欧美日韩在线高清,国内精品视频在线,亚洲一区三区电影在线观看

引言

● 2024年2月28日，美國總統發布《關于防止受關注國家獲取美國人大量敏感個人數據和美國政府相關數據的行政命令》[1]（Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，下稱“《行政命令》”），同日，司法部下屬的國家安全司也發布了一份《擬議規則制定預先通知》[2]（Advance Notice of Proposed Rulemaking，下稱“《預通知》”）草案，旨在制定實施該行政令的具體計劃，并征求公眾意見。目前，美國尚未對“受關注國家”通過商業交易獲取美國人大量敏感個人信息進行規制，被某些美國國內的聲音視為威脅美國國家安全的漏洞。

● 中美在數據出境方面的監管有趨同態勢——均立足于國家安全視角，摸索監管介入的程度及方式。實體方面，《行政命令》立足國家安全視角，并非通常意義下的個人信息保護規范。因大量敏感個人信息、政府相關數據被認為涉及國家安全重大風險，故以數據為落腳點。程序方面，《行政命令》不會設立普遍的個案審查機制，而是制定類型化的規則，要求企業進行前置判斷，并配套以合規項目、安全要求、許可等要求，間接實現了針對高風險數據出境的監管干預。

● 美國從國家安全視角限制敏感數據出境的規則早已有之。不同于之前從“事項”出發，此次系從“數據”出發，無疑極大延展了潛在的規制范圍。但是，囿于《行政命令》上位法的授權范圍，規制路徑為通過對特定類別的涉數據“交易”制定普適規則，由企業自行判斷特定交易是否落入規制范圍。這一規制路徑直接關系到中國企業受影響的業務范圍、且有別于中國的數據出境監管思路，因此，如何界定受規制的交易是重要課題。

● 首當其沖受到《行政命令》影響的是具有中資背景、業務中天然涉及大量敏感個人信息、已經或即將開展海外業務的企業，直接關系到涉美業務是否還能做、是否可能因交易合作受阻而舉步維艱。針對在華外資企業而言，反倒可以此為視角理解中國政府目前對數據出境的監管，有助于向境外總部解釋建立中國法下數據出境合規機制的必要性、合理性。

章節目錄

一、《行政命令》的背景與定位

二、《行政命令》的規制范圍：數據、交易、對象

(一) 數據：哪些數據受規制？

1. 美國人的批量敏感個人信息（Americans’ Bulk Sensitive Personal Data）

2. 美國政府相關數據（United States Government-Related Data）

(二) 交易：哪些交易類型受規制？

1. 被禁止的交易（Prohibited Transaction）

2. 受限制的交易（Restricted Transaction）

3. 可豁免的交易（Exempt Transaction）

4. 可能不落入規制范圍的業務活動

(三) 對象：哪些國家、實體、人員受規制？

1. 受關注國家（Countries of Concern）

2. 受覆蓋人員（Covered Persons）

3. 經由第三國再出口（Re-Export）

三、《行政命令》的規制手段與合規路徑

(一) 在內部執行“合規項目（Compliance Program）”

(二) 滿足“安全要求（Security Requirement）”

(三) 獲得“許可（License）”

(四) 采取其他合規措施

一、《行政命令》的背景與定位

2024年2月28日，美國總統拜登發布《關于防止受關注國家獲取美國人大量敏感個人數據和美國政府相關數據的行政命令》（《行政命令》），限制或禁止涉及某些批量敏感個人數據或美國政府相關數據的交易，從而防止這些數據被大規模轉移到“受關注國家”或所涉人員，其中包括中國（包括香港和澳門）、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉。根據《行政命令》的指示，美國司法部也發布了《擬議規則制定預先通知》（《預通知》），正式邀請利益相關方于2024年4月19日前提交意見，以參與制定擬議規則。《預通知》中詳細介紹了司法部目前對于擬議規則如何制定的初步想法并結合預想案例進行解釋說明，此外還包括司法部希望收到評論的重點議題。

