近日，美国司法部正式发布“防止关注国或个人获取美国敏感个人数据和政府相关数据”的拟议规则（以下简称为“NPRM”），并再次公开征求意见。该项拟议规则以今年2月28日由美国总统签署的迪14117号行政命令，司法部同日制定的拟议规则预通知（以下简称为“ANPRM”）为基础。NPRM在分析对ANPRM的相关公众反馈后再次对外发布，以解决美国人的敏感数据和政府相关数据被包括中国在内的“关注国、地区、个人”获取的国家安全威胁。NPRM发布后将有30天的意见征询期，意见征询期结束后，司法部将在审查公众反馈后正式发布最终规则，并落实交易限制。

NPRM的发布，标志着美国政府加强对外国数据访问的限制力度，尤其是在涉及生物特征数据、基因组数据、精确定位数据、财务数据和健康数据等敏感信息时。美国政府认为，这类数据一旦被“关注国”获取，可能会被用于对美国国家安全构成威胁，包括黑客攻击、间谍活动以及其他可能威胁个人隐私和国家利益的行为。

根据NPRM，任何涉及美国敏感数据的交易，尤其是与被认定为“关注国”的国家（目前包括中国、俄罗斯、伊朗、朝鲜、委内瑞拉等多个国家）或个人有关的交易，都会面临严格的限制甚至直接禁止。NPRM不仅针对跨境数据流动，还涉及数据交易、雇佣合同和投资协议等，所有可能导致美国敏感数据被不当访问的行为都在规制范围之内。文件特别指出，外国势力若能够获取美国的个人数据，可能会借此开展恶意网络活动、跟踪美国公民，甚至通过黑客技术对美国军方和政府人员进行监视。这类数据的获取还可能帮助外国势力建立美国个人和机构的详细档案，用于间谍活动或政治操控。

根据NPRM，具体限制措施将包括：

1、禁止数据经纪公司与关注国进行敏感数据交易。这类公司专门从事出售或提供访问个人数据的业务，而这些数据通常由其他企业或平台收集。

2、限制与敏感数据相关的投资和合作协议。企业若涉及与国家关注国签订的投资、雇佣或技术合作协议，可能需要符合严格的安全要求。

3、数据交易记录和审查机制。拟议规则要求加强对数据交易的监控和记录保存，相关企业需对敏感数据交易进行尽职调查，并定期报告这些交易情况。

整体而言，NPRM和ANPRM的思路基本保持一致，在核心的管辖数据类型、关注国家、涵盖的人员或实体等方面基本没有变化。

拟议规则的出台，意味着美国政府进一步加大对部分数据跨境活动的管控力度，严格限制美国敏感数据和政府相关数据等流向特定的国家和地区。同时，具有“关注国、地区”联系的在美企业的类似数据交易活动也可能纳入受限制范围。美国政府强调，这些敏感数据不仅仅是隐私问题，更关乎国家安全。拟议规则还明确指出，某些外国势力，尤其是依靠人工智能、大数据分析等技术手段的国家，能够通过访问美国公民的个人数据来提升其全球影响力。而司法部表示，此举不仅是为了保护美国公民的隐私权，更是为了确保国家安全免受潜在的外部威胁。尽管NPRM没有直接点名TikTok，但作为备受关注的外国应用程序，TikTok将可能由于其中国母公司字节跳动的原因面临更多审查。

来源：合规小叨客，信息来源自美国联邦公告网站