问题1、哪些主体受新规管制?
《14117规则》限制向被关注国家(“countries of concern”)、被关注人员(“covered persons”)(具有被关注国家背景或联系的实体或个人都可能落入到被关注人员的范围内)传输受限制的数据。[1]
(1) 被关注国家:《预先通知》将考虑确定六个被关注国家,包括中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
(2) 被关注人员:指如下四类被关注国家管辖、指导的实体和个人:
-
为被关注国家所有、控制或为被关注国家管辖、指令的实体;
-
作为该类实体的雇员或合同相对方的非美国人;
-
作为被关注国家的雇员或合同相对方的非美国人;
-
主要居住在被关注国家领土管辖范围内的非美国人。
《14117行政令》同时授权了美国司法部对以上被关注主体类别进行补充,可指定某些符合标准的特定实体或个人作为被关注主体。司法部将公布并定期动态更新这份“非穷尽”(non-exhaustive)的名单,以协助其履行义务并明确相关情况。
问题2、哪类数据的传输受到限制?
美国并非全面禁止向中国传输所有数据。《14117行政令》所禁止和限制的数据分为两大类:
(1) 敏感个人数据:
-
特定种类的个人识别符:特定的个人标识符是指任何与其他任何已列明的标识符相关联的任何已列明的标识符,包括但不限于社会保险号码、驾照、局域网地址、电话号码等。
-
地理位置数据和相关传感器数据:目前仅限于精确地理定位数据(precise geolocation data)。精确地理定位数据是指根据电子信号或惯性传感装置,以特定精度范围内可以确定个人或设备实际位置的数据,包括实时数据和历史数据。
-
生物特征标识符:用于识别或验证个人身份的可测量的身体特征或行为,包括面部图像、声纹和声纹模式、视网膜和虹膜扫描、掌纹和指纹、步态,以及在生物识别系统中注册的键盘使用模式或创建的模板。
-
人类组学数据:目前仅限于人类基因组学数据。人类基因组学数据是代表构成人类细胞中全部或部分遗传指令的核酸序列的数据,包括个人“基因测试”的结果和任何相关的人类基因测序数据。
-
个人健康数据:是指《健康保险便携性和责任法案》(Health Insurance Portability and Accountability Act)下的个人可识别健康信息(Individually Identifiable Health Information),指包括人口统计数据在内的、与个人健康状况、健康护理提供或健康护理支付相关,并能够识别个人或可能用于识别个人的信息。
-
个人财务数据:指关于个人信用卡、借记卡或银行账户的数据,包括购买和支付历史;银行、信用或其他财务报表中的数据,包括资产、负债和债务以及交易;或者在信用或“消费者报告”中的数据。
美国司法部在发布关于《14117行政令》的情况说明(Fact Sheet)(“《情况说明》”)中明确敏感个人数据不包括普通公众可获得的公开记录(例如法庭记录、政府文件)中的数据。
基于初步的风险评估,目前美国司法部对需要监管的敏感个人数据规模拟定了一系列限额范围(见下表),但同时也在就该问题公开征求意见,包括这些阈值数量的设定、阈值设定的考量因素、是否需要区分应对匿名化、假名化、去标识化和加密的数据等等。
(2) 美国政府相关数据[2]:
《14117行政令》将“美国政府相关数据”定义为:无论其数量多少,被司法部长认定其被受关注国家利用来危害美国国家安全的风险增加的敏感的个人数据,并且:
-
属于交易方识别为联邦政府(包括军队)现任或近期前任雇员、合同相对方,或前高级官员有关或可关联的类别;
-
与可能用于识别联邦政府(包括军队)的现任或近期前任雇员、合同相对方,或前高级官员身份的数据类别有关;以及
-
与联邦政府(包括军队)控制的某些敏感地理区域有关或可关联,这些敏感地点的地理区域将公开说明。
对于政府相关数据的交易,美国司法部目前采取了较为严格的态度,在《情况说明》中明确,无论该交易数据量的大小均属于受监管的数据交易。
问题3、哪些数据交易类型是受限制的?
