背景
美国司法部在2025年1月8日正式发布关于实施拜登政府第14117号行政令的最终规则(以下简称“最终规定”)即将于今日(2025年4月8日)正式生效。随着最终规定的正式生效,全球企业在数据跨境流动和敏感个人信息处理方面的合规挑战变得更加严峻。
法规回顾
过往关于相关法规的精彩内容
我们之前几篇文章有对该法规做出分析解读,现在简单的回顾一下核心内容。
最终规则适用于美国主体(US Persons),并限制其与受限制主体通过进行受限或禁止的交易,允许受限制主体访问大量美国敏感个人数据或政府相关数据。受关注国家(Countries of Concern)包括中国(含香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
EO.14117行政令生效,其初步影响已开始显现
不少美国企业已经开始因最终规定撤出中国市场,或调整其与中国企业的合作模式,以应对日益严格的跨境数据监管。
自今年1月8日以来,我们收到大量客户的询问,尤其是那些在全球范围内开展业务的客户。许多客户的美国合作方已经发送了尽调问卷,要求他们明确是否属于最终规定下的“受限主体”或受到该规定的其他影响。
近日我们看到一家国际跨境支付平台已经开始考虑调整其在中国的人员结构,此决定考虑了包括以应对EO 14117最终规定带来的合规挑战,需要重新评估他们的数据处理、人员配置以及在中国市场的整体商业模式;又有美国的科技巨头准备停止在中国地区提供某些服务;更有美国国家级别数据库禁止中国用户使用等等。这些案例只是一个开始。预计会有更多美国企业按照最终规定进行调整。这一变化无疑加剧了对合规的关注。
对于有美国实体的企业来说,合规的责任更加直接和紧迫。您是否已经采取了合规行动?您是否已经准备好回应尽调问卷?如果您还未采取具体行动,现在需要抓紧了。
Kaamel为您提供的合规服务
4月8日的生效仅是合规时间点的第一步。接下来下个关键的日期是2025年10月6日,届时,更多针对“受限交易”的调查和报告要求将正式生效。这意味着,如果您的企业还未进行足够的合规准备,届时将面临更严格的审查和高额罚款。
作为专业的隐私合规和数据安全咨询公司,Kaamel 提供全方位的合规服务,帮助企业顺利应对最终规定的合规挑战。
我们可以为您的企业提供以下服务:
- 尽调相关服务:为企业提供相关尽职调查支持,帮助您回应最终规定下的尽调问卷,明确是否属于“受限主体”,并提供合规分析与整改建议。
- 合规检测服务与报告:提供专业的合规检测服务,评估您企业当前的数据处理流程和跨境数据传输情况,并出具合规分析报告,帮助您识别潜在合规风险。
- 合规治理方案制定:为企业合规团队提供支持,协助制定或优化合规治理方案,确保数据处理活动符合美国及其他司法管辖区的隐私与安全要求。
- CISA安全差距分析与整改建议:我们提供CISA(美国网络安全和基础设施安全局)安全差距分析,帮助企业发现并修补信息安全体系中的漏洞,提升整体安全性和合规性。
- 数据安全合规计划书编制:根据最终规定要求,帮助企业编制数据安全合规计划书,并针对禁止交易、受限交易进行二次梳理,确保合规操作。
- 受限交易记录机制建设:协助企业建立受限交易记录机制,确保所有敏感数据的跨境传输符合合规要求,并协助洽谈外部合规审计,确保数据传输的合规性。
- 本地化咨询与代运维托管服务:提供终局计划运营的本地化咨询,帮助企业根据目标市场的合规要求调整运营策略,提供美国数据中心环境的代运维托管服务。
结语
随着EO14117的最终规定正式生效,全球企业面临的数据隐私合规挑战将更加严峻。如果您的企业计划拓展国际业务,尤其是在涉及中国等高风险区域时,早晚需要面对这些合规挑战。及时了解并准备应对是每个出海企业的必修课。早做准备,不仅能避免未来的合规风险,还能为您的国际业务奠定稳固的基础。如果您还未开始合规准备,立即与Kaamel取得联系,确保您的企业符合所有数据合规要求,顺利应对即将到来的全球合规挑战。此规定的实际影响不仅仅是关于敏感个人信息,而是关于跨境数据合规的全面要求。
