资讯来源：走出去法律智库2025年1月1日 标题有修改

本次最终规则规定了涉及六类敏感个人数据的交易，这六个类别包括：

某些列举的个人识别符（listed identifiers），例如，社会安全号码、驾驶执照或其他证件号码；

精确的地理位置数据，例如，全球定位系统坐标，IP地址，能够在1公里以内定位到个人的地理位置的数据；

生物特征识别符，例如，面部图像、声纹和图案以及视网膜扫描，人类基因组数据，表观基因组、蛋白质组学或转录组学；

人类基因组数据和其他三类“组学”数据（表观遗传组学、蛋白质组学或转录组学）；

个人健康数据的识别符，例如，身高、体重、生命体征、症状、测试结果、诊断、数字牙科记录和心理诊断；

个人财务数据，例如，与个人信用卡、借记卡、银行账户，以及财务负债相关的信息，包括付款记录。

本次最终规则将以下类别排除在“敏感个人数据”的定义之外，且这一排除适用于上述六类敏感数据的每一类：

与个人无关的公开或非公开数据（例如商业秘密和专有信息）；

从合法政府记录或广泛分布的媒体中公开可获得的数据；

个人通信和信息材料。

政府敏感数据：

关于政府活动地点的数据。

关于美国政府人员的数据。

美国限制或禁止敏感信息流向的实体同样参考“50%规则”向下穿透，故以下实体亦被自动视为涵盖主体：

由受关注国家直接、间接或合计持有50%或以上股权的实体，以及在受关注国家注册或其主要营业地在受关注国家的实体。这意味着中国在美国的子公司可以被美国司法部认定为涵盖实体而进行监管；

由涵盖主体直接、间接或合计持有 50% 或更多股权的外国实体；

受关注国家或涵盖主体的外国雇员或承包商；

主要居住在受关注国的外国个人。

并非只要是受限制的敏感数据就受到最终规则的监管。对于触发监管的数据量化上限阈值，司法部规定了一系列“批量”阈值，起算时间是从敏感数据流动之前的12个月内合并计算，无论这些数据是匿名的还是加密的。具体如下：

超过100 名美国人的人类基因组数据，以及超过 1000 名美国人的其他三类人类基因组数据；

超过1000 名美国人的生物特征标识符；

超过1000 台美国设备上的精确地理定位数据；

超过 10000 名美国人的个人健康数据和个人财务数据；

超过 100000 名美国人的某些涵盖的个人识别符；或者

满足数据集中任何类别最低阈值的这些数据类型的任何组合。

禁止的数据交易：

数据经纪交易。（数据接收方不直接从个人处收集数据，而是从数据提供方处购买、被许可访问数据。从事数据经纪业务的美国人要跟相关交易的外国主体签署合同，确保对方不得将数据转售或以其他方式让中国或中国公司进行获取和交易这些数据）

涉及访问大量人类基因组数据或人类生物样本的数据交易。

豁免的数据交易：

不涉及交易金额的个人通信信息；涉及言论或出版物的进出口信息材料；个人旅行信息（行李、生活费、行程安排）；

美国政府官方活动；

只是提供金融服务（如银行业、资本市场或金融保险活动；其他监管机构监管范围内的金融活动；提供或处理涉及个人财务数据或涵盖个人身份标识转移的支付，用于购买和销售商品和服务；以及法律和监管合规）；

美国跨国公司内部业务运营产生的数据交易（如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易）；

美国联邦法律或国际协议所要求或授权的交易（如旅客名单信息、国际刑警组织发出的搜查令等）；

和美国外国投资委员会（CFIUS）达成缓解措施协议后的投资协议，并且CFIUS明确要求将他们豁免；

通常属于提供电信服务所必需和从属的所有语音和数据通信服务（包括国际呼叫、移动语音和数据漫游）；

涉及药品、生物制品、器械或组合产品的审批或授权的数据交易，且该等“监管审批数据”已按美国药监局规定去标识或化名处理，仅限于评估安全性与有效性所必需的信息；

其他临床研究和上市后监测数据。如果这些交易符合美国药监局的相关要求，也可豁免。