• 当前位置:网站首页
  • > 商事法律服务 > 法律热点

    • 美国禁止向中俄等国出售“敏感个人数据”,是隐私保护还是国家制衡?

    发布日期:2024-03-11 信息来源:法律事务部 浏览量:​

    2024年2月28日,美国总统拜登发布了一项要求司法部制定规定限制向受关注国家(countries of concern)出售美国敏感个人数据的行政令。这对于始终在国际上倡导数据跨境自由的美国来说是迈出了不同寻常的一步,也是美国历史上首次较大规模地限制向单独国家出售个人数据。

     

    一、发布行政令的背景

    拜登表示,颁布行政令的原因是某些受关注国家持续试图获取美国公民的敏感个人数据和有关美国政府的数据,威胁到美国的国家安全和外交政策。而美国司法部的国家安全局提出考虑将中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉确定为该计划的“受关注国家”。

    (一)国际背景

    近年来,中美之间的数字冷战(the Digital Cold War)已愈演愈烈。美国切断了中国硬件制造商的重要供应,并试图迫使出售中国互联网公司字节跳动(ByteDance)旗下的短视频社交平台TikTok。拜登还施加限制让美国投资者更难投资中国国内如人工智能和量子计算的敏感技术开发中。同时,一些掌握敏感数据的中国公司也引起了华盛顿方面的关注。例如美国政府曾迫使一家中国公司出售其投资的社交APP Grindr,并规定Grindr不得向中国境内的任何个人或实体或代表其行事的人员传输敏感数据。而中国方面也作出了一些如禁止访问Facebook和谷歌等网站的限制规定。而拜登此次发布限制向中国等六国出售敏感个人数据的行政令无疑是中美数字冷战的又一次升级。

    (二)国内背景

    美国境内存在一种合法的数据买卖形式,即数据经纪商收集包括喜好、家庭收入、健康状况等在内的个人信息并分类,建立数百万美国人的档案进行出租或出售。通常来说,数据经纪商收集数据的买家是那些需要针对人群投放广告的营销商。但美国官员声称,中国、俄罗斯等国家从数据经纪商那里购买了美国人的个人数据,并正在利用这些数据勒索和监视美国,故美国政府开始介入。

     

    二、行政令的主要内容

    (一)针对的国家

    行政令中“受关注国家”要满足的条件是:从事对美国国家安全或美国人的安全与安危构成长期模式或严重行为的任何外国政府,并构成利用大量敏感个人数据或与美国政府相关的数据对美国国家安全或美国人的安全与安危造成损害的重大风险。目前官方提及的有中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉六国。

    (二)受限制的数据类型

    行政令的重点是美国人最隐私和敏感的信息,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些种类的个人可识别信息。

    (三)受豁免的数据

    美国政府在限制的数据类型上并没有一刀切地作出规定,跨国公司开展正常经营活动所需的数据流,如处理工资单等,以及包括低风险商业数据在内的一般数据是被豁免与于该行政令的。美国政府官员表示,行政令的发布并不意味着美国支持数据在全球范围内的自由流通的态度有所动摇。

    (四)具有溯及力

    行政令的第四节规定,要评估由于先前向受关注国家转移美国人的大量敏感个人数据所引起的国家安全风险。具体来说,自行政令第2(c)节下发布的规定生效之日起120天内,相关政府部门长官与有关机构负责人协商,向美国国家安全事务助理(APNSA)推荐适当的措施以评估和缓解这种风险;自行政令第2(c)节下发布的规定生效之日起150天内,由国家安全事务助理审查这些建议,并根据情况适用。

     

    三、中国的表态

    2024年2月29日,中国外交部发言人毛宁在例行记者会上对拜登签署该行政令的事件作出了回应。毛宁表示,美方诬称中方购买美国公民敏感数据从事恶意活动,禁止数据流向包括中国在内的所谓“受关注国家”,是明显针对特定国家的歧视性做法,中方对此坚决反对。中国政府一向高度重视保护数据隐私与安全,从来没有也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据、信息和情报。中方要求美方停止对中国的污蔑抹黑,与各方共同制定普遍性的数据安全规则,促进全球数据有序自由流动

     

    四、中国企业应对

    (一)审查企业的业务情况,判断是否会违反该美国禁令

    企业首先需要了解美国禁止出售个人数据行政令的具体内容,包括它涵盖的个人数据类型、适用的企业范围以及可能涉及的例外情况等。然后,企业应当对其业务流程进行全面审查,重点检查涉及个人数据收集、处理、存储和转让的环节;包括直接和间接的数据流转,如通过第三方合作伙伴或服务提供商进行的数据共享。基于禁令范围和业务流程的梳理,企业需要对自身业务是否违反禁令进行评估。一旦发现存在违反禁令的风险,企业应尽快调整业务流程或寻求法律意见等,进一步明确风险和制定相应的合规战略。

    (二)遵守中国境内个人信息和数据安全法律法规

    中国的个人信息和数据安全法律体系也在不断发展,企业应深入了解《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》等相关法律,明确个人信息保护和数据安全的具体要求。

    在此基础上,企业需要对其业务活动进行合规性评估,判断相关业务是否符合中国的个人信息保护标准,包括数据收集、使用、共享、存储和传输等方面。同时,应当根据中国的法律法规,制定或更新其数据保护政策,并配合开展合规培训,以确保所有员工了解并遵守相关规定。同时,企业应采取数据加密、访问控制、安全审计等技术措施和管理措施,确保个人信息的机密性、完整性和可用性。

    综上所述,企业在面对美国禁止出售个人数据行政令时,应综合考虑自身业务情况和中国法律要求,制定全面而有效的应对策略。这不仅有助于企业避免法律风险,也有助于提升企业的声誉和竞争力。



    分享: