4月8日,美國防止中國獲取美國人批次敏感個人資料和政府相關資料的聯邦法規正式生效(一些盡職調查、審計、報告義務2025年10月6日起生效)。為進一步澄清相關問題,便利美國個人和企業合規,司法部國家安全司4月11日釋出了“法規常見問答”、“前90天實施政策”、“合規指引”三個檔案。
關於這部法規我一直有個疑問:它到底管不管美國企業和中企美國子公司之間的交易?換言之,該法規只針對美國資料向中國的“跨境流動”或中國對美國資料的“跨境訪問”,還是也規範美國資料的“境內轉移”?在去年12月“資料脫鉤”落地:美國發布禁止敏感個人資料向中國跨境傳輸的最終規則”一文中,我曾提出該問題:
特別值得警惕的是,該規則的影響可能超出資料跨境流動,波及中國企業的美國子公司在美國開展的交易。美國司法部一方面明確該規則不監管“美國人”之間在美國境內進行的“純國內交易”(如“美國人”對資料的收集、維護、處理或使用),但又加了個限定:該“美國人”沒有被明確且公開指定為“受轄主體”(對受轄主體,司法部禁止或限制美國公司與之進行涉美國人批次敏感資料和政府相關資料的交易)。美國司法部至少理論上有可能把一些中國公司的美國子公司列入“受轄主體”清單,限制甚至禁止其在美國從事資料收集和處理活動。透過埋進去這一條,美國司法部給自己製造了一個未來可以制裁中國在美公司的工具,且裁量權很大。
在認真研讀了國安司釋出的“常見問答”後,我的結論是:該法規對上述情況不僅要管,而且可能還是一個管控的重點。
該法規的核心思路是監管“美國人”和“受轄主體”開展涉及“批次美國敏感個人資料或美國政府相關資料”的禁止性或限制性交易(資料經紀、供應商協議、僱傭協議、投資協議等),義務施加在“美國人”頭上。在多個複雜的概念中,搞清楚哪些是“受轄主體”是合規關鍵點,在這個基礎上再去看資料和交易的型別。
為了幫助美國公司判斷哪些是“受轄主體”,國安司將在官網“資料安全計劃”頁面釋出一份“受轄主體”清單(Covered Persons List),並會在《聯邦公報》上公佈。清單會定期更新,包括兩部分:
1、國安司根據第202.211(a)(5)條指定的“受轄主體”清單(指定清單)。
202.211(a)(5)條:由司法部長認定的任何主體,無論其位於何處:(1)由、曾由或可能由關注國家或受轄主體擁有或控制,或受其管轄或指示;(2)為、曾為或意圖為關注國家或受轄主體行事,或代表關注國家或受轄主體行事;(3)故意引發或指示違反本規則的行為,或可能故意引發或指示違反本規則的行為。
這個清單是詳盡的,裡面所有列名主體均是國安司明確指定,類似財政部的SDN清單和商務部實體清單。美國公司和這些主體做生意,確定受到本法規的限制,無需自行盡調。
2、屬於第202.211(a)(1)至(4)條定義所述類別“受轄主體”的清單(定義清單)。
第202.211(a)(1)至(4)條:(1)由關注國家直接或間接、單獨或合計擁有50%或以上股權的實體,以及在關注國家註冊或其主要業務地在關注國家的實體(A);(2)由A、C或E涵蓋主體直接或間接、單獨或合計擁有50%或以上股權的實體(B);(3)作為關注國家、A、B或E涵蓋主體的員工或合同工的外國主體(C);(4)主要居住在關注國家領土管轄範圍內的外國主體(D);
這個清單是開放式的,在上面的公司不是因為司法部指定了他們是“受轄主體”,而純粹是因為符合第202.211(a)(1)-(4)條定義的標準而自動成為這類主體。因為符合該標準的主體太多,很難想象憑國安司那11個人能窮盡地識別出來。即便美國公司和中國公司交易時,即便對方不在”受轄主體“清單上,美國公司也要自己根據第202.211(a)(1)至(4)條的標準盡職調查,判斷對方是否屬於“受轄主體”,並在此基礎上做好合規。
根據“常見問答”51,如果母公司總部位於中國等“關注國家”,該母公司的美國分支機構應當視為母公司的一部分,不視為獨立實體,也不因設在美國而被認定為“美國人”。這相當於為本法規定義的“美國人”設了一個例外,由於中企的美國子公司是在美國境內根據美國法律註冊成立,本應屬於“美國人”,但這裡司法部明確說不是。
“常見問答”5表示:資料安全計劃不涉及美國主體之間純粹的國內資料交易,例如美國主體在美國境內的資料收集、維護、處理或使用(這符合預期,因為IEEPA理論上只監管美國人和外國人的跨境商貿活動),但該最後又加了這麼一句:“除非這些美國主體被指定為受轄主體”。
也就是說,中國公司的美國子公司是可能被司法部指定為“受轄主體”的。假設中國公司甲根據美國法律、在美國境內設立主體乙,運營一個網站或App,並存在收集、儲存、使用美國使用者個人資料的情況,該美國公司乙也會成為“受轄主體”,被禁止或限制跟美國公司從事相關涉及資料的交易。考慮到受轄資料型別的模糊和寬泛,這很有可能。同理,一家中國雲服務商的美國子公司為美國客戶儲存受轄資料或提供技術支援,也能落入這一情形。
