背景

2024年2月28日，美国签署了《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》，即行政命令14117号。

2024年2月29日，美国司法部发布《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》（即ANPRM）预通知。

2024年10月21日，美国司法部发布《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》（即NPRM），还未正式发布实施。

2024年10月21日，美国CISA发布关于受限制交易的安全要求，目的是降低向受关注国或涵盖人员获取数据的风险。

2024年12月27日，美国司法部发布了“应对外国对手获取美国公民敏感个人数据”的最终规则，部分规则将于发布后90天生效，其中尽调、审计等规则将于发布后270天生效。

受限主体

受关注国家：中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。

受限主体：

• 由关注国家直接或间接、单独或合计拥有50%或以上股权的实体，以及在关注国家注册或其主要业务地在关注国家的实体（A）；

• 由A、C或E涵盖主体直接或间接、单独或合计拥有50%或以上股权的实体（B）；

• 作为关注国家、A、B或E涵盖主体的员工或合同工的外国主体（C）；

• 主要居住在关注国家领土管辖范围内的外国主体（D）；

• 美国司法部部长指定为：1）现在、曾经或可能被关注国家拥有或控制，或受关注国家管辖或指示的主体；2）现在、曾经或可能代表或声称代表受关注国家或相关人员行事的主体；3）“故意”（知道或应知）导致或“引起”（决定、批准）违反相关规定行为的主体（E）。

受限数据范围

1、六大类“美国个人敏感数据”

• 美国公民的敏感个人数据  （当数据量超过规定的阈值时,将受到限制）

  
  

  序号	敏感个人数据类型	阈值	定义
  1	个人健康数据	超过 10000 名美国人	由医疗保健提供者或雇主等实体创建或接收，涵盖涉及个人可识别健康信息的数据交易。因其可被定义为一种可识别个人的健康和人口统计信息，与个人的健康状况、接受的医疗保健或医疗保健费用有关，因此可以被合理地用于识别相关个人
  2	个人财务信息	超过 10000 名美国人	指与个人的信用卡、借记卡、银行账户等相关的数据，包括购买和支付记录；银行、信用或其他财务报告中的数据，包括资产、负债、借款和交易；信用报告或消费者报告中的数据。
  3	人类基因组数据	超过100个美国人	指代表构成人类细胞中整套或部分遗传指令的核酸序列的数据，包括个人 “基因检测”结果以及任何相关的人类遗传测序数据。
  4	受管辖个人标识信息	超过 100000 名美国人	从数据集中识别出特定个人，或将多个数据集与特定个人关联起来。包括例如政府颁发的身份证件（例如，社会安全号码、驾驶执照）、金融账户详细信息、设备标识符（例如，国际移动设备身份、媒体访问控制地址）、个人人口统计和联系信息、广告ID、帐户身份验证详细信息（例如用户名、密码）、网络标识符（例如 IP 地址）， 和呼叫详细信息记录等综合信息的列表。
  5	生物特征识别符	超过 1000 名美国人	是指用于识别或验证个人身份的可测量的身体特征或行为，包括面部图像、声纹和图案、视网膜和虹膜扫描、掌纹和指纹、步态和键盘使用模式等
  6	精确的地理定位数据	超过 1000 名美国人	能够以 1000 米以内的精度确定个人或设备的物理位置的数据，包括历史数据和实时数据，例如GPS 坐标和IP地址。

2、美国政府相关数据（无阈值限制，不管多少都算），如

政府活动地点的数据：主要包括一些政府部门、军事基地、大使馆等。

美国政府人员的数据：与美国政府（包括军队和情报机构）的现任或近期前任雇员或承包商，或前任高级官员相关联或可关联的数据。

数据交易类型

禁止交易

• 数据经纪交易
• 基因组数据交易

受限制交易

• 签署供应商协议（如技术服务协议、云服务协议）
• 签署雇佣协议
• 签署投资协议

豁免交易

• 与金融服务、支付处理和监管合规相关的交易，如银行、资本市场或金融保险活动；涉及转移个人财务数据或被涵盖的个人标识符的支付提供或处理，用于购买和销售商品和服务；以及法律和监管合规相关的交易；
• 与跨国美国公司内部的附属业务（如工资或人力资源）运营相关的交易；
• 美国政府及其承包商、雇员和受赠人的活动（如联邦资助的健康和研究活动，资助机构将自行监管）;
• 联邦法律或国际协议要求或授权的交易

受限制交易的安全要求

针对受限制交易，行政命令要求其满足以下安全要求，以降低其所产生的受关注国家及涵盖任意访问大量敏感个人数据或政府相关数据的风险。

I、组织和系统级要求

A、 确保基本的组织网络安全政策、实践和要求到位

1、识别、优先考虑、记录涵盖系统的所有资产

• a. 维护涵盖系统资产的最新清单，包括每个系统的IP地址（包括IPv6），硬件MAC地址。
• b. 确保IT资产清单至少每月更新一次。

2、在组织层面指定一个个人（例如，首席信息安全官）负责网络安全和治理、风险和合规职能。可以是一个负责这两个领域的个人，也可以是每个领域一个个人。

3、在14个工作日内修复已知漏洞，如果其他漏洞（未被利用的）被认为具有紧急严重性，则必须在15个工作日内修复，如果被认为具有高严重性，必须在30个工作日内修复。

• a. 如果修补不可行，必须实施替代补偿要求。
• b. 从事限制交易的美国人必须记录所有实施的缓解措施（修补或补偿要求）。

4、记录并维护涵盖系统的供应商/供应商协议（例如，第三方网络连接协议），包括合同和网络安全要求。

5、开发并维护涵盖系统的准确网络拓扑，并尽可能地与涵盖系统接口的任何网络，以便于及时识别和响应事件。

6、采用并实施包括手动或自动过程的执行策略，要求在新硬件、固件或软件/软件版本在涵盖系统中安装或部署之前获得批准。

• a. 从事限制交易的美国人必须维护一个风险通知的批准硬件、固件和软件清单，用于涵盖系统。
• b. 风险通知的清单必须包括涵盖系统的批准版本。

7、开发并维护适用于涵盖系统的事件响应计划，应每年审查并适时更新。

B、实施逻辑和物理访问控制

以防止涵盖人员或有关国家获得对涵盖数据的访问，以任何形式，包括通过信息系统、云计算平台、网络、安全系统、设备或软件。具体来说，从事限制交易的必须符合：

1、在所有涵盖系统上强制执行多因素认证（MFA），或者在MFA不可行的情况下，要求密码具有足够的强度，包括至少16个字符的长度。

2、立即撤销任何被授权访问涵盖系统的个人在终止或角色变更时分配给该个人的任何凭据。

3、收集涵盖系统的日志，涉及访问和安全重点事件（例如，入侵检测系统/入侵防御系统、防火墙、数据防泄漏、虚拟专用网络和检测未成功登录事件），并存储这些日志以用于检测和事件响应活动（例如，取证以协助检测、响应和恢复）。当关键日志源，如操作系统事件日志记录工具被禁用时，通知网络安全人员。

• a. 将日志收集存储在统一平台（如安全信息和事件管理工具或集中数据库），保留日志至少12个月。如果发生数据泄露或违反这些安全要求，应保存日志，直到美国政府最终解决该问题。
• b. 确保收集的日志只能由经过授权和认证的用户访问或修改。

4. 维护组织政策和流程，以确保未经授权的媒体和硬件不连接到涵盖资产，例如通过限制通用串行总线（USB）设备和可移动媒体的使用或禁用自动运行。

5. 实施配置，默认情况下拒绝所有连接到涵盖系统和涵盖系统所在的任何网络上，除非连接明确允许特定系统功能。

6. 在组织层面发布和管理授权用户、服务和硬件的身份和凭据，具有足够的属性以防止涵盖人员或有关国家访问涵盖数据。限制系统访问到授权用户被允许执行的交易类型和功能。

C. 数据风险评估

进行并记录数据风险评估，评估根据第II节选择和实施的整体方法，是否足以防止涵盖人员和/或有关国家访问涵盖数据，考虑到披露的可能性和基于交易和数据性质的危害可能性，包括潜在的数据滥用和相关后果。风险评估应包括概述如何实施将防止涵盖人员和/或有关国家访问涵盖数据的缓解策略。风险评估应每年审查并适时更新。

II、数据级别要求

对于任何受限制的交易，实施以下缓解措施，综合起来足以充分和有效地防止被覆盖人员和/或有关国家获取覆盖数据，符合I.C所述的数据风险评估：

A. 数据最小化或数据掩蔽

应用数据最小化和数据掩蔽策略，以减少收集的需要，或充分混淆涵盖数据，以防止对数据的可见性，而不妨碍从事限制交易的美国人使用数据进行操作。这些策略必须包括：

1、维护和实施书面数据保留和删除政策，应每年审查并适时更新。

2、以使数据不再属于涵盖数据或最小化与美国人实体的可链接性的方式处理数据，然后才受到涵盖人员或有关国家的访问。

• a. 这可以通过聚合、伪名化、去识别或匿名化等技术实现。
• b. 实施时，必须最小化数据的可观察性和可链接性，以确保无法从单个数据集或收集人或收集人关联组织已知持有的其他数据集中推断或推断美国人身份。
• c. 涵盖数据的聚合应基于至少使数据成为“大量”的记录数量。

3、实施此类处理的信息系统是涵盖系统，受第I节的要求管辖。

B. 应用加密技术来保护限制交易过程中的涵盖数据

这些技术必须包括：

1、全面加密：在传输和存储过程中使用行业标准加密对限制交易中的涵盖数据进行加密，无论类型如何。

2、传输层安全性：仅使用传输安全层（TLS1.2）或更高协议通过互联网传输限制交易中的涵盖数据。

3、密钥管理：生成并安全地管理用于加密涵盖数据的加密密钥，包括以下做法：

• a. 不要将加密密钥与涵盖数据共同存放。
• b. 不要通过任何机制（物理或虚拟）将加密密钥存储在有关国家。
• c. 不授权涵盖人员访问加密密钥。
• d. 负责存储和访问加密密钥的所有信息系统都被视为涵盖系统，受第I节的要求管辖

C. 应用隐私增强技术

如隐私保护计算（例如，同态加密）或差分隐私技术（例如，注入足够的噪声到数据处理中，以防止从处理后的数据重建涵盖数据），以处理涵盖数据。使用此类技术受以下限制：

1、应用隐私增强技术不得向参与限制交易的涵盖人员透露涵盖数据或信息，这些信息可能合理地用于重建涵盖数据，包括通过将处理后的数据与其他数据集链接。（例如，允许涵盖人员参与需要受信任方的隐私保护计算是不允许的）。

2、为了避免疑问，实施此类处理的信息系统是涵盖系统，受第I节的要求管辖。

D. 配置前面概述的身份和访问管理技术

以拒绝涵盖人员和有关国家在所有涵盖系统中对涵盖数据的授权访问。