过去几天,数据出境领域发生了两件大事。3月22日,《促进和规范数据跨境流动规定》正式出台,在守住安全底线前提下为中国数据出境创造了更灵活宽松的条件,也在2024年中国发展高层论坛前夕给产业界和与会外国企业们送了一份见面礼。差不多同时,美国国会众议院以414票对0票全体一致通过了禁止美国数据经纪人向中国传输美国人敏感数据的立法——“保护美国人数据免受外国对手侵害法案”(H.R.7520)。
7520法案的主要内容
美国联邦层面没有统一的数据隐私法。呼声很高的《美国数据隐私和保护法案》(ADPPA)2022年7月由国会众议院能源和商务委员会通过并列入众院日程,但因两党分歧束之高阁。7520法案是美国联邦数据隐私立法的一小步,但却也是美国历史上第一个最接近成功的数据隐私立法。
7520法案搬用了不少ADPPA的条文,核心一条是禁止美国数据经纪人把美国个人的敏感数据传输给外国对手国家或者外国对手国家“控制或受其指示”的实体。这应含所有美国境内个人及海外美国公民。“传输”包括“出售、许可、出租、交易、转让、发布、披露、提供访问等多种形式,基本涵盖了一切能够让外国对手国家或企业通过数据经纪人获得美国人数据的路径。
和我国刚刚开始讨论和试点数据交易制度不同,美国有发达的数据经纪人产业,俗称“数商”。他们从商业、政府和其他可公开的数据中收集个人可识别信息,绘制个人资料,包括姓名、住址、年龄、手机号码、性别、收入、投票信息、购物信息、网页浏览记录、保修登记等详细信息,再转售给需要数据的第三方买家。买家可能来自政府部门、银行等各个行业,一般用这些数据给消费者提供更具针对性的定向广告,以及人员搜索、风险识别等数据分析类服务。美国排名前九大的数据经纪人是安客诚(Acxiom)、Corelogic、Datalogix、eBureau、ID Analytics、Intelius、PeekYou、Rapleaf和Recorded Future,其中安客诚据说收集了全球25亿消费者的数据,卖到62个国家,在中国上海和香港都有办公室。
历史上,美国对数据经纪人的观点相当分化,一方面承认数据经纪人存在的合理性以及对数字经济发展的促进作用,但近年来越来越多人批评他们是“监视资本主义的中间人”、影响消费者隐私甚至民主,要求加强监管。很多美国政策界人士认为,中国正在从美国数据经纪人手中购买美国人的数据,从事损害美国国家安全的活动。
7520法案给了美国联邦贸易委员会(FTC)一项新的权力,如果数据经纪人把美国人的敏感数据传输给外国对手国家或者外国对手国家“指挥或控制”的实体,会被认定为《美国联邦贸易委员会法》第18条(a)(1)(B)小节规定的“不公平或欺骗性行为”,从而被FTC处罚。交给FTC,是因为美国在联邦层面一直是从消费者隐私保护角度切入数据经纪人监管,FTC从1970年起即根据《公平信用报告法》监管经纪商收集消费者信息并转售的行为,2012年对上述九大数据经纪人企业展开调查,要求提交有关数据收集和使用的详细信息,并基于调查结果在2014年发布了《数据经纪商:呼吁透明度与问责制》报告,呼吁数据经纪人加强数据收集和销售行为的透明度。
这项调查和报告直接推动了后续国会和多个州议会层面监管数据经纪人的立法,主要聚焦用户赋权、透明度和交易安全。但迄今只有佛蒙特州在2018年5 月通过了《数据经纪法》。美国国会参议院商务、科学和运输委员会曾于2019 年7月审议《2019年数据经纪商法案》,但联邦层面所有关于数据经纪人的监管立法迄今没有一个走出两院的常设委员会。
7520法案正是在这样的背景下浮现,对外界传达出一个明确的信号:即使对数据经纪人问题的整体监管还需要讨论,但要先把数据经纪人和中国的数据交易活动停了。因此,与其说7520法案是为了解决监管数据经纪人的问题,不如说是美国在限制数据流向中国方面先找了数据经纪人作为突破口。
7520法案对数据经纪人采取了正面说+反面说的界定方式。首先说数据经纪人是什么:是一个实体,它不像Meta等互联网平台一样直接收集个人数据,而是为了赚钱把别人收集的数据通过出售、授权访问等各种方式传输给另外一个实体,并且购买和接收数据的实体也不是要给数据经纪人提供服务的“服务提供商”,双方之间纯粹是交易关系,没有提供服务和接受服务的关系。
之后说数据经纪人不是什么:首先,如果这个实体是根据美国人的请求或受他指示传输数据,比如发电子邮件这样的“通信”活动,那么它不是数据经纪人。其次,如果它是新闻媒体、电视、广播、资讯分发平台、对所有人开放的网站,这些本来就是要让大众接收信息(绝大部分伴随数据传输)的东西,那么它也不是数据经纪人。但这里有个前提,传输的不能是美国法律禁止传播的儿童色情视频、图片等淫秽内容,这些在美国法典第18卷第1460节有规定,传播的人会被罚款,最多能坐两年大牢。最后,如果它本身就是互联网服务提供商,或者政府部门这些有合法权力或权利去收集和处理数据的机构,那它当然也不是数据经纪人。
“外国对手”:中国、俄罗斯、伊朗和朝鲜四国。这次定义的“外国对手”借了美国国防采购的相关规定(美国法典第10章第4872节(d)(2)款):除非有特殊的情况,美国国防部长不能从朝鲜、中国、俄罗斯或伊朗等“非盟友国家”购买或销售一些关键金属敏感材料。这把传统上被美国多个法律也认定为“外国对手”的古巴和委内瑞拉马杜罗政府排除了。
“被外国对手控制的实体”:采用的是美国法律常见的界定方式:1、(A)在外国对手国家定居、总部设在该国、主要营业地在该国或根据该国法律成立的外国人;2、(A)项这些外国人或外国人的集合直接或间接拥有至少20%权益的实体,这里用的是“stake”(权益),不仅仅指股权,也包括了董事会席位和投票权;3、前面这些外国人或实体“指挥或控制”的人。
什么情况才是“指挥或控制”(subject to the direction or control)?这个概念不只一次在美国限制中国企业的法律中出现,从《有关商业及对外贸易的规定》《基础设施投资和就业法》到商务部ICTS规则、《削减通胀法》等,界定标准很模糊、也不一致,例如有的法律说掌握50%权益就叫“指挥或控制”,有的法律则是超过25%的权益就算。我们初步的结论是:所谓“指挥或控制”,很可能“重其实、轻其形,最终看的是一家公司真实的控制人和所有权归属,即使股权登记上进行了其他类型的架构和分配,也可能因“实际控制”“直接控制”“间接控制”“协议控制”“许可”等原因被认定构成了“指挥或控制”。
禁止数据经纪人传输给外国对手国家或公司的数据范围:基本照抄了ADPPA列出的15类“敏感涵盖数据”,具体包括:
政府颁发的标识符,例如社会安全号码、护照号码或驾照号码。
任何描述或揭示过去、现在或个人未来的身体健康、心理健康、残疾、诊断或医疗状况或诊疗。
金融账户号码、借记卡号码、信用卡号码或描述或显示个人收入水平或银行账户余额的信息。
生物特征信息。
遗传信息。
精确的地理位置信息。
个人的私人通信,如语音邮件、电子邮件、短信、直接消息、邮件、语音通信和视频通信,或识别此类通信各方或与此类通信传输有关的信息,包括拨打的电话号码、拨打电话的电话号码、拨打电话的时间、通话持续时间和通话各方的位置信息。
账户或设备登录凭据,或账户或设备的安全或访问代码。
个人识别信息。
日历信息、地址簿信息、电话或文本日志、照片、音频记录或视频,由个人维护以供私人使用,无论这些信息是否存储在个人设备上或可从该设备访问并备份
展示个人裸体或穿着内衣的私人区域的照片、电影、视频记录或其他类似媒介。
披露个人要求或选择的视频内容的信息。
关于17岁以下个人的信息。
个人的种族、肤色、民族或宗教。
识别个人随时间和跨网站或在线服务的在线活动的信息。
揭示个人作为武装部队成员身份的信息。
能够识别上面这些数据的数据类型。
7520法案专门就“地理位置信息”做了比ADPPA更精确的界定,反映了美国政府对“地理位置信息”的极端重视。纽约时报曾经做过一个实验,从数据经纪人手中买到美国1200万人的数据集,其中包含500亿多个地理位置信息,在结合了一些公开信息后,只用了几分钟就对位置数据进行了去匿名化,并追踪了特朗普总统的下落,这在当时引起美国社会对地理位置信息带来的国家安全风险的热烈讨论。同时,正如本公号曾在之前的一些分析中指出的,美国政策界一直有一种根深蒂固的观点:认为如果美国政府官员、军人等重点人物的位置数据能被中国公司获取,就会极大危害美国的国家安全。
在这一认识下,法案明确“地理位置信息”是两类:一是源自设备或技术的信息。这个不难理解,我们的智能手机、平板电脑、智能手表和可穿戴电子设备中的GPS芯片,都可以使用卫星信号来确定精确的位置数据;WI-FI、蓝牙这些技术也可以实现GPS可能表现不好的室内定位。二是显示个人或设备过去或现在的物理位置的信息,根据这个物理位置信息可以识别或联系到1个或多个人,具有足够的精确度,可以揭示个人或设备的街道级别位置信息,或者在小至1850英尺的范围内确定个人或设备的位置。这一详细程度,意味着相关数据极为敏感,因为它可以密切追踪个人的移动和位置。我国近期发布的国家标准GB/T43697-2024《数据安全技术 数据分类分级规则》报批稿也把“位置定位精度”等“空间精度”作为数据分级分类识别的考虑因素,精度越高,相关数据保护级别可能越高,越可能被划入重要数据甚至核心数据类别。
