美国时间圣诞假期后首日,即2024年12月27日,美国司法部发布禁止敏感个人数据向部分国家跨境传输的最终规则(以下称“最终规则”)。此规则源于拜登政府今年2月发布的第14117号行政命令,以及根据该行政命令发布的2024 年 3 月 5 日拟议规则草案提前通知(ANPRM)和 2024 年 10 月 29 日拟议规则草案通知(NPRM,为方便与最终规则对比,本文将统一称“拟议规则”)经过征求意见与修订,最终成型,并将在其发布之日起90天后生效。美国此次规则针对中国(含港澳)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉等国,建立起全面的数据出境国家安全审查制度。该规则将由美国国家安全局执行,其外资审查处(FIRS)将负责日常工作,并与国土安全部及其他相关机构协调合作。这一制度的诞生,打破了美国长期秉持的“数据跨境自由流动”传统,可以预见,此规则将对中美数据交流乃至全球数据格局产生重大深远影响。
该规则对从事中美跨境贸易和投资的企业,以及在美国和中国等受关注国家经营的跨国公司带来了巨大的合规挑战。这些挑战覆盖相关交易场景领域和日常经营合规,对依赖数据的服务和行业领域,如跨境电商、医疗健康、在线教育、游戏软件、物联网产品、智能汽车和金融行业等,影响尤为广泛。规则的实施将深刻影响中国企业在美国的投资经营,以及有关行业在中美间的跨境贸易和国际供应链的稳定。
当前,美国针对中国的限制措施已从出口管制、经济制裁、投资禁令等方面扩展至数据合规领域,为中美间进行贸易、投资的跨国企业带来了全方位的合规挑战。此次规则的快速落地,更充分反映出拜登政府在任期结束前加速推进国家安全政策落地的战略考量,意在确保相关措施在政府换届前正式生效,以巩固其政策成果并减少后续政策调整的空间。从合规和监管趋势来看,该规则具有较强的延续性和可操作性,预计即便新一届政府上台,也将大概率承接并进一步强化相关审查制度,对中国企业及其他受关注国家的公司持续施加压力。因此,相关企业需密切关注政策动态,提前评估潜在风险,并尽早调整合规框架,以应对不断收紧的监管环境。
重要内容
根据14117号行政令,美国司法部发布数据跨境传输规定的核心内容可以概括如下:
美国禁止或限制“美国主体(United States Person)”与“受关注国家(Country of Concern)”及“受限制主体(Covered Person)”开展涉及受限的“大量敏感个人数据和政府相关数据(Bulk Sensitive Personal Data and Government-related Data)”的特定“数据交易(Data Transactions)”。
下表结合上述关键内容和定义对“拟议规则”和“最终规则”进行对比和梳理:
关键内容/定义 | 拟议规则 | 最终规则 |
美国主体 | 美国公民、国民或合法永久居民;以难民身份进入美国或者获得美国庇护的个人;仅根据美国法或在美国境内司法辖区下组建的实体(或外国分支机构);以及任何位于美国境内的主体。 | 任何美国公民、国民或合法永久居民; 任何被接纳为美国难民的个人;任何仅根据美国或美国境内任何司法管辖区的法律设立的实体(包括境外分支机构); 任何在美国境内的个人。 |
受关注国家 | “受关注国家”由美国司法部识别认定,指的是被美国认为从事损害美国国家安全行为且存在重大风险利用大量敏感个人数据或美国政府相关数据损害美国国家安全的国家,美国司法部目前拟将中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉认定为“受关注国家”。 | 最终规则将六个国家:中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉指定为“受关注国家”,原因是美国政府认为这些国家长期从事或曾严重参与对美国国家安全或美国公民安全构成重大不利影响的行为,并且这些国家存在利用美国大量敏感个人数据和政府相关数据的重大风险。 |
受限制主体 | 拟议规则列举了以下五类主体:
1. 由受关注国家直接或间接拥有50%或以上股权的实体,以及在受关注国家注册或其主要业务地在受关注国家的实体;
2. 由第1)、3)、4)或5)类受限制主体直接或间接拥有50%或以上股权的实体;
3. 作为受关注国家或第1)、2)或5)类受限制主体的雇员或承包商的外国主体(foreign person,即非美国主体);
4. 主要居住在受关注国家领土管辖范围内的外国主体(foreign person);以及
