前所未有的跨境数据监管制度：拜登政府宣布保护美国敏感数据的新计划

拜登政府最近宣布计划建立一个新的监管制度，管理从美国转移某些敏感数据的行为。2024年2月28日发布的一项新的行政命令（“E.O.”）试图限制外国对手收集某些可用于恶意目的的美国敏感数据的能力。这一制度对美国来说是一个戏剧性的政策转变，美国长期以来一直反对限制个人信息的跨境传输，也没有全面的隐私法律或法规。

在其起步阶段，监管制度将是前所未有的，并将影响在美国运营的任何在该项目范围内收集或出售数据的实体，使目前的常规商业决策和活动可能非法。拜登政府正在寻求公众的意见和投入，这将有助于塑造这一新计划的轮廓。可能受到影响的实体应毫不犹豫地发表评论。

I.为什么这很重要

• 拟议的制度不仅规范敏感数据的销售；它规定了谁可以访问数据，包括员工、供应商、投资者和高级人员。
• 从美国人那里收集信息的实体需要仔细审查他们的数据去向、如何到达、谁可以访问这些数据以及如何保护这些数据。这些实体将需要改进其合规性、尽职调查、了解您的客户和了解您的供应商计划，以满足这些新要求。
• 拟议的法规将对从事某些类型数据交易的实体提出新的网络安全要求。
• 违规行为可能取决于访问敏感数据的个人的公民身份和所在地——事实可能很难确定。
• 强制执行的风险是真实存在的。该项目将由美国司法部（“DOJ”）管理，司法部将同时实施民事和刑事处罚。

二、拟议监管制度概述

新的E.O.以之前的行政命令为基础，[1]建立了一个监管计划（以下简称“批量敏感数据监管计划”或“计划”），以防止将美国人的敏感数据和美国政府的敏感数据转移到被视为国家安全威胁的外国。美国现在将与包括欧盟成员国和中国在内的数十个其他司法管辖区一道，限制某些类型信息的跨境转移。欧盟指定司法部为制定、实施和执行新监管制度的牵头机构。与E.O.同时，司法部发布了一份《拟议规则制定提前通知》（“ANPRM”），提供了有关该制度及其运作方式的更详细信息。ANPRM的发布开始了为期45天的公众评论期（截至2024年4月19日），允许各方提交评论，司法部将在最终确定规则之前考虑这些评论。

批量敏感数据监管计划是根据总统根据《国际紧急经济权力法》（“IEEPA”）的授权建立的，旨在防止外国对手：（1）通过法律手段收集和购买美国人的敏感数据或美国政府的敏感数据；（2） 通过人工智能和数据分析整理、利用和利用这些信息；以及（3）利用这些信息为网络行动、间谍活动和跨国镇压等恶意目的提供便利。声明的意图不是监管来自美国的所有跨境数据流；相反，该计划旨在阻止美国个人或实体向某些交易对手出售特定类型和数量的数据。

一般来说，批量敏感数据监管计划将适用于将特定敏感数据传输给与六个关注国家相关的“受保人员”。涉及美国人敏感数据的交易将根据数据量进行监管，尽管涉及美国政府敏感数据的交易所没有数量要求。ANPRM提出了一个监管数据交易的两级系统：（1）被禁止的交易和（2）被限制的交易，这些交易可能会受到国土安全部网络安全基础设施局（“CISA”）颁布的某些安全要求的约束。E.O.和ANPRIM反复声明，该计划将不涵盖此类敏感数据的国内传输。

A.关注国家和相关人员

批量敏感数据监管计划旨在涵盖与被确定为“关注国家”的六个国家（中国、俄罗斯、伊朗、朝鲜、委内瑞拉和古巴）有关的某些交易对手（受保人）的交易。[2] 如下图所示，ANPRIM列出了实体或个人与相关国家联系的五种方式，以便适用这些规定。该方案还允许司法部长指定与这些有关国家有联系或代表这些国家行事的特定人员。这些被指定的个人将被列入公开名单。[3] 至关重要的是，如下文所述，不需要指定个人或实体接受该计划。

ANPRM还明确表示，该计划不适用于涉及与美国有联系的实体或个人的数据交易。例如，居住在美国或未列入名单的国家的有关国家的公民将不被视为受保人员，除非他们是由司法部长单独指定的。

