2025年4月8日,拜登政府第14117号行政令正式生效,美国国家安全局(National Security Division, NSD)将根据14117实施《数据安全计划》(Data Security Program,DSP)。《数据安全计划》建立了有效出口管制措施,防止外国对手及其受其控制、管辖、所有权和指导的人员获取美国政府相关数据和大量基因组、地理定位、生物识别、健康、金融和其他敏感个人信息。为了帮助公众遵守DSP,NSD发布了合规指南、一个包含100多个常见问题的FAQs清单,以及为期90天的实施执行政策。
关于相关法规的解读可参考我们之前的文章:
本篇文章将着重参考FAQs的主要内容,为出海企业遵守数据安全计划提供合规建议。数据安全计划FAQs对行政命令14117进行了进一步的解释,并提供了关于《数据安全计划》、其范围以及申请许可证和咨询意见、披露《数据安全计划》违规行为和报告被拒绝的禁止交易的相关过程的有价值信息。FAQs反映了部门在制定规则过程中收到的全面反馈和常见问题,包括对拟议规则制定的提前通知和拟议规则制定的公开评论,以及在多次与个人、企业、贸易团体和其他利益相关者的接触中提出的问题。
背景及目标
NSD在实施和执行《数据安全计划》方面的主要任务是保护美国国家安全免受可能寻求收集和武器化美国人最敏感个人信息和政府相关数据的关注国家。受美国管辖的个人和实体,以及在美国或与美国人进行业务的外国个人和实体,必须遵守该计划。合规指南和FAQs是解释性的,旨在为受监管方提供关于遵守《数据安全计划》的一般指导。为了使私营部门能够集中其资源和精力及时遵守,并允许NSD优先考虑其资源以促进遵守,NSD将在前90天内将其执法努力集中在允许美国个人(例如个人和企业)有更多时间实施《数据安全计划》要求的变化,为公众提供更多机会与NSD互动,以及最大限度地减少对企业的潜在干扰。NSD将根据需要和适当更新这些FAQs,以解决公众提出的额外问题。
FAQ主要内容
基本计划信息
1.什么是《数据安全计划》(DSP)?
数据安全计划是由国家安全部根据行政命令14117实施的,旨在全面且主动地应对外国对手通过商业活动获取、利用和武器化美国政府相关数据及美国公民大量敏感个人数据的持续努力。
2.DSP的目标是什么?
DSP的目标是禁止或限制美国人与涉及美国政府相关数据或美国公民大量敏感个人数据的交易,特别是当这些交易可能使外国对手或受限制个人获得这些数据时。
3.行政命令14117和DSP的主要内容是什么?
行政命令14117要求司法部发布法规,禁止或限制美国人与涉及美国政府相关数据或美国公民大量敏感个人数据的交易。DSP通过28 CFR Part 202实施,明确了禁止和限制的交易类别、豁免交易、受关注国家和受限制个人等。
4.谁必须遵守DSP?
美国人(包括个人和公司)如果参与涉及美国政府相关数据或美国公民大量敏感个人数据的交易,并且与受限制个人或受关注国家有业务往来,则必须遵守DSP。非美国人也需遵守某些DSP禁令。
5.如果一个未指定的被保险个人(属于第202.211(a)(3)节或第202.211(a)(4)节的范畴,但根据第202.211(a)(5)节并未单独指定)访问美国,他们是否是美国公民,并且在他们位于美国期间是否仍然是被保护人?
在美国境内,未指定的受保护人员是美国公民,并相应地失去其受保护人员身份,因为第202.211(a)(3)和(a)(4)节中的类别仅适用于“外国人”。离开美国后,未指定的受保护人员将自动恢复为外国人,并根据202.211(a)(3)或(a)(4)成为受保护人员。然而,请注意,任何试图通过让受保护人员进入美国以接收大量美国敏感个人信息等方式,规避DSP的禁止性规定的行为,都可能构成规避行为和违反DSP的行为。
计划实施过程
6.DSP的制定过程是怎样的?
在制定过程中,NSD与私营部门、外国合作伙伴和其他利益相关者进行了广泛咨询。在发布最终规则前,NSD还公开征求了公众意见。
生效日期与执法
7.DSP的生效日期是什么?
DSP的主要规定自2025年4月8日起生效,但某些肯定性义务(如尽职调查和审计要求)自2025年10月6日起生效。NSD在生效后的前90天内将重点放在促进合规上,而不是优先执行民事处罚。
禁止与限制的交易
8.哪些交易受到DSP的禁止或限制?
DSP禁止或限制涉及数据经纪、供应商协议、雇佣协议和投资协议的某些交易,特别是当这些交易可能使外国对手或受限制个人获得美国政府相关数据或美国公民大量敏感个人数据时。
9.什么是数据经纪?
数据经纪一词指的是数据销售、数据访问许可或类似商业交易,不包括雇佣协议、投资协议或供应商协议,涉及从任何人(提供者)向任何人(接收者)转移数据的情况,其中接收者并未直接从与所收集或处理的数据相关联的个人处收集或处理数据。此定义涵盖了第一方数据经纪(由直接收集美国个人数据的人进行)和第三方数据经纪(由未直 接收集美国个人数据的人进行,例如后续转售商)。
10.DSP关于限制性交易的规定是否阻止美国个人雇佣、与或接受受保护个人或相关国家的投资?
否。例如,一份受限制交易的雇佣协议要求美国员工遵守CISA的安全要求,包括数据级别的要求, 以降低被覆盖人员访问可链接、可识别、未加密或使用常见技术可解密的数据 的风险。DSP并不全面禁止美国公司向被覆盖人员提供雇佣机会。作为实际操作,NSD预计遵守安全要求通常不会导致实际上禁止受限交易,而是通常允许受限交易继续进行。例如,持有大量美国敏感个人数据的美国企业可以通过遵守安全 要求来拒绝或以其他方式限制该企业人员访问这些数据,从而接受来自受保护人员的投 资或将受保护人员聘为董事会董事(即受限交易)。在这些受限交易中,被覆盖人员可以在不访问该数据的情况下履行其职责(或者如果受DSP约束的实体已经制定了充分的 数据级要求,除了组织和系统级要求之外,还可以访问该数据)。
当然,确实存在一种情况,即在部门认为相对罕见的情况下,被覆盖人员作为受限交易的一部分所提供的唯一服务可能需要访问可链接、可识别、未加密或使用常见技术可解密的数据, 以至于遵守安全要求会阻止该交易。 由于遵守安全要求会阻止提供服务,在 这种情况下,如果没有授予特定许可授权,则该受限交易实际上可能被禁止。这一结果与允许被覆盖人员访问底层数据所带来的不可接受的国家安全风险是一致的。
豁免与例外
11.DSP有哪些豁免情况?
对于某些被禁止或受限制的交易,企业和个人可以申请一般许可或特定许可,以获得豁免。DSP提供了多种豁免情况,包括但不限于个人通信、信息材料、官方政府业务、金融服务、企业集团内部交易等。此外,NSD还可以根据具体情况颁发一般许可证或特定许可证。
12.什么是通用许可证和特定许可证?
许可证是NSD授权进行禁止或受限交易的许可。许可证分为两种:一般许可证和特定许可 证。NSD可随时自行决定撤销或修改这两种许可证。
(1)一般许可证授权特定类型交易给某一类人。一般许可证是自动执行的,这意味着只要交易符合一般许可证中规定的某些条款和条件,人们就可以在美国或美国人士的交易中无需申请特定许可证而参与。个人无法申请一般许可证。一般许可不免除遵守其他机构管理的任何法律或法规(包括适用于许可交易和活动的 报告要求);不使被许可人或第三方因违反任何法律或法规而免于民事或刑事责任;不构成关于任何法律或法规适用性的事实认定或法律结论。
(2)NSD可能会向特定个人或实体发放特定许可证,授权其进行特定交易或一系列交易,以回应书面许可申请。特定许可证不可转让,仅限于申请的具体事实和情况,并受DSP和第 14117号行政命令的规定约束。从事特定许可证交易的人员必须确保严格遵守许可证的所有条件,包括报告要求。NSD可自行决定自许可证签发之日起,或因申请人或其代理人故意虚假陈述而签发的特定许可证自其他任何日期起,宣布该特定许可证无效。特定许可证同样不免除遵守其他机构管理的任何法律或法规(包括适用于许可交易和活动 的报告要求);不使被许可人或第三方免于因违反任何法律或法规而承担民事或刑事 责任;不构成关于任何法律或法规适用性的事实认定或法律结论。
13.我的执照申请被批准的可能性有多大?
NSD在执行和实施第14117号行政命令及《数据安全计划》 (28 C.F.R.第202部分)的主要 任务是保护美国人免受可能收集并武器化美国人最敏感数据的国家的威胁。为了应对这些关注国家持续努力获取美国人大量敏感个人数据和与美国政府相关的数据所带来的对美国国家安全和外交政策的异常且非同寻常的威胁,鉴于《数据安全计划》的禁令和限 制措施是针对这一风险量身定制的,NSD将对所有许可证申请适用“拒绝推定 ”标准。每个申请都将逐案审查。通常情况下,为了克服这种假设,许可证申请需要明确指出支持 发放特定许可证的有力反面考虑(例如紧急情况或对公共安全或国家安全的迫在眉睫的威胁)。 申请人在申请许可证前应考虑这些考虑是否存在。NSD将在国务院、商务部和国 土安全部的配合下,并与其他相关机构协商,颁发、修改、变更或撤销一般或特定许可证。
14.什么时候可以提交我的特定许可证申请?
NSD将在前90天内集中执法努力,以便美国个人(例如,个人和公司)有更多时间实施DSP所需的变化,为公众提供更多机会与NSD就DSP相关查询进行互动,以及最大限度地减少对企业的潜在干扰。
具体来说,只要个人在2025年4月8日至7月8日期间真诚努力遵守或符合DSP,NSD将不会优先考虑对任何人的DSP违规行为进行民事执法行动。这些努力包括在2025年7月8日之前进行NSD数据安全实施和执法政策中列举的活动,包括修改或重新谈判现有合同、进行数据流内部审查、部署CISA安全措施等。
如果此类人员未真诚努力遵守或符合DSP,本政策不影响NSD在法律授权和自由裁量权范围内进行民事执法。
受关注国家和受限制个人
15.哪些国家被视为受关注国家?
受关注国家包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。
16.什么是受限制个人?
受限制个人包括总部位于受关注国家的外国实体、受关注国家或受限制个人拥有50%或以上股权的外国实体、主要居住在受关注国家的外国个人等。
17.DSP是否禁止美国公民雇佣关注国家的公民,无论他们身在何处,或禁止非美国人居住在关注国家?
否,除非是第202.303节中描述的禁止交易。此外,再次排除第202.303节中描述的受保 护数据交易,DSP并不禁止与关注国家的个人或受保护人员雇佣的供应商签订雇佣或供应 商协议。相反,只要参与这些协议的美国人员遵守某些条件——最显著的是实施CISA安全要求, 以确保受保护人员的员工或供应商无法访问政府相关数据或大量美国数据—— DSP允许这些雇佣和供应商协议继续进行。敏感的个人数据,可链接、可识别、未加密或 使用常见技术可解密,由受保护人员和关注国家使用。
如上所述,涉及供应商、雇佣或投资协议的涵盖数据交易, 以及涉及关注国家或受保护人员访问可从中提取此类数据的大量人类基因组数据或人类生物样本的交易, 是禁止交易——而非受限交易——并且受第202.303节中的禁令约束。
数据类别与阈值
18.DSP保护哪些类型的数据?
DSP保护美国政府相关数据和六类敏感个人数据,包括人类基因组数据、生物识别标识符、精确地理位置数据、人类基因组数据、个人健康数据、个人财务数据等。当这些数据达到一定的阈值时,被视为大量数据。
19.个人健康数据是否仅限于与医疗保健专业人士和机构进行交易或由其收集或持有的数据?
否。根据第202.241条定义的个人健康数据不仅限于仅由医疗保健专业人士和机构收集的数据。相反,“个人健康数据 ”这一术语适用于任何符合定义的数据,无论收集或持有这些数据的实体是谁,也不论涉及的数据交易类型如何。例如,它包括锻炼习惯的日志, 这些日志可能由健身应用程序收集。因此,DSP对“个人健康数据 ”的定义在这方面与其它法案中对“健康信息 ”的定义不同。
20.美国敏感个人数据的定义是否排除了匿名化、去标识化、假名化或聚合的数据?
否。大批量美国敏感个人数据是指与美国有关的敏感个人数据的集合或一组。人员,无论数据是否匿名化、假名化、去标识化或加密,只要这些数据达到或超过规定的适用阈值。即使匿名化的数据,在汇总后仍可能被关注国家和受保护人员用于识别个人并进行涉及国家安全风险的恶意活动,这是E.O. 14117旨在解决的问题。数据保 护标准包括敏感个人数据,这些数据在敏感个人数据范围内被匿名化、假名化、去标识化或加密,然后授权三种受限交易类别,前提是它们满足CISA的安全要求,包括允许使用足够有效的技术来实现数据最小化和掩蔽、加密和/或隐私增强技术,并且遵守数据保护标准的其他适用要求。
21.敏感数据阈值规则?
敏感个人数据的阈值基于过去12个月(DSP生效后)内收集或保存的数据量,具体标准如下:
人类组学数据:超过1,000名美国人的数据。
人类基因组数据:超过100名美国人的数据。
生物识别标识符:超过1,000名美国人的数据。
精确地理定位数据:超过1,000个美国设备的数据。
个人健康数据:超过10,000名美国人的数据。
个人财务数据:超过10,000名美国人的数据。
特定个人标识符:超过100,000名美国人的数据。
敏感个人数据相关的交易需要达到一定数据规模才会触发监管,具体为过去12个月的任一时间内,无论单次还是累计,满足或超过上述阈值的敏感个人数据总量。若数据包含多个类别的组合,或包含与上述类别相关联的标识符,且任何单一数据类型达到该类别的最低人数或设备数的阈值累积数量,也将触发监管。在计算敏感个人数据的规模时是否达到“大量”时,无需考虑此类数据是否经过匿名化、假名化、去标识化或者加密,也不考虑数据的存在形式。
合规要求
22.美国人如何遵守DSP?
美国人需要开发、实施并更新合规计划,该计划应基于其个体化的风险状况。合规计划应包括数据识别、风险评估、政策制定、员工培训、尽职调查、审计和报告等措施。
23.“ 了解您的数据 ”要求是什么?
“ 了解数据 ”要求特别规定,从事受限交易的美国人员应制定并实施数据合规计划,包括基于风险的程序, 以验证数据交易,包括交易中涉及的数据类型和数量、交易当事人的身份以及数据的最终用途。
更广泛地说,作为基于风险的合规计划的一部分,NSD要求美国个人和实体在处理与政府相关的数据以及大量敏感的美国个人数据时,采取合理措施了解其数据。选择参与这些数据交易类别的公司应当了解其所拥有的数据量及其类型,并明确交易对象。
24.是否要求美国人员每年向NSD提供审计报告?
否。美国人士从事受限交易时,必须保留与记录保存要求一致的审计报告,并且只有在 被要求时才需向NSD提供这些报告。NSD可以请求,或根据第202.1102条行使传票权强制 公司提交其审计报告,并可将此类审计报告作为证据使用,包括在任何执法行动中,如 果报告证明公司未能遵守DSP。提交给NSD的任何审计报告均需遵守现有法律关于保护机 密或专有信息的要求。
25.美国人士能否使用为其他目的完成的审计来遵守DSP?
是。DSP要求公司对其遵守DSP的情况进行审计,但不要求公司单独进行审计以遵守审计 要求。但是,审计必须具体、充分和明确地解决DSP中规定的审计要求。
26.美国公民需要保留哪些文件以遵守第202.1002和202.1101条?
从事受限交易的美国人士必须保留至少10年内审计报告,并符合第202.1101节的记录保存要求。根据第202.1101节,参与受DSP条款约 束交易的美国人士必须完整准确地记录每一笔此类交易,并且这些记录应在交易日期后的至少10年内可供查阅。第202.1101(b)节列出了参与任何受限交易的美国人士必须维护的记录基线。DSP规定了最低限度的记录保存义务。美国人士必须制定保留政策和程序, 至少与DSP保持一致,并基于公司的个别风险概况,这可能因多种因素而异,包括美国人士的规模和成熟度、产品和服务、客户和交易对手以及地理位置。另外请注意,记录保存要求不适用于豁免交易,除非作为特定豁免条件所要求的。
执法与处罚
27.违反DSP会受到哪些处罚?
违反DSP可能面临民事和刑事处罚。民事处罚的最高限额为交易金额的两倍或368,136美元(以较高者为准),并可根据通货膨胀进行调整。刑事处罚可能包括罚款和监禁。
28.NSD如何执行DSP?
NSD将通过调查、听证、传票等方式执行DSP。同时,NSD也鼓励美国人自愿披露可能的违规行为,并可能将自愿披露作为减轻处罚的因素。
以上是对数据安全计划(DSP)常见问题解答的整理,涵盖了DSP的概述、基本计划信息、实施过程、生效日期与执法、禁止与限制的交易、豁免与例外、受关注国家和受限制个人、数据类别与阈值、合规要求以及执法与处罚等方面。
合规建议
在90天的宽限期(至2025年7月8日)届满之前,司法部将重点支持企业和个人的合规工作,而非优先执行处罚。尽职调查、报告和审计要求将于2025年10月6日生效,给予企业更多时间调整内部政策和流程。企业需要高度重视,积极应对,确保合规经营,并在挑战中寻找新的发展机遇:仔细阅读 14117 号命令、实体清单和相关指南文件,全面了解法规要求;企业应全面审查其持有和处理的数据类型和数量,确定是否涉及政府相关数据或大规模敏感个人数据;评估与关注国家或其控制的个人、实体的交易,确定是否属于受管制交易; 制定并实施有效的合规计划,确保您的业务活动符合法规要求,包括数据处理、交易审批、记录保存和报告机制;必要时咨询专业的法合规专家,获取专业的建议和支持。
Kaamel 提供的合规服务
如果您的企业还未进行足够的合规准备,届时将面临更严格的审查和高额罚款。
作为专业的隐私合规和数据安全咨询公司,Kaamel 提供全方位的合规服务,帮助企业顺利应对最终规定的合规挑战。我们可以为您的企业提供以下服务:
- 尽调相关服务:为企业提供相关尽职调查支持,帮助您回应最终规定下的尽调问卷,明确是否属于“受限主体”,并提供合规分析与整改建议。
- 合规检测服务与报告:提供专业的合规检测服务,评估您企业当前的数据处理流程和跨境数据传输情况,并出具合规分析报告,帮助您识别潜在合规风险。
- 合规治理方案制定:为企业合规团队提供支持,协助制定或优化合规治理方案,确保数据处理活动符合美国及其他司法管辖区的隐私与安全要求。
- CISA安全差距分析与整改建议:我们提供CISA(美国网络安全和基础设施安全局)安全差距分析,帮助企业发现并修补信息安全体系中的漏洞,提升整体安全性和合规性。
- 数据安全合规计划书编制:根据最终规定要求,帮助企业编制数据安全合规计划书,并针对禁止交易、受限交易进行二次梳理,确保合规操作。
- 受限交易记录机制建设:协助企业建立受限交易记录机制,确保所有敏感数据的跨境传输符合合规要求,并协助洽谈外部合规审计,确保数据传输的合规性。
- 本地化咨询与代运维托管服务:提供终局计划运营的本地化咨询,帮助企业根据目标市场的合规要求调整运营策略,提供美国数据中心环境的代运维托管服务。
