本系列文章聚焦于2024年度中国企业出海的主要目的地:欧美、中东及东盟地区,着力梳理其在立法、监管及执法层面的动态,探讨展业地数据合规监督管理要求以及数据跨境传输的合规要点,总结中国企业在出海过程中的数据合规重点、难点和最新动态,以供参考。
今年,美国联邦层面的重要立法提案是《美国隐私权法案》(American Privacy Rights Act,“APRA”)。该法案草案发布于2024年4月7日,生效日为颁布180日后,是在2022年6月3日发布的《美国数据隐私和保护法案(草案)》(American Data Privacy and Protection Act,“ADPPA”)[1]基础之上,两党人试图建立联邦层面数据立法的又一次尝试。该法案是一部较为全面且严格的隐私权法案,原则上优先于其所涵盖的州法律进行适用[2],旨在通过统一立法改变各州分散立法的局面。
该法案规定了数据最小化及个人同意的原则、个人数据主体权利的保护、数据经纪人的限制、算法影响评估、数据安全的要求,对不一样企业规定了不同的合规义务,要求企业为用户更好的提供可选择性的退出机制,此外,其加强了对未成年人数据的保护,授予联邦贸易委员会(FTC)、各州总检察长、首席消费者保护官员及其他官员执法权,同时赋予花了钱的人违反该法案规定侵犯其权利的实体提起私人诉讼的权利。
自该法案草案发布以来,分别在5月下旬、6月下旬经历了一些修订,例如,被合并入该法案中的 《儿童和青少年在线隐私保护法》(Children’s Online Privacy Protection Act,“COPPA”)将被更新和扩展,一方面扩大未成年人年龄范围,另一方面加强家长同意,增加对违背法律规定的行为的处罚力度;但“公民权利和算法偏见”的反歧视内容以及“后果性决策”算法的选择退出权部分已被完全删除。目前,该法案的最终版本仍待确定。
同时,鉴于美国数据隐私保护立法目前仍具有各州分散的特征,州立法亦需要被关注。截止2024年12月13日,2024年已通过7项新的州立法,分别为肯塔基州、马里兰州、明尼苏达州、内布拉斯加州、新罕布什尔州、新泽西州和罗德岛州立法,仍有43项州法案尚处于立法过程中[3]。其中,部分法案仅赋予总检察长提起诉讼的权利,未规定消费者的私人诉讼权,对公司违反相关规定的行为的罚款上限规定不一,例如,《明尼苏达州消费者数据隐私法案》(Minnesota Consumer Data Privacy Act)规定企业的每次违反相关规定的行为将被处以最高7,500美元的罚款,《罗得岛州数据透明和隐私保护法案》(Rhode Island Data Transparency and Privacy Protection Act)则规定企业的每次违反相关规定的行为可能被视为违反商法一般性规定,构成欺骗性贸易行为,从而面临最高10,000美元的罚款,同时,对于故意披露个人数据的行为,应对该披露行为支付100至500美元的罚款。
中国企业在美国开展业务活动,需重视美国数据隐私保护立法的更新及其合规。
今年,中国企业出海美国除了需要遵守美国联邦及州层面的新数据隐私立法之外,面临的监管及政策阻力依旧显著。具体而言:
美国政府与TikTok之间的诉讼仍在持续进行,2024年12月6日,华盛顿特区巡回上诉法院判决字节跳动和TikTok败诉。TikTtok主张《保护美国人免受外国对手控制应用程序侵害法案》(Protecting Americans From Foreign Adversary Controlled Applications Act)违反了美国宪法规定的权利,应当被判定为无效,但该主张被上诉法院驳回,因此TikTok需要在2025年1月19日前完成与其母公司字节跳动的剥离,否则TikTtok及其服务供应商(如甲骨文、谷歌)可能遭受高达8,500亿美元的罚款(对上述服务供应商罚款的目的是限制其对TikTtok的业务支持)[4]。目前,该案正在经历美国最高法院的审理已受理TikTok禁令案,双方已于2025年1月11日完成口头辩论,许多官认为,该案的核心问题并非第一修正案下的问题,而是美国国家安全考量。最高法院官们对TikTok可能威胁美国国家安全的担忧与保守态度,无疑表达了将支持“不卖就禁”法案的信号。
