研读 | 美国总统拜登颁布《防止受关注国家获取美国人大量敏感个人数据和美国政府数据的行政令》 - 新鲜讯息

2月28日，美国总统拜登根据《国际紧急经济权力法》、《国家紧急状态法》和《美国法典》第3编第301条颁布《防止受关注国家获取美国人大量敏感个人数据和美国政府数据的行政令》，指示美国司法部制定保护敏感个人数据和政府数据不被受关注国家获取和利用的禁止性、限制性新规并酌情处理与美国外国投资委员会、财政部外国资产控制办公室、商务部工业与安全局等既有监管机制的协作，指示美国电信服务部门外国参与评估委员会、国土安全部、卫生与公共服务部、美国国防部和美国退伍军人事务部、国家科学基金会等通过许可证审查、安全标准与规则制定、拨款和订约限制等跨部门综合措施强化敏感个人数据保护。同日，美国司法部发布落实行政令指示的拟议规则制定预通知（ANPRM），进一步明确工作思路和管控措施，将中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉指定为受关注国家，细化对禁止性、限制性以及豁免的数据交易类别的考量，明确重点管控的六大类敏感个人数据，提出构建由一般许可证、特定许可证以及咨询意见组成的流程机制（见行政令措施要点与具体要求梳理表）。2月29日，美国商务部部长表示若国会授权支持商务部，将考虑禁止某些收集美国数据的中国公司在美国开展业务。行政令及配套规则将对受关注国家的数据获取、企业出海、产业布局产生深刻、广泛的影响。

公安部第三研究所网络安全法律研究中心对行政令进行翻译研究，现从核心内容、运作机制两方面对行政令进行解读。

关于核心内容的七点剖析

一、行政令的总体管控思路

美国的总体政策思路是对受关注国家获取美国人大量敏感个人数据和美国政府数据、对美国国家安全带来不可接受风险的活动进行管控限制，同时继续支持开放、全球化、可互操作、可靠和安全的跨境数据流动，维系美国与其他国家消费者、经济、科学和贸易的纽带，支持充满活力的全球经济，促进投资与开放。行政令并未授权引入通用性数据本地化要求，允许在商业活动和服务销售过程中进行金融数据和其他数据交易。

二、行政令的管控计划和措施

一是制定对国家安全构成不可接受风险的数据交易的禁止性或限制性规定。

行政令指示美国司法部制定保护敏感个人数据和政府数据不被受关注国家获取和利用的禁止性或限制性规则，包含以下元素：

（1）明确禁止性或限制性交易类别和相应安全要求；

（2）确定受关注国家范围；

（3）构建许可程序；

（4）引入特定数据交易记录和报告要求；

（5）明确受管控数据交易类型的性质和数据量门槛；

（6）明确针对受监管实体的阈值和尽职调查要求等。

此外，为平衡发展与安全，行政令强调司法部不得针对存储敏感个人数据或政府数据的计算设施提出通用性数据本地化要求。拟议规则制定并公布的期限要求为行政令发布之日起180日内。

二是通过许可证审查、安全标准与规则制定、拨款和订约限制等跨部门综合措施强化敏感个人数据保护。

行政令要求：

（1）美国电信服务部门外国参与评估委员会在审查海底电缆许可证时考虑对美国人敏感个人数据的威胁，评估第三方数据安全风险，并进一步采取措施解决持续性数据安全风险；

（2）指示美国司法部制定新规，加强针对敏感政府相关数据的保护，包括敏感政府网站的地理位置信息和军事人员信息等；

（3）指示美国司法部和美国国土安全部合作制定高安全标准，防止相关国家通过如投资、供应商和雇佣关系等商业手段获取美国人的数据；

（4）指示美国卫生与公共服务部、美国国防部和美国退伍军人事务部考虑采取措施，利用其现有的拨款和订约权限，确保联邦拨款、合同和奖励不会被利用于受关注国家（包括位于美国的公司）访问美国人的敏感健康数据等。

三是研究并提交敏感个人数据传输风险检测、评估和缓释的措施。

行政令指示美国司法部部长、国土安全部部长和国家情报局局长协商后向总统国家安全事务助理提交建议的适当措施，以检测、评估和减轻因事先传输敏感个人数据所产生的国家安全风险，提交期限为司法部拟议规则生效之日起120日内。

四是评估并反馈行政令管控措施的有效性及其对经济的影响。

行政令指示美国司法部部长与国务卿、财政部部长、商务部部长和国土安全部部长协商，在司法部拟议规则生效之日起1年内，向总统报告行政令对解决国家安全风险方面的有效性，以及对美国产业国际竞争力造成的影响。行政令强调司法部部长在编写报告过程中应广泛征求公众对行政令造成的经济影响的意见。

五是评估下一步是否要对人类基因组以外人类组学数据交易进行管控。

行政令要求总统国家安全事务助理、总统助理兼国内政策委员会主任、科学和技术政策办公室主任等针对美国未来对人类基因组以外人类组学数据交易进行监管的风险和收益进行评估，并向总统提交报告，明确在多大程度上支持对此类交易的监管。行政令强调要将人类基因组以外人类组学数据对美国国家安全带来的风险及监管的经济和技术成本纳入考量。

