10月21日，美國司法部公布了“應對美國敏感數(shù)據(jù)面臨的國家安全風險擬議規(guī)則”（NPRM），并再次征求公眾意見。在限制中國獲取或訪問美國敏感數(shù)據(jù)方面，美國政府又往前走了一大步。

2024年2月28日，拜登政府依據(jù)《國際緊急經(jīng)濟權(quán)力法》（IEEPA）發(fā)布了一項保護美國人個人敏感數(shù)據(jù)免遭“關(guān)注國家”利用的行政命令。美國司法部同時發(fā)布了執(zhí)行該行政命令的擬議規(guī)則制定的預通知（ANPRM），概述了實施該命令的想法，并公開征求意見。對此，本公號在“美國限制對華傳輸數(shù)據(jù)中”進行了詳細論述，這也是本公號頗具紀念意義的第一篇10萬+。

在40天的評論期內(nèi)，美國司法部收到了來自各行各業(yè)66份書面評論意見。與81頁的ANPRM相比，今天發(fā)布的NPRM長達422頁，已經(jīng)是一份非常成熟的擬議規(guī)則。但需要注意的是，它仍然是一份規(guī)則草案，還沒有正式成法生效。司法部給了公眾30天（自NPRM在聯(lián)邦公報發(fā)布之日起）時間繼續(xù)提供反饋意見。

總體看，NPRM和ANPRM提出的基本思路保持了一致，在非常核心的管轄數(shù)據(jù)類型、關(guān)注國家、涵蓋的人員或?qū)嶓w等方面基本沒有什么變化，只是做了一些細微的調(diào)整。美國司法部將針對美國敏感數(shù)據(jù)向中國（包括香港和澳門）、古巴、伊朗、朝鮮、俄羅斯和委內(nèi)瑞拉的跨境傳輸，以涉及這些數(shù)據(jù)傳輸?shù)摹敖灰住睘樽ナ?，設計一個雜糅了財政部經(jīng)濟制裁和商務部出口管制的制度，對美國敏感數(shù)據(jù)在跨境交易中流向特定“關(guān)注國家”的主體進行管控，可以阻斷，也可以發(fā)給一般許可和特殊許可。

在這套新的管控體系下，未來美國公司可能需要制定基于風險的合規(guī)計劃，核心是美國司法部負責國家安全事務的助理司法部長Matthew G. Olsen（領(lǐng)導制定ANPRM和NPRM的官員）今年3月8日在美國律師協(xié)會的主旨演講中提出的四個“知道”（four knows”）：

• 知道你的數(shù)據(jù)：充分了解你交易的數(shù)據(jù)類別和數(shù)量，以及你是否有適當?shù)谋Ｕ洗胧﹣泶_保敏感信息不會被濫用。

  
  

• 知道數(shù)據(jù)的去向：審查現(xiàn)有的向他人（包括廣告商、營銷人員和供應商）出售或提供數(shù)據(jù)的協(xié)議，并立即更新這些協(xié)議，以確保有信心知道數(shù)據(jù)的去向。

  
  

• 知道誰可以訪問數(shù)據(jù)：擬議的規(guī)則將適用于向總部位于中國、俄羅斯和伊朗等相關(guān)國家的非美國咨詢公司和投資者轉(zhuǎn)移數(shù)據(jù)。需要了解你提供了哪些數(shù)據(jù)，并考慮其影響。

  
  

• 知道的數(shù)據(jù)銷售：審查涉及數(shù)據(jù)銷售的任何交易，并評估是否有信心了解直接或間接打交道的任何第三方數(shù)據(jù)經(jīng)紀人的業(yè)務。

  
  

以下結(jié)合ANPRM，對這個NPRM的內(nèi)容進行一個介紹：

一、受管轄的數(shù)據(jù)

相比ANPRM，NPRM基本沒有變化，還是那六類“美國人的批量敏感數(shù)據(jù)”和“美國政府相關(guān)數(shù)據(jù)”，只在一些細微之處有調(diào)整。

（一）“美國人的批量敏感數(shù)據(jù)”

1、涵蓋的個人識別符：

可被用于從數(shù)據(jù)集中識別出特定個人，或?qū)⒍鄠€數(shù)據(jù)集與特定個人關(guān)聯(lián)起來。ANPRM對個人標識符進行了列舉式規(guī)定。在征求意見階段，一些評論建議司法部采用和加州隱私法或GDPR中 “個人可識別信息” 的定義，但司法部覺得范圍太寬，拒絕采納。

2、精確的地理位置數(shù)據(jù)：

ANPRM中是“地理位置與相關(guān)傳感器數(shù)據(jù)”，對“精確地理位置數(shù)據(jù)”的定義是“基于電子信號或慣性傳感裝置，以[米/英尺數(shù)]以內(nèi)的精度確定個人或設備實際位置的數(shù)據(jù)，無論是實時數(shù)據(jù)還是歷史數(shù)據(jù)”。司法部吸收評論意見刪除了 “基于電子信號或慣性傳感裝置” 一詞，以便更加技術(shù)中立。在NPRM中， “精確地理位置數(shù)據(jù)” 被定義為能夠以 1000 米以內(nèi)的精度確定個人或設備的物理位置的數(shù)據(jù)，包括歷史數(shù)據(jù)和實時數(shù)據(jù)，例如GPS 坐標和IP地址。

3、生物識別標識符：

完全照搬ANPRM的定義，指可用于識別或驗證特定個人的可測量的物理特征或行為，如人臉圖像、聲紋及聲音模式、視網(wǎng)膜及紅膜掃描、掌紋及指紋、步態(tài)、鍵盤使用模式等。

4、人類基因組數(shù)據(jù)：

采用ANPRM的定義方法，指代表構(gòu)成人類細胞中整套或部分遺傳指令的核酸序列的數(shù)據(jù)，包括個人 “基因檢測”結(jié)果以及任何相關(guān)的人類遺傳測序數(shù)據(jù)。源自人類基因組數(shù)據(jù)或整合到人類基因組數(shù)據(jù)中的非人類數(shù)據(jù)，如病原體遺傳序列數(shù)據(jù)，被排除在外。其他人類 “組學” 數(shù)據(jù)。司法部透露，正在考慮在最終規(guī)則中將人類基因組數(shù)據(jù)之外的大量人類 “組學” 數(shù)據(jù)限制傳輸，可能包括人類表觀基因組數(shù)據(jù)、糖組學數(shù)據(jù)、脂質(zhì)組學數(shù)據(jù)、代謝組學數(shù)據(jù)、元多組學數(shù)據(jù)、微生物組學數(shù)據(jù)、表型組學數(shù)據(jù)、蛋白質(zhì)組學數(shù)據(jù)和轉(zhuǎn)錄組學數(shù)據(jù)。就這些具體概念的含義，司法部希望聽取公眾意見。

5、個人財務數(shù)據(jù)：

采用ANPRM中所考慮的方法，指與個人的信用卡、借記卡、銀行賬戶等相關(guān)的數(shù)據(jù)，包括購買和支付記錄；銀行、信用或其他財務報告中的數(shù)據(jù)，包括資產(chǎn)、負債、借款和交易；信用報告或消費者報告中的數(shù)據(jù)。司法部還回應一個評論的問詢澄清：個人財務數(shù)據(jù)不包括“基于該數(shù)據(jù)的推斷”。

6、個人健康數(shù)據(jù)：

NPRM的定義相比ANPRM有一些變化：和個人過去、現(xiàn)在或未來的身體或心理健康狀況有關(guān)的健康信息；向個人提供的醫(yī)療保??；或者過去、現(xiàn)在或未來為向個人提供醫(yī)療保健而支付的費用。ANPRM的思路曾經(jīng)是把 “個人健康數(shù)據(jù)” 定義為 1996 年《健康保險可攜性和責任法案》（HIPAA）定義的 “可識別個人的健康信息”，“無論此類信息是否由‘受保實體’或‘業(yè)務伙伴’收集”。ANPR搬運了 HIPAA 定義的實質(zhì)內(nèi)容，同時提供了更清晰的解釋，明確該定義不取決于HIPAA特定的關(guān)于數(shù)據(jù)是否由”受保實體“或”業(yè)務伙伴“處理的調(diào)查。此外，NPRM不根據(jù)信息是否識別個人來定義健康信息，這也是和與HIPAA定義不同的地方。