然而,即将就任美国总统的特朗普则表达了对TikTok的支持态度。因此,如果TikTok最终被美国最高法院判决败诉,据预测,特朗普上任后可能采取的应对方式有三种:其一,说服美国国会废除要求字节跳动剥离TikTok美国业务的法案;其二,指令司法部和总检察长不执行该法案,从而允许谷歌、苹果等公司继续向TikTok提供服务,但上述供应商公司可能会因此面临藐視法律的“巨大的法律风险”,这中间还包括巨额处罚,因此该方式在真实的操作上存在难度;其三,直接宣布该法案不再适用。[5]截止目前,该案的结果及TikTok在美国的未来发展仍不明晰,正在敦促国会和拜登延长此前要求完成剥离的最后期限(即2025年1月19日)。[6]
《生物安全法案》(Biosecure Act)旨在限制中国生物科技公司华大基因、药明康德等在美国的发展,其通过情况亦备受各方关注。该法案由美国国会众议院“中国问题特别委员会”于2024年1月首次提出。3月,美国参议院的一个委员会以11比1的投票结果批准了参议院版本草案,但6月,该草案未被纳入美国《2025年国防授权法案》(National Defense Authorization Act, “NDAA”)。直到9月9日,美国众议院就该法案重新做投票,并以306票对81票通过。而2024年12月7日,美国参议院和众议院军事委员会对外公布的经两院委员会最终协商后的2025财年国防授权法案仍旧未将该法案纳入其中,因此该法案不会通过快捷通道立法生效,但不能排除该法案日后通过单独立法生效的可能性,中国生物科技公司在美国的未来发展仍具有不确定性。[7]
2024年12月10日,据路透社的报道,美国众议院将于当周晚些时候投票表决一项年度军事法案,该法案可能将禁止大疆(DJI)和道通(Autel Robotics)这两家中国企业在美国市场销售新的无人机。该法案规定,国家安全机构必须在一年内确定使用大疆或道通的无人机是否会带来不可接受的国家安全风险。[8]
2024年8月15日,美国外国投资委员会(The Committee on Foreign Investment in the United States,“CFIUS”)宣布了针对T-Mobile US Inc.的6,000万美元罚款,为CFIUS历史上最大罚单。该罚款源因T-Mobile在2018年与Sprint合并时,与CFIUS签署了一份国家安全协议,其中规定了确保敏感数据安全的义务,但T-Mobile未能履行部分条款,未能采取适当措施防止没有经过授权访问某些敏感数据,也未能及时向CFIUS报告某些没有经过授权访问的事件,因此导致了此次处罚。[9]
由上文可见,中国企业出海不仅需要面临其他跨国企业同样面临的监管挑战,同时,如涉及被认为影响美国国家安全的敏感行业和数据或因其对美国社会经济的影响力被认为构成威胁的,更可能面临相关执法或制裁。
总体上,近几年美国政府对数据跨境流动的态度,由鼓励自由流动向加强监管转变,尤其是加强涉及中国的数据监管。
2024年2月28日,拜登签署发布了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府有关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)(“14117号行政命令”),以限制将:(i)美国人的基因组、生物识别、健康、地理位置、财务数据等美国人批量个人敏感数据,以及(ii)美国政府有关数据,向中国(含港澳地区)等“受关注国家”进行传输。对此,美国政府将采取禁止交易、限制交易、豁免交易三种不同举措,其中,数据经纪交易和基因组数据交易是被禁止的。
而在2024年之前,美国政府已展现出对于中国掌握美国个人数据的担忧,代表性文件及事件梳理如下:
由此可见,美国政府今年出台的关于限制数据向中国等国家流动的行政命令并非偶然,而是近年一以贯之的态度体现。
特朗普的再度当选可能会导致美国政府在数据隐私问题上的政策发生明显的变化,例如,据称,特朗普已经公开表明就任后将撤销拜登政府针对人工智能限制的部分行政命令,认为该类行政命令限制了美国大型科技公司在全球AI竞争中的影响力。总体而言,相较于,共和党在数据隐私问题上的态度是倾向于放松监管以促进本国科技公司发展,同时加强联邦层面的统一立法。
