背景
2 月 28 日,白宫宣布一项行政命令,旨在防止“受关注国家” (countries of concern) 因国家安全风险而获取和利用美国个人的大量敏感个人数据和与美国政府相关的数据。行政命令特别强调了利用敏感数据开发人工智能能力和算法可能存在的潜在风险。行政命令的关键点包括:
1.指示司法部制定新规,限制“受关注国家”获取和利用美国个人的敏感个人数据。
2.指示司法部制定新规,保护敏感的与政府相关的数据。
3.要求司法部和国土安全部制定安全标准,防止“受关注国家”通过其他商业手段(包括投资、供应商和雇佣关系)获取美国个人的数据。
4.要求卫生和人类服务部、国防部和退伍军人事务部确保联邦拨款、合同和奖项不被用于允许“受关注国家”获取美国个人的敏感健康数据,包括这些国家通过位于美国的公司获得的任何访问。
5.指示“团队电信”(美国电信服务部门外国参与评估委员会)在审查海底电缆许可证时考虑对敏感个人数据的威胁。
承接上周的快讯:隐私快讯 | 拜登签署行政命令,限制美国的个人数据流通到多国,我们现在来聊聊这条行政命令。
行政命令
该命令旨在降低“受关注国家”通过各种渠道(包括数据经纪、第三方供应商协议和雇佣合同)获取美国个人的大量敏感个人数据的风险。这一禁令适用于受这些国家管辖的实体和个人。潜在的关注点来自于这些国家可能实施与网络、国家安全或情报相关的法律,要求这些国家管辖内的实体和个人向其各自的情报机构提供美国个人的大量敏感个人数据和与美国政府相关的数据的访问。
特定部门和官员被指示按照前一节中概述的保护措施来实施。出于本公众号受众的相关性考虑,本文将聚焦该行政命令中与一般商业活动涉及的个人数据合规相关的内容,如有其它疑问,可联系我们的合规团队了解更多。
访问敏感个人数据
行政命令推动相关部门颁布法规,旨在防止“受关注国家”获取美国个人的大量敏感个人数据,并要求实施减轻此类协助的措施。值得注意的是,这一禁令还涵盖了已匿名、化名或去标识化的数据。这一举措的背后是技术进步和这些“受关注国家”对庞大数据集的访问,这可能导致数据的重新识别或去匿名化。
根据该命令定义,敏感个人数据包括地理位置和传感器数据、生物识别标识、人类“组学”数据 (human 'omic data) 、个人健康数据、个人财务数据和个人标识符——即可以合理地与个人相关联并用于识别个人目的的数据。在此范围内特别值得关注的是个人健康数据和人类基因组数据。
人类“组学”数据(human 'omic data) 是指从人类身上生成的数据,用来描述或量化人类生物分子,例如人类基因组数据、表观基因组数据、蛋白质组数据、转录组数据、微生物组数据或代谢组数据。
禁止和限制交易该命令要求制定法规,防止美国人从事涉及大量敏感个人数据或与政府相关的数据的交易,如果这些交易促使“受关注国家”获取这些数据。涵盖的活动包括获取、持有、使用、转移、运输、出口或处理此类数据。此要求的例外情况包括与金融服务提供或遵守联邦法规的相关交易。
此要求旨在限制“受关注国家”境内公司获取美国消费者数据的能力,影响到诸如投资、数据经纪服务和协议等商业交易。虽然主要影响美国各方,但这也给非美国公司在获取和利用美国个人的个人数据以及与美国实体的更广泛商业交易方面带来了挑战。
数据经纪
行政命令随后解决了关于“受关注国家”通过数据经纪获取美国数据的担忧。鉴于数据经纪行业的参与程度,特别是其在收集、组装、评估和传播大量敏感个人数据和一部分与美国政府相关的数据方面的日常参与,该命令要求消费者金融保护局局长确定减轻相关风险的措施。
与交易限制和禁令类似,这一命令预计将影响未来实体如何获取、访问和利用数据。然而,这些影响的全部程度只有在进一步发布政策后才能明确。
常用问题解答
问:哪些国家被视为“受关注国家”?
答:行政命令并未明确列出“受关注国家”。然而,在白宫发布事实说明书后,各种新闻报道表明,“受关注国家”可能包括中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。值得注意的是,这些信息并非官方。
问:行政命令涵盖哪些类型的数据?
答:行政命令涵盖各种类型的数据,包括敏感个人数据、与政府相关的数据和涉及军事人员的数据。敏感个人数据包括地理位置和传感器数据、生物识别标识、人类“组学”数据 (human 'omic data)、个人健康数据、个人财务数据和个人标识符——即可以合理地与个人相关联并用于识别个人目的的信息。此外,该命令适用于通过各种渠道获取的数据,包括美国消费者和员工的数据,以及通过数据经纪服务促成的其他协议获取的数据。
问:如果我们公司只能获取少量的美国消费者数据,这项行政命令是否适用于我们?
答:行政命令侧重于规范美国个人的大量敏感个人数据或与政府相关的数据的访问。其实际应用取决于“大量”一词的定义,该定义将根据司法部根据该命令发布的法规予以明确。目前,“大量”的门槛尚未明确。为了保险起见,建议公司如果在美国获取任何敏感个人数据,则应采取预防措施。
问:这项命令是否意味着我们公司现在必须将美国个人的数据存储在美国?
答:不,该命令并未要求将数据必须存储在美国,而是要求不要存到“受关注国家”。企业如果目前把数据存在“受关注国家”需要重新调整,具体的数据存储调整方案,则要综合法规和相关的业务需求。有需要可寻求咨询。
问:如果我们公司的所有美国消费者数据都是由第三国的员工访问和处理的,那么我们公司是否受到影响?
答:您的公司受到该命令的影响取决于这些员工与第三国实体之间的关系,特别是如果该实体与“受关注国家”有关联。该命令禁止“受关注国家”和“受覆盖人员”访问大量敏感数据。“受覆盖人员”包括是“受关注国家”拥有、控制或受“受关注国家”管辖或指导的实体的外国个人的雇员或承包商。严格解释,任何直接受雇于“受关注国家”实体的员工都可能被视为“受覆盖人员”,因此禁止访问美国的敏感个人数据。
后续工作
在过往,跨国公司对跨境数据转移的担忧主要围绕从欧盟转移数据时需要遵守 GDPR 等法规。而美国缺乏同类的数据跨境法规。话说回来,考虑到近年来围绕数据安全的讨论以及美国政府对公民数据隐私的警惕性,颁布这项命令并不令人意外。
这项行政命令标志着新的法规时代的开始,规定了美国个人的个人数据可能被谁以及如何访问和处理。鉴于这一发展,强烈建议在美国境内经营或为美国消费者提供服务的公司对其数据处理实践进行全面审查。这种积极的态度将确保与新兴的监管框架保持一致,并有助于减轻潜在的合规风险。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
