“这项最终规则是我们应对对手利用美国人最敏感的个人数据所带来的非凡国家安全威胁的重要一步，”司法部国家安全司助理检察长马修·G·奥尔森 (Matthew G. Olsen) 说道。“这个强有力的新国家安全项目旨在确保美国人的个人数据不再被允许出售给敌对的外国势力，无论是通过直接购买还是其他商业访问手段。”

最终规则通过制定适用于某些类别的数据交易的一般性规则来实施行政命令，这些交易对美国国家安全构成不可接受的风险。如行政命令所述，关切国家和受涵盖个人可以利用其获取的数据进行恶意网络活动和不良外国影响活动，增强军事能力，并出于非法目的（如勒索、胁迫和间谍活动）跟踪和建立美国人员（包括军方成员、美国情报界、以及其他联邦雇员和承包商）的档案，以增强其军事能力。此外，关切国家和受涵盖个人还可以利用这些数据收集关于活动家、学者、记者、异议人士、政治反对派或非政府组织及边缘化社区成员的信息，以恐吓他们；压制政治反对；限制言论自由、和平集会或结社自由；或实现其他形式的公民自由压制。

最终规则反映了行政命令中强调的风险，即由于关切国家越来越多地使用大规模敏感个人数据来开发和增强人工智能（AI）能力和算法，这反过来使得大型数据集能够以越来越复杂和有效的方式使用，从而损害美国国家安全。关切国家可以将 AI 与多个不相关的数据集结合使用，例如，识别在单一数据集中原本不会暴露其与联邦政府联系的美国人员，并针对这些人进行间谍活动或勒索。

除了其他事项外，最终规则确定了适用该规则的关切国家和受涵盖个人，并指定了禁止、限制和豁免交易的类别。最终规则为某些敏感个人数据设定了大规模阈值，包括人类‘组学’数据、生物识别标识符、精确地理定位数据、个人健康数据、个人财务数据以及某些覆盖的个人标识符。最终规则还规定了获取授权原本禁止或受限交易的许可证流程；受涵盖个人指定的协议；并提供了咨询意见，以及针对受涵盖交易的记录保存、报告和其他尽职调查义务。

最终规则与美国致力于促进开放、全球互操作、可靠和安全的互联网；保护线上及线下的基本人权；通过促进所需的跨境数据流动来支持国际商业和贸易以推动充满活力的全球经济；以及便利开放投资的一贯承诺保持一致。值得注意的是，最终规则并不对美国人的大规模敏感个人数据或美国政府相关数据的物理或电子存储施加广泛的数据本地化要求，也不要求将计算设施置于美国境内以处理此类数据。最终规则并不禁止美国人于关切国家进行医学、科学或其他研究，或者与受涵盖个人合作分享数据进行研究，前提是该活动不涉及作为受涵盖数据交易一部分的付款或其他形式的报酬交换。此外，最终规则也并未广泛禁止美国人与关切国家或受涵盖个人进行商业交易，包括在与这些国家或个人销售商业商品和服务时交换财务及其他数据，也没有采取旨在更广泛地解耦美国与其他国家之间的重要消费者、经济、科学和贸易关系的措施。

最终规则进一步将若干类别的数据交易豁免于其禁止和限制的范围之外，包括个人通信、某些金融服务交易、企业集团内部交易、联邦法律和国际协议授权的交易、受美国外国投资委员会（CFIUS）行动约束的投资协议、电信服务、生物制品和医疗器械授权、临床研究等。

最终规则中的禁止和限制与其他情境下对敏感个人数据施加的访问限制一致，包括由 CFIUS 审查的交易以及美国电信服务部门外资参与评估委员会（Team Telecom）审查的交易中所实施的限制。

最后，根据最终规则，涉及关切国家或受涵盖个人获取大规模美国敏感个人数据或美国政府相关数据的供应商协议、雇佣协议和投资协议属于受限交易，必须遵守由国土安全部网络安全和基础设施安全局（CISA）在与司法部协调下制定的单独安全要求。这些安全要求包括组织和系统级别的要求（如确保基本的组织网络安全政策、实践和控制措施到位），以及数据级别的要求（如数据最小化和屏蔽、加密及隐私增强技术）。这些关键要求将由 CISA 通过《联邦公报》及其网站另行发布。

随同最终规则，司法部将发布合规、执行及其他指导文件，这些信息可以在 www.justice.gov/nsd/data-security 查阅。司法部还将继续与业界和其他利益相关方互动，以确定在该计划生效时是否有必要发放任何结束期许可证。此外，司法部预计也将发布有关申请咨询意见或许可证的信息，针对的是最终规则H 分项中大致描述的其他情况下被禁止或受限的交易。