6月初,美国发布了《美国数据隐私和保护法》( the American Data Privacy and Protection Act, ADPPA )的草案,引发了国内数据合规从业者的热切关注和讨论,而这项具有分水岭意义的隐私保护法案,也将为数据隐私保护引入一个美国联邦标准。
在企业的涉美业务中常遇到美国的法律监管要求是怎样的,从美国回传数据到中国时需要进行那些数据隐私相关评估,这些企业怎样构建符合美国法要求的数据合规管理体系?
part 01 美国数据保护的法律规则
(一)美国新公布的「数据隐私和保护草案」的核心要点
6月3日美国众议院和参议院发布的数据隐私和保护草案,是关于国家数据隐私和数据安全框架的草案,同时也是第一个获得两党两院支持的美国联邦全面隐私提案。
美国各州对数据安全都有自己的详细的法律,但关于隐私的立法都比较少,州层面可能有一些隐私法的立法,加州的隐私法就是一个代表,但与欧洲相比其实是相对较弱的。但是整体来讲,美国在联邦层面是没有数据隐私和保护法的。6月3日的草案之所以比较具有突破性,是因为这是第一次获两党两院支持的、在联邦层面的隐私立法提案。
从范围来讲,联邦草案在联邦层面要求所有的适用主体都尽量设置一个合理的措施或者程序,去收集、处理、转让所有的隐私信息。所有的适用主体需要给所有个人提供 privacy policy ,说清楚数据的收集用途、转让用途、处理流程等,以及所提供的安全措施。
与中国和欧洲的立法基础、理论不同,欧洲和中国的个保法一般禁止个人开展信息处理活动,除非有相对应的合法性基础,但在美国,它允许开展个人信息处理活动,不过需要采取相应保护措施,且不能做任何歧视性的操作。
在实务操作中,一般是要保证客户的网站上有很全面的 privacy policy ,对各种数据都做到尽可能的保护,这在这个法案实施之前也一直在进行,所以对实务没有影响,但是这对美国全国立法来讲确实是一个突破。
(二)加州消费者隐私法案( CCPA )与《加州隐私权法(CPRA)》中值得关注的重点
《2020年加州隐私权法》( CPRA )修正并扩展了加州里程碑式的2018年加利福尼亚消费者隐私法》( CCPA ),为加州居民确立了新的数据隐私权,对企业和服务提供商施加了新的义务和责任,并将创建了一个独立的数据监管机构,授权其实施加州隐私法并起诉违规行为。
CCPA 规定加州居民有权利删除个人信息,有权利了解个人信息的使用状况和具体细节,有权利选择不让公司销售或者和别人分享你的个人信息,不能因为个人消费者使用你的个人信息而对其进行报复。
CPRA创设了新的权利——数据更正权,授权加州居民可以要求企业更正其保管和控制的任何「不准确」个人信息的权利,甚至有权限制企业对个人敏感信息的使用,在美国,种族、性取向、健康信息、当前所在地都属于敏感的个人信息。
除了数据更正权之外, CPRA 还改变了受 CCPA 约束的「企业」类型,设立了新的监管机构——加利福尼亚隐私保护局等。
CPRA 对美国的个人隐私保护有更进一步的操作,对实务的影响就是要去理解对方所拥有的新权利对信息收集所产生的限制。
(三)美国法对数据跨境的定义
以隐私方面的信息为例,隐私信息一般来讲不属于比较敏感的科技信息,美国并没有专门的监管部门限制或审批隐私信息的跨境,只需要在 privacy policy 中明确规定。
但是信息的跨境不仅仅只限个人的隐私信息,也包括敏感的科技信息,可能就会受到美国的出口管制限制。因为科技信息其实是含扩信息,所以大家想到的是狭窄定义的出口,就是关于物品的出口或者是针高科技产品本身。
如,美国公司跟中国公司其实是一个密切合作团队,他们可能有微信的交流、会打电话、会视频会议。他们这种交流的模式其实都是涉及到出口管制的。
又如,每个公司研究的东西不一样,并不是每一个公司都会受到美国的出口管制,如果该公司的出境信息不是军商两用的信息而纯粹是一个普通的、没有任何军用用途的信息,那么可能就会被审查产品是不是本身属于比较普通的科技,如 AR 。在这种情况下,是不需要专门向美国政府申请许可证。
但是如果任何信息属于敏感信息,那么就需要去申请许可证。有时候有些信息定性比较模糊的话,可以需要跟公司法务、外面的律师去讨论这种信息有没有可能会被美国政府视为需要申请许可证。
(四)中国国内企业使用美国的技术产品会不会受到出口管制的限制?
