拜登限制数据跨境流动的行政命令可能事与愿违

编者按

美国长期以来一直对既有民用用途，也有国家安全用途的“双重用途”技术进行出口监管。根据这项新的行政命令以及司法部随后提出的规则，数据首次被视为一种“双重用途”技术。在国际贸易、国家安全和隐私的交叉点上，将会有许多新的、具有挑战性的问题需要解决。

在行政命令发布之后，美国对华“小院高墙”科技防御策略提出人Samm Sacks以及作为前总统奥巴马情报和通信技术审查小组成员Peter Swire共同发布了一篇文章，阐述了两位作者对此新行政命令的看法。本文在此翻译成中文，以方便不同观点交流。

作者简介：

Samm Sacks，耶鲁大学法学院Paul Tsai中国中心高级研究员

Peter Swire，佐治亚理工大学网络安全与隐私学院主席

一、概述

拜登今天发布的一项新行政命令包含多项条款，最引人注目的是限制向“相关国家”（countries of concern）批量出售个人数据。该命令具有极强的国家安全目标，但它很可能无效，甚至可能适得其反。该命令的实质内容和传达的信息都存在严重问题。新行政命令提出了两个负有吸引力的政策目标：

首先，新命令将专门规范与“相关国家”的交易。该命令的一个关键理由是防止相关国家收集有关美国人的敏感信息，用于跟踪和操纵军事人员、政府官员或其他任何感兴趣的人。

其次，该命令的目标是数据经纪人向有关国家批量销售敏感个人信息，例如基因组、生物识别和精确地理位置数据。庞大且不断增长的数据经纪行业首当其冲受到两党隐私风险审查。国会已举行听证会并审议监管此类经纪人的法案。加利福尼亚州创建了一个数据经纪人注册表，并于2023年秋天通过了《删除法案》，使个人能够要求删除其个人数据。一月份，联邦贸易委员会发布了一项命令，禁止数据经纪商 Outlogic 共享或出售敏感的地理位置数据，认定该公司未经客户同意就以不公平和欺骗的方式行事。

鉴于这些两党的担忧，一项同时针对相关国家和数据经纪商的新命令几乎具有不可抗拒的政治逻辑。然而，要准确评估新的行政命令，就必须将这一行政命令理解为美国对数据跨境自由开放流动的传统支持的更大偏离的一部分。最近，部分出于国家安全的考虑，美国在世界贸易组织（WTO）中撤回了对数据自由开放流动的传统支持，美国商务部也以国家安全的名义宣布了一项拟议规则，将对美国云提供商向外国销售产品（包括用于训练人工智能模型的产品）进行监管。我们担心，这些举措可能没有充分考虑到美国长期立场的国家安全优势，并可能对美国经济产生负面影响。

尽管监管目标很有吸引力，但美国决策者在执行这项命令和当前其他政策变化时应谨慎行事。如下文所述，由于数据经纪商在销售数据时必须更加谨慎，因此可能会在隐私方面取得一些进展。但更好的办法是确保更广泛的隐私和网络安全保障措施，以更好地保护数据和关键基础设施系统免受来自受关注国家的网络攻击。

二、该命令有助于国家安全吗？

白宫在宣布该命令的情况说明书中表示，“出售美国人的数据会带来严重的隐私、反间谍、勒索风险和其他国家安全风险。”然而，目前尚不清楚新命令能否真正实现其所宣称的阻止对手获取美国人数据的国家安全目标。

首先，新命令指示司法部开始发布拟议规则制定预先通知，以限制特定类型数据的特定交易。所定义的交易将限制向有关国家大量出售该命令详细定义的数据，如涉及 100 万或 100 万以上个人数据的某些类型的数据交易，但该命令并未涵盖所有类别的个人身份信息。

令人担忧的是，随着美国从全球商务中撤退，新命令与其他类似的政府举措将给国家安全带来新的风险。

对于来自某些国家的高级持续性威胁来说，仅针对某些数据销售的监管，仍留出了很大的空间以便继续获取他们所寻求的数据的途径。例如，新命令只适用于大量的销售，但许多少量销售显然可以累加成一个大总数。洗钱在这里提供了一个具有启发性的类比：多年来，我们一直在努力侦查和监管 "结构化 "交易，以防止以小博大。要为数据销售制定类似的规则，将是一条漫长而不确定的道路。

其次，新规则将依赖于《国际紧急经济权力法》（International Emergency Economic Powers Act），该法仅适用于外国活动，向美国本土的销售将不属于新规则的范围。因此，如果买家是美国实体，那么相关国家仍然可以购买。至少到目前为止，数据经纪人还没有任何机制来评估看似美国的买家是否实际上与相关国家做生意。此外，另一个难以阻止的漏洞涉及向相关国家境外的外国实体出售数据，然后这些实体可以将数据转售回去。该行政命令规定数据经纪人需要开发尽职调查系统来解决这些问题。

第三，大多数隐私法适用于 "个人身份信息"（PII），这是一个宽泛的术语，包括任何可与个人关联的信息，通常包括设备 ID 或 IP 地址等难以关联的标识符。相比之下，该行政命令规则只适用于几类敏感数据，不包括受其他隐私制度管辖的许多类型的数据。这样一来，相关国家仍可以大量购买多种 PII。而且包括丹尼尔-索洛维（Daniel Solove）在内的隐私学者对规则能否有效定义敏感数据也越来越持怀疑态度。索洛夫最近称敏感数据方法为 "死胡同"，并指出 "很容易用非敏感数据来替代某些类型的敏感数据"。

在网络安全中经常使用的一个术语叫做“侧通道攻击”，指攻击者可以使用一种类型的信息（不太敏感的数据）来成功访问本应受到保护的敏感数据。例如，美国国家安全局的 "Tempest "系统可以通过测量电脑的电磁辐射，在看不到电脑屏幕的情况下重建电脑屏幕。就数据而言，正如索洛夫所指出的所谓的匿名数据往往可以被重新识别，而所谓的非敏感数据，往往可能被用来获取敏感数据。例如，即使不直接获取医疗数据，无数收集位置数据的应用程序也可能被用来确定妇女是否去过生殖诊所。

第四，该法规将由一个几乎没有监管数据经纪人或其他商业隐私问题历史的司法部制定和执行。如今，除了罕见的刑事隐私案件外，司法部在私营部门的隐私监管方面没有发挥重要作用。国会和专家机构一直在努力定义和应对数据经纪行业的风险，部分原因是数据在不同的背景下以多种不同的方式使用，无论其是合法的还是可疑的。在美国，商业隐私问题通常由州和联邦贸易委员会监管，但州和联邦监管机构发现迄今为止很难去定义和监管数据经纪行业。而相比之下，美国司法部国家安全部门甚至没有“肌肉记忆”可以依赖，这会增加更多的挑战。

新命令的结果很可能是建立一个重要的新的国家监管制度，而有能力的对手仍然能够获取美国市场上的可用数据。

三、更大政策转变的一部分

新命令的重要性更大，因为该命令似乎是美国政策向监管全球数据流的更大转变的一部分，可能会对美国公司在全球发挥的作用产生负面影响。该命令对美国国家安全、外交和国际贸易的影响，只有放在美国历来支持开放数据跨境流动的背景下看才有意义。

自 20 世纪 90 年代互联网兴起以来，美国一直支持建立一个全球贸易体系，在授权制定隐私法的同时，大体上支持数据的跨境流动，以促进商业、言论自由和其他众多原因。近年来，日本在七国集团中牵头倡议实施 "数据自由流动与信任"（DFFT）。在美国的支持下，一项成果是经济合作与发展组织（OECD）于 2022 年宣布了关于政府以可信方式访问私营部门实体所持个人数据的重要原则。这些原则强调了法治民主国家防止政府非法访问的类似保障措施。世界经济论坛对 DFFT 进行了分析，赞扬了政府适当访问的举措，同时也指出政府应 "禁止要求数据存储和处理本地化"。

美国最近在数据流政策方面最明显的变化是去年秋天，美国取消了在世贸组织电子商务谈判中的提案，并支持暂停《印度洋-太平洋经济框架》（Indo-Pacific Economic Framework）中有关数字问题的工作。国际贸易协定允许国家安全例外，因此美国贸易代表办公室（USTR）的行动并不需要作为新数据安全行政令的先决条件。然而，贸易政策的变化与新的行政命令现在看来与拜登政府更广泛的国家安全战略是一致的。

第二项政策举措来自商务部 2024年1月29日提议的规则，题为“基础设施即服务提供商有责任验证其客户的身份、特殊措施以及使用其产品进行大型人工智能模型训练”（Infrastructure as a Service Providers’ Responsibility To Verify the Identity of Their Customers, Special Measures, and the Use of Their Products for Large AI Model Training）。该规则的部分目的是执行特朗普总统 2021 年的行政命令，该命令旨在解决“重大恶意网络活动”（significant malicious cyber-enabled activities）。拟议的规则将对向非美国客户进行云销售施加了解你的客户（KYC）要求，无论这些客户是在盟国还是在受关注的国家。