然而,这并非意味着特朗普政府将放松对与中国之间的数据跨境流动的监管,相反,鉴于近年中美关系冲突的一直在升级,两党人对于14117号行政命令普遍一致采取支持的态度,且14117号行政命令虽然由拜登政府颁布,却也承袭了特朗普政府时期颁布的13873号行政命令等文件。因此,我们大家都认为,特朗普的二次上台很可能不会改变14117号行政命令的基本立场,但鉴于美国司法部发布的拟议规则的“最终规则”尚未正式生效,特朗普政府仍可能通过颁布新的行政命令并发布相应细则以改变该项政策的落地方式,其中不排除政府监督管理力度进一步升级的可能性。同时,美国司法部表示计划就拟议规则的“最终规则”发布关于合规、执法及别的方面的进一步指导,亦值得进一步关注。[12]
2024年1月11日,《数据法案》正式生效,并将在生效之日起20个月后(即2025年9月12日)全面适用。2024年4月21日,欧盟委员会发布了《数据法案》,进一步明确了《数据法案》实施过程中的各种细节,包括物联网背景下企业对企业(Business to Business,“B2B”)和企业对消费的人(Business to Customer,“B2C”)的数据共享、企业间数据共享、不公平合同条款等。2024年9月6日,欧盟委员会发布了《数据法案》的解释说明材料和一系列普遍的问题解答(Frequently Asked Questions,“FAQ”),其中,解释说明材料介绍了《数据法案》的立法目标及其在实践中的实施路径,FAQ回答《数据法案》与GDPR及欧盟其他法律之间的互动、物联网环境下的数据访问与使用等相关内容。
《数据法案》旨在协调欧盟内部的公平数据访问和使用,维护个人对其数据的控制权。为整个欧盟数据市场中物联网(Internet of Things,IoT)产品和相关服务数据的访问和共享制定了规则,旨在确保数据价值在数据经济所有参与者之间的公平分配。该法案还包括保护公司免受与数据共享有关的不公平合同条款影响的措施,并通过引入关于互操作性及转换方面的最低要求,为在不同数据处理服务(如云计算和边缘计算)之间进行转换提供便利。
2024年3月13日,欧盟议会表决通过《人工智能法》,旨在通过制定统一的法律框架,规范人工智能技术在欧盟范围内的开发利用。2024年5月29日,欧盟委员会宣布成立人工智能办公室,确保《人工智能法》的有效实施。
《人工智能法》具有域外效力且适合使用的范围广泛,AI系统的提供者(包括但不限于人工智能服务提供者、部署者、进口商、分销商),只要在欧盟市场投放或投入到正常的使用中且该AI系统或其AI系统产生的结果被用于欧盟境内,无论是不是收费,无论该提供者的实体是否在欧盟境内,都将受到欧盟人工智能法案的约束。
《人工智能法》并没有取代《通用数据保护条例》(General Data Protection Regulation,“GDPR”),相反,它旨在通过制定开发和部署可信的AI系统所需的条件来补充GDPR的内容。
2024年3月12日,欧盟议会宣布批准了《网络弹性法案》,该法案于2024年12月10日正式生效。该法案对具有数字元素的硬件和软件产品提出了强制性的网络安全要求。
2024年11月4日,欧盟委员会发布了《规定网络站点平台提供商透明度报告义务模板实施条例》,该条例为《数字服务法》(Digital Service Act,“DSA”)下的超大型在线平台(Very Large Online Platforms,“VLOP”)、超大型在线搜索引擎(Very Large Online Search Engines,“VLOSE”)、中介服务提供商和托管服务提供商制定了统一的报告模板和期限。
未成年人保护与成瘾风险、算法:2024年4月22日,欧盟委员会真正开始启动针对TikTok Lite奖励计划的调查程序,该调查系欧盟发起的首起DSA调查。经调查,欧盟委员会认为TikTok推出TikTok Lite奖励计划前,未审慎评估其成瘾风险,亦未采取比较有效缓解措施。此计划可能催生成瘾行为,损害用户身心健康,对未成年人影响尤甚。2024年4月24日,TikTok宣布暂停实施TikTok Lite奖励计划。2024年8月5日,TikTok作出如下具有约束力的承诺,表示将永久在欧盟范围内撤销TikTok Lite奖励计划并不会再发起别的可能规避该等撤销行为的计划。有必要注意一下的是,欧盟委员会此次对TikTok Lite计划的调查十分高效,从启动调查TikTok Lite计划到正式结案,仅仅花费了三个多月的时间。说明自《数据服务法》生效后,欧盟对数字服务的监管整体趋向严格,对超大型在线平台和超大型在线搜索引擎进行持续监督和主动监管。
