《防止受关注国家访问大量个人敏感数据和美国政府相关数据之行政令》 内容概况
2024年2月28日,美国总统拜登签署了一项名为《防止受关注国家访问大量个人敏感数据和美国政府相关数据》(Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)的行政令,该行政令旨在禁止或限制向中国、俄罗斯、伊朗等6国出售美国公民或美国政府的敏感数据(以下简称“《限制敏感数据传输令》”)。
《限制敏感数据传输令》是对2019年5月15日第13873号行政命令《保护信息和通信技术和服务供应链》及2021年6月9日第14034号行政命令《保护美国人的敏感数据不受外国对手攻击》相关措施的进一步细化和加强。该行政令内容目前还比较初步,其还授权美国司法部、国土安全部等机构在该行政令发布后的180天内,出台进一步的实施细则,更加明确地规定哪些数据属于应被禁止传输的敏感数据、哪些属于应被限制传输的数据、如何限制、如何豁免等事项。
目前美国司法部网站公布了实施《限制敏感数据传输令》的拟议规则制定的预通知(Advance Notice of Proposed Rulemaking, ANPRM),简要概述了司法部拟定的实施细则的主要内容,我所现将将司法部的ANPRM和已签署的《限制敏感数据传输令》基本内容进行总结,有关人士参考。
一、规制主体
(一)敏感数据的定义
《限制敏感数据传输令》的主旨在于禁止或限制受关注的人员将美国人或美国政府的敏感数据交易/传输给受关注的国家。因此受到《限制敏感数据传输令》规制的主体包括“敏感数据”、“受关注的人员”和“受关注的国家”。
美国司法部在ANPRM中提出,当如下6类数据的交易/传输达到“大批量”(Bulk volumes)的标准时,将会受到《限制敏感数据传输令》的规制。而“大批量”的标准目前暂无定义,仍待细化和规范(见下文第三部分),但对于涉及美国政府相关的数据时,则不受大批量标准的约束。
1.涵盖个人身份识别信息的特定数据种类或组合;
不是所有的个人身份识别信息都受法案规制,司法部将列出受《限制敏感数据传输令》规制的特定类别,目前暂时列举的类别包括:
(1)政府部门用于识别个人身份的信息(如社保号、驾照号、护照号等);
(2)与金融机构或金融服务公司相关的金融账户号码等;
(3)设备或基于硬件的身份识别信息(如进网号码、电话SIM卡等);
(4)用于人口统计或联系的信息(如姓名、出生日期等);
(5)广告识别信息(如谷歌的Advertising ID, iPhone手机的Apple ID等);
2.精确的地理定位数据(司法部拟指定哪些位置属于敏感区域);
3.生物识别信息;
4.人类基因组数据(human genomic data,待定义);
5.个人健康数据,指个人可识别的健康数据,包括受关注人员和其业务伙伴收集的数据等;
6.个人财务数据(如个人的信用卡、借记卡或银行账户的数据,包括购买和支付记录、其他财务报表中的数据等)。
注:美国司法部指出,列出的如上6类敏感数据类别不包括向公共开放的public record,如法庭记录或其他政府部门的数据,如受教育背景、雇佣历史、犯罪记录、网页浏览记录等,更详细的规范仍在研究和制定中。
(二)受关注人员(Covered Persons)的范围
根据美国司法部的预通知,目前仅对此类人员进行了范围上的定义,司法部还打算定期发布和更新受关注人员的名单,可能会类似于美国商务部的制裁名单/Entity List。
受关注人员的范围:
1.由受关注国家直接或间接拥有50%或50%以上股份的实体,或根据受关注国家法律组建或特许的实体,或主要营业地位于受关注国家的实体;
2.由第(1)类实体或第(3)、(4)或(5)类实体直接或间接拥有50%(含)以上股份的实体;
3.是受关注国家或属于第(1)、(2)或(5)类实体的雇员或承包商的外国主体;
4.主要居住在受关注国家领土管辖范围内的外国主体;
5.其他由Attorney General认定的,由受关注国家拥有、控制、受其管辖或指示的任何实体;代表或声称代表受关注国家或受关注人员行事的任何实体;或在明知的情况下违反或指示违反规定的任何实体,或应属于受关注人员的人或实体。
(三)受关注国家的范围
《限制敏感数据传输令》授权司法部可以对手关注国家范围进行增删,目前暂定的6个受关注国家如下:
1.中国(包括香港和澳门);
2.俄罗斯;
3.伊朗;
4.朝鲜;
5.古巴;
6.委内瑞拉。
二、限制措施
对于禁止或限制的交易类型,目前美国司法部和其他部门仍在研究和制定细则,信息较少,有待后续关注。
(一)禁止交易的类型
1.数据经纪交易(data-brokerage transactions);
2.涉及大量人类基因组数据或生物标本转移的数据交易。
(二)限制交易的类型
1.涉及提供商品和服务的供应商协议(包括云服务协议);
2.劳动协议;
3.投资协议。
三、豁免范围
美国司法部还考虑设立一套流程,允许相关政府部门对一些交易或人员发放一般性许可或特定许可,或给予一些受管制的交易类别一定的缓冲期或例外,具体措施仍待后续建立。目前列出的豁免人员和豁免交易类型如下:
(一)受关注人员的豁免范围
1.任何美国公民(citizen)、国民(national)或合法永久居民(lawful permanent resident);
2.任何被允许进入美国的难民或获得庇护的人;
3.任何仅依据美国法成立的实体或仅受美国法管辖的实体;
4.任何在美国境内的人(any person located in the United States)。
(二)豁免的交易类型或数据阈值
1.对于第一部分介绍的个人敏感数据,目前司法部暂定需要在达到一定阈值时才受《限制敏感数据传输令》的规制。,相关阈值暂定如下:
(1)对于涵盖个人身份识别信息的特定数据种类或组合,需达到一万至一百万个主体;
(2)对于个人财务数据,需达到一万至一百万个主体;
(3)对于个人健康数据,需达到一万至一百万个主体;
(4)对于精确的地理定位数据:需达到一百至一万个主体;
(5)对于生物识别信息:需达到一百至一万个主体;
(6)对于人类基因组数据,需要达到一百至一千个主体。
2.其他可以豁免的数据类型:
(1)通常属于金融服务、支付处理和合规监管的行为(如银行、资本市场或金融保险活动,受其他监管机构规范的金融活动,和个人购买或销售商品的支付行为等);
(2)通常属于美国的跨国企业的附属业务组成部分的行为(如支付工资或人力资源);
(3)美国政府及其承包商、雇员和受资助者的活动(如联邦政府资助的卫生和研究活动等资助机构自行监管的行为);
(4)由联邦法律或国际协议要求或授权的交易(如交换旅客舱单信息、国际刑警组织的请求、公共健康监测行为等)。
此外,司法部会同其他部门拟通过发布一般许可和特别许可的方式豁免可能被限制或禁止的受规制交易。根据ANPRM,相关部门拟对许可的主体提出特定要求。例如,就获得特定许可而言,相关要求包括持续提供关于授权交易的报告,或在可行的范围内,保证根据此类交易转移的任何数据可被恢复、不可逆转地删除或以其他方式使其失效等。
四、违规处罚
《限制敏感数据传输令》不会采取与《外国代理人登记法案》(FARA)类似的个案审查制,而是建立通用性的监管规则。如相关企业违反《限制敏感数据传输令》相关规定,可能会受到民事乃至刑事的处罚,具体内容各部门仍在研究中。