一、美国出台该项行政命令的背景是什么？

2024年2月28日，美国政府发布了一项行政命令，旨在保护美国人的敏感数据及美国政府的相关数据不被“受关注的国家”获取，是美国构建数据跨境传输审查机制的一次标志性举措。

二、本次行政命令的颁布目的是什么？

美国政府决定限制敏感数据流向中国以及其他被视为“外国竞争对手”的国家，以加强数据安全和国家利益。美国政府认为，将美国人的大量敏感个人数据和与美国政府有关的数据无限制地转移给“受关注的国家”，将导致“受关注的国家”从事恶意的网络活动、跟踪和建立美国个人档案以用于非法目的。

三、“受关注国家”的范围包括哪些国家？

根据美国司法部在颁布本行政命令前发布的简报，受关注的国家具体包括中国、俄罗斯、朝鲜、古巴、委内瑞拉和伊朗。

四、本次行政命令保护的数据类型包括哪些？定义是什么？

该命令旨在保护限制的数据类型包括敏感个人数据与美国政府相关数据。其中，敏感个人数据主要包括涵盖个人标识、地理定位和相关传感器数据、生物特征标识、人类生物学组学数据、个人健康数据、个人财务数据或上述数据的任何组合，以敏感个人数据为主。而美国政府相关数据是指司法部长认为有可能被有关国家利用以危害美国国家安全的高度危险的敏感个人数据。对于不包含敏感个人数据的其他数据，如科学数据等，本次命令并未对其产生限制影响。

五、敏感个人数据的审查阈值是否确定？

本次行政命令并没有提出敏感个人数据的审查阈值标准，应属于留待相关部门后续具体确定的事项。参照2023年美国商务部通过的《确保信息通信技术和服务供应链安全的最终规则》（ICTS规则），“美国人敏感个人数据”的审查阈值标准设定在“100万”。而对于美国政府的相关数据，无论数量多少，只要美国司法部长认为相关数据有可能被有关国家利用以危害美国国家安全，就都会被纳入审查的范围。

六、本次行政命令是否涉及一般性的数据本地化存储要求？

虽然本行政命令对于美国人大量敏感个人数据和美国政府相关数据出境作出了限制，但是该行政命令第一节及第二节均指出，针对在美国存储大量敏感个人数据或与美国政府相关数据的计算设施，美国政府并不作一般性的数据本地化存储要求。基于该规定可以看出，美国政府在推动数据出境合规制度构建的同时，也希望最大限度地减少风险，保持跨境商业活动的活跃性。

七、金融数据跨境传输是否会受到本次行政命令的影响？

美国政府表示，对敏感个人数据的限制措施不会妨碍金融服务活动所需的数据流通。同时，美国并不打算采取任何会广泛切断美国与其他国家之间涉及消费者、经济、科学和贸易关系的举措。

八、本次行政命令重点管控的实体包括哪些？

1. 利用海底电缆将数据（包括大量敏感个人数据或美国政府相关数据）传输到外国管辖区域内的特定数据中心的实体；

2. 收集大量敏感个人数据，包括个人健康数据和人类基因组数据的美国医疗市场实体。

九、本次行政命令明确了哪些后续措施？

该命令中提及的相关数据保护措施，后续将由美国多部门共同出台标准并进行监管。未来可能出现的新举措包括：

1. 美国司法部将颁布法规，加强对于美国人敏感个人数据及美国政府相关数据的保护；
2. 美国司法部和国土安全部须共同制定高安全标准，防止有关国家通过商业手段获取美国人的数据；
3. 美国卫生与公众服务部、美国国防部和美国退役军人事务部将协同合作，确保联邦拨款、合同和奖励不被用于为“受关注的国家”获取美国人个人健康数据；
4. 美国电信服务部门外国参与评估委员会在审查海底电缆许可证时，须考虑相关许可是否会对美国人敏感信息造成的潜在威胁，并评估其威胁程度；
5. 鼓励消费者金融保护局将采取符合现有法律权限的措施，保护美国人的敏感个人数据免受非法收集和出售。

十、违反该项行政命令的可能后果包括哪些？

根据美国司法部在颁布本行政命令前发布的简报，司法部将调查违反命令及相关法规的行为，基于《国际紧急经济权力法案》对相关主体作出民事或刑事处罚。对任何特定违规行为的具体处罚将取决于违规行为的事实和细节，包括涉事主体合规计划的适当性。

感谢实习生房凯珉对本文的贡献。

来源：合规思维