2019年11月初，美国外国投资委员会（Committee on Foreign Investment in the United States,“CFIUS”)启动了对TikTok母公司北京字节跳动科技公司收购美国社交媒体Musical.ly交易的国家安全审查，而值得注意是，这笔交易早在2017年底就已完成。相关媒体引用知情人士的消息称，此次调查主要是基于其数据收集方面的问题。[1]

无独有偶，2019年11月18日，美国国会共和党参议员Josh Hawley向参议院提交了关于数据保护与传输的《国家安全与个人数据保护法提案》（National Security and Personal Data Protection Act of 2019， “NSPDPA”）[2]。该提案引言部分指出，其宗旨是“通过实施数据安全要求和加强对外国投资的审查，保护美国人的数据不受外国政府的威胁。”[3]尽管，NSPDPA 是否及何时能通过尚不能确定，但其内容已引起了境内外互联网及科技企业的极大关注。如果最终通过，将对企业数据合规提出更高要求和挑战。

借此机会，我们认为有必要总结并评述一下美国的数据立法，一方面以备应对美国不时发起的审查与调查，另一方面美国的相关立法也对我国数据保护立法有借鉴意义。美国目前尚没有联邦层面的数据保护统一立法，数据保护的立法多按照行业领域分类。基于此，我们将在本篇先简要介绍与数据保护立法域外影响直接相关的立法和提案。此后，我们将陆续按照不同的领域对其数据立法和域外影响进行介绍和分析。

一、美国数据保护相关的法案（或提案）[4]

二、《国家安全与个人数据保护法提案》（National Security and Personal Data Protection Act of 2019， “NSPDPA”）

NSPDPA提案于2019年11月18日由参议员Josh Hawley提交至参议院商业、科学和运输委员会审议，该提案目前得到了国会共和党参议员Tom Cotton和Marco Rubio的支持，尚在参议院审议阶段。NSPDPA提案共分为六个部分，包含其拟管制对象及数据类型等的界定、对特别公司收集储存数据的特殊规定、处罚规则、特定交易的审批要求等。以下，简要介绍其管制对象和相关限制。

1. NSPDPA提案针对的管制对象

根据NSPDPA提案的说法，其立法目的是为了维护美国人（公民及居民）的数据免受来自外国政府的安全威胁。由此，NSPDPA明确将其管制对象锁定在特定的“受管辖科技公司”（Covered Technology Company），这些公司的确定将于法案通过后由美国国务卿（Secretary of State）制定相关程序来确定（或移除）。原则上，受管辖科技公司应该是在“有疑虑国家”（Country of Concern）成立的，受到有疑虑国家或有疑虑国家公民控制的，和可能受有疑虑国家管辖需要将有关数据提交的实体。具体而言是指在美国州际或者对外贸易中提供基于数据的在线服务的网站或互联网应用公司等，且该公司是依据“有疑虑国家”的法律成立的公司或其子公司；或“有疑虑国家”的公民或公司持有控股权的公司及其子公司；或需要受“有疑虑国家”法律管辖以使得“有疑虑国家”可以获得美国公民或居民的用户数据且不需要提供与美国宪法相当程度的隐私保护的公司。

至于所谓的“有疑虑国家”，目前在NSPDA中列名的只有两个：中国和俄罗斯，其他国家将在法案通过用由国务卿根据一定的原则（考察其法律、政策及实践中对数据隐私和安全的保护）来确定。

2. NSPDPA提案对“受管辖科技公司”的特别要求[6]

这一部分内容是提案的核心，其对受管辖科技公司的数据收集行为设置了一系列的特别规定，具体包括：

A. 最小化原则

“受管辖科技公司”收集的用户数据不得超过其网站、服务或应用程序运行所需的数据。

B. 禁止次级利用

“受管辖科技公司”不得利用用户数据向其提供定向广告、与第三方不必要地共享数据或不必要地促进面部识别技术。

C. 用户删除权及访问权

“受管辖科技公司”需允许用户访问其数据，或者直接或间接的永久删除其数据。

D. 传输限制

所有提供基于数据的在线服务公司（包括“受管辖公司”）不得将任何用户数据或解密该数据所需的信息(如加密密钥)直接或间接的传输到任何“有疑虑国家”。

E. 数据存储

“受管辖科技公司”不得将收集的美国公民或居民的数据或解密信息,如加密密钥，储存在美国之外的服务器或数据存储设备上。

F. 报告义务

“受管辖科技公司”的高管每年至少向司法部及其他相关部门提交一份报告，证明是否符合本条规定。

从中国公司的角度来看，NSPDPA提案较其他数据保护法案而言，值得关注的主要有两点。一是，提案对于美国用户数据出境，尤其是传输至中国进行明确的限制，而其定义的“提供基于数据的在线服务的实体”实际非常广泛，大部分互联网企业都可归入其管制范围。如此提案通过，对于大部分中国互联网企业，如业务涉及收集美国用户数据，可能都不得不通过在境外设立实体、进行数据“本地化”、建立数据隔离机制等方式达到合规要求。二是，法案定义并限制了基于数据的定向广告和人脸识别技术，这两种技术目前的应用实际非常广泛，尤其是基于用户信息及搜索习惯的数据进行定向广告的投放，已经是一种非常成熟的商业模式。而人脸识别技术目前是许多互联网企业关注和发展的方向，目前主要用于身份验证，在银行业务及许多支付类软件中都有普遍的应用。如果NSPDPA提案最终通过，相关企业将需要依据数据来源区分其商业策略，分别制定符合不同地域法律的合规制度。

三、《澄清海外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act，“CLOUD Act”）[7]

介绍此法案前，首先提出一个问题。2018年初，苹果将中国内地用户的 iCloud 服务转由云上艾珀（贵州）技术有限公司（“云上贵州”）运营。在启动iCloud服务时用户的个人内容（如联系人、日历、照片、笔记、提醒、文件、应用程序数据和iCloud 电子邮件）将自动发送给云上贵州并由云上贵州存储。[8]那么，如果美国政府要求苹果公司将中国内地用户储存在iCloud中的数据提供给美国政府，苹果是否要配合，是否可以以此做法会违反中国法律的要求来抗辩？

实际，CLOUD Act的出台主要目的之一就是解决以上问题。彼时，一个颇有争议的案件是美国政府与微软就域外数据采集的争议。2013年，在调查一起贩毒案件时，美国纽约州南区法院向微软签发了搜查令，要求微软提供某用户的所有邮件和信息。该用户的信息存储在美国的服务器上，但邮件却储存在爱尔兰的服务器上。微软以美国政府无权要求美国公司提供储存在美国境外的数据为由向纽约州南区法院起诉要求确认搜查令无效。[9]该案历经联邦地区法院、上诉法院和最高院。最终，在最高院审理该案过程中， CLOUD Act由美国总统签字生效，美国最高院依据CLOUD Act§103(a)(1) “无论网络服务提供商的通信内容、记录或其他信息是否存储在美国境内，只要该网络服务提供者拥有、控制或监管上述内容、记录或信息，均需要按照该法令的要求保存、备份、披露”。[10]裁定该案件已不具有实质争议（即，微软需要披露相关数据），驳回了微软的诉讼请求。

CLOUD Act在2018年2月由共和党和民主党的四名参议员联合提出，在2018年3月23日就迅速经美国总统特朗普签署生效。之所以称之为《澄清海外合法使用数据法案》，是因为CLOUD Act是对美国1986年出台的《电子通信隐私法》（Electronic Communications Privacy Act）的修订，所要澄清的内容就是：“美国法律要求受美国管辖的网络服务提供商披露相关数据，响应美国法律程序，无论公司将数据存储在何处”。[11]根据美国司法部发布的《The Purpose and Impact of the CLOUD Act》[12]，CLOUD Act的核心目的是为了应对日益严重恐怖主义、暴力犯罪、网络犯罪等进一步优化外国政府和美国政府通过网络服务提供商调取重要的数据信息的程序。以下，从两个方面简要介绍CLOUD Act的相关规定。

