新闻第101期 | “数字冷战”再升级：美国发布行政令限制出售“敏感数据”

译者 | 徐沁然 上海交通大学本科生

         郭依贝 华东政法大学本科生

         张   越 浙江大学本科生

         刘子彤 华东政法大学本科生

         黄铄媛 新加坡国立大学法律职业博士

编辑 | 陈玉昕 香港中文大学 LL.M.

         余卓妍 西安交通大学本科生

责编 | 李   薇 浙江工商大学本科生

“数字冷战”再升级：

美国发布行政令限制出售“敏感数据”

1. 行政令发布的时间与背景

当地时间2月28日，美国总统拜登签署了《关于防止关注国家获取美国公民大量敏感个人数据和美国政府相关数据的行政命令》（下称“行政令”），寻求限制向中国和俄罗斯等6国出售美国所谓“敏感数据”，以“更好保护美国人的个人数据安全”。行政令侧重于保护美国人最为“私人”“敏感”的信息，包括基因组数据、生物特征数据、个人健康数据、地理位置数据、金融数据和特定类型的个人身份信息的拜登政府发布该行政令，旨在阻止外国实体获得大量美国和个人数据，本质上是担心数据被中国和俄罗斯进行商业或军事利用。对此，中国外交部发言人毛宁的回应态度明确，这是明显针对特定国家的歧视性做法，中方坚决反对。美国泛化国家安全概念，诬称中方购买美国公民敏感数据从事恶意活动，而中方早已率先提出《全球数据安全倡议》。《纽约时报》将此次交锋评价为“数字冷战的最新升级”。

行政令在历史脉络中，进一步扩展了2019年第13873号行政命令（“《确保信息通信技术与服务供应链安全》”）所宣布的国家紧急状态。同时延续了2021年第14034号行政命令（“《关于防范外国对立方侵犯美国敏感数据的行政命令》”）的相关措施，加强了对美国人敏感数据安全的保护。

2. 行政令的立法原因

行政令旨在限制特定国家获取大量美国敏感个人和政府数据。美国认为，这些国家无限制获取数据可能会导致网络恶意活动、追踪和非法利用美国的个人信息，利用数据经纪公司、第三方供应商协议、雇佣关系、投资协议以及其他类似的机制，获取大量美国公民的敏感个人数据以及与美国政府相关的信息，以上行为会对美国国家安全的构成显著且不可接受的威胁。

美国两党与社会各界已经达成了共识，把中国视为美国面临的“最大地缘政治威胁”以及对“国际秩序的首要挑战”。近年来，中国陆续推出了多项数据和国家安全相关的法律法规，这些法律法规赋予了中国的监管机构对企业开展数据调查的广泛权力。同时，人工智能技术的迅猛发展极大增强了数据分析的能力。

基于上述因素可能对美国敏感数据及国家安全构成威胁的担忧，美国在数字领域对中国的策略已经从单纯防范网络攻击转向了限制对敏感数据的访问和获取。这标志着美国在维护国家安全和保护敏感信息方面正在采取更加全面和细化的措施，以应对日益复杂的国际安全环境。

《行政令》发布后，美国司法部于同日配套发布了关于该《行政令》拟议规则制定的预先通知（ANPRM）的情况说明（下文简称“《情况说明》”）。《行政令》和《情况说明》从数据类型、交易性质、监管对象等方面提供了监管框架，禁止或限制美国人与关注国家或关注人员的数据交易。

（一）受到规制的数据类型

根据《行政令》和《情况说明》，拟监管的数据类型分为美国人的批量敏感个人信息和美国政府相关数据。

1.美国人的批量敏感个人信息

（Americans’ Bulk Sensitive Personal Data）

受监管的敏感个人数据共分为六类：（1）精确地理位置数据；（2）生物识别信息（例如，指纹、面部识别、虹膜扫描等）；（3）人类基因组数据（例如，人类基因组数据、表观基因组数据、蛋白质组数据等）；（4）个人健康数据；（5）个人财务数据；（6）明确规定的个人识别信息和组合。

