美国司法部发布有关敏感个人数据大规模转移的最终规则

2025-02-12 20:31:51

2024年12月27日，美国司法部（“DOJ”）发布了题为《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》（“最终规则”）。该规则进一步细化了第14117号行政命令（即《关于防止关注国家获取美国人大规模敏感个人数据和美国政府相关数据的行政命令》），旨在防止某些特定国家和主体利用敏感个人数据和美国政府相关数据。该最终规则已于2025年1月8日在《联邦公报》上发布，并将于2025年4月8日生效。

 

最终规则的重要定义

关注国家（Countries of Concern）指：中国（包括香港和澳门）；古巴；伊朗；朝鲜；俄罗斯；委内瑞拉。

受限主体（Covered Persons）指：由关注国家直接或间接持有50%或以上股权的外国实体；根据关注国家的法律设立的实体；主要营业地位于关注国家的实体；居住在关注国家的外国雇员、承包商或个人。此外，美国子公司通常不被视为受限主体，除非DOJ另行指定。

美国主体（U.S. persons）指：美国公民、国民或合法永久居民；在美国获得庇护或难民身份的人；完全依据美国法律或美国境内任何司法管辖区的法律成立的实体（包括外国分支机构）；任何位于美国境内的人。此外，最终规则禁止非美国主体诱导、共谋或协助美国主体违反最终规则，以及参与旨在规避最终规则的交易。

禁止的交易

根据最终规则，美国主体被禁止与关注国家或受限主体进行数据经纪交易，包括出售、许可或转让未由接收方直接收集的数据。这一限制同样适用于转售或通过第三方转移的数据。此外，最终规则禁止任何向受限主体提供大规模人类基因组数据访问权限的交易。

受限制的交易

除非满足 DOJ 设定的合规性要求（包括 CISA 美国网络安全和基础设施安全局规定的安全要求），否则美国主体不得故意与关注国家或受限人员进行与以下交易相关的涉及美国政府相关数据或大规模美国敏感个人数据访问权限的数据交易：（1）供应商协议；（2）雇佣协议；（3）投资协议（但不包括特定的被动投资）。此类交易必须满足一系列积极合规义务。

敏感个人数据类别

最终规则定义了六类敏感个人数据，每类数据都有特定的大规模门槛，如果在交易前12个月内超出该门槛，将触发禁止或限制措施。该大规模门槛适用于匿名化、假名化、去标识化或加密的数据。

1. 个人标识信息（大规模门槛：超过100,000名美国主体）  
2. 精准地理位置数据（大规模门槛：超过1,000台美国设备）  
3. 生物识别标识（大规模门槛：超过1,000名美国主体）  
4. 人类基因组数据（大规模门槛：超过1,000名美国主体的人类组学数据，或超过100名美国主体的人类基因组数据）  
5. 个人健康数据（大规模门槛：超过10,000名美国主体）  
6. 个人财务数据（大规模门槛：超过10,000名美国主体）  

合规与报告要求

参与受限制的交易的美国主体必须在不晚于2025年10月6日建立数据合规计划并符合合规要求，包括但不限于：  

· 建立基于风险的程序：用于核查受限制交易中的数据流动情况；  

· 进行符合最终规则要求的审计；

· 除《最终规则》另有规定外，每笔此类交易的完整和准确记录必须自交易日期起至少保存10年；  

· 由负责合规性的高管、执行官或其他员工每年对尽职调查记录的完整性和准确性进行认证。

最终规则实施时间表
最终规则将于2025年4月8日生效。对于受限制的交易的特定尽职调查和审计要求将被分阶段纳入，并将在2025年10月6日正式生效。

对企业的影响
各类企业，尤其是涉及数据经纪、供应商协议、雇佣协议或可能涉及敏感个人数据的投资协议的公司，应尽快评估其数据处理方式，以确保符合新规要求。这包括：

· 评估与相关国家或个人的合作关系

· 采取必要的安全措施以防止未经授权的数据访问

· 确保遵守适用的合规要求。

 

未能遵守最终规则可能会导致DOJ实施刑事或民事处罚。