美国日前发布的《关于防止受关注国家获取美国人大规模敏感个人数据及美国政府相关数据的行政命令》(以下简称《行政令》),拟禁止受关注国家(包括中国在内)访问大量美国公民的敏感个人数据。在《行政令》的基础上,美国司法部又发布了《拟议立法的非官方征求意见稿:关于受关注国家访问美国人大规模敏感个人数据及政府相关数据的规定》(以下简称《征求意见稿》)。这些文件在强化美国国家安全的同时,也给中国企业在美交易提出了新要求。
上海市捷华律师事务所律师王密向记者介绍说,企业涉及大量美国公民个人数据的行为、涉及美国政府的行为,以及可能被司法部认定敏感的行为都将成为上述法案关注的重点,且《行政令》和《征求意见稿》并未对具体交易类型进行列举,可能导致在风险认定方面出现过于严苛的可能性。从规范主体来看,50%或以上股份在受关注国家法律下注册、主要营业地点在受关注国家的企业,受雇于上述企业的外国人,居住在受关注国家领土管辖范围内的外国人等都在法规规制范围内。
在中伦律师事务所律师蔡鹏看来,企业首先需要识别出哪些数据属于《征求意见稿》中定义的敏感个人数据类别,如个人健康信息、生物特征识别符、个人财务数据等。同时分析交易场景是否落入豁免,属于或可能属于被禁止或限制的交易,企业需要做出应对措施。
其次,鉴别交易是否落入《征求意见稿》中所描述的禁止或受限交易范畴。企业需要根据自身业务特点和应用场景,详细评估自身的数据处理活动,分析涉及敏感数据的交易类型。云计算、数据经纪、软件服务等领域的企业,更需仔细考量自身的服务是否涉及敏感数据的处理和传输。
最后,关注特殊行业监管风险。从事金融、医疗等业务的企业,受到的影响会比较大。以医疗行业为例,针对涉及到国际临床试验、生物基因组数据收集和分析,需特别警惕《征求意见稿》中对大规模敏感个人数据交易的限制。企业在开展这类数据处理活动前,应进行严格合规性评估,必要时寻求专业法律咨询,确保交易设计满足美国合规要求,避免触发潜在的法律风险。
“中国出海企业应增强数据管理意识,对数据相关的一切活动进行认真的审查和调整,确保符合美国的新规定,同时还须对不断变化的政策持续关注,第一时间更新数据合规策略,从而保障对美跨境业务的顺利展开。从目前美国不断出台各项严苛政策的趋势来看,中国企业需要做好打硬仗的准备。”王密表示。(来源:中国贸易报)