保护敏感数据的重要性前所未有。在全球化的世界中,面对先进的网络威胁、复杂的间谍技术以及外部数据货币化,加强安全防护对于保护敏感信息免遭窃取和滥用至关重要。美国司法部(DOJ)近期实施的数据安全计划(DSP)彰显了政府对外国对手获取此类数据所构成威胁的高度重视。 任何汇集美国公民个人数据或收集与美国政府人员相关信息的美国公民及企业,在向特定受关注国家及人员转移此类数据时,现均须遵守强制性限制与禁令。随着该计划的宽限期已于2025年7月8日正式结束[1],未能立即合规将面临严厉的民事及刑事处罚风险。
背景
该出口管制计划(DSP)实质上建立了出口管制限制措施,旨在阻止外国敌对势力及其控制和指挥下的实体获取美国政府相关数据以及 美国敏感个人数据的批量信息。
该指定与限制令(DSP)依据《国际紧急经济权力法》(IEEPA)颁布,并遵循第14117号行政命令,旨在防止相关国家获取美国公民的敏感个人数据及与美国政府相关的数据。[2] 尽管该计划原定于2025年4月8日生效,但司法部国家安全司(NSD)宣布将执法行动推迟90天,以便为美国个人和企业留出充足时间实施必要调整以符合要求,并就DSP相关问题与国家安全司进行沟通。
宽限期现已结束,个人和实体应全面遵守规定,国家安全局(NSD)可能开始对潜在违规行为采取执法行动。该计划旨在应对外国对手持续利用商业活动获取、利用并武器化美国政府及敏感个人数据的行为。鉴于该计划符合特朗普政府的多项优先事项,美国企业应预见强力执法行动并确保自身合规。[3]
适用国家和人员
《数据安全协议》限制并禁止美国个人和实体与“受关注 国家”或“受限人员”就美国政府数据及美国公民个人数据开展特定交易。
2025年4月11日,国家安全局发布了与数字服务提供商相关的合规指南,该指南将下列国家均列为"关注国家":
- 中国(包括香港和澳门)
- 古巴
- 伊朗
- 朝鲜
- 俄罗斯
- 委内瑞拉
这些国家被认定具有意图和能力,企图通过多种特定手段利用政府相关数据及美国公民的敏感个人数据,对美国国家安全构成威胁。[4]
《最终规则》中所述的"受限人员"包括:(1) 总部设于或依据受关注国家法律设立的外国实体,或由一个或多个受关注国家及其他受限人员控股的外国实体;(2) 由受关注国家或其他受限人员控股的外国实体; (3) 受关注国家或受规管人士雇佣或签约的外国个人;(4) 主要居住于受关注国家的外国个人;(5) 国家安全部指定并公开确认的个人。[5]关于第(5)类,NSD将在认定相关人员符合特定标准(如受特定国家控制或拥有)后,将其列入公布的受限人员名单。[6]
受保护及豁免数据交易
在判定数据安全计划(DSP)的要求是否适用于特定美国个人或实体时,必须明确所涉数据类型及该计划涵盖的交易范围。若企业处理受该计划约束的数据,则在特定情况下将受到限制甚至被禁止转移此类信息。
涵盖交易:任何 涉及受关注国家或涵盖人员访问政府相关数据或美国敏感个人数据批量交易的行为,均受DSP限制约束。构成"涵盖交易"的前提是该交易同时涉及以下任一情形:(1)数据中介服务;(2)供应商协议;(3)雇佣协议;或(4)投资协议。[7]
“政府相关数据”: 与政府活动相关的特定 地理位置数据,[8] 以及任何敏感个人数据(无论数据量大小),只要交易方宣称该数据与美国政府现任或近期离职雇员/承包商存在关联或可建立关联——例如某美国公司宣传出售属于"政府雇员"的敏感个人数据集。[9]
“美国敏感个人数据批量数据集”: 指以任何形式存在的、涉及美国公民的敏感个人数据集合或数据集 。[10] “敏感个人数据”包括:(1) 受保护的个人身份标识符;(2) 精确地理位置数据;(3) 生物特征标识符;(4) 人类基因组数据;(5) 个人健康数据;(6) 个人财务数据,或上述数据的任意组合。[11]
根据《数据安全政策》,涵盖的交易主要分为两类:1)禁止交易;2)限制交易。
禁止交易:通常 涉及与受关注国家或受限人员进行数据中介活动,禁止任何美国人参与受限交易(特定豁免情形除外),以及涉及受关注国家或受限人员获取特定批量美国敏感数据的交易。[12]
受限交易:通常涵盖供应商协议、雇佣协议或投资协议项下的数据交易,除特定豁免情形外,除非美国人士遵守特定安全要求,否则此类交易均受限制。[13]
豁免交易:若干 交易不受其他适用禁止和限制的约束。此类豁免包括但不限于:
- 信息或信息材料;
- 金融服务;
- 集团内部交易(通常作为行政或辅助业务运营的附带事项及组成部分);
- 联邦法律或国际协议要求或授权的交易;
- 受美国外国投资委员会(CFIUS)行动约束的投资协议;
- 电信服务;
- 药品、生物制品和医疗器械的授权;以及
- 其他临床研究和上市后监测数据(通常属于美国食品药品监督管理局监管的临床研究范畴,或涉及特定临床护理数据及上市后监测数据的收集与处理)。[14]
许可证
