作者:汉坤律师事务所 段志超 | 于楚佳
前言
2024年4月24日,美国总统拜登正式签署《防止外国对手获取美国人数据法案》(‘the Protecting Americans’ Data from Foreign Adversaries Act of 2024’,下文简称‘PADFA’),授权美国联邦贸易委员会(Federal Trade Commission, 下文简称“FTC”)对数据经纪人违法提供数据的活动进行管理,并已于6月23日正式生效。根据PADFA,数据经纪人不得向外国对手或其控制的实体转移美国居民的特定个人可识别敏感数据。该规定是继2月底签署的行政令《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》[1](Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern ,下文简称“EO14117”)之后阻止外国对手获取美国敏感数据的进一步措施,以保护美国国家安全为名,阻止目标国家及相应实体对美国敏感数据的获取与利用。
虽然PADFA在出台之初由于其看似受限的应用范围没有引起足够关注,在其生效前后,已经有越来越多的中国公司在业务中感受到其带来的实际影响。尤其在数字广告产业和人工智能/大模型开发场景下,中国公司及其关联方获取PADFA规制类型的数据时可能存在更多的障碍。这主要是由于PADFA下关于数据经纪人以及数据间接获得的宽泛和模糊的定义,使得并非传统意义上的数据经纪业务的业务类型也不能完全排除受到其监管的可能性。
此外,相较于EO14117或者美国已有的数据相关法规,PADFA并没有设定数据量或者公司体量的限制。只要满足PADFA下的定性要求,即触发其带来的数据获取、开发和利用的限制,这都使得PADFA对中资公司的出海或者涉外业务带来的影响可能远超预期。基于前述背景,本文将聚焦PADFA的关键内容并浅析出海企业可采取的合规措施。
PADFA意在禁止数据经纪人将美国个人的个人可识别的敏感数据转移给外国对手[2]。违反PADFA规定的,将按照《美国联邦贸易委员会法》第18条(a)(1)(B)节规定的“不公平或欺骗性行为”处罚规则[3]处罚。具体FTC将如何执行PADFA的规定仍有待FTC进一步的阐释。为判断出海企业的数据处理活动是否落入PADFA的管辖范围,需理解如下关键定义:(1)数据经纪人;(2)外国对手或其控制的实体;(3)美国个人;(4)转移;(5)特定个人可识别敏感数据。以下我们将结合PADFA的定义及以下示例的变形对前述名词进行阐释。
示例:A公司为成立在中国的电商平台,其会向用户推荐用户可能感兴趣的商品。A公司为拓展欧美市场,向在美国境内运营的B公司购买了消费者数据用于训练推荐算法,以便实现精准推荐吸引美国当地用户。
一、什么是数据经纪人(data broker)?
根据PADFA的定义,数据经纪人是指基于有价值的对价(valuable consideration),而将并非直接从美国个人处收集来的数据转移给非服务提供者(service provider)的另一实体。转移的方式有出售、许可、出租、交易、传输、释放、披露、提供访问渠道或以其他方式使另一实体获取该等数据。鉴于存在“其他方式”这一兜底条款,若需论证不构成数据经纪人仅能从以下方向着手:
(一)提供行为未基于“有价值的对价”
PADFA未对“有价值的对价”进行定义。但在合同法中,对价通常用来证明合同各方支付了某种东西作为他们所接收到的东西的回报,以便区分合同与赠予,以使对应行为具备拘束力。对价不需要价值相等,但不能是微不足道的对价;同时对价可以是任何形式,而不必仅是金钱对价。例如,Currie v. Misa (1874) LR 10 Ex 153一案中指出,在法律的意义上,有价值的对价可以是指给一方带来的某种权利、利益、收益,或者是另一方给予、忍受或承担的某种克制、损害、损失、责任[4]。在某些州法及案例[5]中,“有价值的对价”可能侧重于与所交换的价值相适应(equivalent compensation)。
