10月21日,美国司法部公布了“应对美国敏感数据面临的国家安全风险拟议规则”(NPRM),并再次征求公众意见。在限制中国获取或访问美国敏感数据方面,美国政府又往前走了一大步。
2024年2月28日,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“关注国家”利用的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知(ANPRM),概述了实施该命令的想法,并公开征求意见。对此,本公号在“美国限制对华传输数据中”进行了详细论述,这也是本公号颇具纪念意义的第一篇10万+。
在40天的评论期内,美国司法部收到了来自各行各业66份书面评论意见。与81页的ANPRM相比,今天发布的NPRM长达422页,已经是一份非常成熟的拟议规则。但需要注意的是,它仍然是一份规则草案,还没有正式成法生效。司法部给了公众30天(自NPRM在联邦公报发布之日起)时间继续提供反馈意见。
总体看,NPRM和ANPRM提出的基本思路保持了一致,在非常核心的管辖数据类型、关注国家、涵盖的人员或实体等方面基本没有什么变化,只是做了一些细微的调整。美国司法部将针对美国敏感数据向中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输,以涉及这些数据传输的“交易”为抓手,设计一个杂糅了财政部经济制裁和商务部出口管制的制度,对美国敏感数据在跨境交易中流向特定“关注国家”的主体进行管控,可以阻断,也可以发给一般许可和特殊许可。
在这套新的管控体系下,未来美国公司可能需要制定基于风险的合规计划,核心是美国司法部负责国家安全事务的助理司法部长Matthew G. Olsen(领导制定ANPRM和NPRM的官员)今年3月8日在美国律师协会的主旨演讲中提出的四个“知道”(four knows”):
知道你的数据:充分了解你交易的数据类别和数量,以及你是否有适当的保障措施来确保敏感信息不会被滥用。
知道数据的去向:审查现有的向他人(包括广告商、营销人员和供应商)出售或提供数据的协议,并立即更新这些协议,以确保有信心知道数据的去向。
知道谁可以访问数据:拟议的规则将适用于向总部位于中国、俄罗斯和伊朗等相关国家的非美国咨询公司和投资者转移数据。需要了解你提供了哪些数据,并考虑其影响。
知道的数据销售:审查涉及数据销售的任何交易,并评估是否有信心了解直接或间接打交道的任何第三方数据经纪人的业务。
以下结合ANPRM,对这个NPRM的内容进行一个介绍:
一、受管辖的数据
相比ANPRM,NPRM基本没有变化,还是那六类“美国人的批量敏感数据”和“美国政府相关数据”,只在一些细微之处有调整。
(一)“美国人的批量敏感数据”
1、涵盖的个人识别符:
可被用于从数据集中识别出特定个人,或将多个数据集与特定个人关联起来。ANPRM对个人标识符进行了列举式规定。在征求意见阶段,一些评论建议司法部采用和加州隐私法或GDPR中 “个人可识别信息” 的定义,但司法部觉得范围太宽,拒绝采纳。
2、精确的地理位置数据:
ANPRM中是“地理位置与相关传感器数据”,对“精确地理位置数据”的定义是“基于电子信号或惯性传感装置,以[米/英尺数]以内的精度确定个人或设备实际位置的数据,无论是实时数据还是历史数据”。司法部吸收评论意见删除了 “基于电子信号或惯性传感装置” 一词,以便更加技术中立。在NPRM中, “精确地理位置数据” 被定义为能够以 1000 米以内的精度确定个人或设备的物理位置的数据,包括历史数据和实时数据,例如GPS 坐标和IP地址。
3、生物识别标识符:
完全照搬ANPRM的定义,指可用于识别或验证特定个人的可测量的物理特征或行为,如人脸图像、声纹及声音模式、视网膜及红膜扫描、掌纹及指纹、步态、键盘使用模式等。
4、人类基因组数据:
采用ANPRM的定义方法,指代表构成人类细胞中整套或部分遗传指令的核酸序列的数据,包括个人 “基因检测”结果以及任何相关的人类遗传测序数据。源自人类基因组数据或整合到人类基因组数据中的非人类数据,如病原体遗传序列数据,被排除在外。其他人类 “组学” 数据。司法部透露,正在考虑在最终规则中将人类基因组数据之外的大量人类 “组学” 数据限制传输,可能包括人类表观基因组数据、糖组学数据、脂质组学数据、代谢组学数据、元多组学数据、微生物组学数据、表型组学数据、蛋白质组学数据和转录组学数据。就这些具体概念的含义,司法部希望听取公众意见。
5、个人财务数据:
采用ANPRM中所考虑的方法,指与个人的信用卡、借记卡、银行账户等相关的数据,包括购买和支付记录;银行、信用或其他财务报告中的数据,包括资产、负债、借款和交易;信用报告或消费者报告中的数据。司法部还回应一个评论的问询澄清:个人财务数据不包括“基于该数据的推断”。
6、个人健康数据:
NPRM的定义相比ANPRM有一些变化:和个人过去、现在或未来的身体或心理健康状况有关的健康信息;向个人提供的医疗保健;或者过去、现在或未来为向个人提供医疗保健而支付的费用。ANPRM的思路曾经是把 “个人健康数据” 定义为 1996 年《健康保险可携性和责任法案》(HIPAA)定义的 “可识别个人的健康信息”,“无论此类信息是否由‘受保实体’或‘业务伙伴’收集”。ANPR搬运了 HIPAA 定义的实质内容,同时提供了更清晰的解释,明确该定义不取决于HIPAA特定的关于数据是否由”受保实体“或”业务伙伴“处理的调查。此外,NPRM不根据信息是否识别个人来定义健康信息,这也是和与HIPAA定义不同的地方。
并不是只要属于上述数据才会落入新规管辖,ANPRM曾为各类敏感个人数据设置了不同的数量门槛,涵盖的数据交易发生前的12个月内的任何时间点,同一涵盖人员在所有交易中涉及的数据累计达到一定数量才能算。在ANPRM中,司法部为每个类别的数据的批量阈值设定了潜在的上限和下限,分别对应高风险和低风险,依靠数量级差异来初步判断风险。
司法部在NPRM里说:收到的评论对批量阈值的观点五花八门,但没有一个提供了可操作的数据点、用例或证据来支持替代的分析框架,或支持采用这个特定阈值而不是哪一个。司法部甚至还连同商务部分别去一对一请教了对这个问题发表了评论意见的人,但一无所获,也就是大家都不知道应该怎么来定这个阈值。最后,司法部采取的办法是折中,除人类基因组数据因为高度敏感以及能带来的超出反情报风险的重大额外国家安全风险,所以保持低阈值外,其他敏感个人数据类别的批量阈值大约是ANPRM中确定的初步范围的中间数量级(例如,生物识别标识符的批量阈值是1000 名美国人,对应ANPRM里100到10000的中间数)。这样,几类数据的批量阈值分别是:
・人类基因组数据:超过 100 名美国人。
・生物识别标识符和精确地理位置数据:超过 1000 名美国人。
・个人健康数据和个人财务数据:超过 10000 名美国人。
・涵盖的个人标识符:超过 100000 名美国人。
(二)政府相关数据
NPRM和ANPRM相比没有大的变化,定义了两类政府相关数据:
1、关于政府活动地点的数据,司法部制定了一个《政府相关位置数据列表》的格式,未来表上列出的地理区域内的“精确地理位置数据”都属于“政府相关数据”,不管是实时数据还是历史数据。军事基地、大使馆或执法部门等很可能属于这些地理区域。在决定是不是将把一个地理区域添加到《政府相关位置数据列表》时,司法部会和其他政府部门协商。
2、关于美国政府人员的数据,即与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联或可关联的数据。“近期前任雇员或承包商” 是指在涵盖的数据交易之前的 2 年内,有偿或无偿为美国政府工作或向美国政府提供服务的雇员或承包商。
二、受管辖的人员或实体
(一)关注国家
相比ANPRM,NPRM没有变化,还是中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
(二)涵盖的人员或实体:
没有变化:
由受关注国家直接或间接拥有50%或以上股权的实体,以及在受关注国家注册或其主要业务地在受关注国家的实体(A);
