2024.07.17 刘义婧 曾文婷
近年来,美国对生物及数据安全的关注日益增强,尤其是在全球数字化进程加速、网络威胁增加以及跨境生物信息流通的背景下,为了保护个人隐私、国家安全和经济利益,2024年上半年,美国在生物及数据安全领域出台了一系列行政令和立法议案,体现了其在保护生物及个人数据安全方面的高度重视。美国正在填补联邦层面有关跨境数据的法律空白,且未来极有可能出台更多的数据监管法规及实施细则,以进一步强化数据安全监管体系。
一、美国生物安全法案草案
2024年1月25日,美国议员向美国国会众议院提出了H.R.7085号《生物安全法》(BIOSECURE Act)草案,计划禁止美国行政机构与受关注的生物科技公司进行特定交易,旨在防止美国人的基因数据流入受关注国家(Countries Of Concern)。该草案后续递交至美国国会众议院监督与问责委员会(Committee on Oversight and Accountability)审议。2024年5月15日,美国国会众议院监督与问责委员会通过了序号为H.R.8333的新版生物安全法草案1(“美国生物安全法草案”)。此外,美国国会参议院也有类似版本的生物安全法草案正在审议。以下为我们整理的生物安全法草案主要内容。
1. 受关注生物科技公司(Biotechnology Company Of Concern)
美国生物安全法草案旨在禁止美国行政机构及其合作企业与受关注的生物科技公司进行特定交易。该法案将一些知名中国生物科技公司列为受关注生物科技公司,同时规定符合以下条件的实体也将视为受关注生物科技公司:
(1)受外国对手方政府2管辖、指挥、控制或运营,参与生物科技设备或服务的制造或分销,并且由于以下情况对美国安全构成风险的主体,包括通过与外国对手方的军方合作进行研究项目,向外国对手方政府提供基因数据、未经明确知情同意的情况下通过生物技术设备或服务获取人类多组学数据;以及
(2)上述实体的任何受外国对手方政府管辖、指挥、控制或运营的子公司、母公司、关联公司等。
2. 限制交易
根据美国生物安全法草案,其主要禁止美国行政机构进行以下限制交易:
(1)采购或获取任何由受关注生物科技公司生产或提供的生物技术设备或服务;
(2)与以下公司签订、延长或更新合同:(i)使用了受关注生物科技公司生产或提供的生物技术设备或服务(且该设备或服务是在该法案针对相关受关注生物科技公司生效之后获得的)的实体,以及(ii)知道或有理由相信履行合同的过程中将需要使用在相关生效日期后获得的、由受关注生物技术公司生产或提供的生物技术设备或服务;
(3)禁止美国行政机构主管提供贷款或资金以采购或获取受关注生物科技公司生产或提供的任何生物科技设备或服务,或签订、延长或更新合同。
3. 相关动态及影响
一般而言,美国法律草案首先交由美国国会参、众两院的特别委员会进行修改、审查和批准,然后交由参、众两院表决通过相同版本,最终由总统签署生效正式成为法律。因此,美国生物安全法草案还需经过众议院和参议院全体投票表决通过,并由美国总统签署后才能生效成为法律。立法过程一般会涉及到大量的协商和谈判,因此草案内容很有可能会进行进一步调整。根据2024年6月14日美国国会众议院通过的《2025年军人生活质量改善与国防授权法》草案(Servicemember Quality of Life Improvement and National Defense Authorization Act for Fiscal Year 2025,“2025国防授权法案”),美国生物安全法草案的内容未被纳入2025国防授权法案中,因此该草案无法和其他国防相关草案一同进入2025国防授权法案议程,该法案后续的立法走向和进展仍有待明确。如该法案最终通过,将对被列为受关注生物科技公司的中国公司在美国的业务造成不利影响,可能受到生物安全法案影响的美国企业也将可能考虑终止或减少与受该法案影响的中国生物科技企业的合作。
此外,2024年5月30日,美国国会参议院特别委员会向美国国家情报总监和联邦调查局局长发出信函3,要求对中国某生物科技股份有限公司及其美国子公司的相关执法信息,以及其对美国国家安全潜在风险的情况进行简报。该行动也进一步显示出美国正在持续对中国生物技术行业保持高度关注。
二、《防止受关注国家获取美国人批量敏感个人数据和美国政府相关数据的行政令》4
2024年2月28日,美国总统拜登签署了第14117号《防止受关注国家获取美国人批量敏感个人数据和美国政府相关数据的行政令》(“行政令”),授权司法部与其他联邦部门采取行动,禁止或限制美国人与受限主体(Covered Persons)进行特定的数据交易,防止包括中国在内的受关注国家及相关主体获取美国人的批量敏感个人数据或与美国政府相关的数据。
