美国司法部发布最终规则：禁止敏感数据向中国跨境传输

当地时间2024年12月27日，美国司法部发布并公开了一项最终规则《禁止关注国家/地区或相关人员访问美国敏感个人数据和政府相关数据有关的规定》（下文简称“该规则”），宣称是为了应对一些国家持续试图获取、利用和武器化大量敏感的美国个人数据以及与美国政府相关的数据所带来的国家安全风险。该规则反映了美国司法部对收到的征求意见的仔细考虑，这些评论是对2024年3月5日的拟议规则制定预先通知 （ANPRM） 和 2024 年 10 月 29 日拟议规则制定通知 （NPRM）的回应，以及来自公司和组织数百名代表的反馈，与数十个其他美国政府机构和办公室进行了广泛的磋商，并与外国合作伙伴进行了交流。正如在ANPRM和NPRM中预览的那样，最终规则显示，美国司法部的国家安全部门内设立了一个国家安全计划，限制并在某些情况下禁止美国人与六个“关注国家”进行某些类别的数据交易，因为这些交易构成了不可接受的风险，使得这类国家、实体或个人获取美国大量敏感的个人数据或与政府相关的数据或将带来国家安全风险。

最终规则所指出的“关注国家”为中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉

今天发布的这项规定将在发布后 90 天生效。某些强制性合规义务将逐步实施，其生效日期为发布后 270 天。该部门还打算继续与业界和其他利益相关者接触，以确定在该计划生效时，任何一般性许可是否适用。该部门还预计在规定生效日期之前发布关于合规和执法的公开指导意见。

一、制定该规则背景信息

美国人产生了大量的数字足迹，如果没有保护措施，受关注的国家可能会将其武器化，威胁到国家安全。这些关注国家可以通过各种商业交易和关系购买或获取大量美国敏感的个人数据或与政府相关的数据。他们利用生物识别、人类基因组、健康、金融和精确的地理定位数据，以及某些个人标识符，来分析美国人的生活方式、消费习惯、财务问题、偏好以及个人对敏感场所（如宗教场所）的访问。

关注国家利用这些数据进行网络攻击、勒索、间谍活动、恐吓活动人士、学者、政治人物和记者，以及增强军事能力和其他恶意活动。关注国家利用大数据分析、人工智能（AI）和高性能计算等先进技术，更有效地操纵和利用这些数据。在发布这项最终规定之前，现行法律未能充分防范这些国家安全风险，允许关注国家通过商业手段获取此类敏感数据。

二、受限制的主体

最终的规定与征求意见稿基本一致，但针对评论和利益相关者的参与，对某些截止日期、阈值和定义进行了调整。

1、关注国家（Countries of Concern）

最终规则将六个国家——中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉——列为关注国家。

2、涵盖人员（Covered Persons）

该规定主要定义了四类受监管人员：（1）由关注国家拥有 50%或更多股份、在关注国家法律下组织或其主要营业地点在关注国家的外国实体；（2）由受监管人员拥有 50%或更多股份的外国实体；（3）关注国家或受监管人员实体的外国雇员或承包商；（4）主要居住在关注国家的外国个人。

这四类人员还辅以由司法部指定的作为“涵盖人员”的个人和实体组成的公开清单—“涵盖人员清单”（“Covered Persons List”）。根据该规定，该部门还可以指定任何个人，无论其位于何处，只要其确定该个人是或曾经是由关注国家或涵盖人员所控制或受其管辖，或者其行为、曾经的行为或可能代表此类实体行事，或者其故意导致或有可能导致违反本部分规定，均为涵盖人员。

三、受监管的数据

1、敏感个人数据

最终规则对涉及六类敏感个人数据的交易进行监管，如果这些数据与任何可识别的美国个人或与一个独特且可识别的美国人群体有关联或可关联，那么令人担忧的国家或受保护的个人可能会利用这些数据来损害美国的国家安全。这六类敏感个人数据包括：（1）某些受保护的个人信息（例如，与设备标识符关联的名称、社会安全号码、驾照或其他政府身份识别号码）；（2）精确的地理定位数据（例如，全球定位系统坐标）；（3）生物识别标识符（例如，面部图像、声纹和声型以及视网膜扫描）；（4）人类基因组数据以及另外三种人类“组学”数据（表观基因组学、蛋白质组学或转录组学）；（5）个人健康数据（例如，身高、体重、生命体征、症状、测试结果、诊断、数字牙科记录和心理诊断）；以及（6）个人财务数据（例如，与个人信用卡、借记卡、银行账户和财务负债相关的信息，包括支付历史）。

2、大量敏感个人数据阈值

正如 ANPRM 和 NPRM 所预览的那样，最终规则的禁止和限制通常适用于涉及超过特定批量阈值的敏感个人数据的涵盖数据交易。“批量”是指在“涵盖数据交易”之前的过去 12 个月内，总计超过特定阈值的任意数量的敏感个人数据，无论数据是匿名、假名、去标识化还是加密的。该规则建立以下批量阈值：

• 超过 100 名美国人的人类基因组数据，以及超过 1,000 名美国人的其他三种涵盖的人类组学数据类别，

   

• 超过 1,000 名美国人的生物识别标识符，

   

• 超过 1,000 台美国设备上的精确地理位置数据，

   

• 超过 10,000 名美国人的个人健康数据和个人财务数据，

   

• 超过 100,000 名美国人的某些受保护的个人标识符， 或 

   

• 这些数据类型的任何组合，只要满足数据集中任何类别的最低阈值。

3、美国政府相关数据

最终规则定义了两类政府相关数据。

• 对于有关政府活动位置的数据，该规则将该部门公开的政府相关位置数据列表中列出的地理区域内的任何精确地理位置数据视为政府相关数据。在确定是否将地理区域添加到列表中时，美国商务部将与机构合作伙伴协商，以确定有关该区域的精确地理位置数据是否会增加被相关国家/地区利用以揭示有关联邦政府控制位置的见解的风险，这可能会损害国家安全。

   

• 关于美国政府人员的数据，最终规则将任何与当前或最近的前美国政府雇员或承包商（包括军队和情报界）相关的敏感个人数据视为政府相关数据。

四、受管辖的数据交易类别

正如 ANPRM 和 NPRM 中所预览的那样，最终规则确定了涉及关注国家/地区或相关人员访问大量敏感个人数据或政府相关数据的数据交易类别，而美国人被禁止或限制与相关国家/地区或相关人员进行此类交易。

1、被禁止的交易

数据经纪交易：数据接收方不直接从个人处收集数据，而是从数据提供方（即数据经纪人）处购买、被许可访问数据。从事数据经纪业务的美国人要跟相关交易的外国主体签署合同，确保对方不得将数据转售或以其他方式让中国或中国公司进行获取和交易这些数据。

为了解决可能规避法规的问题，该规则禁止美国人在知情的情况下指导任何由美国人进行的被禁止的数据交易。该规则还禁止旨在规避法规的交易、导致或试图导致违反法规的交易以及共谋违反法规的交易。最终规则阐明，提供第三方平台或基础设施的美国人不对其客户在这些平台上的禁止或限制交易承担民事或刑事责任。他们只对自己进行的禁止或限制的交易负责。

2、受限制的交易

限制交易的三类是供应商、雇佣和非被动投资协议。如果这些受限制的交易符合美国国土安全部网络安全和基础设施局 （CISA） 制定的某些安全要求，则允许与关注国家/地区或相关人员进行这些交易，这些要求旨在降低相关国家/地区或相关人员访问大量美国敏感个人数据或交易中涉及的政府相关数据的风险。CISA 正在同时发布其安全要求。这些安全要求包括但不限于网络安全措施，例如基本的组织网络安全政策和实践、物理和逻辑访问控制、数据屏蔽和最小化、加密以及隐私增强技术的使用。最终规则包括对“访问”（§ 202.201） 定义的技术更正，以防止通过拒绝访问超出规则范围来无意中处理符合 CISA 安全要求的受限交易。

3、防止规避的交易

该规则要求与任何涵盖人员从事数据经纪业务的美国人满足某些条件，包括但不限于在合同上要求该外国人不得通过后续涵盖人员向受关注国家/地区或受保人转售或提供对该数据的访问权限，从而解决了数据通过第三方转售或转让给受关注国家/地区或涵盖人员的风险数据交易。该部门预计，即将出台的合规和执法指南将提供满足这一要求的示范合同文本。

4、豁免的交易

• 不涉及价值交换的个人通信；涉及言论或出版物的进出口信息材料；个人旅行信息（行李、生活费、旅行安排）；

• 美国政府官方活动；

• 只是提供金融服务（如银行业、资本市场或金融保险活动；其他监管机构监管范围内的金融活动；提供或处理涉及个人财务数据或涵盖个人身份标识转移的支付，用于购买和销售商品和服务；以及法律和监管合规）；

