返回列表
美国14117行政令《防止受关注国家或涵盖主体获取美国敏感个人数据和政府相关数据的规定》实务解读
2025-04-09

引言

2024年12月27日,美国司法部发布了《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》(以下简称“《规定》”),落实了第14117号《防止关注国获取美国公民敏感个人数据和美国政府相关数据的行政命令》(以下简称“《命令》”)。该规定旨在应对美国国家安全风险,主要针对包括中国、俄罗斯、古巴等六个“受关注国家”及相关主体,建立数据自由跨境屏障,禁止和限制涉及美国人敏感个人信息和政府相关数据的交易,避免相应国家及相关主体试图访问或大量利用这类数据,对美国国家或人员的安全构成威胁。

《规定》于2025年4月8日生效,其中部分尽职调查、审计、报告义务将于2025年10月6日起实施。

本文将结合《规定》主要条款的解读,就中国出海企业较为关注的业务场景进行解析并提供合规建议。

 

PART 1

 

主要条款解读

 

《规定》的核心目标是限制“受关注国家”(Country of Concern)及其相关实体获取美国的敏感个人数据和政府相关数据。《规定》通过禁止或限制某些数据交易,防止“受关注国家”利用大数据和人工智能技术威胁美国国家安全。《规定》涵盖以下主要内容:

 

 

适用主体

《规定》构建了“双向约束”的监管框架,具体规制对象及义务主体详见下表:

 

 

受规制数据(Covered Data)

《规定》主要针对两类数据:敏感个人数据和政府相关数据。其中敏感个人数据共有六个类别,每类数据都有明确的阈值,如果在《规定》适用的交易中,某类数据在前12个月内达到或超过相应阈值,将触发监管机制。政府相关数据则包括与军事、国家安全设施相关的精确地理位置数据,以及与政府雇员相关的敏感数据。以下为敏感个人数据的的具体类别:

 

 

禁止交易

根据《规定》,所有涉及“受规制数据”与“受规制主体”的数据经纪交易以及涉及获取大量人类基因组数据或可从中提取此类数据的人类生物样本的交易均被明确禁止。数据经纪交易(Data Brokerage)被定义为“不包括雇佣协议、投资协议或供应商协议的数据销售、数据访问许可或类似商业交易,其中数据接收方并非直接从数据相关个人处采集或处理该数据”。

除直接禁止外,《规定》要求美国实体在与任何外国主体进行涉及敏感数据的交易时,必须通过合同约束对方《规定》§ 202.302)

► 不得将相关数据转售给受关注国家或受规制主体;

► 发现违约行为须立即向司法部报告。

需注意,《规定》并不规制中国企业通过网站、App等在线服务平台直接向美国用户提供服务并从其收集数据的行为。这主要是因为该规则的上位法《国际紧急经济权力法》仅授权美国总统对特定“交易”进行限制或禁止,而直接收集数据的行为并不被视为“交易”

 

 

受限交易

除下文所述的豁免情形外,美国实体与受关注国家或受规制主体签订涉及雇佣协议、投资协议及供应商协议的受规制数据交易时均需遵守《规定》的安全要求。

根据《规定》要求,开展受限交易的美国实体须在2025年10月5日前建立完善的数据合规体系,该体系至少应包含数据流向核验机制,完整记录传输数据类型、数量及交易方身份信息等内容。此外,企业必须接受年度独立审计并保存审计报告至少十年

值得注意的是,《规定》在严格监管的同时也设置了例外情形和许可机制。 一方面,《规定》对受限交易设置了例外情形:若相关主体遵循美国网络安全与基础设施安全局(CISA)的监管要求,满足落实包括但不限于基础网络安全防护、数据访问控制、数据加密、去标识以及最小必要限制等全面的安全措施等相应条件的情况下,则可获准开展限制类交易。另一方面,针对禁止或限制类交易,《规定》同时建立了许可授权机制,规定颁发普通许可(general license)以及专项许可(specific license)以授权开展此类交易。

此外,《规定》特别强调“明知故犯”(knowingly)的规避行为,明确禁止美国主体或实体不得通过其控制的非受规制外国实体间接实施被禁止的交易《规定》 § 202.305)

 

 

豁免交易

《规定》对某些交易进行了豁免,包括个人通信、旅行、金融服务、政府公务活动等多个领域。

 

PART 2

 

受限交易合规场景解析

 

以下将针对中国出海企业较为关注的两类受限交易,通过列举具体场景,展开合规措施解析:

 

 

投资协议(Investment Agreement)

(一)已出海企业

针对已在美国投资的中国企业,需要全面梳理个人信息跨境传输的具体场景类型、传输的数据量及数据类型,并结合投资方式、持股比例等判断是否属于受限交易。如触发受限交易,则建议按照《规定》项下的具体合规要求,适时开展第三方审计、保留交易记录、提交年度报告以及制定数据合规计划,并参考美国网络安全与基础设施安全局(CISA)发布的安全指南,对个人信息所涉及的系统、工具、安全技术措施、安全管理措施等方面进行合规差距分析,推动整改工作的落实,以更好地应对个人信息跨境传输的合规挑战。

(二)未出海企业

针对拟在美国投资的中国企业,在投资前期阶段,需要对目标公司业务是否涉及大量的敏感个人数据和政府相关数据开展全面的尽职调查,以明确本次投资是否可能触发受限交易。此外,针对该合规场景,建议在拟签订的投资协议中增设相应条款对各方的权利义务进行约束。例如,在陈述与保证条款中,要求目标公司及实际控制人对其经营过程中的数据处理合法合规情况作出相应承诺;在经营情况发生变动,可能导致触发受限交易情形的,目标公司应履行相应的告知义务。同时,各方还可在投资协议中约定特定情形下的退出机制,例如在触发受限交易后,投资方可要求目标公司或者股东回购其持有的股份,又或者约定相关的赔偿责任条款。

 

 

供应商协议(Vendor Agreement)

(一)已合作企业

对于已在美国市场开展业务的受规制企业而言,新规实施带来了多方面的合规挑战,下文将通过场景列举的方式描述。

► 对于云服务商企业,若云服务商被认定为“受规制主体”(如中方持股超过50%或主要运营地在受关注国家),则相关合作将自动适用限制性交易要求。在数据存储与处理方面,云服务模式面临特殊的合规困境。当美国企业将包含敏感个人数据的业务系统部署在受规制云平台上时,即使数据物理存储位于美国境内,司法部仍可能认定存在“实质性访问风险”。

► 对于接入大模型算法或其他AI产品的企业,如果接入的大模型算法或其提供的AI产品可能导致受关注国家或受规制主体获取受规制数据,那么该企业提供算法或AI产品的行为将被视为数据经纪交易并被禁止。

(二)未合作企业

对于拟与美国实体建立商业合作的受规制企业,建议重点关注以下风险事项:

► 在业务评估阶段,企业在开展合作前应当开展全面审查,系统梳理业务场景中可能涉及的处理数据类型及处理规模,判断是否落入受规制数据的范畴,并对照各类数据的法定阈值进行评估。

► 在协议约定阶段,企业应首先审查与美国供应商或合作伙伴拟签订的协议,重点核查数据存储、处理和传输路径等条款,确保符合《规定》及《命令》的要求。其次,协议中应当明确约定如因数据违规导致处罚时的损失承担比例,明确责任;针对业务发展可能带来的数据量增长,应具体约定当数据处理量接近监管阈值时的应对方案,并设置提前预警机制,从而规避潜在风险。

 

总结

美国《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的行政命令》及《规定》的出台是全球数据治理格局深刻变革的重要标志。该《规定》以国家安全为名,实质上构建了一套具有明显针对性的数据自由流动管控体系,将对我国企业在美开展正常商业活动构成一定障碍,数据层面的“脱钩效应”将极大层面影响企业的出海运营布局。建议相关企业密切关注相关规定,及时调整合规策略,以避免法律风险。

 

作者:许瑞凤 王曼婷 王子非

审稿:梁艳芬

(文中观点不代表北源律师事务所的观点或法律意见) 

