4月8日,美国防止中国获取美国人批量敏感个人数据和政府相关数据的联邦法规正式生效(一些尽职调查、审计、报告义务2025年10月6日起生效)。为进一步澄清相关问题,便利美国个人和企业合规,司法部国家安全司4月11日发布了“法规常见问答”、“前90天实施政策”、“合规指引”三个文件。
关于这部法规我一直有个疑问:它到底管不管美国企业和中企美国子公司之间的交易?换言之,该法规只针对美国数据向中国的“跨境流动”或中国对美国数据的“跨境访问”,还是也规范美国数据的“境内转移”?在去年12月“数据脱钩”落地:美国发布禁止敏感个人数据向中国跨境传输的最终规则”一文中,我曾提出该问题:
特别值得警惕的是,该规则的影响可能超出数据跨境流动,波及中国企业的美国子公司在美国开展的交易。美国司法部一方面明确该规则不监管“美国人”之间在美国境内进行的“纯国内交易”(如“美国人”对数据的收集、维护、处理或使用),但又加了个限定:该“美国人”没有被明确且公开指定为“受辖主体”(对受辖主体,司法部禁止或限制美国公司与之进行涉美国人批量敏感数据和政府相关数据的交易)。
美国司法部至少理论上有可能把一些中国公司的美国子公司列入“受辖主体”清单,限制甚至禁止其在美国从事数据收集和处理活动。通过埋进去这一条,美国司法部给自己制造了一个未来可以制裁中国在美公司的工具,且裁量权很大。
在认真研读了国安司发布的“常见问答”后,我的结论是:该法规对上述情况不仅要管,而且可能还是一个管控的重点。
该法规的核心思路是监管“美国人”和“受辖主体”开展涉及“批量美国敏感个人数据或美国政府相关数据”的禁止性或限制性交易(数据经纪、供应商协议、雇佣协议、投资协议等),义务施加在“美国人”头上。在多个复杂的概念中,搞清楚哪些是“受辖主体”是合规关键点,在这个基础上再去看数据和交易的类型。
为了帮助美国公司判断哪些是“受辖主体”,国安司将在官网“数据安全计划”页面发布一份“受辖主体”清单(Covered Persons List),并会在《联邦公报》上公布。清单会定期更新,包括两部分:
1、国安司根据第202.211(a)(5)条指定的“受辖主体”清单(指定清单)。
202.211(a)(5)条:
由司法部长认定的任何主体,无论其位于何处:
(1)由、曾由或可能由关注国家或受辖主体拥有或控制,或受其管辖或指示;
(2)为、曾为或意图为关注国家或受辖主体行事,或代表关注国家或受辖主体行事;
(3)故意引发或指示违反本规则的行为,或可能故意引发或指示违反本规则的行为。
这个清单是详尽的,里面所有列名主体均是国安司明确指定,类似财政部的SDN清单和商务部实体清单。美国公司和这些主体做生意,确定受到本法规的限制,无需自行尽调。
2、属于第202.211(a)(1)至(4)条定义所述类别“受辖主体”的清单(定义清单)。
第202.211(a)(1)至(4)条:
(1)由关注国家直接或间接、单独或合计拥有50%或以上股权的实体,以及在关注国家注册或其主要业务地在关注国家的实体(A);
(2)由A、C或E涵盖主体直接或间接、单独或合计拥有50%或以上股权的实体(B);
(3)作为关注国家、A、B或E涵盖主体的员工或合同工的外国主体(C);
(4)主要居住在关注国家领土管辖范围内的外国主体(D);
这个清单是开放式的,在上面的公司不是因为司法部指定了他们是“受辖主体”,而纯粹是因为符合第202.211(a)(1)-(4)条定义的标准而自动成为这类主体。因为符合该标准的主体太多,很难想象凭国安司那11个人能穷尽地识别出来。即便美国公司和中国公司交易时,即便对方不在”受辖主体“清单上,美国公司也要自己根据第202.211(a)(1)至(4)条的标准尽职调查,判断对方是否属于“受辖主体”,并在此基础上做好合规。
根据“常见问答”51,如果母公司总部位于中国等“关注国家”,该母公司的美国分支机构应当视为母公司的一部分,不视为独立实体,也不因设在美国而被认定为“美国人”。这相当于为本法规定义的“美国人”设了一个例外,由于中企的美国子公司是在美国境内根据美国法律注册成立,本应属于“美国人”,但这里司法部明确说不是。
“常见问答”5表示:数据安全计划不涉及美国主体之间纯粹的国内数据交易,例如美国主体在美国境内的数据收集、维护、处理或使用(这符合预期,因为IEEPA理论上只监管美国人和外国人的跨境商贸活动),但该最后又加了这么一句:“除非这些美国主体被指定为受辖主体”。
也就是说,中国公司的美国子公司是可能被司法部指定为“受辖主体”的。假设中国公司甲根据美国法律、在美国境内设立主体乙,运营一个网站或App,并存在收集、存储、使用美国用户个人数据的情况,该美国公司乙也会成为“受辖主体”,被禁止或限制跟美国公司从事相关涉及数据的交易。考虑到受辖数据类型的模糊和宽泛,这很有可能。同理,一家中国云服务商的美国子公司为美国客户存储受辖数据或提供技术支持,也能落入这一情形。
如果中国母公司对美国子公司控股≥ 50%,则会自动落入“受辖主体”范围,不管在不在“受辖主体”清单上,都受本法规的限制。如果中国母公司只持有美国子公司少数股权(<50%),但存在实质控制(如通过协议安排、董事会控制权、或其他方式实质控制子公司的决策),司法部可以把该子公司指定为“受辖主体”,列上“指定清单”。< p="">
根据“常见问答”,对“受辖主体”只有黑名单,没有白名单,他们可以申请行政复议,寻求从“受辖主体”清单上除名,国安司后续将发布更多关于申请除名程序的信息。
如果中企的美国子公司大量被列入“受辖主体”清单,将显著影响其在美国当地涉及批量美国人敏感数据和政府相关数据的的交易。
首先,以下交易绝对禁止:
1、所有数据经纪交易:如美国子公司将自行收集的美国用户数据(如位置、消费行为、浏览记录等)打包成数据集,出售或提供给美国其他企业(如营销平台、风控公司、保险公司、广告商)。
2、能让该美国子公司或中国获取大量美国人类组学数据,或可从中得出大量人类‘组学’数据的人类生物样本的交易;
3、涉及上述禁止交易的“规避”“共谋”“指示”行为。
其次,涉及供应商协议、雇佣协议或投资协议的数据交易不绝对禁止,但需要遵守国土安全部网络安全和基础设施安全局(CISA)的安全要求(已经发布)及其他相关要求。
例如,美企将用户数据处理或云基础设施维护外包给中企的美国子公司;委托中企美国子公司开发系统、平台或嵌入SDK,雇佣中企美国子公司的工程师、数据分析师,以及中企的美国子公司投资美国初创公司并获得董事会席位、数据接口权限等,只要存在美国人批量敏感数据或政府相关数据因此被中企美国子公司访问的风险,都属于受限制的交易。
这种情况下,满足CISA的安全要求就会成为关键的合规路径,有点类似CFIUS国家安全协议的缓解措施。CISA最终发布的安全要求分为两大块:
第一部分是“组织和系统层面”的要求,主要是让企业建立好基本的安全管理机制,比如清点资产、控制谁能访问系统、修补漏洞、记录日志等。这部分只适用于那些涉及“受限交易”和“敏感数据”的特定系统,标准参考了一些已有的网络安全框架(如NIST和CISA出的指导)。
第二部分是“数据层面”的要求,核心目的是防止中国等关注国家或企业能接触到未经处理的美国人敏感数据。它给出了几种技术方案,比如脱敏、加密、限制访问等,还特别强调:哪怕你用了安全措施,只要对方能“看见”数据,那也算是“访问”,不能忽视。企业要根据数据敏感程度和交易类型,灵活组合使用这些手段,做到真正“有效阻止访问”。
尽管有了“常见问答”等指南,关于该法规的一些重要问题还是没有答案,比如怎么判断哪些属于豁免监管的“美国子公司和中国母公司之间的”行政性或辅助性业务活动“。但总的来说,法规的思路没有变化,逻辑是国家安全而非个人信息保护,这体现在很多方面,例如对“批量美国敏感个人数据”的定义没有排除已经匿名化、去标识化、假名化的数据或聚合数据,明确拒绝个人“知情-同意”作为豁免监管的情况等。换言之,这是一部“涉及数据的国家安全法”,而不是一部个人数据保护法,以数据合规的思路去理解和遵守这部法律,可能会犯错。
司法部将在法规正式生效后的前90天(2025年4月8日至7月8日)采取宽限执法政策:只要企业或个人在此期间真诚努力合规,一般不启动处罚,而是鼓励大家抓紧时间完善内部制度、调整供应链、审查数据流向,并与美国政府沟通。但这一政策不适用于故意或严重违规者,对于缺乏合规诚意的行为,司法部仍保留执法权。此外,如果当事人主动配合调查,也可能在后续执法中获得积极考量。
尽管如此,法规已经开始对中美商贸活动及科研合作产生直接影响。
涉及人类基因组数据等敏感生物数据的禁止类交易最先被切断。4月5日,美国国家癌症研究所(NCI)的 SEER(癌症监测、流行病学和最终结果)数据库据禁止中国科研人员访问。4月4日,美国国立卫生研究院(NIH)禁止中国机构访问其“受控访问数据存储库”(由NIH支持的、用于存储和共享人类基因组等敏感研究数据的存储平台)。
4月8日(法规生效当天),微软在中国的外包商微创软件终止了其微软项目组,上海、无锡等地约2000名工程师被裁。外界普遍分析这是因该法规禁止微软再允许中国境内外包团队访问涉及美国用户的敏感数据,售后技术支持等需处理用户账户、设备信息等数据的工作在中国进行也已不再合规,只能结束与中国外包公司的合作。
随着法规的逐步全面落地,相关影响还会继续显现。
文章仅做学术探讨和研究交流使用,相关判断不代表任何公司或机构立场,也不构成任何商业建议。
声明:本文来自东不压桥研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
