文章分类
2月28日,拜登总统发布了关于“防止关注国家访问美国人的大量敏感数据和美国政府相关数据”[1]的第13873号行政命令(“命令”)。
该命令规定,美国的政策是“限制有关国家访问美国人的大量敏感个人数据和美国政府相关数据,因为这种访问会对美国的国家安全构成不可接受的风险”,并指示某些机构采取行动促进这一目标。2.
该命令指示司法部(“DOJ”)发布法规,以实现其核心目标。司法部发布了一份拟议规则制定高级通知(“ANPRM”),提出了此类规则的框架,下文将对此进行更详细的描述。3.
一般来说,ANPRM考虑了一种监管制度,当涉及特定关注国家(中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉)或受其管辖的受保人员(“受保人员”)时,涉及批量敏感美国个人数据的数据交易将被禁止或限制。该法规将广泛定义敏感的美国个人数据,包括与美国人数字身份相关的一系列个人标识符(如cookie、IP地址、通话详细信息数据、社会安全号码、SIM卡号码等)。
该命令将广泛禁止涉及美国人向相关人员提供大量敏感美国个人数据的数据交易,无论是通过销售还是通过许可证或订阅服务提供访问权限。该命令还将对美国公司的供应商协议、雇佣协议和投资协议施加限制,这些协议将为受保人提供对受保数据的一些访问权限。对于受限交易,这些公司需要遵守国土安全部网络安全和基础设施安全局(“CISA”)将发布的某些“安全要求”。
对于持有美国敏感个人数据的公司来说,这是一个重要的监管发展。虽然该命令不会立即生效,但它确实表明这是一个需要进行重大监管审查的领域。选择司法部作为执行这些法规的牵头机构也表明,将非常重视执法。
背景
该命令试图通过向司法部提供“一种新的、强大的执法工具,保护美国人及其最敏感的信息不被我们的对手利用”,来填补司法部所称的“我们国家安全当局的一个关键缺口”[4]
近年来,美国国家安全官员越来越关注向外国行为者出售敏感个人信息的风险,尤其是“数据代理”在该市场中的作用;联邦政府在这方面的权力相当有限。[5] 媒体报道称,军事人员的敏感数据集,包括健康状况和财务指标的信息,如何能够以低廉的价格从数据代理和其他中介机构轻松合法地购买,这突显了人们的担忧。[6] 《华盛顿邮报》2018年的一项研究指出,一家健身公司发布了一张基于用户地理位置数据的地图,实际上建立了美国军事基地的轮廓,这可能会引发行动安全问题。7.
鉴于人们越来越担心外国行为者获取美国敏感数据,2018年,国会通过了一项立法,在相关部分扩大了美国外国投资委员会[8]的权力,以审查对持有“美国公民的敏感个人数据,这些数据可能会被利用,威胁国家安全”[9]的美国企业的非被动、非控制性投资为了强调敏感个人数据是美国外国投资委员会的一个重大关切,拜登总统2022年9月的行政命令(14083)明确将敏感个人数据确定为外国投资委员会在交易中应审查的核心问题之一,并指出与美国人的健康、数字身份或其他生物数据有关的信息特别敏感。[10]
然而,美国外国投资委员会的管辖权仅适用于外国对美国企业的投资,而不适用于向外国行为者出售或转让敏感个人数据,包括在关注国家。司法部指出,“没有任何现行法律全面、前瞻性地解决受其管辖或控制的相关国家或受其管辖的人员通过商业交易访问敏感个人数据所带来的国家安全风险。这一有针对性的新计划将旨在解决美国国家安全当局的这一缺口。”[11]
行政命令
该命令是根据总统根据《国际紧急经济权力法》(“IEEPA”)的授权发布的。尽管总统历史上曾利用这一权力宣布“国家紧急状态”,以建立对特定国家(如伊朗、俄罗斯或朝鲜)的制裁计划,但特朗普总统和拜登总统越来越多地将其作为宣布或进一步“国家紧急情况”的机制,以建立广泛的监管制度,如2022年的“对外投资”行政命令。[12]
该命令不会立即生效,但指示各机构采取相关行动:
司法部:
在该命令发布后180天内,司法部应公布一项拟议规则,定义禁止交易和限制交易的类别。[13] 该命令还规定司法部负责发放“许可证”,授权以其他方式禁止或限制的交易。[14]
CISA:
CISA应公布“安全要求”,以解决司法部确定的限制交易带来的“不可接受的风险”。该命令规定,这些要求“应基于国家标准与技术研究所制定的网络安全和隐私框架”[15]
电信团队:
该命令指出,当数据通过与关注国家相连的海底电缆传输时,“关注国家访问这些数据的风险可能会加剧,有时还会加剧”,并指示电信团队根据其许可证计划采取措施解决这一风险。[16]
