切勿忘记，十月将带来司法部数据安全计划的新义务

如先前报道，2025年10月6日是司法部（DOJ）数据安全计划（DSP）实施的最终截止日期。自该日起，处理美国批量个人数据或政府相关数据的企业必须符合尽职调查、审计、记录保存及报告要求。任何从事受管数据交易的公司均需采取以下合规措施：

尽职调查与审计要求

限制性交易的尽职调查[1]

截至2025年10月6日，企业必须至少实施包含以下内容的数据合规计划：

• 基于风险的程序，用于核查任何受限交易的数据流，包括政府相关或批量美国个人数据的类型和数量、交易方的身份、数据的最终用途及传输方式；
• 基于风险的供应商身份验证程序；
• 一份书面政策，该政策描述了公司的数据合规计划，并由合规官每年进行认证；以及
• 一份书面政策，该政策描述了必要安全要求的实施情况，这些要求每年由合规官进行认证。

受限交易的审计[2]

从事受限交易的美国人士还须每年接受独立审计师的审计。该审计必须包含对过去一年受限交易及美国人士数据合规计划的全面审查。审计师须在审计完成后60天内编制并提交书面报告。

报告与记录保存要求

美国人士参与任何受限交易时，必须完整记录该等交易，并自交易之日起至少保留十年以备查验。同时须按要求向司法部提交可供使用的格式报告。

年度报告[3]

自2025年10月6日起，任何参与涉及云计算服务的受限交易的美国人，且其股权中25%或以上由受关注国家或受限方持有者，均须向美国司法部提交年度报告。年度报告应包含以下信息：

• 参与受限数据交易的美国人士的姓名和地址，以及可提供补充信息的联系人姓名、电话号码和电子邮箱地址；
• 所涵盖数据交易的描述；
• 与该交易相关的文件副本；以及
• 司法部可能要求的任何其他信息。

被拒绝的禁止交易报告[4]

任何美国人士若收到涉及数据经纪的禁止交易要约并予以明确拒绝，须在拒绝交易后14天内提交报告。该报告应包含与受限交易年度报告要求相似的信息。

[1]参见 § 202.1001。

[2] 参见§ 202.1002。

[3] 参见§ 202.1103。

[4] 参见§ 202.1104。