个人数据在美欧外国投资审查中的角色初探(二)
编者按:
本系列主要关注美、欧在改革或设计外国投资审查制度时,如何看待个人数据的。这个问题的政策涵义至于我国企业走出去以及国内相关监管制度的设计,不言而喻。此前该系列中已经发表的公号文章:
2018年8月13日,特朗普总统签署了《2019财年约翰麦凯恩国防授权法案》(John S. McCain NationalDefense Authorization Act for Fiscal Year 2019),作为该法一部分的《2018年外国投资风险评估现代化法案》(Foreign Investment Risk Review Modernization Act of 2018, 以下称“FIRRMA”法案)也得以通过,开启了对美国外国投资国家安全审查重大改革的序幕。
2019年9月17日,美国财政部发布了“FIRRMA”法案的两套实施条例草案(一个涵盖房地产交易,另一个涵盖所有其他交易,以下称“实施条例草案”),开始为期30天的公众审查和征求意见阶段。一个涵盖所有其他交易,以下称“实施条例草案”),开始为期30天的公众审查和征求意见阶段。CFIUS改革的主要内容,以及中国两个协会对“实施条例草案”所提的意见和建议,参见本公号文章【对美国外国投资审查新规的观察和评价(DPO社群成员观点)】
2020年2月13日,美国财政部公布了最终版本的“CFIUS实施条例”,并即日生效。本文将讨论“CFIUS实施条例”中对个人信息的规定。总的来说,最终版的“CFIUS实施条例”与2019年征求意见的“实施条例草案”,在个人信息方面的规定,差别不大。
在原来的框架下,CFIUS所覆盖的“受辖交易”(covered transaction)仅包括“可能导致外国主体控制在美国进行州际贸易企业的兼并、收购、接管或其他非被动投资”,且该控制可能影响美国的国家安全。
但现在,CFIUS管辖范围扩张到一些非控制性的投资上。根据“FIRRMA”和“CFIUS实施条例” ,如果满足以下两个条件,该非控制性投资即受CFIUS的管辖:一是涉及某些特定行业的美国企业;以及二是赋予外国人(foreign person)某些特定权利。
CFIUS对非控制性投资的扩大管辖,就网信领域来说,主要是对涉及关键基础设施(critical infrastructure)、关键技术(critical technology)及敏感个人数据(sensitive personal data of United States citizens)的美国企业的外国投资。
在最终版本的“CFIUS实施条例”中,掌握敏感个人数据的美国企业是这么界定的:
“敏感个人数据”。
“CFIUS实施条例”将“敏感个人数据”定义为属于以下11类之一的“可识别”数据:
可用于分析或确定个人财务压力或困境的数据
消费者信用报告数据
申请(健康、专业责任、抵押或人寿)保险时填写的信息
与个人身体、心理或者心理健康状况有关的数据
非公开电子通讯数据
地理位置数据,包括从手机信号塔、WiFi接入点和可穿戴电子设备获得所获得的地理位置数据
生物识别信息,例如指纹和面部扫描
用于生成政府身份证明的数据
与特定个人“保密级别状态”相关的数据
“保密级别”申请表中的数据
基因检测结果
除了满足上述类别之一,美国公司仅在以下情况下算是持有了“敏感个人数据”:(a)其服务针对美国行政当局人员或美国政府承包商所雇人员,或(b)持有或意图持有超过100万美国公民的数据。换句话说,一家美国公司可以持有上述列列举的一个或所有类型的个人数据,但如果它不是专门针对政府雇员或未达到100万人的门槛,仍然不在CFIUS投资审查范围之内。
值得注意的是,基因检测结果这个类型的数据,不受上述限制;即不论是谁的基因检测结果,还是数据的量有多少,都将被视为“敏感个人数据”。“CFIUS实施条例”的这个特殊规定,反映出美国认为此类信息给国家安全带来的风险在显著增加。但是,“CFIUS实施条例”也同时规定:“由美国政府维护的,且定期向私营部门开放,以供其研究之用的数据库”,从其中得到的基因检测数据,不在受CFIUS管辖范围之内。
“CFIUS实施条例”规定,敏感个人数据必须“可识别”。其定义为“可用于区分或追踪个人身份的数据”(注意,英语中对身份的理解比中文语境中身份的范围要大得多);同时,如果“聚合或匿名数据”具备重新识别特定个人的能力(where “the
ability to disaggregate or de-anonymize” is preserved),依然算是CFIUS下的可识别数据。
“CFIUS实施条例”规定也包含了对“致力于或定制化”(“targets or tailors”)的定义,并且列举了实例。尤其是,“致力于或定制化”(“targets or tailors”)是指定制产品或服务,或主动向一个人、一群人推销或招揽。根据“CFIUS实施条例”中列举的实例,如果美国公司在美国军事基地经营设施,将被视为致力于或者定制化地提供其产品或服务。同理,如果美国公司只向穿制服的美国军人提供折扣,而不是更广泛地向公共部门雇员提供折扣,或者如果美国业务向军人分发宣传其产品特殊用途的营销材料,则将被视为符合“致力于或定制化”(“targets or tailors”)提出的定义。
“威胁国家安全”
FIRRMA和“CFIUS实施条例”将CFIUS的管辖范围扩大到对“持有或处理敏感个人数据的公司”的“投资”,以及所持有或处理的敏感个人数据“可能被以威胁国家安全的方式所利用”(“may be exploited in a way that threatens national security”)。因此,“可能威胁国家安全”是触发CFIUS管辖的另一个条件。
但确定哪些数据可能“危及国家安全”并不容易;但从CFIUS近期的一些涉及数据的审查,可能能给我们一些线索。近年来,CFIUS利用其原先的“控制性交易”的权限(即涵盖外国实体在美国公司中获得“控制”股权的任何交易),基于敏感个人数据事由而强制剥离了两家公司:适用于LGBT人士约会的应用程序——Grindr,以及与医疗相关的在线论坛——PatientsLikeMe。相关情况见,笔者不再赘述【CFIUS热点追踪:对涉及个人可识别信息交易的审查——以Grindr和PatientsLikeMe为例】从这两个例子来看,CFIUS似乎特别关注个人信息与隐私交集中的数据(从之前罗列的十一类数据也可看出)。据某些美国官员的说法,这些隐私数据一旦被“外国势力”掌握,将被用于威胁美国政府官员和军界人士。
此外,CFIUS及其组成机构(尤其是国家情报局局长办公室)的作用是评估国家安全风险,以便向总统建议个案中可采取的行动。总统有最终的权力阻止某项交易,或对交易附加条件,或撤消已完成的交易。这些国家安全评估通常涉及公众无法获得的机密信息。这就导致了看似“无害”的涉及数据的投资或交易,最终都可能被CFIUS认为为对国家安全构成威胁,从而导致交易结束后还可能面临调查和撤资的风险。这进一步导致了,CFIUS申报的自愿性质发生转变。当然,“CFIUS实施条例”已经对来自中国的投资者,事实上规定了强制申报的要求。具体还是请见【对美国外国投资审查新规的观察和评价(DPO社群成员观点)】中的分析。
因此,从现在看来,虽然美国处处号称个人数据跨境转移(包括外国人或企业在美国境内访问数据)不做限制。但是,新的CFIUS规则是美国对外国数据访问逐渐持怀疑态度的最新证据。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点