首页 > 智库成果 > 月度快报 > 科技政策与咨询快报 > 2024年 > 第12期

美国司法部发布限制敏感数据流向受关注国家的拟议规则

作者: 2025-01-16 15:43 来源:
放大 缩小

20241021日,美国司法部(DOJ)发布了一份拟议规则制定通知NPRM),以实施拜登总统228日签署的《防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据》行政命令[1]202435日,美国司法部的拟议规则制定预先通知(ANPRM)公布。在40天的意见征询期内,司法部收到了来自各行各业66份书面评论意见。在仔细考虑意见的基础上,美国司法部提出了制定这一新计划和实施行政令的规则,并给与公众30天时间继续提供反馈意见。

一、受管辖的数据

1美国人的批量敏感数据

1)个人识别符。可被用于从数据集中识别出特定个人,或将多个数据集与特定个人关联起来。

2)精确的地理位置数据。被定义为能够以1000米以内的精度确定个人或设备的物理位置的数据,包括历史数据和实时数据,例如GPS坐标和IP地址。

3)生物识别标识符。指可用于识别或验证特定个人的可测量的物理特征或行为,如人脸图像、声纹及声音模式、视网膜及虹膜扫描、掌纹及指纹、步态、键盘使用模式等。

4)人类基因组数据。代表构成人类细胞中整套或部分遗传指令的核酸序列的数据,包括个人基因检测结果以及任何相关的人类遗传测序数据。源自人类基因组数据或整合到人类基因组数据中的非人类数据,如病原体遗传序列数据,被排除在外。其他人类组学数据,可能包括人类表观基因组数据、糖组学数据、脂质组学数据、代谢组学数据、元多组学数据、微生物组学数据、表型组学数据、蛋白质组学数据和转录组学数据。

5)个人财务数据。指与个人的信用卡、借记卡、银行账户等相关的数据,包括购买和支付记录;银行、信用或其他财务报告中的数据,包括资产、负债、借款和交易;信用报告或消费者报告中的数据。司法部还回应一个评论的问询澄清:个人财务数据不包括“基于该数据的推断”。

6)个人健康数据。和个人过去、现在或未来的身体或心理健康状况有关的健康信息;向个人提供的医疗保健;或者过去、现在或未来为向个人提供医疗保健而支付的费用。

2、政府相关数据

1)关于政府活动地点的数据。司法部制定了一个《政府相关位置数据列表》的格式,未来表上列出的地理区域内的“精确地理位置数据”都属于“政府相关数据”,不管是实时数据还是历史数据。军事基地、大使馆或执法部门等很可能属于这些地理区域。

2)关于美国政府人员的数据。即与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联或可关联的数据。“近期前任雇员或承包商”是指在涵盖的数据交易之前的2年内,有偿或无偿为美国政府工作或向美国政府提供服务的雇员或承包商。

二、建立分类规则实施行政令

NPRM将通过为某些数据交易建立分类规则来实施行政令,这些数据交易会带来不可接受的风险,使受关注国家/地区或相关人员能够访问政府相关数据或大量美国敏感个人数据。

拟议规则确定了禁止和限制交易的类别,确定了受关注的国家和拟议规则适用的适用对象类别,确定了豁免交易的类别,解释了该部门建立批量阈值的方法,提供了该部门对经济和其他监管影响的初步评估,建立了颁发许可证授权某些禁止或限制交易的流程,发布咨询意见,指定涵盖人员,并解决了记录保存、报告和其他调查义务。

NPRM未授权实施通用数据本地化要求,以存储美国人的大量敏感个人数据或美国政府相关数据,或在美国放置用于处理此类数据的计算设施。NPRM未禁止美国人从事商业交易,包括在与相关国家/地区或受保人销售商业商品和服务时交换财务和其他数据,或实施旨在更广泛地与大量消费者脱钩的措施。

NPRM将几类数据交易排除在其禁止和限制的范围之外,包括某些个人通信、金融服务、企业集团交易、联邦法律和国际协议授权的交易、受美国外国投资委员会(CFIUS)行动约束的投资协议、电信服务、生物制品和医疗器械授权、临床调查等。NPRM提出了一项新的电信服务豁免,进一步阐明了在ANPRM中预览的金融服务和公司集团内部转让的豁免,并就临床试验数据的新拟议豁免征求公众意见。

NPRM要求符合限制交易条件的供应商协议、雇佣协议和投资协议遵守由国土安全部网络安全和基础设施局(CISA)与司法部协调制定的单独提议的安全要求。这些拟议的安全要求从事受限交易的美国人遵守组织和系统级要求,例如确保基本的组织网络安全政策、实践和控制措施到位,以及数据级要求,例如数据最小化和屏蔽、加密和隐私增强技术。

NPRM将允许美国司法部通过刑事和民事处罚来强制遵守。TikTok等中国应用程序如果将美国用户的敏感数据转给中国母公司,就可能触犯该提案。

总体看,美国司法部将针对美国敏感数据向中国(包括中国香港和澳门地区)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输,以涉及这些数据传输的“交易”为抓手,设计一个杂糅了财政部经济制裁和商务部出口管制的制度,对美国敏感数据在跨境交易中流向特定“关注国家”的主体进行管控,可以阻断,也可以发给一般许可和特殊许可。                                          (张秋菊)


[1] Justice Department Issues Comprehensive Proposed Rule Addressing National Security Risks Posed to U.S.

Sensitive Data. https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks


附件: