美国发布行政命令,拟限制向中国传输特定类型数据

admin 2024年3月3日04:39:28评论40 views字数 9200阅读30分40秒阅读模式
当地时间2月28日,美国总统拜登发布《关于防止受关注国家访问美国公民的大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,“行政命令”),重点旨在限制向中国(含香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉等受关注国家传输美国公民的敏感个人数据,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人身份识别信息。行政命令在中美两国科技领域竞争不断加剧的背景之下孕育而生,纽约时报称其为“华盛顿和北京之间数字冷战的最新升级”[1]。
行政命令要求采取如下措施:
  • 司法部发布法规,限制受关注国家对于美国公民的敏感个人数据的访问和利用,阻止敏感个人数据大规模转移到这些国家。

  • 司法部发布法规,加强对敏感政府数据的保护,包括敏感政府场所的地理位置信息和军事人员的信息。

  • 美国司法部和国土安全部将共同制定高安全标准,以防止受关注国家通过其他商业手段获取美国公民的信息,如通过投资、供应商和雇佣关系。

  • 卫生与公共服务部、国防部和退伍军人事务部确保联邦拨款、合同、奖励不被用于帮助受关注国家(包括通过位于美国的公司)获取美国公民的敏感健康数据。

  • 美国电信服务行业外国参与评估委员会需要在审查海底电缆许可证时考虑对美国公民敏感个人数据的威胁。

值得关注的是,行政命令的发布可能会对我国出海企业的业务运行与发展产生较大影响,尤以医疗健康以及科技行业等敏感个人数据驱动的企业为甚:
  • 数据跨境传输受阻:行政命令限制了美国公民的个人数据被传输至中国。这意味着出海企业在美国获取并跨境传输敏感个人数据会面临更多的限制和困难,从而影响到业务运营和研发能力,并增加企业在数据保护和隐私方面的合规风险;

  • 商业合作受阻:行政命令可能会导致中资企业在与美国企业进行商业合作时面临更多的障碍。美国企业可能会因为担心数据泄露和合规问题而减少与中资企业的合作,从而影响美国市场的拓展和发展;

  • 全球战略布局调整:面对美国的数据限制政策,中资企业可能需要重新评估其全球战略布局。企业可能需要考虑在其他国家或地区建立数据中心,或寻求其他合作伙伴来弥补美国数据跨境传输方面的限制。

但是,由于目前行政命令并未细化规定具体的限制措施,还有待后续美国司法部、国土安全部等有关部门发布具体法规来细化落实相关要求。目前美国司法部已发布了执行该行政命令的拟议规则制定的预通知的事实摘要[2],概述了实施行政命令的规则。因此,建议相关企业时刻关注政策动态,加强合规管理,并积极寻求应对策略以应对潜在的风险和挑战。

行政命令摘要

美国发布行政命令,拟限制向中国传输特定类型数据
美国发布行政命令,拟限制向中国传输特定类型数据

01

受规制对象

受规制的对象包括四个类别:
  • 由关注国家所拥有、控制、或受其司法管辖或指导的实体(an entity owned by, controlled by, or subject to the jurisdiction or direction of a country of concern);

  • 作为上述实体的员工或承包商的外国人(a foreign person who is an employee or contractor of such an entity);

  • 作为关注国家的员工或承包商的外国人(a foreign person who is an employee or contractor of a country of concern);

  • 主要居住在关注国家领土司法管辖区内的外国人(a foreign person who is primarily resident in the territorial jurisdiction of a country of concern)。

美国公民、国民或合法永久居民;在美国获准作为难民或被授予庇护的人;仅在美国法律或司法管辖区下组织的实体;以及在美国境内的任何人不属于受规制的对象范围。行政命令还将授权部门通过指定符合特定标准的特定实体或个人为受规制对象,如被关注国家所拥有、控制或受其司法管辖或指导,或代表被关注国家或另一个受规制对象行事。

02

敏感个人数据定义

敏感个人数据包括:
  • 特别列出的个人识别信息类别及其组合(specifically listed categories and combinations of covered personal identifiers)——并非所有个人可识别信息,不包含仅与另一条人口统计或联系数据(如名字和姓氏、出生日期、出生地、邮政编码、住宅街道或邮寄地址、电话号码以及电子邮件地址和类似的公共账户标识符)相关联的人口统计或联系数据,或一个基于网络的标识符、账户认证数据或呼叫详细数据(只与提供电信、网络或类似服务的另一个基于网络的标识符、账户认证数据或呼叫详细数据相关联);

  • 精确地理位置数据(precise geolocation data)

  • 生物识别标识(biometric identifiers)

  • 人类基因组数据(human genomic data)

  • 个人健康数据(personal health data)

  • 个人财务数据(personal financial data)

“敏感个人数据”不包括公共记录中的数据,例如法院记录或其他政府记录,这些记录是合法且普遍对公众开放的;根据50 U.S.C. § 1702(b)(1)的个人通信;或根据50 U.S.C. 1702(b)(3)的表达性信息,如视频、艺术作品或出版物。