如果说你在美国开源的信息网站得到了信息,然后在中国使用,确实是有一定的问题。
一方面涉及到是什么信息,可不可以分享,需要具体情况具体分析。
另外一方面,美国到底有没有权利去限制一个中国公司,这也是需要考虑的部分。如果是在美国的公司,或者与美国有联系的公司,那肯定是受到属地原则的影响,可以被美国限制信息分享的,但一个完全与美国没有任何联系的中国公司,此时美国的限制是否能有约束效力,可能实务中的考虑角度会不一样。
(五)如何应对美国的涉疆法案
涉疆法案主要是限制两方面:一方面是限制涉疆的企业,将它们置于黑名单当中。另一方面是限制中国对美国出口的货物,它们的来源地,涉及的对象是什么? 如果是从新疆来的,或者来自名单中的企业,那么美国就会认为这些货物是强迫劳务而制造的不合法货物。这种情况下,企业要用 clear convincing evidence 去证明所有的出口货物不涉及强迫劳动。
如果说产品来源于非新疆地区,那么企业的证明责任完全不同,只要在物流的文件上证明你从源头开始就一直跟这个法案没有任何关联,没有跟任何新疆的企业有任何的接触。
企业要做的就是尽量把产业链的源头和信息搞清楚,不要涉及任非必要的信息,因为大部分企业都不在涉疆法案的管控范围内,只要有证据去证明,就可以相对保证物流的流畅性。
很多美国本土的律师事务所也在进行数据合规的业务,但是它们的难度首先在于它们不知道新疆在哪里,也不知道中国新疆的现实情况,它们的信息模糊性可能会扩大化合规范围,如要求供应商提供所有劳务人员的信息,这样只会加剧中美贸易摩擦。
part 02 敏感数据跨境流动在美国出口管制条约下的风险与应对
首先要做一个信息跨境的内部盘点,如会涉及到哪几类的信息。可以根据产品的类去做一个盘点,然后去看这个信息有没有可能受到管制。
然后需要去找熟悉出口管制国际贸易法的律师去进行法规分析,分析在法律的建构下,有没有可属于敏感信息的信息。此时建议进行数据合规工作,因为合规项目会说清楚受哪些法律管制。
在美国的出口限制下,即使两个关联公司之间进行数据分享也可能会被认为涉及数据跨境,所以合规项目里也会提到在哪一些 platform 里面要怎么使用这些信息,要有以下的合规动作。
很多时候需要有个团队去 responsible for everything ,因为涉及到 data bridge 的问题,美国各州都有详细的立法。我们律所之前通过 data guidebook (数据指引)用极简的方式把每个州的法律都涵盖进去,把这些东西都融合在合规项目里。在这样的框架下,需要不同的团队去处理不同的信息,比如说export control团队、data bridge团队等。
part 03 在美国法下如何构建数据合规管理体系
美国的数据保护受 DOJ (司法部)和 FTC (美国联邦贸易委员会)的监管。因此数据合规是非常有意义,是规避风险,未雨绸缪的做法,也可以避免高额罚单。
以 Facebook 为例,Facebook 在没有通知用户,也没有得到用户许可的情况下,向剑桥的分析公司违规分享用户个人信息而收到了巨额罚款,最近与美国司法部以及FTC 达成了罚款和解协议,包括 Facebook 要设立独立的隐私保护委员会,在每个季度都要向 FTC 做汇报并接受 FTC 的调查。
建立一个大而全的数据合规框架,对于一家公司来讲其实是很难的,因为所要调用的资源,所要投入的人力是非常多的,尤其是对于一些规模不大,面临生存问题的公司来讲,它可能不会把更多的资源放在数据合规上,但是有一些事情是一定要做的:
1. 隐私内容的盘查(data map)。 公司为了保证对客户、对消费者的信息的处理是合理的,要明确说明收集信息的商业目的,并且对数据的处理是严格按照目标进行的,是有必要的,且合理性的。
2. 建构好的隐私政策。一个好的隐私政策的制定,不仅有利于消费者的信息保护,更有利于公司的风险规避。一个好的隐私政策就是要尽量涵盖所有的层面,这样不管出现任何情况,都能有方法进行应对。(文末可领取美国法下的隐私政策参考文末)
3. 内部合规培训与合规宣传。这有利于公司内部实时更新对数据合规的认识,也有利于隐私政策的制定和执行。
美国数据跨境的监管与应对
作者:MichelleLi来源:iLaw合规

6月初,美国发布了《美国数据隐私和保护法》( the American Data Privacy and Protection Act, ADPPA )的草案,引发了国内数据合规从业者的热切关注和讨论