x

司法部启动工作,根据新的《行政命令》规范外国获取敏感个人数据

cioctocdo
16 March 2024
SEO Title
DOJ Kicks Off Work to Regulate Foreign Access to Sensitive Personal Data Under New EO

文章分类

2024年3月5日,司法部发布了一份关于受关注国家访问美国人的大量敏感个人数据和政府相关数据的拟议规则制定预先通知。ANPRM遵循第14117号行政命令《防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据》(2024年2月28日),该命令指示司法部长发布法规,禁止或限制与相关国家的敏感数据交易。评论将于2024年4月19日前提交给司法部。

司法部的ANPRIM建议(1)禁止涵盖的数据交易,以及(2)限制某些涵盖的数据事务。司法部还考虑建立一个许可证制度,授权新法规禁止或限制的涵盖数据交易。

背景

 

对人工智能和大数据分析的关注导致EO和ANPRM

EO 14117和司法部的ANPRM反映出政府越来越担心,美国的对手将数据视为一种战略资源,会被利用,损害美国国家安全。包括大数据分析、人工智能(AI)、高性能计算和其他功能在内的先进技术被视为使相关国家能够利用大量美国人的敏感数据来实现这些目标。例如,ANPRM声称,人工智能使提取、重新识别、链接、推断和处理有关人们身份、位置、习惯和欲望的敏感信息变得更容易。[1] 此外,司法部表示,个人身份信息(PII)和从国外收集的大型人类基因组数据集的结合为关注国家提供了机会,可以准确地针对政府或私营行业的个人进行潜在的监视、操纵或利用。

政府看国家安全风险

 

由于数据被利用的风险,ANPRM表示,某些交易可能使相关国家能够访问大量美国人的敏感个人数据,并对国家安全和外交政策构成不可接受的风险。ANPRM声称,受关注的国家可以利用这些敏感数据来跟踪和建立美国人的档案,包括联邦雇员和承包商、军人和情报界成员,以支持间谍行动,并识别和利用漏洞进行恶意网络活动。此外,ANPRM指出,关注国家还可以获取敏感的大量信息,以收集有关活动家、学者、记者、异见人士、政治人物、非政府组织成员和边缘化社区的信息,从而恐吓关注国家的反对者,遏制异见,限制美国人的言论自由和其他公民自由。

 

美国仍致力于开放贸易

 

尽管存在这些威胁,ANPRM重申,美国仍然致力于促进一个开放、全球、可互操作、可靠和安全的互联网;促进开放、负责任的科学合作,以推动创新;在线和离线保护人权;通过促进跨境数据流动,支持充满活力的全球经济,促进国际商业和贸易;以及促进开放投资。美国政府的立场发生了变化,包括去年美国贸易代表办公室(USTR)撤销了对世界贸易组织(WTO)谈判中先前提出的电子商务提案的支持。这一转变旨在使美国能够对数据流进行更多监管,并引起国会领导人和数字贸易领域关键行业团体的负面反应。

ANPRM概述

 

EO指示司法部长发布规定,确定应禁止或限制的特定交易类别

 

EO 14117指示司法部长与国土安全部长协调,颁布法规,确定特定类别的交易,这些交易可能使关注国家或受保护人员能够访问特定类别的美国人的批量敏感个人数据或政府相关数据,这些数据应被禁止,因为这种访问将对美国国家安全和外交政策构成不可接受的风险。EO还指示司法部长发布法规,确定需要遵守网络安全和基础设施安全局(CISA)局长制定的安全要求的特定交易类别。这些安全要求可能包括:

  • 组织要求(例如,基本的组织网络安全态势);
  • 交易要求(例如,数据最小化和屏蔽、隐私保护技术的使用、防止未经授权披露的信息技术系统要求以及逻辑和物理访问控制);和
  • 合规性要求(如审计)。

ANPRM授权司法部长确定关注国家可能利用的交易类别

司法部发布ANPRM是因为它正在考虑建立一个项目,该项目将:

  • 确定某些类别的高度敏感交易,这些交易将被全面禁止(被禁止的交易);和
  • 确定将被禁止的其他类别的交易,除非符合预定义的安全要求(限制性交易),以降低相关国家访问批量敏感个人数据的风险。

a.限制性交易类别可能包括供应商、雇佣和投资者协议

由于它们可能是相关国家访问美国敏感数据的重要手段,司法部正在考虑确定三类受限数据交易,以解决涉及相关国家的关键风险领域,其中包括:

  • 供应商协议(包括技术服务协议和云服务协议);
  • 雇佣协议;和
  • 投资协议。

然而,司法部指出,这些交易的国家安全相关风险可以通过适当的安全相关条件来减轻。

b.敏感数据可能包括PII、财务、健康或位置信息

 

美国司法部的新计划将涵盖涉及六类已定义的美国大宗敏感数据的交易:

  • 美国人涵盖的个人识别码;
  • 个人财务数据;
  • 个人健康数据;
  • 精确的地理定位数据;
  • 生物识别标识符;和
  • 人类基因组数据。

新程序还将涵盖这些数据集的组合。

c.如果交易涉及地理位置信息或有关现任或前任美国政府人员的敏感信息,则交易量无关紧要

 

美国司法部的新计划还将解决美国人与相关国家的交易所带来的更高的国家安全风险,无论交易量如何,如果交易涉及:

  • 与某些军事、其他政府或其他敏感设施相关的特定地理围栏区域的地理位置数据(司法部表示,这些数据可能会泄露有关这些地点和与之相关的美国人的信息,从而威胁美国国家安全);和
  • 与美国政府(包括美国军方和情报界)的现任或近期前雇员或承包商或前高级官员有关联或可链接的敏感个人数据。

美国司法部表示,新计划旨在应对这些特定交易带来的特定国家安全威胁,包括反间谍威胁,并不是对美国与外国合作伙伴之间的所有跨境数据流的商业监管,也不是监管美国人数据隐私的全面计划。

 

关键定义是什么?

 

  • 关注的国家包括中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
  • 受保人员包括以下人员:

由相关国家直接或间接拥有至少50%股份的实体,或根据相关国家法律组建或特许成立的实体,或者其主要营业地位于相关国家的实体;

第(1)类所述实体或第(3)、(4)或(5)类所示人员直接或间接拥有至少50%股份的实体;

  • 外国人员,其为相关国家或第(1)、(2)或(5)类所述实体的雇员或承包商;
  • 主要居住在有关国家领土管辖范围内的外国人;或
  • 司法部长指定受关注国家管辖或指示控制的任何人,或代表关注国家或相关人员行事或声称代表关注国家/相关人员行事的人,或故意导致或指示违反本条例的人。

涵盖数据交易将被定义为“涉及任何美国敏感个人数据或政府相关数据的任何交易,涉及:(1)数据经纪;(2)供应商协议;(3)雇佣协议;或(4)投资协议。”

  • “交易”将被定义为“外国或其国民拥有权益的任何财产的任何收购、持有、使用、转让、运输、出口或交易。”
  • “数据经纪”将被定义为“将数据从任何人(提供者)转移到任何其他人(接收者)的销售、访问许可或类似商业交易,其中接收者没有直接从与收集或处理的数据相关或可链接的个人收集或处理数据。”
  • “供应商协议”将被定义为“除雇佣协议外的任何协议或安排,其中任何人向他人提供商品或服务,包括云计算服务,以换取付款或其他对价。”
  • “雇佣协议”将被定义为“除独立承包商外,个人直接为他人执行工作或履行工作职能以换取报酬或其他对价的任何协议或安排,包括董事会或委员会的雇佣、行政级别的安排或服务,以及运营级别的雇佣服务。”
  • “投资协议”将被定义为“任何人以付款或其他对价换取(1)位于美国的房地产或(2)美国法律实体的直接或间接所有权权益或权利的任何协议或安排。”司法部正在考虑豁免该定义,例如对公开交易证券的投资和其他被动投资。
  • 批量敏感个人数据将包括六个“敏感个人数据”类别,司法部正在为每个类别提出某些“批量”阈值:

 

  • “涵盖的个人识别码”将包括与任何其他“列出的识别码”“链接”的“列出的标识码”,但须遵守某些豁免规定。所涵盖的个人标识符不包括:仅与另一条人口统计联系数据相关的人口统计或联系数据;或者仅链接到用于提供电信、网络或类似服务的另一个基于网络的标识符、帐户认证数据或呼叫详细数据的基于网络的标识、帐户认证信息或呼叫详细信息数据。

司法部正在提出一份列出的标识符的综合列表,其中包括SSN、金融账号、基于设备或硬件的标识符(IMEI、MAC地址、SIM卡号码)、人口统计和联系数据、广告标识符(如谷歌广告ID)、账户认证数据、,基于网络的标识符(例如IP地址或cookie数据)和呼叫细节数据(例如客户专有网络信息(CPNI))。

“地理定位和相关传感器数据。”

“生物识别标识符。”

“人类基因组数据”,仅限于人类基因组数据。

“个人健康数据。”

“个人财务数据。”

政府相关数据建立在EO的定义基础上,司法部正在考虑进一步定义该术语,包括两类数据:

  • 与军事、政府或其他敏感设施或地点相关的特定地理围栏区域列表中列举的任何区域内任何位置的任何精确地理位置数据,无论数量如何;或
  • 交易方营销的任何敏感个人数据,无论数量如何,都与美国政府的现任或近期前雇员或承包商或前高级官员(包括军方和情报界)有关联或可链接。

司法部希望禁止涵盖的数据交易

 

司法部正在考虑对“覆盖数据交易”的五项潜在禁令:

  • 禁止与关注国家或相关人员进行相关数据交易。除非根据豁免授权,否则任何美国人不得在知情的情况下与相关国家或相关人员进行相关数据交易;
  • 数据经纪的合同限制涵盖与外国人的数据交易。任何美国人不得在知情的情况下与任何外国人进行涉及数据经纪的涵盖数据交易,除非美国人根据合同要求该外国人不得与相关国家或涵盖人员进行涉及相同数据的后续涵盖数据交易;
  • 禁止涉及人类基因组数据的覆盖数据交易。任何美国人不得在知情的情况下与相关国家或相关人员进行任何相关数据交易,该交易为该相关国家或该相关人员提供由人类基因组数据组成的大量美国敏感个人数据或可从中获得此类数据的人类生物样本的访问权限,且访问权限大于[适用的大量阈值]在过去十二个月的任何时候的美国人,无论是在单个覆盖的数据交易中,还是在多个覆盖的数据事务中;
  • 禁止规避规则。司法部正在考虑制定规则,禁止回避、造成侵犯、企图和阴谋;和
  • 进一步禁止规避规则。司法部还考虑禁止美国人在知情的情况下指挥任何被禁止的数据交易(包括不符合安全要求的受限交易)。

司法部正在考虑为以下人员设立上述禁令的豁免:

  • 与业务运营相关的实体内交易。值得注意的是,司法部正在考虑豁免以下数据交易:(1)美国人与其位于相关国家(或以其他方式受所有权、指示、管辖权或控制)的子公司或附属公司之间的数据交易;以及,(2)通常发生在附属业务中,并且是附属业务的一部分;
  • 涉及某些类型数据的数据事务。司法部将豁免两类数据交易,前提是它们涉及根据《国际紧急经济权力法》依法不受监管的数据:“个人通信”,包括任何不涉及任何有价值转让的邮政、电报、电话或其他个人通信,以及“信息或信息材料”;
  • 公务。司法部将豁免代表美国政府公务进行的交易,包括雇员、受赠人、承包商和机构的交易;和
  • 金融服务、支付处理和监管合规相关交易。司法部将豁免与金融服务、支付处理和某些法规有关的某些交易。

  • 可能受到监管的实体应考虑这些豁免是否足够广泛和明确,以保护可能风险较低且可能被排除在外的常规和重要数据传输。

     

司法部可能对某些涵盖的数据交易实施安全要求

 

司法部正在考虑创建一类受限制的覆盖数据交易,除非它们符合某些“安全要求”,否则将被禁止。覆盖数据交易的子集将限于:(1)供应商协议;(2) 雇佣协议;以及(3)投资协议。安全要求仍在“开发中”,但司法部已概述了预期的安全要求。其中可能包括以下方面的某些做法:

  • CISA网络安全绩效目标(CPG);
  • 美国国家标准与技术研究所(NIST)网络安全框架(CSF);
  • NIST隐私框架(PF);和
  • NIST SP 800-171第3版。

此外,司法部还提议,为了满足安全要求,需要某些与合规相关的条件,如聘请独立审计师。国土安全部将通过单独的通知和评论程序寻求对安全要求的评论。

司法部可能建立许可证制度以允许某些交易

司法部正在考虑建立一个许可证制度,以授权本应被禁止或限制的涵盖数据交易。许可证可以批准或对所涵盖的交易施加条件。司法部提出了通用许可证和特定许可证。一般许可证将根据适当的条款和条件授权某些类型的覆盖数据交易。具体的许可证将是针对申请人的,司法部正在考虑是否实施适用于所有特定许可证持有人的要求。

政府可能提供解释性指导

司法部正在考虑制定一项计划,通过书面咨询意见提供指导,该意见可用于法规的任何部分。此外,ANPRIM表示,司法部正在考虑发布更通用的解释性指南,如常见问题解答(FAQ)。

司法部寻求对合规和执法方法的意见

 

司法部正在考虑对进行涵盖交易的各方采取某些合规措施,如基于风险的尽职调查和记录保存要求、报告要求和独立审计。司法部也在考虑建立一个程序,对违法行为处以民事罚款。

司法部正在研究涵盖的数据交易如何接受美国外国投资委员会的审查。

 

司法部正在考虑该计划应如何处理投资协议,这些协议也将是受美国外国投资委员会(CFIUS)管辖的“涵盖交易”。美国外国投资委员会审查涵盖的交易,可以要求各方签订缓解协议,或以其他方式对涵盖的交易实施缓解,以应对国家安全风险。根据司法部的拟议计划,这些规则不适用于投资协议,这些协议也涵盖了美国外国投资委员会减轻处罚的交易。然而,如果美国外国投资委员会对所涵盖交易的审查在没有缓解措施的情况下结束,那么司法部的程序仍将适用。

司法部否认对数据本地化的兴趣

 

尽管禁止或限制某些批量数据传输,ANPRM强调,它没有提出通用的数据本地化要求,即在美国境内存储美国人的批量敏感个人数据或政府相关数据。司法部的新规定也不会广泛禁止美国人与位于关注国家的实体和个人进行商业交易,也不会实施旨在使美国与其他国家的实质性消费者、经济、科学和贸易关系更广泛脱钩的措施。相反,ANPRM建议司法部将采取经过校准的行动,最大限度地降低与获取美国人敏感数据相关的风险,同时反映出美国政府长期以来对“数据自由流动与信任”的支持,承认其对经济和在线人权的重要性。

***

几十年来,威利的电信、媒体和技术以及隐私、网络和数据治理团队,以及国际贸易和国家安全实践,一直专注于隐私、安全、数字贸易、数据本地化和相关问题。这包括在美国外国投资委员会的审查中为公司提供建议,谈判数据传输协议,并支持遵守与数据移动和使用相关的各种美国和国际法律义务。无论是从合规性角度还是政策角度,我们的团队都可以解决有关本EO或其指导的工作的任何问题。

[1] ANPRM citing National Intelligence Council, Assessment: Cyber Operations Enabling Expansive Digital Authoritarianism at 3 (Apr. 7, 2020) (declassified Oct. 5, 2022), https://www.dni.gov/index.php/newsroom/reports-publications/reports-publications-2022/3650-cyber-operations-enabling-expansive-digital-authoritarianism.