正文
根据第202.246条,“受限制交易”是指受子部分D中限制的交易。美国人员被禁止明知从事涉及供应商协议、雇佣协议或投资协议的受管辖数据交易(“受限制交易”),除非美国人员遵守网络安全和基础设施安全局(“CISA”)的安全要求和其他适用要求。如果美国人员从事受限制交易而不遵守安全要求和其他适用要求,此类行为将被视为未经授权的受限制交易,并根据第202.304条被视为违反数据安全计划。涉及供应商、雇佣或投资协议且涉及外国敌对国家或被覆盖人员获取大量人类基因组数据或人类生物样本(从中可以衍生此类数据)的受管辖数据交易是被禁止的交易,则不是受限制交易,并受第202.303条的禁令约束。
于2025年4月11日发布。
数据经纪是指销售数据、许可访问数据或类似商业交易,不包括雇佣协议、投资协议或供应商协议,涉及将数据从任何人(提供者)转移到其他人(接收者),其中接收者未直接从与收集或处理数据相关联或可关联的个人处收集或处理数据。该定义涵盖了第一方数据经纪(由直接收集美国人员数据的主体进行)和第三方数据经纪(由未直接收集美国人员数据的主体进行,例如后续转售商)。
于2025年4月11日发布。
19. 第14117号行政令和数据安全计划保护哪些一般类型的数据?
除其他事项外,第14117号行政令指示司法部发布法规,禁止或限制美国人员从事任何获取、持有、使用、转让、运输或处理任何财产的交易,其中外国国家或其国民有任何利益(“交易”),涉及美国政府相关数据(“政府相关数据”)或大量美国敏感个人数据的交易。
于2025年4月11日发布。
有六类“敏感个人数据”,如果这些数据与任何可识别的美国个人或一组可识别的美国人员相关联或可关联,并且被外国敌对国家或受管辖主体利用,可能对美国国家安全造成损害。这些类别是:(1)受保护的个人标识符;(2)精确地理定位数据;(3)生物识别标识符;(4)人类“组学”数据;(5)个人健康数据;以及(6)个人财务数据。
于2025年4月11日发布。
受管辖个人标识符是指那些被特别列出的、能够合理地与个人相关联的可识别个人身份的数据类别。这些数据——无论是单独使用,还是与其他敏感个人数据结合使用,或是与其他数据结合使用(这些其他数据是交易方根据交易披露的,并且使得可识别个人身份的数据能够被外国敌对国家利用)——能够用于从数据集中识别个人,或者将多个数据集中的数据链接到个人,但需符合某些排除情况。受管辖个人标识符有两个子类别。首先,列出的标识符与其他列出的标识符结合。其次,列出的标识符与其他交易方根据交易披露的数据结合,使得列出的标识符与其他列出的标识符或敏感个人数据相关联或可关联。该类别不包括仅与人口统计或联系信息相关联的标识符(例如,名字、姓氏、出生地、邮政编码、街道地址、电话号码以及电子邮件地址等类似公开账户标识符);以及仅与网络基础的标识符、账户认证数据或通话记录数据相关联的标识符,这些数据对于提供电信、网络或类似服务是必要的。
根据数据安全计划,IP地址可以用于缩小与美国人员相关联的其他数据的范围,从而增加数据的可识别性,因此被视为受管辖个人标识符(而非精确地理定位数据)。
于2025年4月11日发布。
22. 大量美国敏感个人数据的定义是否排除了已匿名化、去标识化、假名化或聚合的数据?
