美国司法部发布数据跨境传输最终规定，以应对外部获取美国敏感的个人和政府相关数据所带来的紧迫国家安全风险

网络法实务圈 · 公众号 · · 2024-12-30 17:00

正文

引言

原文来源：

https://www.justice.gov/opa/media/1382526/dl

2024年12月27日，司法部发布并公开了一项最终规则，以应对某些国家持续试图获取、利用和武器化大量敏感个人数据及与美国政府相关数据所带来的国家安全风险。该规则充分反映了司法部对公众意见的深入考量，这些意见源自2024年3月5日拟议规则草案提前通知（ANPRM）和2024 年10月29日拟议规则草案通知（NPRM）。期间，司法部收到了来自企业和组织的数百条反馈，并与数十个美国政府机构和办公室进行了广泛磋商，同时还与外国合作伙伴展开了交流。

正如 ANPRM 和 NPRM 中所预览的那样，最终规则在司法部国家安全部门内设立了一个“国家安全计划”。该计划限制并在某些情况下禁止美国人与六个“国家关注”进行某些类别的数据交易，因为这些交易可能构成不可接受的风险。这些风险主要涉及上述国家、实体或个人获取美国大量敏感个人数据或与政府相关数据所带来的国家安全威胁。

今天发布的规定将在发布后 90 天正式生效。其中，部分强制性合规义务将分阶段实施，其生效日期为发布后 270 天。此外，司法部计划继续与业界及其他利益相关方保持沟通，以评估在规定生效时是否需要适用任何通用性许可。同时，司法部预计将在规定生效前发布有关合规和执法的公开指导意见。

最终规则vs拟议规则

最终的规定与征求意见稿基本一致，但针对评论和利益相关者的参与，对某些截止日期、阈值和定义进行了调整。

受关注国家： 最终规定将以下六个国家列为“受关注国家”：中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。这些国家长期以来存在或严重存在对美国国家安全或美国人民安全保障极为不利的行为模式。此外，它们被认为存在利用大量美国敏感个人数据及与政府相关数据的重大风险。

受监管人员：

最终规定保留了征求意见稿中对“受监管人员”定义的总体范围，但调整了部分措辞，使其更加符合财政部外国资产控制办公室（OFAC）采用的“50%规则”。根据这一规则，任何由受监管人员拥有 50% 或更多股份的实体将被视为受监管人员。 最终规定将“受监管人员”定义为以下四类对象：

由受关注国家拥有 50% 或更多股份的外国实体，或在受关注国家法律下组织，或其主要营业地点位于令人关切的国家的外国实体。
由受监管人员拥有 50% 或更多股份的外国实体。
受关注国家或受监管人员实体的外国雇员或承包商。
主要居住在受关注国家的外国个人。

除此之外，最终规定还包括由司法部指定为“被覆盖方”的个人和实体名单作为补充。司法部还可以指定任何个人为“被覆盖方”，无论其所在地，只要满足以下条件之一：

该个人是或曾经是由受关注国家或被覆盖方控制或管辖的。
该个人的行为、曾经的行为或可能代表令人关切的国家或被覆盖方行事。
该个人故意导致或可能导致违反本规定的行为。

敏感个人数据： 最终规则对涉及六类敏感个人数据的交易进行监管，如果这些数据与任何可识别的美国个最终规定继续监管涉及六类敏感个人数据的交易。这些数据如果与任何可识别的美国个人或与一个独特且可识别的美国人群体有关联，可能被受关注国家或受监管人员利用，从而威胁美国的国家安全。 六类敏感个人数据包括：

（1）某些受保护的个人信息（例如，与设备标识符关联的名称、社会安全号码、驾照或其他政府身份识别号码）；

（2）精确的地理定位数据（例如，全球定位系统坐标）；

（3）生物识别标识符（例如，面部图像、声纹和声型以及视网膜扫描）；

（4）人类基因组数据以及另外三种人类“组学”数据（表观基因组学、蛋白质组学或转录组学）；

（5）个人健康数据（例如，身高、体重、生命体征、症状、测试结果、诊断、数字牙科记录和心理诊断）；以及

（6）个人财务数据（例如，与个人信用、借记卡、银行账户和财务负债相关的信息，包括支付历史）。

此外，最终规定明确将以下数据排除在“敏感个人数据”的定义之外：

与个人无关的公开或非公开数据（例如商业秘密和专有信息）。
从合法政府记录或广泛分布的媒体中公开可获得的数据。
个人通信和某些信息材料。

这些排除适用于上述六类敏感数据的每一类。

大量敏感个人数据阈值与美国政府相关数据： 最终规定的限制和禁止措施适用于涉及敏感个人数据的“被覆盖数据交易”，只要相关数据在过去 12 个月内超过特定阈值。数据是否匿名化、假名化、去识别化或加密均不影响这一标准。 敏感个人数据的阈值如下：

超过 100 名美国人的人类基因组数据及另外三类人类“组学”数据（表观基因组学、蛋白质组学或转录组学）。
超过 1000 名美国人的生物识别信息。
关于 1000 多台美国设备的精确地理定位数据。
超过 10,000 名美国人的个人健康数据和个人财务数据。
超过 100,000 名美国人的某些受保护的个人身份标识符。
上述类别的任何组合，只要其中任一类别达到最低阈值。

政府活动位置数据： 规则将部门公开的政府相关位置数据列表中所列地理区域内的任何精确地理定位数据视为政府相关数据。如果一个地理区域的数据可能被令人关切的国家利用，从而揭示联邦政府控制位置的相关信息并可能危害国家安全，则部门可与机构协商后将该区域列入名单。

美国政府人员数据： 任何与当前或近期的美国政府雇员或承包商（包括军方与情报部门）有关联的敏感个人数据，如果被推销或交易，也将被视为政府相关数据。

对于某些涉及政府相关数据的交易，无论数据数量如何，这些交易都受到监管。

禁止、限制、豁免的交易类型

被禁止的两类交易 是数据经纪业务和涉及获取大量人类基因组数据或人类生物样本（从中可以推导出此类数据）的受保护数据交易。

受限交易的三类包括供应商、雇佣和非被动投资协议。 如果这些与受关注国家或受保护人员进行的受限交易符合国土安全部网络安全和基础设施局（CISA）制定的某些安全要求，这些交易是被允许的。

这些安全要求旨在降低受关注国家或受保护人员获取交易中涉及的大量美国敏感个人数据或政府相关数据的风险。 CISA同时发布其安全要求。这些安全要求包括但不限于网络安全措施，如基本的组织网络安全政策和实践、物理和逻辑访问控制、数据掩码和最小化、加密以及隐私增强技术的使用。最终规则对“访问”的定义进行了技术修正，以防止无意中将符合CISA安全要求的受限交易视为外部交易而排除在规则范围之外。

美国司法部发布数据跨境传输最终规定，以应对外部获取美国敏感的个人和政府相关数据所带来的紧迫国家安全风险

正文

请到「今天看啥」查看全文