2024年2月28日，美国总统拜登发布了《关于防止受关注国家获取美国公民大量敏感个人数据和美国政府相关数据的行政命令》（“《行政命令》”）[i]，随后美国司法部发布了针对《行政命令》的《拟议规则制定预先通知》（Advance Notice of Proposed Rulemaking，“《预通知》”）[ii]并征求公众意见，以最终制定实施《行政命令》的具体规则。以上文件出台的目的在于限制包括中国在内的受关注国家访问美国人员与实体的大量敏感个人数据和美国政府相关数据。

  一、新规综述  

简要而言，此次出台的《行政命令》和《预通知》的监管机制可以概括为，禁止或者限制美国主体与受关注国家及相关人员之间就特定类型数据进行特定数据交易（豁免情形除外），以管控国家安全重大风险。下面我们简要介绍该机制下各关键词的定义和范围：

1. 美国主体

美国主体指的是美国公民、国民或合法永久居民、美国接收为难民或者提供庇护的个人、仅根据美国法或在美国司法辖区下组建的实体（含其外国分支机构），或任何位于美国境内的人员。值得注意的是，美国主体的定义包括位于美国境内的任何人员，使得主体的范围大大扩展。

2. 受关注国家及相关人员

《行政命令》和《预通知》规制的对象包括受关注国家及相关人员。受关注国家有六个，包括中国（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。相关人员包括：受关注国家拥有、控制、受其管辖或指示的实体；作为该实体的雇员或承包商的非美国人或实体；作为受关注国家的雇员或承包商的非美国人或实体；主要居住在受关注国家的非美国人或实体；司法部部长指定的某些人员或者实体。因为相关人员的数据能够通过各种途径被受关注国家所获取，所以也属于被规制的对象。

3. 特定数据交易    

《预通知》规定了被禁止、被限制以及可豁免的交易类型，参与交易的行为包括“收购、持有、使用、转让、运输、出口或交易”。

（1）被禁止的交易（Prohibited Transactions）

《行政命令》及《预通知》列举了2类被禁止的交易类型：

数据经纪交易，数据接收方不直接从个人处收集数据，而是从数据提供方（即数据经纪人）处购买数据、获取数据访问许可的数据交易；

基因组数据交易，涉及大量人类基因组数据或可提取出该等数据的生物样本传输的数据交易。

（2）受限制的交易（Restricted Transactions）

《行政命令》及《预通知》列举了3类受限制的交易类型：

供应商协议，涉及提供产品和服务的数据交易，如云服务协议（包括IaaS、PaaS、SaaS）；

雇佣协议，涉及董事会或委员会中的雇佣、行政级别的安排或服务以及业务级别的雇佣服务等的数据交易；

投资协议，涉及就美国的不动产或法律实体取得直接或间接的所有权益或相关权利的数据交易。但投资于公开交易的证券、投资于投资公司、担任集合投资基金的有限合伙人等情形除外。

（3）可豁免的交易（Exempt Transactions）

在上述交易的基础上，《行政命令》及《预通知》还列举了五类可豁免的类型：

涉及某些数据类型的数据交易，如不涉及任何有价物品转让的个人通信等；

涉及政府业务的数据交易，如美国政府雇员、受助人或承包商为执行公务而进行的交易等；

涉及金融服务、付款程序以及监管合规相关的数据交易，如银行、资本市场或金融保险活动等；

涉及企业内部业务运营的数据交易，如关联公司之间的数据交易或出于人力资源管理、外部审计等目的进行的交易等；

美国联邦法律或国际协议所要求或授权的数据交易，如交换旅客名单信息、回应国际刑警组织请求的交易等。

4. 特定数据类型及阈值    

受监管的数据类型可以分为大量敏感个人数据和美国政府相关数据两类。其中大量敏感个人数据需要达到一定的阈值才会触发限制，而美国政府相关数据则没有阈值的限制。值得注意的是，《行政命令》尚未授权监管部门采取任何对相关数据或设施进行本地化的强制要求。

（1）大量敏感个人数据

敏感个人数据共有六类，包括涵盖的个人识别信息、地理定位和相关传感器数据、生物识别标识信息、人类组学数据、个人健康数据以及个人财务数据。《预通知》为各类敏感个人数据分别设置了不同的阈值，即：在特定数据交易发生前的12个月内的任何时间点，同一受关注国家及相关人员在所有交易中所涉数据累计达到下列数据量才会触发限制：

*表格中涵盖的个人识别信息、人类组学数据、个人健康数据以及个人财务数据四种数据类型的数据量单位为美国人数，地理定位和相关传感器数据、生物识别标识信息两种数据类型的数据量单位为美国人数或设备数。

（2）美国政府相关数据

《预通知》规定的美国政府相关数据主要包括两类：

某些军事、其他政府和其他敏感设施相关的列出的地理围栏区域内的地理定位数据；

美国政府（包括军队、政府和其他敏感设施）的现任或近期前雇员或承包商或前高级官员相关的敏感个人数据。

二、对中国企业的影响  

1. 生物医药行业    

《行政命令》和《预通知》明确限制的六类敏感个人信息数据中包括个人健康数据和人类组学数据，这两类数据对于生物医药行业较为重要。生物医药企业在临床研究阶段通常需要收集个人健康数据从而满足相关药品审批要求，对于中国出海企业而言，这一限制很可能会影响药品在美顺利上市；其次，对于跨国医药企业开展的涵盖中美两地的多中心临床试验，也很可能涉及将美国受试者的个人健康数据跨境传输至中国的情形；再次，人类基因组数据对基因治疗、基因编辑、基因测序和精准医疗等技术的发展非常重要，禁止基因组数据交易可能会影响国内相关企业针对美国市场的技术研发。因此美国对于以上两类个人信息数据的限制很可能会对于跨国医药企业、中国出海生物医药企业的生产和研发带来影响。

2. 智能网联汽车行业    

《行政命令》明确规定敏感个人数据包括个人识别信息、地理定位和相关传感器数据、生物识别标识信息等数据。智能网联汽车涉及海量用户敏感个人数据的收集和处理活动，比如账户信息、面部图像、虹膜、声纹等个人识别信息和生物识别标识信息，以及个人或者设备的定位数据等地理定位和相关传感器数据，这些信息都属于《行政命令》和《预通知》规制的范围。此外，美国商务部2024年3月1日公布的另一《拟议规则制定预先通知》[iii]提出将针对智能网联汽车涉及的信息通信技术或服务的数据安全问题进行审查，从来自外国对手（主要是指中国）的威胁、外国对手利用信息通信技术或服务（ICTS）漏洞的可能性，可能导致的影响结果等多角度提出了32个问题。这些规制手段不可避免地给中国智能网联汽车企业出海美国带来了新的风险和挑战。

3. 大数据分析与人工智能行业    

大数据分析与人工智能行业也涉及海量数据的处理活动，对于数据交易的限制将对该行业发展带来较大的限制。此前，美国分别于2023年8月和10月发布了两项行政命令，对美国在中国的关键技术领域（包括半导体、量子计算和人工智能）领域的投资进行监管和限制[iv]，并要求基础设施即服务（IaaS）产品提供商在外国人与其进行交易以训练具有潜在能力可用于恶意网络活动的AI大模型时，向商务部进行报告[v]。此次的《行政命令》作为现有手段的补充，将给中国人工智能企业的发展带来新的合规挑战。

三、中国企业应对策略

1. 尽早开展合规风险评估    

企业应尽早结合新规针对自身业务领域进行合规风险筛查与评估。特别对于从事医疗、网联汽车、人工智能领域以及主业为数据经济的企业而言，其受到新政的影响可能会更大。企业可以通过开展人员访谈、下发信息采集表，审阅流程文件、跟踪数据传输流程、分析数据处理场景等方式梳理内部敏感数据类型与敏感级别，并将其与监管规则进行比对，以确定是否涉及《行政命令》和《预通知》所规制的特定数据类型和特定数据交易。

2. 制定风险处置预案    

企业在进行合规风险评估后，应当结合评估结果设计风险处置预案。如存在被规制的情形或者较高可能性，应当结合自身产品线及业务场景分析数据处理的目的和必要性，考虑是否可以避免收集敏感数据，是否可以转入可豁免的数据交易，或者是否可以降低数据交易量以避免达到监管阈值。对于必须处理的敏感数据，可考虑采取加密与权限控制、数据隔离、数据托管、数据本地化、IT架构调整等方式降低监管风险。

3. 密切关注后续立法与执法动态并持续加强数据合规治理能力

《行政命令》勾画了美国关于数据跨境流动监管的方向与蓝图，但是具体落地措施尚待后续细则的出台，建议企业密切关注后续立法与执法动态，受影响较大企业也应在目前《预通知》的征求意见阶段积极向美国政府部门提交反馈意见。待美国政府出台最终细则后，企业还应当结合细则规定优化风险处置预案以应对监管要求。《行政命令》的发布标志着美国多年以来秉持的相对宽松的数据出境流动监管方式发生了重大转向，可以预见的是，对于在中国运营的美国企业以及出海美国的中国企业而言，未来将面对中美两地日益严格的数据跨境流动监管。企业在努力开拓业务的同时，还应当持续完善数据合规治理体系，不断加强数据合规风险管控能力，方能行稳致远。

注释：

[i] Executive Order 14117 on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，2024年2月28日，https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern。

[ii] Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern，2024年2月28日，https://www.justice.gov/d9/2024-02/unofficial_signed_anprm.pdf。

[iii] Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles，2024年3月1日，https://www.bis.doc.gov/index.php/documents/about-bis/newsroom/press-releases/3457-2024-02-29-2024-fr-2024-04382-4251333-ppiv/file。

[iv] Executive Order on Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern，2023年8月9日，https://www.whitehouse.gov/briefing-room/presidential-actions/2023/08/09/executive-order-on-addressing-united-states-investments-in-certain-national-security-technologies-and-products-in-countries-of-concern/。

[v] Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence，2023年10月30日，https://www.federalregister.gov/documents/2023/11/01/2023-24283/safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence。

特别声明

本文仅供参考，不构成律师的正式意见，不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点，并不反映作者所服务的任何机构或客户的立场。