并不是只要屬于上述數(shù)據(jù)才會落入新規(guī)管轄，ANPRM曾為各類敏感個人數(shù)據(jù)設置了不同的數(shù)量門檻，涵蓋的數(shù)據(jù)交易發(fā)生前的12個月內(nèi)的任何時間點，同一涵蓋人員在所有交易中涉及的數(shù)據(jù)累計達到一定數(shù)量才能算。在ANPRM中，司法部為每個類別的數(shù)據(jù)的批量閾值設定了潛在的上限和下限，分別對應高風險和低風險，依靠數(shù)量級差異來初步判斷風險。

司法部在NPRM里說：收到的評論對批量閾值的觀點五花八門，但沒有一個提供了可操作的數(shù)據(jù)點、用例或證據(jù)來支持替代的分析框架，或支持采用這個特定閾值而不是哪一個。司法部甚至還連同商務部分別去一對一請教了對這個問題發(fā)表了評論意見的人，但一無所獲，也就是大家都不知道應該怎么來定這個閾值。最后，司法部采取的辦法是折中，除人類基因組數(shù)據(jù)因為高度敏感以及能帶來的超出反情報風險的重大額外國家安全風險，所以保持低閾值外，其他敏感個人數(shù)據(jù)類別的批量閾值大約是ANPRM中確定的初步范圍的中間數(shù)量級（例如，生物識別標識符的批量閾值是1000 名美國人，對應ANPRM里100到10000的中間數(shù)）。這樣，幾類數(shù)據(jù)的批量閾值分別是：

?人類基因組數(shù)據(jù)：超過 100 名美國人。

?生物識別標識符和精確地理位置數(shù)據(jù)：超過 1000 名美國人。

?個人健康數(shù)據(jù)和個人財務數(shù)據(jù)：超過 10000 名美國人。

?涵蓋的個人標識符：超過 100000 名美國人。

（二）政府相關(guān)數(shù)據(jù)

NPRM和ANPRM相比沒有大的變化，定義了兩類政府相關(guān)數(shù)據(jù)：

1、關(guān)于政府活動地點的數(shù)據(jù)，司法部制定了一個《政府相關(guān)位置數(shù)據(jù)列表》的格式，未來表上列出的地理區(qū)域內(nèi)的“精確地理位置數(shù)據(jù)”都屬于“政府相關(guān)數(shù)據(jù)”，不管是實時數(shù)據(jù)還是歷史數(shù)據(jù)。軍事基地、大使館或執(zhí)法部門等很可能屬于這些地理區(qū)域。在決定是不是將把一個地理區(qū)域添加到《政府相關(guān)位置數(shù)據(jù)列表》時，司法部會和其他政府部門協(xié)商。

2、關(guān)于美國政府人員的數(shù)據(jù)，即與美國政府（包括軍隊和情報機構(gòu)）的現(xiàn)任或近期前任雇員或承包商，或前任高級官員相關(guān)聯(lián)或可關(guān)聯(lián)的數(shù)據(jù)。“近期前任雇員或承包商” 是指在涵蓋的數(shù)據(jù)交易之前的 2 年內(nèi)，有償或無償為美國政府工作或向美國政府提供服務的雇員或承包商。

二、受管轄的人員或?qū)嶓w

（一）關(guān)注國家

相比ANPRM，NPRM沒有變化，還是中國（包括香港和澳門）、古巴、伊朗、朝鮮、俄羅斯和委內(nèi)瑞拉。

（二）涵蓋的人員或?qū)嶓w：

沒有變化：

• 由受關(guān)注國家直接或間接擁有50%或以上股權(quán)的實體，以及在受關(guān)注國家注冊或其主要業(yè)務地在受關(guān)注國家的實體（A）；

  
  

• 由A、C或E涵蓋主體直接或間接擁有50%或以上股權(quán)的實體（B）；

  
  

