美国司法部限制敏感个人数据跨境传输

2025年4月8日，美国商务部正式实施”防止受关注国家获取美国人大规模敏感个人数据及与美国政府相关数据的最终规则“，这一最终规则源于拜登总统于2024年2月签署的第14117号行政命令，标志着美国对跨境数据流动的监管进入实质性实施阶段。

该规则对处理美国公民敏感个人数据的企业，尤其是总部设在或有员工位于“受关注国家”的跨国公司，提出了更高合规要求。

什么是“受关注国家”？

受关注国家包括：中国（含香港、澳门）、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉

什么是“敏感个人数据”？

以下类别的数据被列为重点监管对象：

• 个人标识信息：包括护照号码、社会安全号（SSN）、银行账户信息、IP地址、广告追踪ID、登录凭证等。

• 精确定位数据：可精确至个人或设备1000米范围内的历史或实时位置信息。

• 生物识别信息：如面部识别、指纹、虹膜扫描、声纹、步态识别、打字习惯等。

• 基因及“组学”数据：包括基因组、转录组、蛋白质组等反映个体遗传信息的数据。

• 个人财务数据：如银行交易记录、信用评级报告等。

• 个人健康信息：涉及身体状况、医疗记录、用药情况、心理健康信息等。

  
  

此外，规则还包括部分政府相关数据的保护范围，如美方国防承包商、情报系统、能源关键设施的信息。

哪些业务场景存在合规风险？

如果企业涉及以下业务场景，建议启动数据合规评估：

• 在中国等受关注国家访问或处理美方员工或用户的健康、财务、人事等敏感数据；

• 利用美国个人数据进行AI训练、图像识别、语音分析等技术研发；

• 向美方客户提供SaaS、数据库托管或云存储服务，数据中含有敏感个人信息；

• 与美国医疗、基因、金融机构进行联合研发、数据建模或算法合作；

• 总部设在中国，通过数据传输、远程访问等方式处理美方业务数据用于分析、决策或备份。

美国司法部的合规指引与宽限期安排

2025年4月11日，美国司法部国家安全司（NSD）发布了《合规指引》《常见问题解答（FAQs）》以及《执行与实施政策》，进一步明确了该规则的适用范围与执法方式。

值得关注的是，司法部宣布将设立为期90天的宽限期（自2025年4月8日起至2025年7月8日止）。在此期间，对于积极采取合规措施的企业，司法部一般不会启动执法程序；但对于恶意违规或故意违反规定的行为，仍将依法追究责任。

此次宽限期的设立，旨在鼓励企业尽早配合新规要求，推动各行业在处理相关数据时，树立起“合规优先”的意识，完善内部制度，降低合规风险。。

违规后果与未来合规趋势

该规则授权美国商务部设立数据交易许可机制，未经许可开展受限活动可能构成违规。违规者将面临：

• 高额民事罚款；

• 被列入出口管制实体清单；

• 被禁止与美方公司进行技术或数据交易；

• 情节严重的，或将面临刑事调查。

如您在数据合规、AI开发或跨境业务中涉及美国敏感个人数据的处理，欢迎联系ILS团队（邮箱为contact@consultils.com)，获取专业法律建议。

免责声明：本网站所提供的内容仅供一般信息参考，不构成也无意构成法律意见。请勿依据本网站的信息作出任何行为决定或停止任何行动。如需针对具体情况和法律问题的建议，请咨询专业法律顾问。

徐黎律师是ILS的合伙人及交易团队负责人。

徐律师致力于为全球范围内迅速发展的科技公司量身打造合规策略与业务支持方案。她的专业领域聚焦于跨行业的监管合规，尤其擅长应对人工智能（AI）及医疗设备行业特有的复杂法规环境。徐黎律师擅长辅助跨国企业成功在美国市场扎根并持续发展，有效管理包括隐私保护、进出口管制及外国投资委员会（CFIUS）审查在内的多重法律难题。

Email: contact@consultils.com | Phone: 626-344-8949