隨著數(shù)字經(jīng)濟(jì)的迅速發(fā)展，數(shù)據(jù)呈現(xiàn)爆發(fā)式增長(zhǎng)并且海量集聚，對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)治理、人民生活都產(chǎn)生了重大而深刻的影響，數(shù)據(jù)安全已成為事關(guān)國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大挑戰(zhàn)。美國(guó)近期在外國(guó)投資安全審查制度改革中重點(diǎn)關(guān)注了數(shù)據(jù)安全風(fēng)險(xiǎn)并進(jìn)行了針對(duì)性制度設(shè)計(jì)。本文將對(duì)美國(guó)外資安全審查改革中的數(shù)據(jù)安全審查規(guī)定做一梳理，以期為我國(guó)數(shù)據(jù)安全審查制度的構(gòu)建提供有益參考。

　　一、美國(guó)外資安全審查制度及近期改革概述

　　美國(guó)是世界上最早對(duì)外國(guó)投資實(shí)施國(guó)家安全審查制度的國(guó)家。1988 年，美國(guó)頒行《1988 年綜合貿(mào)易與競(jìng)爭(zhēng)法》。該法授權(quán)美國(guó)總統(tǒng)可以為了國(guó)家安全調(diào)查外國(guó)主體收購(gòu)、兼并、接管或入股美國(guó)企業(yè)，并在必要時(shí)可以阻止相關(guān)交易。之后，美國(guó)通過(guò) 2000 年《伯德修正案》和 2007 年《外國(guó)投資與國(guó)家安全法》，逐步形成了以美國(guó)外國(guó)投資委員會(huì)（CFIUS）為審查機(jī)構(gòu)的外資安全審查制度。

　　美國(guó)外國(guó)投資委員會(huì)是直接受命于美國(guó)總統(tǒng)的一個(gè)跨部門委員會(huì)，由美國(guó)財(cái)政部部長(zhǎng)擔(dān)任主席，協(xié)助美國(guó)總統(tǒng)審查外國(guó)對(duì)美經(jīng)濟(jì)直接投資的國(guó)家安全風(fēng)險(xiǎn)，美國(guó)總統(tǒng)根據(jù)該委員會(huì)的審查建議可以做出暫?；蚪菇灰椎臎Q定。傳統(tǒng)的美國(guó)外資安全審查的管轄范圍僅包括可能導(dǎo)致外國(guó)主體“控制”美國(guó)商業(yè)的交易。根據(jù)美國(guó)上述法律的規(guī)定，“控制”是指“確定、指導(dǎo)或決定受影響主體重要事項(xiàng)的直接或間接的權(quán)力”；“美國(guó)商業(yè)”是指不論控制人的國(guó)籍如何，任何在美國(guó)從事跨州商務(wù)的實(shí)體。

　　2018 年 8 月，美國(guó)總統(tǒng)特朗普簽署了《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》（Foreign Investment RiskReview Modernization Act of 2018，F(xiàn)IRRMA）。該法增強(qiáng)了美國(guó)外國(guó)投資委員會(huì)（CFIUS）的授權(quán)和現(xiàn)代化，以更加有效地應(yīng)對(duì)國(guó)家安全關(guān)切。在美國(guó)此次外國(guó)投資安全審查改革中，重點(diǎn)之一就是關(guān)注和應(yīng)對(duì)外國(guó)投資交易中高風(fēng)險(xiǎn)敏感數(shù)據(jù)對(duì)國(guó)家安全的影響。對(duì)此，美國(guó)《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》主要從兩方面進(jìn)行了制度設(shè)計(jì)：一是界定影響國(guó)家安全的高風(fēng)險(xiǎn)敏感數(shù)據(jù)的范圍；二是將涉及這些高風(fēng)險(xiǎn)敏感數(shù)據(jù)的外國(guó)非控制性投資納入外資安全審查范圍。

　　二、審查要素增列了敏感個(gè)人數(shù)據(jù)的國(guó)家安全風(fēng)險(xiǎn)

　　美國(guó)《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》認(rèn)為，外資安全審查應(yīng)該增加考慮“受管轄交易直接或間接可能暴露美國(guó)公民個(gè)人可識(shí)別信息、基因信息或其他敏感數(shù)據(jù)的范圍”，原因在于“這些信息可能被外國(guó)政府或外國(guó)主體獲取，并以威脅美國(guó)國(guó)家安全的方式挖掘利用”。例如，通過(guò)數(shù)據(jù)聚合分析，可能會(huì)發(fā)現(xiàn)某些關(guān)鍵崗位人員的財(cái)務(wù)或健康狀況，以此威脅、利誘這些人員實(shí)施危害國(guó)家安全行為。

　　從上述邏輯出發(fā)，該法將對(duì)于國(guó)家安全造成威脅的高風(fēng)險(xiǎn)敏感數(shù)據(jù)界定為“敏感個(gè)人數(shù)據(jù)”，并明確將敏感個(gè)人數(shù)據(jù)列為外國(guó)投資安全審查時(shí)評(píng)估國(guó)家安全風(fēng)險(xiǎn)的要素之一。需要指出的是，這里的“敏感個(gè)人數(shù)據(jù)”并不是常說(shuō)的“個(gè)人敏感數(shù)據(jù)”或“個(gè)人敏感信息”，這里的“敏感”并不是強(qiáng)調(diào)相關(guān)主體個(gè)人權(quán)益的保護(hù)，而是強(qiáng)調(diào)對(duì)美國(guó)國(guó)家安全的威脅?！锻鈬?guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》的實(shí)施細(xì)則，從兩方面界定了影響國(guó)家安全的敏感個(gè)人數(shù)據(jù)：

　　一是界定了可識(shí)別數(shù)據(jù)，其是指“可用于區(qū)分或追蹤個(gè)人身份的數(shù)據(jù)，包括個(gè)人身份標(biāo)識(shí)符”。如果交易一方具備使聚合數(shù)據(jù)分解、匿名數(shù)據(jù)去匿名化的能力，那么聚合數(shù)據(jù)和匿名數(shù)據(jù)也是可識(shí)別的。實(shí)施細(xì)則列出了 10 類個(gè)人可識(shí)別數(shù)據(jù)，分別是：個(gè)人財(cái)務(wù)狀況數(shù)據(jù)，消費(fèi)者信用報(bào)告數(shù)據(jù)，保險(xiǎn)申請(qǐng)相關(guān)數(shù)據(jù)、個(gè)人身體、精神或心理健康狀況數(shù)據(jù)，非公開的電子通信數(shù)據(jù)，地理位置數(shù)據(jù)，生物識(shí)別數(shù)據(jù)（包括面部、聲音、視網(wǎng)膜/虹膜和手掌/指紋），州或聯(lián)邦的個(gè)人身份證數(shù)據(jù)，政府工作人員安全審查狀況相關(guān)數(shù)據(jù)，政府工作人員安全審查申請(qǐng)或公眾信任職位申請(qǐng)。此外，個(gè)人的基因檢測(cè)結(jié)果包括基因測(cè)序數(shù)據(jù)，也構(gòu)成可識(shí)別數(shù)據(jù)，但應(yīng)該排除美國(guó)政府維護(hù)的數(shù)據(jù)庫(kù)為了研究目的定期向私營(yíng)部門提供的基因檢測(cè)結(jié)果數(shù)據(jù)。

　　二是界定了“對(duì)國(guó)家安全的風(fēng)險(xiǎn)性”。細(xì)則規(guī)定被投資的美國(guó)商業(yè)應(yīng)具備下列情形之一：目標(biāo)或定制產(chǎn)品或服務(wù)是針對(duì)負(fù)有情報(bào)、國(guó)家安全或國(guó)土安全職責(zé)的美國(guó)行政機(jī)構(gòu)或軍事部門，或者針對(duì)這些機(jī)構(gòu)或部門的工作人員和承包商；在交易完成或者提交書面通知或申報(bào)之前 12 個(gè)月內(nèi)的任一時(shí)間節(jié)點(diǎn)，曾經(jīng)持有或者收集超過(guò) 100 萬(wàn)人的可識(shí)別數(shù)據(jù)；其已證明的商業(yè)目標(biāo)，是持有或者收集超過(guò) 100 萬(wàn)人的可識(shí)別數(shù)據(jù)，且這些數(shù)據(jù)屬于所投美國(guó)商業(yè)的主營(yíng)產(chǎn)品或服務(wù)不可分割的一部分。由此可知，只有所投資的美國(guó)商業(yè)持有或收集的個(gè)人可識(shí)別數(shù)據(jù)不是來(lái)自上述美國(guó)政府部門或人員，并且數(shù)據(jù)量沒有達(dá)到 100 萬(wàn)人的門檻，該筆投資才不屬于美國(guó)外資安全審查的范圍。

　　三、審查擴(kuò)大至涉及敏感個(gè)人數(shù)據(jù)的非控制性投資

　　相較于之前美國(guó)外資安全審查僅可管轄外國(guó)主體對(duì)美國(guó)商業(yè)的“控制性”交易，《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》授權(quán)美國(guó)總統(tǒng)和外國(guó)投資委員會(huì)可以審查某些針對(duì)特定領(lǐng)域美國(guó)商業(yè)的外國(guó)非控制性投資，這些特定領(lǐng)域美國(guó)商業(yè)是指涉及關(guān)鍵技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和敏感個(gè)人數(shù)據(jù)（CriticalTechnologies, Critical Infrastructure, SensitivePersonal Data，TID）的商業(yè)，簡(jiǎn)稱“美國(guó) TID 商業(yè)”。

