正文
不受控制地广泛访问、出售后,危害到了美国国家安全。
三、尚待回答的5个问题
问题1:美国司法部目前是否还有足够的资源去执行EO14117及最终规则?
EO14117中规定了该法案由美国司法部执行。
(其中的利弊在之前的文章中有讨论:
Samm Sacks| 拜登限制数据跨境流动的行政命令可能事与愿违
)
在2024年11月司法部最终规则的主要起草人在一档播客节目中透露:
司法部内部负责EO14117专项的法律团队有11名正式成员,并且计划在2024年底扩张到17人。
但随着马斯克的DOGE在联邦政府中大刀阔斧地裁员,不清楚目前该团队的扩招计划是否如期施行,甚至是否仍然有11名成员?(毕竟负责监督欧美数据跨境框架的PCLOB中的四人都已经被裁了三人)。
最终规则生效之前 DOJ 本计划发布关于合规和执法的公开指导,但目前并未看到任何细化指导文件发布。从公开检索看,目前主要的几位规则起草者仍然在职,但其动态都在最近转发了有关联邦雇员下岗再就业的接力帮扶动态:)
问题2:母子公司内部间的【无偿】数据传输行为是否被定义为“数据交易”?
司法部规则中的【202.101】条将“交易”定义为:任何获取(acquisition)、持有(holding)、使用(use)、转让(transfer)、进口(transportation)、出口(exportation)或处理(dealing in)外国国家或其国民有利益的任何财产。
司法部在针对征求意见稿202.214的回复中表示“数据经纪和受管制的交易(包括禁止性和限制性)被限制在
具有商业性质
(commercial in nature)的交易中,这意味着交易需涉及某种支付(payment)或其他有价值的对价(consideration)。”
在美国子公司和中国母公司之间的数据传输场景中,即使有DPA,但一般也不会有交易合同,不会计算财产价值,基本上都是“无偿”传输,那么这种是否仍然属于这个定义中的“对价”?如果不属于,是不是就不属于数据交易,进而也不属于任何一种“供应商交易”“数据经纪交易”等限制性禁止性交易,因此不受到此次法案的规制?
虽然有这个解释的可能性,但笔者认为抗辩的空间较小,因为:
(1)司法部在对征求意见稿202.217条的回复中提到,即使是基于志愿或出于慈善人道目的的无偿志愿者服务,该志愿者个人经验所获得的价值和利益也可以作为所提供服务交换的一部分,构成“其他对价”。而在公司场景中,
无论是从节约成本还是提高效率的角度都可以认为是一种“价值”。
(2)EO 14117法案的全称为《防止相关国家获取美国人的大量敏感个人数据和与美国政府有关的数据》,其指示司法部制定的规则全称为《关于防止受关注国家或人员获取美国敏感个人数据及政府相关数据的相关规定》,从名称就可以看出立法规制的风险就在于中国人获取/访问美国人的数据,如果仅仅因为不涉及“有偿”交易,就不规制,不符合立法的初衷。
问题3:美国子公司与中国母公司之间行政性/辅助性业务活动是否落入法案规定的豁免场景?
【202.506】条“Corporate group transaction”豁免适用的关键点是:
