作者：宇文沛、胡运思

美国时间2024年2月28日，美国总统拜登签署了一项新的行政命令，该行政命令主要关于防止“受关注国家”访问美国人的大量敏感个人数据和美国政府相关数据的行政命令（“《限制访问数据行政命令》”），旨在限制受关注国家获取美国人的敏感个人数据和美国政府相关数据。《限制访问数据行政命令》指示，美国司法部和其他美国联邦机构应制定更为详细的法律规则和条例，以禁止和限制与受关注国家的受限制实体进行特定交易以保护上述数据安全。在该行政命令公布的同日，美国司法部发布了一份情况说明（Advance Notice of Proposed Rulemaking,简称 “ANPRM”），进一步明确了该行政命令提及的“受关注国家”包括中国（中国大陆地区、中国香港特别行政区及中国澳门特别行政区）。可以预见的是，该行政命令将在数据合规层面对跨国公司的日常经营、中美双边投资以及中国企业出海产生重大影响。特别是针对半导体、人工智能、自动驾驶、生物医药、智能汽车这类重点行业。

本文梳理了《限制访问数据行政命令》和美国司法部ANPRM的关键信息，结合中国企业实务，总结相关问题并进行初步解读。

01 美国是否全面禁止向中国传输数据？本次行政命令所涉数据包括哪些？

美国并非全面禁止向中国传输所有数据。本次行政命令所禁止和限制的数据分为两大类，敏感个人数据和美国政府相关数据。

具体而言，敏感个人数据包括未来特别列举及相互结合可识别个人的识别符（不仅限于直接识别个人标识符）、地理位置信息和相关传感器数据、生物特征识别符号、人类基因组数据、个人健康数据、个人财务数据，以及以上数据的任意组合。

美国政府相关数据由政府人员和政府所在位置的相关数据构成，具体涵盖关联或可关联到包括情报部门和军队在内的联邦政府现雇员及前雇员的敏感个人数据以及关联或可关联到位于司法部划定的特定敏感区域的位置信息。[1]

02 哪些国家和实体落入本次行政命令的“受关注国家”、“受限制实体”的范畴？

ANPRM确定了六个受关注国家，为中国（含港澳特别行政区）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。

《限制访问数据行政命令》确定了四类“受限制实体”，分别为：

为受关注国家所有、控制或为受关注国家管辖、指令的实体；

该类实体的非美国雇员或雇佣方；

受关注国家的非美国雇员或雇佣方；

主要居住在受关注国家的非美国人。[2]

03 是否有重点限制的行业？

《限制访问数据行政命令》和ANPRM并未表明存在重点限制交易的行业，但是，结合相关规定，就目前定义的敏感个人数据和美国政府相关数据政策而言，半导体、人工智能、自动驾驶、生物医药、智能汽车很可能成为受本次行政命令影响最大的行业。

04 本次行政命令禁止和限制涉及的交易类型包含哪些？

本次行政命令禁止和限制的交易如下表所示：

▲ 可点击放大图表查看

05 是否存在豁免交易？

是的。豁免受到《限制访问数据行政命令》的交易如下：

金融服务、支付处理和监管合规相关交易（例如银行、资本市场、金融保险服务以及为支付买卖货物和服务的价款，传输金融数据和《限制访问数据行政命令》列举出的个人识别符号等）；

跨国公司内部为业务运营目的（例如为人力资源目的共享员工的个人身份信息、向海外员工发放工资等）；

为开展美国政府公务而进行的交易；

联邦法律或国际协议要求或授权的交易；

ANPRM未来可能进一步豁免某些不会导致受关注国家和涵盖实体传递权利和影响、最终对美国国家安全产生不可接受风险的投资交易。[3]

06 美国政府将以何种形式对交易进行限制？

目前，禁止的交易和限制的交易或将面临美国政府的审查，美国政府正在考虑未来通过发放一般许可和特殊许可的方式限制。[4]数据审查安全要求尚在制定中，结合相关文件，预计可能包括以下几个方面，即美国政府将要求交易中的美方：

采用基础的结构性网络安全要求；

满足四个条件方可进行限制的数据交易：

a) 数据最小化和数据掩码；

b) 适用隐私保护技术；

c) 通过构建信息技术系统防止未授权的数据泄露；

d) 采用逻辑和物理访问控制。

满足一定合规相关的条件，例如聘请独立审计方进行年度测试和审计。

07 敏感个人数据相关交易审查是否有个人数据达量触发门槛？

一般来说，只有当交易的敏感个人数据超过规定的数量（即美国人或美国设备超过一定数量）时，美国监管机关才会对该交易进行监管。

目前，美国司法部非正式ANPRM公布了对这一数量门槛拟设置的具体数值，如下表所示。[5]但是，该等触发门槛不适用于美国政府相关数据的交易，当交易的数据涉及美国政府时，无论数据的数量，美国都将对交易进行监管。[6]

▲ 可点击放大图表查看

08 违反本行政命令及配套法律法规进行违规交易的监管机关是什么？具体处罚是什么？

目前，违反《限制访问数据行政命令》的全部监管机关和具体处罚措施尚未公布。根据ANPRM，美国司法部将被授权调查该等违法行为，并在未来可能颁布针对违法本行政命令的民事处罚规则。同时，司法部还可以根据国际紧急经济权利法案（“IEEPA”），对违反本行政命令的主体处以民事和刑事处罚。

09 中国企业可能受到怎样的影响？

目前，我们认为中国企业可能在以下三个方面受到《限制访问数据行政命令》的影响：

对于出海企业来说，行政命令限制或禁止了美国公民的敏感个人数据被中国背景的自然人或商业实体获取。对出海企业在海外的商业拓展、日常运营和与国内的数据资料交换都设置了难度和合规风险。

对于双边投资，本次行政命令对于中国企业与美国企业的商业合作和双边投资设置了障碍。这不仅体现在面向中国的数据经纪业务和部分基因数据相关业务被全面叫停，也可能导致中国企业在对美国投资时，由于无法充分获取美方业务数据，导致投资交易的风险。

对于跨国公司而言，尽管本行政命令豁免了跨国公司内部为业务运营目的的交易，但集团公司之间仍存在不同国家集团关联公司之间、与跨国企业客户之间的必要交易，该行政命令对跨国公司的经营将产生较大影响。

注：

[1] FACT SHEET: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern，p3

[2]  FACT SHEET: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern，p2

[3] FACT SHEET: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern，p4

[4] 同上。

[5] Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern, 28 CFR Part 202，P25

[6] FACT SHEET: Justice Department Will Issue Advance Notice of Proposed Rulemaking Following Forthcoming Groundbreaking Executive Order Addressing Access to Americans’ Bulk Sensitive Personal Data by Countries of Concern，p3