根据《情况说明》,司法部拟将受监管的数据交易划分为禁止的交易和实施安全要求[3]后可展开的受限制的交易[4]。
根据《预先通知》,美国司法部预计禁止美国主体与被关注国家或被关注人员开展两种高度敏感的数据交易类别(“prohibited data transactions”):
-
数据经纪交易(data brokerage):指出售、允许访问或涉及从任何提供方向任何接收方转移数据的商业交易,并且接收方并未直接从与所收集或处理的个人数据有关联或可关联的主体处收集数据;
-
涉及大量人类基因组数据或可从中提取此类数据的生物样本的基因组数据交易(bulk human genomic data and biospecimens from which such data can be derived)。
另有美国主体与被关注国家或被关注人员开展的三类数据交易可能受到限制(“restricted data transactions”),该等交易将在完成安全要求后方可开展:
-
供应商协议(vendor agreement):指提供商品或服务的协议或安排,包括云计算服务;
-
雇佣协议(employment agreement):指个人直接为美国主体工作或履行工作职能以换取报酬或其他对价的任何协议或安排,包括在董事会或委员会中的雇佣、行政级别的安排或服务以及业务级别的雇佣服务;
-
投资协议(investment agreement):指任何协议或安排,在这些协议或安排中,任何主体以付款或其他考虑为交换条件,直接或间接获得位于美国的不动产或美国法律实体的所有权利益或相关权利。
问题4、哪些数据交易可以豁免监管(“exempt data transactions”)?
美国司法部正在考虑将以下数据交易排除在禁止和限制范围的约束之外:
-
涉及某些类型数据的数据交易,只要所涉及的数据是IEEPA规定的法定豁免监管数据;
-
金融服务、支付处理和监管合规的惯常部分,如银行、资本市场或金融保险活动;
-
美国跨国公司内部辅助业务运营的惯常部分,例如工资和人力资源;
-
官方商业交易,包括美国政府及其合同相对方、雇员和受赠者的活动,例如联邦政府资助的健康和研究活动,以及根据美国政府的拨款、与其签订的合同或其他协议进行的交易;
-
联邦法律或国际协议要求或授权的交易,例如交换乘客名单或国际刑警组织的请求。
问题5、《14117行政令》是否规制美国国内的数据交易?
《14117行政令》不会规制美国主体间在美国国内的交易(除非该等美国主体已被受关注国家指派为受关注人员)。
问题6、违反《14117行政令》有什么法律后果?
目前,违反《14117行政令》的具体后果和处罚措施尚未公布,美国司法部正在进一步制定中。根据《情况说明》,美国司法部可以根据国际紧急经济权利法案(International Emergency Economic Powers Act),对违反本行政命令的主体处以民事和刑事处罚。
问题7、新规是否已经生效?
新规尚未生效。根据《情况说明》,自2024年2月28日起,公众将有45天时间向美国司法部提供对《预先通知》的意见。在结合公众的反馈和意见的基础上,美国司法部将发布拟议规则通知(notice of proposed rulemaking,NPRM),公众可就NPRM再次提供意见。在完成两次意见收集后,美国司法部将发布最终版的新规。
注释:
[1]鉴于《14117行政令》并不会限制美国主体(包含美国公民、国民或合法永久居民;以难民身份进入美国或者获得美国庇护的个人;仅根据美国法或在美国境内司法辖区下组建的实体(或外国分支机构);以及任何位于美国境内的主体)之间的交易,因此任何美国主体均不属于受限制主体。
[2]根据《预先通知》,美国司法部拟在《14117规则》中对“政府相关数据”进行进一步细化,包括:涉及军事、其他政府或其他敏感设施或地点的特定地理围栏区域清单中列举的该区域内的精确地理定位数据;或交易方认为与美国政府(包括军方和情报部门)现任或近期前任雇员、承包商,或前高级官员有关联或可关联的敏感个人数据。
[3]美国司法部和美国国土安全部正在制定受限制的交易(restricted transaction)下相关方必须采取的安全要求(security requirements),目前仅在《预先通知》中提供了安全要求(security requirements)的初步简介,包括:(1) implements Basic Organizational Cybersecurity Posture requirements; (2) conducts the covered data transaction in compliance with the following four conditions: (a) data minimization and masking; (b) use of privacy preserving technologies; (c) development of information-technology system to prevent unauthorized disclosure; and (d) implementation of logical and physical access controls; and (3) satisfies certain compliance-related conditions, such as retaining an independent auditor to perform annual testing and auditing of the requirements in (1) and (2).
[4]《14117行政令》下交易(transaction)的定义广泛,包括任何获取、持有、使用、转移、运输、出口或处理涉及外国或其国民有利益的任何财产的行为。
- 相关领域
- 一带一路及跨境投资