保护敏感数据从未像现在这样重要。在一个充斥着先进的网络威胁、复杂的间谍技术和外部数据货币化的全球化世界中,提高安全性对于保护敏感信息不被窃取和滥用至关重要。司法部(DOJ)最近实施的数据安全计划(DSP)表明,政府非常重视外国对手获取此类数据所带来的威胁。汇总美国人个人数据或收集与美国政府人员有关的任何信息的美国个人和公司,在将这些数据传输给已确定的国家和相关人员时,现在面临着强制性的限制和禁止。随着该计划的宽限期于 2025 年 7 月 8 日正式结束[1],如果不立即遵守,将面临严厉的民事和刑事处罚。
背景介绍
DSP 从根本上确立了出口控制限制,防止外国对手以及受这些对手控制和指挥的人获取美国政府相关数据 和大量美国敏感个人数据。
DSP 是根据《国际紧急经济权力法》(IEEPA)和第 14117 号行政命令发布的,该命令涉及防止有关国家获取美国人的大量敏感个人数据和美国政府相关数据。[2]虽然该计划的生效日期是 2025 年 4 月 8 日,但司法部国家安全司(NSD)宣布将执法工作推迟 90 天,以便美国个人和公司有更多时间实施必要的变更以遵守规定,并与 NSD 就 DSP 相关问题进行接触。
现在宽限期已经结束,个人和实体应完全遵守规定,国家安全局可能会开始对潜在的违规行为进行执法。DSP 的目的是应对外国对手利用商业活动访问、利用美国政府数据和敏感个人数据并将其武器化的持续努力。由于该计划与特朗普政府的各种优先事项相一致,美国公司应预料到会有积极的执法行动,并确保自己合规。[3]
覆盖国家和人员
DSP 限制并禁止美国个人和实体与"受关注国家 " 或"受 关注 人员 " 进行某些与美国政府数据和美国人个人数据有关的交易。
2025 年 4 月 11 日,国家统计局发布了与 DSP 相关的合规指南,将以下国家逐一列为 "关注国":
- 中国(包括香港和澳门)
- 古巴
- 伊朗
- 北朝鲜
- 俄罗斯
- 委内瑞拉
这些国家被确认为有意图和能力使用政府相关数据和美国人的敏感个人数据,通过各种特定手段威胁美国国家安全。[4]
最终规则》将 "受保人 "描述为:(1) 总部设在某有关国家或根据某有关国家的法律组建的外国实体,或由一个或多个有关国家或其他受保人拥有多数股权的外国实体;(2) 由某有关国家或其他受保人拥有多数股权的外国实体;(3) 作为某有关国家或受保人的雇员或承包商的外国个人;(4) 主要居住在某有关国家的外国个人;(5) 国家安全局指定并公开识别的人。[5]就第(5)小类而言,国家安全局在确定有关人员符合某些标准(如受有关国家的所有权和控制)后,将指定有关人员并将其列入公布的 "受保人 "名单。[6]
涵盖和豁免数据交易
在确定 DSP 的要求是否适用于特定的美国个人或实体时,必须了解相关数据的类型以及该计划所涵盖的交易。如果一家公司处理该计划所涵盖的数据,在某些情况下,他们将被限制甚至禁止传输此类信息。
涵盖的交易: 任何交易,只要涉及到某个相关国家或受保人访问任何政府相关数据或大量美国敏感个人数据,都会受到 DSP 的限制。要成为 "涵盖交易",交易还必须涉及 (1) 数据经纪,(2) 供应商协议,(3) 雇用协议,或 (4) 投资协议。[7]
"政府相关数据": 与政府活动有关的某些地理定位数据、[8]以及任何敏感个人数据(无论数量多少),交易方将其作为与美国政府现任或近期前任雇员或承包商相关联或可相关联的数据进行营销,例如一家美国公司将一组敏感个人数据作为属于 "政府雇员 "的数据进行广告销售。[9]
"批量美国敏感个人数据": 与美国人有关的任何形式的敏感个人数据的集合或集合。[10] "敏感个人数据 "包括:(1) 所涵盖的个人识别信息;(2) 精确的地理位置数据;(3) 生物识别信息;(4) 人类基因组数据;(5) 个人健康数据;(6) 个人财务数据或其任何组合。[11]
根据 DSP 的规定,所涵盖的交易一般分为两类:1)禁止交易和 2)限制交易。
禁止交易: 一般涉及与受关注国或受保护人的数据经纪,禁止任何美国人参与受保护交易(某些豁免除外),以及涉及受关注国或受保护人获取某些批量美国敏感数据的交易。[12]
受限交易:一般涵盖供应商协议、雇佣协议或投资协议下的数据交易,除非美国人遵守特定的安全要求,否则这些交易将受到限制,但某些豁免除外。[13]
豁免交易: 有几项交易不受其他适用的禁令和限制的约束。这些豁免包括但不限于
- 信息或信息资料;
- 金融服务;
- 公司集团交易(通常属于行政或辅助业务的一部分);
- 联邦法律或国际协议要求或授权的交易;
- 受外国投资委员会行动影响的投资协议;
- 电信服务;
- 药品、生物制品和医疗器械授权;以及
- 其他临床研究和上市后监测数据(通常是美国食品药品管理局监管的临床研究或某些临床护理数据或上市后监测数据的收集和处理的附带部分)。[14]
许可证
