个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看
编者按:
本系列前两篇文章主要关注美、欧在改革或设计外国投资审查制度时,如何看待个人数据的。随着阅读和研究的进行,笔者决定将本系列更名为——个人数据与域外国家安全审查。至于原因,相信本篇文章能给各位看官一个答案。
虽然系列文章更名了,但核心要旨不变:一是理解域外对个人数据流变的立场;二是服务我国企业走出去;三是给国内相关监管制度设计提供借鉴。此前该系列中已经发表的公号文章:
今天这篇文章将关注美国《2019年安全与可信通信网络法案》。2019年12月中旬,美国众议院通过该法案。2020年2月底,美国参议院也通过了该法案。待特朗普签署后,该法案就将生效。
该法案的核心内容,归纳起来就是一个要求:对于美国联邦通信委员会(FCC)列入的通信设备或服务,《2019年安全与可信通信网络法案》作出了如下禁令:
禁止由美国联邦通信委员会所管理项目中提供的联邦补贴,如果该补贴是用于提供高级通信服务所必需的资金花销,用于:
购买、短期租赁、长期租赁,或以其他方式获得被列入的通信服务或设备;或
继续使用之前通过购买、短期租赁、长期租赁,或以其他方式获得的通信服务或设备。
除了上述这个禁令之外,公号君更加关注的是在这个法案中,美国如何认定对“美国国家安全”(the national security of the United States)或“美国人安全和保障”(the security and safety of United States persons)造成“不可接受的风险”(unacceptable risk)的通信设备或服务(communications equipment or services)。以下是《2019年安全与可信通信网络法案》重点条文解析:
第一个条件,这样的通信设备或服务,应至少具备以下三个功能或能力中的一个:
能够路由或重新定向用户的数据流量,或能针对其所传输或处理的用户数据或网络数据包提供可见化的功能(routing or redirecting user data traffic or permitting visibility into any user data or packets that such equipment or service transmits or otherwise handles);
能够远程导致高级通信服务提供商的网络被破坏(causing the network of a provider of advanced communications service to be disrupted remotely);或
能够以其他方式对“美国国家安全”或“美国人安全和保障”造成“不可接受的风险”(otherwise posing an unacceptable risk to the national security of the United States or the security and safety of United States persons)。
第二个条件,这样的通信设备或服务,基于以下一个或多个认定,将对“美国国家安全”或“美国人安全和保障”造成“不可接受的风险”:
由任何具备合适的国家安全专业知识的行政部门联席机构,包括根据美国法典第41章1322节第a款所建立的联邦采购安全委员会,所作出的特定的认定(A specific determination made by any executive branch interagency body with appropriate national security expertise,including the Federal Acquisition Security Council established under section 1322(a) of title 41, United States Code.);
由美国商务部根据第13873号行政令所作出的特定的认定(A specific determination made by the Department of Commerce pursuant to Executive Order No. 13873 (84 Fed. Reg. 22689; relating to securing the information and communications technology and services supply chain));
属于《2019年财政年度约翰·S·麦凯恩国防授权法案》第889节第(f)款第(3)项所辖的通信设备或服务(The communications equipment or service being covered telecommunications equipment or services, as defined in section 889(f)(3) of the John S. McCain National Defense Authorization Act for Fiscal Year 2019 (Public Law 115–232; 132 Stat. 1918));或
由具备合适的国家安全机构所做的特定的认定(A specific determination made by an appropriate national security agency)。
美国联邦通信委员会(FCC)应当跟踪上述四方面判断的作出或变更的情况,以随时将特定的通信设备或服务放入其维护的列表中,并随时在FCC的网站上公布或更新。
注:根据《2019年安全与可信通信网络法案》,合适的国家安全机构包括:国土安全部、国防部、国家情报总监办公室、国家安全局、联邦调查局。
让咱们看上文条件二中所罗列的认定(determinations)。第1项和第3项都是关于政府机关的。特别是第3项,直接指向了中国和部分中国企业。公号君截图提供如下:
上文条件二中所罗列的第2项认定,就是公号君在上一篇文章中所讨论的《确保信息通信技术与服务供应链安全》行政令(Executive Order on Securing the Information and Communications Technology and Services Supply Chain)。【详见:个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》 看】
到此,综合本系列的其他文章,可以得到如下总结:
首先,美国政府对ICT设备或服务的国家安全风险认定,包含微观层面和宏观层面。
微观层面:一是,能够路由或重新定向用户的数据流量,或能针对其所传输或处理的用户数据或网络数据包提供可见化的功能;二是,能够远程导致高级通信服务提供商的网络被破坏。以上两个风险均关注设备或服务对其所服务的用户,或对其所嵌入的网络,所产生的直接风险。
宏观层面:一是,对美国境内的信息通信技术或服务的设计、完整性、制造、生产、分配、安装、运营或维护构成破坏或颠覆的不当风险【注:这一条并不必然是指设备或服务对其所服务的用户,或对其所嵌入的网络,而是包含更广的范围】;二是,对美国关键基础设施或美国数字经济的安全性或复原能力造成灾难性影响的不当风险。
同时,微观层面和宏观层面都有非常宽泛的兜底条款——以其他方式对“美国国家安全”或“美国人安全和保障”造成“不可接受的风险”。
其次,一旦被认定为能够造成“不可接受的风险”,美国目前的法律框架将禁令拓展为三个层面。
第一层,当然是政府机关自己不能采用上述ICT设备或服务。
第二层:联邦资金不能用于购买、短期租赁、长期租赁,或以其他方式获得上述ICT设备或服务。
第三层:任何受美国法管辖的个人或实体,不得获取、进口、转让、安装、买卖或使用上述ICT设备或服务。
至此,美国已经构建出一个非常完整的体系,全面禁止其认定为对美国国家安全或对美国人的安全和保障,造成不可接受风险的ICT设备或产品。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点