美国司法部可通过国家安全司(NSD)颁发通用许可证或特定许可证,允许开展本应违反《数据安全政策》(DSP)的受管数据交易。通用许可证将授权特定类型的交易,在遵守禁止或限制条款的前提下,无需另行申请特定许可证。[15] 特定许可系由国家安全局向特定个人或实体签发的文件,授权其进行特定交易。[16]
司法部实施与执法
外国投资审查处(FIRS)负责管理和执行外国投资审查程序(DSP),该处隶属于国家安全局(NSD),其职责是代表司法部(DOJ)通过非起诉方式应对和管控跨境交易、商业及技术领域面临的国家安全风险,这些风险主要源于外国敌对势力等威胁。 FIRS还可处理潜在受监管方就DSP在具体交易中的适用性提交的咨询意见请求,该机制已纳入DSP最终规则。[17]
任何涉及违反《出口管理条例》的民事或刑事诉讼,很可能由国家安全局处理,或移交至相应的美国检察官办公室。美国企业应预期《出口管理条例》的执法行动将基本遵循传统出口管制或制裁违规行为的处理模式。该条例与美国经济制裁制度的执法权均源自《国际紧急经济权力法》。 根据《国际紧急经济权力法》承担的民事与刑事责任可能极为严厉:民事处罚最高可达386,136美元或每笔违规交易金额的两倍(以较高者为准);刑事处罚最高可判处20年监禁、100万美元罚款或两者并罚。[18]因此,美国个人或企业若其活动可能涉及DSP范畴,应尽早且频繁地咨询法律顾问,以确保满足合规及报告要求。
关键要点与建议
尚未着手全面实施DSP计划的美国个人和公司应立即着手合规工作。受影响的公司可能包括:
- 云服务提供商
- 虚拟服务提供商
- 数据处理中心
- 医疗器械制造商
- 学术机构
- 数据分析公司和顾问
- 国防或医疗保健领域的政府承包商
与出口管制合规措施类似,这些美国个人和实体应聘请在此领域经验丰富的律师来执行以下事项:
- 开展内部审查和审计,以识别涉及受保护数据的潜在访问行为,或涉及此类数据向受保护国家或人员流动的交易。
- 实施政策、程序和培训,以应对数据安全问题,并规范任何与美国政府相关的数据或美国敏感个人数据批量传输或访问的行为。
- 确定任何一般许可证的适用性,或是否需要为任何被禁止或受限制的交易申请特定许可证。
- 实施合规计划以追踪交易、定期履行尽职调查并保持准确记录。
- 根据需要聘请律师起草或修订供应商合同,开展尽职调查,并在必要时与政府机构(如司法部)进行对接。
- 根据员工与受关注国家或相关人员的距离或接触程度,调整其工作地点、角色或职责。
- 实施网络安全与基础设施安全局(CISA)的安全要求。
采取这些措施将有助于美国企业和个人为可能到来的执法行动做好充分准备。
受影响的企业和个人还应注意2025年10月6日这一日期。自该日起,所有实体和个人必须遵守受限交易的尽职调查和审计要求,以及受限交易和被拒绝的禁止交易的报告要求。
若您对此主题有任何疑问,欢迎随时联系本文作者或您的富乐律师事务所律师。如需获取关于"跨国企业必备知识"的最新动态——了解当今复杂国际贸易环境下的运营要点,请订阅我们的关税与国际贸易博客—— 点击此处注册。
***
[1] 《数据安全计划:实施与执行政策(有效期至2025年7月8日)》,美国司法部(2025年4月11日),https://www.justice.gov/opa/media/1396346/dl?inline
[2]参见 《美国法典》第50编第 1705条 ;另见第14117号行政命令 《防止受关注国家获取美国公民敏感个人数据及美国政府相关数据》(2024年2月28日),https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related
[3] 白宫,《美国优先投资政策》(2025年2月21日),https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/;白宫,《事实简报:唐纳德·J·特朗普总统对伊朗恢复极限施压》(2025年2月4日),https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/
[4] 《数据安全计划:合规指南》,美国司法部(2025年4月11日),https://www.justice.gov/opa/media/1396356/dl
[5]参见§§ 202.211(a)(1)-(5)
[6]参见§ 202.701
[7]参见§§ 202.214、202.258、202.217 及 202.228
[8]参见§ 202.222(a)(1)
[9]参见§ 202.222(b)
[10]参见§ 202.206
[11]参见§ 202.249
[12]参见§§ 202.301-303
[13]参见§ 202.401
[14]参见§§ 202.501-511
[15]参见§ 202.801
[16]参见§ 202.802
[17]参见§ 202.901
[18]参见§ 202.1301;另见 《美国法典》第50编第1705条
