前言

2025年4月8日,美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(“《14117行政令》”)之最终规则《防止受关注国家或受规制主体获取美国敏感个人数据和政府相关数据》(“《14117最终规则》”,又称数据安全计划(Data Security Program),“DSP”)正式生效,旨在防止中国等“外国对手”获取美国人敏感个人数据和美国政府相关数据。

2025年4月11日,美国司法部国家安全司(National Security Division,“NSD”)发布了以下三份文件进一步推进《14117最终规则》的落地与实施:

1)《数据安全计划:至2025年7月8日的实施与执法政策》(Data Security Program: Implementation and Enforcement Policy through July 8, 2025,“《实施与执法政策》”),该文件介绍了《14117最终规则》生效后前90日内的实施和执法政策;

2)《数据安全计划:合规指南》(Data Security Program: Compliance Guide,“《合规指南》”),该文件就一些关键定义、被禁止和限制交易以及建立数据合规计划的要求提供了指导,提供了示范合同条款,并就遵守DSP的审计和记录保存要求提出了最佳实践建议,旨在帮助公众理解和遵守《14117最终规则》;以及

3)《数据安全计划:常见问题解答》(Data Security Program: Frequently Asked Questions,“《常见问题解答》”或“FAQs”),以问答形式对《14117行政令》和《14117最终规则》相关内容进行了澄清,并解答了108个常见问题。该FAQs后续会由NSD视情况进一步更新和补充。[1]

本文将梳理NSD发布的上述三份文件的重点内容,并相应进行解读,帮助读者更好地理解和实施《14117最终规则》。关于对《14117最终规则》的解析,可参见《美国“数据脱钩”新规——中国企业应对14117最终规则之十问十答》一文。

01 《实施与执法政策》要点

《14117最终规则》于2025年4月8日起生效,其中部分尽职调查、审计、报告义务将于2025年10月6日起实施。

考虑到相关实体或个人采取必要措施遵守DSP可能需要一定时间,《实施与执法法政策》提出了自《14117最终规则》生效起90天的过渡期(即2025年4月8日至2025年7月8日,“过渡期”)。

在过渡期内,只要美国人(包括个人和实体,定义详见《14117最终规则》,下同)“秉持善意努力遵守DSP”,NSD将不会优先对违反DSP的行为采取民事执法行动。

“秉持善意努力遵守DSP”的行动包括但不限于以下行为:

自查是否有权限访问《14117最终规则》所述的敏感个人数据,以及涉及访问该等敏感个人数据的交易是否构成数据经纪交易;

自查内部数据集或数据类型是否可能受DSP影响;

与供应商重新谈判供应协议或与新供应商谈判供应协议;

更换新供应商;

对新的潜在供应商开展尽职调查;

与作为数据经纪交易对手方的外国人(包括个人和实体,定义详见《14117最终规则》,下同)谈判数据再传输条款;

调整员工的工作地点、角色或职责;

评估来自受关注国家或受规制主体的投资;

与受关注国家或受规制主体重新谈判投资协议;

实施CISA安全要求。

若美国人在过渡期内未能“秉持善意努力遵守DSP”,NSD仍有权进行民事执法。此外,过渡期内,NSD将对违反DSP的刑事犯罪执法。

NSD鼓励公众在过渡期内通过nsd.firs.datasecurity@usdoj.gov提出非正式咨询,但不鼓励公众在过渡期内提出特别许可申请或正式咨询申请。NSD在过渡期内原则上不会处理任何特别许可申请或正式咨询申请,除非有危及公共安全或国家安全等紧急情况。

过渡期结束后,相关个人和实体应完全遵守DSP的规定,届时NSD将对任何违反DSP规定的行为采取适当的执法行动。

02 《合规指南》要点

《合规指南》对DSP的关键概念和合规要求进行了概括和分析,旨在为寻求遵守DSP的主体提供指导。

《合规指南》的亮点是提供了如何遵守DSP中合规要求的具体指导,包括但不限于:

就被禁止的交易,提供了与外国人开展数据经纪交易的合同条款示例,包括限制外国人再传输相关数据的条款示例和要求外国人定期证明其遵守合同约定的条款示例;

就被限制的交易,具体说明如何制定和实施数据合规计划,包括该计划应包含的要素(就尽调而言,包括基于风险的流程、供应商管理和验证、书面数据合规计划政策、书面安全要求政策),以及每个要素的具体流程或内容建议;

就被限制的交易,向员工提供至少每年一次的有关数据安全计划和CISA安全要求的培训,并就如何提供有效培训提供了具体建议;

就被限制的交易,明确DSP不要求遵守特定的审计规则,并就如何开展全面、独立和客观的审计提供了具体的建议,包括对审计人员、审计内容的具体要求;

针对被禁止的交易和被限制的交易的记录和报告要求提供了具体的建议。

就被限制的交易,美国主体的高级管理人员应努力在整个组织内推广问责文化,并要求员工有效应对违反DSP的行为。负责合规的高级管理人员、主管或其他员工应签署年度证明,证明内容之一包括合规人员是否在过去12个月内与首席执行官举行过一次或多次会议,讨论遵守DSP的情况。需要注意的是,《合规指南》指出,《合规指南》仅供参考,符合《合规指南》并不意味着符合DSP,相关主体仍需结合实际情况遵守DSP。

03 《常见问题解答》要点

《常见问题解答》共45页,包含108个问答,多数为归纳总结《14117最终规则》讨论和解释部分以及法规原文和示例部分已有的内容,也有一些新的澄清和说明,其要点梳理如下:

1. DSP监管概览

(1)非美国人可能受DSP的约束

DSP一般以美国人为抓手实施禁令或限制,但非美国人在特定情形下也可能受到DSP的约束,例如DSP禁止任何规避、企图违反、导致违反或共谋违反《14117最终规则》的交易,这一要求适用于所有人,包括非美国人。[2]

(2)DSP不管辖数据自受关注国家或受规制主体流向美国人

若受关注国家或受规制主体将政府相关数据或大量美国敏感个人数据提供给美国人,这一数据流向并未带来美国国家安全风险,因此不受DSP管辖。[3]DSP监管的数据流向是自美国人向受关注国家或受规制主体传输、允许访问、许可政府相关数据或大量美国敏感个人数据。

(3)DSP与CFIUS、ICTS和经济制裁与出口管制措施的关系

NSD解释了DSP与美国现有交易审查制度、经济制裁与出口管制措施之间的关系。

1)DSP与CFIUS的关系

某些情形下,美国外国投资委员会(CFIUS)的要求可以取代DSP。CFIUS可能基于国家安全因素对某项投资交易提起审查。若CFIUS要求被审查对象签署缓解协议(mitigation agreement),其中该缓解协议包含降低数据安全风险的措施,并且CFIUS明确指定该措施属于“CFIUS行动”(CFIUS action),则DSP的要求将不再适用,以避免重复的合规要求。这种情况下,美国人遵守缓解协议项下的义务即可,无需满足DSP的要求。[4]

2)DSP与ICTS的关系

美国商务部信息和通信技术服务办公室(ICTS)有权审查存在美国国家安全风险的信息和通信技术或服务领域的交易,并有权对此类交易采取行动。此类交易可能同样属于DSP管辖的交易,此时DSP要求仅为最低限度的要求,ICTS可以提出比DSP更严格的要求。[5]

3)DSP与经济制裁和出口管制措施的关系

美国的经济制裁和出口管制通常规制的是向“外国对手”及某些其他国家转移资金、提供物质支持、转移敏感美国物项和技术,但不涉及规制DSP中定义的敏感个人数据的流动,以及此类数据流动带来的反间谍和相关风险。

此外,DSP仅禁止或限制与受关注国家或受规制主体进行特定类别的交易,而经济制裁和出口管制措施禁止与特别指定国民和封锁人员清单(SDN名单)上的人员进行任何交易和往来,除非获得豁免或授权。[6]

(4)DSP与PADFAA的差异

美国2024年出台了《防止外国对手获取美国人数据法案》(Protecting Americans’ Data from Foreign Adversaries Act of 2024,“PADFAA”),该法案于2024年6月生效。NSD详细介绍了DSP与PADFAA的区别,具体包括:

1)PADFAA由美国联邦贸易委员会(FTC)通过个案进行事后执法,而DSP建立了一套全面、透明、可预测和具有前瞻性的规则。

2)DSP与PADFAA所管辖的数据类型不同,后者更为广泛,包括照片、视频、音频记录、未成年人信息、私人通信等。

3)PADFAA仅管辖第三方数据经纪人的数据经纪行为,而DSP适用于美国人开展的所有受规制的交易,其中包括各种形式的数据经纪交易(直接数据经纪交易和通过第三方开展数据经纪交易)。

4)PADFAA认定的受关注国家包括中国、伊朗、朝鲜和俄罗斯,DSP在此基础上增加了委内瑞拉和古巴。

5)PADFAA并未解决第三方转售或再出口以及通过中间人向受关注国家间接销售数据的问题。

6)PADFAA的禁令不适用于基于个人同意或指示转移数据的情形,而DSP不存在这种基于个人同意的豁免。

7)DSP提供了请求咨询意见与申请一般许可和特别许可的救济途径,但PADFAA并未为受影响主体提供寻求咨询或救济的途径。[7]

2. DSP关键概念

(1)大量美国敏感个人数据包括匿名化等处理后的数据

NSD重申,大量美国人敏感个人数据即使经过匿名化、假名化、去标识化或加密处理,仍然属于大量美国人敏感个人数据,因为该等经处理的数据仍然可能涉及美国国家安全风险。[8]

(2)判断受规制主体的“50%规则”仅适用于通过股权持有的情形

NSD强调,判断主体是否属于受规制主体时,不需要考虑该主体被受关注国家或其他受规制主体通过控制力、影响力等非股权方式持有的情形,“50%规则”仅适用于通过股权持有的情形。若一主体被受关注国家或受规制主体通过非股权方式控制,司法部会考虑是否指定其构成受规制主体,并加入受规制主体清单。针对该等股权持有以外的控制情形,美国主体可以依赖受规制主体清单。[9]

(3)“50%规则”下间接持有的理解和适用

根据定义,一个或多个受关注国家或受规制主体直接或间接、单独或合计持有某主体50%及以上股权时,该主体属于受规制主体。NSD举例解释了何为“间接持有”。

不同于传统的穿透持股计算方法,根据《14117最终规则》,在判断一主体是否属于受规制主体时,母公司对子公司所持有的股权投资比例不是各层级持股比例连续相乘,而是以“全有或全无”方式统计持股比例。

例如,受规制主体X公司分别持有A公司50%股权和B公司25%股权,A和B又分别持有C公司25%股权。由于X持有A的50%股权,A是受规制主体,X被认为通过A间接持有A所持有的全部C公司股权,即认为X间接持有C公司25%股权。而由于X仅持有B公司25%股权,未达到50%标准,认为X并未通过B间接持有C公司的任何比例股权。[10]在该情形下,C公司不属于受规制主体。

(4)受规制主体的签署行为也构成受规制的数据交易

NSD指出,受规制主体的签署行为也构成受规制的数据交易。因此,如果某人属于受规制主体,即使其代表一个不是受规制主体的公司与美国人签署文件,这种签署行为也受到DSP约束。不过,如果不存在规避行为,与外国人签订供应协议和其他类别数据交易的美国人一般不需要对这些外国人士的雇佣行为进行“第二级”尽职调查,以确定其雇员是否是受规制主体。详见《14117最终规则》第202.401条示例3和第202.305条示例8。[11]

(5)过去12个月达到“大量”标准的起算日为DSP生效日

根据“大量”的定义,在过去12个月内任意时点,若敏感个人数据达到或超过相应阈值数量,则达到“大量”标准。NSD明确,过去12个月的起算日为自2025年4月8日起的时点,因为DSP管辖的是自2025年4月8日起开始、待定或完成的受规制的数据交易。[12]

3. 受规制主体清单

NSD明确,其将在NSD官网公布《受规制主体清单》(Covered Persons List),[13]该清单将包含两部分,一是穷尽列举被美国司法部部长指定的受规制主体(《14117最终规则》第202.211(a)(5)条),二是非穷尽且有选择地列举符合《14117最终规则》第202.211(a)(1)-(4)条定义的受规制主体,其中由于后者是非穷尽列举,即使未被《受规制主体清单》列举,美国人仍需要在开展交易前自行开展尽职调查并判断交易对手方是否属于符合第202.211(a)(1)-(4)条定义的受规制主体。[14]公众可以指定邮件订阅《受规制主体清单》的更新通知。[15]

若某主体认为其不应被美国司法部部长指定为受规制主体,可通过行政复议申请移出《受规制主体清单》。[16]但该等符合《14117最终规则》第202.211(a)(1)-(4)条定义的受规制主体,只要符合相关定义就自动落入受规制主体的范畴,因此不得申请移出《受规制主体清单》。[17]

NSD还强调,被美国司法部部长指定的受规制主体即便来到美国,依旧属于受规制主体;[18]而符合《14117最终规则》第202.211(a)(1)-(4)条定义的受规制主体来到美国后即属于美国人。需注意的是,相关主体不得通过安排受规制主体来美国接收数据的方式故意规避DSP的规定。[19]

4. 被限制的交易

DSP规定被禁止的交易和被限制的交易的目的都是为了避免受关注国家或受规制主体访问受规制数据。区别是,对于被限制的交易,若美国人遵守CISA安全要求,则可以开展该交易。NSD解释,CISA安全要求是一系列安全措施,旨在降低受关注国家或受规制主体访问受规制数据带来的国家安全风险。根据CISA安全要求,美国人应当对数据进行处理,以防止受关注国家或受规制主体访问可链接、可识别、未加密或可解密的受规制数据。[20]

简言之,遵守CISA安全要求并不意味着切断受关注国家或受规制主体访问受规制数据的可能性,而是要求美国人采取汇总、假名化、去标识化、匿名化、加密和/或隐私增强等技术措施确保受关注国家和受规制主体访问的数据是经过“处理”的,从而实现受关注国家或受规制主体无法访问可链接、可识别、未加密或可解密的受规制数据的效果。

如果为了实现某交易需允许受关注国家或受规制主体访问可链接、可识别、未加密或可解密的受规制数据,则意味着美国人无法采取CISA安全要求,否则将无法完成该交易。这种情况下,除非美国人获得一般许可或特别许可,否则不得开展该交易。[21]

5. 被豁免的交易

(1)除少数例外,被豁免的交易一般无需遵守合规义务

《14117最终规则》列出的十一类被豁免的交易各自有豁免适用DSP的范围。其中,个人通信、信息或信息材料、旅行类的被豁免交易不适用DSP;其余类型的被豁免的交易无需遵守大部分尽职调查、审计、报告和记录留存义务,但仍需应要求向美国司法部报告(《14117最终规则》第202.1102条)。

此外,针对涉及为了获得或维持在受关注国家批准药品、生物制品、医疗设备或前述产品组合所必需的监管审批数据的豁免交易(《14117最终规则》第202.510(a)(2)条),其豁免条件还包括,美国人应当遵守《14117最终规则》第1101(a)条规定的记录留存义务,并需应要求向美国司法部报告。[22]

(2)不是所有的金融机构开展的交易都被豁免

NSD指出,金融机构并非绝对豁免遵守DSP。只有通常与提供金融服务相关且属于其一部分的数据交易,包括《14117最终规则》第202.505(a)(1)-(6)条中描述的情形,才可豁免遵守DSP的多数合规义务。

例如,如果一份雇佣协议或供应协议使受规制主体能够访问大量美国人的敏感个人数据,这种雇佣活动对于在美国运营的金融机构而言并非通常与提供金融服务相关且属于其一部分,因此不属于被豁免的交易。此外,若金融机构出于遵守联邦法律要求(例如《银行保密法》)开展受规制的数据交易,这些交易可能根据《14117最终规则》第202.507条获得豁免(该条豁免美国联邦法律或美国参与缔约的国际协议所要求或授权的交易)。[23]

(3)附属于行政或辅助性业务的集团间交易才被豁免

只有通常附带于行政事务或辅助性业务的集团间交易,包括人力资源管理、工资支付、税费缴纳、取得营业执照、出于合规目的向审计师或律所共享数据、风险管理等,才可被豁免。NSD强调,集团间的研发活动不可被豁免,因为研发活动并不通常附带于行政事务或辅助性业务。[24]

6. 合规义务

(1)在确保独立性前提下,公司可以内审

DSP要求,美国人应当选择独立的审计机构对被限制的交易进行年度审计。NSD明确,在确保独立性的前提下,美国公司可以选择内部审计部门进行内审。[25]

NSD提供了一些判断“独立性”的考虑因素,包括美国公司的内部结构,内部审计师对高管和美国公司董事会的责任,以及内部审计师所接受的培训和拥有的专业知识。[26]

(2)并无标准化的合规计划,美国人应根据自身情况设计个性化的合规计划

NSD指出,没有标准化且普遍适用于所有美国人的合规计划,美国人应根据自身的风险因素设计个性化的合规计划。同理,美国人也应根据自身规模和复杂程度、产品和服务、客户和交易对手方、地理位置、所涉数据情况等风险因素和已有的内部制度设计尽职调查程序。此外,筛查供应商、雇佣、投资者等交易对手方是否落入《受规制主体清单》的频率应以公司内部政策和程序为指导,并以公司自身风险状况为基础。[27]

7. 许可

尽管DSP提供了申请特别许可这一救济路径,但NSD强调,DSP本就是为了防范美国国家安全风险,因此NSD采取“推定拒绝”(presumption of denial)准则,原则上不发放特别许可,除非申请人能说服司法部认为发放特别许可具有令人信服的必要性,例如出于维护公共安全或国家安全的紧急情况。

如果美国司法部拒绝发放特别许可,目前没有正式的上诉程序,但不排除NSD将根据合理原因重新考虑其决定,例如,申请人可以证明情况发生变更或提交之前未向NSD提供的相关额外信息。[28]

NSD将和美国国务院、商务部、国土安全部等相关机构共同讨论一般许可和特别许可的发放、修改或撤回事宜。[29]

8. 咨询意见

可能受DSP管辖的交易中的美国人或其授权代表可向美国司法部请求咨询意见,而作为交易相对方的外国人(无论是否是受规制主体)不可提起申请,也不可代表美国人申请。[30]美国司法部有权自行决定是否公布咨询意见以及该咨询意见相关交易的具体情况,亦有权随时决定修改或撤回咨询意见。[31]NSD强调,美国司法部做出的咨询意见仅适用于该申请人咨询的具体交易,其他人可以参考公开的咨询意见,但应注意评估自身交易与咨询意见所述交易的事实和场景是否实质相似,以及相关咨询意见是否未被取代。[32]如果不确定咨询意见所述情形是否适用,NSD建议相关主体自行提出咨询意见请求。

9. 执法

(1)违规者若自我披露违规行为,NSD可能减轻处罚

有公众咨询美国司法部,若一主体遵守《14117最终规则》,主动向美国司法部披露可能的违规行为(voluntary self-disclosure),是否能获得“安全港”待遇。美国司法部回复称,未来会考虑如何评估自我披露的作用。[33]

NSD在《常见问题解答》中进一步明确,违规者的自我披露行为可能是减轻民事处罚的考量因素。NSD提出,有意自我披露者可以向nsd.firs.datasecurity@usdoj.gov发送邮件,并同时或在第一封邮件发出后180天内附上详细报告,以供NSD了解违规行为的具体情况。[34]NSD还表示,未来可能会发布关于自我披露的单独指南。[35]

(2)不再被指定为受规制主体后,之前的执法调查和行动仍可能继续

NSD指出,美国司法部部长如果撤销指定某主体为受规制主体的决定,该撤销决定并不溯及既往地适用于撤销决定之前的执法调查和行动,NSD依旧有权决定继续调查和行动,因为NSD做出执法决定时适用的是违规行为发生时的情况(当时该主体仍为受规制主体)。[36]

(3)若行为人不是故意违反DSP,NSD将视情况判断是否执法

NSD明确DSP不适用严格责任,而是采取了“知情”标准。[37]DSP禁止或限制美国人在“明知”的情况下开展受规制的数据交易。因此,若行为人无意间违反了DSP,NSD将根据具体情况判断是否执法。

所谓“明知”是指行为人知道或合理情况下应当知道。为了判断是否属于合理情况下应当知道,NSD将考虑相关事实和情况,包括所涉及个人或实体的复杂程度,所涉及数据的规模和敏感性,以及交易各方在多大程度上似乎知悉并试图规避DSP的适用等。NSD将审查任何与明显违规行为有关的全部情况,包括是否涉及自我披露等。[38]

04 建议

美国拟通过《14117行政令》以及《14117最终规则》在数据领域与中国“脱钩”,这对中美两国的跨国企业,特别是对涉及美国业务的中资企业将产生广泛和重大的影响。随着《14117最终规则》于2025年4月8日生效,这种影响已开始显现。

美国司法部发布前述三份文件,表明美国政府正在有序推进《14117最终规则》的落地和实施。虽然此次发布的三份文件的内容并未超出《14117最终规则》原有的规定,但细化了实施政策,并额外提供了90天过渡期供相关个人和企业采取合规措施。

我们建议可能受《14117最终规则》约束的企业和个人,特别是管理总部在中国的跨国企业,应充分利用该90天的过渡期,尽快开展以下工作:

a)排查和梳理自身业务活动,尤其核查是否从美国直接或间接获取或访问美国人的敏感个人数据或美国政府相关数据;

b)如果涉及从美国直接或间接获取或访问美国人的敏感个人数据或美国政府相关数据,应进一步分析是否构成被禁止的交易或被限制的交易,以及是否存在豁免的情形;

c)如果触发《14117最终规则》,考虑如何调整业务模式(包括服务器安排),是否对员工工作地点、角色或职责进行调整;

d)如果涉及开展被禁止的交易或被限制的交易,应尽快采取配套合规措施,包括完善公司内部制度,配备相关合规人员,遵守CISA安全要求等。

脚注:

[1] https://www.justice.gov/opa/pr/justice-department-implements-critical-national-security-program-protect-americans-sensitive.

[2] FAQs 2。

[3] FAQs 6.

[4] FAQs 8.

[5] FAQs 9.

[6] FAQs 10.

[7] FAQs12.

[8] FAQs 22.

[9] FAQs 50, 59.

[10] FAQs 60.

[11] FAQs 58.

[12] FAQs 38.

[13] FAQs 42.

[14] FAQs 43.

[15] FAQs 56.

[16] FAQs 47.

[17] FAQs 55.

[18] FAQs 52.

[19] FAQs 53.

[20] FAQs 66, 68.

[21] FAQs 69.

[22] FAQs 70.

[23] FAQs 75.

[24] FAQs 76.

[25] FAQs 85.

[26] FAQs 93.

[27] FAQs 89,90,91.

[28] FAQs 94.

[29] FAQs 95.

[30] FAQs 100.

[31] FAQs 98,99.

[32] FAQs 98.

[33] Final rule, p257.

[34] FAQs 105.

[35] 《合规指南》第7页.

[36] FAQs 105.

[37] FAQs 103.

[38] FAQs 107.

本文作者

赵新华

合伙人

公司业务部

atticus.zhao@cn.kwm.com

业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护

赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。

单文钰

主办律师

公司业务部

米华林

律师

公司业务部

转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。

封面图源:画作·林子豪

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。