医疗保健市场的联邦参与者:
该命令指出了在医疗保健市场中访问“大量敏感个人数据”所产生的特殊风险,包括“通过与美国医疗保健提供者和研究机构的合作伙伴关系和协议”可以获得的“个人健康数据和人类基因组数据”。[17]为了解决这一风险,该命令指示国防部、卫生与公众服务部、退伍军人事务部和国家科学基金会考虑采取措施“禁止提供[联邦]援助,使关注国家或受保人员能够访问美国人员的大量敏感个人信息”,或根据CISA制定的“安全要求”对此类访问实施适当的“缓解措施”。[18]
CFPB:
该命令指出了“数据经纪行业”产生的特殊风险,并“鼓励”消费者金融保护局采取措施“解决这方面的威胁”,包括制定额外的规则。[19]
美国司法部(DOJ)关于拟议规则制定的提前通知(ANPRM)
司法部表示,它正在寻求“建立普遍适用和透明的规则,用于与受其管辖的某些关注国家或受其管辖人员进行特定类别的数据交易。”[20]在ANPRM中,司法部为规则的许多关键领域提供了一个框架。
受保人
如前所述,ANPRM考虑将中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉确定为关注国。该法规还将限制美国人与“受保人员”的数据交易,该命令中定义为:
- “由有关国家所有、控制或受其管辖或指示的实体”;
- “作为此类实体雇员或承包商的外国人”;
- “作为有关国家雇员或承包商的外国人”;和
- “主要居住在有关国家领土管辖范围内的外国人。”[21]
该命令还授权司法部根据特定标准“指定[]”特定人员为受保人。[22]司法部指出,它打算“公布并定期更新这一非详尽的指定受保人名单[。]”[23]
司法部认为,“外国人”将排除任何“美国人”。这意味着,根据该规则,任何美国公民、国民或合法永久居民以及任何“仅根据美国法律组建”的实体以及任何“外国分支机构”,或任何在美国的人都不是“外国人”。[24]
然而,正如ANPRM所设想的那样,受保人的定义将不限于实际存在于关注国家的人员。例如,受关注国家“控制”或受关注国家管辖或指示的外国公司将是受保人。此外,由关注国家拥有、控制或受关注国家管辖或指示的实体的雇员和承包商将被视为受保人员,即使他们不在关注国家。
批量敏感个人数据
敏感个人数据
该命令将敏感个人数据定义为“涵盖的个人识别码、地理位置和相关传感器数据、生物识别码、人类经济数据、个人健康数据、个人财务数据或其任何组合……如果该数据与任何可识别的美国个人或离散和可识别的个人相关联或可链接,则该数据可能被关注国家利用,损害美国国家安全美国个人团体。”[25]司法部被指示在其法规中“进一步定义[]”这些类别。
ANPRM提供了对这些类别的进一步定义。ANPRM考虑将以下内容作为敏感个人数据[26]:
涵盖的个人识别码:
ANPRM考虑公布一份广泛的“列出的识别码”清单,根据“涵盖的个人身份识别码”的定义,该清单由法规确定为“与个人合理相关”。这将包括政府身份证或账号(如社会保障号码);金融帐号(例如与金融机构相关联的帐号);基于设备或基于硬件的标识符(例如SIM卡号码);人口统计或联系人数据(如姓名、出生日期、地址、电话号码和电子邮件);广告标识符;帐户身份验证数据(如帐户用户名、密码或安全问题的答案);基于网络的标识符(例如IP地址或cookie数据);或通话详细数据。[27]“涵盖的个人标识符”将包括“与任何其他列出的标识符链接的任何列出的标识符”,但某些例外(人口统计或联系人数据与其他人口统计或联系数据链接)。[28]这意味着,以链接“两个列出的标识符”的方式(如“在一个电子表格中”)传输“两个标识符”将是敏感的美国个人数据。例如,转移“与电子邮件地址相关的移动广告ID”将被视为敏感的个人数据。[29]ANPRIM还考虑,司法部将发布关于该定义其他子类别中涵盖的个人识别码的额外指南,例如特定数据可能“被关注国家利用”的情况。例如,ANPRIM指出,即使没有其他识别码,也禁止出售“现役LGBTQ+军官”名单。[30]
精确的地理定位数据:
ANPRIM只考虑在与“精确的地理位置数据”相关的情况下监管“地理定位和相关传感器数据”。[31]ANPRIM将其定义为“实时或历史数据,用于识别个人或设备的物理位置,精度在[米/英尺]以内。”基于电子信号或惯性传感单元。”[32]ANPRM就最终规则中应包含的确切距离征求公众意见,根据某些州的数据隐私法,引用了1750或1850英尺的潜在距离。[33]
生物识别标识符:
ANPRM认为这意味着“用于识别或验证个人身份的可测量的身体特征或行为”,如面部图像、指纹或声纹和模式。[34]
个人财务数据:
ANPRM认为这包括个人的信用/借记或银行账户、购买历史、财务或银行对账单中的数据,包括资产、负债、债务和交易,或消费者信用报告中的数据。ANPRM规定,某些类别,如与个人、个人通信或公开可用数据无关的“商业秘密”或“专有信息”,是否应排除在这一类别之外。[35]
人类基因组数据。[36]
个人健康数据。[37]
“敏感个人数据”不包括
(i)“属于公共记录事项的数据”(如法庭记录)以及
(ii)根据“伯曼修正案”明确排除在IEEPA范围之外的某些“个人通信”和“信息或信息材料”[38]美国司法部将对“信息材料”条款的范围提供监管定义,将其解释为包括“表达性信息,如视频和艺术品”和“不包括非表达性数据”[39]
批量阈值
ANPRM预计,只有当涉及上述六类敏感个人数据的交易满足某些规定的批量(即美国人员或设备的阈值数量)时,才会对其进行监管。ANPRM确定这些阈值如下:
这些批量阈值不适用于下文所述的“涉及某些美国政府相关数据的交易”,这些交易“无论此类数据的数量如何”都受到监管[40]
美国政府相关数据
除了限制敏感个人数据的交易外,该命令还限制涉及“美国政府相关数据”的交易。[41]司法部考虑将其定义为:
位置数据:
“与军事、其他政府或其他敏感设施或地点相关的指定地理围栏区域列表中列举的任何区域内任何位置的任何精确地理位置数据,无论数量如何。”该列表将被称为“政府相关位置数据列表”,并将由司法部在跨部门程序后发布。[42]
敏感个人数据:
“交易方营销的与现任或近期前雇员或承包商或美国政府前高级官员有关联或可链接的任何敏感个人数据,无论数量如何”[43]
涵盖数据交易
ANPRM考虑了两类涵盖的数据交易——禁止交易和限制交易(需要采取某些缓解措施)。
禁止的交易
ANPRM考虑禁止“数据经纪交易”。[44]数据经纪交易包括销售、访问许可或其他类型的商业交易,涉及“将数据从任何人(“提供者”)转移到任何其他人(“接收者”)”,接收方没有直接从与所收集或处理的数据相关或可链接的个人那里收集或处理数据。”[45]这包括提供商出售或提供访问(例如,通过订阅服务或许可证)批量敏感美国个人数据或美国政府相关数据的交易。[46]
受限交易
ANPRM考虑确定三类受限数据交易:
- (1)涉及提供商品和服务的供应商协议(包括云服务协议);
- (2) 雇佣协议;
- 以及(3)投资协议。[47]
1.供应商协议:
这些协议被定义为涉及一个人向另一个人提供商品或服务的安排或协议,包括云计算(IaaS、SaaS、PaaS)服务,用于支付或其他对价,不包括所有雇佣协议。收集大量精确地理位置数据的美国公司与总部位于关注国家的服务提供商之间的协议,即处理和存储该数据,或仅访问该数据,即为ANPRM涵盖的供应商协议。[48]同样,由关注国家的外国实体拥有的美国托管服务提供商与其客户之间的协议将是供应商协议,该客户将大量美国敏感个人数据存储在托管服务提供商的美国数据中心。[49]ANPRM规定,根据供应商协议提供的某些服务,如果不“涉及”大量美国敏感个人数据,则不属于受监管的数据交易。[50]
2.雇佣协议:
ANPRM将其定义为个人直接为他人履行工作或工作职能以换取报酬、职业机会或其他对价的任何协议或安排。涵盖的雇佣协议将包括来自关注国家的个人与雇佣他们提供后端服务的美国公司之间的协议,其中包括访问美国消费者的大量人类基因组数据。[51]
3.投资协议:
ANPRM将其定义为个人获得房地产或美国法律实体所有权权益的任何协议或安排。ANPRIM涵盖的投资协议将包括位于关注国的外国私募股权基金达成的协议,该协议将为美国公司建设美国数据中心提供资金,该公司将存储美国人的大量个人健康数据,以换取数据中心的多数所有权。[52]受关注国管辖的外国科技公司之间的协议,即收购提供收集美国用户大量美国敏感个人数据的产品的美国企业的少数股权,无论该协议是否赋予外国公司访问这些数据的能力,都将被纳入ANPRM。即使在投资协议中限制访问大量美国敏感个人数据的情况下,该数据“仍属于已被确定对国家安全构成不可接受风险的受限覆盖数据交易类别,因为这些交易可能使关注国家或覆盖人员能够访问大量美国敏感个人数据。”根据特定投资协议访问这些数据的风险程度“不影响协议是否受到限制”[53]
这些受限交易将受到CISA制定的某些“安全要求”的约束。司法部指出,“安全要求将旨在降低受关注国家或受保护人员访问的风险,可能包括网络安全措施,如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化,以及隐私保护技术的使用。”[54]
再出口认证要求
ANPRM有一项具体规定,“解决外国第三方将数据‘再出口’到相关国家的风险。”[55]
ANPRM认为,美国人将被禁止参与“涉及与任何外国人进行数据经纪的涵盖数据交易,除非美国人根据合同要求该外国人不得参与与关注国家或涵盖人员进行的涉及相同数据的后续涵盖数据交易。”[56]
这将禁止美国公司与任何外国公司签订数据经纪协议,除非该外国公司签署该证书。
豁免
ANPRM认为,某些类别的数据交易将完全排除在监管范围之外。[57]在相关部分中,这些包括涵盖的数据交易,它们是:
- 通常发生在金融服务、支付处理和监管合规方面,也是其中的一部分;
- 通常发生在美国跨国公司的附属业务(如工资单或人力资源)中,并作为其一部分。
- ANPRM还考虑“豁免某些不传递权利或影响的投资,这些权利或影响通常会给受关注国家或受保护人员访问敏感个人数据带来不可接受的国家安全风险。”[58]
许可和咨询意见
ANPRM考虑司法部将发布某些许可证和咨询意见。这将类似于OFAC在管理美国制裁计划时使用的程序。这将包括广泛允许其他禁止或限制交易的通用许可证,以及公司可以申请获得特定交易授权的特定许可证。司法部还考虑,公司将能够申请“咨询意见”,司法部将就特定交易的法规应用提供意见。[59]
处罚和报告/记录要求
ANPRM建议对违法行为规定民事处罚。司法部提出,违规行为必须是“知情”的要求,司法部将其定义为包括个人“应该知道”违规行为的地方。[60]
司法部指出,美国合规计划需要根据其风险因素制定合规计划,司法部“将在任何执法行动中考虑合规计划的充分性”[61]
ANPRM还考虑到某些人将承担肯定性报告义务。被授予许可证的人将被要求提供“他们遵守了任何授予许可证条款”的年度证明。此外,ANPRM考虑对“(a)从事涉及云计算服务的受限覆盖数据交易,或涉及数据经纪或云计算服务,且(b)其25%或以上的股权(通过任何合同、安排、谅解、关系或其他方式直接或间接)由相关国家或覆盖人员拥有;”或任何“收到并明确拒绝他人提出的参与涉及数据经纪的被禁止的数据交易的提议”的美国人。[62]
启示
该行政命令标志着总统转向IEEPA下的权力,实际上是为了建立一个重要的新监管制度。在这方面,司法部负责在建立和管理这一监管制度方面发挥重要的新作用。虽然目前的重点将放在监管程序上,但司法部最终需要建立审查许可证和民事执法案件的基础设施,这些措施在很大程度上更类似于OFAC在管理制裁制度方面所做的工作。
命令和ANPRIM标志着一个重要规则制定过程的开始。该命令指示司法部在180天内公布规则草案(NPRM),随后发布最终规则。司法部通过ANPRM就拟议规则中的许多关键定义征求了公众意见,该规则为受监管行业提供了与政府接触并形成监管最终结果的机会。
虽然该命令和ANPRIM没有立即施加任何新的监管要求,但它们清楚地表明,美国打算对涉及广泛“敏感”美国个人数据的交易施加重大限制。此外,该命令明确表示,这是一项国家安全法规,与美国制裁的法律依据相同,一旦法规发布,司法部可能会寻求对违反这些法规的公司采取执法行动。
鉴于敏感个人数据的定义范围很广,该规定的禁令可能会广泛限制美国公司与中国公司的合作和安排类型。此外,对雇佣、供应商和投资协议的限制将要求与相关人员签订此类协议的公司谨慎遵守。在遵守这些义务时,美国公司需要确保他们努力遵守CISA将发布的“安全要求”。
司法部明确表示,公司将“制定和实施合规计划”,反映其“个性化风险状况”,同时考虑其“产品和服务、客户和交易对手以及地理位置”。[63]作为第一步,持有大量敏感美国个人数据的美国公司应考虑了解其对业务线和合规计划的影响。
* * *
[1] The White House, Executive Order 13873 on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern (Feb. 28, 2024), available here.
[2] Order § 1.
[3] ANPRM on Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, Docket No. NSD 104, available here.
[4] Department of Justice, Office of Public Affairs, Justice Department to Implement Groundbreaking Executive Order Addressing National Security Risks and Data Security (Feb. 28, 2024), available here.
[5] Office of the Director of National Intelligence, Annual Threat Assessment of the U.S. Intelligence Community (Feb. 6, 2023), available here.
[6] Tonya Riley, Brokers Sell Military Members’ Data for Pennies, Study Finds, Bloomberg Law (Nov. 6, 2023), available here.
[7] Liz Sly, U.S. Soldiers Are Revealing Sensitive and Dangerous Information by Jogging, Washington Post (Jan. 29, 2018), available here.
[8] CFIUS is the acronym colloquially used for the interagency Committee on Foreign Investment in the United States.
[9] See Foreign Investment Risk Review Modernization Act of 2018. In January 2020, the Treasury Department released final regulations implementing that legislation. See Paul, Weiss, Final CFIUS Regulations Implementing the Foreign Investment Risk Review Modernization Act of 2018 Are Now in Effect (Feb. 27, 2020), available here. Under those regulations, investment implicating sensitive personal data are subject to mandatory CFIUS review if (1) the U.S. business (a) targets or tailors products or services to certain populations (e.g., the U.S. military or federal employees), (b) collects or maintains such data on at least one million individuals, or (c) has a business objective to collect or maintain such data on greater than one million individuals and such data are an integral part of the business’s products or services; and (2) such identifiable data fall within any of 10 categories, including certain types of financial, health, non-public electronic communication, geolocation and biometric data. See 31 C.F.R. § 800.241.
[10] The White House, Executive Order on Ensuring Robust Consideration of Evolving National Security Risks by the Committee on Foreign Investment in the United States (Sep. 15, 2022), available here.
[11] Department of Justice, FACT SHEET: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern (“Fact Sheet”), available here.
[12] Paul, Weiss, Economic Sanctions and Anti-Money Laundering Developments: 2023 Year in Review (Jan. 22, 2024), available here.
[13] Order § 2(c)(i)-(ii).
[14] Order § 2(c)(v).
[15] Order § 2(d).
[16] Order § 3(a). Team Telecom is shorthand for the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector.
[17] Order § 3(b).
[18] Order § 3(b).
[19] Order § 3(c).
[20] ”Fact Sheet at 2.
[21] Order § 7(d).
[22] Order § 7(d) (DOJ can designate a person as a “covered person” based on their “being owned or controlled by or subject to the jurisdiction or direction of a country of concern, as acting on behalf of or purporting to act on behalf of a country of concern or other covered person, or as knowingly causing or directing, directly or indirectly, a violation of this order or any regulations implementing this order”).
[24] ANPRM at 33-34.
[25] Order § 7(e).
[27] ANPRM at 18-19.
[28] ANPRM at 18. For an example of the demographic exception, see Example 3, ANPRM at 20-21.
[29] Example 2, ANPRM at 20.
[30] Example 7, ANPRM at 22.
[31] ANPRM at 22.
[32] ANPRM at 22 (emphasis added).
[33] Question 10, ANPRM 27-28.
[34] ANPRM at 22.
[35] ANPRM at 23.
[36] ANPRM at 23. While the Order permits a broader regulation of “human ‘omic data” after the submission of a report coordinated through the NSC on the “risks and benefits” of such regulation, DOJ, for now, contemplates only regulating human genomic data. Order § 6.
[37] ANPRM at 23.
[38] Order § 7(l); 50 U.S.C. § 1702(b)(1) (excluding “any postal, telegraphic, telephonic, or other personal communication, which does not involve a transfer of anything of value”); 50 U.S.C. 1702(b)(3) (excluding “whether commercial or otherwise, regardless of format or medium of transmission, of any information or informational materials, including but not limited to, publications, films, posters, phonograph records, photographs, microfilms, microfiche, tapes, compact disks, CD ROMs, artworks, and news wire feeds”).
[39] ANPRM at 23-24 (emphasis added). This provision will mark a significant regulatory development on the scope of IEEPA. Though these regulations will not directly apply to the sanctions programs administered by the Department of the Treasury’s Office of Foreign Assets Control (“OFAC”), the regulatory definitions here could inform how OFAC considers these issues as it has not provided detailed regulations on these issues before. And this may ultimately become an area where plaintiffs seek to ultimately challenge the regulation by arguing that the restrictions on “non-expressive” transfers of data indirectly restrict expressive activity. In 2020, a federal court in the Eastern District of Pennsylvania granted a preliminary injunction blocking the enforcement of President Trump’s Executive Order pursuant to IEEPA that effectively banned Tiktok. The court held that the Executive Order exceeded the scope of IEEPA because it was “an indirect regulation” of the expressive materials that were created on Tiktok. Marland v. Trump, 498 F. Supp. 3d 624, 641 (E.D. Pa. 2020).
[41] Order § 7(m).
[42] ANPRM at 30.
[43] ANPRM at 30.
[44] Fact Sheet at 3. The ANPRM also contemplates prohibiting genomic-data transactions involving the transfer of bulk human genomic data or biospecimens from which such data can be derived.
[45] ANPRM at 34.
[46] ANPRM at 34.
[48] Examples 19 and 20, ANPRM at 35
[49] Example 21, ANPRM at 35.
[50] Example 23, ANPRM at 35-36.
[51] Example 24, ANPRM at 36.
[52] Example 28, ANPRM at 37.
[53] Examples 29-30, ANPRM at 37.
[56] ANPRM at 50.
[60] ANPRM at 48.
[62] ANPRM at 69-70.
- 登录 发表评论