2024年2月28日,美國拜登政府依據《國際緊急經濟權力法》(IEEPA)發布一項行政命令,保護當地個人敏感數據免遭「受關注國家」利用。白宮強調這並非破壞美國維護開放互聯網的承諾,但對一直主張數據跨境自由流動的美國而言,此舉無疑代表其數據政策和法律的重大轉變,首度創建美國人數據跨境傳輸的審查機制。行政命令核心訊息主要是以下幾個:
1. 美國想要保護大部分的是個人敏感訊息,包括基因組、生物識別、個人健康、地理位置、財務數據和某些類型的個人可識別訊息。
2. 這些數據不可流向「受關注國家」,例如中國(包括港澳)、俄羅斯、北韓、古巴和伊朗。
3. 特別提到讓美國司法部和國土安全部制定一個比較高的網絡安全標準,防止「受關注國家」通過美國的數據經紀人訪問美國數據。
4. 金融數據的跨境傳輸可豁免:金融數據範圍非常廣泛,比如銀行客戶的姓名、銀行賬號、位址等基礎身份訊息,信用卡、支付和交易紀錄等。這次豁免金融數據並不奇怪,因這牽涉到美國在金融領域的全球商業利益。
5. 對涉及美國政府的敏感性數據(例如政府敏感部門的地理位置數據),跨境傳輸到「受關注國家」一概要審查;對其他受限數據,只有達到一定量級才會審查。
美國數據安全政策專家認為,以前美國擔心敏感數據被獲取和訪問,都集中在網絡攻擊問題上,但如今擔心美國一般的商業數據亦帶來國家安全風險。這些關於數據安全的關切存在已久,人工智能大語言模型的出現,可能放大了這些關注。
其實美國從特朗普政府時期就開始制定政策及法律工具,限制中國企業收集及跨境傳輸美國人數據。當中,美國海外投資委員會(CFIUS)的外國投資審查,是中國在美涉及數據的投資,帶來最大影響的機制之一。CFIUS近年開始擴展到數據安全領域,特別是美國敏感數據的安全,包括保險、金融、教育、娛樂和社交媒體等廣泛涉及個人數據的領域。
筆者相信這種現象在地緣政治及數據流通愈趨活躍的世界潮流中無法避免,數據流通及交易的技術也隨之改變。不過,香港在數據流通及交易生態的角色,未必不是一種機遇。其中一帶一路的數據流通,應給予關注,加速發展。
原刊於《信報》,本社獲作者授權轉載。