隨著數字經濟的迅速發展，數據呈現爆發式增長并且海量集聚，對經濟發展、社會治理、人民生活都產生了重大而深刻的影響，數據安全已成為事關國家安全與經濟社會發展的重大挑戰。美國近期在外國投資安全審查制度改革中重點關注了數據安全風險并進行了針對性制度設計。本文將對美國外資安全審查改革中的數據安全審查規定做一梳理，以期為我國數據安全審查制度的構建提供有益參考。

　　一、美國外資安全審查制度及近期改革概述

　　美國是世界上最早對外國投資實施國家安全審查制度的國家。1988 年，美國頒行《1988 年綜合貿易與競爭法》。該法授權美國總統可以為了國家安全調查外國主體收購、兼并、接管或入股美國企業，并在必要時可以阻止相關交易。之后，美國通過 2000 年《伯德修正案》和 2007 年《外國投資與國家安全法》，逐步形成了以美國外國投資委員會（CFIUS）為審查機構的外資安全審查制度。

　　美國外國投資委員會是直接受命于美國總統的一個跨部門委員會，由美國財政部部長擔任主席，協助美國總統審查外國對美經濟直接投資的國家安全風險，美國總統根據該委員會的審查建議可以做出暫?；蚪菇灰椎臎Q定。傳統的美國外資安全審查的管轄范圍僅包括可能導致外國主體“控制”美國商業的交易。根據美國上述法律的規定，“控制”是指“確定、指導或決定受影響主體重要事項的直接或間接的權力”；“美國商業”是指不論控制人的國籍如何，任何在美國從事跨州商務的實體。

　　2018 年 8 月，美國總統特朗普簽署了《外國投資風險審查現代化法》（Foreign Investment RiskReview Modernization Act of 2018，FIRRMA）。該法增強了美國外國投資委員會（CFIUS）的授權和現代化，以更加有效地應對國家安全關切。在美國此次外國投資安全審查改革中，重點之一就是關注和應對外國投資交易中高風險敏感數據對國家安全的影響。對此，美國《外國投資風險審查現代化法》主要從兩方面進行了制度設計：一是界定影響國家安全的高風險敏感數據的范圍；二是將涉及這些高風險敏感數據的外國非控制性投資納入外資安全審查范圍。

　　二、審查要素增列了敏感個人數據的國家安全風險

　　美國《外國投資風險審查現代化法》認為，外資安全審查應該增加考慮“受管轄交易直接或間接可能暴露美國公民個人可識別信息、基因信息或其他敏感數據的范圍”，原因在于“這些信息可能被外國政府或外國主體獲取，并以威脅美國國家安全的方式挖掘利用”。例如，通過數據聚合分析，可能會發現某些關鍵崗位人員的財務或健康狀況，以此威脅、利誘這些人員實施危害國家安全行為。

　　從上述邏輯出發，該法將對于國家安全造成威脅的高風險敏感數據界定為“敏感個人數據”，并明確將敏感個人數據列為外國投資安全審查時評估國家安全風險的要素之一。需要指出的是，這里的“敏感個人數據”并不是常說的“個人敏感數據”或“個人敏感信息”，這里的“敏感”并不是強調相關主體個人權益的保護，而是強調對美國國家安全的威脅?！锻鈬顿Y風險審查現代化法》的實施細則，從兩方面界定了影響國家安全的敏感個人數據：

　　一是界定了可識別數據，其是指“可用于區分或追蹤個人身份的數據，包括個人身份標識符”。如果交易一方具備使聚合數據分解、匿名數據去匿名化的能力，那么聚合數據和匿名數據也是可識別的。實施細則列出了 10 類個人可識別數據，分別是：個人財務狀況數據，消費者信用報告數據，保險申請相關數據、個人身體、精神或心理健康狀況數據，非公開的電子通信數據，地理位置數據，生物識別數據（包括面部、聲音、視網膜/虹膜和手掌/指紋），州或聯邦的個人身份證數據，政府工作人員安全審查狀況相關數據，政府工作人員安全審查申請或公眾信任職位申請。此外，個人的基因檢測結果包括基因測序數據，也構成可識別數據，但應該排除美國政府維護的數據庫為了研究目的定期向私營部門提供的基因檢測結果數據。

　　二是界定了“對國家安全的風險性”。細則規定被投資的美國商業應具備下列情形之一：目標或定制產品或服務是針對負有情報、國家安全或國土安全職責的美國行政機構或軍事部門，或者針對這些機構或部門的工作人員和承包商；在交易完成或者提交書面通知或申報之前 12 個月內的任一時間節點，曾經持有或者收集超過 100 萬人的可識別數據；其已證明的商業目標，是持有或者收集超過 100 萬人的可識別數據，且這些數據屬于所投美國商業的主營產品或服務不可分割的一部分。由此可知，只有所投資的美國商業持有或收集的個人可識別數據不是來自上述美國政府部門或人員，并且數據量沒有達到 100 萬人的門檻，該筆投資才不屬于美國外資安全審查的范圍。

　　三、審查擴大至涉及敏感個人數據的非控制性投資

　　相較于之前美國外資安全審查僅可管轄外國主體對美國商業的“控制性”交易，《外國投資風險審查現代化法》授權美國總統和外國投資委員會可以審查某些針對特定領域美國商業的外國非控制性投資，這些特定領域美國商業是指涉及關鍵技術、關鍵基礎設施和敏感個人數據（CriticalTechnologies, Critical Infrastructure, SensitivePersonal Data，TID）的商業，簡稱“美國 TID 商業”。

