2024年2月28日，美國(guó)总统签发行政令——《关于防止受关注國(guó)家访问美國(guó)人的大量敏感个人数据和美國(guó)政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，下称“EO"），限制乃至禁止中國(guó)（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉（Countries of Concern，下称“受关注國(guó)家"）及符合条件的主體(tǐ)获取大量美國(guó)主體(tǐ)敏感个人数据及政府相关数据。相应地，美國(guó)司法部（the Department of Justice，下称“DOJ"）也已发布简报及非正式的法规制定提案预告（Advance Notice of Proposed Rulemaking，下称“ANPRM"），正式的规则尚未发布。

在EO、ANPRM、白宫和美國(guó)司法部分(fēn)别发布的简报（Fact Sheet）（以下统称“美國(guó)数据安全新(xīn)规"）中，美國(guó)政府多(duō)次强调了敏感个人数据跨境流动如不受任何规制而遭到滥用(yòng)可(kě)能(néng)对國(guó)家安全造成的巨大威胁。因此，本次EO被普遍解读為(wèi)“数据跨境新(xīn)规"。但是，事实上，本次新(xīn)规不仅管制数据跨境流动本身，还管制大量涉及“潜在的数据跨境流动"的行為(wèi)，从而使得这份新(xīn)规的管制范围不仅仅涉及受限主體(tǐ)（详见下文(wén)拆解）从美國(guó)向境外传输数据的活动，还广泛适用(yòng)于这些主體(tǐ)对美國(guó)的投资活动、在美國(guó)的商(shāng)務(wù)活动以及其在美國(guó)设立的主體(tǐ)在美國(guó)本土的经营活动，只要这些活动涉及满足特定条件的数据；因此，这次新(xīn)规的影响范围非常之广泛。

显然，本次新(xīn)规的出台标志(zhì)着美國(guó)针对包括中國(guó)在内的受关注國(guó)家的國(guó)家安全管制措施的又(yòu)一次重大升级。并且，从“影响广泛程度"的角度来说，本次新(xīn)规有(yǒu)别于美國(guó)政府近一年来出台的一系列类似行政令及配套文(wén)件，例如2023年8月份出台的《关于解决美國(guó)在特定國(guó)家对某些國(guó)家安全技术和产品的投资问题的行政命令》（Executive Order on Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern，下称“投资安全审查行政令"）（参考文(wén)章：《风萧萧兮：美國(guó)启动对华投资安全审查机制和风险提示》）以及2024年2月出台的《关于寻求在美國(guó)使用(yòng)中國(guó)技术的网联汽車(chē)安全方面信息的拟议规则制定预先通知》（The Advance Notice of Proposed Rulemaking Seeks Information Regarding the Security of Connected Vehicles with PRC Technology in the U.S.）。过去这些行政令的规制行业和范围相对来说比较限缩和确定；尤其是，在2023年8月出台的投资安全审查行政令中，美國(guó)政府专门说明其监管思路是“小(xiǎo)院高墙"，有(yǒu)意控制监管范围，避免过度影响商(shāng)務(wù)活动。然而，在本次数据新(xīn)规中，我们看不到这种克制。甚至可(kě)以说，这次新(xīn)规影响范围之广泛，给人“图穷匕见"之感。这一变化背后所代表的寒意，值得深入研究和琢磨。

当然，目前看来，新(xīn)规覆盖的大部分(fēn)数据交易将受制于“限制"性措施，而非“禁止"性措施，而限制性措施的内容还未最终确定，因此这次新(xīn)规最终对有(yǒu)关企业影响程度有(yǒu)多(duō)深，仍有(yǒu)待观察；但其影响范围之广泛还是需要引起足够的关注。

本文(wén)将聚焦本次新(xīn)规，介绍其出台背景、核心要求、典型场景和其他(tā)需关注的拟出台监管措施。我们建议所有(yǒu)已经在美國(guó)开展业務(wù)、或者有(yǒu)计划在美國(guó)开展业務(wù)的中國(guó)公司，密切关注这份新(xīn)规的后续动态以及最终出台规则，以准确判断美國(guó)的监管政策趋势，提前规划自身的商(shāng)业部署和安排。

一、EO及配套文(wén)件出台的背景及政策趋势

近年来，美國(guó)网络安全与数据保护的立法和监管动态在联邦层面与州层面均非常活跃，但主要聚焦于消费者数据保护、儿童数据保护、网络安全攻击事件等领域。单就数据跨境流动领域而言，美國(guó)此前从未出台过数据跨境流动限制的专门法规，其基本主张是数据自由流动、维护开放网络环境。部分(fēn)议员曾于2022年向國(guó)会提交《保护美國(guó)人数据免受外國(guó)监视法案》（Protecting Americans' Data From Foreign Surveillance Act），以期體(tǐ)系性规制数据跨境流动，但该法案目前也尚未通过。然而，随着地缘政治的变化、AI技术迅速发展等因素，美國(guó)对于数据跨境流动的政策与主张在逐渐变化并日益限缩。代表性的事件包括美國(guó)贸易代表戴琪明确表示美國(guó)正在撤回在世贸组织谈判中美國(guó)坚持的数据跨境自由流动主张。

与此同时，美國(guó)在安全审查领域一直以来就较為(wèi)关注涉及数据的投资、交易等对于國(guó)家安全带来的影响，典型代表包括美國(guó)外商(shāng)投资委员会的國(guó)家安全审查机制（CIFUS）和ICTS机制。就CIFUS机制，美國(guó)政府在2018年颁布《外國(guó)投资风险审查现代化法案》（Foreign Investment Risk Review Modernization Act of 2018，下称“FIRRMA"），扩大了受辖交易范围，将敏感个人数据的保护作為(wèi)衡量國(guó)家安全的重要因素。在此基础之上，美國(guó)政府还于2022年通过总统行政令的方式，重申CFIUS应作為(wèi)重要工具打击通过外國(guó)投资获取敏感数据，从而对國(guó)家安全造成威胁的行為(wèi)。就ICTS机制，美國(guó)商(shāng)務(wù)部在2021年发布的《确保信息和通信技术及服務(wù)（ICT）供应链安全》（Securing the Information and Communications Technology and Services Supply Chain）中也明确指出，其关注美國(guó)主體(tǐ)敏感数据是否会被外國(guó)敌手政府所掌握，但仅限定于ICT行业。

相比而言，通过本文(wén)第三章描述的本次新(xīn)规的机制要求，可(kě)以看出，本次新(xīn)规不应被看做美國(guó)针对数据跨境监管机制的的综合性调整；它属于美國(guó)利用(yòng)数据这一要素和抓手，进一步加强和升级其國(guó)家安全监管机制的举措。如下文(wén)所介绍的，本次新(xīn)规仅针对特定國(guó)家的主體(tǐ)，且其拟规制的活动范围遠(yuǎn)超数据跨境传输活动。

二、本次EO出台的具體(tǐ)文(wén)件以及接下来的落实步骤和时间表

本次出台文(wén)件是美國(guó)总统基于《國(guó)际紧急经济权利法》（International Emergency Economic Powers Act，下称“IEEPA"）制定的行政命令（EO）。依据美國(guó)立法的框架，总统签发的行政命令并非立法，但仍具有(yǒu)法律效力。行政命令通常仅会提出规制的框架及基本要点，并提出相关部门的工作目标，较难直接作為(wèi)法律实施。美國(guó)司法部（DOJ）等相关部门如需发布行政法规，则需遵循启动规则制定、起草(cǎo)拟议规则和制定最终规则的步骤。ANPRM并非立法程序中强制需发布的文(wén)件，但一般用(yòng)于提前征求意见，以了解相关主體(tǐ)及社会公众的态度，在正式发布行政法规之前，DOJ等相关部门还需发布规则制定通知（Notice of Proposed Rulemaking，NPRM），而后发布最终的行政法规。就本次新(xīn)规而言，截至目前，白宫已发布了EO及简报；美國(guó)司法部则发布了相关新(xīn)闻、简报及ANPRM。

依据上文(wén)介绍的立法流程，可(kě)以把目前发布的EO和ANPRM理(lǐ)解為(wèi)《最终规则》的“征求意见稿"的“征求意见稿"。从目前已发布的EO和ANPRM到《最终规则》之间，尚需经历两轮征求意见：2月28日发布的ANPRM正处于第一轮征求意见阶段，并设有(yǒu)45天的公众评论期；在第一轮征求意见结束后，DOJ会在综合考虑公众意见的基础上发布NPRM，并进行第二轮征求意见。待两轮征求意见结束后，DOJ才会发布《最终规则》。

除《最终规则》外，EO指出新(xīn)规的具體(tǐ)实施方式还有(yǒu)待相关机构进一步出台实施细则予以明确，主要包括：

（1）由美國(guó)國(guó)土安全部部長(cháng)和/或司法部部長(cháng)与相关机构负责人协调和协商(shāng)，确定有(yǒu)关受限制数据交易需满足的安全要求和相关指南；

（2）由美國(guó)总检察長(cháng)与國(guó)務(wù)卿、商(shāng)務(wù)部長(cháng)、國(guó)土安全部長(cháng)和其他(tā)相关机构负责人协商(shāng)，搭建有(yǒu)关受规制数据交易的许可(kě)签发机制；

（3）由美國(guó)司法部协同相关部门為(wèi)相关主體(tǐ)建立就新(xīn)规适用(yòng)的咨询机制和发布一般解释性指南；

（4）……

图 1 新(xīn)规相关制度文(wén)件出台计划

三、EO及配套文(wén)件的关键内容

1. 新(xīn)规所提出的核心要求是什么？换言之，它如何禁止和/或限制数据交易（“判断公式"）？

美國(guó)数据安全新(xīn)规的核心机制可(kě)以归纳成下面这句话，其中包含7个关键词：

如果“美國(guó)主體(tǐ)（United States Person）"（关键词①）与“受关注國(guó)家（Country of Concern）"（关键词②）及“受关注主體(tǐ)（Covered Person）"（关键词③）开展涉及“受规制数据类型（Sensitive Personal Data and Government-related Data）"（关键词④）的“特定数据交易（Data Transactions）"（关键词⑤），将会受到禁止或限制（关键词⑥）。EO及配套文(wén)件明确了特定受到豁免的数据交易，此外，美國(guó)政府相关部门有(yǒu)权通过颁发许可(kě)等方式对于特定理(lǐ)应受到规制的数据交易进行豁免（统称“例外情形"，关键词⑦）。

美國(guó)数据安全新(xīn)规虽采用(yòng)“数据交易"这个词，但其所指代的商(shāng)业行為(wèi)比中國(guó)法律法规项下仅针对数据资产的交易而言广泛得多(duō)，可(kě)以初步理(lǐ)解為(wèi)任何涉及数据的所有(yǒu)商(shāng)业交易活动，甚至不一定发生数据跨境传输活动。如特定数据交易同时满足关键词①至关键词⑤中的要件，且不符合例外情形（关键词⑦）的，视乎数据交易类型所带来的风险及涉及的数据量级，不同的受规制数据交易可(kě)能(néng)会被禁止或限制。

基于上述对于特定数据交易是否落入新(xīn)规核心要求规制的判断公式的初步总结，我们可(kě)以注意到，整體(tǐ)评估涉及多(duō)个关键词法律技术性的分(fēn)析与理(lǐ)解，因此我们结合EO及配套文(wén)件将各个关键词的判断要点进行了总结，具體(tǐ)请见本章第2小(xiǎo)节。

美國(guó)数据安全新(xīn)规将不会采取个案审核的方式，而是采取依据IEPPA建立的其他(tā)监管机制的路径，制定通用(yòng)性的系列规则。如相关企业违反美國(guó)数据安全新(xīn)规，可(kě)能(néng)受到民(mín)事乃至刑事的处罚。

2. 判断公式中的7大关键词如何理(lǐ)解？

2.1 关键词①：什么是“美國(guó)主體(tǐ)（United States Person）"？

EO及ANPRM对于数据交易中的美方，也就是“美國(guó)主體(tǐ)"的定义十分(fēn)广泛，包括：

（1）美國(guó)公民(mín)、國(guó)民(mín)或合法永久居民(mín)；

（2）在美國(guó)获准作為(wèi)难民(mín)或被授予庇护的人；

（3）仅根据美國(guó)法或美國(guó)境内任何司法管辖區(qū)的法律组建的实體(tǐ)（包括外國(guó)分(fēn)支机构）；以及

（4）在美國(guó)境内的任何主體(tǐ)。

2.2 关键词②：“受关注國(guó)家（Country of Concern）"有(yǒu)哪些？

依据目前发布的材料，受关注國(guó)家包括中國(guó)（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。EO也授权DOJ可(kě)不时增删受关注國(guó)家清单以更好地实现保护美國(guó)实體(tǐ)敏感数据及國(guó)家安全的目标。

2.3 关键词③：如何判断是否企业自身為(wèi)“受关注主體(tǐ)（Covered Person）"？

美國(guó)政府认為(wèi)向与受关注國(guó)家相关个人和/或实體(tǐ)（即“受关注主體(tǐ)"）提供敏感个人数据也会直接和/或间接使得受关注國(guó)家能(néng)够掌握这些数据，从而造成类似的安全威胁，因此将其一并纳入受规制主體(tǐ)概念，并做出了清晰界定。依据目前发布的材料，受关注主體(tǐ)主要包括以下几类：

（1）由受关注國(guó)家直接或间接拥有(yǒu)50%或50%以上股份的实體(tǐ)，或根据受关注國(guó)家法律组建或特许的实體(tǐ)，或主要营业地位于受关注國(guó)家的实體(tǐ)；

（2）由第(1)类所述实體(tǐ)或第(3)、(4)或(5)类所述主體(tǐ)直接或间接拥有(yǒu)50%或以上股份的实體(tǐ)；

（3）是受关注國(guó)家或第(1)、(2)或(5)类所述实體(tǐ)的雇员或承包商(shāng)的外國(guó)主體(tǐ)；

（4）主要居住在受关注國(guó)家领土管辖范围内的外國(guó)主體(tǐ)；

被总检察長(cháng)指定的由受关注國(guó)家拥有(yǒu)、控制、受其管辖或指示的任何主體(tǐ)；或代表或声称代表受关注國(guó)家或受关注主體(tǐ)行事的任何主體(tǐ)；或在明知的情况下违反或指示违反规定的任何主體(tǐ)。

2.4 关键词④：“受规制数据类型"包含哪些？

从目前发布的材料来看，美國(guó)数据安全新(xīn)规主要规制敏感个人数据（Sensitive Personal Data）和政府相关数据（Government-related Data）。实际上，依据EO中的定义，政府相关数据是一类特殊的敏感个人数据，由于EO及配套文(wén)件将其分(fēn)别描述，且其适用(yòng)的监管要求不同，因此在本文(wén)中我们分(fēn)别进行说明。

此外，并非一涉及受规制数据类型就能(néng)满足这一关键词所含要件，还需考虑涉及的数据量级。具體(tǐ)而言，如受规制数据交易涉及前述敏感个人数据且达到一定量级，那么将受到规制。如前述出境数据為(wèi)美國(guó)政府相关数据，那么无论量级是多(duō)少，都将受到规制。

（1）敏感个人数据（Sensitive Personal Data）有(yǒu)哪些？

依据EO及ANPRM，目前明确被认定為(wèi)敏感个人数据主要有(yǒu)以下6类数据：

表格1 敏感个人数据的主要类别及说明

美國(guó)司法部发布的ANPRM在EO的基础上将以下数据类型排除在敏感个人数据之外，包括：

• 与个人无关的公开或非公开数据，包括符合《美國(guó)法典》相关规定对“商(shāng)业秘密"或“专有(yǒu)信息"定义的数据；

• 公众可(kě)以从联邦、州或地方政府记录或其他(tā)不受限制、可(kě)广泛传播的媒介（如开庭记录等）中合法获取的数据；

• 《美國(guó)法典》定义的不转让任何有(yǒu)价值的个人通信消息；

• 《最终规则》中将进一步明确的信息或信息资料。

（2）政府相关数据（Government-related Data）

ANPRM在EO的基础上将政府相关数据的内涵做了进一步的细化，包括：

• 与军队、其他(tā)政府或其他(tā)敏感设施或地点相关的特定地理(lǐ)围栏區(qū)域清单中列举的任何區(qū)域内的任何位置的精确地理(lǐ)位置数据；

• 交易方认為(wèi)其与美國(guó)政府（包括军队和情报机构）现任、近期前任雇员、承包商(shāng)或前任高级官员关联或可(kě)关联的任何敏感个人数据。

（3）不同受规制数据类型的阈值如何？

如上文(wén)所述，受规制数据交易涉及前述敏感个人数据且达到一定量级，那么将受到规制。如涉及的数据為(wèi)美國(guó)政府相关数据，那么无论量级是多(duō)少，都将受到规制。据ANPRM，司法部考虑在以下范围内确定敏感个人数据受规制量级的起始数量：

表格2 各类别敏感个人数据的监管起始数量的阈值范围

2.5 关键词⑤和⑥：针对“特定数据交易（Data Transactions）"的规制措施是哪些？

就目前已发布内容来看，受规制的数据交易分(fēn)為(wèi)（1）禁止的数据交易；和（2）受限制的数据交易两类，具體(tǐ)而言：

（1）禁止的数据交易

依据ANPRM，此类数据交易目前包括：（i）数据经纪交易；（ii）涉及批量人类基因组数据或可(kě)从中提取此类数据的生物(wù)样本转移的基因组数据交易。

（2）受限制的数据交易

此类数据交易目前包括：（i）涉及提供商(shāng)品和服務(wù)的供应商(shāng)协议；（ii）雇佣协议；（iii）投资协议。受限制的数据交易需满足美國(guó)相关政府部门制定的安全要求。

依据EO的安排，安全要求清单将由美國(guó)國(guó)土安全部（the Department of Homeland Security）及DOJ牵头其他(tā)相关部门和/或机构共同制定，目前尚未发布。ANPRM对拟定的安全要求进行了初步介绍，指出此类安全要求可(kě)能(néng)包括使用(yòng)隐私保护技术、采取数据最小(xiǎo)化和屏蔽、实施基本的组织网络安全态势要求、实施逻辑和物(wù)理(lǐ)访问控制、开展合规审计等。

2.6 关键词⑦：新(xīn)规有(yǒu)哪些适用(yòng)的“例外情形"？

整體(tǐ)来看，EO及ANPRM设置了两类豁免适用(yòng)的情形：一方面，EO及ANPRM计划将一些情形明文(wén)列為(wèi)豁免的数据交易；另一方面，EO也授权DOJ协同相关部门基于个案，针对某些本应落入规制的数据交易通过颁发许可(kě)的方式进行豁免，為(wèi)数据跨境传输的监管提供了一些灵活性。

（1）明文(wén)豁免情形

ANPRM在EO的基础上拟将一些情形作為(wèi)不受限制的数据交易，具體(tǐ)包括：

表格3 豁免的数据交易情形

（2）通过许可(kě)进行豁免的机制

EO还授权DOJ协同相关部门，通过发布一般许可(kě)和特别许可(kě)的方式豁免可(kě)能(néng)被限制或禁止的受规制交易。根据ANPRM对许可(kě)制度的初步介绍，相关部门拟对许可(kě)的主體(tǐ)提出特定要求。例如，就获得特定许可(kě)而言，相关要求包括持续提供关于授权交易的报告，或在可(kě)行的范围内，保证根据此类交易转移的任何数据可(kě)被恢复、不可(kě)逆转地删除或以其他(tā)方式使其失效等。目前，DOJ正在就颁发许可(kě)的考量要素、程序要求等征求公众意见。

3. 实战虚拟案例—新(xīn)规提出的核心要求将如何广泛影响企业相关投资、运营等决策？

如我们在前文(wén)中所介绍的，从目前发布的框架及部分(fēn)细节来看，美國(guó)数据安全新(xīn)规不止将影响数据跨境流动，更会广泛地影响任何涉及美國(guó)主體(tǐ)及受关注國(guó)家或受关注主體(tǐ)的商(shāng)业活动，贯穿于雇佣、投资、运营等各个商(shāng)业环节。纷繁复杂的关键词设置实际上广泛地覆盖了受关注國(guó)家及受关注主體(tǐ)访问、或者可(kě)能(néng)访问敏感个人数据和/或政府相关数据的投资、商(shāng)務(wù)合作及/或经营活动。

為(wèi)便于可(kě)能(néng)受影响企业更好开展判断，我们结合EO、ANRPM等文(wén)件准备了三个虚拟案例，分(fēn)别映射涉及跨境经营企业常见的商(shāng)務(wù)合作、投资和当地运营场景。值得注意的是，我们所举的这三个虚拟案例均不直接涉及数据跨境传输活动，但仍大概率会落入新(xīn)规管辖范围之内。具體(tǐ)如下：

3.1 虚拟案例①：

（1）案例情形——商(shāng)业服務(wù)场景

A公司是美國(guó)的一家電(diàn)商(shāng)平台公司，A公司与总部位于受关注國(guó)家X的B公司签订合同，由B公司為(wèi)A公司提供IT运维服務(wù)。A公司掌握美國(guó)千万级以上个人用(yòng)户的大量精确地理(lǐ)位置信息和个人财務(wù)数据。根据双方签订的合同，B公司在提供IT服務(wù)时涉及访问A公司存有(yǒu)上述大量精确地理(lǐ)位置信息和个人财務(wù)数据信息系统。此类运维服務(wù)安排是否会落入新(xīn)规的限制？

图2 虚拟案例①

（2）倾向性分(fēn)析

依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明，A公司与B公司之间的IT服務(wù)协议大概率构成受限制的供应商(shāng)协议，需要受制于上文(wén)第2.5条所述的“限制"措施。

3.2 虚拟案例②

（1）案例情形——当地运营场景（人员雇佣）

為(wèi)进一步深化出海战略，一家总部位于受关注國(guó)家Y的游戏公司在美國(guó)建立了A公司以开展北美业務(wù)，A公司与总部和/或其旗下的分(fēn)子公司无任何股权关系。A公司成功开发了多(duō)款手机游戏，在美國(guó)广受欢迎，拥有(yǒu)千万级以上的美國(guó)用(yòng)户。A公司开发的手机游戏涉及收集使用(yòng)美國(guó)用(yòng)户的大量敏感个人数据，例如精准地理(lǐ)位置、人脸识别数据等。A公司的大部分(fēn)雇员為(wèi)美國(guó)主體(tǐ)，但新(xīn)一任的CEO拟定為(wèi)其总部海外业務(wù)線(xiàn)的负责人（長(cháng)期居住于受关注國(guó)家的该國(guó)公民(mín)张三）。作為(wèi)首席执行官，张三有(yǒu)权访问应用(yòng)程序收集的所有(yǒu)数据，其中包括大量敏感个人数据。此类人事安排是否会落入新(xīn)规的规制？

图3 虚拟案例②

（2）倾向性分(fēn)析

依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明，作為(wèi)首席执行官，X有(yǒu)权访问应用(yòng)程序收集的所有(yǒu)数据，其中包括大量敏感个人数据。因此这种情况下，此类人事安排大概率构成受限制的雇佣协议，需要受制于上文(wén)第2.5条所述的“限制"措施。

3.3 虚拟案例③

（1）案例情形——股权投资场景

A公司是一家开发社交媒體(tǐ)应用(yòng)程序的美國(guó)公司，其开发的社交平台涉及收集处理(lǐ)千万级以上美國(guó)用(yòng)户的敏感个人数据，例如特定个人标识符等。B公司是总部位于受关注國(guó)家Z的科(kē)技公司，并经谈判与A公司达成协议，计划收購(gòu)A公司5.6%的股权。双方签订的协议中明确规定B公司不参与业務(wù)的实际运营，也无权访问A公司所掌握的用(yòng)户数据。此项投资活动是否落入新(xīn)规的规制？

