涉外法律 | 美国数据跨境活动相关规范

美国在数据跨境活动方面直接相关的法案主要有《澄清海外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act，以下简称“CLOUD Act”)和《2019国家安全和个人数据保护法案》(National Security and Personal Data Protection Act of 2019，以下简称“NSPDPA”)。CLOUD Act旨在修订1986年生效的《存储通信法》(Stored Communications Act，SCA)，以改善美国调查人员获取服务提供者持有的境外数据的程序以及外国执法机构调取美国境内数据的程序;NSPDPA旨在禁止向威胁美国国家安全的国家传输和存储数据。目前CLOUD Act已经生效，而NSPDPA仍处在“提交至商业、科学和运输委员会”的阶段(Read twice and referred to the Committee on Commerce, Science, and Transportation)，尚未生效。

CLOUD Act的立法背景

在微软诉美国政府一案中，FBI希望通过SCA中规定的调查令获得一名美国公民的数据，该数据储存在微软位于爱尔兰的服务器上，但微软拒绝提供数据，理由是SCA未明确美国政府的搜查令是否能要求通信服务提供者提交存储在境外的数据，因此坚持认为SCA的效力不能延伸到存储地在美国境外的数据。

而CLOUD Act于2018年3月23日生效，对上述争议问题进行了明确。该法对SCA进行了修订，允许联邦政府强制调取服务提供者的数据，无论这些数据是否储存在美国境内。CLOUD Act否定了以数据存储位置认定数据主权的判断标准，确立了以服务提供者的控制权认定数据主权的新体系。

CLOUD Act的生效对微软与FBI之间的争议提出了解决方法，美国最高法院据此认定微软需要向FBI披露相关数据。

CLOUD Act关于调取企业境外数据的主要内容

CLOUD Act规定，受美国法律约束的服务提供者，如在美国开展业务的实体(包括在美国子公司的外国实体)，无论通信、记录或其他信息是否存储在美国境内，服务提供者均应当按照规定的义务要求保存、备份、披露或根据SCA 获得授权令和法院命令提供通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有(possession)、监管(custody)或控制(control)。该法案适用于受美国管辖的所有电子通信服务或远程计算服务提供商，包括电子邮件提供商、电信公司、社交媒体网站和云提供商，无论它们是在美国还是在其他国家设立的。这意味着任何在美国设有办事处或子公司的外国公司都受CLOUD Act的约束。

CLOUD Act也规定了，网络服务提供者若认为目标对象不是美国人(the United States Persons)且不在美国居住，同时认为披露数据可能给服务提供者带来违反“符合资格的外国政府”(qualifying foreign governments)立法的实质性风险，则可提出撤销或修正法律流程的动议。

撤销或修正法律流程的动议提出后，有管辖权的法院应进行审查并给予政府部门回应的权利。法案规定了法官应考虑的几个问题：一是美国政府的利益，包括寻求信息披露的具体政府组织在调查方面的权益;二是符合资格的外国政府在避免其法律禁止的内容披露方面的利益;三是不同的法律要求对服务提供者或其雇员带来处罚的可能性、范围、性质;四是相关数据对应的用户所处的地点和国籍及其与美国和其他国家的联系(如有);五是网络服务提供者与美国的联系及存在于美国的性质和程度;六是要求披露的信息对调查的重要性;七是及时有效地获取所需要披露的信息的手段造成消极后果的可能性;八是当调取请求是由代请求刑事协助的外国政府提出时该外国政府的调查权益。(详见CLOUD ACT SEC. 103(b))

另外，CLOUD Act不允许执法机构自由访问企业存储的数据。执法部门只有满足美国法院签发调查令的严格法律标准，才能强制服务提供者提供相应数据。美国法律针对调查令的签发设置的标准是，要求独立法官得出结论，执法部门有合理理由请求提供信息，所要求的信息直接与犯罪有关，并且请求是明确、准确和按适当比例提出的。

NSPDPA数据跨境传输规定

NSPDPA针对重要的数据收集、使用、传输和存储制定了严格的规则。虽然NSPDPA尚未正式生效，但其核心内容可供中国企业参考，提前做好合规方面的准备工作。

NSPDPA将中国、俄罗斯和其他国务卿认定的国家列为可能威胁美国国家安全的“相关国家”(Country of Concern)，将提供跨美国州或跨国的在线数据服务的、跟有关国家有实质关联的科技公司列为“相关科技公司”(Covered Technology Company)。

对于相关科技公司，NSPDPA提出了六项数据安全要求(详见NSPDPA SEC.3)：

(1)数据收集最小化。相关科技公司只能收集其网站、服务、应用程序运营所必须的数据，不得收集更多的用户数据;

(2)禁止二次利用。相关科技公司不得将根据第(1)款收集的任何用户数据用于网站、服务、应用程序运营以外的其他途径，包括提供定向广告、非必要地与第三方共享或非必要地用于人脸识别技术;

(3)个人享有查看和删除数据的权利。相关科技公司应允许个人查看公司持有的该个人的相关数据，并根据该个人的要求永久地删除公司持有的、直接或间接收集的任何用户数据;

(4)禁止向相关国家传输数据。相关科技公司不能向相关国家传输(包括通过非相关国家的第三国简介传输)用户数据或用于解密用户数据的信息(如加密秘钥);

(5)数据储存要求。相关科技公司不得将所收集的美国公民或居民的数据或用于解密用户数据的信息储存在美国或与美国有相关协议、通过法律规定的程序共享数据的国家之外的服务器或数据储存设备上;

(6)报告要求。相关科技公司的CEO或同等级别高管应当以至少每年向联邦贸易委员会等有关部门提交一份报告以证明公司符合上述要求。

从CLOUD Act的主要内容来看，只要数据为在美国开展业务的实体企业所持有，美国政府则可直接调取，而是否符合规定的不予提供数据的例外情形，亦是由美国法院进行裁决，可以说该法案加强了美国获取数据尤其是其他国家数据的权力。NSPDPA则直接将我国列为“可能威胁美国国家安全”的相关国家，该法案一旦生效，势必对中美数据跨境活动进行更严格的规制。目前我国已通过《网络安全法》、《数据安全法》等法律、规范及国家标准对数据出境及数据跨境调取活动在制度上进行明确。同时，中国企业在美国的子公司亦应做好合规工作，积极应对数据管控，维护我国国家安全、数据安全。