数据的实体不能是互联网平台这类“服务提供商”。

4、数据经纪人不可传输的信息包括：①政府颁发的标识符，例如社会安全号码、护照号码或驾照号码。②任何描述或揭示过去、现在或个人未来的身体健康、心理健康、残疾、诊断或医疗状况或诊疗记录。③金融账户号码、借记卡号码、信用卡号码或描述或显示个人收入水平或银行账户余额的信息。④生物特征信息。⑤遗传信息。⑥精确的地理位置信息。⑦个人的私人通信，如语音邮件、电子邮件、短信、直接消息、邮件、语音通信和视频通信，或识别此类通信各方，或与此类通信传输有关的信息，包括去电电话号码、来电电话号码、拨打电话的时间、通话持续时间和通话各方的位置信息。⑧账户或设备登录凭据，或账户或设备的安全或访问代码。⑨个人性别识别信息。⑩日历信息、地址簿信息、电话或文本日志、照片、音频记录或视频，由个人维护以供私人使用，无论这些信息是否存储在个人设备上或可从该设备访问并备份。⑪披露个人要求或选择的视频内容的信息。⑫关于17岁以下个人的信息。⑬个人的种族、肤色、民族或宗教。⑭识别个人随时间和跨网站或在线服务的在线活动的信息。⑮揭示个人作为武装部队成员身份的信息。⑯能够识别上面这些数据的数据类型等。

5、“外国对手”是指美国法典第10编第4872（d）（2）节所述的国家。

6、“被外国对手控制的实体”是：A.在外国对手国家定居、总部设在该国、主要营业地在该国或根据该国法律成立的外国人。B.或者符合条件A直接或间接控股20%以上的权益实体。C.或者受A或B 控制或受其指示的实体。

（二）H.R.7521——保护美国人免受外国对手控制应用程序侵害法

H.R.7521法案声称，旨在保护美国的国家安全，防止由外国对手控制的应用程序构成的威胁。具体而言，该法案针对的是由字节跳动有限公司（Byte Dance Ltd.）开发或提供的应用程序，如TikTok及其任何继承应用程序或服务，以及其他任何由字节跳动或其控制实体开发的应用程序或服务。法案的主要内容如下：

1、禁止外国对手控制的应用程序：在美国境内或沿海边界内，任何实体不得分发、维护或更新由外国对手控制的应用程序，包括通过在线移动应用商店等市场提供此类服务。

2、数据和信息的可移植性：在禁止适用于外国对手控制的应用程序的申请日前，应用程序的所有者或控制者应在美国境内或沿海边界内的用户的请求下，以机器可读的格式提供与用户账户相关的所有可用数据。

3、豁免条款：对于在禁止生效前执行合格剥离的外国对手控制的应用程序，不适用上述禁令；如果禁令已经生效，之后执行的合格剥离将导致禁令不再适用。此外，对于确保实体遵守上述条款所必需的服务，也提供了豁免。

4、执法和民事处罚：违反上述禁令的实体可能需要支付高达5000美元乘以因违规行为而访问、维护或更新外国对手控制的应用程序的美国用户数量的民事罚款。对于违反数据和信息可移植性要求的实体，罚款金额为500美元乘以受影响用户数量。

5、司法审查：对法案本身或根据法案采取的任何行动、发现或决定的审查挑战，只能在哥伦比亚特区联邦巡回上诉法院提起，该法院对此类申诉具有专属管辖权。提起申诉有时间限制。

6、“外国对手”是指美国法典第10编第4872（d）（2）节所述的国家。

7、“被外国对手控制的实体”是：A.在外国对手国家定居、总部设在该国、主要营业地在该国或根据该国法律成立的外国人。B.或者符合条件A直接或间接控股20%以上的权益实体。C.或者受A或B 控制或受其指示的实体。

8、外国对手控制的应用是指，直接或间接（包括通过母公司、子公司或关联公司）所运营的网站、桌面应用程序、移动应用程序或增强或沉浸式技术应用程序。任何（i）字节跳动有限公司；（Ⅱ） TikTok；（Ⅲ）第（i）或（Ⅱ）条中确定的由外国对手控制的实体的子公司或附属机构；或由第（i）、（Ⅱ）或（Ⅲ）条中确定的实体直接或间接拥有或控制的实体。