本《行政命令》展示了特朗普政府與拜登政府對相關數據安全的政策的持續關注。近年來，美國政府日益重視美國的數據被獲取的問題以及由此產生的對美國國家安全的顧慮，這樣的擔憂也得到了國會兩黨的支持。特朗普曾于2019年5月15日簽發第13873號行政命令《確保信息通信技術與服務供應鏈安全》[3]，宣布了國家緊急狀態，并限制對美國國家安全構成不當威脅的、美國管轄下任何人士進行的或涉及美國管轄下任何財產的信息和通信技術或服務相關交易。拜登總統于2021年6月9日在第13873號行政命令的基礎上進一步發布第14034號行政命令《關于防范外國對立方侵犯美國敏感數據的行政命令》[4]，指示建立外國對立方關聯軟件應用程序的評估機制，防止其對美國國家安全造成威脅（例如將應用程序用于惡意網絡活動或搜集個人敏感數據）。本次《行政命令》擴大了第13873號行政命令國家緊急狀態的范圍，也是在第14034號行政命令基礎上采取的更進一步的措施。

本次《行政命令》將充分利用司法部的職能，以填補數據安全審查方面的空白。首先，雖然《行政命令》以及《預通知》援引了很多美國商務部和財政部所適用的監管概念與機制，（例如，一般許可證和特定許可證、咨詢意見、財政部指導的合規程序等）但是該《行政命令》將美國司法部作為領導機構，表明了更多關注執法的潛在意圖與可能性。其次，本《行政命令》與美國國外資投資委員會（Committee on Foreign Investment in the United States，即CFIUS）在管轄權上存在一定的重合。CFIUS是美國政府的一個跨部門委員會，美國司法部作為經常審查CFIUS交易的聯合牽頭機構，具有對涉及敏感個人數據和政府相關數據的交易進行嚴格審查的經驗。根據《行政命令》，司法部預計施加限制的一類交易是“投資協議”，其中涉及相關人員獲得美國公司的權益。在某些情況下，受新數據限制約束的“投資協議”也將符合 CFIUS 目的的“受管轄交易”。在《預通知》中，司法部提議存在重疊管轄權時，只有當CFIUS啟動正式審查并實施緩解措施時，司法部才會放棄管轄權。另一方面，本次《行政命令》在某些方面比 CFIUS 的管轄權更廣泛。例如，司法部在《預通知》中建議為可識別數據量設定閾值，該閾值低于CFIUS法規中100萬個的典型閾值（例如，考慮健康數據的閾值為1,000 到 1,000,000 之間）。其次，《預通知》將擴展到不符合CFIUS目的“受管轄交易”的交易類別，例如批量數據銷售、供應商協議和雇傭協議。

最后，該《行政命令》，與美國其他對外管制措施交相呼應，以國家安全的名義和機制為美國的數據安全和管控“添磚加瓦”。例如，《行政命令》對建立相關法規的指示也提到，國防部長、衛生與公共服務部長、退伍軍人事務部長和國家科學基金會主任應禁止聯邦撥款被用于幫助受關注國家或所涉人員獲取敏感個人數據。而美國根據《2024財年國防授權法案》[5]通過被列于1260H清單禁止與美國國防部簽訂、續簽或延長采購合同限制規定，對相關實體獲取美國基因數據、其他政府相關數據進行限制。另外，該《行政命令》也反映出美國政府不斷加強涉及人工智能、半導體等先進技術的方面出口管制措施的趨勢。今年1月29日，商務部發布擬議法規[6]要求美國基礎結構即服務（Infrastructure as a Service，IaaS）提供商驗證其外國客戶身份，并且就人工智能訓練行為向美國商務部提交報告（詳見《美國商務部發布新的擬議法規：云計算服務供應商“客戶識別計劃”之規范》）。《行政命令》也同樣表現出對受關注國家發展人工智能技術的擔憂。具體而言，受關注國家可能會“利用批量數據推動人工智能和其他先進技術的創造和完善，從而提高其利用基礎數據的能力”。

二、《行政命令》的規制范圍：數據、交易、對象

基于對國家安全重大風險的考量，《行政命令》所規制的范圍可以概括為：美國主體和“受關注國家”相關的“受覆蓋人員”之間特定類型的“交易”，其中涉及獲取“美國人的批量敏感個人數據”或“美國政府相關數據”。