B.数据类别

批量敏感数据监管计划将监管两种类型的数据。

1.敏感个人数据：

ANPRM定义了六类需要监管的敏感个人数据，即：个人标识符、地理位置数据、生物识别标识符、人类基因组数据、个人健康数据和个人财务数据。受监管的交易必须与受保护的人进行，涉及六种类型的敏感个人数据中的一种或多种，并且超过一定的交易量阈值。这些阈值将通过基于风险的评估来确定，该评估将考虑每种类型数据的特征。司法部为每一类提出了低阈值和高阈值，如下所述，并正在征求公众对这些拟议阈值的意见。

2.政府相关数据：

无论数量如何，都将禁止与涉及政府相关数据或与政府地理位置有关的数据或可归因于政府、员工和承包商的数据的相关人员进行交易。

C.受影响的交易

该计划为法规所涵盖的交易创建了一个两层系统。无论数据类型如何，都禁止某些类型的交易；其他数据交易仅受限制，如果符合CISA将颁布的条件和安全要求，则可以继续进行。

1.禁止的数据交易

• 数据经纪交易：根据目前的提议，“数据经纪”是指将任何人的数据出售或转移给未直接从数据相关个人收集或处理数据的接收方。例如，如果一个美国组织保存了大量个人健康数据，并将这些数据许可给涵盖的人，这将构成被禁止的交易。
• 基因组数据交易：基因组数据交易涉及大量人类基因组数据或生物样本的转移，这些数据可以从中获得。

2.受限数据交易

• 供应商协议：供应商协议是指以支付为交换条件的商品或服务协议，包括云计算服务。例如，如果一家美国公司在移动应用程序（“应用程序”）上从美国用户那里收集大量精确的地理位置数据，并与相关人员签订协议来处理和存储这些数据，那么该美国公司将参与受限交易。
• 雇佣协议：雇佣协议是指任何雇佣协议或安排（非独立承包商），包括董事会或委员会。例如，一家应用程序提供商收集大量敏感个人信息，并打算雇佣一名受保护的高管，该高管可以访问这些数据，这可能是在进行受限交易。
• 投资协议：投资协议是指个人直接或间接拥有美国法律实体或不动产的任何协议。司法部提供了一个限制性交易的例子：一家位于关注国家的外国私募股权基金同意为一家存储敏感数据的美国公司建设数据中心提供资金，以换取获得该数据中心的多数股权。

E.O.指示司法部和CISA制定适用于受限交易的安全要求，旨在降低受关注国家或受保护人员进入的风险。ANPRM认为，如果美国实体：

• 实施网络安全要求；
• 执行合规性以确保数据交易受到数据最小化和屏蔽的约束，使用隐私保护技术（如加密），并实施系统以防止未经授权的披露以及逻辑和物理访问控制；和
• 满足合规相关条件（如独立审计）。

D.豁免

以下几类交易将不受这些规定的约束：

• 通常发生在金融服务、支付处理和监管合规方面的交易。例子包括银行、资本市场或金融保险活动；提供或处理涉及为购买和销售商品和服务而转移个人财务数据或涵盖的个人识别码的付款；以及遵守法律和法规；
• 通常发生在美国跨国公司内部的附属业务（如工资或人力资源）中的交易；
• 美国政府及其承包商、雇员和受赠人的活动，如联邦资助的健康和研究活动；和
• 联邦法律或国际协议要求或授权的交易，如乘客名单信息交换、国际刑警组织请求和公共卫生监测。

该计划考虑通过允许相关国家或受保护人员访问或影响该计划范围内的数据，对不传达构成不可接受的国家安全风险的权利的投资类型进行分类豁免。例如，此类豁免交易可能包括公开交易的证券、对指数基金或共同基金的投资，以及作为有限合伙人对风险投资基金的投资。这些分拆旨在确保跨境商业数据流不受该计划的影响，符合政府明确的目标，即确保美国仍然是全球经济领导者和跨境数据流的保护者。