图4 虚拟案例③

（2）倾向性分(fēn)析

依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明，即使投资协议中明确禁止B公司访问上述数据，该投资协议大概率仍然属于对國(guó)家安全构成不可(kě)接受风险的受限制的数据交易。因為(wèi)该交易可(kě)能(néng)仍使得受关注主體(tǐ)（ B公司）有(yǒu)能(néng)力访问大量敏感个人数据。

四、除核心要求，企业还需关注EO及配套文(wén)件提出的哪些监管机制？

除了禁止或限制一系列数据交易（即上文(wén)详细说明的核心要求）外，EO还提出了一些有(yǒu)待美國(guó)政府相关部门进一步研究、磋商(shāng)的议题。如这些议题后续进一步落实，那么会对于中美企业之间有(yǒu)关数据的商(shāng)业安排产生更大的影响，因此我们在此也进行总结，以便相关企业密切追踪可(kě)能(néng)与自身商(shāng)业形态有(yǒu)关的监管机制。依据EO的安排，美國(guó)政府还可(kě)能(néng)考虑在下述方面加强管制，以全面保护敏感个人数据及政府相关数据。

1. Team Telecom将加强对于海底電(diàn)缆许可(kě)的审查

作為(wèi)承载几乎全球互联网数据跨境传输的基础设施，海底電(diàn)缆的安全性、运营及控制情况对于数据跨境传输安全而言至关重要。美國(guó)電(diàn)信安全审查小(xiǎo)组（the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector），也就是Team Telecom被要求加强对于海底電(diàn)缆相关许可(kě)的审查，包括已发布的许可(kě)及收到的新(xīn)的许可(kě)申请，并持续关注受规制主體(tǐ)访问受规制数据可(kě)能(néng)带来的风险。由此可(kě)见，不止是涉及实际跨境数据传输的企业，涉及基础设施投资、建设及参与的企业也有(yǒu)可(kě)能(néng)受到进一步影响。

2. 考虑对个人健康数据和人类组學(xué)数据采取额外监管措施

医疗健康数据是EO及ANPRM中特别关注的数据类型，且美國(guó)政府目前采取比较审慎的态度，强调美國(guó)卫生与公共服務(wù)部等相关部门不得协助受规制主體(tǐ)访问批量个人健康数据和人类基因组数据。特别地，目前发布的材料仅将人类组學(xué)数据中的人类基因组数据（human genomic data）列為(wèi)受规制的数据类型之一，但EO要求美國(guó)总统國(guó)家安全事務(wù)助理(lǐ)（Assistant to the President for National Security Affairs，下称“APNSA"）及其他(tā)相关部门评估规制其他(tā)人类组學(xué)数据（human omic data，如蛋白组数据、代謝(xiè)组数据等）交易的风险及收益，并向总统提交评估报告。因此，未来可(kě)能(néng)有(yǒu)更多(duō)的监管要求与细则出台。

3. 加强数据经纪人的监管

美國(guó)数据交易机制由来已久，因此EO专门强调了数据经纪人長(cháng)期频繁收集、交易受规制数据可(kě)能(néng)带来的风险。依据EO安排，美國(guó)消费者金融保护局（Consumer Financial Protection Bureau，下称“CFPB"）需考虑针对这一问题研究制定监管方案。

4. 对此前已开展的受规制数据交易进行评估

依据EO的要求，在《最终规则》生效后的120天内，美國(guó)总检察長(cháng)、國(guó)土安全部部長(cháng)、國(guó)家情报总监将联合其他(tā)部门研究如何评估已发生的受规制数据跨境传输活动所带来的风险，提出风险管控措施，并向APNSA提交方案。APNSA将在研究方案后，与其他(tā)部门共同决定是否及如何落实针对已开展的受规制数据交易的规制方案。因此，如企业经评估注意到此前的运营及业務(wù)中存在已发生的受规制数据交易，应特别关注本机制项下的监管方案。