• 美国跨国公司内部业务运营产生的数据交易（如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易）；

• 美国联邦法律或国际协议所要求或授权的交易（如旅客名单信息、国际刑警组织发出的搜查令等）；

• 和美国外国投资委员会（CFIUS）达成缓解措施协议后的投资协议，并且CFIUS明确要求将他们豁免；

• 通常属于提供电信服务所必需和从属的所有语音和数据通信服务（包括国际呼叫、移动语音和数据漫游）；

• 涉及药品、生物制品、器械或组合产品的审批或授权的数据交易，且该等“监管审批数据”已按美国药监局规定去标识或化名处理，仅限于评估安全性与有效性所必需的信息；

• 其他临床研究和上市后监测数据。如果这些交易符合美国药监局的相关要求，也可豁免。

最终规则还排除了从政府记录或广泛分发的媒体（如免费提供的、开放获取的存储库）中合法公开获得的交易数据，以及通常与表达性材料相关的元数据，或为实现表达性材料的传输或传播而合理必要的元数据（例如嵌入在数码照片中的地理位置数据）。

五、许可政策：一般许可和特定许可

最终规则授权该部门颁发一般性许可，以授权在特定条件下进行某些类别原本被禁止或限制的交易。符合这些条件的交易将不需要进一步授权，例如，通过授权受保护数据交易的有序逐步减少条件，可以简化特定行业的交易。

该规则授权该部门为特定交易向申请并披露其预期交易细节的各方颁发特定许可。该规则列出了颁发一般性许可和特定许可的要求和程序，包括申请特定许可或基于新信息寻求对拒绝许可的重新审议的流程。该部门打算就如何申请特定许可发布单独的指导。

六、指导和咨询意见

最终规则允许该部门发布一般性公共指导，以解决常见问题和常见问题，以及咨询意见，以解决法规对特定交易的适用性。该规则允许受监管的各方就法规对实际特定交易的解释和应用请求咨询意见。

七、合规义务

最终规则并未规定整个美国经济或所有数据交易的一般尽职调查、记录保存、报告或其他合规要求。相反，与美国外国资产控制办公室（OFAC）管理的经济制裁项目下的合规类似，美国公司和个人应根据其各自的风险状况制定并实施合规计划。这些基于风险的合规计划可能会因一系列因素而有所不同，例如公司的大小和复杂性、产品和服务、客户和交易对手以及地理位置。如果发生违规行为，该部门将在任何执法行动中考虑合规计划的充分性。

最终规则仅确立了积极的合规义务，作为从事受限交易的美国人的条件。

• 实施全面的合规计划，其中包括实施基于风险的程序来验证和记录数据流、敏感的个人和政府相关数据类型及数量、交易方的身份、数据最终用途和传输方法以及供应商身份。

   

• 制定关于数据安全和合规的书面政策，由负责官员或员工每年进行认证，由内部或外部独立审计师进行年度审计并保留审计结果，以验证对安全要求的遵守情况。

八、报告义务

• 年度报告：对于从事“云计算服务”相关的受限制交易，并由中国等外国对手国家及其公司直接或间接持股25%或以上的美国主体，应提交年度报告。

   

• 被拒交易报告：任何美国主体如果拒绝了他人提出的“涉及数据经纪业务、原本被禁止交易”的合作意向，需要报告。

   

• 疑似违规报告：若美国主体与外国主体在数据经纪业务中合作，却知悉或怀疑对方违反了不得向中国等外国对手国家及其公司转售或提供数据的限制，需要报告。

   

• 豁免情况报告：当美国主体援引豁免条款，为在中国等外国对手国家获得或维持药品、生物制品、器械或组合产品的上市许可而进行必要数据交易时，需要报告。

最终规则允许公司使用现有审计、报告或其他合规实践，只要符合要求，无需额外建立单独系统或报表，也允许使用内部或外部独立审计，前提是满足独立性和其他规定。

对受限制交易的审计仅需针对“受限制交易”进行，并仅需审查相关政策、人员和系统（而非所有数据交易）。

九、该规则的执行

最终规则采取基于IEEPA《国家紧急经济权力法》的执行机制，赋予司法部广泛的调查权力，包括调查、召开听证会、检查证据、询问证人，并发出相关的传票来获取证人或文件。如果发生违规行为，可能会面临民事和刑事处罚。

民事处罚受《联邦民事处罚通货膨胀调整法》的约束，最高可达368,136美元或交易金额的两倍，取金额较高者为准。NPRM还规定了司法部处理违规行为和发布民事处罚的程序，允许相关各方在处罚发布前有机会进行回应。故意违规的后果更严重，可能导致高达100万美元的刑事罚款，甚至最高20年的监禁。

十、常见问题解答

1、该最终规则何时生效？

将在刊登于《联邦公报》后90天生效。对于“受限制交易”（法规第J分部分）中的尽职调查与审计要求，以及在 §§ 202.1103 和 202.1104 中的部分报告义务，则将在刊登后270天分阶段生效。司法部计划继续与各方沟通，以决定是否需要签发任何过渡或一般性许可证。

