1. FIRRMA新设审查影响国家安全的敏感个人数据

CFIUS实施条例细化“个人敏感数据”的定义：此类数据为“可识别”、“可用于区分或追踪个人身份的数据”以及可重新识别至个人的“聚合或匿名数据”。^〔〕在此基础上，条例还将“可识别”数据类型化为11类。^〔〕

条文规定个人敏感数据涉及“国家安全”的情形，具备情形之一则可启动数据审查。其一，拟投资的美国商业主体持有或收集关乎 “国家安全”的数据。商业主体定向提供产品或服务，若客户为负责情报、国家安全或此类职责的行政机构或军事部门，以及此类部门工作人员或承包商。因此类美国商业主体与军政部门及其工作人员密切关联，外资易凭借投资目标获得重要数据。其二，美国商业主体持有时间、持有数据体量及业务性质可能影响“国家安全”：以交易完成、提交书面通知或声明前的时间为限，过去连续12个月内任何时间点，曾收集或持有超100万美国公民的可识别数据；商业主体业务旨在持有或收集超过100万人可识别数据，而持有或收集如此体量的可识别数据的行为是商业主体无法剥离的主营产品或业务内容。