对这些 KYC 要求的担忧类似于上面讨论的批量数据销售命令的担忧，即创建一个新的国家安全监管制度，该制度将适用于合法的商业活动，并且可能仍无法避免对来自其他国家的攻击。总统国家安全电信咨询委员会 (NSTAC) 在听取了广泛的证词后认为KYC 方法不太可能减少恶意外国行为者利用国内基础设施。此外，还可能会导致额外的意想不到的后果，包括增加与美国主要盟友的摩擦，这些盟友的合作对于解决全球网络威胁至关重要。”

拟议的商务规则还将针对使用云服务训练大型人工智能模型的非美国购买者。云提供商将被要求监控云服务的使用情况，并向政府报告符合以下文本的活动：“可能会导致训练大型人工智能模型，该模型具有可用于恶意网络活动的潜在功能。”考虑一下这种语言的广度。该活动“可能导致”训练人工智能模型。该模型可能具有“潜在功能”，“可用于恶意网络活动”。在当前的技术水平下，基本上每个业务部门都在开发人工智能模型，这种语言似乎适用于非常广泛的正常业务活动。然后，对于每份报告，云提供商需要向政府提供详细信息，包括“训练运行中使用的计算操作（例如整数操作或浮点操作）的估计数量”。

由于外国政府补贴，来自东方大国的云服务商在非洲、拉丁美洲和东南亚比美国云服务商更有优势。在激烈竞争之际，这些因素阻碍了任何外国购买者使用美国云提供商。新的报告要求可能会进一步削弱与美国公司在这些地区合作的竞争优势。

人工智能报告要求似乎还要求云提供商对其客户的活动进行更具侵入性的监控，而此类监控可能直接违背网络安全最佳实践。

以上这些政策举措似乎表明拜登政府愿意以改变全球跨境格局的方式追求国家安全目标。本周，政府将面临一项早期考验，世贸组织部长级会议将决定是否延长美国长期以来倡导的电子商务暂停征收电子交易关税的政策。美国整体政策的转变可能会无意中损害商业以及美国的国家安全。

四、可能带来新的国家安全危害

对全球数据流的政策分析往往将这一问题归结为经济收益与国家安全风险之间的权衡。根据这一逻辑，数据流促进了贸易和商业，但也造成了一些漏洞，外国政府可以利用这些漏洞进行间谍活动以及在人工智能领域获得竞争优势。

对这些漏洞的担忧是合理的，但如果服务总部设在美国或盟国，而不是相关国家，美国的国家安全反而会得到加强。一个值得注意的例子是，合法访问美国或盟国境内的数据，需要遵守 2022 年经合组织关于可信政府访问的原则中所规定的法治保护。美国及其盟国通过法律互助条约开展执法合作，通过重要信息共享协议开展国家安全合作。《外国情报监视法》（FISA）第 702 条规定了美国政府在针对美国境外的非美国人收集美国境内信息时的法律权限。在国会目前进行的重新授权辩论中，政府强烈支持继续保留第 702 条的授权。702 条款批评者众多，尤其是在联邦调查局大规模违反该计划规则的事件曝光后。然而，假设第 702 条重新获得授权，根据《外国情报监视法》的法律保障，只有在美国境内的实体 "拥有、保管或控制 "的情况下，美国才能基于国家安全进行访问。美国的盟国也有类似的管辖权要求，如欧盟成员国根据欧盟新的电子证据法规，为执法目的而获取信息。

美国的技术竞争力和私营部门进入全球市场的机会促进了创新，并增强了美国和盟国企业在全球市场上与来自东方企业竞争的能力。事实上，正如美国国家安全战略所阐明的，在数字时代，经济竞争力和国家安全日益紧密地交织在一起。与东方科技公司的主导地位相比，美国及其盟国也能从美国及其盟国参与全球市场竞争中获得软实力优势。

其他国家本地化的支持者可以利用美国政策的转变来证明新一波保护主义本地化措施的合理性。在世界各地运营的美国科技公司将成为这些本地化措施最容易的目标。正如我们之前所说，本地化使执法、情报、网络安全、健康研究和其他共同目的的数据更难以有效共享，从而削弱了与盟友的合作。对美国公司的数据流限制削弱了美国数字产业的竞争力，削弱了在人工智能和网络安全相关能力方面的领先地位。对个人数据出口的限制可能会进一步降低美国网络安全公司服务全球市场的能力。