• 作為關(guān)注國家、A、B或E涵蓋主體的雇員或合同工的外國主體（C）；

  
  

• 主要居住在關(guān)注國家領(lǐng)土管轄范圍內(nèi)的外國主體（D）；

  
  

• 美國司法部部長指定為由受關(guān)注國家擁有或控制，或受關(guān)注國家管轄或指導的主體，或是代表或聲稱代表受關(guān)注國家或相關(guān)人員行事的主體，或者是“故意”（知道或應知）導致或“引起”（決定、批準）違反相關(guān)規(guī)定行為的主體（E）。

  
  

三、受管轄的交易

由于NPRM的上位法是IEEPA，司法部只能從“交易”入手去實現(xiàn)限制數(shù)據(jù)跨境流動的目標，因此搞清楚受管轄的交易都有哪些至關(guān)重要。和ANPRM一樣，NPRM還是分成了“禁止的交易”和“限制的交易”。

（一）禁止的交易

和ANPRM相比基本沒有變化，包括：

• 數(shù)據(jù)經(jīng)濟交易：數(shù)據(jù)接收方不直接從個人處收集數(shù)據(jù)，而是從數(shù)據(jù)提供方（即數(shù)據(jù)經(jīng)紀人）處購買、被許可訪問數(shù)據(jù)。

  
  

• 涉及批量人類基因組數(shù)據(jù)或可以從中衍生出此類數(shù)據(jù)的生物樣本的傳輸?shù)慕灰住?

  
  

（二）受限制的交易

和ANPRM保持一致，NPRM規(guī)定三類受限制的交易是供應商協(xié)議、雇傭協(xié)議和被動投資協(xié)議。ANPRM規(guī)定，這類交易需要按照國土安全部制定的后續(xù)規(guī)則采取安全措施，才能放行。和這次NPRM配套，國土安全部網(wǎng)絡和基礎設施保護局（CISA）在同一天發(fā)布了其擬議的安全要求，以供公眾評論。具體的安全要求包括網(wǎng)絡安全措施，如基本的組織網(wǎng)絡安全政策和實踐、物理和邏輯訪問控制、數(shù)據(jù)掩碼和最小化、加密和使用隱私增強技術(shù)。

NPRM還要求從事數(shù)據(jù)經(jīng)紀的美國人和任何不是涵蓋人員或?qū)嶓w的外國人開展數(shù)據(jù)經(jīng)紀業(yè)務時，須滿足某些條件，包括通過合同要求外國人不得將數(shù)據(jù)轉(zhuǎn)售或提供給關(guān)注國家或涵蓋人員或?qū)嶓w，從而解決數(shù)據(jù)被轉(zhuǎn)售或通過第三方轉(zhuǎn)移給關(guān)注國家以及涵蓋人員或?qū)嶓w的風險。

為了解決潛在的規(guī)避問題，NPRM還禁止美國人故意指導規(guī)避法規(guī)的交易，以及違反法規(guī)的共謀。值得注意的是，非美國人如果導致或共謀導致美國人違反該規(guī)則，也要受到懲罰。

（三）豁免的交易

和ANPRM相比，NPRM吸收公眾評論意見，增加了和臨床試驗數(shù)據(jù)、電信相關(guān)的兩類豁免，這樣具體的豁免交易就變成了：

• 金融服務、支付處理和監(jiān)管合規(guī)相關(guān)的交易（如銀行業(yè)、資本市場或金融保險活動；其他監(jiān)管機構(gòu)監(jiān)管范圍內(nèi)的金融活動；提供或處理涉及個人財務數(shù)據(jù)或涵蓋個人身份標識轉(zhuǎn)移的支付，用于購買和銷售商品和服務；以及法律和監(jiān)管合規(guī)）；

• 美國跨國公司內(nèi)部業(yè)務運營產(chǎn)生的數(shù)據(jù)交易（如用于人力資源管理、工資支付、稅費支付、外部審計、差旅、合規(guī)、風險管理等目的的交易）；

