【数据法学】洪延青:个人数据在美欧外国投资审查中的角色初探(一)
The following article is from 网安寻路人 Author 洪延青
B D A I L C
欢 迎 关 注
Corot
个人数据在美欧外国投资审查中的角色初探(一)
文 / 洪延青
一、美国FIRMMA
美国《外资投资风险审查现代化法案》(The Foreign Investment Risk Review Modernization Act,FIRRMA)对CFIUS及其运作,进行了重大改革。本公号文章仅对个人数据作出分析。
FIRRMA的Sec.1703集中对给出了本法案的各个关键词的定义。而关键中的关键就是所谓的“涵盖的交易”(covered transaction)。落入“涵盖的交易”定义中,CFIUS委员会就可以行使审查权力。在这方面,FIRRMA显著扩大了“涵盖的交易”的范围:
即除了传统上的“外国人发起的兼并和收购,获得对美国商业实体的控制权”以外(Any merger, acquisition, or takeover by or with any foreign person that could result in foreign control of any United States business),还包括:
1. 位于美国境内;
2. 位于空中或海上港口内或将作为空中或海上港口的一部分;或者
3. 靠近军事设施或其他敏感的政府场所的,使得外国人能够收集关于军事设施和政府场所的活动的情报,以及暴露关于上述设施和场所关于国家安全活动。
1. 拥有、经营、制造、供应或服务于关键基础设施;
2. 生产、设计、测试、制造或开发一种或多种关键技术;
3. 持有或收集美国公民的个人敏感数据,这些数据可被用于威胁国家安全的
1. 能够访问任何重要的“非公开技术信息”(non-public technical information);或者
2. 获得美国商业实体的董事会(或起到类似管理功能的机构)的成员资格或观察员权利,或提名某人担任董事会(或起到类似管理功能的机构)职位的权利;或者
3. 除了通过股权投票外,能够参与到美国商业实体重大决策,包括
a. 美国公民个人敏感信息的使用、开发、获取、保护或披露;b. 关键技术的使用、开发、获取或披露;c. 对关键基础设施的管理、运营、制造或供应。实际上,FIRRMA规定了,如果外国对“持有或收集美国公民的个人敏感数据”企业的投资,导致其能够参与到“美国公民个人敏感信息的使用、开发、获取、保护或披露”中去,就属于CFIUS可审查的范围。
近日,美国财政部公布了其对落实FIRRMA的配套条例草案(Proposed CFIUS Regulations to Implement FIRRMA),进一步细化了所谓的个人敏感信息的定义。
(各位看官是否有点似曾相识?)
二、欧盟境外直接投资审查框架条例
2019年3月5日,欧盟理事会批准了众所瞩目的《关于建立欧盟外国直接投资审查框架的条例》。此前该条例已于2019年2月14日获得欧洲议会批准,欧盟理事会的批准意味着其完成了生效所需的全部程序。2019年3月21日,该条例在欧盟《官方公报》上公布,并在公布后第20日生效。根据《外资审查条例》第17条,该条例将自2020年10月11日起实施,给成员国18个月的过渡期来制定和采取实施该条例所需的必要措施。在这个《关于建立欧盟外国直接投资审查框架的条例》,同样也提到了个人数据。
第四条
审查时可能考虑的因素
关键基础设施(无论是物理的还是虚拟的),包括能源、运输、水、健康、通信、媒体、数据处理或存储、空间、国防、选举或金融基础设施、敏感设施,以及对上述设施来说至关重要的土地或房产; 关键技术和两用物项,包括人工智能、机器人技术、半导体、网络安全、空间、国防、能源存储、量子和核技术,以及纳米技术和生物技术;具有潜在双重用途的技术,网络安全,空间或核技术; — 关键投入(包括能源和原材料)的供应安全性,以及粮食安全; 获取敏感信息,包括个人数据,或控制敏感信息的能力;以及 媒体的自由和多元性。
三、简短评论
美欧长久以来对我国立法的一个要求就是:个人信息安全仅仅涉及个人合法权益保护,和社会公共利益、国家安全无关;因此,应该做不同的制度设计。但是美欧在自己的立法上,却又没有遵循这个区分。这样的双重标准如何让人接受?联想到美国人在2014-2016年积极确立的又一个区分:商业网络窃密不行,但国家安全为目的的网络窃密可以。在这方面,美国也还是个双标国家。
反过来对一线数据保护官来说,实际上就是要时刻清醒:个人信息安全,特别是涉及大量人数和特定类型的个人信息,绝不仅仅是保护个人合法权益而已。
文章来源:网安寻路人
仅作学习交流之用
Corot
往期荐读
编辑:韩雨硕
欢迎点击“阅读原文”