返回列表
美国14117行政令《防止受关注国家或涵盖主体获取美国敏感个人数据和政府相关数据的规定》实务解读
2025-04-09

引言

2024年12月27日,美国司法部发布了《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》(以下简称“《规定》”),落实了第14117号《防止关注国获取美国公民敏感个人数据和美国政府相关数据的行政命令》(以下简称“《命令》”)。该规定旨在应对美国国家安全风险,主要针对包括中国、俄罗斯、古巴等六个“受关注国家”及相关主体,建立数据自由跨境屏障,禁止和限制涉及美国人敏感个人信息和政府相关数据的交易,避免相应国家及相关主体试图访问或大量利用这类数据,对美国国家或人员的安全构成威胁。

《规定》于2025年4月8日生效,其中部分尽职调查、审计、报告义务将于2025年10月6日起实施。

本文将结合《规定》主要条款的解读,就中国出海企业较为关注的业务场景进行解析并提供合规建议。

 

PART 1

 

主要条款解读

 

《规定》的核心目标是限制“受关注国家”(Country of Concern)及其相关实体获取美国的敏感个人数据和政府相关数据。《规定》通过禁止或限制某些数据交易,防止“受关注国家”利用大数据和人工智能技术威胁美国国家安全。《规定》涵盖以下主要内容:

 

 

适用主体

《规定》构建了“双向约束”的监管框架,具体规制对象及义务主体详见下表:

 

 

受规制数据(Covered Data)

《规定》主要针对两类数据:敏感个人数据和政府相关数据。其中敏感个人数据共有六个类别,每类数据都有明确的阈值,如果在《规定》适用的交易中,某类数据在前12个月内达到或超过相应阈值,将触发监管机制。政府相关数据则包括与军事、国家安全设施相关的精确地理位置数据,以及与政府雇员相关的敏感数据。以下为敏感个人数据的的具体类别:

 

 

禁止交易

根据《规定》,所有涉及“受规制数据”与“受规制主体”的数据经纪交易以及涉及获取大量人类基因组数据或可从中提取此类数据的人类生物样本的交易均被明确禁止。数据经纪交易(Data Brokerage)被定义为“不包括雇佣协议、投资协议或供应商协议的数据销售、数据访问许可或类似商业交易,其中数据接收方并非直接从数据相关个人处采集或处理该数据”。

除直接禁止外,《规定》要求美国实体在与任何外国主体进行涉及敏感数据的交易时,必须通过合同约束对方《规定》§ 202.302)

► 不得将相关数据转售给受关注国家或受规制主体;

► 发现违约行为须立即向司法部报告。

需注意,《规定》并不规制中国企业通过网站、App等在线服务平台直接向美国用户提供服务并从其收集数据的行为。这主要是因为该规则的上位法《国际紧急经济权力法》仅授权美国总统对特定“交易”进行限制或禁止,而直接收集数据的行为并不被视为“交易”

 

 

受限交易

除下文所述的豁免情形外,美国实体与受关注国家或受规制主体签订涉及雇佣协议、投资协议及供应商协议的受规制数据交易时均需遵守《规定》的安全要求。

根据《规定》要求,开展受限交易的美国实体须在2025年10月5日前建立完善的数据合规体系,该体系至少应包含数据流向核验机制,完整记录传输数据类型、数量及交易方身份信息等内容。此外,企业必须接受年度独立审计并保存审计报告至少十年

值得注意的是,《规定》在严格监管的同时也设置了例外情形和许可机制。 一方面,《规定》对受限交易设置了例外情形:若相关主体遵循美国网络安全与基础设施安全局(CISA)的监管要求,满足落实包括但不限于基础网络安全防护、数据访问控制、数据加密、去标识以及最小必要限制等全面的安全措施等相应条件的情况下,则可获准开展限制类交易。另一方面,针对禁止或限制类交易,《规定》同时建立了许可授权机制,规定颁发普通许可(general license)以及专项许可(specific license)以授权开展此类交易。