為了評估《行政命令》對企業的影響、以及企業的經營活動是否受到規制，首先需要充分理解規制范圍的三個維度，即數據、交易、對象。

(一) 數據：哪些數據受規制？

數據是本次規制的落腳點。《行政命令》及《預通知》明確指出了受規制的兩大類數據，即“美國人的批量敏感個人信息”和“美國政府相關數據”，并進一步界定了數據類別、數量門檻、可識別性，從而限縮了受規制的數據范圍。

1. 美國人的批量敏感個人信息（Americans’ Bulk Sensitive Personal Data）

（1）從數據類型的角度，目前主要有如下6類敏感個人信息受到規制：

● 受覆蓋的個人識別符：可被用于從數據集中識別出特定個人，或將多個數據集與特定個人關聯起來。

《預通知》明確列舉了該等識別符的范圍，包括：政府身份證件或賬戶號碼（如社會保險號碼/SSN、駕照號、護照號），基于設備或硬件的識別符（如IMEI、MAC地址、SIM卡號），人口統計或聯系信息（如姓名、出生日期、住址、電話號碼、電子郵箱地址），廣告識別符（如谷歌廣告ID、蘋果廣告標識符），賬戶認證數據（如賬戶名稱、密碼、安全問題答案），基于網絡的識別符（如IP地址、Cookie數據），通話明細數據。

● 地理位置與相關傳感器數據：《預通知》目前將該數據限于“精確地理位置數據”，具體精度有待后續制定。

我們理解，地理數據不僅可以反映美國人的行蹤軌跡與生活習慣，還可能直接影響物理空間層面的國家安全，因此受到特別關注。這一限制可能對地圖導航、自動駕駛/智能汽車等行業產生直接影響，并且對涉及線下經營活動的更多行業產生影響。

● 生物識別標識符：《預通知》將其定義為可用于識別或驗證特定個人的可測量的物理特征或行為，如人臉圖像、聲紋及聲音模式、視網膜及紅膜掃描、掌紋及指紋、步態、鍵盤使用模式等。

此處的“生物識別標識符”與中國法下個人生物識別信息概念類似，其通常指對自然人的身體、生理、行為等生物特征進行處理而得出的能夠識別自然人獨特標識的個人數據。該等信息的使用場景也較為廣泛，包括人臉識別系統、語音識別系統的應用等。

● 人類組學數據：《預通知》目前將該數據限于“人類基因組數據”。

《預通知》對“人類基因組數據”的關注，與近期中國科技部對基因數據的重點關注也不謀而合。科技部目前將基因數據作為中國人類遺傳資源信息的監管重點，其包括基因、基因組、轉錄組、表觀組及ctDNA等核酸類生物標志物等數據信息。目前涉及此類數據的中美雙向流動均屬于敏感領域。

● 個人健康數據：《預通知》將其定義為個人可識別健康信息，主要是指由醫療保健服務提供者等主體創建或接收的、與個人的健康狀況或醫療保健服務情況相關的、可用于識別個人的信息。

此處個人健康數據內涵非常寬泛。類似的，根據中國《信息安全技術健康醫療數據安全指南》，個人健康醫療數據被廣泛理解為涉及個人過去、現在或將來的身體或精神健康狀況、接受的醫療保健服務和支付的醫療保健服務費用等。

個人健康數據涉及的場景也非常多。對于醫藥企業而言，其不僅涉及產品開發和注冊階段可能接觸和處理的受試者醫療健康信息（含去標識化的編碼信息），也可能涉及產品商業化階段，因藥物警戒、不良事件、質量投訴、產品召回等事由而接觸和處理的產品患者的醫療健康信息。

● 個人財務數據：《預通知》將其定義為與個人的信用卡、借記卡、銀行賬戶等相關的數據，包括購買和支付記錄；銀行、信用或其他財務報告中的數據，包括資產、負債、借款和交易；信用報告或消費者報告中的數據；醫保賬戶信息，包括接受的醫療保健服務和支付的醫療保健服務費用信息。