如果中國母公司對美國子公司控股≥ 50%,則會自動落入“受轄主體”範圍,不管在不在“受轄主體”清單上,都受本法規的限制。如果中國母公司只持有美國子公司少數股權(<50%),但存在實質控制(如透過協議安排、董事會控制權、或其他方式實質控制子公司的決策),司法部可以把該子公司指定為“受轄主體”,列上“指定清單”。
根據“常見問答”,對“受轄主體”只有黑名單,沒有白名單,他們可以申請行政複議,尋求從“受轄主體”清單上除名,國安司後續將釋出更多關於申請除名程式的資訊。
如果中企的美國子公司大量被列入“受轄主體”清單,將顯著影響其在美國當地涉及批次美國人敏感資料和政府相關資料的的交易。
首先,以下交易絕對禁止:
1、所有資料經紀交易:如美國子公司將自行收集的美國使用者資料(如位置、消費行為、瀏覽記錄等)打包成資料集,出售或提供給美國其他企業(如營銷平臺、風控公司、保險公司、廣告商)。
2、能讓該美國子公司或中國獲取大量美國人類組學資料,或可從中得出大量人類‘組學’資料的人類生物樣本的交易;
3、涉及上述禁止交易的“規避”“共謀”“指示”行為。
其次,涉及供應商協議、僱傭協議或投資協議的資料交易不絕對禁止,但需要遵守國土安全部網路安全和基礎設施安全域性(CISA)的安全要求(已經發布)及其他相關要求。
例如,美企將使用者資料處理或雲基礎設施維護外包給中企的美國子公司;委託中企美國子公司開發系統、平臺或嵌入SDK,僱傭中企美國子公司的工程師、資料分析師,以及中企的美國子公司投資美國初創公司並獲得董事會席位、資料介面許可權等,只要存在美國人批次敏感資料或政府相關資料因此被中企美國子公司訪問的風險,都屬於受限制的交易。
這種情況下,滿足CISA的安全要求就會成為關鍵的合規路徑,有點類似CFIUS國家安全協議的緩解措施。CISA最終釋出的安全要求分為兩大塊:
第一部分是“組織和系統層面”的要求,主要是讓企業建立好基本的安全管理機制,比如清點資產、控制誰能訪問系統、修補漏洞、記錄日誌等。這部分只適用於那些涉及“受限交易”和“敏感資料”的特定系統,標準參考了一些已有的網路安全框架(如NIST和CISA出的指導)。
第二部分是“資料層面”的要求,核心目的是防止中國等關注國家或企業能接觸到未經處理的美國人敏感資料。它給出了幾種技術方案,比如脫敏、加密、限制訪問等,還特別強調:哪怕你用了安全措施,只要對方能“看見”資料,那也算是“訪問”,不能忽視。企業要根據資料敏感程度和交易型別,靈活組合使用這些手段,做到真正“有效阻止訪問”。
儘管有了“常見問答”等指南,關於該法規的一些重要問題還是沒有答案,比如怎麼判斷哪些屬於豁免監管的“美國子公司和中國母公司之間的”行政性或輔助性業務活動“。但總的來說,法規的思路沒有變化,邏輯是國家安全而非個人資訊保護,這體現在很多方面,例如對“批次美國敏感個人資料”的定義沒有排除已經匿名化、去標識化、假名化的資料或聚合資料,明確拒絕個人“知情-同意”作為豁免監管的情況等。換言之,這是一部“涉及資料的國家安全法”,而不是一部個人資料保護法,以資料合規的思路去理解和遵守這部法律,可能會犯錯。
司法部將在法規正式生效後的前90天(2025年4月8日至7月8日)採取寬限執法政策:只要企業或個人在此期間真誠努力合規,一般不啟動處罰,而是鼓勵大家抓緊時間完善內部制度、調整供應鏈、審查資料流向,並與美國政府溝通。但這一政策不適用於故意或嚴重違規者,對於缺乏合規誠意的行為,司法部仍保留執法權。此外,如果當事人主動配合調查,也可能在後續執法中獲得積極考量。
儘管如此,法規已經開始對中美商貿活動及科研合作產生直接影響。
涉及人類基因組資料等敏感生物資料的禁止類交易最先被切斷。4月5日,美國國家癌症研究所(NCI)的 SEER(癌症監測、流行病學和最終結果)資料庫據禁止中國科研人員訪問。4月4日,美國國立衛生研究院(NIH)禁止中國機構訪問其“受控訪問資料儲存庫”(由NIH支援的、用於儲存和共享人類基因組等敏感研究資料的儲存平臺)。
4月8日(法規生效當天),微軟在中國的外包商微創軟體終止了其微軟專案組,上海、無錫等地約2000名工程師被裁。外界普遍分析這是因該法規禁止微軟再允許中國境內外包團隊訪問涉及美國使用者的敏感資料,售後技術支援等需處理使用者賬戶、裝置資訊等資料的工作在中國進行也已不再合規,只能結束與中國外包公司的合作。
隨著法規的逐步全面落地,相關影響還會繼續顯現。
文章僅做學術探討和研究交流使用,相關判斷不代表任何公司或機構立場,也不構成任何商業建議。
歡迎加入影片號會員!