三、受管控的数据交易参与方

行政令所管控的数据交易方包括受关注国家和受管制对象。具有受关注国家背景或联系的实体或个人都可能落入到受管制对象的范围内，而不仅限于受关注国家境内实体或个人。

美国目前考虑确定六个受关注国家：中国（包括香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。

受管制对象包括由受关注国家管辖、指导、所有或控制的某些实体和个人，向这些对象提供数据将使该数据处于受关注国家的掌控之下。行政令定义四类受管制对象：

（1）由受关注国家拥有、控制或受其管辖或指示的实体；

（2）作为此类实体的雇员或承包商的外国人；

（3）作为受关注国家的雇员或承包商的外国人；

（4）主要居住在受关注国家领土管辖范围内的外国人。

四、受管控的数据类型及范围

目前行政令管控的数据类型为敏感个人数据和美国政府数据。

一是敏感个人数据。

行政令将“敏感个人数据”定义为“在符合适用法律（包括《国际紧急经济权力法》第203（b）（1）和（b）（3）条）范围内，涵盖的个人标识符、地理位置及相关传感器数据、生物识别标识符、个人健康数据、人类组学数据、个人财务数据，或者任何这些数据的组合。且这些数据若与任何可识别的美国个人或离散的、可识别的美国个人群体相关联或可链接，则该数据可能会被受关注国家利用并损害美国国家安全”。司法部计划在拟议规则中进一步细化敏感个人数据类别的范围，重点监管：

（1）明确列出的受保护个人身份识别数据类别和组合（并非所有个人身份识别信息）；

（2）精确的位置信息数据；

（3）生物识别信息；

（4）人类基因组数据；

（5）个人健康数据；

（6）个人财务数据。

敏感个人数据将不包括作为公共记录的数据，例如法院或其他政府记录这类合法并且普遍对公众可用的数据，以及个人通信数据。

二是政府数据。

行政令将“政府数据”定义为，如果司法部部长认为这些数据具有被受关于国家利用以损害美国国家安全的高风险，并且同时具有下列情形之一的，则被认定为政府数据：

（1）交易方被认定为与司法部部长根据行政令第2条颁布的条例中规定的联邦政府现任或最近的前雇员或承包商或前高级官员（包括军方）有联系或可联系的类别；

（2）与司法部部长根据行政令第2条颁布的条例中规定的可用于识别联邦政府（包括军方）现任或最近的前雇员或承包商或前高级官员的数据类别相关联；

（3）与联邦政府（包括军方）控制的敏感地点有联系或可联系，这些地点的地理区域将公开指定。

目前行政令仅对人类组学数据中的人类基因组数据进行管控，但下一步有计划对是否要管控人类基因组以外人类组学数据进行评估。

行政令将“人类组学数据”定义为，由人类生成的表征或量化人类生物分子的数据，例如人类基因组数据、表观基因组数据、蛋白质组学数据、转录组学数据、微生物组学数据或代谢组学数据，这些数据由司法部部长根据行政令第2条颁布的条例进一步定义，这些数据可参考行政令第6条所述的报告。

五、禁止性、限制性数据交易类别

司法部拟议规则禁止美国人与受关注国家或受管制实体之间的两类数据交易：

（1）数据经纪交易；

（2）基因组数据交易，涉及大量人类基因组数据或从中得出此类数据的生物样本的传输。

司法部拟议规则将进一步考虑确定三类限制性数据交易：

（1）涉及提供商品和服务的供应商协议（包括云服务协议）；

（2）雇佣协议；

（3）投资协议。

美国国土安全部的网络安全和基础设施局（CISA）将为限制性数据交易制定安全要求。

只有当数据交易超过规定的阈值（即美国人人数的阈值或美国设备数量的阈值）时，涉及上述六类美国人的敏感个人数据的交易才会被管控。但此阈值规则并不适用于美国政府数据的交易。

