美国联邦数据保护立法迈出重要一步

美国时间3月20日晚上，美国国会众议院以414票对0票的全体一致通过了旨在防止“外国对手”国家通过数据经纪人获取美国人敏感数据的法案。

这个编号H.R.7520、名为“保护美国人数据免受外国对手侵害法案”的国会立法，在今年3月5日由美国国会众议院能源与商务委员会主席、共和党众议员Cathy Rodgers引入众院，并得到共和党众议员Rick Allen、Gus Bilirakis、民主党众议员Jan Schakowsky、Lori Trahan联署支持。

美国关于数据的立法主要是在电信网络、金融、健康、教育等领域基于保护消费者权利零散的、单行的个人数据法律。自第116届国会以来，美国34个州的议会提出了70多项数据隐私保护法案，其中12个州的数据隐私法已经成法生效。怎么更好保护美国人的数据隐私，美国社会越来越关心，政府天天督促国会立法，国会也一直在讨论，但联邦统一的数据隐私法一直是雷声大雨点小，呼声很高的《美国数据隐私和保护法案》（ADPPA）在众议院能源和商务委员会2022年7月通过并列入众院日程后，历时快两年了都没表决。这甚至一度成为美欧缔结新的跨大西洋数据流动安排的一个障碍，尽管最大的障碍一直是《外国情报监视法》（FISA）的第 702 节。

可以说，昨天众院通过的这个“保护美国人数据免受外国对手侵害法案”，在美国的数据隐私联邦立法上迈出了一小步，但却是实质性的一步，是美国历史上第一个在国会两院中至少一院通过了的联邦数据隐私国会立法。从众院审议这个法案的程序和最后的投票结果，众议员们对法案显示了高度一致的支持。法案昨天在众院是以”搁置规则并通过”（suspend the rules and pass）的方式，只辩论了40分钟就表决通过。能采取这种程序，本身就表明众院对这个法案的共识基础非常强，几乎没有争议。当然，最后419票支持，0票反对的结果就更说明了问题。

法案主要讲了什么？

“保护美国人数据免受外国对手侵害法案”的内容其实比较简单，很多地方搬用了美国联邦统一隐私法草案的条文，总结起来就是：禁止数据经纪人把美国个人的敏感数据传输给外国对手国家或者外国对手控制的实体。对“传输”的界定是极为广泛的，包括了“出售、许可、出租、交易、转让、发布、披露、提供访问等多种形式，最后还加了个兜底的“其他方式”。

法案给了美国联邦贸易委员会（FTC）一项新的权力，即如果法案生效后再有数据经纪人从事上述行为，就会被认定为《美国联邦贸易委员会法》第18条(a)(1)(B)小节规定的“不公平或欺骗性行为”，从而被FTC依据该节的规定处罚。

什么是“外国对手”？中国是没跑的，另外还加上了俄罗斯、伊朗和朝鲜，一共四个国家。有意思的是，这次定义的“外国对手”是借了规定美国国防采购的一部法律（美国法典第10章第4872节(d)(2)款）。这一款规定：除非有特殊的情况，美国国防部长不能从朝鲜、中国、俄罗斯或伊朗等“非盟友国家”购买或销售一些关键金属敏感材料。这就把传统上被美国多个法律也认定为“外国对手”的古巴和委内瑞拉马杜罗政府排除了，为什么要这样弄，值得咂摸。

什么是“被外国对手控制的实体”？采用的是美国法律比较常见的界定方式：一类是（A）在外国对手国家定居、总部设在该国、主要营业地在该国或根据该国法律成立的外国人。一类是（A）项这些外国人或外国人的集合直接或间接拥有至少20%权益的实体，要注意这里用的是“stake”（权益），笔者不是公司法的专家，但理解应该不仅仅是指股权，而是也包括了董事会席位和投票权这些东西；三是前面这些外国人或实体“控制或受其指示”的人。

到底什么情况才是“控制或受其指示”（subject to the direction or control）？这个概念我们已经不只一次在美国限制中国的法律中见到过了，从《有关商业及对外贸易的规定》《基础设施投资和就业法》到商务部ICTS规则、《削减通胀法》等，规定很模糊，标准也不太一致，比如有的是说掌握50%权益就叫能“控制或受其指示”，有的又说有超过25%的权益就算，似乎是个很玄学的概念。笔者初步的结论是：所谓“控制或受其指示”，更重实质，而不太关注形式，最终看的是一家公司真实的控制和所有权归属，即使股权登记上进行了其他类型的架构和分配，也可能因“实际控制”“直接控制”“间接控制”“协议控制”“许可”等原因被认定是“控制或受其指示”。

什么是数据经纪人？这个定义当然是十分关键的，法案采取了正面说+反面说的方式。首先说数据经纪人是什么：是一个实体，它不像Meta等互联网平台一样直接收集个人数据，而是为了赚钱把别人收集的数据通过出售、授权访问等各种方式传输给另外一个实体，并且购买和接收数据的实体也不能是互联网平台这类“服务提供商”。然后又说了一下数据经纪人不是什么：首先，如果这个实体是根据美国人的请求或受他指示传输数据，比如发电子邮件这样的“通信”活动，那么它不是数据经纪人。其次，如果它是新闻媒体、电视、广播、资讯分发平台、对所有人开放的网站，这些本来就是要让大众接收信息（绝大部分伴随数据的传输）的东西，那么它也不是数据经纪人。但这里有个前提，你传输的不能是美国法律禁止传播的儿童色情视频、图片等淫秽内容，这些在美国法典第18卷第1460节有规定，传播的人会被罚款，最多能坐两年大牢。最后，如果它本身就是Meta这样的互联网服务提供商，或者政府部门这些有合法权力或权利去收集和处理数据的机构，那它当然也不是数据经纪人。

数据经纪人不能传输哪些数据给外国对手国家或者公司？这显然是整部法律的核心，法案采取了一个简单粗暴的办法：基本照抄了《美国数据隐私和保护法案》（ADPPA）列出的15类“敏感涵盖数据”，具体包括：

• 政府颁发的标识符，例如社会安全号码、护照号码或驾照号码。

• 任何描述或揭示过去、现在或个人未来的身体健康、心理健康、残疾、诊断或医疗状况或诊疗。

• 金融账户号码、借记卡号码、信用卡号码或描述或显示个人收入水平或银行账户余额的信息。

• 生物特征信息。

• 遗传信息。

• 精确的地理位置信息。

• 个人的私人通信，如语音邮件、电子邮件、短信、直接消息、邮件、语音通信和视频通信，或识别此类通信各方或与此类通信传输有关的信息，包括拨打的电话号码、拨打电话的电话号码、拨打电话的时间、通话持续时间和通话各方的位置信息。

• 账户或设备登录凭据，或账户或设备的安全或访问代码。

• 个人识别信息。

• 日历信息、地址簿信息、电话或文本日志、照片、音频记录或视频，由个人维护以供私人使用，无论这些信息是否存储在个人设备上或可从该设备访问并备份

• 展示个人裸体或穿着内衣的私人区域的照片、电影、视频记录或其他类似媒介。

• 披露个人要求或选择的视频内容的信息。

• 关于17岁以下个人的信息。

• 个人的种族、肤色、民族或宗教。

• 识别个人随时间和跨网站或在线服务的在线活动的信息。

• 揭示个人作为武装部队成员身份的信息。

• 能够识别上面这些数据的数据类型。

值得注意的是，法案专门就“地理位置信息”做了比ADPPA更进一步的精确界定，明确这些信息是两类：一是源自设备或技术的信息；二是显示个人或设备过去或现在的物理位置的信息，根据这个物理位置信息可以识别或联系到1个或多个人，具有足够的精确度，可以揭示个人或设备的街道级别位置信息，或者在小至1850英尺的范围内确定个人或设备的位置。这一详细程度，意味着相关数据极为敏感，因为它可以密切追踪个人的移动和位置。

这反映了美国政府对“地理位置信息”的极端重视，认为它们和国家安全强相关。正如笔者曾经在之前的一些分析中指出的，美国政策界一直有一种根深蒂固的观点：认为如果美国人，特别是政府官员、军人等重点人物的数据能被中国公司获取，就会极大危害美国的国家安全。

笔者一直认为，对敏感数据作出相对精确的界定，有可能是弥合各国数据规则碎片化，在数据主权前提下最大限度实现一般商业数据自由流动的重要路径，也是有可能实现的路径。理论上，如果三个主要国家或区域能够就哪些是关涉国家安全的“敏感数据”讲清楚甚至列出一个清单，之后取一个公约数达成共识，对这些数据大家都禁止出境或者审查之后才能出境，其他数据则允许自由流动，就有可能解决这个问题。

欧盟的GDPR规定的“敏感数据”是：基因、生物识别和健康数据，以及可被归于某一个人的种族和族裔血统、政治意见、宗教或意识形态信念或某一社群组织的成员关系的个人数据。中国法律没有“敏感数据”这个词，但《个人信息保护法》有“敏感个人信息”的概念，指向“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。如果对比美、欧、中对“敏感数据”的界定，似乎美国这部法案是最宽泛的。当然，这里有一个重大不同：美国的“敏感数据”是针对中国等四个外国对手国家的，并且限于数据经纪人场景，而欧盟和中国的则规范全部数据处理活动，且各国平等、一体适用。

这个法案后面会怎么推进？

法案成功通过了众议院，下一步会被印在国会经典的蓝纸上，由众议院的书记员签署打印后提交到参议院。参议院的议长（美国副总统哈里斯）会根据参院的规则，或者在征求了参院的规则和程序专家（目前是2012年就在国会任职的Elizabeth MacDonough）之后，把法案交给有管辖权的常设委员会。从委员会的事权分配上看，大概率会是参院的商务、科学与交通委员会负责。

实际上，该委员会的主席、来自华盛顿州的民主党参议员Maria Cantwell已经表达了对这个法案的支持。她在法案通过后发表声明说：数据经纪人向美国的外国对手出售美国人最敏感的信息是错误的，损害了美国的国家安全，我对两党在这个保护美国人个人数据，特别是军人的数据不被外国对手利用的法案付出的努力表示欢迎。这样看来，至少这个法案通过常设委员会这一关可能问题不大。

参议院多数党领袖和参院情报委员会主席Mark Warner、参议员Ron Wyden等在这件事上同样比较有话语权的参议员还没有表态。Ron Wyden会是个比较大的变数，因为他也有自己的一个数据保护法案在推进，而且路径和众院通过的这个不太一样。2023年6月14日，他和共和党参议员Cynthia Lummis向参院提交了2023年《保护美国人数据免受外国监视法案》，Marco Rubio、Sheldon Whitehouse、Bill Hagerty、Martin Heinrich等来自两党的议员也参与了共提。Wyden的设想是把出口管制制度嫁接到数据出境上，主要权力给美国商务部，法案本身不规定什么是敏感数据和禁止数据出境的国家，而是让商务部去编制一个敏感个人数据清单和数据出境后“高风险”国家名单，敏感数据如果出口到“高风险”国家，就要获得商务部的许可，这是和管制物项、软件、技术的出口许可类似的审查模式。

要知道Ron Wyden也长期关心数据经纪人问题，也是个想在解决数据经纪人问题上表现和得分的议员，和数据经纪人法案的推手Carthy Rodgers某种程度上是竞争关系。早在2021年4月，Wyden就提出《第四修正案不出售法案》，希望禁止数据经纪人向美国情报、执法机关出售位置数据等个人数据。2022年6月他把2022年“保护美国人数据免受外国监控法案”引入参议院，重点目标之一也是数据经纪人问题。

另外一个重要因素是，参院多数党领袖Chuck Schumer一直在这件事上比较支持Wyden，《第四修正案不出售法案》就是他们两个人一块提的。两人都是民主党的，数据经纪人这个法案的推手Carthy Rodgers是共和党人，虽然Wyden和Schumer在众院商务委员会的民主党同侪表示了对该法案的普遍支持，但这两个参院的民主党大佬不一定会买账。尤其是Schumer作为多数党领袖，掌握是否及何时把法案放到参院全院会议的日程这个重要程序性权力，无形中给法案增添了一些变数。

更何况，平心而论，Rodgers的法案也有自己的问题，同时是Wyden法案相对更有优势的地方。比如它直接硬性规定了外国对手国家和敏感数据，这就让法案少了很多灵活性，以后如果发现要加上其他的外国对手或发现这15种数据之外其他类别的一些数据也要管起来，或者哪天和一些国家关系变好了、发现有些数据不那么敏感了，就比较难办。如果敏感数据到了中、俄、朝、伊之外的第三国，再从第三国转手卖到这四个国家，是法案管不了的一大漏洞。

相较而言，Wyden法案的路径让美国商务部可以像维护实体清单一样维护两个清单（敏感数据清单和高风险国家清单），可以根据时势变化随时增减，身段无疑更加灵活，执行上也更方便。当然Wyden法案也有自己的缺陷，涉及要修改美国的出口管制法，且商务部是否有足够的资质和能力制定敏感数据清单，都是很大的挑战。

但还是那句话，数据经纪人法案在众院的一致通过，是美国联邦数据隐私法迈出的实质性一步。法案反映了美国社会不断凝聚的、对保护美国数据安全和隐私的共识和迫切需求，体现了两党对各方面长期呼吁的数据经纪人带来的数据安全隐患的共同关切，同时也借助了对华示强的地缘政治动力和由此催生的国家安全关切，其在众院的全票通过、迅速通过绝非偶然。

近年来，美国在一步步加强对华数据流动的限制。2018年《外国投资风险审查现代化法案》卡住了中国对美投资场景下的数据传输；2022年商务部ICTS规则加强了对信息通信技术与服务交易伴随的数据传输的审查；对智能网联汽车的数据安全审查会阻断汽车数据的跨境传输（参见；随着对华出口管制力度空前增强，属于管制范围的技术数据出口正在关闭；不久前拜登政府出台数据跨境总统行政令（参见），相当于切断了美国敏感数据的对华跨境传输，其中对数据经纪人数据销售活动的限制，再加上眼前这个有可能成功的国会立法，会堵上数据经纪人这个口子。

种种迹象表明，中美之间似乎至少正在形成一种数据的“单向脱钩”，但在几乎一切皆数据、数据成为国际经贸活动载体和桥梁的今天，这是否符合任何方的利益，尤其是产业和普通民众的利益？正如耶鲁大学蔡中曾中国中心的高级研究员Samm Sacks和佐治亚理工大学网络安全与隐私学院主席Peter Swire在评论拜登限制数据跨境行政令时指出的：对数据（经纪人）销售的新限制，制约了全球商务，但可能对国家安全几乎没有好处，并会损害美国的战略利益；美国把经济收益与国家安全风险错误地对立起来，但事实上美国在海外的经济成功往往有利于国家安全。

这对中国意味着什么，有何启示，同样值得思考。

文末福利：扫码获取“保护美国人数据免受外国对手侵害法案”中文翻译版。