个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购
编者按:
本系列前两篇文章主要关注美、欧在改革或设计外国投资审查制度时,如何看待个人数据的。随着阅读和研究的进行,笔者决定将本系列更名为——个人数据与域外国家安全审查。至于原因,相信本篇文章能给各位看官一个答案。
虽然系列文章更名了,但核心要旨不变:一是理解域外对个人数据流变的立场;二是服务我国企业走出去;三是给国内相关监管制度设计提供借鉴。此前该系列中已经发表的公号文章:
美国时间3月6日,美国总统特朗普发布行政令,基于CFIUS审查,要求北京石基信息技术有限公司剥离其已经完成的对美国公司StayNTouch,Inc.的收购。公号君翻译了该行政令的全文,并在本文章中与大家共享。
一、交易双方基本情况
北京石基信息技术有限公司是一家为酒店、零售业提供管理软件系统方案的中国公司。其公司官网是这么介绍自己的。
而StayNTouch,Inc.是一家提供酒店物业管理SaaS软件的美国公司。通过其提供的软件,酒店顾客可以远程check-in和check-out,并且酒店员工也可以通过其提供的软件平台协调、管理自己的工作。目前,StayNTouch,Inc.在全球范围内管理了超过9万间客房。
从特朗普发布的行政令中,除了简单的一句:
没有提供任何具体的事实和证据。对此,石基公司在发给《华盛顿邮报》的电邮中说道:
二、酒店顾客数据涉及国家安全?
从行政令中看,CFIUS禁止石基已于2018年完成的对StayNTouch,Inc.的收购,主要原因是石基是一家中国公司,StayNTouch,Inc是一家美国公司且掌握了美国人的数据。在行政令中,专门就数据提出了下面的要求:
且从石基的反应来看,此次CFIUS关注的正是个人数据。在【个人数据与域外国家安全审查初探(二):CFIUS实施条例详解】中,公号君分析过,《2018年外国投资风险评估现代化法案》(Foreign Investment Risk Review Modernization Act of 2018, 以下称“FIRRMA”法案),以及美国财政部2020年2月发布的最终版本“CFIUS实施条例”中,掌握敏感个人数据的美国企业是这么界定“敏感个人数据”的:
可用于分析或确定个人财务压力或困境的数据
消费者信用报告数据
申请(健康、专业责任、抵押或人寿)保险时填写的信息
与个人身体、心理或者心理健康状况有关的数据
非公开电子通讯数据
地理位置数据,包括从手机信号塔、WiFi接入点和可穿戴电子设备获得所获得的地理位置数据
生物识别信息,例如指纹和面部扫描
用于生成政府身份证明的数据
与特定个人“保密级别状态”相关的数据
“保密级别”申请表中的数据
基因检测结果
很难看出StayNTouch,Inc.掌握的酒店客户数据,落在上述“敏感个人数据”的范围中。难道是地理位置数据?又或者,美国政府实际上不希望任何中国公司能够访问到美国人的数据?!