下列數據類型則被明確排除在規制范圍之外：公開記錄；個人通信；具有表達性和言論保護目的的信息或信息材料。

（2）從數量門檻的角度，“批量”敏感個人信息應在特定時間內達到特定的數量門檻（指人數或設備數）。

《預通知》基于風險路徑，為各類敏感個人數據分別設置了不同的數量門檻，即：在受覆蓋的數據交易發生前的12個月內的任何時間點，同一受覆蓋人員在所有交易中所涉數據累計達到下列數據量（單位為美國人或美國設備）：

國家安全-1.jpg

（3）從可識別性的角度，受規制的數據系與“可識別的”美國個人或群體相關聯。是否可以通過匿名化、去標識化、假名化處理降低甚至去除可識別性，從而避免落入受規制數據？隨著人工智能、大數據分析等技術的不斷發展，處理后的數據變得更容易被重識別，導致受限制的數據范圍可能有所擴張。《預通知》對此問題亦表達謹慎態度。

2. 美國政府相關數據（United States Government-Related Data）

（1）從數據類型的角度，目前主要有如下2類數據受到規制：

● 美國政府人員相關數據。該等人員包括美國聯邦政府（包括軍方）的現任或近期前任雇員、承包商、前任高級官員等類別。

● 美國政府位置相關數據。該等位置為美國聯邦政府（包括軍方）所控制的敏感位置。《預通知》目前將該數據限于司法部擬出臺清單上的特定敏感區域的精確地理位置數據。

（2）從數量門檻的角度，美國政府相關數據沒有數量門檻，即，因其敏感性質而直接落入規制范圍。此類似中國法下重要數據的監管思路。

（3）從可識別性的角度，受規制的人員數據系與已識別的美國政府人員相關聯或可關聯，或與可用于識別美國政府人員的數據相關聯；受規制的位置數據系與美國政府位置相關聯或可關聯。

(二) 交易：哪些交易類型受規制？

交易是本次規制的切入點，有別于數據保護領域的監管路徑。對于上述受規制的數據，《行政命令》并不要求該等數據本地化存儲在美國，也不直接對數據跨境傳輸本身進行前置審查。受限于上位法的授權范圍，《行政命令》的切入點是涉及受規制數據的“交易”。

“交易（transaction）”一詞具有豐富的內涵和實踐形式，是指美國主體所從事的、而外國國家及其國民享有利益的任何獲取、持有、使用、傳輸、運輸、出口或交易，統稱為交易。一方面，不能排除存在“交易”被擴大解讀的可能；另一方面，仍需存在特定類型“交易”這個載體才會受到規制。一個典型的問題是：直接從美國個人用戶處收集個人信息的APP是否會被規制呢？

從規制的角度，交易被劃分為被禁止的交易、受限制的交易、可豁免的交易。此外，本文也將探討哪些業務活動可能不落入《行政命令》的規制范圍。

1. 被禁止的交易（Prohibited Transaction）

《行政命令》及《預通知》列舉了2類被禁止的交易類型：

（1）數據經紀交易：《預通知》將數據經紀定義為數據接收方不直接從個人處收集數據，而是從數據提供方（即數據經紀人）處購買、被許可訪問數據。

數據經紀在美國屬于合法行為，且已成為實踐中盛行的產業。數據經紀人可以合法地購買、銷售大量的個人數據，這種交易形態本身蘊含高風險。特別是，人工智能技術的不斷進步令“大力出奇跡”成為現實，批量敏感個人數據不僅更容易被識別、被關聯，其使用的目的和方式更將不斷突破人類的想象空間。

（2）基因組數據交易：該等交易涉及批量人類基因組數據或可推導出該等數據的生物樣本的傳輸。

值得一提的是，2024年1月美國國會提出了BIOSECURE法案，該法案禁止政府機構購買或使用所謂“關注生物技術公司”的生物技術設備或服務，禁止政府機構與使用這些公司產品的實體簽訂、續簽或擴展合同，其中主要是中國的生物技術公司。被列入“關注生物技術公司”的主要原因包括，在全球范圍內開展收集基因數據的活動，在多國運營基因采集點或實驗室，收集了大量孕婦的基因數據等，且可接觸美國市場和人群。

