摘要:美国“数据脱钩”新规即美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Dat
前言
美国“数据脱钩”新规即美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)之最终规则《防止受关注国家或受规制主体获取美国敏感个人数据和政府相关数据》(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)(“《14117最终规则》”)自2025年4月8日生效以来,触发该新规的企业均受到较大程度的影响。
2025年10月6日,《14117最终规则》将进入全面实施阶段。
以下是《14117最终规则》发布以来的几个关键时间节点:
2025年4月8日,《14117最终规则》正式生效,绝大部分禁止与限制性规定开始实施,但美国司法部设定了为期三个月的执法宽限期。
在该宽限期内,只要美国人(包括个人和实体,定义详见《14117最终规则》,下同)“秉持善意努力遵守”《14117最终规则》,美国司法部国家安全司(National Security Division,“NSD”)将不会优先对违反《14117最终规则》的行为采取民事执法行动。
2025年7月8日,执法宽限期结束,NSD可能对所有违反《14117最终规则》的行为采取执法行动。
2025年10月6日,《14117最终规则》全面实施,包括数据合规计划、年度审计及特定报告等要求。
本文将重点介绍《14117最终规则》即将于2025年10月6日实施的合规要求。对于《14117最终规则》基本框架和概念的介绍,以及对其配套文件的解析,可分别参见《美国“数据脱钩”新规——中国企业应对14117最终规则之十问十答》和《美国司法部就“数据脱钩”新规出台配套实施文件及合规指南》。
01
2025年10月6日即将生效的合规义务
1. 尽职调查
自2025年10月6日起,开展被限制的交易的美国人应制定并实施数据合规计划(Data Compliance Program),以对被限制的交易开展尽职调查。[1]
数据合规计划应至少包括以下内容:[2]
(1)
用于核实被限制的交易中涉及的数据流的风险验证程序,包括验证并以可审计的方式记录:(a)任何被限制的交易中涉及的大量美国敏感个人数据或政府相关数据的类型和数量;(b)交易各方的身份,包括实体的权属信息或个人的国籍或主要居住地;(c)数据的最终用途和数据的传输方式。
企业的风险状况可能取决于多种因素,包括企业规模与复杂程度、产品与服务类型、客户与交易对手方类型以及地理分布等。为制定稳健的数据合规计划,美国人可定期(理想情况下至少每年一次)或在特定情况发生(如投资并购、内部审计或业务过程中发现合规风险)时开展风险评估,依据其业务活动和风险偏好评估可能面临的潜在问题。此类风险评估可用于检查企业当前的数据持有情况,以及与供应商、员工或投资协议相关的合规情况。风险评估的审查内容包括:(a)现有的安全措施;(b)供应商、投资者和员工的情况;(c)提供的产品和服务;(d)适用的一般许可或特定许可或豁免;以及(e)企业及其关联方、供应商、交易对手方的地理位置等,以识别可能受限于《14117最终规则》的活动及相关风险。企业可根据风险评估的结果,完善其内部政策、程序、培训和内控措施。[3]
(2)
用于核实供应商身份的风险验证程序,特别是核查供应商是否属于受规制主体。
根据《14117最终规则》,受规制主体指满足以下任一情形的主体:
1)由一个或多个受关注国家或2)所述主体直接或间接、单独或合计拥有50%或以上股权的实体,以及在受关注国家注册或其主要经营地在受关注国家的实体;
2)由1)、3)、4)、5)中所述一个或多个主体直接或间接、单独或合计拥有50%或以上股权的实体;
3)受关注国家或1)、2)、5)中所述主体的雇员或承包商;
4)主要居住在受关注国家领土管辖范围内的外国人(即非美国人,包括自然人和实体);或
5)无论其位于何处,由美国司法部部长在受规制主体名单中认定的:(i)将要、已经、或未来可能被受关注国家或受规制主体拥有或控制,或受其管辖或指导的主体;或(ii)代表、意图代表、或可能代表受关注国家或相关人员行事的主体;或(iii)故意导致或指示违反,或可能故意导致或指示违反《14117最终规则》的主体。[4]
由于上述情形1)至4)中相关主体的股权或相关个人的雇佣或主要居住地情况可能会发生变化,上述情形5)中受规制主体名单(Covered Persons List)可能不时调整,有效的数据合规计划应能够适应这些变化,并根据企业的风险偏好,定期对供应商进行筛查并设置相应的控制措施。[5]
筛查方式包括通过筛查软件审查现有或潜在供应商的地理信息,以判断该供应商是否位于受关注国家、依据该国法律设立或注册,或其主要营业地点是否在受关注国家。使用筛查软件的企业应确保该软件能够:(a)纳入受规制主体名单的最新更新;(b)识别所有标识信息,包括已识别的或指定的受规制主体的别名及不同拼写;(c)考量组织层级结构;(d)考量供应商的地理信息(包括总部、子公司及分支机构的所在地);以及(e)对现有、新增以及潜在供应商进行全面筛查。[6]
需要注意的是,美国人与外国人签订供应商协议时,通常无需在其数据合规计划中对外国人的雇佣情况进行尽职调查,以确认该外国人的雇员是否属于受规制主体。除非存在规避或在明知情况下指示的情形,美国人基于供应协议将受规制数据提供至外国人通常不构成违反《14117最终规则》,即使该外国人雇佣受规制主体并授予其数据访问权限。[7]
(3)
描述数据合规计划的书面政策,需由负责合规的企业管理人员或其他员工每年确认。
描述数据合规计划的书面政策应充分反映组织的日常运作,便于遵循,易于核实合规情况,并旨在防止员工不当行为。
理想情况下,企业应向所有相关员工清晰传达并确认其对数据合规计划政策和流程的理解,视情况需包括企业合规职能部门的人员、网关人员和业务部门(例如销售或供应商采购团队和网络安全人员)以及代表企业履行相关职责的第三方。
企业应考虑在其书面的数据合规计划中,纳入基于风险评估结果而制定的内控措施,使组织能够识别并上报任何可能违反《14117最终规则》的受规制数据交易。较为有效的内控措施是任命和授权合规人员,并建立正式的逐级上报程序以审查高风险交易,包括评估交易是否需要向NSD寻求特别许可、咨询意见或进行主动自我披露。
对数据合规计划书面政策和程序的年度审查与认证,必须评估其充分性及实施效果。[8]
(4)
描述实施CISA规定的安全要求的书面政策,需由负责合规的企业管理人员或其他员工每年确认。
(5)
其他美国司法部部长要求的信息。任何该等要求将在生效前公布在《联邦公报》上。[9]截至目前,美国司法部部长尚未就此提出进一步要求。
2. 年度审计
自2025年10月6日起,每一公历年度中,只要美国人参与过被限制的交易,必须在该年度进行一次审计,审计的时间范围应覆盖审计前的12个月。[10]
(1)
审计范围必须包括:[11]
审查该美国人的被限制的交易;
审查数据合规计划及其实施情况;
审查按照《14117最终规则》第202.1101条保存的相关记录;
审查该美国人实施的CISA安全要求;
采用可靠的方法开展审计。
(2)
审计人员必须符合以下条件:[12]
具备审查、验证并证明该美国人符合并有效实施CISA安全要求以及针对被限制的交易所有其他适用要求的专业能力与资格;
保持独立性;
不属于受关注国家或受规制主体。
(3)
审计标准
《14117最终规则》不要求遵循特定的审计标准。美国政府审计署(GAO)在《政府审计准则》[13]中提供了财务报表审计指南,但审计人员也可选择遵循其他标准,例如,上市公司会计监督委员会(PCAOB)制定的标准或国际审计与鉴证准则理事会(IAASB)制定的标准。审计人员应采用可靠的方法,根据被审计美国人的规模与复杂度,实施适当的审计程序,以反映对企业实践的全面和客观的评估。[14]
(4)
审计报告的内容应包括:[15]
描述该美国人所进行的任何被限制的交易的性质,即属于何种类型的交易(供应协议、雇佣协议或投资协议);
描述所采用的审计方法,包括所审查的相关政策和文件、访谈的相关人员,以及检查的设施、设备、网络或系统;
描述该美国人的数据合规计划及其实施的有效性;
说明在CISA安全要求的实施过程中已影响或可能影响受关注国家或受规制主体获取受规制数据风险的任何漏洞或缺陷;
说明CISA安全要求未能有效降低受关注国家或受规制主体获取受规制数据风险的情形;
建议为确保符合CISA安全要求所需的政策、实践或其他业务方面的改进或调整。
(5)
审计报告提交时间
审计人员必须在完成审计后的60天内,向该美国人提交书面报告[16],最好是向该美国人负责总体网络安全或《14117最终规则》合规的合规人员提交书面报告。[17]
(6)
审计报告保留时间
从事被限制的交易的美国人须将审计报告至少保留10年。[18]NSD可要求美国人在必要时提供审计报告。[19]
(7)
收到审计报告后的应对措施
在收到否定或“无法发表意见”的审计结果时,企业最好立即采取有效行动,确定并实施补救措施,以解决相关问题,并且最好还应记录补救审计发现的任何缺陷的努力。
3. 涉及云计算服务的被限制的交易的年度报告
除非联邦法律另有禁止,自2025年10月6日起,凡美国人从事涉及云计算服务的被限制的交易,且其25%或以上的股权(无论直接或间接,通过任何合同、安排、谅解、关系或其他方式)由受关注国家或受规制主体持有的,必须提交一份年度报告。[20]针对上一年度截至12月31日开展的该等被限制的交易,年度报告必须在次年3月1日之前向美国司法部提交。[21]
美国人可委托律师、代理人或其他人员代为提交年度报告,但报告的主要责任仍由实际从事该数据交易的美国人承担。若另一美国人已就同一数据交易提交报告,除非该美国人确知另一美国人已提交,否则不得以此为由免除其自身的报告义务。[22]
该等年度报告必须包括以下信息:[23]
(1)
从事受规制数据交易的美国人的名称和地址,及其联系人的姓名、电话和电子邮箱;
(2)
该受规制数据交易的描述,包括:
交易日期;
所涉及的政府相关数据或美国大量敏感个人数据的类型和数量;
数据传输方式;
参与该数据交易的人员及其所在地,包括数据接收方的名称和位置、相关实体的权属信息或个人的国籍或主要居住地、交易中涉及的任何受规制主体的名称和位置,以及涉及的任何受关注国家的名称;
需要注意的是,一般仅需提供受规制数据交易的概要性描述,而无需提供底层数据。在少数情况下,NSD可能需要了解有关底层敏感个人数据的更多细节,但通常可以在不直接获取底层数据的情况下解决,例如通过向当事方询问数据性质等方式;[24]
(3)
收到或形成的与该交易相关的所有文件的副本;
(4)
美国司法部要求提供的任何其他信息。
NSD可要求提交年度报告的主体补充或提供后续信息。报告必须按照规定以电子方式提交,可通过以下途径完成:发送电子邮件至 nsd.firs.datasecurity@usdoj.gov,或依照NSD官方网站上的指示,使用其他官方电子报告渠道。NSD不接受年度报告的纸质副本。[25]
4. 拒绝被禁止的数据经纪交易的报告
美国人在明知的情况下与受关注国家或受规制主体开展数据经纪交易是被禁止的。[26]数据经纪交易是指数据接收方不直接从与数据相关联的个人处收集数据,而是从数据提供方处购买数据、被许可访问数据或其他类似的商业交易,不包括雇佣协议、投资协议或供应商协议。[27]
除非联邦法律另有禁止,自2025年10月6日起,凡美国人收到并明确拒绝(包括使用软件、技术或自动化工具自动拒绝)他人提出的涉及被禁止的数据经纪交易的要约,必须在拒绝被禁止的交易之日起的14天内向美国司法部提交报告。[28]
拒绝交易的报告在提交时,应尽可能包含以下信息:[29]
(2)
该受规制数据交易的描述,包括:
交易被拒绝的日期;
交易中涉及的政府相关数据或美国大量敏感个人数据的类型和数量;
数据传输方式;
试图参与该交易的人员及其所在地,包括数据接收方的名称和位置、相关实体的权属信息或个人的国籍或主要居住地、交易中涉及的受规制主体的名称和位置,以及涉及的任何受关注国家的名称;
收到或形成的与该交易相关的所有文件的副本;
美国司法部要求提供的任何其他信息。
同理,一般仅需提供对被拒绝的数据经纪交易的概要性描述,而无需提供底层数据。[30]
NSD认为美国人在拒绝被禁止的数据经纪交易后主动报告的行为是否构成自愿自我披露(VSD)报告需结合具体事实情况进行判断。NSD会单独发布《14117最终规则》执行指南(DSP Enforcement Guidance)以提供关于VSD的额外信息。[31]
02
合规建议
1. 企业应建立动态审查机制,确认是否触发《14117最终规则》
企业应至少每年一次全面审查企业数据流向、供应链结构、交易主体信息等,识别涉及或可能涉及大量美国敏感个人数据或政府相关数据的数据经纪交易、雇佣协议、供应协议或投资协议。
鉴于受规制主体名单的动态更新,依赖人工筛查效率低且易出错。企业可考虑选用能够满足以下要求的自动筛查工具:可自动同步官方发布的最新受规制主体名单、可识别别名及不同拼写、可识别组织层级结构、可获取供应商的地理信息。此外,建议企业建立相关流程,对现有及新增供应商进行定期筛查或在开展相关交易前进行筛查。
2. 涉及开展被限制的交易的企业应建立并动态更新数据合规计划,该计划不应仅是应付检查的书面文件,而应是一套融入日常运营的主动风险管理机制
数据合规计划的书面政策须由负责合规的企业管理人员或员工每年确认,并确保其内容切实反映业务实际,能被员工理解和执行。企业可以通过明确的职责分工、培训和内部沟通,将政策要求转化为具体行动指南,并设计内部控制节点以便及时发现和上报违规风险。
3. 涉及开展被限制的交易的企业应严格执行年度审计,确保审计的独立性、专业性与文件材料的留存
涉及开展被限制的交易的企业现在即应开始选择和聘请具备专业资质、能满足独立性要求且不属于受关注国家或受规制主体的审计机构。鉴于《14117最终规则》未指定单一标准,企业应与审计机构明确其将采用的审计准则,并确保其审计方法与企业的规模和复杂度相匹配。
审计范围广泛,涉及交易记录、数据合规计划的实施、CISA安全要求的实施等,企业应建立专门的档案管理系统,在日常工作中注意留存所有相关文件、记录和决策过程证据。审计报告完成后,必须确保其至少保存10年。
4. 针对特定报告义务,企业应建立内部快速响应流程,确保报告的准确性与时效性
对于涉及云计算服务的被限制的交易,以及拒绝的被禁止的数据经纪交易,企业面临严格的报告时限和内容要求。
企业内部需清晰界定何种情况会触发报告义务,并指定专门团队(如法务、合规部)负责评估和准备报告内容。企业可以根据《14117最终规则》规定的内容要求,预先设计内部信息收集清单和报告草案模板。从而一旦触发报告条件,就可快速启动信息收集流程,确保在有限的时间内提交内容完整、格式规范的报告,避免因准备不足而延误或错漏。
结语
2025年10月6日起,《14117最终规则》将全面实施,包括尽职调查、年度审计及特定报告在内的合规义务将正式生效,企业将面临更加严格的合规义务。受《14117最终规则》规制的企业应将合规工作前移,即刻着手构建或完善其内部合规框架,将数据合规计划制定与实施、定期风险评估和审计以及合规报告融入企业日常运营管理,将监管压力内化为管理制度,避免触发合规风险。
向下滑动阅览
脚注:
[1] 《14117最终规则》§202.1001(a);被限制的交易包括在明知的情况下与受关注国家或受规制主体开展涉及供应协议、雇佣协议或投资协议的受规制数据交易,除非满足相关CISA安全要求,其定义详见《14117最终规则》§202.401(a)
[2] 《14117最终规则》§202.1001(b)
[3] Data Security Program: Compliance Guide: Section IV.B.1.i
[4] 《14117最终规则》§202.211
[5] Data Security Program: Compliance Guide: Section IV.B.1.ii
[6] Data Security Program: Compliance Guide: Section IV.B.1.ii
[7] Data Security Program: Compliance Guide: Section IV.B.1.ii
[8] Data Security Program: Compliance Guide: Section IV.B.1.iii
[9] Data Security Program: Compliance Guide: Section IV.B.2
[10] 《14117最终规则》§202.1002(a)(c)(d)
[11] 《14117最终规则》§202.1002(e)
[12] 《14117最终规则》§202.1002(b)
[13] https://www.gao.gov/yellowbook
[14] Data Security Program: Compliance Guide: Section IV.B.4
[15] 《14117最终规则》§202.1002(f)(2)
[16] 《14117最终规则》§202.1002(f)(1)
[17] Data Security Program: Compliance Guide: Section IV.B.4
[18] 《14117最终规则》§202.1002(f)(3)
[19] 《14117最终规则》§202.1102
[20] 《14117最终规则》§202.1103(a)
[21] 《14117最终规则》§202.1103(c)
[22] 《14117最终规则》§202.1103(b)
[23] 《14117最终规则》§202.1103(d)
[24] Data Security Program: Frequently Asked Questions 86
[25] Data Security Program: Compliance Guide: Section IV.E
[26] 《14117最终规则》,§202. 301
[27] 《14117最终规则》,§202.214
[28] 《14117最终规则》§202.1104(a)(b)
[29] 《14117最终规则》§202.1104(c)
[30] Data Security Program: Frequently Asked Questions 86
[31] Data Security Program: Compliance Guide: Section III.F.2
本文作者
业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
资深律师
公司业务部
司马丹旎
律师
公司业务部
封面图源:画作·林子豪
来源:新浪财经
