T-Mobile因数据保护不力遭CFIUS重罚6000万美元,历史最大罚单揭示监管新趋势

来源:出海互联网法律观察

文章摘要
引言 鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向

引言
鉴于当前世界各国在科技与网络领域的监管呈现复合型趋势,W&W地区观察专题将触及个人信息保护、数据合规、网络安全、人工智能、数字经济等板块,跟踪并解读全球主流出海目标国在上述领域中的立法、监管动向,提示企业合规要点,为企业开展出海业务、部署国内合规工作提供参考。
01、背景
2024 年 8 月 15 日,美国外国投资委员会(CFIUS)宣布已解决针对 T-Mobile US Inc. 的执法行动,T-Mobile 因违反通知规定和未能保护数据被罚款 6000 万美元。
CFIUS 指出,2018 年,T-Mobile 就其与 Sprint 的合并以及合并后实体的外国所有权与CFIUS 签订了国家安全协议(NSA)。
02、CFIUS的结论
CFIUS 发现,在 2020 年 8 月至2021 年 6 月期间,T-Mobile 违反了 NSA 的一项实质性条款,其未能采取适当措施防止未经授权访问某些敏感数据,也未能及时向 CFIUS 报告某些未经授权访问的事件,从而延误了 CFIUS 调查和减轻任何潜在危害的努力。因此,CFIUS 得出结论,这些违规行为损害了美国的国家安全利益。
鉴于上述情况,CFIUS 在 2023 年发出初步处罚通知后,对 T-Mobile 处以 6000 万美元的罚款,从而解决了执法行动。
03、企业应该怎么做?
近年来,CFIUS批准的交易中约有30%需要签署某种NSA,以约束交易双方采取某些行动和承诺,从而降低已被发现、可能存在的国家安全风险。本次决定是委员会迄今为止因未能“防止和报告未经授权访问敏感数据”而开出的最大罚单,也是唯一一次公开点名处罚对象,这一前所未有的举措表明,未来执法行动可能不再保持匿名,该委员会在执法上采取了更强硬的态度,以此来震慑未来可能出现的违规行为。2022年10月,美国财政部发布了首份CFIUS执法和处罚指南,规定了CFIUS的处罚程序,确定了三类可能受到强制执行的违规行为,相关出海企业可以参考以避免出现违规行为:
未在规定时间内(即至少在交易完成前30天)提交强制性声明或通知(如适用);
不遵守CFIUS的缓解措施,包括违反NSA;和重大错报、遗漏或虚假证明,通常反映出在审查过程中向CFIUS提供虚假信息,或在回答委员会的问题时遗漏了相关信息。

技术驱动法律,专业成就未来