引言
四、结语
如今,企业都或多或少会涉及互联网技术、全渠道营销或者跨地域投资,正确合规地开展数据信息流动是企业不可回避的问题。一国政策主张的变化将直接影响当地的营商环境。欧美各国对于数据跨境流动的主张随着国际形势和经济发展趋势呈动态变化。我国也基于国情和一贯的合作共赢主张,积极推动国家间的合作共识。对于跨国企业而言,如何平衡母国和东道国之间的企业发展策略是不可回避的问题。九泽合规团队也将持续密切关注相关动态,以协助企业客户更好的应对监管变化。
企业如有需要,可联系九泽合规提供合规体系建设的专项法律服务。
九泽合规团队也将持续关注相关行业领域法律法规的更新和变化,分主题逐项作更为细致的分析和解读,为提升和完善企业的合规管理赋能,读者可以持续关注九泽合规团队的系列文章或联系九泽合规团队(jzheguiteam@jiuzelaw.com)作一对一的专项调研。九泽合规团队将为前来咨询的企业做专项合规评估报告,以供企业参考,为有梳理内控合规需求的企业提供专业、高效的法律合规专项服务。
2024年2月28日,美国总统拜登发布Executive Order on Preventing Access to American’ Bulk Sensitive Personal Data and United States Government Related Data by Countries of Concern《防止“受关注国家”访问美国的大量敏感信息和美国政府相关数据的行政命令》[1](以下简称“EO”)。随后美国司法部发布了该EO的Advance Notice of Proposed Rulemaking,《规则指引》,以下简称“ANPRM”)[2]。 该EO是对2019年Securing the Information and Communication Technology and Service Supply Chain (《保障信息通信技术及服务供应链安全》)和2021年Protecting American’s Sensitive Data from Foreign Adversaries (《保护美国的敏感信息不被外国对手侵害》)两项行政命令的拓展。大数据及科技驱动产业的大环境下,如何减少或降低政策对企业运营的影响,已经成为每个企业,尤其是跨国运营企业不可忽视的课题。
”
一、拜登政府此次EO出台的背景
美国总统能够以行政命令的形式限制商业活动的权利,来源于美国1977年通过的The International Emergency Economic Powers Act(《国际紧急经济权利法》, IEEPA)。IEEPA授权美国总统在和平时期宣布国家进入紧急状态并可对目标国实施制裁商业交易的规制。IEEPA扩大了总统的行政权利,授权美国总统能够通过颁布经济政策类行政命令来处理对国家安全有严重影响和威胁的商业行为。
二、 比较中国与美国对于个人数据监管的异同点
美国目前主要通过总统发布的行政法令来干预商业活动中可能存在的网络安全隐患,而我国早在2021年8月发布的《个人信息保护法》,结合我国的《网络安全法》和《数据安全法》,为保护我国海量数据信息自由传输过程中的安全编制了一张防护网。以下笔者从几个方面比较中美对于个人信息数据保护的异同。
1、 都以列举的方式明确个人敏感数据类型(sensitive personal data)。美国在EO中以列举形式明确敏感个人数据类型,包括“基因组数据、生物特征数据、个人健康数据、地理位置数据、财务数据和某些类型的个人标识符”[3]。尤其提到了政府敏感数据的保护,包括政府敏感网站的地理位置信息和军人信息。我国在《个人信息保护法》第二十八条规定“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。[4]
2、 监管范围不同。美国在EO监管中特别标明制定目的是为限制“受关注国家”(Countries of concern)从美国获取个人敏感数据。此次EO提及的重点关注国家分别为:中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。我国对于个人信息的保护是以属地原则为主,属人原则为辅的管辖原则进行监管,并不区分个别国家进行差别化对待。
3、 监管的“商业形式”(commercial means)范围不同。此次EO不仅监管具体数据,还对于数据涉及衍生的相关商业行为进行了限制,例如“通过投资、供应商和雇佣关系获得的数据”[5]。对于公共医卫、国防、退伍军人部等类型数据,不仅限制境外公司的数据获取,对于设在美国的本土公司也在监管范围之内。我国的《个人信息保护法》仅关注数据内容本身的信息是否涉及隐私和敏感信息,并没有对商业行为进行特别限制。
