正策新闻
正策关注|美国数据跨境新规:EO 14117最终规则及其配套实施文件浅析
美国总统拜登任职期间,拜登政府对国家安全战略进行了调整,从特朗普第一任期内仅针对少数中国企业的做法,转而采取了一种更广泛战略,即基于证据并使用严格的分析方法来评估对美国国家安全的威胁。作为战略的一部分,拜登政府颁布了两项行政命令——第14083号行政令和本文解读的第14117号行政令《关于防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern, 以下简称“EO 14117”)。特朗普总统第二次上任伊始便撤销了拜登政府的78项行政命令,然而EO 14117并未被撤销。EO 14117旨在限制“受关注国家”获取特定个人数据,同时授权美国司法部对涉及批量美国人敏感个人数据和政府相关数据的交易实施限制。2024年12月27日,美国司法部的下属机构国家安全司发布《实施EO 14117的最终规则》(Final Rule Implements Executive Order to Prevent Access to Americans’ Bulk Sensitive Personal Data and U.S. Government-Related Data by Russia, Iran, China and Other Countries of Concern, 以下简称“最终规则”),为EO 14117确立了适用规则。2025年4月11日,美国国家安全司发布了以下三份说明性文件以进一步推进最终规则的实施:《合规指南》、《常见问题解答FAQs》和《至2025年7月8日的实施与执法政策》。可以将这三份文件理解为最终规则的简化浓缩版,以便普罗大众也可以较为容易地了解EO 14117实施范围和目的,但EO 14117的实施落地还是要回归最终规则本身。2025年4月8日,EO 14117最终规则正式生效,其中关于尽职调查、审计和报告义务的规则将于2025年10月6日起实施。EO 14117的规制范围可以拆解为一个公式:禁止或者限制①落入规制范围的主体就②受规制的数据类型进行的③某些交易①落入规制范围的主体:美国实体(U.S. Person)&受关注国家(Country of Concern)和受规制主体(Covered Person)(需注意,该法禁止/限制的直接对象是美国实体而不是受规制主体)②受规制的数据类型:美国人的批量敏感个人数据(Bulk U.S. Sensitive Personal Data)&美国政府相关数据(U.S. Government-related Data)③受规制的交易类型:被禁止的交易(Prohibited Transaction)&受限制的交易(Restricted Transaction)(最终规则还明确了被豁免的交易(Exempt Transaction)类型)此外,针对③所涉及的受规制的交易,美国实体还需要满足一定的合规义务。本文将从上述重要要素入手,基于最终规则及其配套文件,针对EO 14117相关政策进行解读。2.任何根据《美国法典》第8编第1157条获得难民身份的人,或根据《美国法典》第8编第1158条获得庇护的人;1.任何仅根据美国法律或美国任何辖区法律设立的实体及其分支机构。问:一家根据美国特拉华州法律设立的企业A在中国境内设立了一家全资子公司B,请问两家企业是否是美国实体?答:企业A是美国实体,企业B不是美国实体(因为企业B是根据中国法律设立的独立实体)。值得注意的是,根据最终规则,除非被美国司法部指定为受规制主体,否则美国实体不可能会是受规制主体。最终规则罗列了美国司法部已经认定的受关注国家名单,其中包括:中国(含中国香港和澳门)、朝鲜、古巴、伊朗、俄罗斯和委内瑞拉。1.直接或间接,单独或合计由一个或多个受关注国家持有50%或以上股份的实体,或根据受关注国家法律设立的实体,或主要营业地在受关注国家的实体;2.直接或间接,单独或合计由第1、3、4、5点所述主体持有50%或以上股份的实体;3.作为受关注国家的雇员或承包商的个人,或作为第1、2、5点所述主体的雇员或承包商的个人;4.主要作为受关注国家领土管辖范围内的居民的个人。5.如被美国司法部长认定由受关注国家拥有或控制,或由受关注国家管辖或指导,或存在其他情形,那么这些主体也会被指定为受规制主体,美国司法部会发布并定期更新非穷尽的“受规制主体名单”。第5点规定扮演了类似兜底条款的角色。比如说,即使受关注国家持股小于50%,如果被美国司法部长认定存在控制或接受受关注国家指导等情形,美国司法部也有可能将其列入受规制主体名单。问:一位主要居住在中国的外国人A持有一家根据美国特拉华州法律设立的企业B的100%股权,请问外国人A和企业B是否属于受规制主体?答:企业B是美国实体,不属于受规制主体;外国人A是受规制主体。
美国人的批量敏感个人数据是指以任何形式收集或存储的与美国个人相关的敏感个人数据,无论该数据是否经过匿名化、假名化、去标识化或加密处理,只要该数据符合或超过一定数量门槛。统计数据数量的时间点为过去12个月的任一时间内,单次或累计,满足或超过一定数量门槛。请注意,如果是组合数据,数量门槛按照最低的门槛标准来适用。
受规制交易是指任何涉及受关注国家或受规制主体获得任何受规制的数据的交易,且该交易涉及以下任一情形:(1)数据经纪;(2)供应商协议;(3)雇佣协议;或(4)投资协议。问:受规制主体与美国实体签订供应商协议,该协议涉及美国实体访问受规制主体已持有的美国人的敏感个人数据。该供应商协议是否构成受规制交易?答:该供应商协议不构成受规制交易,因为该交易不涉及受规制主体对数据的获取。受规制交易(被禁止的交易及受限制的交易)以美国实体明知并指示(direct)为前提。“明知”一词是指行为人知道或在合理范围内应当知道该行为、情形或结果。最终规则非穷尽式列举了几种情形,从这些情形中可以看出“明知”的认定门槛不高。例1:数个美国实体设立、拥有并运营一家不属于受规制主体的外国公司,该外国公司在美国实体的运营下,从事了若由美国实体实施则就会被禁止的受规制数据交易。美国实体在明知的情况下指示了被禁止的交易。例2:一家美国银行处理了一笔美国实体向受规制主体的转账,该笔转账属于该美国实体参与被禁止的交易的一部分。该美国银行并未在明知的情况下指示进行被禁止的交易(尽管该美国实体的受规制交易仍属于被禁止的交易)。1.数据经纪交易(data-brokerage transactions)数据经纪交易涉及买卖数据或许可访问数据或类似商业交易,包括从任何人员(提供方)向任何其他人员(接收方)转移数据的情形,其中接收方不直接从个人处收集或处理该数据。例:一家母公司位于中国的美国子公司开发了一种AI聊天机器人,该聊天机器人在回答问题时,能够复制或以其他方式披露用于训练该聊天机器人的大量美国敏感个人健康数据。美国子公司在明知的情况下在全球范围内许可他人(包括一部分受规制主体)以订阅的方式使用这款聊天机器人。美国公司的该种行为构成被禁止的数据经纪交易。此外,最终规则还禁止间接与受关注国家或受规制主体进行被禁止的交易行为。美国实体不得在明知的情况下与不属于受关注国家或受规制主体的外国实体进行涉及数据经纪的数据交易,除非该美国实体(1)以合同形式要求该外国实体避免与受关注国家或受规制主体进行该类数据交易;(2)报告任何已知或疑似违规行为。合规指南给出了合同条款的官方示例供大家参考(比起其他变体,合规指南的原文肯定更加权威):2.人类组学数据交易和生物样本交易(human `omic data and human biospecimen transactions)其中生物样本是指能够可用于提取大量人类组学数据的人类生物样本,但不包括任何仅供接收者用于诊断、治疗或预防任何疾病或医疗状况的人类生物样本。除非得到许可或者被豁免,美国实体不能在明知的情况下参与受限制的交易,除非美国实体遵守安全要求、数据合规计划要求、审计要求和记录保存要求(具体要求见本文“合规要求”部分内容)。供应商协议是指除雇佣协议以外涉及一方向另一方提供货物或服务(包括云计算服务)以换取钱款或其他对价的任何协议或安排。例:一家美国公司开发一款收集美国用户的大量精准地理位置数据和生物识别标识符的手机游戏。该美国公司将部分软件开发工作外包给一家主要居住在受关注国家且属于受规制主体的外国人。与该外国人签订的合同为供应商协议。在该外国人根据合同提供的软件开发服务涉及访问大量精确地理位置数据和生物识别标识符的情况下,此类交易属于受限制的交易。雇佣协议是指个人(不包括作为独立承包商)直接为他人提供工作或履行工作职责,以换取报酬或其他对价的任何协议或安排,包括在董事会、委员会或在运营层面任职的人和高管。投资协议是指获得对(1)位于美国境内的不动产或(2)美国法律实体的直接或间接所有权或相关权利的协议或安排。最终规则明确将被动投资(passive investments)排除在外。被动投资类型包括:投资公开交易的证券、指数基金等或担任无管理权的纯出资型有限合伙人,且受规制主体在美国实体中的股权比例与投票权低于10%且仅享有合理范围内的少数股东权利。最终规则§202.501~§202.503明确了三种适用全文规定的豁免情形,只包含以下数据的交易部分属于被豁免的交易:除此之外,最终规则针对受规制交易、尽职调查与审计、报告与记录保存部分规定给予了八项豁免。最终规则这部分规定主要针对受限制的交易。对于被禁止的交易,最终规则规定了被拒绝的禁止性交易的报告义务:如美国实体在2025年10月6日(含)之后收到并拒绝(包括系统自动拒绝的情况)他人提出的进行被禁止的交易的要约,那么美国实体就必须在拒绝之日起14日内提交报告,报告内容包括拒绝交易的美国实体的名称和地址以及被拒绝的交易的描述。在2025年10月6日之前,参与受限制交易的美国实体应当建立并实施数据合规计划。数据合规计划应至少包含:1.用于核实任何受限制交易中涉及的数据流的基于风险的程序,包括以可审计的方式核实和记录以下内容的程序:(1)交易中涉及的政府相关数据或美国人的批量敏感个人数据的类型和数量;(2)交易主体的身份;及(3)数据的最终用途和传输方式。2.对于涉及到供应商的受限制交易,必须有可以核实供应商身份的基于风险的程序。3.描述数据合规计划的书面政策,并且每年由负责合规的员工进行认证。4.说明安全要求的执行情况的书面政策,并由负责合规的员工每年进行认证;以及在2025年10月6日之前,参与受限制交易的美国实体应当进行审计。(三)报告和记录保存要求(Reporting and Recordkeeping Requirements)参与受限制交易和拒绝禁止性交易的美国实体必须保留完整、准确的关于交易的记录,并且将该记录保留至少10年。对于参与受限制交易的美国实体,保留的可供审计的记录至少包含:描述数据合规计划的书面政策;描述安全要求的实施情况的书面政策;核实美国实体遵守安全要求和许可条件(如有)的年度审计结果;核实受限制交易中数据流的尽职调查文件;数据传输的方法;交易起始终止日期;与交易有关的合同;相关许可和咨询意见的副本;司法部长颁布的原始文件的编号;与交易有关的收到的和创建的文件;及员工对尽职调查记录的完整性和准确性进行的年度认证。安全要求(Security Requirement for Restricted Transactions,由美国网安局根据EO 14117要求颁布)旨在降低因参与受限制交易而产生的与受关注国家或受规制实体分享受规制数据的风险。安全要求分为(1)组织和系统级别的要求(Organizational- and System-Level Requirements)以及(2)数据级别的要求(Data-Level Requirements)2类。该部分要求主要针对受规制系统(Covered System)。简言之,受规制系统指的是与受限制交易中涉及的受规制数据产生交互(如:获取、读取、复制、编辑、影响、解密、收集、使用等等)的信息系统。对于任何受限制交易,美国实体必须采取一定综合措施以完全有效地防止受规制主体和/或受关注国家使用普遍可获得的技术访问可链接、可识别、未加密或解密的受规制数据。采用2种策略,(1)数据最少化策略:以分别减少对被遮挡数据的收集需要;和(2)数据遮挡策略:以充分混淆受规制数据从而防止该等数据的可见性,同时不妨碍从事受限制交易的美国实体开展使用该等数据的业务。如:制订并执行书面的数据保留和删除政策。运用加密技术保护受限制交易过程中的受规制数据,包括全面加密(在数据传输和存储的过程中)和密钥管理(如:受规制数据与密钥分离、不在受关注国家存储密钥等等)。采用增强隐私的技术处理受规制数据,例如:隐私计算或差分隐私技术(如,在数据处理过程中加入噪声以防止从已处理数据中识别受规制的数据)。配置身份和访问管理技术,以拒绝受规制主体和受关注国家对系统中的受规制数据的授权访问。针对受规制的交易(被禁止的交易和受限制的交易),司法部有权给予2种许可:(1)一般许可;(2)特定许可。如果司法部针对某些交易已经给予了一般许可,那么司法部将不会给予同样的交易特定许可。一般许可授权是自动执行的,允许实体从事某些交易而无需申请特定许可。在决定是否给予一般许可时,司法部长可能会考虑任何联邦部门或机构或任何其他来源提供的司法部长认为相关的信息或材料(无论这些信息是否属于机密信息)。人们可以在国家安全司网站上查询公布的一般许可,需要注意的是,一些一般许可可能有时间限制,比如过了某个时间点美国实体就必须停止涉及到的交易活动。获得某些一般许可的实体可能会被要求按指示提交报告和报表。如果未能及时提交,一般许可授权可能会失效。没有获得一般许可的交易经申请可以在特定情况和条件下获得特定许可授权。违反最终规则的美国实体可能面临民事或刑事的处罚。其中,民事罚款最高可达368,136美元或违规行为所基于的交易涉及到的金额的2倍,以两者中金额较大的为准。针对刑事处罚,一经定罪,罚款最高可达100万美元,自然人可能面临20年以下的监禁。某中国车企A向其美国关联公司B(非分支机构)提供车辆运维服务,具体体现为:公司B的员工(均长期居住在美国境内且只有100人左右)在收到最终用户(消费者)提出的车辆故障处理请求后,可选择以电话或者邮件的方式向车企A的运维组员工提交运维请求。运维组员工独立完成调查、诊断、问题解决的工作并反馈解决方案。车企A基于运维请求所收集的数据包括发送运维请求的公司B的员工的姓名、电话等个人信息以及故障信息,还可能涉及到最终用户的车辆VIN码信息(最终用户都是在美国境内的人或美国籍公民),其余信息均不涉及(如国家信息、地理位置信息、车辆所有人的其他个人信息等)。车企A基于运维请求所收到的所有数据都只会存储在中国境内。问:车辆运维服务是否会落入EO 14117规制范围?答:首先,车企A是受规制主体,公司B及其员工和最终用户都是美国实体。其次,该模拟场景不涉及美国政府相关数据,但是否会涉及到美国人的批量敏感个人数据还需要结合具体情况进行判断。公司B的员工的姓名、电话等个人信息属于受规制的个人标识符,但是远够不上10万以上美国人的数量门槛。美国实体的车辆VIN码信息属于个人标识符,但因为车辆所有人的其余信息均不涉及,大概率该信息不会和其他个人标识符或者数据相结合使得VIN码与其他数据可关联(因模拟场景能够罗列的信息有限,无法给出绝对答案)。也就是说,大概率车辆运维服务不会涉及到美国人的批量敏感个人数据。即便涉及到受规制数据,车辆运维服务应该也能够落入被豁免的交易类型“公司集团交易”之中,因为该交易发生在美国实体和其位于受关注国家的关联公司之间,而且车辆运维服务或许可以解释为客户支持,属于辅助业务运营的一部分。如果所涉数据不属于受规制数据,或即使属于受规制数据但属于被豁免的交易,那么车辆运维服务就不会落入EO 14117规制范围(严格来说,是至少不受被禁止的交易、受限制的交易、尽职调查与审计和报告与记录保存部分规定约束)。请注意,现实案例往往会比该模拟场景复杂许多,交易所涉数据类型很可能不会那么简单粗暴,落入规制范围的主体还是需要谨慎且及时地进行内部自筛自查,以防范可能产生的法律风险。参考资料
(1)Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern(2)Final Rule Implements Executive Order to Prevent Access to Americans’ Bulk Sensitive Personal Data and U.S. Government-Related Data by Russia, Iran, China and Other Countries of Concern(3)Data Security Program: Compliance Guide(4)Data Security Program: Implementation and Enforcement Policy through July 8, 2025(5)Data Security Program: Frequently Asked Questions(6)The President’s Authority Over Cross-border Data Flows by Anupam Chander & Paul Schwartz(7)Regulation of Data Brokers: Executive Order 14117 on Preventing Access to Americans’ Sensitive Data by Countries of Concern by Congressional Research Service
返回列表
