美国颁发行政令限制向某些国家出售或传输个人数据
概述
背景:美国政府已确认,“受关注国家”不当使用美国人的批量敏感个人数据以及美国政府相关数据的行为已构成国家安全风险。
结果:2024年2月28日,美国总统拜登签发一项行政令,要求制定相应规则,限制受关注国家获取个人及敏感数据。
展望:该行政令指示美国美国司法部长会同若干美国联邦机构颁布法规,按照行政令的规定制止或限制与受关注国家的关联实体之间的某些交易以及涉及该等实体的活动。
新发布的行政令代表着美国政府为大幅限制美国人批量“敏感个人数据”被出售、获取、分享和传输至中国、俄罗斯等被列为“受关注国家”的司法辖区而迈出的重要一步。据该行政令,鉴于相关行为人利用这些数据“参与上述司法辖区的间谍、影响力、杀伤作战或网络行动”所引发的国家安全风险,该等限制举动已是必要之举。行政令的一个关键侧重领域便是在人工智能系统(AI)中使用敏感个人数据训练数据模型和算法。
值得注意的是,行政令指示下列美国联邦机构颁布相应法规:
- 由美国美国司法部颁布相关法规,防止美国人的敏感个人数据被“批量”传输供受关注国家获取和利用;
- 由美国卫生和公共服务部、国防部以及退伍军人事务部颁布法规,协助确保相关联邦援助计划不会被用于协助受关注国家获取美国人的敏感健康数据;
- 由美国司法部和国土安全部基于美国国家标准与技术研究院制定的《网络安全与隐私框架》,发布相应安全要求,以应对与受关注国家之间的“受管辖交易”所带来的不可接受风险;以及
- 由消费者金融保护局(CFPB)颁布法规,包括通过现有消费者保护法律,应对数据经纪商向受关注国家出售和分享美国人敏感个人数据所产生的威胁。
行政令中的“敏感个人数据”包括与基因组别、生物特征、个人健康据、地理位置、财务信息以及某些类型可以识别个人的数据。行政令项下的拟颁布法规总体上将禁止向受关注国家以及众所周知会向该等国家提供数据的供应商批量出售或传输敏感个人数据。同时,美国主体将被禁止参与或以其他方式限制参与会促成收购、持有、使用、转移、传输或出境大量敏感个人数据,并且还会对美国国家安全构成不可接受的风险的交易。行政令还提到了由受关注国家所有的实体以及由受关注国家控制或“受其管辖或指挥”的实体和个人所实施的行为,即使这些行为只能令受关注国家的政府间接获取敏感个人数据。行政令对“获取”的定义比较宽泛,包含“逻辑获取或物理获取,包括以任何形式(包括通过信息技术系统、云计算平台、网络、安全系统、设备或软件)获取、读取、复制、解密、编辑、转移、发布、影响、改变状态或通过其他方式查看或接收的能力。”
行政令并未提出必须将大量敏感个人数据或美国政府相关数据保存在美国国内,或者必须使用位于美国境内的数据处理中心的普遍性数据本地化要求——实际上,行政令反而明确否认了上述要求。
尽管行政令已明确表示,并不广泛限制美国主体与位于中国等国家的实体开展一般性商业或金融交易,但行政令中对于一些关键问题仍存在模棱两可之处,需要按照适用法规予以进一步澄清。此外,行政令做出的一般性禁令似乎还会存在豁免和许可情形,但此类豁免和许可的具体内容以及如何适用或获取,目前尚不明确。因此,相关企业应密切关注美国司法部贯彻落实此项完全有能力深刻影响跨境数据交换格局的行政令相关情况。行政令已做出指示,要求美国司法部长在行政令颁布后180天内发布按行政令制定的拟议规则。
三项要点
- 相关企业应密切关注美国司法部及消费者金融保护局为落实行政令政策目标所发布的相应法规提案;该等法规有可能会对跨境数据交换以及数据经纪商的合规要求产生重大影响。
- 尽管美国美国司法部长在未来180天内才会发布行政令拟议实施规则,相关企业最好即刻开始考虑是否需要开展业务重组,以避免与受管辖主体开展行政令所禁止或限制的交易。
- 考虑到上述要求,相关公司应对自身内部的批量数据传输操作,包括相关技术基础设施以及其他合同安排开展审查。
众达出版物不应被视为针对某事件或情形发表的法律意见。众达出版物旨在为读者提供一般信息。未经众达书面同意,任何人不得在其它出版物或诉讼中引用或引述众达出版物的内容。众达保留批准他人引用或引述众达出版物内容的权利。如需申请众达出版物的转载许可,请使用众达网站(www.jonesday.com)上的“联系我们”表格。众达发表出版物的目的并非试图与读者建立律师和客户的服务关系;读者收到众达出版物也不表示律所与读者之间会构成律师和客户的关系。众达出版物中的观点仅属于作者的个人观点,并不一定代表律所的观点。