5. 被美国司法部部长指定为由受关注国家拥有或控制,或受关注国家管辖或管理的主体,或者是代表或声称代表受关注国家或相关人员行事的主体,或者是“故意”导致或“引起”违反相关规定行为的主体。 | 最终规则主要将“受限制主体”定义为以下四类主体:
1. 外国实体: 由关注国家直接或间接持有50%或以上股份的实体,根据关注国家的法律设立,或其主要营业地点位于关注国家;
2. 外国实体: 由受限制主体直接或间接持有50%或以上股份的实体;
3. 外国雇员或承包商: 属于关注国家或受限制主体的实体的外国雇员或承包商;
4. 外国个人: 主要居住在关注国家的外国个人。 |
大量敏感个人数据 | 敏感个人数据包含以下六类:
1. 特定的个人标识符:特定的个人标识符是指任何与其他任何已列明的标识符相关联的任何已列明的标识符,包括但不限于社会保险号码、驾照、MAC地址、电话号码等。最终的《14117规则》将包含全面的标识符清单。
2. 地理定位和相关传感器数据:目前仅限于精确地理定位数据(precise geolocation data)。精确地理定位数据是指根据电子信号或惯性传感装置,以特定精度范围内可以确定个人或设备实际位置的数据,包括实时数据和历史数据。目前,美国司法部正在通过《预通知》对具体的精度征求意见。
3. 生物特征标识符:用于识别或验证个人身份的可测量的身体特征或行为,包括面部图像、声纹和声纹模式、视网膜和虹膜扫描、掌纹和指纹、步态,以及在生物识别系统中注册的键盘使用模式或创建的模板。
4. 人类“组学”数据:目前仅限于人类基因组学数据。人类基因组学数据是代表构成人类细胞中全部或部分遗传指令的核酸序列的数据,包括个人“基因测试”的结果和任何相关的人类基因测序数据。
5. 个人健康数据:是指《健康保险便携性和责任法案》(Health Insurance Portability and Accountability Act,HIPPA)下的个人可识别健康信息(Individually Identifiable Health Information),指包括人口统计数据在内的、与个人健康状况、健康护理提供或健康护理支付相关,并能够识别个人或可能用于识别个人的信息。
6. 个人财务数据:指关于个人信用卡、借记卡或银行账户的数据,包括购买和支付历史;银行、信用或其他财务报表中的数据,包括资产、负债和债务以及交易;或者在信用或“消费者报告”中的数据。 | 根据最终规则,敏感个人数据是指以下六个类别,或其任意组合:
1. 特定的个人标识符:包括政府颁发的号码(如社会保障号码、驾驶执照或州身份证号码、护照号码或外籍注册号码)、与金融机构或金融服务公司相关的金融账户号码或个人识别号码、设备或硬件标识符(如IMEI、MAC地址、SIM卡号码)、人口统计或联系数据(如姓名、出生日期、出生地、邮政编码、住宅街道或邮政地址、电话号码、电子邮件地址或类似的公共账户标识符)、广告标识符(如Google广告ID、Apple广告ID或其他MAID)、账户认证数据(如账户用户名、账户密码或安全问题答案)、基于网络的标识符(如IP地址或cookie数据)或通话详单数据(如CPNI)。
2. 精准地理位置数据:无论是实时数据还是历史数据,用于识别个人或设备的物理位置,精度范围在1,000米以内。
3. 生物特征标识符:用于识别或验证个人身份的可测量物理特征或行为,包括面部图像、语音印记及其模式、视网膜和虹膜扫描、掌纹和指纹、步态、键盘使用模式等,这些数据已被注册到生物识别系统中,系统所创建的模板也包括在内。
4. 人类“组学”数据:包括人类基因组数据(包括人类细胞中发现的全部或部分基因指令)、人类表观基因组数据、人类蛋白组数据和人类转录组数据。
5. 个人健康数据:表明、揭示或描述个人过去、现在或未来的身体或心理健康状况、医疗提供情况,或个人医疗费用的过去、现在或未来支付信息。
6. 个人财务数据:关于个人信用卡、借记卡或银行账户的数据,包括购买和支付历史;银行、信用或其他金融报表中的数据,包括资产、负债、债务或证券投资组合中的交易数据;或信用报告或“消费者报告”中的数据。 |
美国政府相关数据 | 美国政府相关数据指的是被司法部认定的下列可能被利用来破坏美国国家安全的敏感个人数据(不论数量阈值),包括:(1)精确的地理位置数据,主要与军事、其他政府机构或敏感设施或地点相关的特定地理围栏区域列表中列出的任何区域内位置;(2)敏感个人数据,与美国政府(包括军队和情报部门)现任、前任雇员、承包商或前任高级官员关联或可关联的任何敏感个人数据。 | 任何精准地理位置数据,无论数量多少,涉及任何列在政府相关位置数据中的区域;或任何敏感个人数据,无论数量多少,若交易方将其宣传为与当前或最近的前美国政府雇员、承包商,或前高级官员(包括军方和情报界人员)相关联或可关联的。 |
