别忘了，十月将带来新的司法部数据安全计划义务

据此前报道，2025 年 10 月 6 日是美国司法部（DOJ）数据安全计划（DSP）实施的最后期限。截至该日期，处理美国大量个人数据或政府相关数据的企业必须遵守尽职调查、审计、记录保存和报告要求。任何从事涵盖数据交易的公司都应采取以下合规措施：

尽职调查和审计要求

限制性交易的尽职调查[1]

到 2025 年 10 月 6 日，公司必须至少实施一项数据合规计划，其中包括以下内容：

• 基于风险的程序，核实任何受限交易的数据流，包括与政府相关的数据或大量美国个人数据的类型和数量、交易方的身份、数据的最终用途和传输方法；
• 基于风险的供应商身份验证程序；
• 描述公司数据合规计划的书面政策，每年由合规官进行认证；以及
• 说明必要安全要求执行情况的书面政策，每年由合规官员进行认证。

对限制性交易的审计[2]

从事限制性交易的美国人还必须每年由独立审计师进行一次审计。审计必须包括对过去一年的限制性交易和美国人的数据合规计划进行全面检查。审计员必须在审计完成后 60 天内编写并提交一份书面报告。

报告和记录要求

参与任何限制性交易的美国人必须保留此类交易的完整记录，并在交易日期后至少 10 年内保留记录以供检查。还必须按要求以可用格式向司法部提交报告。

年度报告[3]

自 2025 年 10 月 6 日起，任何参与涉及云计算服务的限制性交易的美国人，如果其 25% 或更多的股权由受关注国或受保护人拥有，则需要向司法部提交年度报告。 年度报告应包含以下信息：

• 参与所涵盖数据交易的美国人的姓名和地址，以及联系人的姓名、电话号码和电子邮件地址，以便获取更多信息；
• 对所涵盖数据交易的描述；
• 与交易有关的文件副本；以及
• 司法部可能要求的任何其他信息。

关于被拒绝的违禁交易的报告[4]

任何美国人如果收到并明确拒绝了涉及数据经纪的违禁交易要约，必须在拒绝交易后 14 天内提交报告。报告应包含所涵盖的限制性交易年度报告中要求的类似信息。

[1]见 § 202.1001.

[2] 见 第 202.1002 节。

[3] 见 第 202.1103 节。

[4] 见 第 202.1104 节。