若在前述示例中,B公司将消费者数据无偿赠予A公司,且A、B公司之间除该无偿赠予外,后续不存在任何基于该赠予的商业安排,则B公司将不构成数据经纪人[6]。值得注意的是,该论证的条件可能较为严格,在判断是否存在“有价值的对价”时,可能会综合所有因素进行判断,若A公司以B公司赠予作为前提条件以和B公司达成后续商业合作的,B公司仍可能被认定接受了“有价值的对价”而被认定为构成数据经纪人。
(二)数据直接从美国个人处收集
构成数据经纪人的条件之一是数据并非从美国个人处直接收集,而是间接收集的情形。若在前述示例中,B公司向A公司提供的消费者数据是由B公司直接从美国消费者处收集,则B公司不构成数据经纪人。但值得注意的是,PADFA并未就间接收集作出明确的限定,例如,通过第三方App或网站中的SDK或者埋点收集的信息是否属于间接收集存在一定的不确定性。尽管如此,即使B公司所提供的数据构成从消费者处直接收集的情形,A公司仍应避免基于有价值的对价向另一实体提供从B公司处收集来的数据,否则A公司将可能构成数据经纪人[7]。
(三)构成PADFA规定的例外情形
PADFA规定在以下情形中,实体将不构成数据经纪人:
(i)传输行为是基于美国个人的要求或指示;
(ii)提供、维护或提供某种产品或服务(的过程中产生/收集了可识别个人敏感数据),可识别个人敏感数据并非产品或服务本身;
(iii)报道或发布关于地方、国家或国际事件或其他公共利益事项的新闻或信息;
(iv)正在报道,发布或以其他方式提供对一般公众可获得的新闻或信息 ,该等信息源自书籍,杂志,电话簿或在线目录;电影;电视,互联网或广播节目;新闻媒体;或对一般公众开放且无限制访问的互联网网站;且前述信息不包括《美国法典》第1460节界定的淫秽的视觉描绘;或
(v)实体构成服务提供商(service provider)。即,实体收集、处理、转移数据或接收数据是基于另一个人或实体的指示并代表该个人或实体进行的,同时该个人或实体不构成外国对手或受外国对手控制,或实体是代表相关政府实体进行的前述活动。
则根据上述,若B公司是受消费者的指示向A公司提供美国消费者数据,或B公司基于报道新闻需求对外发布相关数据,或B公司向A公司提供数据是基于另一实体(该实体不构成外国对手或受外国对手控制)的指示,则B公司不构成数据经纪人。
二、什么是外国对手或受其控制(foreign adversary or controlled by a foreign adversary)?
外国对手是指美国法典第10章第4872节(d)(2)款涵盖的国家,指中国、朝鲜、俄罗斯及伊朗。
受外国对手控制则包含如下情形:
(1)在前述国家境内居住、总部设立在前述国家、主要营业地在前述国家或依据前述国家法律组织设立的外国人;
(2)(1)中所描述的外国人直接或间接拥有至少20%权益的实体;或
(3)受到(1)或(2)中描述的外国人或实体的指示或控制的人。
则根据上述情形,和中国有关的A公司可能基于如下情形落入管辖范围:
(1)A公司成立于中国境内或依据中国法律组织成立;
(2)A公司虽成立于非外国对手国家,但其主要营业地在中国;
(3)A公司虽不满足(1)与(2)的条件,但其20%的权益直接或间接属于中国国有、属于中国境内自然人/实体、或属于主要营业地在中国的实体;
(4)A公司接受落入管辖范围的实体的指示或受其控制进行业务运营。
三、如何理解美国个人(United States Individuals)?
根据PADFA的定义,美国个人是指居住在美国境内的自然人。鉴于PADFA未展开定义美国个人[8],参考EO14117及美国司法部的法规制定提案预告(Advance Notice of Proposed Rulemaking, ANPRM)[9]对美国人(U.S. person)的定义,美国个人可能包含如下自然人:
(1)任何美国公民,国民或合法永久居民;
(2)根据8 U.S.C. 1157获准作为难民入境美国或根据8 U.S.C. 1158获得庇护的任何个人;
(3)在美国境内的任何自然人。
四、 如何界定转移(transfer)?