不。大量美国敏感个人数据是指与美国人员相关的敏感个人数据的集合或集合,无论数据是否已匿名化、假名化、去标识化或加密,只要该数据达到或超过第202.205条规定的适用阈值。即使是匿名化数据,当聚合时,仍可能被外国敌对国家和受管辖主体用来识别个人并进行恶意活动,这些活动涉及第14117号行政令旨在解决的国家安全风险。数据安全计划将包括已匿名化、假名化、去标识化或加密的敏感个人数据,并授权三类受限制交易,只要它们符合CISA的安全要求,这些要求包括数据级别的要求,允许在符合数据最小化和掩码、加密以及/或隐私增强技术等有效技术的情况下进行交易,并且符合数据安全计划的其他适用要求。
于2025年4月11日发布。
精确地理位置数据是指能够识别个人或设备的物理位置的数据,无论是实时还是历史数据,精度在1000米以内。见第202.242条。
于2025年4月11日发布。
生物识别标识符是指用于识别或验证个人身份的可测量的生理特征或行为,包括面部图像、语音印记和模式、视网膜和虹膜扫描、掌纹和指纹、步态以及在生物识别系统中注册的键盘使用模式以及系统创建的模板。见第202.204条。
于2025年4月11日发布。
人类“组学”数据包括人类基因组数据(见常见问题26)、人类表观基因组数据(见常见问题27)、人类蛋白质组数据(见常见问题28)以及人类转录组数据(见常见问题29)。该类别不包括嵌入在人类“组学”数据集中的病原体特异性数据。见第202.224条。
于2025年4月11日发布。
人类基因组数据是指代表构成人类细胞内全部或部分遗传指令的核苷酸序列的数据。这包括个人的基因检测结果以及任何相关的遗传测序数据。见第202.224(a)(1)条。
于2025年4月11日发布。
人类表观基因组数据是指从人类表观遗传修饰的系统级分析中得出的数据,这些修饰是不涉及DNA序列本身改变的基因表达变化。这些表观遗传修饰包括DNA甲基化、组蛋白修饰以及非编码RNA调控等修饰。出于本规则的目的,仅用于个体化患者护理目的的常规临床表观遗传修饰测量不被视为表观基因组数据,因为此类测量不会涉及样本中表观遗传修饰的系统级分析。见第202.224(a)(2)条。
于2025年4月11日发布。
人类蛋白质组数据是指从人类基因组、细胞、组织或生物体表达的蛋白质的系统级分析中得出的数据。出于本规则的目的,仅用于个体化患者护理目的的常规临床蛋白质测量不被视为蛋白质组数据,因为此类测量不会涉及样本中蛋白质的系统级分析。见第202.224(a)(3)条。
于2025年4月11日发布。
人类转录组数据是指从人类基因组在特定条件或特定细胞类型下产生的RNA转录本的系统级分析中得出的数据。出于本规则的目的,仅用于个体化患者护理目的的常规临床RNA转录本测量不被视为转录组数据,因为此类测量不会涉及样本中RNA转录本的系统级分析。见第202.224(a)(4)条。
于2025年4月11日发布。
这是指表明、揭示或描述个人的过去、现在或未来身体或心理健康状况的数据;提供给个人的医疗服务;或过去、现在或未来为提供给个人的医疗服务支付的费用。该术语包括基本身体测量和健康属性(如身体功能、身高和体重、生命体征、症状和过敏反应);社会、心理、行为和医疗诊断、干预和治疗历史;检测结果;运动习惯记录;免疫接种数据;生殖和性健康数据;以及处方药物的使用或购买记录。见第202.241条。
于2025年4月11日发布。
31. 个人健康数据是否仅限于由医疗和保健专业人员及机构收集或持有的数据?
不。根据第202.241条定义的个人健康数据,不限于仅由医疗和保健专业人员及机构收集的数据。相反,该术语适用于任何符合定义的数据,无论收集或持有该数据的实体是谁,无论该数据涉及何种交易。例如,它包括健身应用程序收集的运动习惯记录。因此,数据安全计划对“个人健康数据”的定义在这方面与1996年《健康保险流通与责任法案》中“健康信息”的定义不同,后者根据接收或创建该信息的实体类型来定义。见45 CFR 160.103。
于2025年4月11日发布。
这意味着关于个人的信用卡、借记卡或银行账户的数据,包括购买和支付历史;银行、信用或其他财务报表中的数据,包括资产、负债、债务或证券投资组合中的交易;或信用报告或“消费者报告”(如 15 U.S.C. 1681a(d)中定义)的数据。见 § 202.240。
33. 个人财务数据的定义是否包括对这些数据的推断?例如,虽然酒店记录交易可能是个人财务数据,但最终推断该人对商务旅行感兴趣是否被视为个人财务数据?