• 美國政府及其承包商、雇員和資助人的活動（如聯(lián)邦資助的醫(yī)療和研究活動）；

• 美國聯(lián)邦法律或國際協(xié)議所要求或授權(quán)的交易（如旅客名單信息、國際刑警組織發(fā)出的搜查令等）；

• 不轉(zhuǎn)移任何價值的個人通信；涉及表達材料的信息材料的進口或出口（遵守伯曼修正案）；以及旅行信息，包括有關(guān)個人行李、生活費用和旅行安排的數(shù)據(jù)；

• 和美國外國投資委員會（CFIUS）達成緩解措施協(xié)議后的投資協(xié)議，并且CFIUS明確要求將他們豁免；

• 通常偶然的和作為提供電信服務的一部分的交易，包括國際呼叫、移動語音和數(shù)據(jù)漫游。

• 交易涉及獲得或保持在關(guān)注國家監(jiān)管批準藥品、生物制品、醫(yī)療設備或組合產(chǎn)品所必需的“監(jiān)管批準數(shù)據(jù)”；或者是臨床研究和上市后監(jiān)測數(shù)據(jù)的一部分，是為了收集或處理臨床護理數(shù)據(jù)以指示產(chǎn)品的實際性能或安全性，或支持或維持美國食藥監(jiān)局授權(quán)所必需的上市后監(jiān)測數(shù)據(jù)的一部分，前提是數(shù)據(jù)去標識化。

  
  

四、合規(guī)機制

（一）許可程序

NPRM司法部發(fā)布許可證，以授權(quán)在特定條件下開展某些類別的禁止或限制交易，并列出了發(fā)布一般和特定許可證的要求和程序，包括申請?zhí)貏e許可證或在許可證申請被否之后的復議程序。

（二）指導和咨詢意見

NPRM和ANPRM一樣，允許司法部發(fā)布一般公共指導以解決常見問題、發(fā)布咨詢意見以解決法規(guī)對特定交易的適用問題。

（三）內(nèi)部合規(guī)項目

NPRM不會要求對所有的數(shù)據(jù)交易進行統(tǒng)一的盡職調(diào)查、記錄保存、報告或其他合規(guī)義務。相反，它借鑒了財政部外國資產(chǎn)控制辦公室（OFAC）管理的經(jīng)濟制裁計劃，規(guī)定美國公司和個人可以根據(jù)各自的風險狀況，開發(fā)和實施合適的合規(guī)計劃。合規(guī)計劃的內(nèi)容會因公司規(guī)模、業(yè)務復雜性、產(chǎn)品和服務、客戶和交易對手、以及地理位置等因素而有所不同。如果發(fā)生違規(guī)行為，司法部在執(zhí)法過程中會考慮這些合規(guī)計劃是否充分。

NPRM為參與受限制交易的美國公司設立了明確的合規(guī)要求，包括制定全面的合規(guī)計劃，重點是基于風險的流程，例如驗證并記錄數(shù)據(jù)流動、敏感個人和政府數(shù)據(jù)的類型和數(shù)量、交易方身份、數(shù)據(jù)的最終用途和轉(zhuǎn)移方式，以及供應商身份等。此外，NPRM還要求指定負責官員或員工每年對數(shù)據(jù)安全和合規(guī)的書面政策進行認證，獨立審計師每年對合規(guī)性進行審查，并保存審計結(jié)果。為了確保符合CISA設定的安全標準，還需要維護與數(shù)據(jù)轉(zhuǎn)移、交易日期、協(xié)議、許可證、法律意見以及相關(guān)文件的記錄，并確保所有這些記錄的準確性，且保留時間不少于10年。

（四）報告要求

• 涉及云計算服務的美國公司或個人，如果有25%或以上的股份是由關(guān)注國家或相關(guān)人士直接或間接持有，每年需要提交報告。

• 任何美國公司或個人，如果他們收到并明確拒絕了涉及數(shù)據(jù)經(jīng)紀業(yè)務的禁止交易要約，需要報告這一情況。

• 涉及與外國非相關(guān)方的數(shù)據(jù)經(jīng)紀交易的美國公司或個人，如果他們知道或懷疑對方違反了關(guān)于轉(zhuǎn)售或?qū)?shù)據(jù)轉(zhuǎn)移至關(guān)注國家或相關(guān)人士的限制，也需要進行報告。

