2024年05月16日转载:同花顺
前言
在全球化的趋势下,中国企业“走出去”已成为发展的重要方向,中国企业对于出海寻求更大的市场机遇以及更加多样化的出海方式的诉求日益强烈。艾媒咨询《2023-2024年中国企业出海发展研究白皮书》数据显示分别有25%、34%的大、中型中国企业已实施出海战略,29%的小型中国企业有布局出海的计划。百炼智能《中国出海企业现状洞察报告(2023)》指出中国出海企业在北美区域的布局范围最广,高达30.97%的出海企业将北美作为出海目的地。在中国企业加速出海步伐的同时,中国政府亦持续加大对外开放力度,推出了一系列稳外资政策举措,进一步拓宽外商投资空间、优化外商投资环境、提升包括数据在内的要素跨境流动便利性水平。
而在全球化的快速进程中,各国不断调整其全球化的经济框架,并重新评估数据要素在该框架中的地位及角色,逐步完善或调整其法律和监管体系以规范数据跨境流动。美国总统拜登于2024年2月28日签署发布了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(下文简称“敏感个人数据行政命令”)。在敏感个人数据行政命令的监管体系下,中国企业赴美出海、在华跨国企业、中国企业对外投资或研发(如生物医药企业)、中国港澳地区企业将面临包括业务架构调整、网络架构调整的诸多全新挑战,为企业能否延续现有的研发、管理及新产品出口等业务计划带来不确定性。
基于上述背景,本文将通过解读美国数据跨境新政的要点及中美数据跨境合规监管差异,为中国赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业、中国港澳地区企业分析在中美数据跨境监管体系下企业面临的挑战,并立足于法规、结合行业经验为相关企业的业务与合规工作的开展提供一些建议与参考。
美国敏感个人数据行政命令要点解读
行政命令发布背景
2024年2 月28日美国总统拜登签发了名为《关于防止受关注国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)的行政命令,该行政命令指示美国司法部与其他机构协商发布法规以禁止或限制与“受关注国家”或“受管制对象”进行的涉及美国人大量敏感个人数据或美国政府相关数据的特定类型的交易。在该行政命令发布同日,美国司法部发布了关于该行政命令的非正式的拟议规则制定预通知(Advance Notice of Proposed Rulemaking,下文简称“ANPRM”)的情况说明 (Fact Sheet,下文简称“情况说明”),概述了实施该命令的规则。ANPRM随后于3月5日发布 ,旨在提供拟定规则的更多细节,并在生效前征求公众意见。
行政令要点解析
敏感个人数据行政命令和相关规则与说明从数据类型、数据交易的参与方、数据交易的类型、数据交易规模阈值等多方面提供了监管框架,对与包括中国在内的相关国家或相关人员进行数据交易的行为作出了禁止或限制。
美国司法部和美国国土安全部负责发布针对两种数据交易类型的规则:
禁止交易
包括数据经纪交易和涉及转移大量人类基因数据或可从中提取此类数据生物样本的基因数据交易。
受限制交易
包括涉及提供商品和服务(包括云服务协议)的供应商协议 ;雇佣协议 和投资协议 。如果此类交易符合将由国土安全部网络安全和基础设施局制定的安全要求(可能包括基本的组织网络安全生态要求、物理和逻辑访问控制、数据掩码及最小化,以及使用隐私保护技术的网络安全措施),以减少有关国家对敏感数据的访问,则可继续进行。
同时,敏感个人数据行政命令和相关规则与说明对监管适用的数据交易的参与方、数据类型、数据交易规模阈值作出定义:
数据交易的参与方
列举了六个“受关注国家”与四个类型的“受管制对象”。
数据类型及数据交易规模阈值
“美国人大量敏感个人数据”或“美国政府相关数据”。
敏感个人数据分为六类:特定个人标识符、地理位置及相关传感器数据、生物识别标识符、人类基因数据、个人健康数据和个人财务数据。美国司法部当前尚未对“大量”作出具体定义,而是针对六类敏感个人数据的交易在一定期间内超过规定的阈值数量的特定类别的交易进行管制。ANPRM中对于各类敏感个人数据的阈值定义如下:
美国政府相关数据:美国司法部认定的会对美国国家安全造成威胁的数据,如能关联到联邦政府及军队的雇员或地址的相关数据。无论此类数据的数量如何,均将受到监管。
此外,美国司法部还确定了某些类别数据交易免受监管的例外情况,如通常属于跨国美国公司内部附属业务操作(如工资支付或人力资源)的一部分的交易。
就此项行政命令从数据跨境涉及的数据类型、数据交易的参与方、数据交易的类型等方面作出的定义来看,赴美出海的中国企业、对外投资或研发的中国企业等企业均有可能在跨境获取美国人敏感个人数据时受到限制或禁止。
美国数据跨境监管趋势分析
此项行政命令很可能意味着白宫将继续推进数据安全政策。敏感数据的安全已经成为华盛顿的优先事项之一,例如,美国外国投资委员会(Committee on Foreign Investment in the US)对外国公司访问某些美国数据的入境交易进行了格外严格的审查。在此背景下,在美运营或服务美国用户的中国企业及业务倚赖美国数据的中国企业等企业可能会受到一定程度上的实质性影响。
就监管趋势而言,美国虽在数据出境方面呈现出逐步加大监管力度的趋势,但仍缺乏统一性、综合性的联邦层面数据与隐私安全保护立法,而是基于美国联邦和州宪法、判例法、各机构各部门的法令等形成了一套独特的数据隐私保护体系。而世界上其他国家的政府,包括中国、印度和欧盟,都实施了保护敏感数据和减少外国对手滥用数据的政策。
中国政府制定了强调国家安全的网络安全和数据保护法律框架,且在此基础上对数据跨境流动施加了额外的限制条件以作管控。中国政府持续扩大相关法律的范围和执行力度,包括其域外影响(详细分析请见下一节)。
印度政府于 2023 年 8 月批准了《数字个人数据保护法》(Digital Personal Data Protection Act),但尚未宣布实施日期。该法适用于在印度境外处理与向印度居民提供商品或服务有关的个人信息。
欧盟于 2018 年实施了《通用数据保护条例》(General Data Protection Regulation,即GDPR)。GDPR 限制了企业对个人信息的处理,并赋予欧盟公民对其数据使用的控制权,包括限制未经个人同意对数据的处理或传输。此外,GDPR 还对欧盟以外的跨境数据传输进行了规范。
在全球地缘政治紧张升级的背景下,美国已经逐渐开始维护数据主权,预计拜登政府很可能会继续加强对部分国家获取美国敏感数据(合法和非法)的审查。在该预计趋势下,相关企业,尤其是出海美国的中国企业和对外投资或研发的中国企业,将面临较大的合规压力和经营风险。
中美数据跨境流动监管对比
在美国数据跨境新政提出的数据跨境监管框架下,相关中国企业需将涉美数据的跨境合规纳入其业务持续发展可能性的考量范围中。同时,在涉及从其所在地中国至境外的数据流出时,相关企业还需考虑在中国的数据跨境监管体系下是否存在需履行的合规义务。下文将通过分析中美数据跨境流动监管异同为相关企业提供中美在数据跨境监管对象、范围和方式等方面的综合对比视角。
针对数据跨境流动合规监管,我国在围绕《网络安全法》《数据安全法》和《个人信息保护法》(下文简称“个保法”)三大法的网络安全与数据保护法律框架下,进一步制定和补充相关的办法及指南,形成了以数据出境安全评估申报、个人信息出境标准合同备案和个人信息保护认证三大数据出境合规前置程序为核心的数据跨境流动管理体系。在数据跨境监管的实践过程中,政府和行业主管部门秉持数据发展与安全并重的思路,以于2024年3月22日发布的《促进和规范数据跨境流动规定》(下文简称“规定”)及相关配套指南进一步完善了我国的数据跨境流动管理机制。
通过对比中国同数据跨境相关的法律法规与敏感个人数据行政命令及相关的ANPRM及情况说明,总结监管差异如下,以供相关企业尝试为中美数据双向跨境合规做好充分准备进行参考:
虽然中美在数据出境的监管对象、范围和方式等方面存在差异,但其均以国家信息与数据安全为出发点,并在逐步摸索监管介入的程度和方式。在该形式下,中国企业出海、外资企业在华经营和业务依赖海外数据的特定行业企业都需要考虑数据的双向合规 —— 即所在地的数据流出的合规以及境外经营地点的数据流入合规。而中国港澳地区企业则在需履行本地合规义务的前提下进而面临来自中国境内和美国的双重数据跨境合规压力。
美国数据跨境新政对中国赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业、港澳地区企业带来与相关合规建议将于下文进行解读。
美国数据跨境新政对企业的影响
在美国限制数据跨境流通的背景下,普华永道预计会对中国赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业、港澳地区企业的业务经营与合规工作的开展带来不容小觑的挑战。下表汇总分析了美国数据跨境新政对上述各类企业可能造成的影响,以供企业在进行影响分析并制定相应应对计划时进行参考:
美国数据跨境新政下企业的应对策略
基于对敏感个人数据行政命令和ANPRM的解读,普华永道建议可能受到影响的赴美出海企业、在华跨国企业、业务依赖海外数据的特定行业企业和中国港澳地区企业采取以下策略及时应对风险:
排查数据跨境场景,初判受美国新政管辖范围