六、豁免的数据交易类别

行政令与司法部拟议规则将考虑对数据交易进行多项豁免，以下交易将被排除在管控范围之外：

（1）已受监管的金融交易；

（2）普通辅助业务运营，例如工资或人力资源；

（3）美国政府及其承包商、雇员和受资助者的活动，例如联邦政府资助的健康和研究活动，资助机构将自行监管这些活动；

（4）联邦法律或国际协议要求或授权的交易，例如交换乘客名单或国际刑警组织的请求。

司法部拟议规则还准备豁免特定投资活动（活动相关权利或影响力不会带来不可接受的国家安全风险），从而允许受关注国家或受管制对象能够访问敏感个人数据。

七、许可证机制及流程

根据行政令指示，司法部拟议规则考虑为相关部门建立流程，用于签发一般许可证、特定许可证以及咨询意见：

（1）一般许可证将使商务部能够灵活地豁免或更改原本受管制的特定类别的交易的条件，或允许特定交易在缓冲期或清理期内进行；

（2）特定许可证将使公司和个人有机会申请针对管控规则的豁免，以便参与特定的数据交易，商务部将在与国务院、国土安全部的协商同意下做出特定许可决定；

（3）公司和个人也可就管控规则对特定交易的适用性请求咨询意见。

关于运作机制的六点问题

一、行政令与司法部拟议规则下的敏感数据出境管控措施何时生效？

行政令和司法部拟议规则不会立即施加新的法定义务，而是提供两轮沟通机会，在最终规则颁布前，让公众就拟议规则反馈意见。2024年2月28日，司法部在《联邦公报》发布拟议规则的预通知，并向社会公开征求意见，意见征询期为45日。下一步，司法部将仔细考虑公众对预通知的意见，在《联邦公报》公布拟议规则全文并再次征求公众意见。只有最终规则生效后，公司和个人才需遵守这些规定。

R Street Institute网络安全和新兴威胁团队的政策主任Brandon Pugh表示，“行政令是防范美国公民数据被受关注国家利用的正确的一步，但还需要采取进一步行动。成功的关键在于正确实施和制定配套规定，以确保贸易、创新、正常商业行为和现有法律框架不会受到过度影响。”

二、行政令与司法部拟议规则下敏感数据出境管控措施如何落地？如何与美国既有的监管机制融合衔接？

关于限制外国企业收集、跨境传输美国人数据，美国既有的监管机制包括：

（1）外国投资安全审查。美国外国投资委员会和美国电信服务部门外国参与评估委员会进行的个案审查；

（2）信息通信技术和服务供应链安全审查。美国商务部针对对手国家生产的在美使用的信息和通信技术与服务相关交易进行审查；

（3）敏感产品技术出口管制。美国司法部表示，行政令将在既有监管机制的基础上，为美国人的敏感个人数据提供额外保护措施，并填补现有机制的漏洞：

第一，美国外国投资委员会职权范围包括审查对涉及关键技术、关键基础设施或敏感个人数据的企业的非控股投资，但外国投资安全审查只在逐笔交易的基础上审查特定种类的交易，无法提供前瞻性、明确的规则，以解决涉及直接向受关注国家出售数据或为受关注国家获取美国人敏感个人数据提供便利的供应商或雇佣关系的商业活动所带来的国家安全风险。

第二，信息通信技术和服务供应链安全审查对象是涉及对手国家生产的在美使用的信息和通信技术与服务相关的各类交易，而行政令将管控可能被传输到受关注国家的美国人敏感个人数据相关交易。

第三，出口管制用于管控敏感美国产品和技术的转移，并防止受关注国家出于恶意目的获取、使用这些产品或技术，但并没有管制敏感个人数据本身的流动问题，也没有解决这类数据出境带来的间谍等相关国家安全风险。

三、美国公司和个人将如何遵守行政令与司法部拟议规则要求？违反会受到哪些处罚？

司法部表示，拟议规则不会引入全面广泛的尽职调查、记录保存义务，也不会在美国全行业内引入报告义务，而是采用一种基于《国际紧急经济权力法》经济制裁计划（由美国财政部外国资产控制办公室管理）的方法来确保合规：

（1）美国公司和个人需根据其个性化风险状况自行制定并实施合规计划，风险状况将视情况而定，可能会因公司规模、复杂程度、产品和服务、客户和交易方，以及地理位置等一系列因素而有所不同；

（2）若发生违规行为，美国财政部将在执法行动中考虑合规计划是否充分；

（3）拟议规则目前设想仅在特定情况下提出记录保存和报告要求，作为参与受限交易的条件或获取一般许可证或特定许可证的要求。

行政令授权司法部调查违规行为并采取《国际紧急经济权力法》框架下可用的民事和刑事措施。司法部正在考虑对违规行为设定8项民事处罚。任何违规行为的具体处罚将取决于违规事实和情况，合规计划的充分性也将纳入考量。

四、行政令是否会禁止源自对手国家的应用程序或社交媒体平台？

美国司法部表示，行政令不会禁止应用程序或社交媒体平台，也不针对任何特定应用程序或技术。行政令只针对应用程序和社交媒体平台收集、使用的部分数据（敏感个人数据，而非全部数据）所带来的最严重的数据安全风险，且仅适用于有限数量的受关注国家。行政令只关注受关注国家获取敏感数据带来的国家安全风险，不关注社交媒体带来的更广泛的国内隐私挑战。

五、行政令是否会监管美国国内的数据收集、处理和使用活动？

美国司法部表示，行政令不会监管美国人之间的纯粹国内交易（例如美国人在美国境内收集、维护、处理或使用数据），除非该美国人被公开指定为代表受关注国家行事的人员。

六、该计划是否会监管美国与其他不受关注国家之间的数据交易？

司法部拟议规则考虑只监管美国人与受关注国家或受管制对象进行的数据交易，只有一种有限的例外情况：为应对数据被外国第三方“再出口”到受关注国家的风险，允许美国人与非受管制对象的外国人进行数据经纪交易的前提是该外国人同意不转售或不允许受关注国家或受管制对象获取数据。

行政令措施要点与具体要求梳理表

来源：公安三所网络安全法律研究中心