Thomas Wan
~~ 北美跨境資料管制規則將於 4/8 生效 ~~
DOJ issue new cross border data transfer rule --
美利堅合眾國雖然遲遲沒有聯邦等級的個人資料保護法, 但已經有了50州的的州級隱私保護法.
雖然美國與歐盟之間的跨境資料隱私保護協定--被視為是對歐盟GDPR的適足性認定, 但昨天(4/1)歐盟正召開會議重新檢討, 肇因於美國應允歐盟, 在美國設立的上位監督獨立機構的預算人力, 被川普砍到只剩一人.
若是這樣以為美國因此沒有跨境資料傳輸管理規定, 這是一個誤解.
白宮基於國家安全需要, 責成司法部(DOJ)的國安部門, 在今年1月的時候由公布了美國資料跨境規則 (DOJ Cross Data Transfer Rule), 美國司法部 (DOJ) 關於跨境資料交易的全面新規生效,這將對美國個人資料或政府相關資料轉移到海外的公司產生廣泛影響。
-------
美國司法部(DOJ)針對跨境資料交易頒布的一項全面新規定將於4/8大部分生效,對於將美國個人資料或政府相關資料傳輸至國外的企業將產生深遠影響。司法部於2025年1月8日發布該新規定——《防止關切國家或受限人員存取美國敏感個人資料與政府相關資料規則》(以下簡稱「本規則」),該規則嚴格禁止某些特定類型的數據傳輸至美國境外,並對更廣泛範圍的跨境交易施加詳細的隱私保護、資安和資料與數據治理限制。
從上位層次來看,本規則禁止或限制美國個人或實體與「關切國家」(包括中國)或「受限人員」(例如由關切國家控制50%以上的外國實體)進行涉及大量美國敏感個人資料或政府相關數據的交易。本規則採用了新穎且潛在涵蓋範圍廣泛的定義,因此將對在國際上進行商業交易的美國企業產生廣泛影響。
本規則的大部分條文將於2025年4月8日生效,而關於資料跨境傳輸盡職調查(Due Diligence)、資料跨境傳輸稽核與申報的要求將於2025年10月6日生效。因此受影響的企業與個人必須評估此新規的影響並制定法遵/合規策略。
1. 什麼是「關切國家」?
本規則將以下國家列為「關切國家」:中國(包括香港和澳門)、古巴、伊朗、北韓、俄羅斯與委內瑞拉。雖然這是當前名單,但司法部可在獲得國務卿與商務部長同意後,未來擴充或修改該名單。
2. 誰是「受限人員」? (受規範主體)
本規則參考了財政部海外資產控制辦公室(OFAC)的「50%原則」,對「受限人員」做出廣泛定義,包括但不限於:
a. 根據關切國家法律設立或總部設於關切國家的法人;
b. 由一個或多個「關切國家」或「受限人員」直接或間接持有50%以上股權的法人(例如中國公司持有的法國企業);
c. 長期居住於關切國家的外籍個人,或為關切國家或受限法人的工作的員工或承包商(不論其國籍或出生地);
(這點跨台美中三角貿易的台灣人或台灣人到中國成立的公司要非常謹慎了)
d. 被司法部長指定為受限人員的個人或實體,以及其50%以上擁有的子公司。
3. 規則涵蓋哪些資料客體?本規則涵蓋兩大類資料:
a. 政府相關資料
* DOJ所列「政府相關地理位置清單」內的精確地點資料;
* 與美國政府人員(包括軍事與情報單位)相關連的敏感個人數據(無需達到「大量」標準亦適用)。
b. 一定數量的美國敏感個人數據
敏感個人數據包括六大類:
* 個人識別碼
* 精確地理定位資訊
* 生物辨識資料
* 人類基因體/蛋白組資料
* 個人健康資料
* 個人財務資料,或這些資訊的任意組合
其定義與其他美國或國際上其他國家的個資隱私法規有所不同,企業需詳細評估是否受本規則限制條件。這類資料僅在超過特定「大量」門檻時適用本規則。
4. 此新規則影響哪些交易?
本規則為「受規範資料交易」建立了新的監理架構,這些交易包括任何讓關切國家或受限人員存取政府相關資料或一定數量敏感個人數據的行為,且交易類型涵蓋:
a. 資料經紀交易(data brokerage);
b. 供應商協議;
c. 僱傭協議;
d. 投資協議。
「資料經紀」定義廣泛,包括資料的銷售、授權或類似的商業轉讓,即便收受方並未直接從資料主體收集或處理該資料,也可能被涵蓋 (就是間接收集啦)。
此規則這比2024年通過的《防止敵對外國取得美國人數據法》(PADFA)更為廣泛。
5. 哪些交易是被嚴格禁止 (Prohibited)的?
a. 涉及將一定數量敏感個人資料或政府相關資料進行數據經紀交易給關切國家或受限人員;
b. 將資料經紀交易提供給任何外國人(即便非關切國家或受限人員),若未採取合約與報告機制來防止資料進一步流向關切國家或受限人員;
e. 提供關切國家或受限人員存取大量人類組學資料或人類生物樣本;
f. 任何規避、協助他人規避或意圖違反本規則的行為。
6. 哪些交易是受限制的 (limited)?需遵守哪些限制?
「受限制交易」包括與關切國家或受限人員進行的供應商協議、僱傭協議或投資協議。這些交易需遵守:
a. 網路安全與基礎設施安全局(CISA)所規定的系統層級、資料層級與組織層級的安全要求;
b. 盡職調查、審計、記錄儲存與報告義務。
7. 哪些交易可獲得豁免?
本規則列出若干豁免類別,包括(部分與OFAC制裁豁免重疊):
* 個人社交通訊;
* 資訊或資訊材料;
* 旅遊;
* 除資料經紀交易以外的普通電信服務相關資料交易;
* 已受CFIUS(美國外資審查委員會)限制條件的投資協議;
(就是被美國投審會審過限制條件的投資協議啦)
* 金融服務; (台灣銀保證券不用擔心)
* 企業內部資料移轉;
* 藥品、醫療器材與生物製劑授權;
* 受美國食品藥物管理局(FDA)監管的臨床試驗;(已經被管了)
* 根據聯邦法律要求之交易(如國際民航);
* 美國政府官方行動。(政府做莊, 總不能罰自己)
8. 是否有申報義務?
本規則設有廣泛的申報義務,包括所有實體在司法部要求下需提供報告;
a. 涉及雲端服務的受限制交易需提交年度報告;
b. 若美國人收到一項被禁止的資料經紀交易提議並予以拒絕,也須報告(與OFAC拒絕交易的規定類似)。
9. 本規則如何執行?
司法部擁有本規則的執行權,可調查潛在違規行為,並具備召開聽證會、傳喚證人與文件的權力。違規者可能面臨民事與刑事處罰,包括罰鍰與監禁。
10. DOJ會提供其他指引嗎?
本規則類似OFAC的授權制度,包括:
a. 一般授權(General License):針對低風險或行業共通的交易,司法部可主動發布一般授權,免除單獨申請。
b. 特定授權(Specific License):企業可向司法部申請特定授權,用於原則上被禁止或限制的個別交易。
c. 諮詢意見(Advisory Opinions):企業可針對具體交易尋求官方意見,以判斷是否受規則限制。
司法部也在正式生效日前,預計會發布額外的公共合規與執法指引。
All reactions:
34 shares
Like
Comment