适用场景
计划或正在开展对美业务、涉及处理美国个人数据(特别是通过第三方间接获取)的中国出海企业,尤其是在数字广告、人工智能/大模型训练、电商及互联网服务等领域的企业。
核心要点
1. PADFA法案核心禁令
该法案禁止‘数据经纪人’向‘外国对手或其控制的实体’转移任何数量的‘美国个人可识别敏感数据’。违反者将面临美国联邦贸易委员会(FTC)的处罚。法案适用范围可能比预想的更广,且无数据量或企业规模门槛。
2. 关键定义与宽泛解释
‘数据经纪人’定义宽泛,指基于‘有价值的对价’向非服务提供者的实体提供非直接收集数据的任何实体。‘转移’方式包括出售、许可、提供访问等任何使数据可被获取的行为。‘外国对手’明确包括中国,其‘控制的实体’认定标准也较为宽泛。
3. 敏感数据范围极广
受保护的‘个人可识别敏感数据’包含17大类,如政府ID、健康财务信息、精确地理位置(精度约563米内)、生物识别信息、网络浏览记录等,并有一个可识别前述数据的‘兜底种类’。这意味着许多看似普通的数据(如IP地址)经处理也可能落入监管范围。
4. 对中资企业的潜在广泛影响
不仅直接从事数据经纪业务的企业受影响。通过第三方(如数据供应商、广告平台)获取美国用户数据用于算法训练、精准营销等场景的中国企业,其数据来源方可能被认定为‘数据经纪人’,从而导致企业自身无法合法获取所需数据,业务链条受阻。
实务建议
- 立即梳理业务中从美国第三方(非直接用户)获取个人数据的场景,评估数据提供方是否可能构成PADFA下的‘数据经纪人’。
- 详细盘点已获取或计划获取的美国个人数据类型,对照17类敏感数据进行分类,识别风险数据。
- 对于非敏感的一般数据,建立内部管控流程,避免将其用于识别或关联出敏感数据(如将IP地址解析为精确位置)。
- 审查自身及关联公司的股权结构、控制关系,判断是否可能被认定为‘受外国对手控制的实体’。
- 在与美国数据供应商合作前,在合同中要求对方陈述其合规性,并明确数据来源合法性。
- 探索替代数据获取方案,如尽可能直接从用户处获取数据(需符合其他隐私法规),或寻求符合例外情形(如基于用户指示)的数据传输。
风险提示
- 切勿低估法案影响:PADFA无最低数据量要求,且定义宽泛,传统上不认为自己是‘数据经纪人’的实体(如某些数据聚合方、分析平台)也可能被纳入监管。
- ‘有价值的对价’不限于金钱:包括任何形式的利益交换,如免费数据换取未来商业合作机会,也可能构成‘对价’。
- 间接收集界定模糊:通过SDK、埋点等第三方技术组件收集的数据,是否属于‘间接收集’存在不确定性,风险较高。
- 避免成为‘数据经纪人’:企业若将从第三方获取的美国敏感数据,再有偿提供给其他实体(包括关联方),自身可能转变为受规制的‘数据经纪人’。
- 关注执法动态:FTC的具体执法规则和尺度尚待明确,需保持持续关注,法规解释可能趋严。