2024年10月21日,美国司法部(“司法部”)发布了一份拟议规则制定通知(NPRM),以实施拜登总统的行政命令《防止有关国家获取美国人的大量敏感个人数据及美国政府相关数据》。该NPRM更新了2024年3月5日发布的提前通知规则制定通知(ANPRM),弥补了之前通知中的空白。有关ANPRM的更多细节,参见我们之前的文章:隐私快讯 | 拜登签署行政命令,限制美国的个人数据流通到多国,以及法规研究 | 深度解读白宫最新行政命令:出海企业数据合规策略影响几何。
NPRM的核心原则与ANPRM中概述的原则保持一致,进行了少量调整。主要澄清内容包括批量阈值的建立、“敏感个人数据”定义的细化,以及记录保存和尽职调查义务的修订。此外,NPRM概述了发放某些禁止或限制交易许可证的程序。值得注意的是,NPRM仍处于草案阶段,部门邀请公众在接下来的30天内对该提案发表评论。
一、背景
2024年2月28日,拜登总统签署了第14117号行政命令,标题为《防止有关国家获取美国人的大量敏感个人数据及美国政府相关数据》(以下简称“行政命令”)。该命令指示司法部长建立禁止或限制美国人在涉及外国国家或其国民有利益的财产交易中进行交易的规定,特别是在这些交易涉及大量敏感个人数据或美国政府相关数据时。行政命令发布后,部门发布了ANPRM,邀请公众对这些规定的实施提出意见。部门现已将这些意见纳入NPRM。
二、范围
“有关国家”包括中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。NPRM适用于涉及对方访问以下数据的任何交易:
(1)数据经纪
(2)供应商协议
(3)雇佣协议
(4)投资协议
三、敏感个人信息
敏感个人信息的定义与ANPRM中识别的六种类型保持一致,略有修订: 涉及的个人标识符、 精确地理位置数据、生物识别标识符、人体基因组数据、 个人健康数据、个人财务数据。
(一)个人标识符
涵盖的个人标识符的定义与ANPRM保持不变,包括:
(1) 完整或截断的政府识别号或账户号码(如社会安全号码、驾照或州身份证号码、护照号码或外国人登记号码);
(2) 与金融机构或金融服务公司相关的完整金融账户号码或个人识别号码;
(3) 基于设备或硬件的标识符(如国际移动设备身份(IMEI)、媒体访问控制(MAC)地址或用户身份模块(SIM)卡号码);
(4) 人口统计或联系数据(如名字和姓氏、出生日期、出生地、邮政编码、居住街道或邮政地址、电话号码、电子邮件地址或类似公共账户标识符);
(5) 广告标识符(如Google广告ID、苹果广告ID或其他移动广告ID(MAID));
(6) 账户认证数据(如账户用户名、账户密码或安全问题的答案);
(7) 基于网络的标识符(如互联网协议(IP)地址或Cookie数据);或
(8) 通话详细数据(如客户专有网络信息(CPNI))。
一些评论者建议采用与州或欧盟隐私法一致的更广泛的“个人可识别信息”定义,但部门拒绝了这一提议,认为更广泛的定义会不必要地扩大法规范围,要求对更多商业交易进行监督。
(二)精确地理位置数据
NPRM将精确地理位置数据定义为“能够识别个人或设备物理位置的数据显示精度在1000米以内”,包括实时或历史数据,示例包括GPS和IP地址地理定位。
(三)生物识别标识符
生物识别标识符的定义与ANPRM保持不变,指可测量的身体特征或行为,用于识别或验证个体身份,例如面部图像和指纹。
(四)人体基因组数据
人体基因组数据的定义保持不变,但部门正在考虑在最终规则中纳入表观基因组、糖组、脂质组、代谢组、微生物组、表型组、蛋白组和转录组数据。
(五)健康数据
ANPRM规定“健康数据”应与HIPAA中的定义相同。NPRM修正了该定义,包括与个人身体或心理状况、医疗提供或医疗付款相关的健康信息,包括各种健康指标和治疗历史。
(六)个人财务数据
个人财务数据的定义与ANPRM保持不变,包括与个人金融账户和交易历史相关的数据,不包括推断内容。
四、关于“大量”的定义
您可能记得,ANPRM提出了不同类型敏感数据的各种潜在批量阈值,这使许多人对“批量”的精确定义及其在处理活动中的适用性感到不确定。NPRM明确将“批量”定义为在过去12个月内,任何满足或超过特定阈值的敏感个人数据数量:
除了人体基因组数据外,所有类别的敏感个人数据的提议阈值大致处于ANPRM中识别的初步数字的中间范围(例如,生物识别标识符的1,000名美国人阈值与ANPRM的100到10,000范围一致)。鉴于人体基因组数据的高度敏感性及其相关的国家安全风险,该类别的提议阈值设定在ANPRM识别的初步范围的最低端。
五、被限制的交易
NPRM禁止三类交易:供应商协议、雇佣协议和投资协议,除非进行交易的美国人符合“安全要求”或已获得许可。考虑到收到的意见,NPRM引入豁免的商业交易。
豁免交易:
六、许可程序
除了以上的和面活动外,NPRM还提出了让实体透过许可申请来合法进行原本禁止的的交易。
许可的申请必须至少包括交易性质的描述,包括涉及的政府相关数据或美国敏感个人数据的类型和数量;交易各方的身份,包括所有权细节和国籍或主要居住地;数据的预期使用;以及数据转移的方法。检察长可能根据需要要求提供额外信息。任何对交易有兴趣的个人或实体都可以申请具体许可。部门的目标是在收到请求后45天内做出回应。
七、报告责任
NPRM提供了了需要提交报告的具体场景,包括:
八、处罚
违反该规则可能会面临民事和刑事处罚。最高民事罚款不得超过 368,136 美元或违反交易金额的两倍,以较高者为准。
故意实施、企图实施、合谋实施或协助实施任何许可、命令、法规或禁令的违反行为的人,若被定罪,罚款不得超过 1,000,000 美元;若为自然人,可能面临不超过20年的监禁,或两者并罚。
1、NPRM是否仅适用于美国数据的跨境转移?
答:其范围比仅限跨境转移更广。与ANPRM类似,该规则禁止“访问”,定义为逻辑或物理访问,包括获取、阅读、复制、解密、编辑、转移、发布、影响、改变状态或以任何形式查看或接收数据。
2、NPRM是否强制数据本地化要求?
答:如ANPRM所示,拟议规则并未授权针对存储美国人批量敏感个人数据或美国政府相关数据的普遍数据本地化要求。公司可以自由在关注国以外存储数据。
3、NPRM是否禁止数据交易?
答:拟议规则并不普遍禁止美国人与关注国进行商业交易,包括在销售商品和服务中交换财务和其他数据。它并未采取旨在切断美国与其他国家在消费者、经济、科学和贸易关系中的实质性联系的措施。
拟议规则旨在解决由关注国及涵盖的个人访问美国人批量敏感个人数据和某些敏感美国政府相关数据所带来的特定国家安全风险。它要求供应商协议、雇佣协议和投资协议。部门现请求公众在接下来的30天内对拟议规则进行评论。尽管规则的定义、形式和细节可能会有所修订,但规则的基本组成部分预计不会与当前规则相差太远。Kaamel 将持续关注事件,为你带来最新的动态。