(2)精确地理定位数据(Precisegeolocationdata),指能够确定个人或设备1000米以内物理位置的历史数据或实时数据。
(3)生物识别标识符(Biometricidentifiers),指用于识别或验证个人身份的可测量物理特征或行为,包括面部图像、声纹和声型、视网膜和虹膜扫描、手掌印和指纹、步态以及登记在生物识别系统中的键盘使用模式及由该系统创建的模板。
(5)个人财务数据(Personalfinancialdata),指个人信用卡、借记卡或贷记卡或银行账户的数据,包括购买和支付历史;银行、信贷或其他财务报表中的数据,包括资产、负债、债务和交易;信用报告或“消费者报告”中的数据。
敏感个人数据不包括与个人无关的公开或非公开数据(商业秘密和专有信息)、从政府公开信息或媒体获得的信息、个人通信以及其他法定的信息或信息材料中合法公开的数据。
2.“大量”敏感个人数据的数量界定
最终规则对于禁止或受限制交易中涉及的敏感个人数据的数量设置了具体的触发门槛阈值,具体而言:
(2)具体的门槛阈值:司法部将六类敏感个人数据按照敏感程度分成四个级别,并设置了不同的门槛阈值:
敏感个人数据类型
槛值
人类基因组数据
100人
除人类基因组数据外的其他人类组学数据(人类表观基因组数据、蛋白质组学数据和转录组学数据)
1,000人
生物识别标识符
精确的地理定位数据
1,000台美国设备
个人健康数据
10,000人
个人财务数据
特定的个人标识符
100,000人
最终规则明确以下四类主体属于美国主体:
(1)任何美国公民、国民或合法永久居民;
(2)以难民身份进入美国或获得庇护的人;
(3)完全根据美国法律或司法管辖而成立的实体(包括外国分支机构);
(4)任何位于美国境内的人。
4.受限交易类别
(1)禁止交易
禁止交易具体包括:
此外,需要注意的是,如果以逃避或避免、违反或试图违反关于禁止交易的规则为目的而进行的任何交易或阴谋,或者由美国主体参与的,且美国主体故意指导任何不符合关于禁止交易或受限制交易的规则的交易,也属于被最终规则禁止的交易。
(2)受限制交易
受限制交易包括:
根据最终规则,这些交易在满足美国国土安全部下属网络安全与基础设施安全局(CybersecurityInfrastructureSecurityAgency,以下简称“CISA”)制定的安全措施的情况下可被允许。CISA发布了与最终规则配套的安全要求,包括网络安全措施(例如基本的组织网络安全政策、实践和要求已经到位、数据最小化和屏蔽措施、加密和使用隐私增强技术)。6
5.豁免交易类别
6.美国主体从事受限交易需开展的合规机制
(1)数据合规计划
根据最终规则,未来从事受限交易的美国主体应制定并实施数据合规计划,以履行开展尽职调查的合规义务。该计划至少包括下列内容:
a)基于风险的程序,用于核实受限交易中涉及的数据流,包括以可审计的方式核实并记录所规定的内容。
b)涉及供应商的受限交易,需要通过基于风险的程序核实供应商身份;
c)描述数据合规计划的书面政策,该政策每年都需要经由负责合规的公司内官员、高管或其他员工认证;
d)描述履行最终规则中要求的基于CISA制定受限交易安全要求的书面政策,每年需由负责合规的公司内官员、高管或其他员工进行认证;以及
e)司法部长可能要求的任何其他信息。
(2)第三方审计
(3)年度报告义务
(4)禁止交易的强制性报告义务
(5)咨询意见
根据最终规则,任何可能受行政令及具体规则监管的交易的美国主体,或代表此类交易方行事的代理人,如果认为某项交易可能受行政令及具体规则监管而被禁止或限制,均可向司法部长提交咨询申请,请求监管机关发表咨询意见。
在收到咨询请求后,司法部可酌情采取以下行动:(1)说明其根据行政令和具体规则对拟开展的交易的当前执法意图,或选择拒绝说明其当前执法意图;(2)在情况允许时,采取其认为适当的其他立场或启动其他行动。关于回应的期限,司法部应努力在收到咨询请求以及任何要求补充的信息和文件后的30天内作出回应。
(6)许可证
(ii)特定许可:指向特定的一个人或多人颁发的、针对特定一项或多项交易的书面许可。该类许可只有经主体主动申请,在特定条件、适当条款条件下,才可能被允许,同时可能包括未能获得一般许可证的禁止或限制交易。
(7)最终规则确立的罚则
最终规则子部分M对违规后果及处罚规则作出具体的规定,根据其规定,违规的行为可能导致民事和刑事处罚。民事处罚的最高金额为368,136美元,或交易金额的两倍(以金额较大者为准)。如果是故意违规、蓄意共谋、或协助或教唆违规,则可能面临刑事处罚,包括最高100万美元的刑事罚款或对个人最长20年的监禁(可能二者皆有)。
二、对中国企业的影响和建议
结合最终规则的内容,我们初步建议中国企业,包括中国企业在美国设立的实体,在最终规则生效之日前的过渡期(90天/270天),可以采取以下措施评估风险:
(1)对涉美业务中的数据处理活动进行全面梳理,确认收集、处理以及跨境转移数据的具体场景,数据的类型、数量、数据流、处理目的、方式等,为风险评估做好基础的信息采集工作;
(4)即使经评估未发现可能落入最终规则监管范围的数据处理活动,也应当定期监控公司涉美业务中的数据处理情况,一旦有可能落入最终规则监管的范围,应当及时采取措施。
(5)若中国企业在美国注册的实体从事受限交易,需要按照最终规则的要求履行相应的合规义务,包括制定并实施数据合规计划、开展第三方审计,履行法定的年度报告义务或关于禁止交易的强制报告义务。
(6)对企业内部的合规制度、流程进行审查,在合作方引入、新项目立项、合规审计等制度和流程中纳入最终规则涉及的合规审查要点。
君合的服务案例
[1]ExecutiveOrderonPreventingAccesstoAmericans’BulkSensitivePersonalDataandUnitedStatesGovernment-RelatedDatabyCountriesofConcern
[4]JusticeDepartmentIssuesFinalRuleAddressingThreatPosedbyForeignAdversaries’AccesstoAmericans’SensitivePersonalData