正文
10
万以上美国人数据
精确地理位置
1000
台以上设备
生物识别标识符
1000
以上美国人数据
个人健康数据
1
万以上美国人数据
人类组学信息
人类基因组数据—
100
人以上美国人数据
表观基因组数据、蛋白质组数据、转录组数据——
1000
人以上美国人数据
个人财务数据
1
万以上美国人数据
知识点5:豁免
- 不涉及价值交换的个人通信(202.501)
- 涉及言论或出版物的进出口信息材料(202.502)
- 个人旅行信息(行李、生活费、旅行安排)(202.503)
3.2 美国政府相关数据(United States Government-Related Data)(202.222)
知识点6:两大类型
|
类型
|
定义
|
|
位置信息
|
与特定敏感地点相关或可关联的数据
- 特定敏感地点:《最终规则》第
§
202.1401
节有一个持续更新的长清单
- 相关或可关联的数据:地点中的设施、活动、人员数据
|
|
人员信息
|
与当前或近期前联邦政府雇员、承包商或前高级官员(包括军事人员)相关或可关联的数据。
“相关或可关联”的数据范围非常广泛,延伸至兴趣爱好数据和行动轨迹等程度。例如,喜爱阅读、去赌博场所等。
!
交易方对数据的主观描述不重要,重要的是数据是否可以被用于关联到美国政府的敏感人群。
|
知识点7:无数量门槛
交易=收购、持有、使用、转让、运输、出口或交易外国或其国民拥有任何权益的任何财产。
4.0 受控交易以明知为前提,但对“明知”的认定标准很低 (202.305)
示例1
:一名美国人(此时其为美国实体)是某外国公司的高管员工,而该公司并非受控实体。该外国公司在该美国人的指示或批准下从事一项受控交易,而如果此类交易由美国人从事则会被禁止。该美国人明知故犯地指示了一项被禁止的交易。
示例2
:一家美国公司经营一家非受控实体的外国公司。在美国公司的经营下,该公司从事了如果由美国实体从事则会被禁止的受控交易。因此美国公司明知故犯地指示了一项被禁止的交易。
示例3
:一名美国人(此时其为美国实体)受雇于一家总部位于美国的跨国公司,该公司拥有一家非受控实体的外国关联公司。该美国人指示美国公司的合规部门修改(或批准修改)外国关联公司的运营政策和程序,其具体目的是允许该外国关联公司从事如果由美国实体从事则会被禁止的受控交易。该美国人明知故犯地指示了被禁止的交易。
示例4(排除)
:一家美国银行处理了一笔从美国实体到受控实体(或从受控实体到美国实体)的付款,这笔付款是该美国实体从事被禁止交易的一部分。该美国银行并未明知故犯地指示一项被禁止的交易,其行为并不被禁止(但该美国实体的交易行为是被禁止的)。
示例5(排除)
: 一家美国金融机构为一家非受控实体的外国公司承销贷款或提供融资,而该外国公司从事了如果由美国实体从事则会被禁止的受控交易。该美国金融机构并未明知故犯地指示一项被禁止的交易,其行为并不被禁止。
示例6(排除)
:一家美国公司拥有或经营一条海底通信电缆,该电缆的一个登陆点位于一个非受关注国家,另一个登陆点位于一个受关注国家。该公司将电缆容量出租给美国客户,这些客户将大量美国敏感个人数据传输到受关注国家的登陆点,包括作为被禁止交易的一部分的传输。该公司拥有或经营该电缆并不构成明知故犯地指示一项被禁止的交易,其拥有或经营该电缆的行为并不被禁止(尽管美国客户的受控交易是被禁止的)。
示例7(排除)
:一家美国公司与一家非受控实体的外国公司签订了一项涉及大量美国敏感个人数据的供应商协议,但该供应商协议并非受限或被禁止的交易。随后,外国公司雇用了一名受控人员,并在该美国公司不知情或未指示的情况下,授予其访问大量美国敏感个人数据的权限。在该美国公司与受控人员之间没有受控交易,也没有迹象表明各方从事这些交易的目的是规避法规。该美国公司并未明知故犯地参与一项受限交易。
示例8(排除)
:一家美国公司向美国消费者出售DNA检测工具包,并保存从消费者处收集的大量人类基因组数据。该公司与一家外国云计算公司(非受控实体)签订了合同,以存储其人类基因组数据库。该外国公司雇用了来自其他国家的员工,包括主要居住在中国的人,以管理其客户的数据库。没有迹象表明美国公司明知故犯地指示外国公司的雇佣协议,或从事并安排这些交易以规避法规,因此美国公司与外国公司之间的云计算服务协议不会被禁止或限制,因为该交易是美国公司与不满足受管控实体定义的外国公司之间的交易。外国公司与受控人员之间的雇佣协议也不会被禁止或限制,因为这些协议是外国公司与受控人员之间的协议。
4.1 被禁止的交易(Prohibited Transaction)(202.301,202.214)
(1)数据经纪交易
数据接收方不直接从个人处收集数据,而是从数据提供方(即数据经纪人)处购买、被许可访问数据。
示例1
:一家美国公司拥有并运营一款面向美国用户的移动应用程序,该应用程序提供广告空间。作为销售广告空间的一部分,该美国公司在12个月期间内向位于受关注国家/地区的广告交易所提供超过100,000个美国用户设备的IP地址和广告ID(二者均属于个人标识符)。美国公司提供这些数据作为广告空间销售的一部分,是受控数据经纪交易,属于禁止性交易。
示例2
:与例1相同,该美国公司在12个月期间内向位于受关注国家/地区的广告交易所提供超过100,000美国用户设备的IP地址和Cookies数据(二者均属于个人标识符),不属于受控数据经纪交易。因为仅IP地址和Cookies数据的结合为排除情形(请回看3.1之知识点1!)。
示例3
:与例1相同,但美国公司是向总部设在美国的广告交易所提供数据。作为广告空间销售的一部分,美国广告交易所将数据提供给总部设在受关注国家的广告商。美国公司向美国广告交易所提供数据不属于受控交易,因为这是美国实体之间的交易。广告交易所向受关注国家的广告商提供这些数据为数据经纪活动,涉及从美国广告交易所向总部设在受关注国家的广告商传输数据,因此属于被禁止的交易。
(2)人类组学数据交易和生物样本交易(202.303)
该等交易涉及批量人类基因组数据或可推导出该等数据的生物样本的传输。但不包括接收者仅用于诊断、治疗或预防任何疾病或医疗状况的人类生物样本。
4.2 受限交易(Restricted Transaction)
受限交易=附条件开展的交易,具体条件请见第三部分。
(3)供应商协议(除雇佣协议以外的任何协议)(202.258)
该类协议涉及产品和服务的提供,预通知中重点列举了云计算服务(包括IaaS、PaaS、SaaS)。