二、对法案的相关解读

目前上述两个法案还没有进入正式实施阶段，但通过法案及与其相关的一系列政策制度，美国在数据安全监管方面的政策导向可窥一斑，即通过重点遏制少数国家，达到其维护数据霸权和国家安全的目的。2024年2月28日，美国总统签发行政令《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》（“14117号行政令”）[3]，限制乃至禁止中国等“受关注国家”及符合条件的主体获取大量美国主体敏感个人数据及政府相关数据。相应地，美国司法部（DOJ）发布简报及非正式的法规制定提案预告（以下统称“提案预告”）。在“14117号行政令”、提案预告中，美国政府多次强调了敏感个人数据跨境流动如不受任何规制而遭到滥用可能对国家安全造成的巨大威胁，不仅管制数据跨境流动本身，还管制大量涉及“潜在的数据跨境流动”的行为。两个法案是美国发布“14117号行政令”以来，美国意欲切断向中国等国家数据跨境传输的又一举措，其中H.R.7520法案禁止数据经纪人将美国个人的可识别的敏感数据转移给外国对手或用于其他目的，H.R.7521法案则主要针对应用程序方面的安全。

此外，值得注意的是，2023年生效的《加利福尼亚州隐私权利法案》中，第一次将“地理位置数据”列为敏感信息，并定义了“精确地理位置数据”是“从设备中获得的、用于或打算用于在等于或小于半径为1850英尺的圆的面积的地理区域内定位消费者的任何数据”[4]。随即，美国州一级的隐私权法案（如康涅狄格州、弗吉尼亚州、加利福尼亚州等）都陆续正式宣布地理位置数据为“敏感数据”。H.R.7520法案沿用了《加利福尼亚州隐私权利法案》中关于“精确地理位置数据”的划分，即通过技术手段（如GPS、Wi-Fi、蓝牙、蜂窝基站等）获取的、能够识别个人或设备在物理空间中具体位置的信息，其精度范围足以确定个体在1850英尺内的移动轨迹或停留位置[5]。相较于欧盟以及我国关于敏感地理信息位置数据的界定，美国H.R.7520法案的定义更为细化。此外，美国政府对于“地理位置数据”的立法、内涵、定义的不断更新和重视程度，更加反映出地理信息作为和国家安全强相关的数据，受到的安全监管力度不断加大。

三、对我国测绘地理信息管理的影响和启示

两个法案中有一些值得我国在相关法规和政策制定时借鉴和参考的做法。一是对于“精确地理位置数据”的划定。美国法案中将精度在1850英尺范围内的个人地理位置数据划定为敏感数据，可见其监管之严。建议在地理信息分类分级安全治理研究中，参考美国关于个人敏感数据的划定标准，将达到一定规模和精度、能够识别特定人群以及反映特定领域运行情况的位置和轨迹数据纳入重要数据管理范畴。

二是关于处罚金额的计算方法。H.R.7521法案中为民事罚款，处罚金额的计算方式为处罚金额/次*受影响的用户数量。这种计算方式，体现了对于违法行为的监管处罚力度随该行为影响范围的不同而灵活变化，且给予了明确的量化方法，有利于提高违法主体的违法成本，从而有效遏制违法行为。我国地理信息领域的行政处罚层面，基本是拟定一个处罚区间对失信主体进行惩戒，建议进一步研究更为精细化的处罚金额、处罚方式及针对不同体量主体的处罚依据。

三是关于众源测绘。美国法案中强调了敏感地理位置数据来源于“设备或技术”，从法案表述上实际是将众源测绘也纳入了监管范围。众源测绘即依托于广泛参与者和设备，通过互联网、移动通信、人工智能等技术和测绘地理信息技术融合，收集、整合和处理各类地理信息数据，开展地理信息数据生产与更新的一种模式。鉴于众源测绘是未来地理信息数据生产和更新的重要模式之一，建议结合众源测绘的应用场景、特点、安全风险，更加关注个人信息保护；从数据权责、流通监管、共享应用等方面加快形成众源测绘规范和管理的总体思路。

此外，在数据跨境流动管理方面，近些年美国紧锣密鼓出台一系列政策，将中国等视为外国对手，从各个方面切断包括地理信息位置数据等在内的数据跨境传输。因此建议，在关注相关国家和地区数据管理相关法律要求的同时，加快推进地理信息政策前瞻性研究储备以备不时之需。我国《中华人民共和国数据安全法》提出了对跨境数据传输进行评估的要求，但并没有明确数据安全评估的具体审批要求。《中华人民共和国个人信息保护法》虽明确要求基于业务需要的个人信息跨境提供，应当满足通过安全评估、个人信息保护认证或签订标准合同等条件，也明确了个人信息处理者事前进行个人信息保护影响评估的五种情形以及个人信息保护影响评估应当包含的内容，但仍未涉及相关主管部门审批的实施细则。2024年3月正式公布实施的《促进和规范数据跨境流动规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行作了进一步明确，在对重要数据以及敏感个人信息保持谨慎态度的同时，极大降低在不同情况下数据处理者的合规负担。据此，建议摸清我国涉外地理信息企业和合资、外资企业地理信息数据跨境流动数据类型、场景、需求及风险点，研究满足“一带一路”倡议等重大战略需求，以及相关企业“走出去”实际的地理信息数据跨境流动政策，推动与相关国际数据跨境框架接轨。

声明：本文来自自然资源部测绘发展研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。