当地时间2024年2月28日，美国总统拜登签署新行政令[1]（Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据，以下简称“新行政令”），旨在进一步加强对美国人敏感数据的保护，防止受关注国家（Countries of Concern）对此类敏感数据加以利用。

此项行政令进一步扩大了2019年5月15日第13873号行政令（确保信息和通信技术及服务供应链安全）中宣布的国家紧急状态的范围，并进一步采取2021年6月9日第14034号行政令（保护美国人的敏感数据免受外国对手攻击）中的相关措施。          

该新行政令的主要目的是限制受关注国家获取大量的美国敏感个人数据和美国政府相关数据。具体而言，美国政府认为，将美国人的大量敏感个人数据和与美国政府有关的数据无限制地转移给受关注国家，将导致受关注国家从事恶意的网络活动、跟踪和建立美国个人档案以用于非法目的。拜登政府认为，受关注国家通过数据经纪公司、第三方供应商协议、雇佣协议、投资协议或其他此类安排获取美国人的大量敏感个人数据和美国政府相关数据，会对美国国家安全构成特别的、不可接受的风险。  

该行政令要求采取以下措施：

1. 要求美国司法部发布法规，以明确措施来保护美国人的敏感个人数据，禁止或以其他方式限制相关数据被批量（bulk）转移至受关注国家。“敏感个人数据”包括法定的涵盖个人标识、地理定位和相关传感器数据、生物特征标识、人类生物学组学数据（human ‘omic data）、个人健康数据、个人财务数据或上述数据的任何组合，且该数据与任何可识别的美国个人群体相关联或可与之相关联。

2. 要求美国司法部发布法规，加强对美国政府相关数据的保护。“美国政府相关数据”是指美国司法部长认定具有被受关注国家利用以损害美国国家安全的高度风险的敏感个人数据，无论其数量多少，并且：

i.交易方被认定与军队、联邦政府现任或近期前任雇员或承包商、前任高级官员有关联或可与之相关联；

ii.所涉及的数据被认定为与上述政府主体的身份的各类数据相关联；或

iii.与包括军方在内的联邦政府控制的某些敏感地点相关联或可与之相关联，相关敏感地点的地理位置将于后续公布。            

3. 要求美国司法部和美国国土安全部联合发布法规，禁止或以其他方式限制美国人收购、持有、使用、转让、运输、出口、交易外国或其国民拥有权益的任何财物，以此来防止受关注国家通过商业手段获取美国人因投资、供应商关系和雇佣关系所披露的数据。

4. 要求美国卫生与公众服务部、美国国防部和美国退役军人事务部协同合作，确保联邦拨款、合同和奖励不被用于为受关注国家(包括位于美国境内的公司)获取美国人个人健康数据。

5. 要求美国电信服务部门外国参与评估委员会（“Team Telecom”）在审查海底电缆许可证时，考虑相关许可会对美国人敏感信息造成的潜在威胁，以防受关注国家通过海底电缆将敏感数据传输到其位于外国管辖区的数据中心。

6. 鼓励美国消费者金融保护局（“CFPB”）根据其现行法律采取措施，以应对相关威胁，并加强对联邦消费者保护法的遵守。

最后，美国总统拜登还将继续敦促美国国会尽其职责，通过两党支持的全面的联邦隐私立法。

上述新行政令对美国司法部、美国国土安全部和美国国防部等国家机关进行授权，要求其在特定期限内出台具体的法规和措施，加强对美国人敏感数据的保护。相关限制标准以及具体的限制措施可持续关注后续具体的法规规定。   

就该行政令而言，其义务主体为美国人（United States persons）。因此，中国公司在美子公司或在美分公司将属于该行政令所规定的义务主体。如果中国根据该新行政令被认定为“受关注国家”，则中国公司在与“美国人”的交易在涉及大量敏感个人数据或美国政府相关数据（bulk sensitive personal data or United States Government-related data）的情况下，将会受到该新行政令的影响。

我们对此提出以下建议：

1. 公司内部全面审查已收集的个人数据隐私协议、投资协议、供应协议等涉及信息收集的协议，确保其符合美国相关法律法规的要求。

2. 特定行业，例如生物医药、基因研究、通信与网络、金融技术、空间技术与系统行业将是美国关注的重点，相关公司可持续关注该行政令及相关法规的发布，认真研究措施的负面影响，减少涉及被认定为“美国敏感数据”而受到后续规则的影响。

来源：国际贸易与合规

作者：