7520法案首先影响的肯定是以九大数据经纪人企业为代表的美国数据经纪行业。由于15类敏感数据涵盖范围十分广泛,这一定会影响这些美国数据经纪人和中国、俄罗斯、伊朗、朝鲜客户进行的数据交易。需要从这些数据经纪人购买数据用于在美国开展业务的上述国家的企业,包括其海外子公司,也会因为拿不到业务所需的数据受到影响。但是,美国的数据经纪人有多少中国的客户、交易量和影响有多大,公开的信息难以找到。
法案的后续推进
法案目前已经于3月21日提交到了参院的商务、科学与交通委员会走参院的立法程序。该委员会的主席、来自华盛顿州的民主党参议员Maria Cantwell早前已经表达了对7520法案的支持。法案通过常设委员会这一关的希望应该说还是很大的。
参议院多数党领袖和参院情报委员会主席Mark Warner、参议员Ron Wyden等在这件事上同样比较有话语权的参议员还没有表态。Ron Wyden有自己的一个数据保护法案在推进,且路径和7520法案不太一样。2023年6月14日,Wyden和共和党参议员Cynthia Lummis向参院提交了2023年《保护美国人数据免受外国监视法案》,设想是把出口管制制度嫁接到数据出境,法案本身不规定什么是敏感数据和禁止数据出境的国家,而是让美国商务部去编制一个敏感个人数据清单和数据出境后“高风险”国家名单,敏感数据如果出口到“高风险”国家,就要获得商务部的许可,这是和管制物项、软件、技术的出口许可类似的审查模式。
Wyden长期关心数据经纪人问题,也是想在解决数据经纪人问题上表现和得分的议员,和7520法案的推手众院能源与商务委员会主席Carthy Rodgers某种程度上是竞争关系。早在2021年4月,Wyden就提出《第四修正案不出售法案》,希望禁止数据经纪人向美国情报、执法机关出售位置数据等个人数据。2022年6月他把“保护美国人数据免受外国监控法案”引入参议院,重点目标之一也是数据经纪人问题。
另外一个重要因素是,参院多数党领袖Chuck Schumer比较支持Wyden立法监管数据经纪人,《第四修正案不出售法案》就是两人一块提的。两人都是民主党,Carthy Rodgers则是共和党,虽然Wyden和Schumer在众院商务委员会的民主党同僚表示了对该法案的普遍支持,但这两个参院的民主党大佬不一定会买账。尤其是Schumer作为多数党领袖,掌握是否及何时把法案放到参院全院会议的日程这个重要程序权力,可能会给法案带来一些变数。
平心而论,7520法案也有自己的缺陷,而这些缺陷恰恰是Wyden法案更有优势的地方。例如,7520法案对外国对手国家和敏感数据的范围做了硬性规定,这就让法案少了灵活性,以后如果发现要加上其他的外国对手或发现15种数据之外其他一些数据也要管起来,或者哪天和一些国家关系恢复、发现有些数据不那么敏感了,就比较难办。如果敏感数据到了中、俄、朝、伊之外的第三国,再从第三国转手卖到这四个国家,也是法案管不了的一个漏洞。
相较而言,Wyden法案的路径让美国商务部可以像维护实体清单一样维护两个清单(敏感数据清单和高风险国家清单),根据时势变化随时增减外国对手国家和数据类别,身段更加灵活,执行也更方便。当然Wyden法案也有自己的缺陷,要修改美国的出口管制法,且商务部是否有足够的资质和能力制定敏感数据清单也很成问题。
尽管还有一些不确定性,但7520法案在众院的顺利通过绝非偶然,也让其在参院的前景相对乐观。众院对法案的审议采取了”搁置规则并通过”(suspend the rules and pass)的方式,只辩论了40分钟就表决通过,且没有一张反对票,反映了两党在限制美国数据向中国流动方面的高度共识,也是美国在数据领域和中国“单向脱钩”的最新进展。
回顾过去几年美国对华数据政策,能发现“单项脱钩”是一以贯之、不断演进的主线。2018年《外国投资风险审查现代化法案》限制了中国对美投资场景下的数据传输。2022年商务部ICTS规则卡住对信息通信技术与服务交易伴生的数据传输。近期美国商务部对智能网联汽车的国家安全审查会阻断汽车数据的跨境传输(参见美国对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全审查;拜登数据跨境总统行政令(参见史上首次:美国禁止向中国跨境传输数据),更是一个切断美国敏感数据对华传输的综合性一揽子限制。7520法案只不过在此基础上进一步堵上了数据经纪人这个对华传输数据的出口。
在万物皆数据、数据成为国际经贸活动载体和桥梁、人工智能发展呼唤更多质量数据集的今天,中美两个世界最大经济体在数据领域脱钩势必对全球数据治理产生深远影响和连锁效应。在当今充满不确定性、大国彼此担心国家安全的世界中,强化对数据安全的关注和保障能带来更多安全,但封闭和内顾不能;更多务实的产业和技术解决方案能缓解甚至消除安全威胁,但地缘政治的思路和方法无助于问题的解决。
文末福利:扫码可获取“保护美国人数据免受外国对手侵害法案”中英文。