查看原文
其他

【数据法学】洪延青:个人数据在美欧外国投资审查中的角色初探(一)

The following article is from 网安寻路人 Author 洪延青

B D A I L C 

欢 迎 关 注 


Corot



个人数据在美欧外国投资审查中的角色初探(一)


文 / 洪延青


一、美国FIRMMA

美国《外资投资风险审查现代化法案》(The Foreign Investment Risk Review Modernization Act,FIRRMA)对CFIUS及其运作,进行了重大改革。本公号文章仅对个人数据作出分析。
FIRRMA的Sec.1703集中对给出了本法案的各个关键词的定义。而关键中的关键就是所谓的“涵盖的交易”(covered transaction)。落入“涵盖的交易”定义中,CFIUS委员会就可以行使审查权力。在这方面,FIRRMA显著扩大了“涵盖的交易”的范围:
即除了传统上的“外国人发起的兼并和收购,获得对美国商业实体的控制权”以外(Any merger, acquisition, or takeover  by or with any foreign person that could result in foreign control of any United States business),还包括:


对某些房地产购买,租赁或特许经营

1. 位于美国境内;

2. 位于空中或海上港口内或将作为空中或海上港口的一部分;或者

3. 靠近军事设施或其他敏感的政府场所的,使得外国人能够收集关于军事设施和政府场所的活动的情报,以及暴露关于上述设施和场所关于国家安全活动。


外国人对美国商业实体进行的某些非被动(non-passive)的直接或间接投资具体而言,FIRRMA规定,是对以下企业的投资:

1. 拥有、经营、制造、供应或服务于关键基础设施;

2. 生产、设计、测试、制造或开发一种或多种关键技术;

3. 持有或收集美国公民的个人敏感数据,这些数据可被用于威胁国家安全的


同时,上述投资能够使得外国人:

1. 能够访问任何重要的“非公开技术信息”(non-public technical information);或者

2. 获得美国商业实体的董事会(或起到类似管理功能的机构)的成员资格或观察员权利,或提名某人担任董事会(或起到类似管理功能的机构)职位的权利;或者

3. 除了通过股权投票外,能够参与到美国商业实体重大决策,包括

a. 美国公民个人敏感信息的使用、开发、获取、保护或披露;b. 关键技术的使用、开发、获取或披露;c. 对关键基础设施的管理、运营、制造或供应。
实际上,FIRRMA规定了,如果外国对“持有或收集美国公民的个人敏感数据”企业的投资,导致其能够参与到“美国公民个人敏感信息的使用、开发、获取、保护或披露”中去,就属于CFIUS可审查的范围。
近日,美国财政部公布了其对落实FIRRMA的配套条例草案(Proposed CFIUS Regulations to Implement FIRRMA),进一步细化了所谓的个人敏感信息的定义。


(各位看官是否有点似曾相识?)



二、欧盟境外直接投资审查框架条例

2019年3月5日,欧盟理事会批准了众所瞩目的《关于建立欧盟外国直接投资审查框架的条例》。此前该条例已于2019年2月14日获得欧洲议会批准,欧盟理事会的批准意味着其完成了生效所需的全部程序。2019年3月21日,该条例在欧盟《官方公报》上公布,并在公布后第20日生效。根据《外资审查条例》第17条,该条例将自2020年10月11日起实施,给成员国18个月的过渡期来制定和采取实施该条例所需的必要措施。
在这个《关于建立欧盟外国直接投资审查框架的条例》,同样也提到了个人数据。



第四条

审查时可能考虑的因素


在决定某项外商直接投资是否可能影响安全或公共秩序时,成员国和委员会可考虑对以下方面的潜在影响:


  • 关键基础设施(无论是物理的还是虚拟的),包括能源、运输、水、健康、通信、媒体、数据处理或存储、空间、国防、选举或金融基础设施、敏感设施,以及对上述设施来说至关重要的土地或房产;
  • 关键技术和两用物项,包括人工智能、机器人技术、半导体、网络安全、空间、国防、能源存储、量子和核技术,以及纳米技术和生物技术;具有潜在双重用途的技术,网络安全,空间或核技术;
  • — 关键投入(包括能源和原材料)的供应安全性,以及粮食安全; 
  • 获取敏感信息,包括个人数据,或控制敏感信息的能力;以及
  • 媒体的自由和多元性。



三、简短评论

美欧长久以来对我国立法的一个要求就是:个人信息安全仅仅涉及个人合法权益保护,和社会公共利益、国家安全无关;因此,应该做不同的制度设计。但是美欧在自己的立法上,却又没有遵循这个区分。这样的双重标准如何让人接受?联想到美国人在2014-2016年积极确立的又一个区分:商业网络窃密不行,但国家安全为目的的网络窃密可以。在这方面,美国也还是个双标国家。


反过来对一线数据保护官来说,实际上就是要时刻清醒:个人信息安全,特别是涉及大量人数和特定类型的个人信息,绝不仅仅是保护个人合法权益而已。


文章来源:网安寻路人

仅作学习交流之用

Corot


往期荐读




编辑:韩雨硕



欢迎点击“阅读原文”

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存