一、行政令核心举措
●它包含的核心内容
▶禁止或限制美国人员(U.S Person)参与特定交易,这些交易涉及美国大量敏感个人数据或政府相关数据,存在使美国国家安全面临不可接受风险的可能性。
▶受限交易必须遵循由美国网络安全与基础设施安全局(CISA)制定的安全要求,以降低风险。
●它不包含的内容
▶未设立数据本地化要求,即不强制规定数据必须存储在美国境内。
▶美国人之间的国内交易不受监管。
▶并非广泛禁止美国人员与受关注国家的实体或个人进行商业交易,而是聚焦于国家安全相关的数据交易,并非全面限制商业往来。
▶此行政令重点关注国家安全层面的问题,并非旨在规范所有跨境数据流动,也不是一个全面的隐私保护计划,更像一个出口管制计划。
二、涵盖主体范围
●受关注国家(countries of concern)
▶该行政令所指的受关注国家,是那些一旦获取美国敏感个人数据,就会被认定为对美国国家安全构成风险的国家。初步列出的国家包括:中国(含香港和澳门地区)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
▶值得注意的是,这份初始名单与其他基于《国际紧急经济权力法》(IEEPA)制定的法规中限制最严格的国家名单并不一致。
●涵盖人员(covered person)
涵盖人员包括:
▶对于该行政令中的“涵盖人员”定义,与其他基于IEEPA的法规相同,包含自然人与法律实体。具体而言:
1. 由受关注国家直接或间接拥有50%以上股份的实体;
2. 依据受关注国家法律设立、主要营业地在受关注国家的实体;
3. 由上述第1或2类实体或下述4、5或6类人员直接或间接拥有50%以上股份的实体。
4. 受关注国家的雇员或承包商;
5. 上述第1、2或3类实体的雇员或承包商;
6. 主要居住在受关注国家领土范围内的外国人员;
7. 被司法部长指定为受受关注国家拥有、控制,或受其管辖、指导,或代表受关注国家或涵盖人员行事,或故意导致违反这些法规的任何人员。
▶当受关注国家的公民身处第三国时,若他们并非为涵盖人员或受关注国家政府工作,则不在该法规的涵盖范围内。
三、禁止/限制/豁免交易
禁止交易类型
1. 数据经纪交易(Data Brokerage Transaction)
定义:指数据的出售、访问许可或类似商业交易,涉及数据从一方(提供方)转移至另一方(接收方),接收方并非直接从与所收集或处理数据相关联的个人处收集或处理该数据。
2. 人类基因组数据和人类生物标本交易。
例子:
1. 某美国公司将大量美国敏感个人数据出售给一家总部位于受关注国家的公司;
2. 某美国公司拥有并运营一个面向美国用户的移动应用程序,同时该应用程序提供广告位。作为销售广告位的一部分,该美国公司将美国用户设备的精确地理位置数据、IP 地址和广告 ID 提供给一个位于受关注国家的广告主;[比如Facebook把数据提供给中国的一个广告主];
3. 某美国信息技术公司运营一个自动驾驶平台,该平台收集其在美国运营的汽车的精确地理位置数据。该美国公司将这些数据大量出售或以其他方式许可其总部位于受关注国家的母公司以帮助其开发人工智能技术并训练其模型。
反例:
香港法律主体作为开发者开发的ToC应用产品直接在美国应用商店上架,收集的美国用户精确地理位置数据存储到位于香港的服务器上。
受限交易类型
▶供应商协议:任何一方为另一方提供商品或服务(包括云计算服务,涵盖基础设施即服务IaaS、平台即服务PaaS和软件即服务SaaS ,依据NIST SP 800 - 145定义)以换取付款或其他对价的协议或安排。
eg:
【是】某美国医疗机构与一家总部位于受关注国家的公司签订合同,约定该公司为其提供IT服务,该公司提供的IT服务涉及访问该医疗机构系统中大量的个人健康数据。
【否】Google中国和华为云签署云服务协议,存储Google中国员工个人信息和业务数据。
▶雇佣协议:任何个人(非独立承包商)直接为另一方工作或履行工作职能以换取付款或其他对价的协议或安排,包括在董事会或委员会任职、高管级别的安排或服务,以及运营层面的雇佣服务。
eg:
【是】任天堂美国公司在美国开发并上线了一款移动游戏产品,收集了美国用户大量敏感个人信息,任天堂美国公司聘用了一位位于中国香港的香港人担任玩家数据分析平台负责人。
【否】任天堂美国公司在美国开发并上线了一款移动游戏产品,收集了美国用户大量敏感个人信息,任天堂美国公司聘用了一位常年身在美国的中国籍人士为该美国公司COO。
投资协议:任何一方为获取直接或间接所有权权益或与(1)位于美国的房地产或(2)美国法律实体相关的权利,以换取付款或其他对价的协议或安排。
eg:
【是】某美国公司在美国领土内建设一个数据中心并存储大量美国个人的健康数据。一家位于受关注国家的外国私募股权基金与该美国公司签订投资协议,为其提供资金用于该数据中心的建设以换取数据中心的多数股权。
【否】腾讯投资了美国某游戏公司,且投资协议明确腾讯不参与游戏开发且无任何数据访问权利。
上述投资协议不包括如下被动投资协议,如:
(1)投资于(a)公共交易的证券; (b)任何已向美国证券交易委员会注册的“投资公司”或选择接受监管或已作为商业发展公司接受监管的公司,或以上述任何一个为衍生的公司; (c)作为有限合伙人投资于风险资本基金、私募股权基金或其他集合投资基金,前提是有限合伙人的投资仅为资本,且该有限合伙人不能做出管理决策,不对其投资之外的任何债务负责,且不具备影响或参与基金或美国个人决策或运营的能力;
(2)涵盖人员在美国主体中总计不到10%的投票权和股权;
(3)不赋予涵盖人员超出被认为是合理标准的少数股东保护权利之外的权利,包括(a)在董事会或等同治理机构中的成员或观察员权利,或提名个人担任该职位的权利,或(b)除投票外,任何其他参与美国主体实质性商业决策、管理或战略的方式。
豁免情形
(1)个人通信:涉及邮政、电报、电话或其他无价值传输内容的通信不受限制;
(2)信息或信息材料:与信息或材料的进出口有关,无论商业性质或传输媒介均不受限制;
(3)旅行相关交易:出入境旅行相关的活动,包括携带行李、支付生活费用和安排非定期交通的交易不受限制;
(4)美国政府的官方业务:与美国政府授权活动或合同相关的数据交易不受限制;
(5)金融服务:通常附属于银行、资本市场、支付处理及相关金融服务的交易不受限制;
(6)企业集团内部交易:美国公司与其在受关注国家的子公司或关联企业之间的行政或附属业务交易不受限制,例如用于人力资源管理、工资支付、费用监控和报销、税费缴纳、取得营业证照、外部审计、合规、风险管理、差旅、客户支持、员工福利和员工的内部和外部沟通等;
(7)依据联邦法律或国际协议的交易:任何依据美国联邦法律或国际协议授权的数据交易均不受限制;
(8)美国外国投资委员会(CFIUS)审查的投资协议:受到CFIUS审查并明确授权的投资相关数据交易不受限制;
(9)电信服务:与电信服务提供直接相关的交易(若为服务附属部分)不受限制;
(10)药品、生物制品和医疗器械许可:为获取或维持药品、生物制品、医疗器械或组合产品的研发或上市授权或许可,按照美国食品药品监督管理局(FDA)指南要求重新识别或匿名化后,需提交给受关注国家监管机构的敏感个人数据,且这些数据是评估此类产品安全性和有效性所合理必需的;
(11)其他涉及临床研究和上市后监测数据的交易。
四、受监管数据类别
1.大量敏感个人数据
2. 美国政府相关数据
政府精确地理位置数据:对于在《政府相关位置数据列表》列出的精确地理位置数据,无论其数量多少;以及
政府人员相关联或可关联数据:与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联的数据。所谓“近期前任雇员或承包商”是指在交易之前的两年内为美国政府工作或提供服务的雇员或承包商,无论是否有报酬。
五、合规路径探讨
1. 交易许可
与其他基于IEEPA的法规类似,该行政令允许美国人员在获得许可的情况下进行原本限制的交易。美国司法部考虑引入通用许可证和特定许可证。
通用许可证:任何美国人员均可使用。司法部长可发布并公布通用许可证,在适当条款和条件下,授权某些符合规则要求的数据交易。
特定许可证:通过申请程序,针对特定美国人员发放,用于允许其在满足美国司法部规定的特定要求下进行特定交易。
提示:目前不建议针对限制交易申请许可。一来因为暂时不确定许可的申请材料和审核尺度,二来针对14117号令后续应该会有新的指南出台,谨慎起见,建议先观望。
2. 组织及技术安全措施
CISA安全要求:
●组织和系统层面的安全要求
▶基础安全政策与资产管控
▶访问控制与安全防护
▶风险评估
数据层面的安全要求
▶数据最小化与掩码策略
▶加密技术
▶隐私增强技术
▶身份与访问管理配置
14117号令要求:
▶尽职调查:交易前要做尽调,保存好尽调文件,对尽调机构未有要求
▶审计:第三方独立审计机构开展独立的年度审计
▶报告与记录保存(10年)
3. 排除法应对14117号令
第一步:排除受监管交易类型
(1)交易作为切入口,梳理交易类型,剔除非相关交易
(2)剩余交易类型中,中国企业的角色定性,是U.S. Person 还是交易相对方
(3)是否涉及受监管数据类型,剔除非受监管数据类型交易
(4)数据存储与跨境访问现状及拟安排,梳理云服务提供商信息及接触数据的人员范围
(5)中国籍高管的工作范围,是否涉及直接接触/访问受监管数据
(6)投资海外安排,剔除被动投资协议
第二步:采取组织及技术安全措施