一旦生效，本法规的禁止和限制适用于在相关生效日期发起、进行或完成的所有“涵盖数据交易”。除非豁免或得到授权，自生效日起，美国人员在明知情况下进行被禁止或受限制的数据交易，即须遵守本法规，即便在生效前已签署合同或已获许可证/许可。

2、一旦生效，谁需遵守该规则？

所有本规则定义的“美国人”在本规则生效后都必须遵守。

非美国人员也需遵守法规中的部分禁止，如：不得导致或共谋导致美国人员违反法规，不得从事规避法规之目的的交易等。

司法部计划在法规生效前发布关于合规、执法及其他方面的进一步指导。

3、由司法部哪个部门负责执行这些职权？

该项目在司法部国家安全司（National Security Division）内，由其外资审查处（Foreign  Investment Review Section, FIRS）负责日常执行，并在必要时与司法部其他部门、国土安全部及其他机构协同。

4、最终规则是否会禁止来自外国对手的应用程序或社交媒体平台？

不会。本法规并未禁止任何特定应用程序或社交媒体平台，也不针对任何单一应用或技术。该法规仅针对最严重的数据安全风险（而非所有国家安全风险，如应用安全或虚假信息）且只针对一定范围内的数据（敏感个人数据，而非所有数据），并且仅适用于一小部分已明确指定的关注国家。此外，本法规只处理向涵盖主体或关注国家提供此类数据的国家安全风险，不涉及社交媒体在国内隐私方面可能带来的更广泛挑战。根据 50 U.S.C. § 1702(b)(3)，该法规排除对表达性信息（如视频、艺术作品、出版物）所涉交易的监管。

5、最终规则是否会监管在美国境内进行的纯国内数据收集、处理或使用？

不会。该法规并不监管美国人员在美国境内之间进行的纯国内交易（如美国人员对数据的收集、维护、处理或使用），除非该美国人员已被明确且公开指定为涵盖主体。

6、最终规则是否赋予司法部新的监控权限或追踪美国人数据的能力？

不会。 最终法规与美国政府在执法及国家安全领域依法开展情报收集的权限无关。该规则本身并未、也不会要求美国企业监控其员工、客户或其他私人实体。从个人通信到表达性信息，以及与表达性材料通常相关的元数据（或为传输或传播表达性材料而合理必要的元数据），都被排除在该规则的适用范围之外。此外，法规不监管美国人员在美国境内之间进行的纯国内交易（例如美国人员对数据的收集、维护、处理或使用），除非其中一方被明确指定为“涵盖主体”。

7、该最终规则是否会阻碍医药、健康或科学研究，或阻止新药的研发与市场推广？

不会。 最终规则仅禁止或限制在满足特定条件时涉及商业交易（包括支付或其他对价交换）的某些类别数据交易，并不会禁止或限制在关注国家开展的美国科研活动，也不会限制美国研究机构与这些国家或涵盖主体之间在不涉及商业交易（不包含支付或其他对价）的科研合作。此外，本规则还包含专门的豁免条款，以确保关键的医疗健康研究活动不被影响，其中包括：对联邦资助研究的豁免、根据国际协议（包括某些与流行病及全球卫生监测相关的协议）进行数据共享的豁免，为药品、器械、生物制品的监管审批提交数据的豁免，以及某些临床研究数据和上市后监测数据的豁免。

十一、针对在美国有分支机构的中国企业合规建议

针对在美国有分支机构的我国企业，加强数据安全合规将至关重要。为了应对数据跨境带来的合规问题和挑战，我国企业需要量体裁衣，寻求适宜的合规解决方案。

1、若企业在美国业务相对单一、人员规模不大，建议可以考虑做属地化数据信息管理，通过将数据存储在当地，从而更好地满足当地数据保护政策要求，也利于更快速地开展运营管理数据处理。中国总公司可以考虑投入更多资金用于分支机构当地数据管理的完善，并严格遵循当地法律政策及监管要求。

2、若企业在美国业务范围广泛、人员规模较大、流动性较高，且与美当地国计民生交集领域较多，则应当升级信息数据安全保护措施，做好数据禁限程度的准确评估。在完善网络安全和数据安全软硬件设备的基础上，以数据分类分级为基础，制定相应的访问权限和传输要求，通过严格的权限设置防止未经授权的数据泄露和违规传输与滥用，做好此次最终规则所要求的积极的合规计划与实施义务，确保境外主体合法合规管理运营。

本文转自合规观澜公众号，转载请注明出处，版权归原作者所有，侵删