1. 关于美国政府通过网络服务商调取储存在外国的数据的规定

根据CLOUD Act，美国的网络服务提供商默认应向美国政府披露其控制的数据，只有符合特定条件时才可以申请披露豁免且法院将综合考虑各种因素决定准予。

A. 通信记录保存和披露

无论网络服务提供商的通信内容、记录或其他信息是否存储在美国境内，只要该网络服务提供者拥有、控制或监管上述内容、记录或信息，均需要按照该法令的要求保存、备份、披露。

B. 披露豁免申请

如果网络服务提供商合理的认为1）其目标用户非美国人确认且不在美国居住；和2）披露该信息使其有违反“符合资格的外国政府”的法律的风险。则可以依照程序提出披露豁免申请。

C. 法院批准披露豁免的考虑因素

网络服务提供商提出披露豁免申请后，法院还需要结合“整体情况”做出是否给予其豁免的判断。考虑因素分为八项，主要是考虑美国的利益、外国政府可能因披露受到的损失、披露要求对网络服务提供商造成的困难、目标用户的国籍及其与美国和外国政府的关联性、及时披露可以减少的负面影响等。

2. 关于外国政府通过网络服务商调取储存在美国的数据

外国政府若想调取储存于美国的数据，首先需要该国是CLOUD Act定义的“符合资格的外国政府”，其次还需要满足其他细节性的限制条件。

A.“符合资格的外国政府”（Qualifying Foreign Government）

根据CLOUD Act规定，只有“符合资格的外国政府”才可以申请通过网络服务商调取美国的数据。

CLOUD Act认定的“符合资格的外国政府”首先需要与美国签订双边协定，符合条件的国家应该有在隐私和公民权利方面有实质的和程序的立法。而评估是否有相应的立法应从两点考虑：一是，看该国家是否为《网络犯罪公约》(Cyber Crime Convention)的缔约方（目前《网络犯罪公约》共有64个缔约国，中国不在列[13]）。二是，该国家国内法有与《网络犯罪公约》第一、二章[14]一致的条款。此外，还要考虑该国家是否尊重法律及非歧视原则以及是否尊重人权、是否有足够的数据保护的机制、是否促进全球信息自由流动和互联网开放。

B.“符合资格的外国政府”调取令的限制

仅是“符合资格的外国政府”并不足以使得该外国政府有调取数据的权利，CLOUD Act对外国政府实际的调取行为有非常多的限制。只有当满足其所有要求时，美国政府才会配合提供。具体包括：

