美國總統拜登簽署了一項涉及多個政府機構的全面行政命令，旨在通過禁止數據中間商將敏感信息出售給一系列美國對手來保護美國人的敏感個人數據不被利用。在宣布這項題為防止受關注國家訪問美國人的大量敏感個人數據和美國政府相關數據的命令時，白宮表示，“公司收集的美國人數據比以往任何時候都多，而且這些數據往往是通過數據經紀人合法出售和轉售的，商業數據經紀人和其他公司可以將這些數據出售給受關注的國家或由這些國家控制的實體，這些數據可能落入外國情報機構、軍隊或外國政府控制的公司手中。”

該命令呼吁制定法規，防止將美國人最私人和最敏感的信息大規模轉移到相關國家，包括基因組數據、生物識別數據、個人健康數據、地理位置數據、財務數據和某些類型的個人身份信息。

司法部將與其他相關聯邦機構協商，負責執行命令，并計劃發布法規，保護美國人的敏感個人數據不被相關國家訪問和利用。美國司法部長梅里克·加蘭德表示：“這項行政命令授權司法部阻止對我們的國家安全構成威脅的國家獲取美國人最敏感的個人數據——包括人類基因組數據、生物識別和個人身份識別，以及個人健康和金融數據。”

司法部副部長麗莎·摩納哥說：“今天，我們明確表示，美國公民的敏感和個人數據不會出售給我們的對手。司法部長期以來一直專注于防止威脅參與者通過眾所周知的后門竊取數據，這項行政命令通過拒絕有關國家訪問美國人最敏感的個人數據來關閉前門。”

基于數據交易類別的司法部規則制定

美國司法部發布的一份情況說明書詳細說明了它計劃如何執行這項命令，首先，美國司法部不打算通過對數據交易進行逐案審查來實施《行政命令》，取而代之的是，它將通過規則制定程序建立規則，以便與某些受關注的國家或受其管轄的受覆蓋人進行特定類別的數據交易。

美國司法部關于擬議規則制定的預先通知將考慮確定六個令人擔憂的國家：中國(包括香港和澳門)、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉。ANPRM將處理的事項包括：

承保人：該計劃將被明確定義為包括某些類別的實體和個人，這些實體和個人受相關國家的司法管轄權、方向、所有權或控制，如果向這些人提供的數據將使這些數據進入相關國家的范圍內，其中界定了四類受保障人士：

• “由有關國家擁有、控制或受其管轄或指示的實體”
• “作為此類實體的雇員或承包商的外國人”
• “有關國家的雇員或承包商的外國人”
• “主要居住在有關國家領土管轄范圍內的外國人”

根據行政命令，涵蓋的人的類別不包括任何美國公民、國民或合法永久居民、任何以難民身份進入美國或獲得庇護的人、任何完全根據美國法律或司法管轄權組織的實體，以及任何位于美國的人。

《條例》還授權司法部補充這些類別的被保險人，指定特定實體或個人為被保險人，如果他們符合某些標準，例如由有關國家擁有或控制或受其管轄或指示，或代表有關國家或另一被保險人行事。

敏感個人數據：《行政條例》將“敏感個人數據”定義為所涵蓋的個人識別符、地理位置和相關傳感器數據、生物識別識別符、個人健康數據、人類基因組數據、個人金融數據或其任何組合，如果這些數據與任何可識別的美國個人或一組離散且可識別的美國個人相關聯或可鏈接到該等數據，則可被有關國家利用以危害美國國家安全。

美國司法部計劃在其規則制定中進一步細化這些敏感個人數據類別的范圍，敏感的個人信息將不包括屬于公共記錄事項的數據，如合法和普遍可供公眾或個人通信使用的法院或其他政府記錄。

批量閾值和美國政府相關數據：美國司法部的計劃通常只在交易超過規定的批量(即美國人或美國設備的閾值數量)的情況下，才會對六類敏感個人數據中的特定類別的數據交易進行監管，然而，這些大宗交易將不適用于涉及某些美國政府相關數據的交易，該計劃將監管涉及美國政府人員或地點的敏感個人數據的數據交易，無論此類數據量有多大。

對于與政府相關的人事數據，ANPRM將考慮將重點放在交易方(如數據經紀人)銷售的與現任或最近的前雇員或承包商或前聯邦政府高級官員(包括情報界和軍方)有關聯或可鏈接的敏感個人數據。對于與美國政府有關地點的數據，ANPRM將考慮將重點放在地理位置數據上，這些數據與該部將在公共名單上指定的地理圍欄區域內的某些敏感地點相鏈接或可鏈接。

涵蓋數據交易：即將發布的ANPRM考慮確定美國人與受關注國家或覆蓋人之間的兩類被禁止的數據交易：

• 數據經紀交易
• 涉及轉移大量人類基因組數據或可從中獲得此類數據的生物標本的基因組數據交易

ANPRM將進一步考慮確定三類受限數據交易：

• 涉及提供商品和服務的供應商協議(包括云服務協議)
• 就業協議
• 投資協定

國土安全部的網絡安全和基礎設施局(CISA)將為這些受限制的交易制定安全要求。

豁免數據交易：《行政條例》載有，ANPRM將考慮對數據交易給予幾項全面豁免，這些豁免將被排除在監管之外，其程度如下：

• 已受監管的金融交易
• 工資或人力資源等普通輔助業務業務
• 美國政府及其承包商、雇員和受贈人的活動，如聯邦資助的保健和研究活動，供資機構將自行管理這些活動
• 聯邦法律或國際協定要求或授權的交易，如交換旅客艙單或國際刑警組織的請求

許可和咨詢意見：行政命令指示，ANPRM將考慮發放一般和具體的許可證和咨詢意見，允許公司和個人申請規則的例外，以從事特定的數據交易，司法部將在國務院、商務部和國土安全部的同意下做出許可決定。

保護個人數據的其他政府機構行動

根據司法部的一個分支機構《行政命令》，美國電信服務部門外國參與評估委員會(又稱Team Telecom)將在審查海底電纜牌照時考慮對美國人敏感個人數據的威脅。

環境保護局還指示國防部、衛生與公眾服務部、退伍軍人事務部和國家科學基金會考慮采取步驟，利用其現有的授權和合同權力，禁止支持或以其他方式減輕向受關注國家和受保人員轉移敏感健康數據和人類基因組數據的聯邦資金。

行政命令進一步鼓勵消費者金融保護局考慮采取措施，解決數據經紀商在助長國家安全風險方面所扮演的角色，包括繼續推進2023年9月消費者報告規則制定小企業咨詢小組確定的《公平信用報告法》下的規則制定建議。

敏感數據執行命令朝著正確的方向邁出了一步

隱私觀察人士似乎對政府的行動表示歡迎，Snell&Wilmer網絡安全、數據保護和隱私實踐小組的聯席主席Aloke Chakravarty告訴記者：“政府正試圖領先于一種已經持續了一段時間的做法”。

值得注意的是，拜登的行政命令并沒有禁止數據經紀人在國內銷售美國人的敏感數據的有爭議和侵犯隱私的做法。“我認為這提供了一些有力的證據，如果有事實依據表明國內數據經紀商正在進一步向這些制裁或被禁止的國家出售所持股份，那么我認為它提供了一種強制執行機制，通過司法部武器庫中的工具。”

信息技術產業理事會(ITI)負責政策的高級副總裁兼總法律顧問約翰·米勒表示：“我們贊賞拜登政府旨在制定有針對性的規則，以應對特定的國家安全威脅，并以確保必要和強有力的利益相關者參與的機會的方式來構建規則制定過程”，他補充說：“政府還明確表示，今天的行動不能取代聯邦隱私法，后者是保護美國人個人數據的最強有力和最全面的方式。”

R Street Institute網絡安全和新興威脅團隊的政策主管布蘭登·普格(Brandon Pugh)表示，這一行政命令是保護美國人的數據不被相關國家利用的“正確方向上的一步”，但還需要采取額外的行動。關于CISA確立的安全要求、如何解決豁免和例外情況，以及簡化許可證和咨詢意見的流程，“成功的關鍵將是正確實施和配套法規，以確保貿易、創新、普通商業慣例和數據流協議等現有法律框架不會受到不當影響。”