由A、C或E涵盖主体直接或间接拥有50%或以上股权的实体(B);
作为关注国家、A、B或E涵盖主体的雇员或合同工的外国主体(C);
主要居住在关注国家领土管辖范围内的外国主体(D);
美国司法部部长指定为由受关注国家拥有或控制,或受关注国家管辖或指导的主体,或是代表或声称代表受关注国家或相关人员行事的主体,或者是“故意”(知道或应知)导致或“引起”(决定、批准)违反相关规定行为的主体(E)。
三、受管辖的交易
由于NPRM的上位法是IEEPA,司法部只能从“交易”入手去实现限制数据跨境流动的目标,因此搞清楚受管辖的交易都有哪些至关重要。和ANPRM一样,NPRM还是分成了“禁止的交易”和“限制的交易”。
(一)禁止的交易
和ANPRM相比基本没有变化,包括:
数据经济交易:数据接收方不直接从个人处收集数据,而是从数据提供方(即数据经纪人)处购买、被许可访问数据。
涉及批量人类基因组数据或可以从中衍生出此类数据的生物样本的传输的交易。
(二)受限制的交易
和ANPRM保持一致,NPRM规定三类受限制的交易是供应商协议、雇佣协议和被动投资协议。ANPRM规定,这类交易需要按照国土安全部制定的后续规则采取安全措施,才能放行。和这次NPRM配套,国土安全部网络和基础设施保护局(CISA)在同一天发布了其拟议的安全要求,以供公众评论。具体的安全要求包括网络安全措施,如基本的组织网络安全政策和实践、物理和逻辑访问控制、数据掩码和最小化、加密和使用隐私增强技术。
NPRM还要求从事数据经纪的美国人和任何不是涵盖人员或实体的外国人开展数据经纪业务时,须满足某些条件,包括通过合同要求外国人不得将数据转售或提供给关注国家或涵盖人员或实体,从而解决数据被转售或通过第三方转移给关注国家以及涵盖人员或实体的风险。
为了解决潜在的规避问题,NPRM还禁止美国人故意指导规避法规的交易,以及违反法规的共谋。值得注意的是,非美国人如果导致或共谋导致美国人违反该规则,也要受到惩罚。
(三)豁免的交易
和ANPRM相比,NPRM吸收公众评论意见,增加了和临床试验数据、电信相关的两类豁免,这样具体的豁免交易就变成了:
金融服务、支付处理和监管合规相关的交易(如银行业、资本市场或金融保险活动;其他监管机构监管范围内的金融活动;提供或处理涉及个人财务数据或涵盖个人身份标识转移的支付,用于购买和销售商品和服务;以及法律和监管合规);
美国跨国公司内部业务运营产生的数据交易(如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易);
美国政府及其承包商、雇员和资助人的活动(如联邦资助的医疗和研究活动);
美国联邦法律或国际协议所要求或授权的交易(如旅客名单信息、国际刑警组织发出的搜查令等);
不转移任何价值的个人通信;涉及表达材料的信息材料的进口或出口(遵守伯曼修正案);以及旅行信息,包括有关个人行李、生活费用和旅行安排的数据;
和美国外国投资委员会(CFIUS)达成缓解措施协议后的投资协议,并且CFIUS明确要求将他们豁免;
通常偶然的和作为提供电信服务的一部分的交易,包括国际呼叫、移动语音和数据漫游。
交易涉及获得或保持在关注国家监管批准药品、生物制品、医疗设备或组合产品所必需的“监管批准数据”;或者是临床研究和上市后监测数据的一部分,是为了收集或处理临床护理数据以指示产品的实际性能或安全性,或支持或维持美国食药监局授权所必需的上市后监测数据的一部分,前提是数据去标识化。
四、合规机制
(一)许可程序
NPRM司法部发布许可证,以授权在特定条件下开展某些类别的禁止或限制交易,并列出了发布一般和特定许可证的要求和程序,包括申请特别许可证或在许可证申请被否之后的复议程序。
(二)指导和咨询意见
NPRM和ANPRM一样,允许司法部发布一般公共指导以解决常见问题、发布咨询意见以解决法规对特定交易的适用问题。
(三)内部合规项目
NPRM不会要求对所有的数据交易进行统一的尽职调查、记录保存、报告或其他合规义务。相反,它借鉴了财政部外国资产控制办公室(OFAC)管理的经济制裁计划,规定美国公司和个人可以根据各自的风险状况,开发和实施合适的合规计划。合规计划的内容会因公司规模、业务复杂性、产品和服务、客户和交易对手、以及地理位置等因素而有所不同。如果发生违规行为,司法部在执法过程中会考虑这些合规计划是否充分。