数据安全计划仅禁止或限制涉及大量美国敏感个人数据和政府相关数据的某些类别的交易,这些类别本身不包括推断。
于2025年4月11日发布。
不。根据第202.240条定义的个人财务数据,包括支付历史,但不仅限于由金融机构收集的购买和支付历史。它包括所有购买和支付历史。任何包含“关于个人的信用卡、借记卡或银行账户信息,包括购买和支付历史,以及银行、信用或其他财务报表中的资产、负债、债务或证券组合中的交易,或信用报告或消费者报告(如15 U.S.C. 1681a(d)所定义)中的数据”的记录都符合定义。
于2025年4月11日发布。
有两种类型的政府相关数据。第一种是任何精确地理定位数据,无论数量多少,只要涉及《政府相关位置数据清单》(见第202.1401条)中列出的任何区域内的任何位置。列出的位置包括美国政府雇员或承包商占据的国家安全职位的某些工作场所或服务站点、某些军事设施以及某些支持美国政府国家安全、国防、情报、执法或外交政策任务的设施或位置。
第二种类型的政府相关数据是任何敏感个人数据,无论数量多少,只要交易方将其营销为与美国政府现任或最近前任雇员或承包商,或最近前任高级官员相关联或可关联的数据,包括军事和情报界。术语“最近前任雇员”或“最近前任承包商”指在过去2年内为美国政府工作或提供服务的雇员或承包商,无论是有偿还是无偿。术语“前任高级官员”指“前任高级雇员”或“前任非常高级雇员”,如5 CFR 2641.104所定义。
于2025年4月11日发布。
36. 什么是被营销为与美国政府现任或最近前任雇员、承包商或前任高级官员相关联或可关联的敏感个人数据的示例,以至于被认定为与政府相关的数据?
在讨论与受管辖主体出售敏感个人数据集时,美国公司描述该数据集属于特定命名组织的成员。该组织限制会员资格,仅限于军事人员及其家属的现任和前任成员。由于交易方将该信息营销为与美国政府现任或最近前任雇员或承包商,或军事和情报界前任高级官员相关联或可关联的数据,因此该数据是政府相关数据。见第202.222(b)条中的其他示例。
于2025年4月11日发布。
下表总结了敏感个人数据的大量阈值。在前十二个月内达到或超过这些阈值的敏感个人数据,无论是通过单一受保护数据交易还是涉及同一美国人员和同一外国人员或受管辖主体的多个受保护数据交易聚合,均为大量美国敏感个人数据:
于2025年4月11日发布。
38. 在确定某一类美国敏感个人数据是否达到大量阈值时,前十二个月是否包括在相关数据安全计划生效日期之前的时间?
不。数据安全计划监管的是在适用生效日期或之后开始、待处理或完成的受保护数据交易。因此,美国人员在考虑“前十二个月”的受保护数据交易时,应仅考虑在数据安全计划生效日期或之后发生的交易。有关数据安全计划生效日期的更多信息,请参见常见问题4。
于2025年4月11日发布。
是的。数据安全计划的禁令和限制的例外包括:
-
-
-
-
-
-
-
202.507 – 由联邦法律或国际协议要求或授权的交易,或为遵守联邦法律所必需的交易。
-
202.508 – 受CFIUS行动约束的投资协议。
-
-
202.510 – 药物、生物制品和医疗器械授权。
-
202.511 – 其他临床研究和上市后监测数据。
根据需要和适当的情况,NSD还可以发布通用或特定许可证,以授权从事被禁止的某些交易。有关如何申请和申请特定许可证的指导,请参阅第202.802条。
于2025年4月11日发布。