五、需解释与对手监管政策的不同

拜登政府必须仔细斟酌有关这一转变的信息，因为其他国家可能会以新命令和上文讨论的其他美国政策变化为借口，采取自己的措施限制数据流动，包括通过数据本地化。坚持认为开放和自由数据流动的长期政策没有任何改变是不可信的，也是无效的。相反，政府应明确表示有变化，并更清楚地说明这种变化意味着什么和不意味着什么。这样的信息应该用于盟友和合作伙伴、被视为对手的国家以及美国公众。

这种趋同不仅体现在世贸组织的立场上，而且美国和对手似乎也在一些方面走得更近，两国都支持对数据出口的国家安全限制，同时寻求此类出口的经济优势。在美国出于安全理由开始限制新类别的数据流的同时，对手正在通过放松其长期以来对流出数据的限制立场来寻求更大的经济增长。去年9月，CAC发布了一项规定草案，如果实施，许多公司将在将数据发送到国外之前免于繁琐的安全评估。这两种体系似乎正从相反的两极走向彼此：美国在国家安全方面发挥更大作用，而对手也在促进增长方面发挥同样的作用。

尽管和对手的政策举措表面上相似，但仍然存在明显差异。拜登政府应令人信服地解释，美国支持数据在信任的前提下自由流动，这与对手的做法有着本质区别。美国的假设是，数据可以合法地流向其他国家，尽管对数据经纪人销售有针对性的限制，并且特定行业的规则可能会影响云和其他在线服务。相比之下，对手推定是禁止数据出口，即使此类出口的许可变得更加宽松。美国政府可以承认其方法的改变，解释说出于国家安全目的对数据的具体规定类似于以前对军民两用技术的出口管制，也类似于美国出于消费者保护等目的对国内市场的监管，美国官员不会像对手一样审查每一次的数据传输。

最后，解释该命令理由的更有效方法是，少关注相关国家，多关注它如何可能引发数据经纪行业早该发生的变化。从隐私角度看，美国数据行业现在以每个军人（或其他美国人）几美分的价格出售军事人员的详细地理位置数据，这令人不安。在国会无法通过重大隐私立法的情况下，该命令可能会促使数据经纪商采取更好的数据映射和保护措施。正如司法部在新闻稿中所说的那样 "预计美国公司和个人将根据各自的风险状况制定并实施合规计划"。这种尽职调查在美国早已有之，尤其是自 2004 年 ChoicePoint 丑闻以来，信用报告机构被要求对信用记录的购买者进行筛选，以确保他们是合法的（银行、保险公司）而不是非法的（身份窃贼）。假设拟议的规则最终确定，数据经纪商将需要制定类似的尽职调查计划。如果是这样的话，那么在最初的尽职调查计划的基础上，就可以更容易地制定发挥作用的数据隐私规则。

六、结论

美国政府最近在世贸组织采取的行动、对外国云服务购买者的审查，以及对批量商业数据传输进行监管的行政命令，为其监管数据流动的方式揭开了新的篇章。为了安抚盟友并抵御其他国家对跨境活动的过度限制，拜登政府应明确而令人信服地解释美国制度与对手制度之间的巨大差别，前者假定对全球互联网开放，而后者则假定阻止数据出口和外国思想进口。

对数据销售的新限制限制了全球商务，但可能对国家安全几乎没有好处。政府的一系列新行动可能会损害美国的战略利益，在经济收益与国家安全风险之间存在着一种错误的二元对立，而事实上美国在海外的经济成功往往有利于国家安全。

美国决策者对相关国家在战略竞争时代获取美国数据的担忧是正确的。尽管该命令可能会促使数据经纪商制定尽职调查计划，以提升隐私保护水平和国家安全。但解决数据风险的最好办法是制定全国性的隐私保护措施。美国政府应继续推行一系列网络安全改进措施，以保护数据和信息技术系统，并直接应对相关国家对关键基础设施的持续攻击。至于以国家安全为名制定的新数据法规能否成功阻止相关国家的高级持续性威胁，目前还不太清楚。

原文来自：

https://www.lawfaremedia.org/article/limiting-data-broker-sales-in-the-name-of-u.s.-national-security-questions-on-substance-and-messaging

声明：该编译文章仅作为学习交流使用，如涉侵权请联系后台删除。文章观点仅代表原作者观点，不代表公号译者观点。

声明：本文来自越洋网事，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。