如“1. 什么是数据经纪人”中所述,转移的方式有出售、许可、出租、交易、传输、释放、披露、提供访问渠道或以其他方式使另一实体获取该等数据。由于存在兜底表述“以其他方式”,因此只要B公司采取措施使得A公司可接触B公司的数据,即可能构成PADFA下的“转移”。
五、个人可识别敏感数据(personally identifiable sensitive data)有哪些?
与EO14117不同,PADFA未对个人可识别敏感数据设置处理的阈值,只要数据经纪人向外国对手转移任何量级的个人可识别敏感数据,即构成对PADFA的违反。个人可识别敏感数据是指任何可单独或与其他信息联合后可识别个人、可关联个人或可与个人产生合理关联的任何敏感数据,包含可识别、可关联或可与某设备产生合理关联的敏感数据,只要该设备可识别、可关联或可与某特定个人产生合理关联。
敏感数据则包含17个种类,包括政府发放的个人身份信息、个人生理健康状况信息、个人财务信息、个人生物识别信息、个人基因信息、个人精准地理定位信息、个人通信信息、账号/设备登录安全验证信息、个人性行为信息、日程信息、裸露影像信息、揭示个人请求或选择的视频内容的信息、17岁以下个人的信息、关于个人种族、肤色、族裔或宗教的信息、个人上网记录信息、可揭示个人军人身份的信息、以及任何可用于识别前述种类数据的信息(兜底种类)。
除兜底种类对敏感数据的范围作出进一步扩大外,PADFA还对精准地理定位信息作出了进一步界定,只要关于个人过去或现在准确至街道位置的信息或关于该个人设备精确至1850英尺(约563米)范围的信息均属于精准定位信息。举例而言,B公司给A公司提供的美国个人IP地址可能未落入敏感数据的前16个种类之一(比如其仅可定位至城市级位置),但若A公司使用数据库查询IP地址的具体街道位置,或结合WiFi信息查询设备的具体位置,只要误差不超过563米,则个人IP地址亦可能落入敏感数据类别(即落入兜底种类),因其可以用于识别个人精准地理定位信息。
根据上述对关键定义的理解,仅就PADFA的规制而言,在FTC进一步明确其实施规则前,拟出海企业可考虑采取如下动作:
(1)梳理从第三方收集美国个人信息的业务情形,确认第三方的身份是否构成数据经纪人;
(2)梳理从第三方获取的美国个人信息类别,确认是否属于个人可识别敏感数据;
(3)针对未落入个人可识别敏感数据范畴的一般信息,应避免用于识别敏感数据;
(4)若涉及收集美国个人可识别敏感数据,应避免将间接收集的数据提供给其他外国对手或受其控制的实体,避免自身构成数据经纪人。
结语
地缘政治背景下出台的PADFA和此前已经引起广泛关注的EO14117、《保护美国人免受外国对手控制应用程序侵害法》等一起,为中资背景公司的出海和涉外业务相关的数据流转设置了实质性障碍。我们建议涉及到相关业务的公司保持对PADFA等一系列法规的关注,及时作出针对性调整,避免相关合规风险以及对业务带来的不确定影响。
注释
[1] https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related
[2] An Act to prohibit data brokers from transferring personally identifiable sensitive data of United States individuals to foreign adversaries, and for other purposes.
[3] 15 USC 57a: Unfair or deceptive acts or practices rulemaking proceedings
[4] “A valuable consideration, in the sense of the law, may consist either in some right, interest, profit, or benefit accruing to the one party, or some forbearance, detriment, loss, or responsibility, given, suffered, or undertaken by the other.”
[5] Pfoser v. Harpstead, 953 N.W.2d 507
[6] 此时B的赠予行为将构成过去的对价(past consideration),在认定合同是否成立时通常被认定为无效。
[7] PADFA并未将数据经纪人限定为在美国境内或依据美国法成立的实体,因此任何实体从事了PADFA规定的行为均可能构成数据经纪人。
[8] 且该概念的来源American Data Privacy and Protection Act亦未对该概念进行展开描述。
[9] https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and
本文作者
段志超
+86 10 8516 4123
kevin.duan@hankunlaw.com
业务领域
知识产权诉讼、数据合规、知识产权交易
于楚佳 | 汉坤律师事务所
声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。