其中，属于敏感个人数据的个人识别信息仅限于明确列出的个人数据类型，并非指代所有个人识别信息。例如，敏感个人数据的个人识别信息不包括：仅与其他人口统计或联系数据相关的人口统计或联系数据（如姓和名、出生日期、出生地、邮政编码、居住街道或邮政地址、电话号码和电子邮件地址以及类似的公共账户标识符）等。具体的敏感个人数据类型将在后续规定中进一步细化。

此外，敏感个人数据不包括已合法公开的公共记录数据，如法院记录或其他政府记录等。

（图片源于网络）

2. 美国政府相关数据

（United States Government-Related Data）

该类数据是指涉及美国政府人员或地点的敏感个人数据。其中，与政府相关的位置数据将在后续进一步明确。

需要特别说明的是，对于美国人的批量敏感个人信息，只有当关于相关交易超过规定的阈值（即一定数量的美国人人数或美国设备数量）时，数据交易才会落入规制范畴。但目前尚未出台具体阈值规则，美国政府相关数据因其敏感性质不受阈值规则的影响。

（二）受到规制的数据交易类别

根据《行政令》和《情况说明》的现有内容，对于禁止或限制的交易类别，可能既包括通过购买数据集实现对受规制数据的直接访问，也包括获取受规制数据的访问权限，以便可以对其进行阅读、复制、解密或以任何形式查看或接收。

从规制的角度，交易被划分为被禁止的交易、受限制的交易、可豁免的交易。

1.被禁止的交易（Prohibited Transaction）

根据《行政令》及《情况说明》，以下两类交易类型将被禁止：

（1）数据经纪交易：《情况说明》将“数据经纪”定义为数据接收方不直接从个人处收集数据，而是从数据提供方（即数据经纪人）处购买、被许可访问数据。

（2）基因组数据交易：该等交易涉及批量人类基因组数据或可推导出该等数据的生物样本的传输。

2. 受限制的交易（Restricted Transaction）

《行政令》及《情况说明》列举了3类受限制的交易类型：（1）供应商协议，该类协议主要涉及产品和服务的提供，尤其是云计算服务；（2）雇佣协议，该类协议往往包括董事、执行、运营等多个层面的雇员，入职的外国人员是监管重点；（3）投资协议，该类协议涉及美国的不动产或法律实体取得直接或间接的所有权利益或相关权利，其中被投资对象的相关数据将被重视。

在受限制的交易类型背后，核心逻辑是受覆盖人员能否通过该等交易而接触、获取美国敏感数据。

3. 可豁免的交易（Exempt Transaction）

在被禁止或受限制的交易中，《行政令》及《情况说明》还列举了可被豁免的类型，包括：

（1）金融服务、支付处理、监管合规所附带的数据交易：例如，银行业、资本市场或金融保险服务，在电商平台购买商品或服务产生的支付数据等。

（2）美国跨国公司内部业务运营所附带的数据交易：例如，用于人力资源管理、工资支付、税费支付、外部审计、风险管理等目的。

（3）美国政府及其承包商、雇员和受赠者的公务：例如，联邦政府资助的健康和研究活动。

（4）美国联邦法律或国际协议所要求或授权的交易：例如，旅客名单信息、国际刑警组织请求、公共卫生监测。

（三）受监管的对象

《行政令》及《情况说明》中所监管的对象，可从受关注国家、受覆盖人员、经由第三国再出口这三个角度予以理解。

1.受关注国家（Countries of Concern）

《行政令》所规制的终极对象是可能引发美国国家安全重大风险的外国政府，并将由司法部决定该等国家名单。目前，司法部在《情况说明》中指明了6个“受关注国家”，即：中国（包括香港和澳门）、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉。

