FIRRMA明确将敏感个人数据列为外国投资安全审查时评估国家安全风险的要素之一，原因在于“这些信息可能被外国政府或外国主体获取，并以威胁美国国家安全的方式利用”。比如，通过数据聚合分析，可以发现某些关键岗位人员的财务或健康状况，以此威胁、利诱这些人员实施危害国家安全行为。由此，“敏感个人数据”的“敏感”并不是强调个人权益的保护，而是强调对国家安全的威胁。FIRRMA实施细则从两方面界定了影响国家安全的敏感个人数据：
一是界定了可识别数据，是指“可用于区分或追踪个人身份的数据，包括个人身份标识符”。如果交易方具备使聚合数据分解、匿名数据去匿名化的能力，那么聚合数据和匿名数据也是可识别的。实施细则列明了11类个人可识别数据，包括：个人财务状况数据，消费者信用报告数据，保险申请相关数据，个人身体、精神或心理健康状况数据，非公开的电子通信数据，地理位置数据，生物识别数据，州或联邦的个人身份证数据，政府工作人员安全审查状况相关数据，政府工作人员安全审查申请或公众信任职位申请；此外，个人的基因检测结果包括基因测序数据，也构成可识别数据。
二是界定了本文所称的“国家安全敏感性”。这要求被投资的美国商业具备下列情形之一：目标或定制产品或服务是针对负有情报、国家安全或国土安全职责的美国行政机构或军事部门，或者针对这些机构或部门的工作人员和承包商；在交易完成或者提交书面通知或申报之前12个月内的任一时间节点，曾经持有或者收集超过100万人的可识别数据；其已证明的商业目标，是去持有或者收集超过100万人的可识别数据，且这些数据属于所投美国商业的主营产品或服务不可分割的一部分。由此可知，只有所投资的美国商业持有或收集的个人可识别数据不是来自上述美国政府部门或人员，并且数据量没有达到100万人的门槛，该笔非控制性投资才不属于美国外资安全审查的范围。
当然，如果外国主体对持有或收集个人可识别数据的美国商业的投资达到了“控制”程度，即获得“确定、指导或决定受影响主体重要事项的直接或间接的权力”，即使这些数据不涉及上述有关国家安全的部门和人员，也有可能会纳入CFIUS国家安全审查范围。2020年3月，美国总统特朗普基于CFIUS审查发布行政命令，要求北京石基公司剥离其收购的美国酒店管理软件公司StayNTouch的100%股权。从该行政命令中“可能损害美国国家安全”以及要求石基公司完成撤资前“不得访问酒店客人数据”的表述来看，大量个人可识别数据对国家安全的威胁是禁止该交易的主要考虑。
文章摘自网络，如有侵权，请联系删除