美国司法部发布《数据安全计划合规指南》-行业动态-上海数壳信息科技有限公司

美国司法部发布《数据安全计划合规指南》

该《数据安全计划合规指南》列明了美国新实施的一项《数据安全计划》的具体要求，而该等数据安全计划旨在防止中国、俄罗斯及美国司法部指定的其他所谓“外国对手”获取美国的敏感个人数据和与美国政府相关数据。

美国的该项《数据安全计划》实质上对受该计划所监管的数据设置了出口管制措施，适用于美国主体参与的广泛交易，包括数据经纪与供应商协议、雇佣协议和投资协议，且交易涉及美国政府相关数据或批量美国敏感个人数据。

自2025年4月8日起，美国主体必须遵守该《数据安全计划》的核心禁令、限制和其他要求；而包括尽职调查、报告和审计在内的额外需要采取主动行动的义务将于 2025年10月6日起生效。

美国主体还必须基于风险等级实施相应的《数据安全计划》，进行年度审计，并保留至少十年的详细记录，若不遵守规定，可能会面临民事或刑事处罚。

2025年1月8日，美国司法部（DOJ）发布了其最终规则（联邦法规第28章第202部分），以落实前总统拜登曾发布的《第14117号行政令》（即“防止“受关注国家”获取批量美国敏感个人数据及与美国政府相关数据”）。该行政令与司法部的上市最终规则共同确立了美国的《数据安全计划》，用以规定、限制或禁止特定的“受关注国家”或“受规制主体”访问美国政府相关数据或批量美国敏感数据。该计划的大部分内容自 2025年4月8日起生效，但对美国主体的额外需要采取主动行动的合规义务将于2025年10月6日起实施。

2025年4月11日，美国司法部国家安全司发布了《数据安全计划合规指南》，同时附带了超过100条的《常见问题解答》以及《实施与执法政策》，以帮助相关实体理解规则要求及实施。

下面我们将讨论《数据安全计划》的关键组成部分，并提出一些合规建议。

《数据安全计划》规定：

禁止美国主体与“受关注国家”、“受规制主体”或其他外国人（除非满足防止数据再转移保障机制的特定要求）进行涉及数据经纪的受限数据交易，或者进行涉及提供大量人类“组学”数据（即大规模分子水平的生物数据集）的“受限数据交易”；

对涉及一方为美国司法部指定的“受关注国家”或规则定义的“受规制主体”的供应商协议、雇佣协议或投资协议的“受限数据交易”施加限制；以及

对特定的“受限数据交易”给予豁免。

受限数据交易

根据数据安全计划规定，“受限数据交易”是指某些特定的商业关系类别，涉及受关注国家或受规制主体访问政府相关数据或批量美国敏感个人数据，且涉及以下内容：(1) 数据经纪；(2) 供应商协议；(3) 雇佣协议；(4) 投资协议。

“政府相关数据”包括《政府相关位置数据清单》第202.1401条所列任一地区的精确地理位置数据，以及“交易方”营销为与美国政府现任或近期卸任的前任雇员、承包商或高级官员有关联或可关联的敏感个人数据。
“批量美国敏感个人数据”是指“以任何格式（无论是否匿名化、伪名化、去标识化或加密）存在的一组或一类与美国个人相关的敏感个人数据，且达到或超过第202.205条规定的关于批量标准的阈值。”该类数据包括六个子类别：(1) 涵盖个人标识符；(2) 精确地理位置数据；(3) 生物特征识别数据；(4) 人类“组学”数据；(5) 个人健康数据；(6) 个人财务数据。

受关注国家和受规制主体

最终规则（联邦法规第28章第202部分）第202.209条将 “受关注国家”定义为“具有长期或严重损害美国国家安全或美国主体安全行为记录且有利用受保护数据的重大风险的外国政府”。经美国司法部决定并经美国国务院及商务部同意，数据安全计划将下列国家认定为“受关注国家”：(1) 中国（包括香港和澳门），(2) 朝鲜，(3) 古巴，(4) 俄罗斯，(5) 伊朗和(6) 委内瑞拉。这些国家亦被美国商务部在其信息与通信技术服务（ICTS）计划中列为“受关注国家”。