　　只要對(duì)美國(guó)敏感個(gè)人數(shù)據(jù)商業(yè)的非控制性投資使得外國(guó)主體取得了以下權(quán)利，該投資就屬于審查范圍：取得該美國(guó)商業(yè)重大非公開技術(shù)信息的訪問權(quán)限；取得該美國(guó)商業(yè)董事會(huì)或同等管理機(jī)構(gòu)的成員或觀察員權(quán)利，或者有權(quán)指定他人進(jìn)入董事會(huì)或同等管理機(jī)構(gòu)任職；除了股份投票權(quán)外，取得該美國(guó)商業(yè)有關(guān)敏感個(gè)人數(shù)據(jù)業(yè)務(wù)實(shí)質(zhì)性決策的參與權(quán)，包括決定使用、開發(fā)、獲取、保管或發(fā)布其持有或收集的美國(guó)公民的敏感個(gè)人數(shù)據(jù)。因此，如果外國(guó)主體針對(duì)持有或收集美國(guó)公民敏感個(gè)人數(shù)據(jù)的美國(guó)商業(yè)投資，并且能夠取得上述權(quán)利，例如參與“美國(guó)公民個(gè)人敏感數(shù)據(jù)的使用、開發(fā)、獲取、保管或發(fā)布”業(yè)務(wù)的決策等，該外國(guó)主體對(duì)美國(guó)商業(yè)的投資就應(yīng)納入美國(guó)外資安全審查的范圍。

　　當(dāng)然，如果外國(guó)主體對(duì)持有或收集個(gè)人可識(shí)別數(shù)據(jù)的美國(guó)商業(yè)的投資達(dá)到了“控制”程度，那么不論這些數(shù)據(jù)是否涉及上述有關(guān)國(guó)家安全的部門和人員，只要外國(guó)主體能夠獲取大量的個(gè)人可識(shí)別數(shù)據(jù)，也有可能會(huì)納入美國(guó)外資安全審查范圍。2020年 3 月，美國(guó)總統(tǒng)特朗普基于美國(guó)外國(guó)投資委員會(huì)的審查發(fā)布行政命令，要求北京石基公司在 120天內(nèi)剝離其收購(gòu)的美國(guó) StayNTouch 公司的所有權(quán)益。StayNTouch 提供云端酒店管理軟件，獲取和存儲(chǔ)美國(guó)公民的酒店入住數(shù)據(jù)，2018 年石基公司收購(gòu)了其 100% 股權(quán)。從行政命令“可能損害美國(guó)國(guó)家安全”以及要求石基公司完成撤資前“不得通過(guò)StayNTouch 訪問酒店客人數(shù)據(jù)”的表述來(lái)看，大量個(gè)人可識(shí)別數(shù)據(jù)對(duì)國(guó)家安全的威脅是禁止該交易的主要考慮。

　　相較于之前交易當(dāng)事方自愿申報(bào)的程序，《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》規(guī)定了強(qiáng)制申報(bào)程序，對(duì)于美國(guó)敏感個(gè)人數(shù)據(jù)商業(yè)的投資應(yīng)適用強(qiáng)制申報(bào)程序：外國(guó)政府直接或間接擁有實(shí)質(zhì)利益的外國(guó)主體，其投資交易如果會(huì)導(dǎo)致該主體直接或間接獲得美國(guó)敏感個(gè)人數(shù)據(jù)商業(yè)的實(shí)質(zhì)利益，那么該交易就應(yīng)當(dāng)向美國(guó)外國(guó)投資委員會(huì)申報(bào)。對(duì)于何為“實(shí)質(zhì)利益”，根據(jù)目前實(shí)施細(xì)則，外國(guó)政府對(duì)于外國(guó)主體擁有的“實(shí)質(zhì)利益”，是指外國(guó)政府直接或間接擁有 49% 或以上的投票權(quán)；外國(guó)主體獲得美國(guó)敏感個(gè)人數(shù)據(jù)商業(yè)的“實(shí)質(zhì)利益”，是指外國(guó)主體直接或間接獲得 25% 或以上的投票權(quán)。交易當(dāng)事方應(yīng)當(dāng)在完成交易之前的 30 天提交申報(bào)。由此，外國(guó)政府控制的國(guó)有企業(yè)等對(duì)涉及敏感個(gè)人數(shù)據(jù)的美國(guó)商業(yè)的部分投資，必須進(jìn)行申報(bào)。