建议有中国业务的跨国企业或有赴美出海业务实体的境内企业首先根据自身业务特性及业务发展方向等方面,对当前业务开展过程中可能涉及的将美国人的数据或美国政府相关数据传输到中国境内处理或允许境内访问的场景进行全面梳理。以数据字段为单位,调查数据类型、数量级、数据来源、存储位置、数据流转及跨境情况等,建立完整的数据清单与全景映射图,为确定美国数据跨境规制的合规义务适用性打下基础。
在排查过程中,企业需考虑是否存在在美实体中雇佣主要位于境内的非美国人员等可能构成“受管制对象”的情形,并根据敏感个人数据行政命令和ANPRM等相关文件判断是否涉及敏感个人数据(如个人健康数据)、确定相关敏感个人数据的量级是否达到美国司法部规定的受规制阈值,而后通过分析业务中的各类交易场景是否可落入豁免情形以进一步鉴别是否存在属于或可能属于被禁止或受限制的交易活动,初判受到敏感个人数据行政命令管辖的可能性及范围。
开展影响评估,推动数据合规化布局
基于数据排查及受管辖情况初判结果,建议企业从整体和数据跨境场景两个维度全面开展影响评估,及时制定风险应对策略。从企业整体角度出发,围绕数据跨境传输机制的合规性、有效性和完整性开展评估,审查制度流程的制定情况和执行情况,综合评估数据出境管控流程、数据安全事件响应程序等体系建设情况。从特定数据跨境场景出发,围绕场景相关业务从法律、政治、商业等多个角度全面开展风险及影响评估,关注数据的收集、存储和传输等过程及采取的用于保障已采集的或有权访问的数据安全技术措施,审查现有数据跨境场景中处理美国人的敏感个人数据或美国政府相关数据的必要性。此外,企业还应重点评估如该场景相关数据无法跨境进行获取将对业务造成的影响及影响程度,进而推动合规应对策略与计划的建立。
持续追踪立法动态,建立应对策略与计划
企业应当尽早着手调整业务布局,建立合规应对策略与计划,以灵活应对监管要求。首先,针对现有业务中涉及的可能受到规制的数据跨境场景基于风险及影响评估分析结果建立应对策略与计划,如采取数据本地化、数据脱敏等策略以降低合规风险,并对美国客户或在美实体后续可能就相关数据传输活动合规性的问询做好应对准备:
如相关业务的数据处理属于被禁止的交易,建议企业基于影响评估结果优先判断是否可在不影响业务或影响程度可控的情况下停止该数据交易,如通过在美国境内进行本地化数据存储的方式避免数据跨境。如不可行,则进一步考虑将出境数据字段及数量最小化的方案以探寻不再达到受监管的类别及规模的门槛的可能性,尽可能减少美国监管政策对企业业务的影响。
如相关业务的数据处理属于受限制的交易,则需满足美国相关政府部门发布的相关安全要求。由于相关实施细则目前还未有定论,建议企业仍旧优先考虑是否存在可免于数据跨境规制的业务替代性解决方案,与此同时基于已发布的安全基线类要求加强安全基础建设,如主动采取数据脱敏等技术手段保护跨境数据的安全。
在针对现有数据跨境场景制定应对策略后,建议企业全面重新探索管理及组织等数据安全相关体系,重构业务计划,搭建长效数据合规机制:
优化数据合规管理制度体系:将司法影响范围纳入企业管理制度体系建设范围以建立专有的数据合规评估管理全流程,如根据该法域特有的数据分类监管逻辑匹配相应的数据分级分类制度、调整访问控制等策略,根据美国数据限制针对受限活动需满足相应安全要求的规定制定适用的技术保障相关制度,全方位完善数据保护合规管理体系,降低在美数据合规风险。
重新探索数据安全组织架构:重新探索当前组织内部负责数据保护相关的机构与人员架构的完整性。根据司法影响程度与调整后的管理制度体系考虑对当前数据保护组织架构进行责任重分配或新设角色的必要性,为推动管理制度的执行与各方职责的落实奠定基础。
调整信息系统与管理架构策略:面对美国的数据限令,企业或需综合当前业务情况与监管动态重新审视当前的IT系统及管理架构策略,考虑通过业务重心转移、IT系统与管理权限本地化或部分本地化(如建立区域化管理中心)等方式缓解外部合规压力。
在完成针对目前可能受美国规制的活动的影响评估和应对策略与计划建设后,建议企业根据组织重构的数据合规体系稳步推进日常评估及管理活动。在计划开展的涉及美国相关数据处理的项目前充分进行调研并关注数据处理必要性、数据类型及从美跨境流动的风险,事前评估和识别安全风险以采取相应的控制措施。在相关业务开展过程中,密切关注并评估业务所涉数据相关变化情况以便及时识别是否触发新的受规制的情形,积极落实企业内部的数据合规管理要求。同时,鉴于当前美国政府对于数据跨境流动规制相关具体规定尚待后续拟议规则和相关细则的正式出台,企业应当密切追踪后续立法执法动态,根据监管环境的变化动态调整企业涉美数据合规策略。
文章转载自:同花顺 非本站原创 如有问题可与站长联系!!!
标签:
免责声明:本文由用户上传,如有侵权请联系删除!