此外，最终规则（联邦法规第28章第202部分）第202.211(a)条中定义了五类“受规制主体”：

1

总部设在受关注国家或根据受关注国家法律设立的，或者由一个或多个受关注国家或其他受规制主体持股50%或以上的外国实体；

2

由一个受规制主体持股50%或以上的外国实体；

3

作为受关注国家或其他受规制主体的雇员或承包商的外国个人；

4

主要居住在受关注国家的外国个人；

5

下列由美国司法部国家安全司指定并公开识别的主体（无论是外国主体还是美国主体）：

现在是、曾经是、或很可能成为“受关注国家”或“受规制主体”拥有、控制、受其管辖或指示的对象；
为了或代表“受关注国家”或“受规制主体”采取行动、已经采取行动、声称采取行动，或可能采取行动的；
明知故意地导致、指使或可能明知故意地导致、指使违反最终规则（联邦法规第28章第202部分）规定的。

美国司法部国家安全司计划将指定的“受规制主体”列入“受规制主体名单”，并在《联邦公报》上发布这些“受规制主体”的信息。

禁止、受限与豁免的交易

数据安全计划描述了三种类型的交易：禁止的、受限的和豁免的交易。除非获得豁免或获得通用或特定许可，否则禁止的交易将不被允许进行。受限的交易仅在符合特定合规与安全要求的情况下才被允许进行。最后，数据安全计划列出了特定豁免的交易，例如个人通信或美国官方政府事务，以及下文讨论的其他交易。

禁止的交易

《数据安全计划》规定下的禁止的交易包括与“受关注国家”或“受规制主体”进行的数据经纪交易。所谓“数据经纪”指的是“销售数据、许可访问数据或其他类似的商业交易”（不包括雇佣、投资或供应商协议），且 “涉及将数据从任何人（提供者）转移到任何其他人（接收者），而接收者并非直接从与所收集或处理的数据相关或可相关的主体收集或处理数据。” 《数据安全计划合规指南》提供了一个禁止数据经纪交易的例子：“一家美国公司运营的网站或移动应用中嵌入了跟踪像素或软件开发工具包，且这些工具由美国公司故意安装或批准纳入应用程序或网站中的。”

同样被禁止的还包括与外国主体进行的数据经纪交易（即便交易对象不是“受规制主体”），除非数据经纪交易包含禁止转售任何此类数据的合同条款，且美国主体已按照规定报告任何已知或疑似违反此合同条款要求的行为。此项禁令旨在解决将数据继续传输至“受关注国家”或“受规制主体”的担忧。

《数据安全计划》禁止与“受关注国家”或“受规制主体”进行的数据交易还包括涉及“受关注国家”或“受规制主体”获取大量美国敏感个人数据（包含大量人类“组学”数据），或获取从中可提取组学数据的人类生物样本的交易。数据安全计划还禁止任何有逃避或规避目的、造成违反或企图违反《数据安全计划》禁令的任何交易；任何共谋违反《数据安全计划》禁令的交易；或明知地指示一项禁止或受限的交易（但未满足受限交易的附加要求）。

受限的交易

某些数据相关交易（如与供应商协议、雇佣协议和投资协议相关的交易）只有美国主体或实体遵守特定的合规和安全要求时才允许进行。要合法从事此类受限交易，美国主体必须：

遵守网络安全与基础设施安全局发布的网络安全要求；
建立并维护个性化、基于风险等级的书面数据合规计划，这须满足多个最低标准，包括但不限于建立和实施基于风险等级的程序，以核实任何受限交易中涉及的数据流（包括交易中涉及的数据类型和数量、交易方的身份和数据的最终用途）；一份描述该计划的书面政策，每年由负责合规的官员、高管或其他员工进行认证；以及实施网络安全与基础设施安全局的安全要求；
每年进行独立审计，以满足《数据安全计划》的要求；以及
遵守相关的记录保存和报告义务。

豁免的交易

最后，《数据安全计划》明确了一系列豁免受到监管的交易，包括：

不涉及任何有价转让的个人通信；
信息或信息材料的进出口（限于表达性资料）；
通常附随于出入境旅行的相关交易；
为美国政府的官方业务而进行的交易；
通常附随于规定中描述的提供金融服务的交易；
企业集团内部的行政或附属商业运营所附随的交易（例如，工资交易或营业税等）；
由美国联邦法律或国际协议授权或要求，或为遵守美国联邦法律所需的交易；
受美国外国投资委员会（CFIUS）根据法规进行审查并授权的投资协议。除非并直到CFIUS采取行动，否则仍适用《数据安全计划》义务；
通常附随的电信服务，包括语音与数据通信服务，但并非所有基于互联网的服务都涵盖在内，例如云计算。此豁免不适用于数据经纪交易；以及
特定药品、生物制品及医疗器械的授权，以及其他临床试验与上市后监管数据的交易。

