徐程锦：对美投资中的数据安全问题——美国外资安全审查中如何处理数据安全

【以下为工信部国际经济技术合作中心博士徐程锦现场演讲录音内容整理】

我的专业为国际经贸规则研究。今日与大家宏观地探讨中美数据安全立法比较。此问题涉及面很广，不妨稍微聚焦一下，关注中国对美投资过程中的数据安全问题。更具体而言，即美国目前在外资安全审查系统中，如何对待数据安全。

我的专业为国际经贸规则研究。今日与大家宏观地探讨中美数据安全立法比较。此问题涉及面很广，不妨稍微聚焦一下，关注中国对美投资过程中的数据安全问题。更具体而言，即美国目前在外资安全审查系统中，如何对待数据安全。

数据安全在对美投资中的重要性迅速上升

数据安全问题近两年在美国外商投资中的重要性急剧上升。2018年，美国针对对外商品品牌，做出重要改革，提出了新概念—— TID Business,即关键技术（Technology）、关键基础设施（Infrastructure）、敏感个人信息（Data）业务。

若外资公司收购上述三个领域的美国企业（哪怕外资公司仅获得很小股份，并未达到控制美国企业的程度），美国外资安全审查委员会（CFIUS）便对其有审查权。传统上讲，CFIUS只能审查控制性投资，但其今后亦可审查非控制性投资。

近几年中国对美投资的一些典型案例（特别是那些遭遇挫折的案例）中，很多均涉及数据安全。如蚂蚁金服收购MoneyGram被否决；昆仑万维被要求剥离Grindr；石基信息收购StayNTouch被否决；字节跳动被要求剥离TikTok。这些案例均涉及CFIUS。

美国外资安全审查中的“重要数据”（TID Business）

美国“三审”对数据的认识，类似我们对待“重要数据”这一概念。美国虽未明确使用“重要数据”概念，但从内涵、设计，以及背后的政策目标看，均具备相同之处。“外资安全”、“重要数据”均从国家安全层面审视问题。二者不同点也颇为鲜明，我国“重要数据”其实是非常全面的一个概念——“重要数据”涉及全方面风险，所以对它的处理为全方位保护。美国外资安全管理数据非常特定的风险。当外国人获得数据时，美国如何处理相关国家安全问题呢？

首先来看TID Business中跟数据最直接相关的“敏感个人数据”问题。若被收购的美国企业掌握敏感个人数据，即使其外资收购只占很小股权，未达到控制性，CFIUS仍可对其进行处罚。

那么到底何为“敏感个人数据”？它与通常所讲的“可识别个人的信息”，即“个人信息”有何区别？从定义看，“敏感个人数据”首先必须为“可识别的个人信息”。但并非所有可识别个人信息，均为敏感个人数据。如姓名、住址、电话、身份证号这些“可识别个人的信息”，由于我们平日会经常通过公开渠道使用，并容易获得，故其不属于“敏感个人数据”范围。从CFIUS法规对“敏感个人数据”的定义看，基因信息在各种条件下，均无条件地属于“敏感个人数据”。除此之外，若要属于“敏感个人数据”范畴，须同时满足“来源”、“种类”两个相关条件。

“来源”又可分为两类：1、敏感群体，如美国军队、与美国国家安全有关的联邦机构雇员——数据主体非常敏感；2、收集维护（或有此商业计划）超过100万人的数据——数据主体的量非常庞大。

除“来源”外，还要符合“种类”这一条件。CFIUS法规对此提出10种敏感数据类别：个人财务情况；消费记录；健康、专业责任或住房贷款等保险信息；身体和精神健康信息；非公开的通讯信息、通过通讯设备收集的位置信息；面部、声音、虹膜、指纹等生物信息；政府身份识别认证信息；美国政府雇员安全背景调查信息；适用于美国政府雇员安全背景调查的申请信息或公共信托雇员申请信息。

目前重点保护两类数据：个人信息、重要数据。其交集为何？“敏感个人数据”的定义方式提供了这样一个视角——个人信息到底何时上升为重要数据？一、数据本身种类或性质比较敏感，而且其数量足够大（CFIUS法规明确提出了100万这样一个数值）。二、数据主体自身身份特别敏感。如其属于政府雇员或军队成员。美国为何要做这样的安排？其立法背景中提到这一点。美国比较担心外国人获得数据后，通过数据的汇集和分析，会发现其关键岗位上的关键人员出现财务或健康危机，以此威胁、利诱相关关键人员，进而实施威胁国家安全的行为。特别强调政府、军队身份，便很大程度上出于此目的。

除此之外还存在第三种情况。若外商投资达到了控制性投资水平（一般取得超10%股权，便达到控制性投资水平），无论数据性质（数据主体身份）是否敏感，外资企业若可完全接触被收购企业数据，且数据量足够大，便会触发CFIUS认为其可能影响国家安全。

据此不难理解TikTok这一满是年轻人跳舞视频的软件应用，为何会被认为威胁国家安全——其掌握数据并非敏感性数据，但其数据量足够大，且被外国人完全控制，故被认为对国家安全形成威胁。

关键技术方面：若关键技术企业落入上述范畴，即便是非控制性投资，亦会进入审查范围。到底何为关键技术？从定义看，基本等同于美国出口管制技术——军用（包括核）+军民两用（CCL清单）+新兴技术与基础技术。中国企业几乎不会涉及军用技术；军民两用技术方面，范围比较明确，有商业控制清单（CCL清单），所有军民两用技术均在此清单上。新兴技术与基础技术最不明确。美国于2018年改革时，提出这一概念。但直至今日美国仍未具体说明到底何种技术属于该范畴。

美国曾给出14个新兴技术的建议草案，但遭到很大反对，被诟病其所指范围过大。相较敏感个人数据，关键技术另有一个特点。不仅其少数股权投资需接受CFIUS审查，CFIUS对其另有强制申报要求，涉及27个重点行业。各界对此亦诟病其打击范围过广。

2020年5月出台新规草案，不再从行业角度定义此问题，而是关注相关技术是否需要出口管制许可。若一项技术从贸易角度转移给外国人，需要美国商务部许可；若通过投资渠道转移给外国人，就需美国财政部领导的CFIUS作相关审查。

此处所说出口管制许可，跟前面所说“关键技术基本等同于出口管制技术”间有何区别？二者有一定区别。美国出口管制技术体系非常复杂，涉及不同管制维度——有技术、最终用户及最终用途等不同维度。

若中国、英国两家公司均有意图收购美国一家从事军民两用技术的企业，是否需向CFIUS作强制申报呢？此时需看技术本身向英国或中国出口时，美国的出口管制政策到底为何。即便涉及美国同一技术，由于英国跟美国关系较好，故通常不需要出口管制许可。但中国公司则需要出口管制许可。此时中国公司若想收购这家技术企业，中方便需要向CFIUS作强制申报。

不仅有针对国家的区别对待，亦有针对一国不同企业的不同待遇。华为作为一个实体清单上的企业，美国对其管控最为严格。上实体清单后，若进口美国任何货物，均需出口管制许可。若其为一家不在出口管制实体清单上的中国公司进口美国技术，或许便不需作此许可。所以，涉及关键技术及相关数据时，美国借用出口管制这一非常精密、复杂的体系，针对不同国家、不同企业采取了一种分级的管控方式。

关键基础设施方面，与国内的相关概念比较相近。从功能、领域两个角度，定义了共28类关键技术设施。美方“关键基础设施”实际包含了我们经常提及的“关键信息基础设施”。当其提到油、电、水、气时，往往亦会提及相关的工业控制系统亦属于关键性基础设施。工控系统通常涉及很多数据，故在某种意义上，将中国的“关键信息基础设施”概念，以这样的方式纳入其中。

美国外资安审如何保护“重要数据”

美国对关键、重要的技术和数据采取了何种保护？据此可从4方面分析此问题。

第一，谁来认定其关键、重要与否？如从立法角度讲，“TID”概念由美国国会提出。从执法角度讲，由CFIUS支持。当涉及关键技术时，完全由商务部主导。故其完全由联邦政府部门处理。

在我国，相关技术、数据重要性到底由谁裁定，相较而言不够明确。如工信部发布的《工业数据分类分级指南（试行）》谈及数据分类时，主语尚较明确——由平台企业进行数据分类。但谈及数据分级时，所在语句则缺乏主语。数据分级与重要数据的关联性相对更加紧密。此分级到底由谁来做——由中央政府部门，还是地方政府或平台企业？并不明确。在美国，至少在外资安全领域，相关权力完全掌握在联邦部门手中。企业在此方面无任何发言权。

第二，如何确保监管？这实际主要涉及两种方式。一是强制申报制度（国资背景的外国投资；需出口许可的关键技术）。二是进行安全审计。美国外资安全审查一大特点为“可追溯”。德国规定，若投资完成数年后，外资安全局便无权再审。但美国无类似限制，可随时审查。

第三，如何来判断安全风险。美国虽一直主张以风险为基础来判断安全风险，但在执行时，则主要关注重要性、脆弱性、外来威胁的严重性。故在外资安全审查过程中，并无标准，完全由CFIUS决断。

第四，如何消除安全风险？这主要涉及两个方面：禁止交易、附加风险减缓措施。禁止交易——如要求TikTok剥离资产;MoneyGram收购前便被告知收购无法进行。附加风险减缓措施——可批准交易，但需满足一定条件。如软银曾试图收购Fortress Investment（与软银相似，从事投资，本身既不涉及关键技术，亦不涉及敏感个人数据），但因软银使用华为系统，而被要求不得参与Fortress日常经营。这实际意味将Fortress Investment的数据与软银完全隔离。

一些建议

演讲最后，希望向企业提出三点相关建议。首先，对投资中可能引起CFIUS关注的特征保持敏感。1、对象企业掌握超过100万个人用户数据；2、涉及关键技术，特别是新兴技术（涉及技术主导权的竞争）；3、企业自身是否有国资背景（包括接受国有产业投资基金的投资）。

其次，主动向CFIUS申报。主动申报有益处。2018年改革中，CFIUS建立快捷申报制度，企业收购者可提交约5页纸的投资简介。若CFIUS认定其适用于快捷申报，则可30天内完成审查。一般CFIUS审查可长达105天。此外，CFIUS审核通过后，意味着企业可获得终身保护——截至目前，CFIUS从未在审批通过后进行“二审”。

再次，做好隔离美国用户数据的准备。隔离数据属于美国减缓外资安全风险过程中的常用措施。

以上为我今日与大家交流的内容，如有不当之处，敬请指正。谢谢。

作者徐程锦，系工信部国际经济技术合作中心博士。