在本文完稿时美国司法部国家安全司（National Security Division）公布了本次总统行政命令的落地实施细则（非官方版本），我们将持续跟踪解读。

美东时间2024年2月28日，拜登政府依据《国际紧急经济权力法》（IEEPA）发布了题为《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》[1]（以下称“总统行政命令”），以保护美国人的敏感个人数据（Americans’ sensitive personal data）不被受关注国家（countries of concern）利用。美国司法部在新闻稿[2]中称此举为一项开创性（groundbreaking）的总统行政命令。

本次总统行政命令与美国司法部的“拟定规则预先通知情况说明”（FACT SHEET：Justice Department Will Issue Advance Notice of Proposed Rulemaking，以下称ANPRM情况说明）[3]建立在CFIUS、Team Telecom[4]、商务部的ICTS 计划和出口管制的现有基础之上，并对现有管控措施进行了额外补充，为美国人的敏感个人数据提供额外的保护，并缩小美国国家安全目标与现实之间的差距。

（1）CFIUS 和 Team Telecom 仅逐笔交易审查离散类型的交易，其规则未提供前瞻性的、明确的规则来解决涉及向受关注的国家（country of concern）直接出售数据的商业活动所带来的风险，或解决推进受关注的国家获取美国人敏感个人数据的供应商或雇佣关系所带来的风险。

（2）商务部的ICTS计划监管涉及外国对手（foreign-adversary）生产的在美国使用的信息和通信技术及服务的交易和交易类别。相比之下，此次总统行政命令与美国司法部制定的实施条例（统称为“数据安全计划”）将监管涉及可能将美国人敏感个人数据转移到受关注的国家（country of concern）的数据交易。

（3）出口管制体系用于解决美国敏感产品和技术的转让问题，并防止受关注的国家（country of concern）出于恶意目的获取和使用它们。但出口管制体系并没有解决敏感个人数据本身的流动或此类数据带来的反情报和相关风险。

一、当前评估

但我们理解，就本次行政命令本身而言，其影响有限：

第一，本次总统行政命令仅仅是一个框架结构，其内容真正落地有待司法部出台实施条例。因此，我们建议中国企业将关注重心落在美国司法部出台的“拟定规则预先通知情况说明（FACT SHEET：Justice Department Will Issue Advance Notice of Proposed Rulemaking，以下称ANPRM情况说明）[5]”上，并及时跟进美国司法部后续出台的实施细则。

第二，本次总统行政命令仅限制美国人传输美国人最个人和最敏感的信息（Americans’ most personal and sensitive information），包括基因组数据（genomic data）、生物识别数据（biometric data）、个人健康数据（personal health data）、地理位置数据（geolocation data）、财务数据（financial data）和某些类型的个人身份信息（personally identifiable information）。并非所有数据均禁止传输，即使是美国人最个人和最敏感的信息（美国政府相关信息除外），也只有达到指定阀值时才触发禁令（详情见本文第二节第八项），即使触发禁令，也只有两类数据交易类型被禁止，三类受到限制（详情见本文第二节第十项），并非某些媒体“美国中断数据传输”“任何美国数据都无法出境”“如此危言耸听”的情况。此外某些类型的数据，例如构成金融服务（包括银行业、资本布场和金融保险服务）提供的一部分的数据，以及属于遵守任何联邦法定或监管要求（包括实施这些要求的任何条例、指导或命令）所必须的数据，被给予以例外。

此外，当前总统行政命令中的禁令与美国司法部的ANPRM情况说明规则当前处于为期45天的公众意见征求阶段（且有两轮意见征求），二者并未生效，不会立即产生任何新的法律义务，只有在发布最终规则（final rule）且生效后，才须遵守规则限制。

二、美国司法部ANPRM情况说明

与本次总统行政命令一同发布的还有美国司法部的ANPRM情况说明。美国司法部在ANPRM在中表达了以下观点：

第一，立法将致力于缩小当前国家安全现实与目标间的差距。当前购买个人数据并通过其他商业关系访问这些数据在美国是合法的。美国现有的国家安全机构，例如美国外国投资委员会（CFIUS）和Team Telecom[6]，能够针对不同类型的活动逐案审查和解决这些数据安全风险。然而，现有法律还没有全面、前瞻性地解决受关注的国家（country of concern）或受其管辖或控制的被涵盖的人（covered person）通过商业交易访问敏感个人数据所带来的国家安全风险。