同时,美国司法部针对该行政令发布了《拟议法规的预先通知》(Advance Notice of Proposed Rulemaking,“ANPRM”),对行政令的内容进行细化,并在2024年4月19日之前向公众征询意见。在该轮征询后,预计美国司法部将发布《拟议法规的制定通知》(Notice of Proposed Rulemaking),并在发布最终法规(Final Rule)前再次征询公众意见。ANPRM的内容涵盖(1)禁止和受限制的交易类别;(2)受关注国家和受限主体类别;(3)批量敏感个人数据和美国政府相关数据范围;(4)包括发行许可证在内的豁免程序等。行政令中提出的各项限制措施将根据司法部的最终法规的具体规定生效并实施。
1. 受关注国家(Countries of Concern)以及受限主体(Covered Persons)
ANPRM规定的受关注国家(Countries of Concern)主要包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
此外,行政令不仅限制受关注国家直接获得批量敏感个人数据,还限制受关注国家通过受限主体间接获取该数据。ANPRM考虑将受限主体定义为以下五类5:
(1)由受关注国家直接或间接持有50%或 50%以上股权的实体,或依据受关注国家的法律成立、特许经营,或其主营业地位于受关注国家的实体;
(2)由上述第(1)条所规定实体,或由下述第(3)、(4)、(5)条所规定个人,直接或间接拥有50%或50%以上股权的实体;
(3)属于受关注国家或第(1)、(2)、(5)所述实体的雇员或承包商的外国人;
(4)主要居住在受关注国家领土范围内的外国人;以及
(5)任何被美国司法部部长认定为受关注国家所拥有、控制或受其管辖的个人(包括美国人),代表或声称代表受关注国家或受限主体行事的个人,或故意导致或指使违反该法规的个人。
除上述对受限主体的规定之外,美国司法部还计划建立与美国财政部海外资产控制办公室(OFAC)制裁名单类似的受限主体公开名单。此外,ANPRM还考虑要求非受限主体的外国人承诺不将禁止或受限制的数据重新销售或提供给受关注国家或受控人员。
2. 受限数据(Covered Data)
行政令规定将对两类数据交易进行监管,包括(1)特定类别的批量敏感个人数据(Bulk Sensitive Personal Data),以及(2)特定类别的政府相关数据(Government-related Data)。
(1)批量敏感个人数据
ANPRM规定“敏感个人数据”包含了以下六类数据,或是以下六类数据的任意组合:
受限个人识别符(Covered Personal Identifiers),例如与社保号码关联对应的姓氏和名字的数据集、与护照号码关联对应的驾照号码等;
地理定位和相关传感器数据(Geolocation and Related Sensor Data);
生物识别符(Biometric Identifiers);
人类“组学”数据(Human “Omic Data”);
个人健康数据(Personal Health Data);以及
个人财务数据(Personal Financial Data)。
ANPRM拟排除包含商业秘密、专利信息、政府公开信息、法院公开信息、私人通讯等信息的数据,认为其不属于此处定义的“敏感个人数据”。
此外,ANPRM拟为批量敏感个人数据交易设置交易数量阈值,超过特定阈值的交易会受到相关限制。美国司法部基于六类数据或数据组合的特点,对这些数据被受关注国家获取的风险进行了评估,并提出了拟设定为低风险阈值以及高风险阈值的区间,具体如下:
数据类型 | 低风险 | 高风险 |
人类基因组数据 | 超过100名美国人 | 超过1,000名美国人 |
生物识别标识符 | 超过100名美国人或美国设备 | 超过10,000名美国人或美国设备 |
精确定理位置数据 | ||
个人健康数据 | 超过1,000名美国人 | 超过1,000,000名美国人 |
个人财务数据 | ||
特定个人标识符 | 超过10,000名美国人 | 超过1,000,000名美国人 |
ANPRM拟规定,批量敏感个人数据是指与美国人相关的数据集或数据组,相关数据可呈现任何格式,无论数据是否经过匿名化、伪匿名化、去标识化或加密处理。对于包含多类受限数据的交易,只要交易超过了其中任一数据类别的低风险阈值,该交易即可能受到监管。此外,司法部还考虑将 12 个月内多笔交易中的数据传输数量进行累计,这意味着即使单笔交易未超过规定的批量阈值,一定期限内的多笔交易总和可能超过阈值,因此受到监管。
(2)特定政府相关数据
政府相关数据主要包括两种:(1)精确的地理位置数据 (Precise Geolocation Data),包括特别划定的军事、政府、敏感设施或位置区域清单中的地理位置数据;以及(2)与美国政府在职或近期离职的员工、承包商、高级官员(包括军方和情报部门)相关或有关联的任何敏感个人数据。涉及该些政府相关数据的交易均可能受到监管。
3. 受限交易(Covered Transactions)
行政令要求美国司法部确定高度敏感的数据交易类型,根据交易类型的敏感程度可分为完全禁止以及受限制两类。
(1)被禁止交易:
在ANPRM中,以下两种与受限主体进行的数据交易拟被完全禁止:
数据中介交易(Data-Brokerage Transactions),例如数据经纪人将收集、分析和汇总的数据出售或授权给第三方使用的交易;
涉及批量人类基因组数据(Genomic-Data Transactions)的交易,或涉及能从中提取人类基因组数据的生物样本的交易。
(2)受限制交易:
根据ANPRM规定,以下三种数据交易类型是相关国家获取大量美国敏感个人数据或政府相关数据的重要途径,将会对其进行限制:
涉及提供商品和服务的供应商协议(Vendor Agreements),例如一家美国公司通过应用程序从美国用户处收集大量精确的地理位置数据,并与总部位于关注国家的供应商公司签订协议,处理并存储该些数据的情形;
雇佣协议(Employment Agreements),例如一家从事消费者基因检测的美国公司收集并保留来自美国消费者的大量人类基因数据。该公司聘用一支主要由关注国家的公民组成、居住在该国的个人提供后端服务的团队,而该团队可以访问含有大量人类基因数据的美国公司系统的情形;
投资协议(Investment Agreements),例如一家美国公司计划在美国建造一个数据中心,该数据中心将存储大量美国人的个人健康数据,而位于受关注国家的一个外国私募基金拟投资建设该数据中心,以获取该数据中心的多数股权的情形。
上述受限制交易需要在满足美国国土安全部为降低受关注国家访问数据的风险而制定的安全要求(security requirements)后才可进行。相关安全要求可能包括但不限于(1)必须实施基本的组织网络安全态势要求(Basic Organizational Cybersecurity Posture requirements);(2)使用数据最小化和掩码处理、使用隐私保护技术、开发信息技术系统以防止未授权披露以及实施逻辑和物理访问控制;以及(3)满足某些与合规相关的条件,例如聘请独立审计师进行年度测试和审计确认是否满足前述要求。
4. 豁免和许可(Licenses)
此外,对于受限交易,司法部还可能根据交易具体情况,考虑对其进行豁免或发放许可。豁免主要有两种类型:一般豁免和特定豁免。
(1)一般豁免(general licenses):司法部长可以就特定类型的受限交易颁发一般豁免,授权在适当条款和条件下进行该等数据交易。
(2)特殊豁免(specific licenses):司法部考虑在规则制定中,对获得特定豁免的个人施加一些要求,例如:持续提供关于数据交易的报告,或要求获得特定豁免的个人在可行的情况下,保证任何根据该交易转移的数据不可恢复或不可逆转地删除。ANPRM仅是拟议法规的预先通知,因此对于哪些个人在何种情形下可以获得特殊豁免并无具体规定,需关注进一步的立法发展。
此外,ANPRM要求司法部长采取具体、精确的行动,尽量减少对商业活动的干扰。例如,ANPRM中豁免了不太可能构成国家安全风险的某些交易类别,包括金融服务交易,并授权司法部长豁免其他交易类别。此外,ANPRM并未建议将美国的批量敏感个人数据或政府相关数据存储在美国境内,也未建议将处理这些数据的计算设施定位在美国境内。
三、 结语
美国对数据传输出境的政策已从过去的相对自由逐渐转向实施限制。这一政策转变反映了美国政府对其国内数据安全的日益关注,并可能对全球数据流动及国际商务活动产生深远影响。本文简要介绍的上半年的部分相关领域的立法活动虽当前均处于不同阶段,但均体现了美国政府对数据安全和生物信息的密切关注,以及正在逐步加强对中国的数据传输限制。当前虽然各项法案与行政令的相关规定和实施细则尚未具体化,企业和投资者需要持续关注后续法规的发展,以便及时调整策略,确保合规。此外,在美国政府的执法过程中,企业的内控和合规流程等往往是重要的考量因素之一。因此,在当前的立法形势下,对于需要进行跨境数据传输的企业,加强内控和尽职调查也尤为重要。企业应确保其数据处理和传输流程符合美国及全球的法规要求,并通过强化内部政策和程序来应对不断变化的国际法律环境。
*感谢实习生林小涵,David Hu对本文的大力贡献
1. https://www.congress.gov/bill/118th-congress/house-bill/8333/text。
2. 该草案下外国对手方(foreign adversary)包括中国、俄罗斯、朝鲜和伊朗。
3. https://democrats-selectcommitteeontheccp.house.gov/sites/evo-subsites/democrats-selectcommitteeontheccp.house.gov/files/evo-media-document/2024-05-30%20-%20GenScript%20Letter.pdf。
4. https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/ 。
5. https://www.federalregister.gov/d/2024-04594/p-183。