法律觀點－地緣政治下的資料主權

美國現任總統川普。圖／美聯社

當前國際地緣政治環境下，資料保護不僅關乎個人隱私，還涉及國家安全和主權。

美國川普總統二度就任以來，未沿襲拜登政府的多項政策，但維持了國安政策，包括防止美國敏感資料流向外國敵對勢力之行政命令。4月下旬至華盛頓DC參加IAPP全球隱私高峰會，美國司法部近期就此發佈的新規則爲會議中跨國企業關注的議題之一，因其結合了制裁、外國投資、資安及個資法規的要素，對全球業務產生了深遠影響。

2024年2月，拜登政府依據國際緊急經濟權力法（IEEPA）宣佈了一項國家緊急狀態，防止中國及其他受關注國家存取美國敏感個人資料和政府相關資料。拜登政府併發布了第14117號行政命令，指示司法部制定實施該命令的規則。

規則規範了多種涉及受關注國家或涵蓋對象存取大量美國敏感個資或政府相關資料的「涵蓋資料交易」：資料經紀（包括銷售、授權或類似的商業交易）、供應商契約（包括雲端運算服務）、僱傭契約和投資契約等。

受規範的「美國敏感個資」包括超過10萬名美國人的個人識別資料、超過1,000名美國人的精確地理位置資料、生物識別資料、基因組資料、超過10,000名美國人的個人健康資料和金融資料等。無論其是否經匿名化、假名化、去識別化或加密處理。

「受關注國家」包括中國（包括港澳）、古巴、伊朗、北韓、俄羅斯與委內瑞拉。

「涵蓋對象」包括由受關注國家或下述個人直接或間接擁有50％或設立於受關注國家的外國實體、由受關注國家或上述實體僱用或聘用之外國人、或以受關注國家爲主要居住地之外國人等。

規則禁止美國人與受關注國家或涵蓋對象進行涉及資料經紀之涵蓋資料交易，或涉及由受關注國家或涵蓋對象存取大量美國敏感個資的涵蓋資料交易等。少數類型的資料交易被豁免，例如金融服務、企業集團內部交易、電信服務、藥品和醫療器材的許可等。

對於未被禁止或豁免的涵蓋資料交易，得進行限制交易，但必須遵守嚴格的網絡安全和基礎設施安全局（CISA）安全要求，制定及實施書面資料合規計劃，包括風險基礎的程序來驗證涉及限制交易的資料流，並進行年度獨立稽覈，以確保限制交易和資料合規計劃的合規性。

規則對於在中港澳等地設有集團營運（例如共享服務中心、AI研發團隊、雲端或其他供應商）的企業挑戰較大，特別是醫療保健、生命科學、醫療器材、金融服務、資訊科技、國防等產業。

另因資料經紀的定義廣泛，涵蓋了控制者對控制者的資料共享安排。當企業與其他司法管轄區（如歐盟）的外國接收方進行此類交易時，應在合約中禁止任何向涵蓋對象或受關注國家的再行傳輸，以及違約通知義務。

在美國有業務的企業應儘速採取因應措施，評估規則的適用性，制定及實施合規計劃，並持續監控，以確保符合規則之要求，例如：公司的個資、供應鏈與貿易合規部門應合作，進行資料流盤點及供應商及第三方盡職調查，確保供應商和第三方非由受關注國家或涵蓋對象所控制。甚至可能需做出策略性決策，例如將資料中心或團隊轉移到非受關注國家。