《2019美国国家安全与个人数据保护法案》(National Security and Personal Data Protection Act of 2019)中译本由网络法实务圈 * 出海互联网法律观察 公益翻译小组出品

法案的背景】:

该法案由美国共和党参议员JoshHawley在2019年11月向参议院提交,Josh Hawley时任司法委员会犯罪与国土安全项目会主席,曾经就Facebook的定位服务要求Facebook “尊重”用户定位位保密的要求,在跨境收购和数据保护方面以态度强硬著称。尽管目前该法案还需经众议院通过,但该法案以保护本土居民企业和国民数据为切入口,限制对跨境数据流向,值得全球企业特别是中国科技企业的重视。

【法案介绍及评价】:

根据参议院司法小组委员会关于犯罪和恐怖主义的听证会介绍,该法案以防止美国人的个人数据流向中国和其他同样威胁美国国家安全的国家为切入口,并以此要求修订1950年《美国国防生产法案》。有专家在该听证会上质疑苹果公司在中国存储iCloud加密密钥的决定,以及TikTok与中国政府的关系,认为这些行为对美国的国家安全构成了威胁。

法案认为,造成这种风险的当然也不只是中国的公司,法案的第二节明确了关注国家(Country of Concern)包含中国、俄罗斯等其他由国务卿根据审查原则指定的国家,并对提供在线数据服务的公司进行了区分,明确了特别关注科技公司(Covered Technology Company),尤其是和中俄等关注国有密切关联的企业,或具有“人脸识别”技术或根据用户行为定向推送广告的企业

第三节对上述特别关注科技公司在涉及对美国公民(拥有美国国籍、持有美国护照的citizen)和居民(拥有居民身份的自然人、residency)的用户数据在收集、使用、存储和传输上进行了重点的关注和特别的约定。

例如,提出了【最小化数据收集原则】,仅能收集为运营网站、服务或应用所必需的最小限度的用户数据。又例如,对【数据使用的用途限制】提出了禁止性要求,禁止将收集的用户数据用于其他如定向广告、不必要的共享、以及发展人脸识别技术等次要用途上。

在【数据传输】和【数据存储】方面,也提出了严格的限制要求。一方面,禁止向法案定义的关注国家直接或间接传输任何用户数据或可能用于破译该数据的信息(例如加密密钥);另一方面,也禁止在法案定义的关注国家境内的服务器或存储设备上存储在美国境内收集的个人用户数据或可能用于破译该数据的信息;以及禁止在位于美国境外的服务器或存储设备上存储任何美国公民或居民的用户数据或用户破译该数据的信息。

以上内容主要在第三节、第四节进行了体现。诸如此类明确了科技公司不得将从美国境内个人收集的任何用户数据或加密密钥转移到中俄等关注国家,同时也禁止在这些国家储存数据,其实是具有非常鲜明的“数据主权保护意识”的体现。

法案的第五节则对关注国及所关注的科技公司之数据安全责任进行了详细规定,包括民事及刑事责任。法案第六节进一步强化要求,特定交易需要经过美国外国投资委员会(CFIUS,The Committee on Foreign Investment in the United States )审批。

CFIUS是美国政府评估外国投资的部门间组织,具有很大的自由量裁权限,一直是中国赴美投资企业关注的重要环节。进入CFIUS审查程序首先需要提供材料给审查员进行初审,CFIUS重点审查的是交易是否会导致美国的关键领域企业被外国企业“控制”,以及交易是否会影响“国家安全”。如果CFIUS认为该交易对美国国家安全存在潜在风险的,则会启动延长调查期限,或者新一轮的重新调查。所以,涉及信息、通信、交通、能源等领域的企业往往会被“国家安全”为由遭到CFIUS的阻碍。

对比特朗普在2018年8月签发的《外国投资风险评估现代化法案》(FIRRMA),以及美国财政部在2020年2月13日颁发生效的关于《外国人在美投资的新规》(Provisions Pertaining to Certain Investments in the United States byForeign Persons),新规在FIRRMA原有基础上再一步扩大了美CFIUS的职权范围,尤其是涉及“美国公民敏感个人数据的外国投资进行审查”,将个人隐私和数据上升到了国家安全层面,随着特朗普上台,有数据统计,已经披露的被CFIUS中止的交易比例,从2014年到2018年翻了一番。

可以说,这次《美国国家安全与个人数据保护法案》与FIRRMA以及美国财政部新规的总体思路一脉相承,此外,结合之前有“全美最严隐私保护法案”之称的《2018年加州消费者隐私法案》(“CCPA”),这系列规定标志着,从美国过去对外国企业数据访问相对宽容转向为在“数据主权保护意识”主导之下对中国企业为代表的跨国科技公司的担忧。

特别鸣谢】:

再次衷心感谢出海互联网法律观察公益翻译组的每位成员的辛勤劳动——(按照姓名拼音,排名不分先后)

刘 磊 北京市盈科(徐州)律师事务所

王 捷 浙江垦丁律师事务所

王湄怡 广东海洋大学法政学院

魏 彤 北京某全球知名德企DPPO

曾 晨 西安交通大学法学院

朱 莎 浙江垦丁律师事务所

我们也欢迎更多的朋友加入公益志愿者行列,共同检索、整理及翻译前沿的海外互联网法律信息,更好地打造职业品牌影响力——

以下为《2019美国国家安全与个人数据保护法案》部分内容截图:

下载法案:

https://pan.baidu.com/s/1iuU2IDWyGPsm0Ryz_k1TpQ

提取码:fi31

声明:本文来自出海互联网法律观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。