当地时间2月28日，美国总统签署 “防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据"（Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）的行政命令[1]，旨在进一步加强对美国个人敏感数据和政府数据的保护，防止受关注国家（Countries of Concern）对此类敏感数据加以利用。同日美国司法部依授权发布拟议规则的预先通知[2]（Advance Notice of Proposed Rulemaking）（下称“拟议规则"）并向公众征求意见。

本文拟通过介绍行政命令和拟议规则中与贸易投资活动相关的主要规定，向我国相关企业提示风险并提供合规建议。

一、主要内容

行政命令旨在限制 “受关注国家"的相关个人和实体获取美国人敏感个人数据和与美国政府相关数据的同时，继续承诺保证与其他国家开展商务、贸易、投资等数据交流。此外，行政命令还释出承诺，不要求数据存储或设施进行本地化安排。在司法部拟议规则中，司法部进一步明确了“受关注国家"的范围，将受审查的交易类型，以及触发交易限制的敏感数据类型以及门槛标准等内容。

该行政命令上接《确保信息和通信技术及服务供应链安全）行政命令（第13873号）中宣布的国家紧急状态的范围，并进一步延申了《保护美国人的敏感数据免受外国对手攻击》行政命令（第14034号）中的相关措施。

总体而言，该行政命令确立的监管机制或将以数据为抓手，进一步以国家安全名义影响中美贸易和投资往来，为贸易投资合规提出新的合规内容和要求。

（一）明确受关注国家的范围和对象

拟议规则中暂明确了六个“关注国家"，与美国商务部根据第13873号行政命令对上述六个“外国对手"的指定相一致。目前受关注的六个国家包括中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。

根据行政命令和拟议规则的规定，个人敏感数据和政府数据监管的对象包括如下类别：

• 上述受关注国家拥有、控制或受其管辖或指示的实体；

• 作为此类实体的雇员或承包商的外国人；

• 作为相关国家雇员或承包商的外国人；和

• 主要居住在有关国家领土管辖范围内的外国人。

但是，以下个人和实体不属于上述受监管对象的范围：

• 美国公民、国民或合法永久居民；

• 任何以难民身份进入美国或获得庇护的人；

• 仅根据美国法律或司法管辖区组建的任何实体；和

• 位于美国的任何人。

（二）规定敏感个人数据的类别

行政命令对“敏感个人数据"的定义涵盖涉及六类美国大量敏感个人数据或其任何组合的交易。这些类别是：（1）涵盖的个人标识信息，（2）地理位置和相关传感器数据，（3）生物识别标识信息，（4）人类基因数据，（5）个人健康数据，以及（6）个人财务数据。

拟议规则进一步细化了这些类别定义：

• 对于涵盖的个人标识信息，包括例如政府颁发的身份证件（例如，社会安全号码、驾驶执照）、金融账户详细信息、设备标识符（例如，国际移动设备身份、媒体访问控制地址）、个人人口统计和联系信息、广告ID、帐户身份验证详细信息（例如用户名、密码）、网络标识符（例如 IP 地址）， 和呼叫详细信息记录等综合信息的列表。

• 对于地理位置和相关传感器数据，仅规范涉及“精确地理位置数据"的交易，定义为基于电子信号或惯性传感单元识别个人或设备物理位置（精度在“X"米/英尺以内）的数据（无论是实时数据还是历史数据）。

• 对于生物识别标识信息，是指用于识别或验证个人身份的可测量的身体特征或行为，包括面部图像、声纹和图案、视网膜和虹膜扫描、掌纹和指纹、步态和键盘使用模式等。

• 对于人类基因数据，涵盖仅涉及人类基因组数据的数据交易。人类基因组数据是人类组学数据的一个子类别，在行政命令中定义为指人类生成的表征或量化人类生物分子的数据，例如人类基因组数据、表观基因组数据、蛋白质组学数据、转录组学数据、微生物组学数据或代谢组学数据。相比之下，术语“人类基因组数据"是指代表核酸序列的数据，这些核酸序列构成了在人类细胞中发现的遗传指令的整个集合或子集，包括个体基因检测的结果和任何相关的人类基因测序数据。

• 对于个人健康数据，由医疗保健提供者或雇主等实体创建或接收，涵盖涉及个人可识别健康信息的数据交易。因其可被定义为一种可识别个人的健康和人口统计信息，与个人的健康状况、接受的医疗保健或医疗保健费用有关，因此可以被合理地用于识别相关个人。

• 对于个人财务数据，指有关个人信用卡、扣款卡或借记卡或银行账户的数据，包括购买和付款历史记录;银行、信贷或其他财务报表中的数据，包括资产、负债和债务以及交易;或信用或消费者报告中的数据。

在拟议规则中，美国司法部说明其并非旨在广泛地包括所有个人身份信息，而仅仅监管特定类型的个人标识数据，通过单独或组合使用相关国家可以使用这些数据将数据与具体个人联系起来。此外，仅包含与另一条人口统计或联系数据（如姓名、地址和电话号码）相关联的人口统计或联系信息的数据集将被排除在外。同样，基于网络的标识符、帐户身份验证数据或仅链接到另一个基于网络的标识符、帐户身份验证数据或呼叫详细信息数据以提供电信、网络或类似服务，将被排除在外。

（三）设定个人数据监管门槛

只有当数据集超过美国人员或美国设备的数量阈值或门槛时，拟议规则才会规范和监管上述六个敏感的个人数据类别。门槛数量具体建议如下：

• 对于人类基因组数据，范围为100-1,000 美国人

• 对于生物识别标识数据，范围为100-1,000 名美国人或美国设备

• 精确的地理位置数据，需要100-1,000 名美国人或美国设备

• 对于个人健康数据，范围为1,000-1,000,000 美国人

• 对于个人财务数据，范围为1,000-1,000,000 美国人

• 对于涵盖的个人标识符，范围为10,000-1,000,000 美国人

值得注意的是，这些门槛数量不适用于涉及政府相关数据的数据交易，即使未超过门槛数量，包括（1）交易方推销的任何敏感个人数据，这些数据与美国政府的现任或最近的前雇员、承包商、高级官员（包括军方和情报界）相关联或可链接;以及（2）通过跨部门流程创建并由司法部维护的公共列表中指定的地理围栏区域列表中列举的任何区域内任何位置的任何精确地理位置数据，仍然受到监管。

（四）规定交易的监管范围

拟议规则将“交易"定义为任何收购、持有、使用、转让、运输、出口或交易外国或其国民拥有权益的任何财产。同时，“涵盖的数据交易"被定义为涉及任何大量美国敏感个人数据或政府相关数据的任何交易，并且涉及

• 数据经纪，指出售、许可访问或类似的商业交易，涉及将数据从任何人（提供者）传输给任何其他人（接收者），其中接收者没有直接从与收集或处理的数据链接或可链接的个人收集或处理数据;

• 供应商协议，包括任何人向另一人提供商品或服务的任何协议或安排（雇佣协议除外），包括云计算服务（例如，基础设施即服务、平台即服务、软件即服务）以换取付款或其他对价;

• 雇佣协议，涵盖个人（独立承包商除外）直接为某人执行工作或履行工作职能以换取报酬或其他对价的任何协议或安排，包括在董事会或委员会的就业、行政级别的安排或服务，以及运营层面的就业服务;或

• 投资协议，包括任何人为换取付款或其他对价而直接或间接获得（1）位于美国的房地产或（2）美国法律实体的直接或间接所有权权益或权利的任何协议或安排。

根据行政命令，该计划将进一步划分“禁止的数据交易"与“限制的数据交易"。拟议规则考虑彻底禁止（1）涉及将大量美国敏感个人数据或政府相关数据传输到受关注国家和受保护人员的数据经纪交易，以及（2）涉及传输大量人类基因组数据或生物样本的基因组数据交易，从中可以得出此类数据。

（五）数据交易监管的豁免

拟议规则建议豁免与个人通信[3]、信息材料[4]、金融服务、支付处理和监管合规相关的交易；美国跨国公司内部的工资和人力资源等辅助业务；美国政府活动及其承包商、雇员和受赠人的活动；以及联邦法律或国际协议（如欧盟-美国数据隐私框架）规定或允许的交易。

对于上述受监管的数据交易，在符合特定条件的情况下仍然可以豁免。针对（1）包含提供商品和服务的供应商协议（包括云服务协议）、（2）雇佣协议和（3）投资协议的数据交易，如这三种类型的交易符合美国国土安全部网络安全和基础设施安全局（CISA）制定的某些网络安全要求，也可以获得豁免。这些网络安全要求将基于CISA（美国国家标准与技术研究院网络安全框架）实施的现有性能目标，指南，实践和控制措施，通常包括加密要求，逻辑和物理访问控制，数据屏蔽和最小化，隐私保护技术的使用等。

二、监管机构和制度

（一）监管机构

行政命令指定美国司法部为牵头机构。我们理解，美国司法部的职责将通过其国家安全司（National Security Division，NSD），特别是其外国投资审查处（Foreign Investment Review Section，FIRS）来履行。FIRS广泛参与识别和解决CFIUS和Team Telecom审查中敏感个人数据的风险，具有数据保护和评估方面的权限、设施和能力。

特别值得注意的是由作为主要执法和安全部门的美国司法部牵头负责，而不是通常由负责经济事务的美国财政部、商务部或其他专设委员会负责，强调了该行政命令及其后续规则在执法监督，尤其是刑法执法和监督方面的重要性。

（二）许可制度

根据行政命令的指示，在后续监管中还将涉及颁发一般和特定许可证的程序，以及以咨询意见（Advisory Opinion）的形式请求解释性指导意见。一般许可将为司法部提供灵活性，使某些类型的交易不受监管、修改这些交易的条件或允许分阶段终止交易。特定许可将使公司和个人能够寻求从事特定数据交易的豁免。此外，公司和个人可以选择就法规如何适用于特定交易寻求咨询意见。

三、合规建议

由于数据在商业活动中的基础性地位，建构在数据甚至技术交流基础上的国际贸易投资活动，尤其是高技术领域的中美贸易投资活动可能会受到直接影响。依据该行政命令建立的，由美国司法部牵头的监管机关，将会对相关数据流动和交易设置合规要求。而依托数据交流和交易为内容的国际贸易投资活动，将需要从贸易投资合规角度考虑新监管制度的合规安排。

一是合规制度建设。针对可能涉及受监管的数据交易和流动的企业，需要建立相应的合规管理制度和体系。根据公司规模、运营复杂程度、所提供产品和服务的性质、客户群和地理范围等风险因素，设计和实施合规措施。尽管尚没有生效的规则可以借鉴，基于经济制裁的贸易合规管理制度可以在一定程度上实现合规要求。

二是合规记录管理。与贸易合规监管要求类似，拟议规则考虑了尽职调查、记录保存和报告的要求，并作为从事受限制交易的许可条件或作为一般或特定许可的条件。因此在后续申请专项许可和一般许可时，需要借鉴贸易合规中的许可制度妥善安排关于许可的合规管理。

三是考虑特定交易的多重监管现状。美国外国投资委员会（CFIUS）、外国参与美国电信服务业评估委员会（The Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector）、美国商务部信息通讯技术与服务交易监管制度，以及相关出口管制和经济制裁等国家安全相关经济部门亦可能对特定交易提出监管和合规要求，建议考虑多重竞合的合规现状。

[注] 

[1] Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern， 2月28日，https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/。

[2] Justice Department to Implement Groundbreaking Executive Order Addressing National Security Risks and Data Security，2月28日，https://www.justice.gov/opa/pr/justice-department-implement-groundbreaking-executive-order-addressing-national-security。

[3] 根据《美国法典》第50卷第1702（b）（1）条定义。

[4] 《美国法典》第50卷§1702（a）（3）条。