2. 受限制的交易（Restricted Transaction）

《行政命令》及《預通知》列舉了3類受限制的交易類型，我們理解，其核心邏輯是受覆蓋人員（比如中國企業）能否通過該等交易而接觸、獲取美國敏感數據。

（1）供應商協議：該類協議涉及產品和服務的提供，《預通知》中重點列舉了云計算服務（包括IaaS、PaaS、SaaS）。典型示例是外國公司在為美國公司提供技術服務過程中可能接觸受規制的數據，如軟件開發、技術服務、數據存儲及處理服務。次典型示例是外國公司與美國公司開展內涵更多元的業務合作過程中可能接觸受規制的數據，例如：旅游產品預訂平臺吸納美國酒店入駐，從而獲取美國人敏感信息，該平臺可能被認為系SaaS服務提供者。

（2）雇傭協議：《預通知》指出該類協議包括董事、執行、運營等多個層面的雇員，并強調外國人員入職美國公司后因工作性質而有權限訪問受規制的數據。以人員入手進行規制，可視為監管精細化的體現，也在一定程度上體現了涉國家安全數據領域的監管趨勢。

（3）投資協議：《預通知》指出該類協議系就美國的不動產或法律實體取得直接或間接的所有權利益或相關權利，并強調被投資對象應掌握或可接觸受規制的數據。同時，《預通知》排除了公開交易證券、微量股權等投資類型。

3. 可豁免的交易（Exempt Transaction）

對于被禁止或受限制的交易，《行政命令》及《預通知》還列舉了可被豁免的類型，包括：

（1）金融服務、支付處理、監管合規所附帶的數據交易：例如，銀行業、資本市場或金融保險服務，在電商平臺購買商品或服務產生的支付數據等。

（2）美國跨國公司內部業務運營所附帶的數據交易：例如，用于人力資源管理、工資支付、稅費支付、外部審計、風險管理等目的。

（3）美國政府及其承包商、雇員和受贈者的公務：例如，聯邦政府資助的健康和研究活動。

（4）美國聯邦法律或國際協議所要求或授權的交易：例如，旅客名單信息、國際刑警組織請求、公共衛生監測。

4. 可能不落入規制范圍的業務活動

《行政命令》的規制邏輯是指定特定類型的交易，而非對數據相關的所有交易或活動進行普遍限制。因此，中國企業需要評估自己的涉美業務活動是否落入《行政命令》的規制范圍。

實踐中一種常見的業務模式是，中國企業面向美國市場推出產品，以to C類APP出海為例，并在APP運營過程中直接收集并處理美國用戶的個人數據。我們理解，直接從個人用戶處收集數據的行為似乎不會直接落入上述受規制的交易類型，且《情況說明》也明確表示不會直接禁止任何特定的APP。但需要注意的是，APP出海運營不僅包括與個人用戶的交互，還涉及與諸多供應商、合作方（包括美國實體）的合作，而該等合作則有可能落入受規制的交易類型，從而影響APP在美國市場的運營。

我們理解，判斷中美企業之間的合作是否受規制的一個核心標準是，該等合作是否會導致中國企業獲得受規制的數據。例如，向中國企業銷售數據集，或使用中國企業的云服務，會大概率導致中國企業獲得數據。相反地，美國應用商店上架中國APP，則只是為中國企業從美國用戶處獲取數據提供了前提與可能性，但上架本身并不會直接導致中國企業獲得數據。

又比如，對于醫藥行業而言，在跨境產品引進、全球合作開發，以及國際多中心臨床試驗等背景下，中國醫藥企業可能需要獲取受規制數據，如在中國藥品開發和上市申報需要依賴于美國的臨床試驗數據，或者在臨床試驗中需要納入美國人作為受試者，該等臨床數據可能涉及受規制的數據類型（如個人健康數據、人類組學數據、生物識別標識符等）。如本文所述，涉及該等跨境項目或業務的企業亦需要監測和評估相關數據流動是否可能受到規制。

