10月21日,美司法部公布了“应对美国敏感数据面临的国家安全风险拟议规则”(NPRM),同时征求公众意见。有专家分析,这是美政府“新冷战”思维下的又一产物,反映了美在限制中国获取或访问美敏感数据方面,向前走了一大步;意味着美“放弃数据自由流动的国家立场”的这一重大政策转向,一步步成为可能,我们必须系统分析,科学应对。蘑菇云对相关问题进行了梳理。
美司法部大楼一、事件溯源――美对“中美数据脱钩”是认真的
美司法部标识(一)“一总”,即总体策略美国司法部从国家层面、统调各方面力量,组织进行“数据脱钩”。他们计划,将针对美国敏感数据向中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输,以涉及这些数据传输的“交易”为抓手,设计一个杂糅了财政部经济制裁和商务部出口管制的制度,对美国敏感数据在跨境交易中流向特定“关注国家”的主体进行管控,可以阻断,也可以发给一般许可和特殊许可。美国司法部负责国家安全事务的助理司法部长Matthew G. Olsen(领导制定ANPRM和NPRM的官员),今年3月8日在美国律师协会的主旨演讲中提出的四个“知道”(four knows”),即,知道你的数据,知道数据的去向,知道谁可以访问数据,知道的数据销售。(二)“四管”中的第一管,管住数据管住的数据,主要分为两大类。第一大类,“美国人的批量敏感数据”,涉及6个方面,即,涵盖的个人识别符、精确的地理位置数据、生物识别标识符、人类基因组数据、个人财务数据、个人健康数据。同时,对每类数据的数据量进行了规定。第二大类,“美国政府相关数据”,涉及2个方面,即,关于政府活动地点的数据,司法部制定了一个《政府相关位置数据列表》的格式,未来表上列出的地理区域内的“精确地理位置数据”都属于“政府相关数据”。关于美国政府人员的数据,即与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联或可关联的数据。(三)“四管”中的第二管,管住实体管住的实体,分为两个大类。第一大类,重点关注国家。两个版本都是一致的,即6个国家中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。第二大类,涵盖的人员或实体。即由受关注国家直接或间接拥有50%或以上股权的实体,以及在受关注国家注册或其主要业务地在受关注国家的实体。(四)“四管”中的第三管,管住交易美政府认为,NPRM的上位法是IEEPA,司法部只能从“交易”入手去实现限制数据跨境流动的目标。美将交易分成3种情形,进行精准管控。
美对跨境贸易进行限制第一种情形,“禁止的交易”。主要对2个方面情形作出规定,一是数据经济交易,数据接收方不直接从个人处收集数据,而是从数据提供方(即数据经纪人)处购买、被许可访问数据;二是涉及批量人类基因组数据或可以从中衍生出此类数据的生物样本的传输的交易。第二种情形,“受限制的交易”。主要对3个方面情形作出限制,即供应商协议、雇佣协议和被动投资协议。和这次NPRM配套,国土安全部网络和基础设施保护局(CISA)在同一天发布了其拟议的安全要求,具体的安全要求包括网络安全措施,如基本的组织网络安全政策和实践、物理和逻辑访问控制、数据掩码和最小化、加密和使用隐私增强技术。第三种情形,“豁免的交易”。主要对8种情形作出豁免,即金融服务、支付处理和监管合规相关的交易,美国跨国公司内部业务运营产生的数据交易,美国政府及其承包商、雇员和资助人的活动,美国联邦法律或国际协议所要求或授权的交易(如旅客名单信息、国际刑警组织发出的搜查令等),不转移任何价值的个人通信、以及旅行信息、偶然的和作为提供电信服务的一部分的交易,交易涉及获得或保持在关注国家监管批准药品、生物制品、医疗设备或组合产品所必需的“监管批准数据”。(五)“四管”中的第四管,管住机制美司法部对“数据脱钩”的机制进行了筹划,主要有5项机制。
美推进“数据脱钩”将对世界经济产生重大影响第一项机制,许可程序。美司法部发布许可证,以授权在特定条件下开展某些类别的禁止或限制交易,并列出了发布一般和特定许可证的要求和程序。第二项机制,发布指导和咨询意见机制。美司法部定期发布一般公共指导以解决常见问题、发布咨询意见以解决法规对特定交易的适用问题。第三项机制,允许实体制定合规规避的机制。美司法部借鉴了财政部外国资产控制办公室(OFAC)管理的经济制裁计划,规定美国公司和个人可以根据各自的风险状况,开发和实施合适的合规计划。第四项机制,定期报告机制。美对4种必须报告情形作出了支付宝,一是涉及云计算服务的美国公司或个人,如果有25%或以上的股份是由关注国家或相关人士直接或间接持有,每年需要提交报告。二是任何美国公司或个人,如果他们收到并明确拒绝了涉及数据经纪业务的禁止交易要约,需要报告这一情况。三是涉及与外国非相关方的数据经纪交易的美国公司或个人,如果他们知道或怀疑对方违反了关于转售或将数据转移至关注国家或相关人士的限制,也需要进行报告。四任何美国公司或个人,如果他们依赖某些数据交易的豁免,并声称这些交易是为了获得或维持在关注国家市场上药品、生物制品、设备或组合产品的监管批准,也需要提交报告。第五项机制,督促执行机制。NPRM采取基于IEEPA的执行机制,赋予司法部广泛的调查权力。如果发生违规行为,可能会面临民事和刑事处罚。三、如何应对――面对“中美数据脱钩”、我们怎么办
“数据脱钩”反映了中美之间严峻形势第一层面,国家政策层面一是,加强数据安全立法。加快完善国内的数据安全相关法律法规,明确数据的收集、存储、使用、传输等环节的规范和标准。例如,欧盟的《通用数据保护条例》(GDPR)为其成员国的数据保护提供了法律框架,中国也可以借鉴相关经验,制定符合国情的数据保护法规。二是,推动数据产业发展战略。制定国家层面的数据产业发展规划,加大对数据产业的投入和支持力度,培育一批具有国际竞争力的大数据、云计算、人工智能等领域的企业。三是,积极参与国际数据治理。加强与其他国家的合作,共同制定跨境数据流动的规则和标准,维护各国的合法权益。例如,中国发起的《全球数据安全倡议》,为全球数据安全治理提供了中国方案。第二个层面,企业层面
中国企业对数据管理越来越重视一是,提升技术自主创新能力。加大对数据技术研发的投入,培养和吸引优秀的技术人才,提高企业在数据存储、处理、分析、安全等方面的技术水平。减少对国外技术的依赖,开发具有自主知识产权的核心技术和产品。二是,拓展多元化市场。减少对美国市场的依赖,加强与“一带一路”沿线国家以及发展中国家的合作,加强与欧洲、日本等发达国家的企业合作,通过技术合作、合资等方式,共同开发数据相关的产品和服务。
三是,建立数据安全管理体系。企业应建立完善的数据安全管理体系,制定数据安全管理制度和流程,采用先进的数据加密、访问控制、备份等技术手段,确保企业数据的安全存储和传输。
第三个层面,科研教育层面
数据治理事关中国经济发展和安全一是,加强数据科学人才培养。加大对数据科学相关专业的教育投入,培养一批既懂技术又懂管理的复合型数据科学人才。高校和科研机构应加强与企业的合作,开展产学研一体化的人才培养模式,为企业输送更多优秀数据科学人才。二是,开展数据技术研究合作。加强国内科研机构之间以及与国际科研机构的合作,共同开展数据技术的研究和开发。通过合作研究,分享研究成果和经验,提高我国在数据技术领域的研究水平和创新能力。