行政令
关于北京石基信息技术有限公司收购StayNTouch,Inc.的命令
发布日期:2020年3月6日
基于美国宪法和法律(包括经修正的1950年《国防生产法》第721节(50 U.S.C. 4565),授予我作为美国总统的权力,现做出如下命令:
第1节. 调查结果
a. 有可靠的证据使我相信:(1)北京石基信息技术有限公司是根据中国法律组建的上市公司,(2)其全资直接子公司石基(香港)有限公司(以下统称“购买方”),通过收购StayNTouch,Inc. 的权益,有可能会采取可能损害美国国家安全的行动;且
b. 我认为,除《国防生产法》第721节和《国际紧急经济权力法》(50 U.S.C. 1701et seq.)以外的法律规定,并未为我提供足够和适当的权力来保护国家安全。
第2节.命令和授权的行动
根据本命令第1节中列出的调查结果,酌情考虑《国防生产法》第721节第(f)款中所述的因素,并根据所适用法律(包括第721节)的授权,特此命令:
a. 特此禁止购买方收购StayNTouch的交易,并且禁止购买方拥有对StayNTouch及其资产的任何权益,包括通过购买方自身,以及通过其股东、合作伙伴、子公司、附属公司,直接或间接进行的交易所导致的所有权;
b. 为了执行该命令,在该命令发布日期的120天之内,除非该日期被延长(延长期限不超过90天),基于美国外国投资委员会(CFIUS)以书面形式可能施加的条件为准,购买方应剥离对下列对象的所有权益:
StayNTouch;
StayNTouch的资产、知识产权、技术、数据(包括由StayNTouch管理和存储的客户数据)、人员和客户合同;和
由StayNTouch在收购之时或之后直接或间接开发、持有或控制的任何运营。
撤资后,购买方应立即以书面形式向CFIUS证明撤资已根据该命令进行,并且已经完全履行了为完整、永久放弃收购StayNTouch交易所必需的所有步骤。
c. 从该命令发布之日起直至完成撤资并经CFIUS核实为止,购买方应避免,并应确保其任何子公司或附属机构均不得,通过StayNTouch访问酒店客人的数据。在该命令发布之日后的7天之内,购买者应确保所采取的控制措施就位,以防止任何此类的数据访问,直到撤资完成并经CFIUS核实为止。
d. 购买方不得为执行本命令第2节b小节要求,完成向任何第三方的出售或转让:
直到购买方将预期的接收者或买方以书面形式通知CFIUS为止;且
在通知送到CFIUS之起的10个工作日内,CFIUS未向购买方发出异议。
CFIUS在审查拟议的出售或转让中可能考虑的因素是买方或受让人:是否为美国公民还是美国公民所有;是否与购买方或其雇员或股东,有直接或间接的合同、财务、家庭、雇佣关系或其他密切连续的关系;以及,买方或受让人可以证明其有愿意并有能力遵守该命令。此外,CFIUS可能会考虑提议的出售或转让是否会威胁到美国的国家安全或破坏该命令的目的。
e. 自该命令发出之日起,直到购买方根据本节b小节向CFIUS提供撤资证明为止,购买方和StayNTouch均应每周向CFIUS证明其遵守该命令,证明应包括对剥离StayNTouch的努力的描述,以及预计完成剩余动作的时间表。
f. 禁止为逃避或规避该命令而达成或使用任何交易或其他工具。
g. 在不限制任何机构根据其他法律规定行使职权的前提下,并且在撤资完成并得到CFIUS满意的核实之前,CFIUS被授权执行其认为必要和适当的措施以核实遵守此命令的情况,并确保StayNTouch的运营以确保美国国家安全利益不受侵害的方式进行。此类措施可能包括以下内容:在合理通知购买方和StayNTouch的情况下,为验证是否遵守此命令,应允许CFIUS指定的美国政府雇员进入或访问,StayNTouch在美国的所有场所和设施,以:
检查和复制与购买方或StayNTouch拥有或控制的任何与该命令有关的任何账目、帐户、书信、备忘录和其他记录和文件;
检查或审计购买方或StayNTouch拥有或控制的任何信息系统、网络、硬件、软件、数据、通信或财产;和
就与本命令有关的任何事宜,采访购买方或StayNTouch的官员、员工或代理商。
CFIUS应在购买方根据本节b小节向CFIUS提供撤资证明后的90天内,结束其上述核验程序。
h. 如果本命令的任何规定,或本命令中的任何规定对任何人或情况的适用,被认为无效,则本命令的其余部分,以及本命令其他规定对任何其他人或情况的适用均不受影响。从而。如果由于缺乏某些程序要求而使本命令的任何规定或对任何人的适用无效,则相关行政部门的官员应落实这些程序要求。
i. 总检察长被授权采取任何必要的步骤来执行该命令。
第3节.保留
我在此保留当我认为出于保护美国国家安全所必需时对购买方和StayNTouch发出进一步命令的权力。
第4节.出版和传递
a. 该命令应在《联邦公报》上公布。
b. 我谨指示财政部长将本命令的副本转递至本命令第1节中指定的有关各方。
唐纳德·特朗普
白宫
2020年3月6日
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点