(三) 對象：哪些國家、實體、人員受規制？

對于上述受規制的數據及交易，《行政命令》并未施加普遍性的限制，而是有差別地挑選出存在所謂引發國家安全重大風險的特定國家及相關人員。《行政命令》及《預通知》所輻射的對象，可從受關注國家、受覆蓋人員、經由第三國再出口這三個角度予以理解。

1. 受關注國家（Countries of Concern）

《行政命令》所規制的對象是可能引發美國國家安全重大風險的外國政府，并將由司法部決定該等國家名單。目前，司法部在《預通知》中指明了6個“受關注國家”，即：中國（包括香港和澳門）、俄羅斯、伊朗、朝鮮、古巴、委內瑞拉。

2. 受覆蓋人員（Covered Persons）

《行政命令》及《預定通知》指定了禁止或限制美國主體與之交易的“受覆蓋人員”的范圍，分為如下5類。其核心邏輯是，如果該等人員獲取數據，出于法律或實踐原因，則數據將處于受關注國家（政府）可獲取的境地。

（1）受關注國家所擁有、控制、受其管轄或指示的實體；

《預通知》進一步解釋了該類實體的范圍，包括：1由受關注國家直接或間接掌握50%或以上所有權的實體；2根據受關注國家的法律注冊成立的實體；3主要營業地位于受關注國家的實體；4由各類受覆蓋人員直接或間接掌握50%或以上所有權的實體。

由是觀之，不僅是中國國資控股企業、以及更廣泛意義上的中國企業會受到規制，而由中國企業控股的外國公司也會受到規制，且可能對外國公司的股東進行穿透。

（2）作為（1）類實體的雇員或承包商的外國主體/非美國主體（包括個人或實體）；

（3）作為受關注國家的雇員或承包商的外國主體/非美國主體（包括個人或實體）；

（4）主要居住在受關注國家所轄領土內的外國主體/非美國主體（包括個人或實體）；

（5）被司法部長認定具有下述情形的任何主體（包括個人或實體）：“受關注國家所擁有、控制、受其管轄或指示”、“代表或聲稱代表受關注國家或其他受覆蓋人員行事”、或“故意造成或指示（直接或間接地）違反《行政命令》或其相關法規”。這一額外授權有可能進一步擴大受覆蓋人員的潛在范圍。

3. 經由第三國再出口（Re-Export）

除了直接將受關注國家、受覆蓋人員作為規制對象，《行政命令》及《預通知》還關注到了實踐中可能發生的規避情形，并將規制范圍進一步延伸至經由第三國再出口的情形。

例如，如果美國主體與規制對象之外的第三國人員進行數據經紀交易，則要求美國主體通過協議約束第三國人員，限制其將獲取的數據轉售或提供給受關注國家及受覆蓋人員。

三、《行政命令》的規制手段與合規路徑

《行政命令》及《預通知》并未提出普遍性的、前置性的個案審查要求，而是設定類型化的規制范圍，并在相當程度上交由美國主體自行識別受規制的風險、自行采取措施以符合安全要求。此外，司法部一方面通過許可方式放行風險可控的受規制交易，減小經濟影響；另一方面，在有風險的特定情形下，輔以盡職調查、記錄保存、報告、審計等進一步合規措施。

(一) 在內部執行“合規項目（Compliance Program）”

《行政命令》及《預通知》并未對數據跨境流動本身、或受規制的交易本身提出普遍性的、前置性的個案審查要求，而是通過“類型化”的立法方式，圈定了受到規制的數據、交易、對象的類型，并交由企業進行自我評估。

參照OFAC實施IEEPA經濟制裁項目的方式，《行政命令》及《預通知》要求美國主體（包括企業及個人）在內部自行建立并執行“合規項目”。合規項目系根據美國主體的自身特點與風險進行設計，綜合考慮其規模、復雜程度、產品和服務、客戶及相對方、地理位置等因素。

美國主體在業務運營過程中，如果通過合規項目自行識別出受規制的交易，則依法停止交易、或采取安全措施、或申請許可（詳見下文）。對于不確定的情形，美國主體還可以向監管機構征求其咨詢意見（advisory opinions），即主動詢問擬開展的特定交易是否落入規制范圍。