　　四、美國(guó)將數(shù)據(jù)安全風(fēng)險(xiǎn)納入外資安全審查的評(píng)析及啟示

　　總結(jié)來(lái)看，美國(guó)開始關(guān)注和應(yīng)對(duì)高風(fēng)險(xiǎn)敏感數(shù)據(jù)帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，將這種高風(fēng)險(xiǎn)敏感數(shù)據(jù)主要界定為“敏感個(gè)人數(shù)據(jù)”，并將敏感個(gè)人數(shù)據(jù)風(fēng)險(xiǎn)納入了外資安全審查之中。美國(guó)《外國(guó)投資風(fēng)險(xiǎn)審查現(xiàn)代化法》及實(shí)施細(xì)則，明確界定了個(gè)人數(shù)據(jù)可能影響國(guó)家安全的判定標(biāo)準(zhǔn)：一是數(shù)據(jù)本身就屬于個(gè)人的敏感可識(shí)別數(shù)據(jù)，列舉了11 類個(gè)人可識(shí)別數(shù)據(jù)；二是界定了數(shù)據(jù)的國(guó)家安全敏感性，要么數(shù)據(jù)主體的身份敏感，屬于關(guān)系國(guó)家安全的行政機(jī)構(gòu)或軍事部門工作人員等，要么數(shù)據(jù)的體量巨大，目前規(guī)定的下限是 100 萬(wàn)人的可識(shí)別數(shù)據(jù)。這種界定的道理在于，對(duì)敏感身份主體可識(shí)別數(shù)據(jù)和大體量可識(shí)別數(shù)據(jù)集合的利用，都有可能威脅國(guó)家安全。上述立法思路和制度設(shè)計(jì)對(duì)于應(yīng)對(duì)數(shù)據(jù)處理活動(dòng)帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)有一定的借鑒意義。

　　當(dāng)然也應(yīng)該看到，外商投資安全審查的初衷是維護(hù)國(guó)家經(jīng)濟(jì)安全，審查重點(diǎn)是外國(guó)資本控制本國(guó)企業(yè)的國(guó)家安全風(fēng)險(xiǎn)，審查標(biāo)準(zhǔn)較為模糊、透明度較低，這種僅側(cè)重外國(guó)投資控制性的國(guó)家安全審查顯然無(wú)法涵蓋所有可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)。從近期美國(guó)的相關(guān)審查實(shí)踐來(lái)看，僅從外國(guó)投資控制性出發(fā)考慮數(shù)據(jù)安全審查，很容易導(dǎo)致以安全之名干涉正常貿(mào)易，使得安全審查異化成一種政策工具和貿(mào)易壁壘。

　　美國(guó)上述制度設(shè)計(jì)對(duì)我國(guó)構(gòu)建數(shù)據(jù)安全審查制度的啟示在于：一是數(shù)據(jù)安全審查不應(yīng)該不加區(qū)分地針對(duì)所有數(shù)據(jù)，應(yīng)該從國(guó)家安全高度界定數(shù)據(jù)安全審查的范圍。從我國(guó)《數(shù)據(jù)安全法》的規(guī)定來(lái)看，在我國(guó)就可以將這種關(guān)系國(guó)家安全的高風(fēng)險(xiǎn)敏感數(shù)據(jù)認(rèn)定為“重要數(shù)據(jù)”，那么重要數(shù)據(jù)的處理活動(dòng)才應(yīng)該是數(shù)據(jù)安全審查的范圍。二是針對(duì)“數(shù)據(jù)安全”的國(guó)家安全審查制度，應(yīng)該形成不同規(guī)范相互配合的制度體系。將數(shù)據(jù)安全風(fēng)險(xiǎn)作為外資安全審查的考慮因素，雖然可以防范和化解一些國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)，但不足以應(yīng)對(duì)所有可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，還是有必要應(yīng)該探索一種基于技術(shù)標(biāo)準(zhǔn)、具有較高透明度的安全審查制度。我國(guó)于2020 年頒行的《網(wǎng)絡(luò)安全審查辦法》，在定位上聚焦維護(hù)國(guó)家安全，在審查標(biāo)準(zhǔn)上突出供應(yīng)鏈安全，明確將“重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)” 列為關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈國(guó)家安全風(fēng)險(xiǎn)評(píng)估的考慮因素，并建立了相對(duì)透明合理的審查程序，為這種制度探索積累了一定的實(shí)踐經(jīng)驗(yàn)。我國(guó)《數(shù)據(jù)安全法》第 24 條進(jìn)一步規(guī)定：“國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查?！毕嘈烹S著《數(shù)據(jù)安全法》的實(shí)施及其配套立法的完善，我國(guó)數(shù)據(jù)安全審查的范圍、方式和程序會(huì)進(jìn)一步細(xì)化，我國(guó)將逐步建立起適應(yīng)實(shí)踐需求、切實(shí)維護(hù)國(guó)家安全的數(shù)據(jù)安全審查制度體系。[本文為國(guó)家社科基金重大項(xiàng)目“網(wǎng)絡(luò)空間政策法規(guī)的翻譯、研究與數(shù)據(jù)庫(kù)建設(shè)”（20&ZD179）的階段性研究成果]