E.程序机制

该计划的结构和定义将以基于IEEPA的现有美国法规为模型，如财政部外国资产控制办公室(Office of Foreign Asset Control)和商务部工业与安全局(Bureau of Industry and Security)管理的法规。与这些项目一样，批量敏感数据监管项目将为司法部制定颁发一般和特定许可证的程序，因此该项目不会像美国外国投资委员会(Committee on Foreign Investment in the United States)那样在逐个交易的基础上运作。为了补充一般和特定许可证，司法部还将根据实体的请求发布咨询意见，类似于司法部的《外国代理人登记法》（Foreign Agent Registration Act）和《海外反腐败法》（Foreign Corrupt Practices Act）监管计划。这些行动将使司法部能够灵活豁免、改变某些类别的其他受监管交易的条件或允许其终止期，并使各方有机会申请规则的例外。

一旦该计划实施，不遵守其禁令或条件的个人可能面临IEEPA规定的民事或刑事处罚，类似于美国经济和贸易制裁计划规定的处罚。

III、 Outlook

这一宣布有几个要点。

• 该计划不仅规范敏感数据的销售；它规定了谁可以访问这些数据。尽管该计划并非旨在阻止与关注国家的所有涉及美国人数据的交易，但在起草时，该计划似乎仍然漏网之鱼。鉴于可能涵盖的数据和交易类别广泛，各方需要了解（1）他们是否处理敏感数据类别，以及（2）谁有权访问这些数据，包括董事会成员、投资者、第三方供应商和附属公司。
• 公司内部的数据流和访问需要仔细审查。按照目前的设想，该计划可以限制或禁止实体内的数据传输（即附属公司之间的传输），但仅限于某些类型。ANPRM正在考虑豁免以下交易：（i）美国人与其位于相关国家（或以其他方式受其所有权、指示、管辖权或控制）的子公司或附属公司之间的交易；以及（ii）通常发生在辅助业务运营中并属于辅助业务运营的一部分（例如，出于人力资源目的共享敏感个人数据、工资交易等）。这项豁免不适用于不符合这一标准的交易；例如，涉及将汇总的大量个人财务数据转移给作为受保人的子公司的交易。在相关国家拥有业务或附属公司的公司需要评估其业务和数据访问，以确定其是否从事可能成为非法的活动。
• 访问数据的个人的公民身份和所在地可能是承担责任的基础。居住在美国的相关国家的公民不在该计划的涵盖范围内，除非单独指定，位于第三国的相关国家公民也不会自动被视为涵盖人员。但是，如果一家美国公司雇佣了一名受保人员，并且此人可以访问受限制的数据，那么这可能被视为受限制的交易。这一框架的细微差别很重要；ANPRM的要求不仅仅来自公民身份。
• 执法风险是真实存在的。行政长官没有在财政部或商务部设立该项目，而是委托司法部建立一个许可程序，以授权其他被禁止的交易并强制执行违规行为。这表明，行政当局希望司法部利用其调查工具和经验来识别和执行违法行为。最终，美国政府现在将拥有一个强大的新工具，可以通过行政命令或额外的规则制定进行调整和扩展。
• 合规计划将需要改进或彻底改革。目前的出口合规、制裁和数据隐私合规计划不太可能处理新的框架。组织需要检查：（1）他们收集的信息类型；（2） 向其出售或与其共享该信息的实体或个人；以及（3）参与数据收集和处理的实体或个人。各实体应确保相应地更新合规计划。

也许主要的收获是，现在是与政府当局分享担忧的时候了。E.O.和ANPRIM只是这一过程的第一步。随后的评论期为相关方提供了一个机会，在项目投入运营之前提交反馈意见并确定项目轮廓。ANPRM包括100多个关于一些最困难的范围界定和定义问题的具体问题，并将在该过程的后期阶段制定法规草案。ANPRM的公众意见将于2024年4月19日公布。

高级网络和法律顾问Damian Mencini对此警报做出了贡献。

[1] See Executive Order 13873, Securing the Information and Communications Technology and Services Supply Chain (May 15, 2019); Executive Order 14034, Protecting Americans’ Sensitive Data from Foreign Adversaries (June 9, 2021).

[2] These are the same six countries that are covered by the Department of Commerce’s information and communications technology and services regulations.

[3] This public list would be similar to the U.S. Treasury Department’s Office of Foreign Assets Control’s Specially Designated Nationals and Blocked Persons list.