NPRM为参与受限制交易的美国公司设立了明确的合规要求,包括制定全面的合规计划,重点是基于风险的流程,例如验证并记录数据流动、敏感个人和政府数据的类型和数量、交易方身份、数据的最终用途和转移方式,以及供应商身份等。此外,NPRM还要求指定负责官员或员工每年对数据安全和合规的书面政策进行认证,独立审计师每年对合规性进行审查,并保存审计结果。为了确保符合CISA设定的安全标准,还需要维护与数据转移、交易日期、协议、许可证、法律意见以及相关文件的记录,并确保所有这些记录的准确性,且保留时间不少于10年。
(四)报告要求
涉及云计算服务的美国公司或个人,如果有25%或以上的股份是由关注国家或相关人士直接或间接持有,每年需要提交报告。
任何美国公司或个人,如果他们收到并明确拒绝了涉及数据经纪业务的禁止交易要约,需要报告这一情况。
涉及与外国非相关方的数据经纪交易的美国公司或个人,如果他们知道或怀疑对方违反了关于转售或将数据转移至关注国家或相关人士的限制,也需要进行报告。
任何美国公司或个人,如果他们依赖某些数据交易的豁免,并声称这些交易是为了获得或维持在关注国家市场上药品、生物制品、设备或组合产品的监管批准,也需要提交报告。
五、执行
NPRM采取基于IEEPA的执行机制,赋予司法部广泛的调查权力,包括调查、召开听证会、检查证据、询问证人,并发出相关的传票来获取证人或文件。如果发生违规行为,可能会面临民事和刑事处罚。
民事处罚受《联邦民事处罚通货膨胀调整法》的约束,最高可达368,136美元或交易金额的两倍,取金额较高者为准。NPRM还规定了司法部处理违规行为和发布民事处罚的程序,允许相关各方在处罚发布前有机会进行回应。故意违规的后果更严重,可能导致高达100万美元的刑事罚款,甚至最高20年的监禁。
六、和其他监管机制的关系
(一)和外国投资委员会(CFIUS)的互动
NPRM为涉及大量美国人敏感个人数据或政府相关数据的广泛商业交易和投资协议设定了框架,尤其是涉及“关注国家”的交易。这些规则从一开始就对外国投资施加数据安全要求,作为对CFIUS(美国外国投资委员会)处理案件方法的补充。如果某笔交易还涉及CFIUS的管辖,NPRM的安全要求将继续生效,直到CFIUS采取行动。如果CFIUS达成的缓解协议比NPRM更严格,那么CFIUS的要求将优先适用。
(二)与ICTS最终规则的互动
NPRM还涉及供应商协议,尤其是那些涉及信息和通信技术与服务(ICTS)的协议,这些协议可能受到商务部管理的ICTS最终规则约束。ICTS最终规则通常专注于由外国对手控制或影响的交易,这些交易可能对美国的国家安全构成风险。NPRM为这些交易设定了基本的安全要求,但如果商务部根据ICTS最终规则决定采取更严格的行动,那么商务部的要求优先适用。
七、其他一些重要澄清
(一)是否禁止外国对手的应用程序或社交媒体平台?
不会直接禁止任何应用程序或社交媒体平台,也不针对具体的应用或技术。它的重点是管理与敏感个人数据相关的风险,而不是所有数据或更广泛的国家安全问题,如应用程序的安全性或虚假信息传播。此外,NPRM主要关注由“关注国家”获取的数据带来的国家安全风险,而不涉及国内隐私问题。它明确排除了对表达性信息的监管,如视频、艺术作品和出版物。
(二)是否管理美国国内的数据交易?
不涉及美国境内的纯国内数据交易,除非相关的美国实体被明确公开列为“涵盖的人”。换句话说,只有涉及国家安全的特殊情况才会触发这些规则。
(三)是否赋予司法部新的监控权力?
不会赋予司法部新的权力来监控或追踪美国人的数据。它与政府依法进行的执法和国家安全活动无关,且明确排除了对个人通信的监管。
本文仅供业内人士学习研究使用,不构成投资建议,转载请注明出处。NPRM的规则全文、司法部公告、Fact Sheet以及美国司法部助理司法部长Matthew Olsen在美国律师协会的演讲中英文,参见知识星球: