美國拜登政府即將推出一項針對中國等“對手國家”大規模獲取美國公民個人訊息的行政命令。消息人士說,新行政命令主要針對的是“數據經紀商”等成批處理、出售或轉讓美國個人信息的公司。目前,有關批量出售個人訊息的商業行為,美國尚無聯邦層面的立法保護。
中國政府覬覦美國個人數據
彭博社本月首先報導了有關這一行政命令即將出台的消息。消息人士對美國之音說,這項行政命令和隨後的規則制定將由美國司法部牽頭,與財政部、商務部和國土安全部共同合作,填補美國在技術控制方面的一項空白,讓美國政府更好地了解哪些數據可能正在以批量的方式傳輸到中國等“關注國家”。
華盛頓智庫信息技術與創新基金會(ITIF)貿易政策部門副主任奈杰爾·科裡(Nigel Cory)參與了有關制定這一行政命令的討論會議。他對美國之音表示,行政命令的目的主要是為了防止美國人的大批敏感個人信息通過合法的商業渠道流入中國、俄羅斯、伊朗和朝鮮等國家。
“外國對手—尤其是中國,可以脅迫或迫使公司將數據交給中國共產黨。(中國)沒有針對政府獲取數據的法律保護。在中國,沒有透明度,也沒有世界其他許多國家可以看到的那種法律保障,”科裡說,“人們擔心中國公司出於情報、國家安全和其他惡意目的購買大量敏感的美國數據,從而威脅到美國的國家安全。”
中國《國家安全法》、《網絡安全法》等法規要求中國境內的組織和個人配合國家安全機構的調查和審查行動,向政府提供支持和協助。美國方面擔心,中國公司和在中國經營的外國公司,在中國政府提出國家安全審查的要求時,不得不配合交出外國用戶的數據。
奧爾布賴特石橋集團(Albright Stone Group)負責中國與技術政策的副合夥人保羅·特廖洛(Paul Triolo)表示,拜登政府考慮出台這一行政命令的驅動因素是,中國等“受關注國家”的政府會將所獲取的美國人的數據用於惡意目的。
特廖洛通過電子郵件對美國之音說:“這要追溯到過去十年中發生的一系列大規模網絡行動和數據洩露事件,其中大部分可以歸因於中國網絡行為者,美國人事管理辦公室(OPM)、安森(Anthem,保險公司)、聯合航空(United Airlines)等來源的大量個人數據可能最終落入中國政府手中。
新行政命令針對數據經紀商
拜登政府還在研議的這項行政命令關注美國人的醫療、基因組、地理定位和金融服務相關的敏感數據,針對的目標主要是數據經紀商(data broker)和其他因業務需要參與數據傳輸的機構。
在美國,數據經紀商(data broker,也稱數據經紀人)是數據交易服務的重要參與者。數據經紀商通過各種渠道採集大量個人信息、對信息進行整理和分析後,將這些信息提供給與消費者沒有直接關係的第三方,常常是通過有償方式。
數據經紀商提供的數據產品可以用於產品營銷、驗證個人身份或檢測欺詐行為等目的。但在美國,聯邦層面沒有對數據轉讓服務的全國性立法,目前只有佛蒙特州和加利福尼亞州對批量數據轉讓活動有針對性的隱私權益保護立法。
雖然“數據經紀”活動本身並不一定會洩露數據庫信息所涉及的個人隱私,但由於數據經紀公司的客戶聯繫幾乎不受法律制約,專家擔心敏感關鍵信息可能落入中國手中。
研究這一議題的大西洋理事會網絡治理計劃研究員賈斯汀·謝爾曼(Justin Sherman)的一份研究指出,美國有三家數據經紀公司—安客誠(Acxiom)、律商聯訊(LexisNexis)和尼爾森(Nielsen)公開在其廣告中宣稱可以批量提供美國現役或退伍軍人的個人信息。網上資料顯示,這三家美國公司目前都在中國開始數據服務業務。
這份分析認為,軍人是一個獨特的群體,許多組織可能希望向這一群體進行產品營銷或宣傳活動,數據經紀人甚至可以直接在其平台上為這些組織向軍人群體打廣告,而不必出售他們的個人數據。不過,在眾多數據經紀商積極希望將數據庫出售給有意願的買家的同時,這些數據交易缺乏透明度,也沒有明確的美國法律阻止經紀商向外國實體出售美國人的信息。
謝爾曼在分析中說,外國政府可能通過掌握這些數據從事破壞美國國家安全的活動:“這可能包括建立參與與外國相關的關鍵決策的美國高級軍事人員的檔案,甚至建立他們的家庭成員和親密熟人的檔案……目的是進行信息操作、脅迫、勒索,或情報收集。”
行政命令只是權宜之計,對TikTok在美運營影響有限
華盛頓智庫戰略與國際研究中心(CSIS)戰略科技項目主任詹姆斯·劉易斯(James Lewis)對美國之音說,美國在國家層面沒有保護個人數據隱私的法律,使其在對抗外國實體獲取美國個人可識別信息(PII)方面處於不利地位,出台行政命令只是權宜之計。他說:”所以它(行政命令)是一種補償。我想,有人擔心中國公司獲取美國人的數據。因此,由於沒有隱私法,他們制定了這項行政命令來防止這種情況發生。”
在限制中國等對手國家獲取美國敏感數據方面,美國政府正在採取多項措施。隸屬美國財政部的外國投資審查委員會(CFIUS)對外國在美投資進行審查;美國政府也在對美國向外國科技行業的投資制定審查機制;同時,拜登行政當局還在制定一項有關限制外國實體使用美國雲服務的行政命令。
不過,種種限制都沒有緩解美國多方對中國科技企業、特別是TikTok涉嫌侵犯美國用戶數據隱私問題的擔憂。預計新行政命令也不會對TikTok在美國的運營產生直接影響。
中國字節跳動公司出品的短視頻分享軟件“抖音”的國際版“TikTok”被懷疑其內容推送算法受到北京控制,並可能在北京要求下與中國政府提供用戶數據。美國通過法律,禁止聯邦政府人員在政府設備上使用TikTok,美國多個州也採取了類似行動。
電信政策專家、美國數字進步研究所(Digital Progress Institute)主席喬爾·塞耶(Joel Thayer)對美國之音說,行政命令可能給數據經紀商提出更高的披露透明度要求,“例如,如果一家數據經紀商與TikTok合作、甚至與字節跳動合作,這可能會是一個問題。”
行政命令旨在最低限度降低對美國科技行業的負擔
知情人士說,這一行政命令可能還要幾星期才會正式公佈,行政當局正在採集各方意見反饋,爭取將有關數據跨境傳輸的新規定給美國科技企業帶來的額外負擔降至最低。
特廖洛說:“過於嚴格地控制醫療和基因組數據的危險在於,中國和美國的公民可能會錯失在仔細管理的數據隱私和審計條件下進行的大規模數據分析所帶來的醫療進步,這些進步可能會帶來治療方面的突破,例如利用各種人工智能算法,從臨床數據中建立聯繫並提出新的見解。”.
中國政府一直表示,不會要求企業或個人“以違反當地法律的方式為中國政府採集或提供位於外國境內的數據、信息和情報。”
與此同時,北京也對中國個人數據“出境”從嚴審查。叫車軟件“滴滴出行”2021年計劃在美國上市的計劃受到監管部門的審查,被迫從美國退市。滴滴在美上市被叫停的部分原因就是當局對滴滴上億用戶的個人信息傳輸到海外的擔憂。