拜登政府拟出台新行政命令,限制敏感个人信息流向中国等“对手国家”

美国总统乔·拜登在白宫东厅签署有Uganda人工智能的行政命令。(资料照片,2023年10月30日)

美国拜登政府即将出台一项针对中国等“对手国家”大规模获取美国公民个人信息的行政命令。消息人士说,新行政命令主要针对的是“数据经纪商”等成批处理、出售或转让美国个人信息的公司。目前,有关批量出售个人信息的商业行为,美国尚无联邦层面的立法保护。

中国政府觊觎美国个人数据

彭博社本月首先报道了有关这一行政命令即将出台的消息。消息人士对美国之音说,这项行政命令和随后的规则制定将由美国司法部牵头,与财政部、商务部和国土安全部共同合作,填补美国在技术控制方面的一项空白,让美国政府更好地了解哪些数据可能正在以批量的方式传输到中国等“关注国家”。

华盛顿智库信息技术与创新基金会(ITIF)贸易政策部门副主任奈杰尔·科里(Nigel Cory)参与了有关制定这一行政命令的讨论会议。他对美国之音表示,行政命令的目的主要是为了防止美国人的大批敏感个人信息通过合法的商业渠道流入中国、俄罗斯、伊朗和朝鲜等国家。

“外国对手—尤其是中国,可以胁迫或迫使公司将数据交给中国共产党。(中国)没有针对政府获取数据的法律保护。在中国,没有透明度,也没有世界其他许多国家可以看到的那种法律保障,”科里说,“人们担心中国公司出于情报、国家安全和其他恶意目的购买大量敏感的美国数据,从而威胁到美国的国家安全。”

中国《国家安全法》、《网络安全法》等法规要求中国境内的组织和个人配合国家安全机构的调查和审查行动,向政府提供支持和协助。美国方面担心,中国公司和在中国经营的外国公司,在中国政府提出国家安全审查的要求时,不得不配合交出外国用户的数据。

奥尔布赖特石桥集团(Albright Stone Group)负责中国与技术政策的副合伙人保罗·特廖洛(Paul Triolo)表示,拜登政府考虑出台这一行政命令的驱动因素是,中国等“受关注国家”的政府会将所获取的美国人的数据用于恶意目的。

特廖洛通过电子邮件对美国之音说:“这要追溯到过去十年中发生的一系列大规模网络行动和数据泄露事件,其中大部分可以归因于中国网络行为者,美国人事管理办公室(OPM)、安森(Anthem,保险公司)、联合航空(United Airlines)等来源的大量个人数据可能最终落入中国政府手中。

新行政命令针对数据经纪商

拜登政府还在研议的这项行政命令关注美国人的医疗、基因组、地理定位和金融服务相关的敏感数据,针对的目标主要是数据经纪商(data broker)和其他因业务需要参与数据传输的机构。

在美国,数据经纪商(data broker,也称数据经纪人)是数据交易服务的重要参与者。数据经纪商通过各种渠道采集大量个人信息、对信息进行整理和分析后,将这些信息提供给与消费者没有直接关系的第三方,常常是通过有偿方式。

数据经纪商提供的数据产品可以用于产品营销、验证个人身份或检测欺诈行为等目的。但在美国,联邦层面没有对数据转让服务的全国性立法,目前只有佛蒙特州和加利福尼亚州对批量数据转让活动有针对性的隐私权益保护立法。

虽然“数据经纪”活动本身并不一定会泄露数据库信息所涉及的个人隐私,但由于数据经纪公司的客户联系几乎不受法律制约,专家担心敏感关键信息可能落入中国手中。

研究这一议题的大西洋理事会网络治理计划研究员贾斯汀·谢尔曼(Justin Sherman)的一份研究指出,美国有三家数据经纪公司—安客诚(Acxiom)、律商联讯(LexisNexis)和尼尔森(Nielsen)公开在其广告中宣称可以批量提供美国现役或退伍军人的个人信息。网上资料显示,这三家美国公司目前都在中国开始数据服务业务。

这份分析认为,军人是一个独特的群体,许多组织可能希望向这一群体进行产品营销或宣传活动,数据经纪人甚至可以直接在其平台上为这些组织向军人群体打广告,而不必出售他们的个人数据。不过,在众多数据经纪商积极希望将数据库出售给有意愿的买家的同时,这些数据交易缺乏透明度,也没有明确的美国法律阻止经纪商向外国实体出售美国人的信息。

谢尔曼在分析中说,外国政府可能通过掌握这些数据从事破坏美国国家安全的活动:“这可能包括建立参与与外国相关的关键决策的美国高级军事人员的档案,甚至建立他们的家庭成员和亲密熟人的档案……目的是进行信息操作、胁迫、勒索,或情报收集。”

行政命令只是权宜之计,对TikTok在美运营影响有限

华盛顿智库战略与国际研究中心(CSIS)战略科技项目主任詹姆斯·刘易斯(James Lewis)对美国之音说,美国在国家层面没有保护个人数据隐私的法律,使其在对抗外国实体获取美国个人可识别信息(PII)方面处于不利地位,出台行政命令只是权宜之计。他说:”所以它(行政命令)是一种补偿。我想,有人担心中国公司获取美国人的数据。因此,由于没有隐私法,他们制定了这项行政命令来防止这种情况发生。”

在限制中国等对手国家获取美国敏感数据方面,美国政府正在采取多项措施。隶属美国财政部的外国投资审查委员会(CFIUS)对外国在美投资进行审查;美国政府也在对美国向外国科技行业的投资制定审查机制;同时,拜登行政当局还在制定一项有关限制外国实体使用美国云服务的行政命令。

不过,种种限制都没有缓解美国多方对中国科技企业、特别是TikTok涉嫌侵犯美国用户数据隐私问题的担忧。预计新行政命令也不会对TikTok在美国的运营产生直接影响。

手机上的TikTok徽标。(资料照片)

中国字节跳动公司出品的短视频分享软件“抖音”的国际版“TikTok”被怀疑其内容推送算法受到北京控制,并可能在北京要求下与中国政府提供用户数据。美国通过法律,禁止联邦政府人员在政府设备上使用TikTok,美国多个州也采取了类似行动。

电信政策专家、美国数字进步研究所(Digital Progress Institute)主席乔尔·塞耶(Joel Thayer)对美国之音说,行政命令可能给数据经纪商提出更高的披露透明度要求,“例如,如果一家数据经纪商与TikTok合作、甚至与字节跳动合作,这可能会是一个问题。”

行政命令旨在最低限度降低对美国科技行业的负担

知情人士说,这一行政命令可能还要几星期才会正式公布,行政当局正在采集各方意见反馈,争取将有关数据跨境传输的新规定给美国科技企业带来的额外负担降至最低。

特廖洛说:“过于严格地控制医疗和基因组数据的危险在于,中国和美国的公民可能会错失在仔细管理的数据隐私和审计条件下进行的大规模数据分析所带来的医疗进步,这些进步可能会带来治疗方面的突破,例如利用各种人工智能算法,从临床数据中建立联系并提出新的见解。”.

中国政府一直表示,不会要求企业或个人“以违反当地法律的方式为中国政府采集或提供位于外国境内的数据、信息和情报。”

与此同时,北京也对中国个人数据“出境”从严审查。叫车软件“滴滴出行”2021年计划在美国上市的计划受到监管部门的审查,被迫从美国退市。滴滴在美上市被叫停的部分原因就是当局对滴滴上亿用户的个人信息传输到海外的担忧。