美国司法部发布最终规则：有关向特定国家批量传输敏感个人数据

2024年12月27日，美国司法部（“司法部”）发布了关于实施拜登政府 第14117号行政令（《防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据》）的最终规则。行政令和最终规则中所指受关注国家包括：中国（包括香港特别行政区和澳门特别行政区）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。最终规则在司法部内部设立了一项新的国家安全监管计划，并针对特定交易中的个人数据传输或出口制定了美国首批禁止和限制规定。最终规则旨在应对国家安全风险，并非一部联邦隐私法规，将于2025年4月8日生效。

总体而言，最终规则适用于由受关注国家或受限制主体拥有50%或以上股权的实体。受限制主体包括由受关注国家（直接或间接）拥有50%或以上股权、按照受关注国家的法律组建或者主要营业地位于受关注国家的外国实体。同时，受限制主体还包括受关注国家的外国员工或承包商，或居住在受关注国家的个人。除非经司法部特别指定，否则美国子公司一般不属于受限制主体。

“受限制数据交易”是指涉及以任何方式访问获取任何政府相关数据或大批量的美国敏感个人数据，且与数据经纪、供应商协议、雇佣协议或投资协议相关的交易。“敏感”个人数据包含：(i) 特定的个人识别符；(ii) 精确地理定位数据；(iii) 生物识别标识符；(iv) 人类基因组数据及其他人类组学数据；(v) 个人健康数据；和 (vi) 个人财务数据。最终规则还豁免了若干交易类型，包括与特定公司集团交易、临床调查或药物审批程序等有关的数据交易。

禁止交易：美国主体严禁在明知的情况下，与受关注国家或受限制主体进行涉及数据经纪的受限制数据交易。所谓数据经纪，是指出售数据、许可访问数据或涉及数据传输的商业交易，且在该过程中，数据接收者并未直接向相关个人收集或处理数据。该禁令亦适用于通过第三方转售或转移至受关注国家的数据。此外，最终规则还禁止美国主体在明知的情况下，参与任何向受关注国家或受限制主体开放大批量人类基因组数据的受限制数据交易。

受限交易：美国主体不得在明知的情况下，参与任何与供应商协议、雇佣协议和非被动投资协议有关的大批量传输敏感个人数据的交易，除非该交易可以满足美国网络安全与基础设施安全局（“CISA”）制定的特定安全要求。最终规则针对受限制交易规定了相应的强制合规要求，包括由独立审计师开展年度审计、年度认证、采用基于风险的程序、相关记录保留10年等。

此外，还有同时针对禁止交易和受限制交易的特定年度报告及依要求报告的规定。