4、 对于白名单行为的规定不同。美国在EO中排除了对部分活动的限制,建立了行为的白名单。如EO中提到不会阻止金融服务活动或者实质性消费、经济、科学与贸易的信息流动。同时司法部也会通过由州政府、国土安全部、商务部等发放许可和提供咨询意见的方式给予受影响企业或者相关华东的豁免。我国其实也已经注意到政府对于数据的监管可能会干扰和影响正常商业活动,并正在进一步研究相关措施。在2023年9月28日,我国发布了《规范和促进数据跨境流动规定(征求意见稿)》,在该文件中我国对于申报场景和信息数量进行了区分,提出了自贸区的负面清单等。目前我国《规范和促进数据跨境流动规定(征求意见稿)》还未正式发布。
美国在之前一直对外主张数据跨境自由流动的立场,即使在本文提及的EO中也提到了继续保证会提供开放的、全球化的、可供使用的、有效且安全的网络环境,并保障线上线下交互的自由。但EO主要提到的受关注国家以及可能对受关注国家正常商业实体的限制,从另一方面表明其在数据流动,尤其是数据使用方面对非本土企业的限制。其实,在此次EO之前美国监管态度的转变已经有迹可循。例如,美国前总统特朗普在2019年5月15日颁布了第13873号行政命令Securing the Information and Communications Technology and Services Supply Chain(《保障信息通信技术及服务供应链安全》[6]),限制信息和通信技术或服务的交易。在2021年6月9日美国政府发布的第14034号行政命令Protecting Americans’ sensitive Data From Foreign Adversaries(《保护美国人的敏感数据免受外国对手侵害》[7])进一步细化对信息和通信技术和服务供应链方面的应对措施。不久之前2024年3月7日,美国众议院投票通过了Protect the National Security of the United States from the Threat Posed by Foreign Adversary Controlled Applications (Bill H.R.7521)(《保护美国的国家安全不受外国对手控制应用程序的威胁》法案)[8]。该法案虽然是聚焦舆论社交互动属性类产品的监管要求,但区分了TikTok类和普适类的差别对待规定。
三、企业的数据合规管理要点
基于EO所涉及涵盖的范围远超过美国之前实施的数据保护范围,对于开展跨境业务的企业,尤其是在“特别关注国家”清单中的企业还是有不小的影响。对于跨国企业的管理者,尤其是中国的出海企业,在布局企业发展战略时一定要重视当地监管趋势并考虑各种结果的可能性。考虑到EO监管要求,商业活动中涉及云服协议、投资等美国本土以外的科创型互联网企业,就可能受制EO监管影响商业交易活动;又例如智能车的行驶必然涉及使用国的地标路况信息,跨国智能车企需要考虑如何合规在当地开展智能车研发升级和落地使用;还有,如对于生物医药研发领域,基于EO对敏感数据的规定,生物技术领域的企业也需要重视和衡量如何在符合美国监管政策要求下开展联合研发或项目投资。
以下就企业在跨境业务开展过程中如何进行数据合规管理简要列明通用关注要点,以供跨国出海企业参考。
1、 企业是否对于数据信息进行了分级分类管理。我国《数据安全法》明确提出应当根据数据的重要程度以及发生泄露或滥用造成损害情况,设立分类分级保护制度,特定行业还有相关规范性文件、指南或行业标准等进行监管。例如2022年发布的《工业和信息化领域数据安全管理办法(试行)》[9]和《车联网网络安全和数据安全标准体系建设指南》[10] 等。
2、 数据跨境流动是否依法合规进行安全评估和申报。我国在2022年7月发布了《数据处境安全评估办法》,要求数据处理者(关键信息基础设施运营者除外)在向境外传输重要数据前向国家网信办申报安全评估。2023年2月我国还发布了《个人信息出境标准合同办法》,对涉及个人信息出境的活动进行细化规定。
3、 对于未成年人个人信息是否单独设置权限管理。未成年人数据是全球各国都密切关注和保护的数据。我国于2024年1月1日正式施行《未成年人网络保护条例》,细化了对未成年人的网络保护。如有必要应当做好业务区分和公司架构调整。
4、 企业App的用户同意流程是否完善合规。企业在通过应用软件开展商业活动的同时,在收集用户信息的过程中,需要符合法律法规规定,不仅要从形式上以用户同意为前提,在实质提供服务过程中也应当对于敏感数据或重要数据进行分级分类管理。在境外存储、传输、处理数据时不仅要做好网络安全管理,更要依据当地监管要求进行自查。
5、 数据资产交易是否合规。数据流动需求催生了数据交易,但是场外交易有着违规、成本高等隐患。目前欧美仅是行政和司法手段对数据流动进行限制和监管。而我国围绕数据交易市场,正在探索一套安全合规有序的跨境流通机制。以上海数据交易所为例,上海数据交易所提出“不合规不挂牌,无场景不交易”的基本原则,建立首套全国数据交易配套制度,从法律合规、金融交易、数据产业、数据安全等方面,保障数据流通交易生态[11]。
本文参考资料:
[1] The White House,FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/,最后访问日期:2024年3月11日
