美国司法部发布合规指引,企业如何应对跨境数据监管?
- Fiona Xu
- 6天前
- 讀畢需時 4 分鐘
已更新:7小时前
2024年12月,美国司法部发布了有关于执行《防止受关注国家或相关人士获取美国敏感个人数据和政府相关数据》的最终规则,也称为14117最终规则,或数据安全计划 (Data Security Program,简称 DSP)。
该规则已于2025年4月8日正式生效,并将于2025年10月6日全面执行所有条款。届时,美国政府将基于国家安全事由,对涉及美国敏感数据的跨境交易进行分级监管,并赋予司法部执法权限。对于涉及人工智能、云服务、数据平台、跨境员工管理、海外投资等业务的企业来说,这项规则可能会产生实质性影响。建议企业尽快开展合规自查,完善制度安排,提前做好合规准备。
一. 适用范围
受关注国家&相关人士
目前列入“受关注国家”(Countries of Concern)名单的有中国、俄罗斯、伊朗、朝鲜、古巴及委内瑞拉马杜罗政权。与这些国家相关的政府部门、企业、个人,或受其控制的机构,均可能被认定为“相关人士”(Covered Persons)。
哪些是敏感数据?
14117最终规则主要监管以下两类数据:
美国敏感个人数据:包括受规制的个人识别符、精确地理位置数据、生物识别符、人类组学数据、个人健康、财产数据等
美国政府相关数据:包括政府相关地点数据,与政府的现任或前任雇员或承包商相关联或可产生关联的数据
哪些企业需重点关注?
如果你的企业属于以下情形之一,就有可能被纳入该规则的适用范围:
在美国设立或运营,或在业务中收集、使用、传输美国居民的相关数据;
与受关注国家的客户、供应商、投资方、员工或其他合作方发生数据往来;
提供云服务、数据平台、AI模型训练、医疗数据分析等服务。
二. 交易分级监管制度
14117最终规则将数据交易分为禁止类交易、限制类交易和豁免类交易三类,不同类型交易适用不同的合规义务:
禁止类交易:主要包括数据经纪交易、人类基因组学数据或生物样本交易,或协助、规避、促成违规行为等。
限制类交易:主要指与受关注国家或相关人士之间的供应协议、雇佣协议或投资协议所涉及的数据交易,开展该类型交易的前提是企业必须履行一系列合规义务,如制定数据合规计划、开展尽职调查、定期审计和报告。
豁免类交易:如法律强制披露、政府间合作、部分科研或新闻活动,可豁免适用相关规定。
三. 合规时间线
2025年4月8日
14117最终规则正式生效,企业应开始梳理其业务、合同和合作方背景,识别可能受限的数据交易。从2025年4月8日到10月6日之间是企业启动内部排查、制定合规方案的关键阶段。
2025年7月8日
2025年4月8日至7月8日之间,只要相关人士尽善意遵守相关规定,则不会被优先采取相关民事执法行动。对于恶意或故意的违反行为,司法部仍会追责。
2025年10月6日
全面执行所有条款,企业必须完成:
对限制类交易的尽职调查与内部审计
向司法部提交的交易报告与被拒交易申报
员工培训、记录留存、政策认证等全流程合规义务
相关指导文件
为帮助企业理解和落实规则要求,美国司法部国家安全司(NSD)于2025年4月11日发布了三份配套指导文件:
数据安全计划:至2025年7月8日的实施与执行政策(Data Security Program: Implementation and Enforcement Policy through July 8, 2025)
数据安全计划:合规指南(Data Security Program: Compliance Guide)
数据安全计划:常见问题解答(Data Security Program: Frequently Asked Questions)
这三份文件是企业开展合规准备的重要参考材料,建议企业尽快熟悉其中内容,落实到日常业务中。
四. 企业需要做什么准备?
随着14117最终规则正式生效,企业需要尽早采取行动,逐步建立符合14117最终规则的合规机制,一些合规要点如下:
制定数据合规计划:数据合规计划中应采取基于风险的流程设计,以验证相关数据流,包括核验和记录相关数据的类别和数量、交易方身份、数据最终用途和数据传输方法等,并且指定高管每年加以认证,监督其实施;
落实安全措施:开展限制类交易应当符合美国国土安全部网络安全与基础设施安全(CISA)公布的有关限制类交易安全措施的要求,建立访问控制、加密存储、防护机制等;
员工培训:相关员工每年应至少接受一次培训,高风险岗位需定制强化培训;若发现违规操作或流程漏洞,企业应立即采取补救措施并调整培训计划;
开展独立审计:每年一次,审计报告需在60天内提交给公司高管,并保存至少10年备查;
报告与记录留存:保存所有DSP所规制交易完整、准确的记录,所有记录必须以可审计的方式创建和维护,并至少保存10年备查。
我们建议客户对于可能受监管的业务进行全面自查,并尽早着手准备制定并实施符合自身实际情况的数据合规计划。如果您对14117最终规则的适用有任何疑问或需要我们的帮助,请通过以下邮箱联系我们:contact@consultils.com。
免责声明:本网站所提供的内容仅供一般信息参考,不构成也无意构成法律意见。请勿依据本网站的信息作出任何行为决定或停止任何行动。如需针对具体情况和法律问题的建议,请咨询专业法律顾问。
徐黎律师是ILS的合伙人及交易团队负责人。
徐律师致力于为全球范围内迅速发展的科技公司量身打造合规策略与业务支持方案。她的专业领域聚焦于跨行业的监管合规,尤其擅长应对人工智能(AI)及医疗设备行业特有的复杂法规环境。徐黎律师擅长辅助跨国企业成功在美国市场扎根并持续发展,有效管理包括隐私保护、进出口管制及外国投资委员会(CFIUS)审查在内的多重法律难题。
Email: contact@consultils.com | Phone: 626-344-8949
Comments