此外,《规定》特别强调“明知故犯”(knowingly)的规避行为,明确禁止美国主体或实体不得通过其控制的非受规制外国实体间接实施被禁止的交易《规定》 § 202.305)

 

 

豁免交易

《规定》对某些交易进行了豁免,包括个人通信、旅行、金融服务、政府公务活动等多个领域。

 

PART 2

 

受限交易合规场景解析

 

以下将针对中国出海企业较为关注的两类受限交易,通过列举具体场景,展开合规措施解析:

 

 

投资协议(Investment Agreement)

(一)已出海企业

针对已在美国投资的中国企业,需要全面梳理个人信息跨境传输的具体场景类型、传输的数据量及数据类型,并结合投资方式、持股比例等判断是否属于受限交易。如触发受限交易,则建议按照《规定》项下的具体合规要求,适时开展第三方审计、保留交易记录、提交年度报告以及制定数据合规计划,并参考美国网络安全与基础设施安全局(CISA)发布的安全指南,对个人信息所涉及的系统、工具、安全技术措施、安全管理措施等方面进行合规差距分析,推动整改工作的落实,以更好地应对个人信息跨境传输的合规挑战。

(二)未出海企业

针对拟在美国投资的中国企业,在投资前期阶段,需要对目标公司业务是否涉及大量的敏感个人数据和政府相关数据开展全面的尽职调查,以明确本次投资是否可能触发受限交易。此外,针对该合规场景,建议在拟签订的投资协议中增设相应条款对各方的权利义务进行约束。例如,在陈述与保证条款中,要求目标公司及实际控制人对其经营过程中的数据处理合法合规情况作出相应承诺;在经营情况发生变动,可能导致触发受限交易情形的,目标公司应履行相应的告知义务。同时,各方还可在投资协议中约定特定情形下的退出机制,例如在触发受限交易后,投资方可要求目标公司或者股东回购其持有的股份,又或者约定相关的赔偿责任条款。

 

 

供应商协议(Vendor Agreement)

(一)已合作企业

对于已在美国市场开展业务的受规制企业而言,新规实施带来了多方面的合规挑战,下文将通过场景列举的方式描述。

► 对于云服务商企业,若云服务商被认定为“受规制主体”(如中方持股超过50%或主要运营地在受关注国家),则相关合作将自动适用限制性交易要求。在数据存储与处理方面,云服务模式面临特殊的合规困境。当美国企业将包含敏感个人数据的业务系统部署在受规制云平台上时,即使数据物理存储位于美国境内,司法部仍可能认定存在“实质性访问风险”。

► 对于接入大模型算法或其他AI产品的企业,如果接入的大模型算法或其提供的AI产品可能导致受关注国家或受规制主体获取受规制数据,那么该企业提供算法或AI产品的行为将被视为数据经纪交易并被禁止。

(二)未合作企业

对于拟与美国实体建立商业合作的受规制企业,建议重点关注以下风险事项:

► 在业务评估阶段,企业在开展合作前应当开展全面审查,系统梳理业务场景中可能涉及的处理数据类型及处理规模,判断是否落入受规制数据的范畴,并对照各类数据的法定阈值进行评估。

► 在协议约定阶段,企业应首先审查与美国供应商或合作伙伴拟签订的协议,重点核查数据存储、处理和传输路径等条款,确保符合《规定》及《命令》的要求。其次,协议中应当明确约定如因数据违规导致处罚时的损失承担比例,明确责任;针对业务发展可能带来的数据量增长,应具体约定当数据处理量接近监管阈值时的应对方案,并设置提前预警机制,从而规避潜在风险。

 

总结

美国《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的行政命令》及《规定》的出台是全球数据治理格局深刻变革的重要标志。该《规定》以国家安全为名,实质上构建了一套具有明显针对性的数据自由流动管控体系,将对我国企业在美开展正常商业活动构成一定障碍,数据层面的“脱钩效应”将极大层面影响企业的出海运营布局。建议相关企业密切关注相关规定,及时调整合规策略,以避免法律风险。

 

作者:许瑞凤 王曼婷 王子非

审稿:梁艳芬

(文中观点不代表北源律师事务所的观点或法律意见)