[2] Federal Register,National Security Division; Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and,最后访问日期:2024年3月11日
[3] The White House,FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data ,“These protections will extend to genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personal identifiers.”https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/,最后访问日期:2024年3月12日
[4] 国家法律法规数据库,《中华人民共和国个人信息保护法》https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjY0NzJhMzAxN2I2NTZjYzIwNDAwNDQ%3D,最后访问日期:2024年3月13日
[5] The White House, FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data “ The Departments of Justice and Homeland Security to work together to set high security standards to prevent access by countries of concern to Americans’ data through other commercial means, such as data available via investment, vendor, and employment relationships.” https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/,最后访问日期:2024年3月12日
[6] Federal Register :Securing the Information and Communications Technology and Services Supply Chain https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain,最后访问日期:2024年3月12日
[7] The American Presidency Project,Executive Order 14034—Protecting Americans' Sensitive Data From Foreign Adversaries https://www.presidency.ucsb.edu/documents/executive-order-14034-protecting-americans-sensitive-data-from-foreign-adversaries,最后访问日期:2024年3月12日
[8] Document Repository, H.R.7521 https://docs.house.gov/billsthisweek/20240311/HR 7521 Updated.pdf,最后访问日期:2024年3月12日
[9] 中国政府网,工业和信息化部关于印发《工业和信息化领域数据安全管理办法(试行)》的通知https://www.gov.cn/zhengce/zhengceku/2022-12/14/content_5731918.htm,最后访问日期:2024年3月13日
[10] 中国政府网,《车联网网络安全和数据安全标准体系》https://www.gov.cn/zhengce/zhengceku/2022-03/07/5677676/files/86bf96e577cb4af7bd8c2fea745d63e1.pdf,最后访问日期:2024年3月13日
[11] 中国政府网,《上海数据交易所揭牌成立》https://www.gov.cn/xinwen/2021-11/25/content_5653396.htm,最后访问日期:2024年3月13日
上海总所
地址:上海市中山北路3553号伸大厦25层
电话:021-80120128
传真:021-80120131
邮编:200063
杭州分所
地址:浙江省杭州市市心北路1929号万和国际中心7幢15层
电话:0571-83692260
传真:0571-83692270
邮编:311215
蚌埠分所
地址:安徽省蚌埠市蚌山区绿地珠峰B座22楼
电话:0552-38399966
传真:0552-38399966
邮编:233017
关注我们
