观察|美国“数据脱钩”新规进入全面实施阶段

优投会员 广东项目

发布时间:2025-09-29

关键字: 数据合规计划年度审计受规制主体敏感个人数据供应链筛查

10月6日,美国司法部(DOJ)发布的《关于防止受关注国家及相关主体访问美国敏感个人数据和政府相关数据的规定》的最终规则(简称“《14117最终规则》”)将全面实施,禁止或限制“美国人”与受关注国家及其“相关主体”进行某些数据交易。

走出去智库(CGGT)特约法律专家、金杜律师事务所合伙人赵新华认为,《14117最终规则》自2025年4月8日生效以来,触发该新规的企业均受到较大程度的影响。企业应至少每年一次全面审查企业数据流向、供应链结构、交易主体信息等,识别涉及或可能涉及大量美国敏感个人数据或政府相关数据的数据经纪交易、雇佣协议、供应协议或投资协议。

美国数据新规有哪些影响?如何应对?今天,走出去智库 (CGGT) 刊发金杜律师事务所赵新华、单文钰、司马丹旎的文章,供关注美国数据政策的读者参阅。

要点

1、为制定稳健的数据合规计划,美国人可定期(理想情况下至少每年一次)或在特定情况发生(如投资并购、内部审计或业务过程中发现合规风险)时开展风险评估,依据其业务活动和风险偏好评估可能面临的潜在问题。

2、较为有效的内控措施是任命和授权合规人员,并建立正式的逐级上报程序以审查高风险交易,包括评估交易是否需要向美国司法部国家安全司(NSD)寻求特别许可、咨询意见或进行主动自我披露。

3、数据合规计划的书面政策须由负责合规的企业管理人员或员工每年确认,并确保其内容切实反映业务实际,能被员工理解和执行。

正文

前言

美国“数据脱钩”新规即美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)之最终规则《防止受关注国家或受规制主体获取美国敏感个人数据和政府相关数据》(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)(“《14117最终规则》”)自2025年4月8日生效以来,触发该新规的企业均受到较大程度的影响。

2025年10月6日,《14117最终规则》将进入全面实施阶段。

以下是《14117最终规则》发布以来的几个关键时间节点:

2025年4月8日,《14117最终规则》正式生效,绝大部分禁止与限制性规定开始实施,但美国司法部设定了为期三个月的执法宽限期。

在该宽限期内,只要美国人(包括个人和实体,定义详见《14117最终规则》,下同)“秉持善意努力遵守”《14117最终规则》,美国司法部国家安全司(National Security Division,“NSD”)将不会优先对违反《14117最终规则》的行为采取民事执法行动。

2025年7月8日,执法宽限期结束,NSD可能对所有违反《14117最终规则》的行为采取执法行动。

2025年10月6日,《14117最终规则》全面实施,包括数据合规计划、年度审计及特定报告等要求。

本文将重点介绍《14117最终规则》即将于2025年10月6日实施的合规要求。对于《14117最终规则》基本框架和概念的介绍,以及对其配套文件的解析,可分别参见《美国“数据脱钩”新规——中国企业应对14117最终规则之十问十答》和《美国司法部就“数据脱钩”新规出台配套实施文件及合规指南》。

01 、2025年10月6日即将生效的合规义务

1. 尽职调查

自2025年10月6日起,开展被限制的交易的美国人应制定并实施数据合规计划(Data Compliance Program),以对被限制的交易开展尽职调查。

数据合规计划应至少包括以下内容:

(1)用于核实被限制的交易中涉及的数据流的风险验证程序,包括验证并以可审计的方式记录:(a)任何被限制的交易中涉及的大量美国敏感个人数据或政府相关数据的类型和数量;(b)交易各方的身份,包括实体的权属信息或个人的国籍或主要居住地;(c)数据的最终用途和数据的传输方式。

企业的风险状况可能取决于多种因素,包括企业规模与复杂程度、产品与服务类型、客户与交易对手方类型以及地理分布等。为制定稳健的数据合规计划,美国人可定期(理想情况下至少每年一次)或在特定情况发生(如投资并购、内部审计或业务过程中发现合规风险)时开展风险评估,依据其业务活动和风险偏好评估可能面临的潜在问题。此类风险评估可用于检查企业当前的数据持有情况,以及与供应商、员工或投资协议相关的合规情况。风险评估的审查内容包括:(a)现有的安全措施;(b)供应商、投资者和员工的情况;(c)提供的产品和服务;(d)适用的一般许可或特定许可或豁免;以及(e)企业及其关联方、供应商、交易对手方的地理 ....

登录阅读全文 查看优投独家解读

浏览次数:76次浏览

优投平台部分资讯内容来自网络,转载已注明出处,如有勘误请您随时与我们联系YTservice@jiangtai.com,侵权立删。

最新推荐