第二，美国司法部将与其他美国机构开展密切合作。此次总统行政命令要求美国司法部作为牵头实施机构，联合美国其他机构、部门开展机构间协商，并在规则制定、许可决定、确定受关注的国家和指定被涵盖的人方面赋予美国国务院、商务部、财政部、国土安全部和其他机构重要使命。

第三，不会通过个案审查（case-by-case）的方式对与受关注的国家间的具体数据交易进行审查。美国司法部将通过制定普遍适用且透明的规则来对与受关注的国家间的具体数据交易进行审查。

第四，司法部考虑将中国（含港澳）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉列为受关注的国家（country of concern），这与出口管制与经济制裁领域的高国家安全风险国家殊途同归。

第五，相比于总统行政命令相对抽象的定义[7]，司法部从法律实践出发点明了被涵盖的人（covered person）的认定要点，也为我们的运营实践提供了思路——向实体或个人提供敏感个人数据是否将导致受关注的国家获取这些数据，如果是，属于被涵盖的人（covered person），反之则不属于。司法部将被涵盖的人（covered person）定义为包括受到受关注的国家（country of concern）管辖（jurisdiction）、指导（direction）、所有（ownership）或控制（control）的某些类别的实体和个人。

第六，司法部将发布并定期更新被涵盖的人（covered person）的清单，以协助企业更清楚地了解这些特定个人和实体并遵守合规要求。注意，这份清单是非详尽的，未被列入该清单不代表不属于被涵盖的人。

第七，司法部将细化敏感个人数据（sensitive personal data）[8]的定义以更好的规范：

（1）特别列出的被涵盖的个人标识符（covered personal identifiers）的类别和组合（并非所有个人身份信息）。被涵盖的个人标识符（covered personal identifiers）是指根据司法部长在根据本总统行政命令第2接发布的条例中确定的，具体列出的与个人合理关联的个人身份数据类别，这些数据无论是相互组合、与其他敏感个人数据组合，或与交易方根据交易披露的其他数据组合，都将导致个人数据可以被受关注的国家（country of concern）用于从数据集中识别个人或将多个数据集中的数据链接到（指向）个人。“被涵盖的个人标识符”不包括：

a. 仅与另一项人口统计或联系数据相关联的人口统计或联系数据，例如姓名、出生日期、出生地、邮政编码、住宅街道或邮政地址、电话号码和电子邮件地址以及类似的公开信息、帐户标识符；或者

b. 基于网络的标识符、帐户身份验证数据或呼叫详细信息数据仅链接到另一个基于网络的标识符、帐户身份验证数据或呼叫详细信息数据，以提供电信、网络或类似服务。

（2）精确的地理定位数据；

（3）生物特征识别符；

（4）人类基因组数据[9]；

（5）个人健康数据；和

（6）个人财务信息。

司法部进一步指出“敏感个人数据”不包括：1）公众合法获取的公共记录数据，例如法庭记录或其他政府记录；2）50 U.S.C. § 1702（b）（1）下的个人通信；3）50 U.S.C. 1702（b）（3）下的表达信息（expressive information），例如视频、艺术品或出版物。

第八，仅当交易超过规定的阀值（即美国人或美国设备的阈值数量）时，司法部才会对上述六类敏感个人数据中的指定类别的数据交易进行监管。但涉及某些美国政府相关数据（United States Government-related data）[10]的交易除外，涉及美国政府人员或地点的敏感个人数据的数据交易，无论此类数据量有多大，都将受到监管。

第九，对于与美国政府相关的人员数据（U.S. Government-related data on personnel），美国司法部将考虑重点关注交易方（如数据经纪人）所销售的敏感个人数据，这些数据与联邦政府（包括情报界和军方）现任或最近的前雇员或承包商或前高级官员有关联或可关联。对于与美国政府相关的位置数据（U.S. Government-related data on locations），美国司法部将考虑重点关注与地理围栏区域内某些敏感位置相关或可链接的地理位置数据，美国司法部在公开列表中指定这些敏感位置。

第十，美国司法部计划将被涵盖的数据交易（Covered data transactions）分为被禁止的交易和受限制的交易，以减少受关注的国家和被涵盖的人的访问风险。

被禁止的数据交易类型属于高度敏感的数据交易类别包括：1）数据经纪交易，以及2）基因组数据交易，涉及大量人类基因组数据或从中导出此类数据的生物样本的传输。

受限制的数据交易类型包括：1）涉及提供商品和服务的供应商协议（包括云服务协议）；2）劳动合同；3）投资协议。注意，对于受限制的数据交易情况说明提出了安全要求条件，包括采取网络安全措施，例如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化以及使用隐私保护技术。这些安全要求将由国土安全部网络安全和基础设施局制定。

第十一，司法部考虑将以下交易列为豁免交易类型，不受本次数据安全计划的管制：

（1）通常与金融服务、支付处理和监管合规相关且是其一部分，例如银行、资本市场或金融保险活动；其他监管机构管辖范围内的金融活动；提供或处理付款涉及转移个人财务数据或被涵盖的个人标识符（covered personal identifiers）[11]以购买和销售商品和服务；以及法律和法规合规性遵从。

（2）通常与美国跨国公司内的辅助业务运营相关且是其一部分，例如工资或人力资源。

（3）美国政府及其承包商、雇员和受赠者的活动，例如联邦政府资助的健康和研究活动（资助机构将自行监管）；或者

（4）联邦法律或国际协议要求或授权的交易，例如乘客舱单信息交换、国际刑警组织请求和公共卫生监测。

（5）某些不具有权利或影响力的投资。司法部认为带有权利或影响力的投资通常会带来受关注国家或被涵盖的人访问敏感个人数据的不可接受的国家安全风险。对于中国的民营企业而言，这或许是一个可适用的突破口。

第十二，司法部考虑建立该部门颁发一般和特定许可证以及咨询意见的流程：

（1）一般许可证（General licenses）将允许司法部灵活地豁免某些类别的交易、改变其条件或允许某些类别的交易缓冲期。

（2）特定许可证（Specific licenses）将使公司和个人有机会申请规则例外以从事特定数据交易，司法部将在与国务院、商务部和国土安全部达成一致的情况下做出许可决定。

（3）公司和个人还可以就条例（后续制定）在特定交易中的应用征求咨询意见。

第十三，对于美国电信基础设施，将由Team Telecom（司法部长担任主席）：

（1）优先审查优先审查受关注的国家的实体拥有、运营或登录海底电缆系统的现有许可证；

（2）公开发布有关许可证申请审查的政策指南，包括第三方数据安全风险的评估；

（3）采取进一步措施持续解决数据安全风险。

第十四，对于美国医疗保健市场，将由国防部、卫生与公共服务部、退伍军人事务部以及国家科学基金会考虑采取措施，利用其现有的拨款和订约权力，包括采取禁止联邦资助支持或以其他方式降低敏感健康数据和人类基因组数据的转移至受关注国家和被涵盖的人的风险。

第十五，对于美国消费者保护，将由消费者金融保护局（the Consumer Financial Protection Bureau）考虑采取措施来解决数据经纪人在造成这些国家安全风险方面所扮演的角色。

第十六，本次数据安全计划不会禁止来自受关注的国家的应用程序或社交媒体平台在美国运营（但这可能属于隐私挑战），也不会禁止任何单一应用程序或技术。

本次数据安全计划的目的之一是解决受关注的国家访问应用程序和社交媒体平台收集和使用的数据子集（敏感个人数据，而不是所有数据）所带来的最严重的数据安全风险。

涉及50 U.S.C. § 1702（b）（3）规定的表达性信息（例如视频、艺术品和出版物）被排除在监管之外。

第十七，本次数据安全计划不会监管美国人之间纯粹的国内交易，例如美国人在美国境内收集、维护、处理或使用数据，但该美国人被明确且公开地指定为代表受关注的国家行事的被涵盖的人除外。

第十八，本次数据安全计划不会监管美国与非受关注的国家之间的数据交易。但以下情况除外：

（1）逃避或规避监管；

（2）进行数据交易前，非受关注的国家采购主体拒绝承诺或同意“不转售或允许受关注的国家或被涵盖人的访问[12]数据”。注意，访问包括通过信息技术系统、云计算平台、网络、安全系统、设备或软件进行数据访问。

第十九，ANPRM 仅考虑在离散情况（discrete circumstances）[13]下实施积极的记录保存和报告要求，作为从事受限制交易的条件或根据一般或特定许可的条件。除此之外，本次数据安全计划不会制定统一的一般尽职调查要求、肯定性记录保存要求或肯定性报告要求。相反，本次数据安全计划将使用一种似曾相识的合规方法，以美国财政部OFAC管理的基于IEEPA的经济制裁计划为模型：美国公司和个人将被期望制定和实施基于IEEPA的合规计划。美国公司和个人应根据其个性化的风险状况制定和实施合规计划，这些风险状况可能会因规模和复杂程度、产品和服务、客户和交易对手以及地理位置等一系列因素而有所不同。如果发生违规行为，司法部将在执法行动中考虑该合规计划的充分性。

