2024年10月21日,美国司法部(“司法部”)发布了一份拟议规则制定通知(NPRM),以实施拜登总统的行政命令《防止有关国家获取美国人的大量敏感个人数据及美国政府相关数据》。该NPRM更新了2024年3月5日发布的提前通知规则制定通知(ANPRM),弥补了之前通知中的空白。有关ANPRM的更多细节,参见我们之前的文章:隐私快讯 | 拜登签署行政命令,限制美国的个人数据流通到多国,以及法规研究 | 深度解读白宫最新行政命令:出海企业数据合规策略影响几何。
NPRM的核心原则与ANPRM中概述的原则保持一致,进行了少量调整。主要澄清内容包括批量阈值的建立、“敏感个人数据”定义的细化,以及记录保存和尽职调查义务的修订。此外,NPRM概述了发放某些禁止或限制交易许可证的程序。值得注意的是,NPRM仍处于草案阶段,部门邀请公众在接下来的30天内对该提案发表评论。
主要内容
一、背景
2024年2月28日,拜登总统签署了第14117号行政命令,标题为《防止有关国家获取美国人的大量敏感个人数据及美国政府相关数据》(以下简称“行政命令”)。该命令指示司法部长建立禁止或限制美国人在涉及外国国家或其国民有利益的财产交易中进行交易的规定,特别是在这些交易涉及大量敏感个人数据或美国政府相关数据时。行政命令发布后,部门发布了ANPRM,邀请公众对这些规定的实施提出意见。部门现已将这些意见纳入NPRM。
二、范围
“有关国家”包括中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。NPRM适用于涉及对方访问以下数据的任何交易:
(1)数据经纪
(2)供应商协议
(3)雇佣协议
(4)投资协议
三、敏感个人信息
敏感个人信息的定义与ANPRM中识别的六种类型保持一致,略有修订: 涉及的个人标识符、 精确地理位置数据、生物识别标识符、人体基因组数据、 个人健康数据、个人财务数据。
(一)个人标识符
涵盖的个人标识符的定义与ANPRM保持不变,包括:
(1) 完整或截断的政府识别号或账户号码(如社会安全号码、驾照或州身份证号码、护照号码或外国人登记号码);
(2) 与金融机构或金融服务公司相关的完整金融账户号码或个人识别号码;
(3) 基于设备或硬件的标识符(如国际移动设备身份(IMEI)、媒体访问控制(MAC)地址或用户身份模块(SIM)卡号码);
(4) 人口统计或联系数据(如名字和姓氏、出生日期、出生地、邮政编码、居住街道或邮政地址、电话号码、电子邮件地址或类似公共账户标识符);
(5) 广告标识符(如Google广告ID、苹果广告ID或其他移动广告ID(MAID));
(6) 账户认证数据(如账户用户名、账户密码或安全问题的答案);
(7) 基于网络的标识符(如互联网协议(IP)地址或Cookie数据);或
(8) 通话详细数据(如客户专有网络信息(CPNI))。
一些评论者建议采用与州或欧盟隐私法一致的更广泛的“个人可识别信息”定义,但部门拒绝了这一提议,认为更广泛的定义会不必要地扩大法规范围,要求对更多商业交易进行监督。
(二)精确地理位置数据
NPRM将精确地理位置数据定义为“能够识别个人或设备物理位置的数据显示精度在1000米以内”,包括实时或历史数据,示例包括GPS和IP地址地理定位。
(三)生物识别标识符
生物识别标识符的定义与ANPRM保持不变,指可测量的身体特征或行为,用于识别或验证个体身份,例如面部图像和指纹。
(四)人体基因组数据
人体基因组数据的定义保持不变,但部门正在考虑在最终规则中纳入表观基因组、糖组、脂质组、代谢组、微生物组、表型组、蛋白组和转录组数据。
(五)健康数据
ANPRM规定“健康数据”应与HIPAA中的定义相同。NPRM修正了该定义,包括与个人身体或心理状况、医疗提供或医疗付款相关的健康信息,包括各种健康指标和治疗历史。
(六)个人财务数据
个人财务数据的定义与ANPRM保持不变,包括与个人金融账户和交易历史相关的数据,不包括推断内容。
四、关于“大量”的定义
您可能记得,ANPRM提出了不同类型敏感数据的各种潜在批量阈值,这使许多人对“批量”的精确定义及其在处理活动中的适用性感到不确定。NPRM明确将“批量”定义为在过去12个月内,任何满足或超过特定阈值的敏感个人数据数量:
- 收集或维护超过100名美国人的人体基因组数据;
- 收集或维护超过1,000名美国人的生物识别标识符;
- 收集或维护超过1,000台设备的精确地理位置数据;
- 收集或维护超过10,000名美国人的个人健康数据;