2. 受覆盖人员（Covered Persons）

《行政令》及《情况说明》指定了禁止或限制美国主体与之交易的“受覆盖人员”的范围，分为如下5类：

（1）受关注国家所拥有、控制、受其管辖或指示的实体；

（2）作为（1）类实体的雇员或承包商的外国主体/非美国主体（包括个人或实体）；

（3）作为受关注国家的雇员或承包商的外国主体/非美国主体（包括个人或实体）；

（4）主要居住在受关注国家所辖领土内的外国主体/非美国主体（包括个人或实体）；

（5）被司法部长认定具有下述情形的任何主体（包括个人或实体）。

对相关人员限制的核心逻辑是，如果该等人员获取数据，出于法律或实践原因，则数据将处于受关注国家（政府）可获取的境地。

3. 经由第三国再出口（Re-Export）

除了直接将受关注国家、受覆盖人员作为规制对象，《行政命令》及《情况说明》还关注到了实践中可能发生的规避情形，并将规制范围进一步延伸至经由第三国再出口的情形。

例如，如果美国主体与规制对象之外的第三国人员进行数据经纪交易，则要求美国主体通过协议约束第三国人员，限制其将获取的数据转售或提供给受关注国家及受覆盖人员。

（图片源自网络）

1. 法律影响

基于以上论述，某些企业可能落入《行政令》及相关法律的管辖范畴：

（1）业务涉及处理美国敏感个人数据的本土企业以及中美跨国企业，尤其涉及汽车或测绘、医药、生物识别、金融等领域。

（2）在开展业务的过程中，远程访问或在境内处理美国的精准地理位置信息、生物识别信息、个人健康信息、个人基因组信息、个人财务信息等，或者在业务中基于提供商品和服务的供应商协议（包括云服务协议），使得该公司本身或者公司的人员具有美国敏感个人数据的访问或处理权。

（3）向美国出海或在出海过程中的企业，若在美国境内设立办公室或雇用人员，则可能基于雇用协议而处理工资或人力资源管理以外的敏感个人数据受到影响。

（4）投资美国企业的公司，可能基于投资协议访问或处理被投资美国企业的数据，若过程中涉及处理敏感个人数据，则可能被管辖。

2. 政治意图

此次《行政令》展示了美国对相关数据安全的政策的持续关注，以及维护国家安全、巩固美国数据优势的意图。

近年来，美国政府日益重视美国的数据被获取的问题，以及由此产生的对国家安全的顾虑，这样的担忧获得了国会两党的支持。

特朗普曾于2019年5月15日签发第13873号行政命令《确保信息通信技术与服务供应链安全》。在这一行政命令中，他宣布了国家的紧急状态，并限制任何会对美国国家安全构成不当威胁的、美国管辖下任何人士进行的、或涉及美国管辖下任何财产的信息和通信技术或服务相关交易。

几年后，拜登总统又于2021年6月9日在第13873号行政命令的基础上进一步发布第14034号行政命令《关于防范外国对立方侵犯美国敏感数据的行政命令》。该行政命令指示建立外国对立方关联软件应用程序的评估机制，防止其对美国国家安全造成威胁，例如将应用程序用于恶意网络活动或搜集个人敏感数据。

（图片源于网络）

1. 中国企业可以采取的应对措施

美国此次的制裁方式突破了先前对特定方面的限制，转为了对“数据”方面的管制，该管制潜移默化地加剧了对中国跨境交易总合规的要求。

中方在2023年中央经济工作会议精神时明确提出，要积极回应外资企业诉求，认真解决数据跨境流动问题。

同年9月28日，国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》。该意见稿的第7条规定：“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（“负面清单”），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”

面对美方跨境数据监管力度的骤然加重，中国企业需审查现有数据，降低交易中可能涉及的六类敏感个人数据或美国政府相关数据的收集，建立完善和有效的合规制度。中国应当积极“拥抱”监管方案，以符合进出口数据监管的双达标。

2. 展望与发展

此次数据制裁后，生物医药、人工智能、金融领域将面临较严苛的数据合规审查风险。ANPRM等后续细则尚未公布，但根据目前已有的数据显示，美方政府很可能加大对中国跨境数据合规的审查和制裁。

参考文献