• 任何美國公司或個人，如果他們依賴某些數(shù)據(jù)交易的豁免，并聲稱這些交易是為了獲得或維持在關(guān)注國家市場上藥品、生物制品、設備或組合產(chǎn)品的監(jiān)管批準，也需要提交報告。

五、執(zhí)行

NPRM采取基于IEEPA的執(zhí)行機制，賦予司法部廣泛的調(diào)查權(quán)力，包括調(diào)查、召開聽證會、檢查證據(jù)、詢問證人，并發(fā)出相關(guān)的傳票來獲取證人或文件。如果發(fā)生違規(guī)行為，可能會面臨民事和刑事處罰。

民事處罰受《聯(lián)邦民事處罰通貨膨脹調(diào)整法》的約束，最高可達368,136美元或交易金額的兩倍，取金額較高者為準。NPRM還規(guī)定了司法部處理違規(guī)行為和發(fā)布民事處罰的程序，允許相關(guān)各方在處罰發(fā)布前有機會進行回應。故意違規(guī)的后果更嚴重，可能導致高達100萬美元的刑事罰款，甚至最高20年的監(jiān)禁。

六、和其他監(jiān)管機制的關(guān)系

（一）和外國投資委員會（CFIUS）的互動

NPRM為涉及大量美國人敏感個人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的廣泛商業(yè)交易和投資協(xié)議設定了框架，尤其是涉及“關(guān)注國家”的交易。這些規(guī)則從一開始就對外國投資施加數(shù)據(jù)安全要求，作為對CFIUS（美國外國投資委員會）處理案件方法的補充。如果某筆交易還涉及CFIUS的管轄，NPRM的安全要求將繼續(xù)生效，直到CFIUS采取行動。如果CFIUS達成的緩解協(xié)議比NPRM更嚴格，那么CFIUS的要求將優(yōu)先適用。

（二）與ICTS最終規(guī)則的互動

NPRM還涉及供應商協(xié)議，尤其是那些涉及信息和通信技術(shù)與服務（ICTS）的協(xié)議，這些協(xié)議可能受到商務部管理的ICTS最終規(guī)則約束。ICTS最終規(guī)則通常專注于由外國對手控制或影響的交易，這些交易可能對美國的國家安全構(gòu)成風險。NPRM為這些交易設定了基本的安全要求，但如果商務部根據(jù)ICTS最終規(guī)則決定采取更嚴格的行動，那么商務部的要求優(yōu)先適用。

七、其他一些重要澄清

（一）是否禁止外國對手的應用程序或社交媒體平臺？

不會直接禁止任何應用程序或社交媒體平臺，也不針對具體的應用或技術(shù)。它的重點是管理與敏感個人數(shù)據(jù)相關(guān)的風險，而不是所有數(shù)據(jù)或更廣泛的國家安全問題，如應用程序的安全性或虛假信息傳播。此外，NPRM主要關(guān)注由“關(guān)注國家”獲取的數(shù)據(jù)帶來的國家安全風險，而不涉及國內(nèi)隱私問題。它明確排除了對表達性信息的監(jiān)管，如視頻、藝術(shù)作品和出版物。

（二）是否管理美國國內(nèi)的數(shù)據(jù)交易？

不涉及美國境內(nèi)的純國內(nèi)數(shù)據(jù)交易，除非相關(guān)的美國實體被明確公開列為“涵蓋的人”。換句話說，只有涉及國家安全的特殊情況才會觸發(fā)這些規(guī)則。

（三）是否賦予司法部新的監(jiān)控權(quán)力？

不會賦予司法部新的權(quán)力來監(jiān)控或追蹤美國人的數(shù)據(jù)。它與政府依法進行的執(zhí)法和國家安全活動無關(guān)，且明確排除了對個人通信的監(jiān)管。

本文僅供業(yè)內(nèi)人士學習研究使用，不構(gòu)成投資建議，轉(zhuǎn)載自“數(shù)智新媒”。