司法部可通过国家统计局签发一般许可证或特定许可证,以从事否则会违反 DSP 的涵盖数据交易。一般许可证将授权特定类型的交易,但须遵守禁止或限制规定,而无需申请特定许可证。[15]特定许可证是 NSD 向特定个人或实体签发的文件,授权进行特定交易。[16]
司法部的实施与执行
DSP 由国家安全局外国投资审查科 (FIRS) 管理和执行,该科负责司法部的非起诉工作,以应对和管理外国对手等威胁对跨境交易、业务和技术造成的国家安全风险。FIRS 还可以处理潜在受监管方就 DSP 对特定交易的适用性提交的咨询意见请求,这是有关 DSP 的最终规则中嵌入的一种机制。[17]
任何与违反 DSP 相关的民事或刑事诉讼都可能由国家安全局处理,或移交给相应的美国检察官办公室。美国公司应预计 DSP 下的执法将在很大程度上反映传统的出口管制或违反制裁的行为。DSP 和美国经济制裁制度的权力都来自 IEEPA。IEEPA 下的民事和刑事责任可能非常重大,民事处罚最高可达 386,136 美元,或每笔违规交易价值的两倍,以两者中较高者为准;刑事处罚最高可达 20 年监禁、100 万美元罚款,或两者兼而有之。
主要收获和建议
尚未开始计划全面实施 DSP 的美国个人和公司应立即遵照执行。这些受影响的公司可能包括
- 云服务提供商
- 虚拟服务提供商
- 数据处理中心
- 医疗设备制造商
- 学术机构
- 数据分析公司和顾问
- 国防或医疗部门的政府承包商
与出口管制合规措施一样,这些美国个人和实体应聘请在该领域经验丰富的律师开展以下工作:
- 进行内部审查和审计,以确定是否有可能获取所涵盖的数据或涉及将此类数据流向所涵盖的国家或个人的交易。
- 实施政策、程序和培训,解决数据安全以及传输或访问任何美国政府相关数据或大量美国敏感个人数据的问题。
- 确定任何一般许可证的适用性,或是否需要为任何禁止或限制交易申请特定许可证。
- 实施合规计划,跟踪交易,定期进行尽职调查,并保存准确的记录。
- 聘请法律顾问起草或修订必要的供应商合同,开展尽职调查,并在必要时与司法部等政府机构联系。
- 根据与相关国家或受保护人员的距离或接触情况,调整员工的工作地点、角色或职责。
- 执行网络安全和基础设施机构 (CISA) 安全要求。
采取这些措施将有助于美国公司和个人为可能到来的执法行动做好充分准备。
受影响的公司和个人还应注意 2025 年 10 月 6 日。自该日起,实体和个人必须遵守限制交易的尽职调查和审计要求,以及限制交易和被拒绝的禁止交易的报告要求。
如果您对此主题有任何疑问,请随时联系作者或您的 Foley & Lardner 律师。如果您想了解有关在当今复杂的国际贸易世界中运营的 "每家跨国公司应知 "的最新信息,请注册我们的关税与国际贸易博客 - 点击此处注册。 单击此处注册。
***
[1] "数据安全计划:2025 年 7 月 8 日之前的实施和执行政策",司法部(2025 年 4 月 11 日),https://www.justice.gov/opa/media/1396346/dl?inline
[2]见《 美国法典》第 50 编第 1705 条;另见 第 14117 号行政命令,"防止有关国家获取美国人的大 量敏感个人数据和美国政府相关数据"(2024 年 2 月 28 日),https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related。
[3] 白宫,"美国优先投资政策"(American First Investment Policy),(2025 年 2 月 21 日),https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/;白宫,"概况介绍"(Fact Sheet:唐纳德-J-特朗普总统恢复对伊朗施加最大压力》(2025 年 2 月 4 日),https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/
[4] "数据安全计划:COMPLIANCE GUIDE,司法部(2025 年 4 月 11 日),https://www.justice.gov/opa/media/1396356/dl
[5]见 第 202.211(a)(1)-(5)节。
[6]见 第 202.701 节
[7]见 第 202.214、202.258、202.217 和 202.228 节。
[8]见 第 202.222(a)(1)节
[9]见 第 202.222(b)节
[10]见 第 202.206 节
[11]见 第 202.249 节
[12]见 §§ 202.301-303
[13]见 第 202.401 节
[14]见 第 202.501-511 节。
[15]见 第 202.801 节
[16]见 第 202.802 节
[17]见 第 202.901 节
[18]见 第 202.1301 节;另见 《美国法典》第 50 篇第 1705 节。
