检测到您的浏览器版本过低,可能导致某些功能无法正常使用,建议升级您的浏览器,或使用推荐浏览器 Google Chrome 、Edge、Firefox 。 X
一、立法经过
2024年2月28日,依据《国际紧急经济权力法》(IEEPA),拜登总统签署题为《防止有关国家获取美国人的大量敏感个人数据及美国政府相关数据》的第14117号行政命令。该命令指示司法部长建立禁止或限制美国人在涉及外国国家或其国民有利益的财产交易中进行交易的规定,特别是在这些交易涉及大量敏感个人数据或美国政府相关数据时。
10月21日,美国司法部发布一份拟议规则制定通知——有关防止关注国家或涵盖人员访问美国敏感个人数据和政府相关数据的规定。关注国家明确为中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
经公开征求意见后,司法部于12月27日形成最终规则并发布。该最终规则将在刊登于《联邦公报》之日起90天后生效,其中部分规定(对受限交易的尽职调查与审计的积极义务、年度报告和对被禁止交易的报告)于刊登之日起270天后生效。
二、新规主要内容
(一)数据出境审查制度
针对美国个人敏感数据向“关注国家”的跨境传输,最终规则设立了数据出境国家安全审查制度,即美国数据出境到“关注国家”,不适用“数据跨境自由流动”的一般原则,而须获得美国司法部的许可。
(二)受管辖的数据
1. 美国公民的批量敏感数据
具体包括(1)某些涵盖的个人标识符(例如,与设备标识符、社会安全号码、驾驶执照或其他政府身份证号码相关的姓名);(2)精确的地理位置数据(例如 GPS 坐标);(3)生物识别标识符(例如,面部图像、声纹和图案以及视网膜扫描);(4)人类基因组数据和三种其他类型的人类组学数据(表观基因组、蛋白质组或转录组);(5)个人健康数据(例如,身高、体重、生命体征、症状、测试结果、诊断、数字牙科记录和心理诊断);以及(6)个人财务数据(例如,与个人的信用卡、借记卡、银行账户和金融负债相关的信息,包括付款历史)。
2. 政府相关数据
(1)关于政府活动地点的数据,司法部和其他政府部门协商,制定了一个《政府相关位置数据列表》的格式,并且表上列出了一些地理区域内的“精确地理位置数据”,统一将其划入“政府相关数据”。主要包括一些政府部门、军事基地、大使馆等。
(2)关于美国政府人员的数据,即与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联或可关联的数据。
3. 批量敏感个人数据阈值和美国政府相关数据
最终规则的禁止和限制通常适用于涉及超过特定批量阈值的敏感个人数据的涵盖数据交易。“批量”是指在“涵盖数据交易”之前的过去12个月内,总计超过特定阈值的任意数量的敏感个人数据,无论数据是匿名、假名、去标识化还是加密的。该规则建立以下批量阈值:
• 超过100名美国人的人类基因组数据,以及超过1,000名美国人的表观基因组、蛋白组和转录组数据,
• 超过1,000名美国人的生物特征识别符,
• 超过1,000个美国设备的精确地理位置数据,
• 超过10,000名美国人的个人健康数据和个人财务数据,
• 超过100,000名美国人的某些涵盖的个人标识符,或
• 满足数据集中任何类别最低阈值的这些数据类型的任意组合。
(三)受管辖的主体
受管辖的主体定义为以下类型的组织或个人:(1)由关注国家直接或间接持股50%以上的实体;(2)注册地或主要营业地位于关注国家的公司;(3)为关注国家代理的个人或机构。
(四)数据交易分类
根据规则,数据交易被分为三类:禁止交易、受限制交易和豁免交易。
三、影响分析
1. 重塑数据跨境流动原则
这一规则的出台标志着美国首次建立全面的数据跨境流动审查制度,转变了长期倡导的“数据跨境自由流动”原则。规则明确对敏感数据出境实施严格管控,尤其针对特定“关注国家”,使数据流动的自由性受到显著限制。这一调整不仅在实践上强化了数据安全优先的国家战略,也为未来数据跨境流动的全球模式设置了新标准。
2. 加剧中美数据脱钩态势
规则的实施将进一步加剧中美在数据领域的“脱钩”态势,尤其对中国企业在美国的数据相关业务产生深远影响。例如,中国公司的美国子公司可能在数据收集、处理等活动中面临更多限制,甚至被列为“涵盖主体”,从而受到直接制裁。这无疑会对中资企业的运营和跨境数据流动构成重大挑战。
3. 推动全球数据安全政策调整
美国的这一举措可能引发其他国家对数据安全问题的进一步重视,甚至推动更多国家调整自身政策以应对潜在风险。这一规则的出台不仅重塑了美国自身的数据安全治理框架,也可能对全球数据治理格局产生溢出效应,促使各国重新审视跨境数据流动政策和数据安全策略。未来,数据主权和安全将成为国际政策协商中的关键议题。
参考文献:
[1]U.S. Department of Justice. Justice Department Issues Final Rule Addressing Threat Posed by Foreign Adversaries’ Access to Americans’ Sensitive Personal Data[EB/OL].(2024-12-27).https://www.justice.gov/opa/pr/justice-department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access#.
[2]U.S. Department of Justice. FACT SHEET: Justice Department Issues Final Rule to Address Urgent National Security Risks Posed by Access to U.S. Sensitive Personal and Government-Related Data from Countries of Concern and Covered Persons [EB/OL].(2024-12-27).https://www.justice.gov/opa/media/1382526/dl.
[3]White House. FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data[EB/OL].(2024-02-28).https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/.
[4]U.S. Department of Justice.Justice Department Issues Comprehensive Proposed Rule Addressing National Security Risks Posed to U.S. Sensitive Data[EB/OL].(2024-10-21).https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks.