不同于事前審查，《行政命令》及《預通知》通過合規項目為企業提供了一定程度的交易自主性。如果發生違法行為，司法部會開展執法行動，并考慮合規項目的充分性。

合規項目的義務承擔方為美國主體，而中國企業作為交易相對方，可能在與美國主體的交易過程中遭遇美國主體的內部評估，并被要求提供相關的信息和配合。

(二) 滿足“安全要求（Security Requirement）”

《行政命令》及《預通知》規定了被禁止、受限制的交易類型，以及對應的后果：

1. 被禁止的交易：該類交易直接被禁止，除非經監管機構許可；

2. 受限制的交易：如果滿足“安全要求”，則被允許交易；如果不滿足“安全要求”，則被禁止交易，除非經監管機構許可。

安全要求本質上是為了降低受關注國家、受覆蓋人員通過交易獲取受規制數據的風險。國土安全部等監管機構將首先設定安全要求，然后由交易主體采取相應措施以符合安全要求。

《預通知》目前列舉的安全要求主要包括組織措施、數據屏蔽與最小化、隱私保護技術、邏輯和物理訪問控制、阻止未經授權的訪問、設置獨立審計員等方面。我們理解，上述措施與美國現有的網絡安全與隱私保護框架、乃至世界范圍內典型的數據合規措施有較多共通之處。對企業而言，搭建、執行一套完善的網絡安全與數據合規體系，正日漸成為多個法域、多個監管領域的共同要求。

(三) 獲得“許可（License）”

對于被禁止的交易、受限制的交易（且未滿足安全措施），司法部等監管機構有權簽發許可，例外地放行該等交易。許可分為兩種類型：

（1）一般許可：司法部可以主動為受規制的交易提供類型化的許可、并公開發布，從而允許美國主體開展該等交易。司法部可能在一般許可中向適用主體設定額外的要求，例如，向監管機構提交報告和聲明。

（2）特定許可：美國主體可以主動為特定交易申請特定許可，司法部將在個案審查后作出決定，并可能為特定許可設置額外的要求，例如，持續提交報告、確保交易所涉數據被刪除等。

(四) 采取其他合規措施

《行政命令》和《預通知》表示不會為美國主體的交易創設普遍性的盡職調查、記錄保存、報告、審計等合規義務，但司法部可能考慮建立一套基于風險的合規方案，在特定情形下施加合規義務。

1. 盡職調查及記錄保存：司法部考慮將主動的盡職調查及記錄保存要求作為開展受限制的交易、取得一般許可或特定許可的一項條件，具體包括“了解你的供應商”、“了解你的客戶”等內容。

2. 報告：司法部考慮將主動的報告要求作為特定美國主體開展受限制的交易、取得一般許可或特定許可、識別被禁止交易的一項條件。舉例說明目前受到特殊關注的情形：一個美國主體從事受限制的云計算服務、或根據許可開展數據經紀交易，且受關注國家或受覆蓋人員直接或間接擁有其25%以上的股權。

3. 審計：司法部考慮設立審計要求，作為受限制的交易符合安全要求、或受規制的交易符合許可條件的舉措。

4. 調查與執法配合：司法部考慮要求美國主體在調查與執法中提供配合，可能包括就受規制交易保存完整記錄、并提供完整信息。

【注釋】向上滑動閱覽

[1] Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,

https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/

[2] Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern

https://www.justice.gov/d9/2024-02/unofficial_signed_anprm.pdf

[3] Securing the Information and Communications Technology and Services Supply Chain,

https://www.govinfo.gov/content/pkg/FR-2019-05-17/pdf/2019-10538.pdf

[4] Protecting Americans’ Sensitive Data From Foreign Adversaries,

https://www.govinfo.gov/content/pkg/FR-2021-06-11/pdf/2021-12506.pdf

[5] National Defense Authorization Act for Fiscal Year 2024,

https://www.congress.gov/118/bills/hr2670/BILLS-118hr2670enr.pdf

[6] Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities，

https://www.govinfo.gov/content/pkg/FR-2024-01-29/pdf/2024-01580.pdf