个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》
编者按:
本系列前两篇文章主要关注美、欧在改革或设计外国投资审查制度时,如何看待个人数据的。随着阅读和研究的进行,笔者决定将本系列更名为——个人数据与域外国家安全审查。至于原因,相信本篇文章能给各位看官一个答案。
虽然系列文章更名了,但核心要旨不变:一是理解域外对个人数据流变的立场;二是服务我国企业走出去;三是给国内相关监管制度设计提供借鉴。此前该系列中已经发表的公号文章:
今天的文章关注美国参议院法案《2019国家安全和个人数据保护法案》(S. 2889)。虽然该法案还处于立法阶段的早期,但是该法案的支持人是参议员Joshua Hawley。
这位Hawley参议员也正是前段时间美国国会召开的关于TikTok数据安全问题的听证会的召集人。【相关情况见:直击TikTok美国国会听证会:中国公司出海的又一警示】听证会召开的前后,美国关于禁止联邦政府雇员使用TikTok的讨论已经非常多了。这位Hawley参议员也发表了以下的推文:
因此,参议员Hawley对于避免中国政府以及中国公司访问到美国人这件事,是非常认真的,符合其在其他中国事项上的一贯立场。预计参议员Hawley会持续致力于《2019国家安全和个人数据保护法案》的最终通过。接下来让我们看看这部法案中的规定。
一、管辖的对象
覆盖的技术公司(covered technology company)
首先,技术公司是指提供以“数据为基础”(data-based)的在线服务(例如网站或互联网应用)的公司;
其次:该公司还应当是以下情况中的一种:
公司是根据关注国家(a country of concern)的法律所成立的;
公司为关注国家的国民,或根据关注国家法律所成立的公司,持有简单多数或控股股权;
是上述a或b项所述实体的子公司;
由于受关注国家的管辖,使得关注国家能够获得美国公民和居民的用户数据,且不必像美国宪法和法律所规定的那样尊重公民自由和隐私。
其他技术公司(other technology company)
法案中,“其他技术公司”是指受美国法管辖,但不属于“覆盖的技术公司”的技术公司。
用户数据(user data)
法案中,用户数据是指
提供以“数据为基础”(data-based)的在线服务(例如网站或互联网应用)的实体所获得的;且
能够识别、关联、描述、能够被联系到,或可以被合理地连接到美国的公民或居民(identifies, relates to, describes, is capable of being associated with, or could reasonably be linked with an individual who is a citizen or resident of the United States),无论该信息是否由个人直接提交,或由上述实体从对个人活动的观察中衍生而来,或由实体通过任何其他方式获取的。
二、重要的定义
关注国家(country of concern)
法案中,关注国是指:
中华人民共和国;
俄罗斯;
由美国国务院所认定的在保护数据隐私和安全方面值得关注的国家。
美国国务院作出上述c项所要求的认定的程序是:审查外国的数据隐私和安全要求的状况(包括审查与数据隐私和安全相关的法律、政策、实践和规定)以确定——
如果该等国家的政府获取了美国公民和居民的数据,是否会对美国的国家安全构成重大风险;以及
如果该等国家的政府是否存在从收集用户数据的公司获取用户数据,且其获取方式无法像美国宪法和法律那样尊重公民自由和隐私,的重大风险。
定向广告(targeted advertising)
在法案中,定向广告是指基于用户的特征(traits,即来自于为销售广告而创建的用户个人画像的信息),或基于用户先前的线上、线下行为,而向用户展示广告的一种广告形式。
法案专门指出,场景式的广告(contextual advertising)不是定向广告。场景式的广告是指因用户所使用互联网服务的场景而向用户展示的广告,例如:
基于用户所连线的网站、在线服务、在线应用程序或移动应用程序的内容,而定向投放给用户的广告;或
由网站、在线服务、在线应用程序或移动应用程序的运营者,根据用户访问该等网站、服务或应用程序时使用的搜索词,而向用户投放的广告。
人脸识别技术(facial recognition technology)
在法案中,人脸识别技术是指:分析静止图像或视频图像中的面部特征,并用于识别或有助于识别个人的面部物理特征的技术。
三、法定义务
覆盖的技术公司(covered technology company)的数据安全要求
对于“覆盖的技术公司”,法案提出了如下要求:
数据的最小收集——公司收集的用户数据不得超过运营网站、服务或应用程序所必需。
禁止二次利用——公司不得将据前款所收集的任何用户数据转用于任何并非运营网站、服务或应用程序所严格必需的目的,包括提供定向广告,与第三方不必要地共享数据,或不必要地用于人脸识别技术的部署或应用。
查看和删除数据的权利——公司应当允许个人:a)查看公司所持有的与个人有关的任何用户数据;且b)永久性删除公司所持有的任何直接或间接从个人所收集的用户数据。
禁止向关注国传输——公司不得向任何关注国(包括通过非关注国中转)传输任何用户数据,或解密该数据所需的信息,如加密密钥。
数据存储要求——公司不得将数据以及解密改数据所需信息(如加密密钥),存储在位于美国或与美国据法定程序签有执法共享数据协议的国家之外的服务器上。
其他技术公司(other technology company)的数据安全要求
禁止向关注国传输——公司不得向任何关注国(包括通过非关注国中转)传输任何用户数据,或解密该数据所需的信息,如加密密钥。
数据存储要求——公司不得将数据以及解密改数据所需信息(如加密密钥),存储在位于美国或与美国据法定程序签有执法共享数据协议的国家之外的服务器上。
四、总结
用大白话说,这个法案将中国和俄罗斯从美国的个人数据跨境流动的“群聊圈”中剔除。
首先,美国“拉群”的标准是云法案中能够与其签署行政协定的国家。【相关情况见:美国快速通过Cloud法案 清晰明确数据主权战略】
其次,美国“踢人出群”的标准非常模糊。“该等国家的政府获取了美国公民和居民的数据后,是否会对美国的国家安全构成重大风险”,这个标准很大程度上取决于“臆想”。基本上当一个国家被美国认为是“敌手”(adversary)时,就符合上述标准。那如何认定一个国家成为“敌手”?显然是个政治上的决定。
再次,这部法律与CFIUS【相关情况见:对美国外国投资审查新规的观察和评价(DPO社群成员观点)】相配合,能够全面地切断美国公民或国民的数据流入不受美国法管辖的实体手中。
最后,关注国家的企业或受关注国家管辖的企业,在美国境内运营时只能是个“二等公民”,仅能维持基本的运营,不能将数据用于研发。(完)