　　只要對美國敏感個人數據商業的非控制性投資使得外國主體取得了以下權利，該投資就屬于審查范圍：取得該美國商業重大非公開技術信息的訪問權限；取得該美國商業董事會或同等管理機構的成員或觀察員權利，或者有權指定他人進入董事會或同等管理機構任職；除了股份投票權外，取得該美國商業有關敏感個人數據業務實質性決策的參與權，包括決定使用、開發、獲取、保管或發布其持有或收集的美國公民的敏感個人數據。因此，如果外國主體針對持有或收集美國公民敏感個人數據的美國商業投資，并且能夠取得上述權利，例如參與“美國公民個人敏感數據的使用、開發、獲取、保管或發布”業務的決策等，該外國主體對美國商業的投資就應納入美國外資安全審查的范圍。

　　當然，如果外國主體對持有或收集個人可識別數據的美國商業的投資達到了“控制”程度，那么不論這些數據是否涉及上述有關國家安全的部門和人員，只要外國主體能夠獲取大量的個人可識別數據，也有可能會納入美國外資安全審查范圍。2020年 3 月，美國總統特朗普基于美國外國投資委員會的審查發布行政命令，要求北京石基公司在 120天內剝離其收購的美國 StayNTouch 公司的所有權益。StayNTouch 提供云端酒店管理軟件，獲取和存儲美國公民的酒店入住數據，2018 年石基公司收購了其 100% 股權。從行政命令“可能損害美國國家安全”以及要求石基公司完成撤資前“不得通過StayNTouch 訪問酒店客人數據”的表述來看，大量個人可識別數據對國家安全的威脅是禁止該交易的主要考慮。

　　相較于之前交易當事方自愿申報的程序，《外國投資風險審查現代化法》規定了強制申報程序，對于美國敏感個人數據商業的投資應適用強制申報程序：外國政府直接或間接擁有實質利益的外國主體，其投資交易如果會導致該主體直接或間接獲得美國敏感個人數據商業的實質利益，那么該交易就應當向美國外國投資委員會申報。對于何為“實質利益”，根據目前實施細則，外國政府對于外國主體擁有的“實質利益”，是指外國政府直接或間接擁有 49% 或以上的投票權；外國主體獲得美國敏感個人數據商業的“實質利益”，是指外國主體直接或間接獲得 25% 或以上的投票權。交易當事方應當在完成交易之前的 30 天提交申報。由此，外國政府控制的國有企業等對涉及敏感個人數據的美國商業的部分投資，必須進行申報。

　　四、美國將數據安全風險納入外資安全審查的評析及啟示

　　總結來看，美國開始關注和應對高風險敏感數據帶來的國家安全風險，將這種高風險敏感數據主要界定為“敏感個人數據”，并將敏感個人數據風險納入了外資安全審查之中。美國《外國投資風險審查現代化法》及實施細則，明確界定了個人數據可能影響國家安全的判定標準：一是數據本身就屬于個人的敏感可識別數據，列舉了11 類個人可識別數據；二是界定了數據的國家安全敏感性，要么數據主體的身份敏感，屬于關系國家安全的行政機構或軍事部門工作人員等，要么數據的體量巨大，目前規定的下限是 100 萬人的可識別數據。這種界定的道理在于，對敏感身份主體可識別數據和大體量可識別數據集合的利用，都有可能威脅國家安全。上述立法思路和制度設計對于應對數據處理活動帶來的國家安全風險有一定的借鑒意義。

　　當然也應該看到，外商投資安全審查的初衷是維護國家經濟安全，審查重點是外國資本控制本國企業的國家安全風險，審查標準較為模糊、透明度較低，這種僅側重外國投資控制性的國家安全審查顯然無法涵蓋所有可能影響國家安全的數據處理活動。從近期美國的相關審查實踐來看，僅從外國投資控制性出發考慮數據安全審查，很容易導致以安全之名干涉正常貿易，使得安全審查異化成一種政策工具和貿易壁壘。

　　美國上述制度設計對我國構建數據安全審查制度的啟示在于：一是數據安全審查不應該不加區分地針對所有數據，應該從國家安全高度界定數據安全審查的范圍。從我國《數據安全法》的規定來看，在我國就可以將這種關系國家安全的高風險敏感數據認定為“重要數據”，那么重要數據的處理活動才應該是數據安全審查的范圍。二是針對“數據安全”的國家安全審查制度，應該形成不同規范相互配合的制度體系。將數據安全風險作為外資安全審查的考慮因素，雖然可以防范和化解一些國家數據安全風險，但不足以應對所有可能影響國家安全的數據處理活動，還是有必要應該探索一種基于技術標準、具有較高透明度的安全審查制度。我國于2020 年頒行的《網絡安全審查辦法》，在定位上聚焦維護國家安全，在審查標準上突出供應鏈安全，明確將“重要數據被竊取、泄露、毀損的風險” 列為關鍵信息基礎設施供應鏈國家安全風險評估的考慮因素，并建立了相對透明合理的審查程序，為這種制度探索積累了一定的實踐經驗。我國《數據安全法》第 24 條進一步規定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”相信隨著《數據安全法》的實施及其配套立法的完善，我國數據安全審查的范圍、方式和程序會進一步細化，我國將逐步建立起適應實踐需求、切實維護國家安全的數據安全審查制度體系。[本文為國家社科基金重大項目“網絡空間政策法規的翻譯、研究與數據庫建設”（20&ZD179）的階段性研究成果]