许可

与美国财政部外国资产控制办公室（OFAC）的制裁机制类似，数据安全计划下也设有两类许可：通用许可和特定许可。通用许可授权进行某类在未授权情况下将违反《数据安全计划》规定的交易。获得授权的个人或实体无需申请特定许可即可从事该类交易。例如，通用许可可能允许对现有受限交易进行逐步减少的善后处理。特定许可则由美国司法部国家安全司根据申请个案颁发，授权特定个人或实体从事特定交易。美国司法部国家安全司表示将逐案审查特定许可申请，并遵循“推定拒绝”的标准，除非有特殊情况可推翻该推定，“例如对公共安全或国家安全构成紧急或迫在眉睫的威胁。”美国司法部国家安全司将“在与国务院、商务部和国土安全部达成一致，并与其他相关机构协商”的基础上颁发、修改或撤销通用或特定许可。

记录保存与报告要求

数据安全计划包括严格的记录保存要求。总体而言，美国主体须根据相关法规保存所参与的受数据安全计划约束交易的相关记录，并在交易发生之日起至少10年内可提供这些记录以供审查。此记录义务适用于任何非豁免交易、特定豁免交易，以及获得通用或特定许可的交易。

此外，数据安全计划要求所有主体在必要时向美国司法部宣誓提供“与任何行为或受限数据交易有关的完整信息”。对于涉及数据经纪的禁止性交易，数据安全计划还要求美国主体在明确拒绝从事该类交易之日起14日内向美国司法部报告该交易。此外，数据安全计划还要求任何参与涉及云计算服务的受限交易，且其 25% 或以上的股权由受关注国家或受规制主体持有”的美国个人提交年度报告，说明其在上一个日历年度中所从事的此类交易。

执行与处罚

数据安全计划由美国司法部国家安全司根据《国际紧急经济权力法（IEEPA）》授权，通过结合行政、民事和刑事手段执行。美国司法部国家安全司可在以下情况下对美国主体采取执法行动：

1

禁止的交易；

2

规避、共谋或协助实施被禁止的行为；

3

未能遵守受限交易中有关尽职调查、安全、审计或记录保存的规定；或

4

明知并指示实施被禁止或不合规的受限交易（即使其未直接执行交易本身）。

违反规定可能导致每次违法行为被处以最高可达368,136美元或违规交易金额的两倍（取其高者）的民事罚款，而蓄意违规者将被处以最长20 年监禁和最高100 万美元罚款的刑事处罚。

《数据安全计划》合规要求

正如美国普盈律师事务所在2024年4月客户通报中所强调的，随着社交媒体、数据经纪与国家安全的交叉问题日益引发关注，美国联邦政府对数据流动的监管正在持续加码。

自2025年4月8日起，企业与个人需遵守《数据安全计划》中的各种禁止、限制与规定；不过，美国司法部国家安全司设立了一个为期90天的酌情执法期，以促进平稳过渡到新的监管框架。在此期间，美国司法部国家安全司表示有意聚焦外联和教育，鼓励各方就《数据安全计划》及其已发布的指南提出问题，并表示不会优先对诚信合规的企业采取违反《数据安全计划》的民事执法行动，但仍可能追究蓄意违规行为。

美国司法部国家安全司列举了以下作为诚信合规的示例：

1

对敏感个人数据的访问进行内部审查，包括涉及访问此类数据流的交易是否构成数据经纪；

2

审查内部数据集及数据类型，以判断是否可能适用于数据安全计划；

3

重新谈判现有供应商协议或与新供应商谈判合同；

4

转移产品或服务至新供应商；

5

对潜在新供应商进行尽职调查；

6

与数据经纪交易对方（外国主体）谈判后续转移限制条款；

7

调整员工的办公地点、岗位或职责；

8

评估来自受关注国家或受规制主体的投资；

9

与受关注国家或受规制主体重新谈判投资协议；或

10

实施网络安全与基础设施安全局安全要求，包括采取数据级措施来防止受规制主体访问受监管数据以进行受限交易。

总结

《数据安全计划》代表了美国政府对国家安全监管向商业数据生态系统的重大扩展，对与外国实体从事特定数据交易的美国主体施加了严格义务。随着初始合规的生效截止日期已到，且下一轮更广泛的义务将在2025年10月生效，各组织必须迅速采取行动，评估其数据流动路径、交易对方及现有合规体系。积极实施稳健、基于风险的合规程序的企业，将在这一不断演进的监管框架下更具优势，能有效降低合规风险，并应对执法审查。

隐私即服务