美国数据跨境传输规则及法律限制

美国在多个国际谈判中倡导数据跨境流动,但是美国国内相关立法也对某些重要数据的跨境进行了严格的限制。

首先,在美韩、TPP等多个国际谈判中推动数据跨境自由流动。2012年美国和韩国签订《美韩自贸协定》,第一次在FTA电子商务章节中规定了跨境数据流动规则,其第15章(电子商务)第15.8条(跨境信息流动)规定：“考虑到信息自由流动在贸易便利化中的重要性,并承认保护个人信息的重要性,协定双方应避免对电子信息跨境流动设定或保留非必要的障碍。”^[2]2016年2月4日,美国主导的跨太平洋伙伴关系协定(TPP)在新西兰奥克兰市正式签署,虽然2017年1月美国总统唐纳德·特朗普签署行政命令宣布美国退出TPP,但这不影响美国在跨境数据流动上的态度。不过须注意的是,TPP关于跨境数据流动的规则事实上不是完全的自由流动。TPP第14.11条“通过电子方式跨境传输信息”的规定,首先承认了各缔约方可以对跨境传输信息有监管要求,各缔约方应允许TPP涵盖的投资者在进行电子商务活动中通过电子方式跨境传输信息,但是允许各缔约方为实现合法公共政策目标,采取对电子数据跨境流动的监管要求。“合法公共政策目标”主要是平衡各国的政策自主权与自由贸易的关系,留有一定的政策空间。

其次,美国本国对数据跨境传输也有相应的法律限制。美国《出口管理条例》(EAR,the Export Administrative Regulations)第734条规定出口管制条例的范围,其中734.2(b)(2)界定了技术和软件的出口,其中包括通过互联网方式可由美国境外访问。关于云计算服务中的数据是否属于技术和软件的出口问题,美国负责出口管制的机构即商务部产业与安全署分别在2009和2011年发布过两个关于云计算的报告。在2009年6月的报告中,商务部产业与安全署认为数据跨境传送属于“出口”,但是认为云服务提供者不是出口商,而建议将云服务用户作为EAR管制的出口者。2011年1月,商务部产业与安全署发布的第二份指南重申了这一观点。《美国国际军火交易条例》(US International Traffic in Arms Regulations,ITAR)中规定了有关军火出口的数据信息限制要求,要求那些包含有技术数据的服务器必须位于美国境内。ITAR由美国国务院国防贸易控制委员会(The U.S.Department of State's Directorate of Defense Trade Controls,DDTC)负责实施,向云计算服务提供商发放技术数据出口的许可证。负责执行ITAR的机构是国务院政治军事事务局。ITAR的对象是三类,即国防物品、国防服务、国防相关的技术数据。(www.xing528.com)

再次,美国在安全协议中也有关于数据跨境的要求。美国对通信业并购案的安全审查之后,往往要求收购方与安全审查机构签署安全协议,具体案例如下。在FCC批准印度公司VSNL收购美国TYCO海底电缆设施的一系列文件中,包括了VSNL与通信小组签署的安全协议(FCC的文档编号为：ITC-MOD-20060111-00096)。

这份安全协议由VSNL与美国司法部(包括FBI)、国防部以及国土安全部签署。2005年4月,FCC在签订安全协议的基础上批准了VSNL收购Tyco案。关于数据的相关条款规定：国内通信基础设施应位于美国境内;将通信数据、交易数据、用户信息等仅存储在美国境内;采取所有合理措施来阻止非法利用或访问国内通信基础设施;在履行外国政府访问通信数据或其他公司信息的要求之前要获得美国司法部、国防部、国土安全部批准。