个性化推荐:针对Meta公司的“付费或同意(pay or consent)”模式[14],欧盟委员会在2024年7月1日一份声明中表示,初步认为“这种二元选择迫使用户同意(使用)他们的个人数据,并且无法为他们提供个性化程度较低但具有同等水平的Meta社交网络版本。如果委员会的初步意见最终得到确认,委员会将作出决定,认定Meta的模型不符合《数据市场法案》(Digital Marketing Act,“DMA”)第5(2)条,委员会可处以罚款,罚款金额最高可达守门人全球总营业额的10%。根据该公司2023年的业绩,罚款金额将达到135亿美元。
数据出境传输:2024年8月26日,荷兰数据保护局宣布对Uber罚款2.9亿欧元,因其将欧洲地区司机的个人数据传送至美国。此次调查起因是法国170多名出租车司机投诉,由于Uber欧洲总部在荷兰,案件转至荷兰数据保护局。Uber收集司机的敏感信息,包括账户详情、位置信息等,甚至涉及犯罪记录和医疗数据,在两年多时间里未经适当传输机制传至美国总部,严重违反欧盟GDPR。
数据泄漏:2024年12月17日,爱尔兰数据保护委员会宣布对Facebook母公司Meta的处罚决定,对其处以总计2.51亿欧元罚款,原因是其在2018年9月报告的数据泄漏事件违反GDPR的多项规定。此次数据泄露事件影响了全球约2900万个Facebook账户,其中约300万个账户位于欧盟/欧洲经济区。
干涉选举风险:2024年12月18日,欧盟委员会宣布对TikTok启动正式调查程序,怀疑该平台在履行DSA相关义务时存在违约行为,特别是在评估和缓解与选举诚信相关的系统性风险方面。此举主要涉及最近的罗马尼亚总统选举(2024年11月24日),这是本年度欧盟委员会对TikTok发起的第三次DSA调查,这一调查内容也具有一定地域特征。
隐私政策透明度:2024年12月18日,荷兰数据保护局宣布,对流媒体服务平台Netflix处以475万欧元的罚款。数据保护局认为Netflix在其隐私声明中未能充分、明确地阐述公司怎么样处理客户的个人数据,违反了荷兰相关的数据保护法规。数据保护局强调,透明的隐私政策是保障用户知情权的重要一环,而Netflix在此方面的不足构成了对法规的违反。
数据泄漏事件报告义务、数据使用合法性基础、隐私政策透明度、年龄验证机制:2024年12月20日,意大利数据保护机构公布了2024年11月2日的第755号决定,因OpenAI OpCo,LLC(“OpenAI”)在管理ChatGPT时违反了GDPR,对其处以1500万欧元的罚款。数据保护机构觉得OpenAI的违反相关规定的行为包括2023年3月的数据泄露事件中未能及时通知监督管理的机构;没有合法依据的情况下使用用户数据训练ChatGPT;隐私政策违反透明原则,未履行向数据主体提供信息的义务,包括:隐私政策只有英文版本、隐私政策在其网站上不易查找、隐私政策未提供有关训练大型语言模型的个人数据处理信息。同时,OpenAI未能建立年龄验证机制,可能会引起未成年人接触到与其年龄不符的内容。
①EDPB宣布,GDPR第17条规定的被遗忘权(又称删除权)将成为其2025年协调执法框架行动的重点。[15]
②对DSA下超大型在线平台和超大型在线搜索引擎的认定并进行持续监督和主动监管,具体事件包括但不限于:
2024年2月19日及2024年4月22日,欧盟委员会分别对TikTok启动的两项DSA调查,前者还在进行中,着重关注内容为TikTok算法潜在的“兔子洞效应”[16]、对未成年人身心健康的保护机制(包括年龄验证工具)、未成年人的隐私保护、广告来源可靠性和可查性、算法透明度等。
2024年3月14日,欧盟委员会宣布对阿里巴巴旗下的超大型在线平台全球速卖通(Alibaba Ali Express)启动正式调查,确认其是否可能违反了DSA。