特定数据交易 | 美国将受规制的特定数据交易分为两类:
1. 被禁止的数据交易,即相关交易被完全禁止,包括数据经纪交易以及涉及转移大量人类基因组数据或生物样本(此种数据可从交易中提取)的基因组数据交易;
2. 受限制的数据交易,即该交易需要符合美国相关政府部门制定的安全要求的条件下经批准才能进行,包括涉及提供商品和服务的供应商协议、雇佣协议以及投资协议。 | 最终规则明确规定了涉及关注国家或受限制主体访问大量敏感个人数据或政府相关数据的受管辖数据交易类别,美国主体被禁止或限制与关注国家或受限制主体进行此类交易。
1. 禁止的交易类别:
数据经纪业务: 禁止涉及数据经纪的交易。
涉及访问大量人类“组学”数据或可衍生出此类数据的人类生物样本的交易:最终规则将人类“组学”数据定义为人类基因组数据、人类表观基因组数据、人类蛋白质组数据和人类转录组数据。
2. 限制的交易类别:供应商协议、雇佣协议和非被动投资协议:这些交易在满足美国国土安全部下属网络安全与基础设施安全局(CISA)制定的安全要求时可被允许。CISA的安全要求旨在降低关注国家或受管辖主体访问大量美国敏感个人数据或政府相关数据的风险。 |
- 大量敏感个人数据的界定
如上表所述,美国主要将管控的是大量美国敏感个人数据以及美国政府相关数据。最终规则也进一步明确了大量敏感个人数据的阈值。
根据最终规则,“大量敏感信息”的定义如下:
在过去12个月内,通过单一的或多次同美国个人和受关注被禁止或受限制数据交易或涉及同一美国个人和同一外国人或受涵盖个人的多次受涵盖数据交易,任何敏感个人数据符合或超过以下阈值:(a) 关于或维护超过1,000名美国人的人类‘基因组’数据,或者在人类基因数据的情况下,超过100名美国人的数据;(b) 关于或维护超过1,000名美国人的生物特征标识符;(c) 关于或维护超过1,000台美国设备的精准地理位置数据;(d) 关于或维护超过10,000名美国人的个人健康数据;(e) 关于或维护超过10,000名美国人的个人财务数据;(f) 关于或维护超过100,000名美国人的受涵盖个人标识符;(g) 组合数据,指包含以上多于一个类别的任何数据集合,或包含与这些类别相关联的任何标识符的集合,在该数据类别中,任何单一数据类型所涉及的个人或设备数量达到最低的美国人或美国设备数量的阈值。
新定义基本延续了之前的NPRM的内容,但对基因组数据部分(第(a)段)进行了轻微调整。除了之前规定的关于或维护超过100名美国人的人类基因组数据的阈值外,最终规则新增了一个类别,扩大了定义,涵盖了关于或维护超过1,000名美国人的人类‘组学’数据。
重大影响
- 执法力度与法律责任
最终规则主要关注美国人和受关注主体之间涉及个人数据的交易。最终规则生效后, 所有美国人必须遵守该规则。非美国人也将受到最终规则中的某些禁令约束。例如,非美国人被禁止使美国人违反最终规则,或与规避最终规则为目的的交易进行交易。违反该规则可能会导致民事和刑事处罚。民事处罚最高可达368,136美元 (约合 270万人民币)或交易金额的两倍,以较高者为准。故意违反规则的行为可导致高达1,000,000美元(约合 700万人民币)的刑事罚款,并可判处最长20年的监禁。当局可按照法规进行调查、举行听证会、审查和传唤证人,并对与调查事项相关的证人和文件发出传票的权力。
- 数据出境审查制度
与拟议规则基本一致,最终规则赋予美国司法部在特定条件下签发一般许可证(General Licenses)的权力,以允许原本被禁止或受限制的交易在特定情形下继续进行。此外,最终规则还授权司法部根据具体情况签发特定许可证(Specific Licenses)。相关主体可在提交详尽的交易信息和合规保障措施后申请该许可。司法部将在审核交易背景、性质以及潜在风险后作出批准或拒绝决定。
总的来说,此次规则的出台标志着美国历史上首次建立起全面的数据跨境流动审查制度,彻底改变了其长期奉行的“数据跨境自由流动”原则,对数据向特定国家的传输实施严格管控。这一制度的实施,不仅凸显了国家安全在数据监管中的核心地位,也预示着美国在全球数据治理方面的政策重塑。
- 中美数据“脱钩”
对中美数据领域关系的影响方面,该规则预计将进一步加剧中美在数据领域的“脱钩”趋势,显著提高中国企业在美国开展数据相关业务的合规门槛。特别是中国企业在美国的子公司及关联实体,可能面临数据收集、存储和处理活动的限制,甚至可能因违规行为而遭受制裁。这一制度的实施将对依赖数据流通的行业产生深远影响,相关企业需高度关注合规动态,提前调整数据管理和跨境传输流程,以应对监管环境的持续收紧。