1）外国政府不得专门针对美国人或在美国的人，应有特定的程序保证这一要求；

2）外国政府不得以获取在美国或在美国的人的信息为目的，有针对性的调查非美国人或美国以外的人；

3）国外政府不必应美国政府或第三方政府的要求，抑或以获取向其提供信息为目的发出调取令；

4）外国政府的调取令应符合以下要求

a. 获取资料的目的是为了预防、调查、侦查、起诉较严重的罪行（包括恐怖主义）；

b. 确定具体的人、账户、地址或个人设备或与调取令有关的其他具有辨识性的信息；

c. 符合并依据其本国法律；

d. 应有合理理由，且基于事实、法律和行为严重程度；

e. 应适用于法院、法官或其他独立机构的审查；

f. 如果该调取令阻断了某些数据传输，则需要明确期限，且证明没有其他合理的渠道达到目的；

5）调取令不得侵犯言论自由；

6）按照协议约定审查搜集到的数据，将数据存储在安全的系统上；

7）对获取的信息采取隔离措施，除非该等信息与严重犯罪有关；

8）不散播美国人与美国政府的沟通信息，除非与严重犯罪有关；

9）提供对等的数据访问的权利；

10）定期审查条款的遵守情况；

11）美国政府保留权利停止外国政府的某项调取令。

从CLOUD Act出台的背景可以看出，其主要目的是解决政府从数据占有方调取数据的问题。这一问题在美国由来已久，行政机关一般通过申请传票来调取所需数据，而私人公司往往因保护个人隐私及维护公司声誉考虑不愿提供。从某种程度上说，CLOUD Act对网络服务提供商夹在执法机构和用户之间的两难境地有一定帮助。回到iCloud的问题，不难看出，由于中国不是CLOUD Act 所定义的“符合资格的外国政府”，且苹果公司拥有对云上贵州储存的数据的控制权，因此如果美国政府要求苹果提供储存在云上贵州iCloud的数据，苹果可能无法申请披露豁免。

综上，尽管《国家安全与个人数据保护法提案》目前尚在立法最初阶段，最终通过还需要经过参议院与众议院通过，总统签字。但其通过后对数据跨境传输产生的影响将非常广泛，相关企业确有必要提前进行商业布局和相关合规机制的建立，以避免届时可能对业务产生的严重影响。《澄清海外合法使用数据法案》则是明确了政府在调取用户数据时需要遵守一定的规则，其主要涉及政府发起的跨境数据传输，中国企业了解其中的内容有助于应对美国政府提出的数据调取要求。

附相关法规的下载链接:

《澄清海外合法使用数据法案》（Clarifying Lawful Overseas Use ofData Act，“CLOUD Act”）

http://www.lifanglaw.com/uploads/tmp/CLOUD.pdf

《国家安全与个人数据保护法提案》（National Security and Personal DataProtection Act of 2019，“NSPDPA”）

http://www.lifanglaw.com/uploads/tmp/NSPDPA.pdf

注释：

[1]https://www.reuters.com/article/us-tiktok-cfius-exclusive/exclusive-us-opens-national-security-investigation-into-tiktok-sources-idUSKBN1XB4IL

[2]https://www.congress.gov/bill/116th-congress/senate-bill/2889/text?r=1&s=2

[3]“To safeguard data of Americans from foreign governments that pose risks to national security by imposing data security requirements and strengthening review of foreign investments, and for other purposes.”

[4]https://fas.org/sgp/crs/misc/IF11207.pdf

[5]https://www.schatz.senate.gov/press-releases/schatz-leads-group-of-16-senators-in-reintroducing-legislation-to-help-protect-peoples-personal-data-online

[6]NSPDPA SEC. 3. DATA SECURITY REQUIREMENTS FOR COVERED TECHNOLOGY COMPANIES.

[7]https://www.justice.gov/dag/page/file/1152896/download

[8]https://www.apple.com/legal/internet-services/icloud/cn_si/gcbd-terms.html

[9]https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States

[10]https://www.supremecourt.gov/opinions/17pdf/17-2_1824.pdf

[11]https://en.wikipedia.org/wiki/CLOUD_Act

[12]https://www.justice.gov/dag/page/file/1153436/download

[13]https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures?p_auth=6BTyfyHl

[14]Chapter I – Use of terms（Article 1 – Definitions）；Chapter II – Measures to be taken at the national level（Article 2 – Illegal access; Article 3 – Illegal interception; Article 4 – Data interference; Article 5 – System interference; Article 6 – Misuse of devices; Article 7 – Computer-related forgery; Article 8 – Computer-related fraud; Article 9 – Offences related to child pornography; Article 10 – Offences related to infringements of copyright and related rights; Article 11 – Attempt and aiding or abetting; Article 12 – Corporate liability; Article 13 – Sanctions and measures; Article 14 – Scope of procedural provisions; Article 15 – Conditions and safeguards; Article 16 – Expedited preservation of stored computer data; Article 17 – Expedited preservation and partial disclosure of traffic data; Article 18 – Production order; Article 19 – Search and seizure of stored computer data; Article 20 – Real-time collection of traffic data; Article 21 – Interception of content data; Article 22 – Jurisdiction）

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。