- 收集或维护超过10,000名美国人的个人财务数据;
- 收集或维护超过100,000名美国人的涵盖个人标识符;
- 组合数据,指任何包含上述多个类别的集合或数据集,或包含与其他敏感数据类别相关的任何列出标识符的集合,其中任何单一数据类型达到该数据类别中所收集或维护的最低数量的美国人或设备阈值。
除了人体基因组数据外,所有类别的敏感个人数据的提议阈值大致处于ANPRM中识别的初步数字的中间范围(例如,生物识别标识符的1,000名美国人阈值与ANPRM的100到10,000范围一致)。鉴于人体基因组数据的高度敏感性及其相关的国家安全风险,该类别的提议阈值设定在ANPRM识别的初步范围的最低端。
五、被限制的交易
NPRM禁止三类交易:供应商协议、雇佣协议和投资协议,除非进行交易的美国人符合“安全要求”或已获得许可。考虑到收到的意见,NPRM引入豁免的商业交易。
豁免交易:
- 个人通信:不涉及任何价值转移的邮政、电报、电话或其他个人通信。
- 信息材料:从任何国家进口或出口信息或信息材料,无论其格式或媒介如何。
- 旅行相关数据交易:与任何国家的旅行相关的普通交易,包括进口随身行李用于个人使用、在任何国家的维护(如生活费用和购买商品或服务)以及旅行安排,包括非计划的航空、海上或陆上旅行。
- 金融服务:包括通常提供金融服务的交易
- 企业集团交易:美国人与其位于关注国的子公司或关联公司之间的交易,前提是这些交易是普通行政或辅助业务操作的一部分,包括人力资源、薪酬、费用监控、风险管理、客户支持、员工福利以及内部和外部沟通。
- 电信服务:通常是提供电信服务的一部分,如国际通话和移动语音/数据漫游,不包括涉及数据经纪的交易。
- 临床研究和上市后监测数据:与美国FDA监管的临床研究或支持FDA药品或医疗器械申请的研究相关。
- 联邦法律要求或授权的交易
- 受CFIUS行动影响的投资协议
- 官方美国政府业务
- 药品和医疗器械授权
六、许可程序
除了以上的和面活动外,NPRM还提出了让实体透过许可申请来合法进行原本禁止的的交易。
许可的申请必须至少包括交易性质的描述,包括涉及的政府相关数据或美国敏感个人数据的类型和数量;交易各方的身份,包括所有权细节和国籍或主要居住地;数据的预期使用;以及数据转移的方法。检察长可能根据需要要求提供额外信息。任何对交易有兴趣的个人或实体都可以申请具体许可。部门的目标是在收到请求后45天内做出回应。
七、报告责任
NPRM提供了了需要提交报告的具体场景,包括:
- 任何参与涉及云计算服务的受限交易的美国人,如果其25%或更多的股权利益由关注国或涵盖的个人直接或间接拥有,必须提交年度报告。
- 任何收到并明确拒绝(包括通过软件或技术自动拒绝)参与涉及数据经纪的禁止交易提议的美国人,必须在拒绝后的14天内提交报告。
- 个人必须提供根据司法部要求的任何行为、交易或涵盖数据交易的完整信息,无论该交易是否在许可下进行。美国人需在意识到任何已知或疑似违反情况后的14天内提交报告。
八、处罚
违反该规则可能会面临民事和刑事处罚。最高民事罚款不得超过 368,136 美元或违反交易金额的两倍,以较高者为准。
故意实施、企图实施、合谋实施或协助实施任何许可、命令、法规或禁令的违反行为的人,若被定罪,罚款不得超过 1,000,000 美元;若为自然人,可能面临不超过20年的监禁,或两者并罚。
Q & A
1、NPRM是否仅适用于美国数据的跨境转移?
答:其范围比仅限跨境转移更广。与ANPRM类似,该规则禁止“访问”,定义为逻辑或物理访问,包括获取、阅读、复制、解密、编辑、转移、发布、影响、改变状态或以任何形式查看或接收数据。
2、NPRM是否强制数据本地化要求?
答:如ANPRM所示,拟议规则并未授权针对存储美国人批量敏感个人数据或美国政府相关数据的普遍数据本地化要求。公司可以自由在关注国以外存储数据。
3、NPRM是否禁止数据交易?
答:拟议规则并不普遍禁止美国人与关注国进行商业交易,包括在销售商品和服务中交换财务和其他数据。它并未采取旨在切断美国与其他国家在消费者、经济、科学和贸易关系中的实质性联系的措施。
下一步
拟议规则旨在解决由关注国及涵盖的个人访问美国人批量敏感个人数据和某些敏感美国政府相关数据所带来的特定国家安全风险。它要求供应商协议、雇佣协议和投资协议。部门现请求公众在接下来的30天内对拟议规则进行评论。尽管规则的定义、形式和细节可能会有所修订,但规则的基本组成部分预计不会与当前规则相差太远。Kaamel 将持续关注事件,为你带来最新的动态。