03

规制行为

司法部将识别以下被禁止和受限制的敏感数据交易,包括:
  • 被禁止的数据交易类别:

  • 数据经纪交易(data-brokerage transactions)

  • 涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据交易(genomic-data transactions involving the transfer of bulk human genomic data or biospecimens from which such data can be derived)

  • 受限制的数据交易类别:

    • 涉及提供商品和服务的供应商协议(vendor agreements involving the provision of goods and services),包括云服务协议;

    • 雇佣协议(employment agreements)

    • 投资协议(investment agreements)。

    这些受限制交易的安全要求将由国土安全部的网络安全和基础设施安全局 (CISA)制定。这些安全要求旨在减轻关注国家或受管制个人访问数据的风险,可能包括诸如基本组织网络安全态势要求、物理和逻辑访问控制、数据掩码和最小化,以及使用保护隐私技术的网络安全措施。

    04

    规制门槛

    • 涉及某些美国政府相关数据的交易(涉及美国政府人员或位置的敏感个人数据):无涉及美国人数量与设备数量的限制,均受管制;

    • 其他:一般只会对超过规定数量(即,一定数量的美国人或美国设备)的敏感个人数据的特定数据交易进行规管;

    05

    规制豁免

    行政命令(E.O.)和预公布的规则提案(ANPRM)将包含几项全面豁免,这些豁免适用于将从规管中排除的数据交易,具体包括:
    • 通常作为金融服务、支付处理和监管合规的一部分(ordinarily incident to and part of financial services, payment processing, and regulatory compliance),如银行业、资本市场或金融保险活动;其他监管机构监管范围内的金融活动;涉及转移个人财务数据或受管制个人识别信息的支付提供或处理,用于商品和服务的购买和销售;以及法律和监管合规;

    • 通常作为跨国美国公司内部附属业务操作的一部分(ordinarily incident to and part of ancillary business operations),如工资支付或人力资源;

    • 美国政府及其承包商、雇员和资助者的活动(activities of the U.S. Government and its contractors, employees, and grantees),如联邦资助的健康和研究活动,这些活动将由资助机构自行规管;

    • 联邦法律或国际协议要求或授权的交易(transactions required or authorized by federal law or international agreements),如乘客名单信息的交换、国际刑警组织(INTERPOL)的请求和公共卫生监视。

    白宫简报译文

    美国发布行政命令,拟限制向中国传输特定类型数据
    FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data
    简报:拜登总统发布行政命令,保护美国公民敏感个人信息

    Today, President Biden will issue an Executive Order to protect Americans’ sensitive personal data from exploitation by countries of concern. The Executive Order, which marks the most significant executive action any President has ever taken to protect Americans’ data security, authorizes the Attorney General to prevent the large-scale transfer of Americans’ personal data to countries of concern and provides safeguards around other activities that can give those countries access to Americans’ sensitive data.
    今天(译者注:2024年2月28日),拜登总统发布一项行政命令,旨在保护美国公民的敏感个人信息不被受关注国家利用。该行政命令授权美国总检察长防范美国公民的个人信息被大规模转移到受关注国家国家,并防止可能使这些国家获得美国公民敏感信息的其他活动。这是迄今为止历任总统中为保护美国人数据安全而采取的最重要的行政行动。
    The President’s Executive Order focuses on Americans’ most personal and sensitive information, including genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personally identifiable information. Bad actors can use this data to track Americans (including military service members), pry into their personal lives, and pass that data on to other data brokers and foreign intelligence services. This data can enable intrusive surveillance, scams, blackmail, and other violations of privacy.
    该行政命令重点关注美国公民最私密和最敏感的信息,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人身份识别信息。违法者可以利用这些信息跟踪美国公民(包括现役军人),窥探他们的个人生活,并将信息传递给其他数据经纪人和外国情报部门。这些信息可用于监视、诈骗、勒索等其他侵犯个人隐私的违法行为。
    Companies are collecting more of Americans’ data than ever before, and it is often legally sold and resold through data brokers. Commercial data brokers and other companies can sell this data to countries of concern, or entities controlled by those countries, and it can land in the hands of foreign intelligence services, militaries, or companies controlled by foreign governments.
    目前,公司收集的美国公民信息数量空前,并将其通过数据经纪人合法出售和转售。商业数据经纪人和其他公司可以将这些信息出售给受关注国家或这些国家控制的实体。由此,这些信息可能落入外国情报部门、军队或外国政府控制的公司手中。
    The sale of Americans’ data raises significant privacy, counterintelligence, blackmail risks and other national security risks—especially for those in the military or national security community. Countries of concern can also access Americans’ sensitive personal data to collect information on activists, academics, journalists, dissidents, political figures, and members of non-governmental organizations and marginalized communities to intimidate opponents of countries of concern, curb dissent, and limit Americans’ freedom of expression and other civil liberties.
    此类出售美国公民信息的行为会带来巨大的隐私、反间谍、勒索风险和其他国家安全风险,对军事或国家安全界人士而言尤其危险。由此,有关国家还可以获取美国公民的敏感个人信息,收集有关活动家、学者、记者、持不同政见者、政治人物以及非政府组织和边缘化社区成员的信息,以恐吓有关国家的反对者,遏制不同政见,限制美国公民的言论自由和其他公民自由。
    To protect Americans’ sensitive personal data, President Biden is directing:
    为了保护美国公民的敏感个人信息,拜登总统指示:
    • The Department of Justice to issue regulations that establish clear protections for Americans’ sensitive personal data from access and exploitation by countries of concern. These protections will extend to genomic data, biometric data, personal health data, geolocation data, financial data, and certain kinds of personal identifiers. They will prevent the large-scale transfer of that data to countries of concern—which have a track record of collecting and misusing data on Americans.

      美国司法部将颁布法规,明确保护美国公民的敏感个人信息不被受关注国家获取和利用。这些保护措施将扩展到基因组数据、生物识别数据、个人健康数据、地理位置数据、金融数据和特定种类的个人可识别信息。鉴于受关注国家均曾有收集和滥用美国公民信息的记录,法规旨在防范敏感个人信息被大规模转移到这些国家。

    • The Department of Justice to issue regulations that establish greater protection of sensitive government-related data, including geolocation information on sensitive government sites and information about military members.

      司法部发布法规,加强对敏感政府数据的保护,包括敏感政府场所的地理位置信息和军事人员的信息。

    • The Departments of Justice and Homeland Security to work together to set high security standards to prevent access by countries of concern to Americans’ data through other commercial means, such as data available via investment, vendor, and employment relationships.

      美国司法部和国土安全部将共同制定高安全标准,以防止受关注国家通过其他商业手段获取美国公民的信息,如通过投资、供应商和雇佣关系。

    • The Departments of Health and Human Services, Defense, and Veterans Affairs to help ensure that Federal grants, contracts, and awards are not used to facilitate access to Americans’ sensitive health data by countries of concern, including via companies located in the United States.

      美国卫生与公众服务部、国防部和退伍军人事务部将合作确保联邦拨款、合同和奖励不被受关注国家利用,如通过其位于美国的公司,为获取美国公民的敏感健康信息提供便利。

    • The Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector (often called “Team Telecom”) to consider the threats to Americans’ sensitive personal data in its reviews of submarine cable licenses.

      美国通信服务业外国参与审查委员会(常被称为 "电信小组")在审查海底电缆许可证时,将考虑美国公民敏感个人信息所面临的威胁。

    That these activities do not stop the flow of information necessary for financial services activities or impose measures aimed at a broader decoupling of the substantial consumer, economic, scientific, and trade relationships that the United States has with other countries.
    这些行动不会阻碍金融服务活动所需的信息流动,也不会强加措施,使得美国与其他国家的大量消费、经济、科学和贸易关系在更大范围内脱钩。
    These actions not only align with the U.S.’ longstanding support for the trusted free flow of data, but also are consistent with U.S.’ commitment to an open Internet with strong and effective protections for individuals’ privacy and measures to preserve governments’ abilities to enforce laws and advance policies in the public interest. The Administration will continue its engagements with stakeholders, including technology companies and advocates for privacy, safety, competition, labor, and human rights, to move forward in a way that appropriately balances all these objectives.
    这些行动不仅符合美国长期以来对可信数据自由流动的支持,也符合美国对开放互联网的承诺,即有力、有效地保护个人隐私,并采取措施保障政府的执法能力和推进公共利益政策的能力。拜登政府将持续与相关方(包括科技公司和隐私、安全、竞争、劳工和人权倡导者)合作,以平衡所有目标,推进隐私保护。
    The President has encouraged the Consumer Financial Protection Bureau to consider taking steps, consistent with CFPB’s existing legal authorities, to protect Americans from data brokers that are illegally assembling and selling extremely sensitive data, including that of U.S. military personnel.
    拜登总统还鼓励消费者金融保护局考虑根据其现有法律授权并采取相应措施,防范非法收集和数据经纪人出售极端敏感信息(包括美国军人的信息)的行为,保护美国公民免受侵害。
    Additionally, President Biden continues to urge Congress to do its part and pass comprehensive bipartisan privacy legislation, especially to protect the safety of our children.
    此外,拜登总统将继续敦促国会尽其职责,早日通过全面的两党隐私立法,尤其是儿童安全保护相关立法。

    编辑:陈十九

    审核:商密君

    原文始发于微信公众号(商密君):美国发布行政命令,拟限制向中国传输特定类型数据

    • 左青龙
    • 微信扫一扫
    • weinxin
    • 右白虎
    • 微信扫一扫
    • weinxin
    admin
    • 本文由 发表于 2024年3月3日04:39:28
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                     美国发布行政命令,拟限制向中国传输特定类型数据https://cn-sec.com/archives/2541952.html

    发表评论

    匿名网友 填写信息