第二十，司法部负责调查违反规定的行为，包括根据 IEEPA寻求民事和刑事补救措施。司法部正在考虑对违规行为制定民事处罚，对任何特定违规行为的具体处罚将取决于违规的事实和情况，包括任何合规计划的充分性。

三、中国企业应对建议

（一）尽快完成未完成的交易

司法部在此次ANPRM情况说明中未提及落地实施条例是否具有追溯力，结合司法部在ANPRM情况说明中的表态[14]“当前总统行政命令中的禁令与美国司法部的ANPRM情况说明不会立即产生任何新的法律义务......只有在发布最终规则（final rule）且生效后，才须遵守规则限制”，我们倾向于解读为落地实施条例不具有追溯力。因此我们建议属于被禁止或受限制的数据交易考虑加速交易进程、尽快完成数据交易。

（二）排查可能触发审查的正在进行中的数据交易

通过访谈、问卷等方式研判当前正在进行的涉美数据交易是否触发此次数据交易安全审查，例如收集美国人的敏感个人数据且进行跨境传输。若可能触发交易审查，则进一步排查相关交易是否涉及中国政府/军队的情况，排查是否可能被认定为被涵盖的人的风险。

（三）制定应对数据交易安全审查的方案

我们建议贵司结合前述排查和分析结果，提前制定应对数据交易安全审查的预案，进行内部推演，以便能第一时间及时响应审查。

对经排查可能触发审查的数据交易，1）若存在中国政府/军队等风险，研判可否通过变更股东、股权、产品/服务功能等方式降低该等风险；2）若涉及美国用户数据的异地传输和/或保存，应研判可否在美国境内进行本地化储存；3）开展彻底和可靠的第三方审计，重点排查中国政府和军方无法访问美国人个人敏感数据，并对审计报告进行留档和备份。

在后续回应美国司法部的审查前，还应根据中国《数据安全法》第三十六条关于向外国执法机构提供数据的规定，评估是否应获中国主管机关的批准；以及若需，提前准备相应的申请材料。

若经研判，触发审查的数据交易有较大可能将被美国司法部禁止交易，则应研究部署相关应急措施，包括但不限于1）审查现有的数据交易合同条款和执行情况，制定关闭数据交易项目的时间表，将美国数据交易的范围限制在商业上可行的范围内；2）归口管理对外沟通、情况说明、信息发布；3）境外相关资金回流至国内等。

（四）充分利用美国人之间纯粹的国内交易不受数据交易安全审查的空间

美国司法部在ANPRM情况说明中指出本次总统行政命令与司法部后续制定的实施条例不会监管美国人之间纯粹的国内交易，例如美国人在美国境内收集、维护、处理或使用数据不会受到此次数据交易安全审查的影响，除非该美国人被明确且公开地指定为代表受关注的国家行事的被涵盖的人。

因此，我们建议对于无法避免采购/使用美国人敏感个人数据的中国公司，应考虑进行境内外实体架构拆分和股权架构调整，可考虑中、美双总部的架构模式。总体而言，中国公司应将采购/使用美国人敏感个人数据的业务线全部放在美国子公司（包括美国子公司在美国境内的控股、控制实体与分支机构）进行独立运营，同时采取风险隔离措施，保证美国子公司独自设立董监高，独立决策自身的业务及经营管理，独立进行研发、采购、制造、销售、售后工作将美国子公司的人员、业务、运营管理路径与中国总部及其他子公司隔离，从而使得美国子公司无权限干涉公司及其他子公司的具体业务运营，集团其他子公司也无权限干涉美国子公司的具体业务运营。

（五）充分利用窗口期，积极游说相关主管部门

从美国各方此前表态来看，虽对建立数据交易安全审查在必行，但其具体的实施细节仍然存在很大的商讨空间。当前美国司法部正在对实施条例征求公众意见、广泛了解各方利益需求，评估实施条例的影响。中国企业公司应充分评估此次立法对自身业务的影响，利用窗口期联合投资公司、合作伙伴商会等相关利益团体，争取限缩数据交易安全审查范围、增加自身业务可适用的例外。中国企业也可以积极向中国商务主管部门及行业协会，提交本公司的具体情况及业务影响评估，充分论证此等数据交易安全审查对本公司乃至本行业的经济影响。