在圣诞假期后首日,美国司法部发布了“应对外国对手获取美国公民敏感个人数据”的最终规则(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons – Final Rules)。这标志着美国政府在2024年2月28日签署的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)及具体规定,终于在2024年年末落地。

由于该规则实施后将对中资企业在出海合规方面带来较大影响。

适用范围

640?wx_fmt=png

美国人

《14117行政令》明确定义了美国人(U.S Person),行政令适用于所有美国人,美国人包括:

  • 任何美国公民、国民或合法永久居民

  • 任何以合法难民身份进入美国的人

  • 仅根据美国法律或美国境内任何司法管辖区成立的任何实体(包括外国分支机构)

  • 任何在美国的人

受限制的国家和主体

美国司法部拟将中国(包括香港和澳门)列为《 14117 行政令 》下“受关注国家”之一,并规定了受限制主体:中国(含港澳)企业、其境外控制的实体、其雇佣且不属于“美国人士”的人员、单纯长期居住在中国境内的非美国人,都可能受到辐射。

《14117行政令》还规定了受限制主体( covered persons ),认为从法律和实际角度看,向这些主体提供敏感个人数据和美国政府相关数据都将使这些数据处于受关注国家的控制范围内。

640?wx_fmt=png

受限制的数据类型

目前来看,受限制数据主要分为两大类:美国人的敏感个人数据(6个子类)和美国政府相关数据。对不同类别数据,设定不同的触发阈值。

640?wx_fmt=png

美国政府数据则是无论何种敏感个人数据,不论数量多少,如果交易方将其作为与美国政府(包括军事和情报部门)的现任或近期前雇员或承包商,或前高级官员有关联或可关联的数据,均属于受限制数据交易。

受限制的交易

14117行政令特别定义五种数据交易类型,对美国人和受关注国家人员涉及含有美国人敏感个人信息/美国政府数据的此类数据交易进行限制,防止受关注国家通过这些交易获取大量美国人敏感个人信息和政府数据,对美国国家安全形成威胁。

640?wx_fmt=png

合规要求

640?wx_fmt=png

根据《14117行政令》相关规定,美国企业在满足安全要求及外部审计和监管报告等合规要求的情况下,可开展“受限制交易”。美国网络安全和基础设施安全局 (CISA) 针对这一规定,在2024年10月31日发布了《14117行政令受限制交易的安全要求》,相关安全要求参考了CISA CPG, NIST Privacy Framework,NIST CSF 2.0的部分要求。

违规处罚

640?wx_fmt=png