即将生效:美国敏感数据最终规则对应中国企业的高风险和低风险业务场景
即将生效:美国敏感数据最终规则对应中国企业的高风险和低风险业务场景
美国当地时间2024年12月27日,美国司法部(U.S. Department of Justice)正式公布《防止受关注国家或受限制主体访问美国敏感个人数据和政府相关数据的相关规定》(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)的最终规则(以下简称“敏感数据最终规则”),并将在刊登于《联邦公报》之日起90天后,即2025年3月28日生效(部分义务将在270天后生效)。
在和SaaS(Software as a Service,软件即服务)类型企业和跨境电商类型企业沟通具体情况的过程中,我们根据企业的实际考虑,从高风险和低风险业务场景角度,初步解释一下此规则的特点,帮助中国企业更好地考虑如何风险管理,安全运营。
一、敏感数据最终规则中的几个重要概念
1、 “美国人”的范围。简单来说最终规则监管的是美国人与受关注国家和“被涵盖主体”的涉及敏感数据的“交易”,除了美国法律通常定义的美国人的范畴,中国企业还需要注意设立在美国的分支机构也是属于美国人范畴;另外任何中国自然人在美国境内,也是属于被管辖的范畴。
2、 “交易”的范围。交易的概念不是通常理解的买卖行为,还包括获取、持有、使用、转让、运输和出口行为。这些行为和美国出口管制法中的“转移(transfer)”的底层思路是一致的。所以中国企业需要注意其自身任何行为是否属于上述范围。
3、涵盖主体名单 – 非穷尽性。美国国家安全网站会披露已经被认定的涵盖主体的名单,但同时又指出,此名单并不是穷尽名单,而是一个参考性名单,即已经在名单上的企业和个人是被涵盖的主体,同时参考这些主体的特点,其它相同(可能存在类似)的企业和个人也是美国认为应该属于被涵盖的主体。这就给中国企业提出挑战,自身业务和特点是否和已经上名单的企业一致和类似?企业自己是否是被涵盖的主体?此情景下的非穷尽性和美国商务部针对中国的涉军清单(MEU)的思路是一致的。
4、涵盖主体的股权 - “直接和间接”控制和控股。此最终规则对涵盖的主体的定义中,有一种情况是直接或间接、单独或合计拥有50%或更多股份的实体。这样的规定与美国SDN清单的50%规则是一致,也与美国CFIUS(Committee on Foreign Investment in the United States,美国外国投资委员会)进行投资审核的股权传统至自然人的思路一致。所以中国企业如果想考虑利用关联公司或是“壳公司”“规避”美国此类规定,是需要小心的。
5、处罚严厉 – 与美国其它法律保持一致。如果被美国认定为“故意”“有意图”规避此规定,和美国出口管制等法律一样,处罚将是约37万美金为起点,同时与交易金额两倍比较取高者作为罚金,可以并罚个人20年刑期和罚金。
二、高风险业务类型和低风险业务类型
1、高风险业务类型
a)以SaaS类型企业为例,具体而言,如果是从Google,Amazon等企业获得数据,包括MAC地址和IP地址,与姓/名相关联的账户等信息作为投放广告的精准定位,这类型的业务属于高风险,易被敏感数据最终规则所禁止。
b)如果中国汽车企业获取美国运营的汽车的精确地理位置数据,如果这些数据被用来帮助中国人工智能技术和机器学习能力,而不是帮助美国企业提高功效且没有任何安全措施的话,那么此类型的数据经纪将是被禁止的交易。
c)多种数据组合。中国企业可能会考虑如果A公司和B公司分别获取一定的信息,之后组合一起就可以获得想要的全部内容。但这是美国法律中非常典型的“规避”行为。敏感数据最终规则对各种规避行为也进行了列举并从文字上阐明:任何旨在逃避或规避、导致违反或试图违反本规定的任何禁令的交易。所以中国企业在考虑方案时需要注意法律风险。
2、低风险业务类型
a)以跨境电商类型企业为例,如果需要向美国的采购者发送货物而必须获得的具体信息,如收件人姓名、地址、支付信息和联系电话等,虽然这些是涉及涵盖的主体(如中国企业)对大量美国个人财务数据的访问,但因为这是美国消费者购买商品的组成部分和附带交易内容,所以是豁免而不受限制的。
b)金融结算类型的业务。如同上述场景,如果与中国的金融结算是为了美国消费者的付款便利,签约在中国境内的第三方服务商运营的数据中心储存和处理客户的大量金融数据,虽然第三方服务商也有数据访问权限,但此类行为也是被允许的。我们更倾向认为,在实务中,这种访问权限的范围肯定是在必要的情况下进行,而且从整个最终规则的监管思路看,第三方服务商需要提供“安全”确认,即遵守美国企业的数据安全要求。
三、规则和数据的多样性和复杂性
简单总结敏感数据最终规则的目的在于回复企业常规的问题,但限于篇幅,无法展开并分析更多的内容,比如运动数据是不是敏感数据、访问医院公开的数据是否被禁止、股东或是董事是中国籍是否被禁止、“转移(transfer)”的概念是什么、财产(property)怎样定义和理解等等内容。仅从规则已经列举的场景可以看出所针对的业务变化很多,叠加业态的多样性,企业需要根据业务本身的特点进行分析,才能得出更准确的认识。
总结
敏感数据最终规则的思路与美国其它法律的底层思路是相一致的,即定义数据的概念和范围并明确与其它法律管辖关系、定义管辖思路(如直接和间接控制和控股、集团关联企业的交易、数据与敏感数据的关系等等)、禁止规避行为、处罚严厉(37万美金和交易金额两倍取高者)。
部分中国企业一定会面临此类问题,也一定会考虑所谓“实操”做法,但“街头做法(street smart)”是否被认定为主观故意违规,还是可以安全应对美国企业和政府调查,需要企业认真考虑。正所谓条条大路通罗马,选择哪条路最可靠,也是企业长期发展的重要抉择。