③加强对AIGC企业的监管,例如谷歌因违规收集AI训练数据,在法国被罚2.5亿欧元。
④其他数据合规重点,包括但不限于数据出境、个人隐私信息处理及个人信息主体权利保障、算法和个性化推荐等。
在过去的一年中,欧盟数据跨境规则无明显变化,数据跨境规则主要规定在2016年颁布的GDPR第45至50条中。GDPR开创了正常的情况下的“充分性保护水平”认定以及特殊情况下豁免“充分性保护水平”认定的数据跨境模式。
在缺乏“充分性保护水平”认定的情况下,企业可采取适当保护的方法来进行数据跨境传输,适用于企业的常用保护的方法通常为(1)与数据接收方签署经主管部门批准的标准数据合同条款;(2)符合GDPR第47条的具有约束力的公司规则;以及(3)根据GDPR第42条批准的认证机制。
截至本文章发布之日,欧盟发布的数据跨境白名单国家(地区)不包括中国[17],因此,在欧盟展业的企业如需将数据跨境传输至中国,只能采用前述保护的方法的方式履行合规义务。
值得关注的是,2024年8月27日,中欧数据跨境流动交流机制第一次会议以视频方式举行。中国国家互联网信息办公室副主任王京涛和欧盟委员会贸易总司总司长萨宾·韦恩德出席开幕式并致辞,正式公开宣布建立中欧数据跨境流动交流机制。
[2]仅为原则上优先,但在某些特殊问题上仍为各州法保留了适用空间,鉴于篇幅,本文不作展开。
[7]美国生物安全法案快速立法失败,但中国生物医药公司还不能算赢,界面新闻,
[14]2023年年底,Meta推出了一项名为“无广告订阅”的服务,允许Facebook和Instagram的欧洲用户每月支付高达12.99欧元的费用来获得无广告版本,另一种选择则是接受带有个性化广告的免费版本。
[16]兔子洞效应是指当人们在网络上搜索信息或者浏览内容时,因为超链接等因素,从一个最初的主题不知不觉地深入到一系列相关的、但可能越来越小众、复杂或者偏离最初意图的内容中去。就好像掉进了一个兔子洞,越走越深。
[17]欧盟委员会已认可以下国家(地区)具备充分性保护水平:安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国、乌拉圭和美国。
本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向有关专业人士寻求法律帮助。
马斯克直接要求撤销对等关税 特朗普:我不听 马斯克过去两天净资产缩水超过300亿美元
马斯克直接要求撤销对等关税 特朗普:我不听 马斯克过去两天净资产缩水超过300亿美元 【 齐鲁晚报·齐鲁壹点旗下短视频产品 】
新华社北京4月7日电(记者阚静文)“住手!”“抗争”“我们不想要这样的美国!”,超1000场,逾50万人参与……美国总统特朗普日前签署最新的“对等关税”行政令,加之美国政府此前出台的一系列政策,引发美国国内及欧洲强烈抗议。连日来,多地民众走上街头,用行动表达不满与愤怒。
4月8日,外交部发言人林剑主持例行记者会。有记者提问,关于美国加征一定的关税的威胁,你能否确认美中之间是不是会就贸易问题进行会谈或谈判?林剑表示,我想美方的所作所为没有体现出想要认真对话的意愿。
护万家灯火 铸无畏警魂——追忆原天津市滨海新区公安局刑侦支队一大队副大队长许喆
新华社天津4月3日电 题:护万家灯火 铸无畏警魂——追忆原天津市滨海新区公安局刑侦支队一大队副大队长许喆新华社记者黄江林这是许喆生前的肖像照片(资料照片)。
睡觉也有最佳“黄金时间”不是11点 也不是12点(人民日报)#睡觉 #熬夜#肥胖
美方威胁升级对华加征50%关税,商务部: 如果美方一意孤行,中方必将奉陪到底
晨意帮忙丨长沙一路口设置围挡半年影响交通,居民称“未见施工”,回应:修地下污水管
近日,市民反映,长沙广济桥下十字路口中央有一块围挡,已经有半年了,但里面从未施过工,很影响交通希望拆除。4月8日,记者在现场看到,该路口有3处围挡,中央的已拆除,北部的2处尚未拆除,里面有施工痕迹。围挡对车辆通行有一定影响。
特朗普一月正式执政之后,对于全球都在不断的进行关税征收,其中对于中国在2月份加收10个百分点关税,到3月份再次加收10个百分点关税,两次累计加收超过20个百分点的关税。在这系列举措之下,中美两国贸易战争已然正式打响。与此同时,还有很多国家同样也被特朗普所颁布的关税政策波及。
