美国司法部就如何实施有关防止中国等受关注国家获取美国敏感数据的行政令,发布了最终规则
2024年2月28日,美国总统拜登发布了14117号行政令1,旨在防止受关注国家获取美国人的大量敏感个人数据和政府相关数据导致的美国国家安全风险。同年3月5日和10月29日,美国司法部为行政令的实施,先后发布了有关拟议规则的预先通知(Advanced Notice of Proposed Rulemaking2)和有关拟议规则的制定通知(Notice of Proposed Rulemaking3)(以下统称“拟议规则”),并向社会征求意见。
在上述行政令、拟议规则的基础上,并充分考量了公众意见后,美国司法部最终于2024年12月27日发布了关于防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定的最终规则4(以下简称“最终规则”),以实施行政令。该最终规则将于其在《联邦公报》发布之日(计划于2025年1月8日发布)起90天后生效,其中某些尽职调查义务、审计义务、报告义务将于发布之日起270天后生效。
由于中国(含港澳)与俄罗斯等其他5个国家5被确认列入受关注国家名单中,因此该最终规则可能会对开展涉美业务的中国企业,尤其是业务涉及大量数据处理的企业,例如智能网联汽车、医疗健康、跨境电商、游戏等,产生重大影响。鉴于此,本文特对该最终规则的主要内容、相关罚则等进行阐述,以期为中国企业评估如何应对该规则对其涉美业务的法律风险并采取相应合规措施提供参考。
一、最终规则的主要内容
根据行政令,美国禁止或限制美国主体(United States Person)参与(包括获取、持有、使用、转移、运输、出口或交易)涉及受关注国家或受关注国家国民的利益的符合下述条件的交易:(1)涉及美国境内大量敏感个人数据或政府相关数据;(2)交易可能使得受关注国家或受关注主体能够访问美国境内大量敏感个人数据或政府相关数据,从而导致对国家安全构成不可接受的风险;(3)相关交易在日后颁布的具体法规生效后已经启动的、正在进行或尚未结束;(4)不符合豁免条件或未获得许可;且(5)不属于金融服务(包括银行、资本市场和金融保险服务),也不属于遵守任何联邦法律或监管要求所需的活动。
最终规则的主要内容与此前发布的拟议规则基本一致,只是根据社会各界相关方的反馈意见,对某些定义和涉及的数据数量触发门槛值等进行了调整,进一步明确了行政令中关于涉及大量美国境内敏感个人数据或政府相关数据的交易中的受限数据类型、数据数量触发门槛值、受关注国家、受关注主体及美国主体的具体范围、受限交易类别(包括禁止交易和受限制交易)、豁免交易类别、美国主体从事受限交易需开展的合规机制(包括实施内部数据合规计划及开展第三方审计、向监管机构进行报告或请求获取司法部的咨询意见、获取监管机构颁发的一般许可或特定许可证)、具体罚则等方面的具体规则。以下分别详细阐述:
1. 受限数据类型
根据最终规则,受限数据类型包括敏感个人数据(Sensitive personal data)和政府相关数据(Government-related data)。
其中敏感个人数据包括:
(1) 特定的个人标识符(covered personal identifiers),行政令将“特定的个人识别符”定义为:具体列出的个人身份数据类别,这些数据与个人合理关联,并且无论是与其他特定的个人识别符、其他敏感个人数据,还是与其他交易方根据交易披露的其他数据相结合,而这些数据使得个人身份数据可被受关注国家利用——可用于从数据集中识别个人,或将多个数据集中的数据与个人关联起来,除非存在某些排除情形。最终规则明确了“特定的个人标识符”包括两个子类别:(1)所列标识符(Listed identifiers)与任何其他所列标识符的组合;以及(2)所列标识符与交易方根据交易披露的其他数据相结合,使得所列标识符关联或可关联到其他所列标识符或其他敏感个人数据。但排除两种情形:(1)仅与其他人口统计或联系人数据相关的人口统计或联系数据;以及(2)基于网络的标识符、帐户认证数据或呼叫细节数据,其仅链接到提供电信、网络或类似服务所需的其他基于网络的标识、帐户验证数据或呼叫详细数据。
关于所列标识符(Listed identifiers)具体包含的类型,最终规则延续了拟议规则中的规定,将其定义为以下任何数据字段中的任何数据:(1)完整的政府身份识别或账户号码(例如社会保障号码、驾照或州身份识别号码、护照号码或外国人登记号码)或片段;(2)与金融机构或金融服务公司相关的完整财务账户号码或个人识别号码;(3)基于设备或硬件的标识符(例如国际移动设备标识(“IMEI”)、媒体访问控制(“MAC”)地址或用户识别模块(SIM卡号码);(4)人口统计或联系数据(例如姓名、出生日期、出生地、邮政编码、居住街道或邮政地址、电话号码、电子邮件地址或类似的公共账户标识符;(5)广告标识符(例如谷歌广告ID、苹果广告商ID或其他移动广告标识符,即“MAID”);(6)账户身份验证数据(例如账户用户名、账户密码或安全问题的答案);(7)基于网络的标识符(例如互联网协议IP地址或Cookie数据);或(8)通话详细数据(例如客户专有网络信息,即“CPNI”)。
(2) 精确地理定位数据(Precise geolocation data),指能够确定个人或设备1000米以内物理位置的历史数据或实时数据。
(3) 生物识别标识符(Biometric identifiers),指用于识别或验证个人身份的可测量物理特征或行为,包括面部图像、声纹和声型、视网膜和虹膜扫描、手掌印和指纹、步态以及登记在生物识别系统中的键盘使用模式及由该系统创建的模板。
(4) 人类组学数据(Human ‘omic data),指以“人类基因组数据(human genomic data)”为代表、构成人类细胞中全部或部分遗传指令的核酸序列数据,包括个人“基因检测”结果及任何人类基因测序相关数据结果,不包括源自人类基因组数据或与之整合的非人类数据,如病原体基因序列数据。司法部在最终规则中纳入除人类基因组之外的其他三组人类“组学”数据,包括人类表观基因组数据、蛋白质组学数据和转录组学数据,并对该额外的三组人类“组学”数据设立了不同的数据数量触发门槛值。
(5) 个人财务数据(Personal financial data),指个人信用卡、借记卡或贷记卡或银行账户的数据,包括购买和支付历史;银行、信贷或其他财务报表中的数据,包括资产、负债、债务和交易;信用报告或“消费者报告”中的数据。
(6) 个人健康数据(Personal health data),指表明、揭示或描述个人过去、现在或未来身体或心理健康状况的个人信息,以及向个人提供医疗保健服务或向个人提供医疗保健服务历史、现在或未来支付相关的健康信息。包括基本的身体测量和健康属性(如身体机能、身高和体重、生命体征、症状和过敏);社会、心理、行为和医疗诊断、干预和治疗历史;测试结果;锻炼习惯日志;免疫数据;生殖健康和性健康数据;以及关于处方药使用或购买数据。司法部表示最终规则将分类运作,并确定个人健康数据类别总体上符合“可被受关注国家利用以损害美国国家安全”以及“与任何可识别的美国个人或与一个离散的可识别的美国人群体有联系或可联系”的要求。
敏感个人数据不包括与个人无关的公开或非公开数据(商业秘密和专有信息)、从政府公开信息或媒体获得的信息、个人通信以及其他法定的信息或信息材料中合法公开的数据。
政府相关数据包括:
(1) 政府活动地点数据,在最终规则子部分N§202.1401中,司法部公布了《政府相关位置数据列表》(Government-Related Location Data List),其中列出了构成政府活动地点数据的“精确地理位置数据”,包括每个地点的精确经度和纬度坐标。根据最终规则的说明,该《政府相关位置数据列表》中的地理坐标主要涉及由联邦政府控制的国防部场地、设施,如基地、营地、哨所、车站、院子、中心或美国及其领土上任何船只、靶场和训练区的母港设施。同时,该《政府相关位置数据列表》并不是最终的完整版本,国防部将与其他机构协商,继续考虑在名单中增加其他地点,例如,美国大使馆和领事馆、某些联邦部门和机构总部地点,以及其他支持联邦政府国家安全、国防、情报、执法或外交政策任务的设施或地点。
(2) 美国政府人员数据:指与美国政府(包括军队和情报机构)现任或近期离任雇员或承包商,或前任高级官员相关联或可关联数据。其中,“近期离任雇员或承包商”是指在受限制的数据交易发生前2年内,有偿或无偿为美国政府工作或向美国政府提供服务的雇员或承包商。
2. “大量”敏感个人数据的数量界定
最终规则对于禁止或受限制交易中涉及的敏感个人数据的数量设置了具体的触发门槛阈值,具体而言:
(1) 数量计算的时间范围:给定交易发生前12个月内的任何时候,无论是单一交易还是同类交易累计,达到或超过该类数据对应阀值;
(2) 具体的门槛阈值:司法部将六类敏感个人数据按照敏感程度分成四个级别,并设置了不同的门槛阈值:
敏感个人数据类型 | 槛 值 |
人类基因组数据 | 100人 |
除人类基因组数据外的其他人类组学数据(人类表观基因组数据、蛋白质组学数据和转录组学数据) | 1,000人 |
生物识别标识符 | 1,000人 |
精确的地理定位数据 | 1,000台美国设备 |
个人健康数据 | 10,000人 |
个人财务数据 | 10,000人 |
特定的个人标识符 | 100,000人 |
(3) 数量计算的具体数据格式范围:司法部指出,与美国人相关的,以任何格式呈现的大量数据集或组合,无论是否为匿名、伪匿名、去标识化还是加密的,都需要涵盖在内。
对于政府相关数据,则没有具体的数量触发门槛值,意味着只要相关交易中涉及政府相关数据出境,就可能受到禁止或限制。
3. 受关注国家、受关注主体及美国主体
最终规则明确了受关注国家包括:中国(包括香港特别行政区和澳门特别行政区)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉六个国家。这意味着凡是与以上国家相关的交易都可能会受到特别的限制。
关于受关注主体,最终规则明确了受关注主体(包括实体和个人)具体包括以下几类:
A:由受关注国家直接或间接拥有50%或以上股权的实体,以及在受关注国家注册或其主要业务地在受关注国家的实体;
B:由A、C、D、E涵盖的主体直接或间接拥有50%或以上股权的实体;
C:作为受关注国家、A、B或E涵盖主体的雇员或合同工的外国人;
D:主要居住在受关注国家领土管辖范围内的外国人;
E:美国司法部部长指定为由受关注国家拥有或控制,或受关注国家管辖或指导的主体,或是代表或声称代表受关注国家或相关人员行事的主体,或者是“故意”(知道或应当知道)导致或引起(包括决定或批准)违反相关规定行为的主体。即美国司法部被授权可以指定黑名单,确定将特定实体或个人(无论该实体或个人位于何处)作为受关注主体。
最终规则明确以下四类主体属于美国主体:
(1) 任何美国公民、国民或合法永久居民;
(2) 以难民身份进入美国或获得庇护的人;
(3) 完全根据美国法律或司法管辖而成立的实体(包括外国分支机构);
(4) 任何位于美国境内的人。
4. 受限交易类别
最终规则明确规定了涉及受关注国家或受关注主体访问大量敏感个人数据或政府相关数据的受管辖数据交易类别,美国主体被禁止或限制与关注国家或受限制主体进行此类交易。关于禁止交易(Prohibited transaction)和受限制交易(Restricted Transactions)的具体认定规则如下:
(1) 禁止交易
禁止交易具体包括:
数据经纪交易,指任何数据接收方从任何数据提供方处购买、被许可访问或通过其他类似的商业交易(不包括雇佣协议、投资协议或供应商协议)访问数据,其中数据接收方没有直接从与收集或处理的数据相关或可链接的个人处收集或处理数据。
从事数据经纪的美国主体与非受限数据交易方开展数据经纪业务时,须采取通过合同要求外国人不得将数据转售或提供给受关注国家或受限数据交易方等措施防止数据被转售或通过第三方转移给受关注国家以及受关注主体涵盖的实体或个人。
人类组学数据交易,指批量人类组学数据或可以从中衍生出此类数据的生物样本(指一定数量的组织、血液、尿液或其他人类来源的物质)的交易。
此外,需要注意的是,如果以逃避或避免、违反或试图违反关于禁止交易的规则为目的而进行的任何交易或阴谋,或者由美国主体参与的,且美国主体故意指导任何不符合关于禁止交易或受限制交易的规则的交易,也属于被最终规则禁止的交易。
(2) 受限制交易
受限制交易包括:
供应商协议;
雇佣协议;
投资协议。
根据最终规则,这些交易在满足美国国土安全部下属网络安全与基础设施安全局(Cybersecurity Infrastructure Security Agency,以下简称“CISA”)制定的安全措施的情况下可被允许。CISA发布了与最终规则配套的安全要求,包括网络安全措施(例如基本的组织网络安全政策、实践和要求已经到位、数据最小化和屏蔽措施、加密和使用隐私增强技术)。6
5. 豁免交易类别
最终规则对于十多类交易规定了豁免适用的可能,例如不转移任何价值的个人通信(例如邮政、电报、电话或其他不涉及任何有价物品转移的个人通信),又如某些与金融活动或服务、购物或支付处理相关的交易,如银行业、资本市场或金融保险活动,也包括美国跨国公司内部业务运营产生的数据交易(例如用于人力资源管理、工资支付、费用监控和报销、税费缴纳、取得营业证照、外部审计、合规、风险管理、差旅、客户支持、员工福利和员工的内部和外部沟通等),或者美国联邦法律或所列举国际协议要求或授权的交易 ,或者获得或保持在受关注国家批准监管药品、生物制品、医疗设备或组合产品所必需的“监管批准数据”(受限于特定要求)等。
6. 美国主体从事受限交易需开展的合规机制
(1) 数据合规计划
根据最终规则,未来从事受限交易的美国主体应制定并实施数据合规计划,以履行开展尽职调查的合规义务。该计划至少包括下列内容:
a) 基于风险的程序,用于核实受限交易中涉及的数据流,包括以可审计的方式核实并记录所规定的内容。
b) 涉及供应商的受限交易,需要通过基于风险的程序核实供应商身份;
c) 描述数据合规计划的书面政策,该政策每年都需要经由负责合规的公司内官员、高管或其他员工认证;
d) 描述履行最终规则中要求的基于CISA制定受限交易安全要求的书面政策,每年需由负责合规的公司内官员、高管或其他员工进行认证;以及
e) 司法部长可能要求的任何其他信息。
(2) 第三方审计
关于受限交易的审计,最终规则要求从事任何受限交易的美国主体应进行符合要求的审计。且规定对于审计员资质、时间要求(必须每年1次)、需要核实的具体内容、审计报告所需涵盖的事项进行了规定。从事受限数据交易的美国主体必须保留审计报告及相关记录至少10年。
(3) 年度报告义务
最终规则也提出了美国主体需承担的年度报告义务。一方面,规定了任何从事涉及云计算服务的受限交易,并且受关注国家或受关注主体拥有25%或以上的该美国主体的股权(直接或间接通过任何合同、安排、谅解、关系或任何其他方式)的美国主体必须承担年度报告义务。另一方面, 规定必须至迟在每年的3月1日前向司法部提交上一年度内(12月31日前)参与的涉及云计算服务的受限交易的报告。
(4) 禁止交易的强制性报告义务
对于禁止交易类型,最终规则提出了强制性报告义务的要求,即,任何收到他人从事被禁止交易提议并明确拒绝(包括使用软件、技术或自动化工具自动拒绝)的美国主体都必须提交报告。报告提交时间是拒绝被禁止交易的14天内。
(5) 咨询意见
根据最终规则,任何可能受行政令及具体规则监管的交易的美国主体,或代表此类交易方行事的代理人,如果认为某项交易可能受行政令及具体规则监管而被禁止或限制,均可向司法部长提交咨询申请,请求监管机关发表咨询意见。
在收到咨询请求后,司法部可酌情采取以下行动:(1)说明其根据行政令和具体规则对拟开展的交易的当前执法意图,或选择拒绝说明其当前执法意图;(2)在情况允许时,采取其认为适当的其他立场或启动其他行动。关于回应的期限,司法部应努力在收到咨询请求以及任何要求补充的信息和文件后的30天内作出回应。
(6) 许可证
根据行政令及最终规则,针对禁止和限制类交易,司法部可颁发许可证对相关交易进行许可,具体包括一般许可和特定许可。司法部长在与国务卿、商务部长、国土安全部长及其他相关机构负责人协商后,将建立颁发(包括修改或撤销)许可证的流程。
(i) 一般许可:指授权一类交易且不限于特定个人的书面许可。司法部可根据适当条款和条件颁布,以授权禁止或限制的交易。在颁布此类许可时,司法部长可考虑其认为相关和适当的、已分类或未分类的、来自任何联邦部门或机构或任何其他来源的任何信息或材料。
(ii) 特定许可:指向特定的一个人或多人颁发的、针对特定一项或多项交易的书面许可。该类许可只有经主体主动申请,在特定条件、适当条款条件下,才可能被允许,同时可能包括未能获得一般许可证的禁止或限制交易。
对于特定许可,任何与交易有利害关系的人都可以提交一份特定的许可申请。在决定是否颁发特定许可证时,司法部将根据申请人与许可申请相关的陈述或提交的材料、解释函以及其他提交的文件来决定是否授予特定许可。司法部应努力在收到特定许可请求以及任何要求补充的信息和文件后的45天内,对特定许可请求作出回应。作为特定许可颁发条件,申请人可能被要求提交与特定许可授权交易或多项交易相关的报告或声明,该报告或声明的形式和时间应符合许可的规定。未能及时提交此类报告或声明中规定的所有必要信息,可能会使特定许可提供的授权失效。
(7) 最终规则确立的罚则
最终规则子部分M对违规后果及处罚规则作出具体的规定,根据其规定,违规的行为可能导致民事和刑事处罚。民事处罚的最高金额为368,136美元,或交易金额的两倍(以金额较大者为准)。如果是故意违规、蓄意共谋、或协助或教唆违规,则可能面临刑事处罚,包括最高100万美元的刑事罚款或对个人最长20年的监禁(可能二者皆有)。
同时,最终规则还明确了作出具体处罚前的基本调查程序,包括司法部作出的违规调查初步结果和处罚预通知,相关的违规人员均可以在调查程序中进行回应。
二、对中国企业的影响和建议
具有涉美业务,特别是在美国当地设有实体的中国企业,如果存在能够访问美国境内大量敏感个人数据或政府相关数据的可能性时,需慎重考量其业务模式、人员安排等,评估在当前最终规则的监管体系下是否存在合规风险以及采取哪些措施确保合规。
结合最终规则的内容,我们初步建议中国企业,包括中国企业在美国设立的实体,在最终规则生效之日前的过渡期(90天/270天),可以采取以下措施评估风险:
(1) 对涉美业务中的数据处理活动进行全面梳理,确认收集、处理以及跨境转移数据的具体场景,数据的类型、数量、数据流、处理目的、方式等,为风险评估做好基础的信息采集工作;
(2) 对涉美业务的合作方(包括供应商)进行背景审查,判断合作方是否落入受关注主体的范围;
(3) 对经梳理的数据跨境传输活动以及合作方情况进行评估,判断相关数据处理活动是否落入最终规则监管的范围。若经评估,确认相关数据处理活动落入最终规则的受限数据类型并触发门槛值,且不存在豁免的情况,则需要结合实际情况,考虑采取相应的合规措施,可能包括:
a) 暂停向中国和其他受关注国家及受关注主体传输数据的活动,积极寻求替代方案。例如,考虑在美国境内或在非受关注国家存储数据,并严格限制受关注国家及受关注主体访问该等数据、更换合作方。
b) 审查公司与受限交易相关的协议条款,并确认是否已经涵盖并实施符合CISA要求的安全措施,包括内部组织及具体的数据安全措施。
(4) 即使经评估未发现可能落入最终规则监管范围的数据处理活动,也应当定期监控公司涉美业务中的数据处理情况,一旦有可能落入最终规则监管的范围,应当及时采取措施。
(5) 若中国企业在美国注册的实体从事受限交易,需要按照最终规则的要求履行相应的合规义务,包括制定并实施数据合规计划、开展第三方审计,履行法定的年度报告义务或关于禁止交易的强制报告义务。
(6) 对企业内部的合规制度、流程进行审查,在合作方引入、新项目立项、合规审计等制度和流程中纳入最终规则涉及的合规审查要点。
(7) 持续跟进美国司法部或其他相关部门发布的法规和监管动态,包括但不限于关注司法部发布的关于受关注主体的黑名单、对《政府相关位置数据列表》范围的补充更新、关于许可证的具体实施规则等等,并按照最新的监管要求及时调整合规措施。
君合的服务案例
自2024年年初行政令和拟议规则发布后,君合就开始持续关注拟议规则的立法进程,并与美国律师就拟议规则中具体条文在监管实践中如何理解保持密切沟通。同时,君合已经与美国律师合作,为国内的一些企业提供了有关行政令和拟议规则的咨询服务,服务涵盖数据处理活动摸排和初步风险评估、提供合规分析意见以及初步整改建议等,协助客户提前做好准备工作、管控风险、制定预案。
[1] Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern
[2] https://www.justice.gov/opa/pr/justice-department-implement-groundbreaking-executive-order-addressing-national-security
[3] https://www.justice.gov/opa/pr/justice-department-proposes-new-regulations-modernize-foreign-agents-registration-act
[4] Justice Department Issues Final Rule Addressing Threat Posed by Foreign Adversaries’ Access to Americans’ Sensitive Personal Data
[5] 被确认列入受关注国家名单的为:中国(含香港及澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉
[6] 具体的安全要求可以参见CISA官网内发布的信息:https://www.cisa.gov/resources-tools/resources/EO-14117-security-requirements。
