研究 | 中国数据安全监管趋势2025：涉美企业数据跨境传输双向合规要求（一）

作者：王良

摘要：美国司法部近期发布《禁止关注国家/地区或相关人员访问美国敏感个人数据和政府相关数据有关的规定》，对数据向中国等特定国家的传输实施严格管控，标志着美国历史上首次建立起全面的数据跨境流动审查制度，彻底改变其长期奉行的“数据跨境自由流动”原则。该规则大大提高了中国企业在美国开展数据相关业务的合规门槛，对数据密集型高科技企业，诸如生物科技、医疗健康、跨境电商、社交娱乐、人工智能、智能汽车等领域内的中国企业将带来直接影响。特别是中国企业在美国的子公司及关联实体，可能面临数据收集、存储等处理活动的限制，甚至可能因违规行为而遭受制裁。涉美企业需高度关注当前美国在数据领域的监管政策调整和后续举措，提前调整数据合规管理和跨境传输路径，满足中美之间数据跨境传输双重合规要求。

2024年2月28日，美国白宫发布了《关于防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据的行政令（第14117号）》（Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）（“《14117行政令》”），指示美国司法部长发布条例，以禁止或限制美国主体进行会导致中国、俄罗斯等6个“受关注国家”和相关主体访问美国人敏感个人数据（特定种类的个人识别符、地理位置数据和相关传感器数据、生物特征标识符、人类组学数据、个人健康数据、个人财务数据）和美国政府相关数据的交易。此后不久，美国司法部国家安全司发布了一份拟议规则制定预先通知，就与执行第14117行政令相关的各种主题征求公众意见。

2024年10月29日，司法部再次发布了一份《拟议规则制定通知》（Notice of Proposed Rulemaking, 简称“NPRM”），以回应针对预先通知收到的公众意见，提出一项实施该命令的拟议规则，并征求进一步的公众意见。2024年12月27日，美国司法部基于“NPRM”发布了最终规则[1]，即《禁止关注国家/地区或相关人员访问美国敏感个人数据和政府相关数据有关的规定》（下文简称“最终规则”）（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）（28 CFR Part 202 [Docket No. NSD 104] RIN 1124-AA01）。该规则确定了禁止和限制交易的类别；确定了“受关注国家（Country of Concern）”和“受限制主体（Covered Person）”类别，规则禁止或限制与这些国家或主体进行“涉及政府相关数据或批量美国敏感个人数据（Bulk Sensitive Personal Data and Government-related Data）”的特定“数据交易（Data Transactions）”；建立了一个颁发（包括修改或撤销）授权被禁止或限制交易的许可证以及发布咨询意见的程序；规定了交易的记录保存和报告，为政府部门调查、执法和监管工作提供信息。

最终规则所指出的“受关注国家”为中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。最终规则将在发布于联邦公报之日起90天内生效，有关部分肯定性的尽职调查、报告和审计要求将在发布后270天生效。

（一）敏感数据类别

最终规则对涉及六类敏感个人数据的交易进行监管，如果这些数据与任何可识别的美国个人或与一个独特且可识别的美国人群体有关联或可关联，那么受关注国家或个人可能会利用这些数据来损害美国的国家安全。这六类敏感个人数据包括：

1. 特定的个人标识符（covered personal identifiers），包括政府颁发的号码（如社会保障号码、驾驶执照或州身份证号码、护照号码或外籍注册号码）、与金融机构或金融服务公司相关的金融账户号码或个人识别号码、设备或硬件标识符（如IMEI、MAC地址、SIM卡号码）、人口统计或联系数据（如姓名、出生日期、出生地、邮政编码、住宅街道或邮政地址、电话号码、电子邮件地址或类似的公共账户标识符）、广告标识符（如Google广告ID、Apple广告ID或其他MAID）、账户认证数据（如账户用户名、账户密码或安全问题答案）、基于网络的标识符（如IP地址或cookie数据）或通话详单数据（如CPNI）；

2. 精确的地理定位数据（precise geolocation data），无论是实时数据还是历史数据，用于识别个人或设备的物理位置，精度范围在1,000米以内；

3. 生物识别标识符（biometric identifiers），用于识别或验证个人身份的可测量物理特征或行为，包括面部图像、语音印记及其模式、视网膜和虹膜扫描、掌纹和指纹、步态、键盘使用模式等，这些数据已被注册到生物识别系统中，系统所创建的模板也包括在内；

4. 人类基因组数据以及另外三种人类“组学”数据（human genomic data），包括人类基因组数据（包括人类细胞中发现的全部或部分基因指令）、人类表观基因组数据、人类蛋白组数据和人类转录组数据；

5. 个人健康数据（personal health data），表明、揭示或描述个人过去、现在或未来的身体或心理健康状况、医疗提供情况，或个人医疗费用的过去、现在或未来支付信息；以及

6. 个人财务数据（personal financial data），关于个人信用卡、借记卡或银行账户的数据，包括购买和支付历史；银行、信用或其他金融报表中的数据，包括资产、负债、债务或证券投资组合中的交易数据；或信用报告或“消费者报告”中的数据。

此外，最终规定明确将以下数据排除在“敏感个人数据”的定义之外,且这一排除规定适用于上述六类敏感数据的每一类：

1. 与个人无关的公开或非公开数据（例如商业秘密和专有信息）；

2. 从合法政府记录或广泛分布的媒体中公开可获得的数据；

3. 个人通信和信息材料。

（二）大量敏感个人数据阈值与美国政府相关数据

美国主要管控的是大量美国敏感个人数据以及美国政府相关数据。最终规则也进一步明确了大量敏感个人数据的阈值。根据最终规则，“大量敏感信息”的定义如下：

在过去12个月内，通过单一的或多次同美国个人和受关注被禁止或受限制数据交易或涉及同一美国个人和同一外国人或受限制主体的多次受限制数据交易，任何敏感个人数据符合或超过以下阈值，具体见下表所示：

有关政府活动位置数据：任何精准地理位置数据，无论数量多少，涉及任何列在政府相关位置数据中的区域。

关于美国政府人员的数据；或任何敏感个人数据，无论数量多少，若交易方将其宣传为与当前或最近的前美国政府雇员、承包商，或前高级官员（包括军方和情报界人员）相关联或可关联的。

对于某些涉及政府相关数据的交易，无论数据数量如何，这些交易都受到监管。

（二）受限制主体范围

最终规则确定了四类受限制主体：

1. 外国实体：由受关注国家拥有 50%或以上股份的外国实体，或在受关注国家法律下组织或其主要营业地点在受关注国家的外国实体；

2. 外国实体：由受限制主体拥有 50% 或以上股份的外国实体；

3. 外国雇员或承包商：受关注国家或受限制实体的外国雇员或承包商；

4. 外国个人：主要居住在受关注国家的外国个人。

除此之外，最终规则将包括一份由司法部指定为“受限制主体”（“Covered Persons List”）的个人和实体名单作为补充。司法部还可以指定任何个人为“受限制主体”，无论其所在地，只要满足以下条件之一：

1.该个人是或曾经是由受关注国家或受限制主体控制或管辖的；

2. 该个人的行为、曾经的行为或可能代表受关注国家或受限制主体行事；

3. 该个人故意导致或可能导致违反本规定的行为。

司法部打算定期发布和更新受限制主体的名单，可能会类似于美国商务部的制裁名单/Entity List。

最终规则确定了涉及关注国家/地区或受限制人员访问大量敏感个人数据或政府相关数据的数据交易类别，而“美国主体（United States Person）”被禁止或限制与受关注国家/地区或受限制主体进行此类交易。这里的美国主体是指：任何美国公民、国民或合法永久居民；任何被接纳为美国难民的个人；任何仅根据美国或美国境内任何司法管辖区的法律设立的实体（包括境外分支机构）；任何在美国境内的个人。

（一）禁止交易的类型

1.数据经纪交易（data-brokerage transactions）：数据接收方不直接从个人处收集数据，而是从数据提供方（即数据经纪人）处购买、被许可访问数据。从事数据经纪业务的美国人需要与相关交易的外国主体签署合同，确保对方不得将数据转售或以其他方式让中国或中国公司获取和交易这些数据。

2.  涉及大量人类基因组数据或生物标本转移的数据交易（bulk U.S. sensitive personal data that involves bulk human ‘omic data, or to human biospecimens from which bulk human ‘omic data could be derived）。“明知（knowingly）”从事的相关交易会导致中国等外国对手及其公司能访问以下类型的数据：1）批量美国敏感个人数据，且该数据包含“人类基因组数据；2）能推导出“人类基因组数据”的人类生物标本。前提是此类数据在前 12 个月内达到或超过相应的阈值。

（二）限制交易的类型

最终规则确定三类受限制的交易分别是：供应商协议、雇佣协议和被动投资协议。这些交易在满足美国国土安全部下属网络安全与基础设施安全局（CISA）制定的安全要求时可被允许。CISA的安全要求旨在降低关注国家或受管辖主体访问大量美国敏感个人数据或政府相关数据的风险。具体的安全要求包括网络安全措施，如基本的组织网络安全政策和实践、物理和逻辑访问控制、数据掩码和最小化、加密和使用隐私增强技术。

（三）豁免交易的类型

1.不传递任何有价值资料的个人通信；涉及表达性材料的信息材料的进出口；以及旅游信息，包括有关个人行李、生活费用和旅行安排的数据。

2. 美国政府的官方活动。

3. 金融服务，如果它们涉及通常与提供金融服务相关且作为其一部分的交易，例如银行业务、资本市场、期货或衍生品，或者金融保险服务；授权给国家银行的金融活动；根据《银行控股公司法》本质上被定义为金融活动或对金融活动的补充的活动；与电子商务相关的个人财务数据的转移；以及提供投资管理服务，即就投资组合或资产提供建议以获取报酬，包括相关的辅助服务。

4. 美国主体与其外国子公司或关联公司之间的企业集团交易，如果通常作为内部附属业务操作、常规行政或业务运营（如人力资源、工资单、税收、许可证、合规、风险管理、差旅和客户支持）的一部分，则此类交易被豁免。

5. 联邦法律或国际协议所要求或授权的交易，包括：

1) 《国际民用航空公约》（2022年）

2) 《世界卫生组织组织法》（1946年）

3) 中美之间关于海关、法律援助和税收的各种协议

4)《美国 -古巴引渡条约》（1905年）

5) 美国-俄罗斯关于海关（1994年）和法律援助（1999年）协议

6) 《美国-委内瑞拉法律援助条约》（1997年）

7) 《国际卫生条例》（2005年）

8) 某些公共卫生监测和应对机制

此外，通常作为遵守联邦法律法规相关部分的交易可予以豁免。

6. 如果美国外国投资委员会（CFIUS）明确指定某些投资协议为豁免对象，那么在投资协议已受到 CFIUS 采取的某些缓解措施或其他行动之后。

7. 通常与电信服务的提供相关并作为其一部分的交易，包括所有语音和数据通信服务，不论其格式或传输方式如何，包括通过电缆、互联网协议、无线、光纤或其他传输机制提供的通信服务，以及网络互联、传输、消息传递、路由或国际语音、文本和数据漫游的安排。

8. 与受关注国家或受限制主体进行的数据交易，涉及药品、生物制品、器械或组合产品的批准或授权，如果数据交易涉及获取或维持监管批准所必需的“监管批准数据”。“监管批准数据”是指符合FDA法规（21C.F.R.314.80(i)）并由监管实体用于研究或营销药品、生物制品、器械或组合产品（包括上市后研究和监测）的敏感个人数据，不包括评估安全性和有效性并非合理必要的数据。“药品”、“生物制品”、“器械”和“组合产品”的含义分别在21U.S.C.§321(g)(1)、42U.S.C.§262(i)(1)21U.S.C.§321(h)(1) 和21 CFR §3.2(e)中规定。

9. 如果交易是受美国食品药品监督管理局（FDA）根据《联邦食品、药品和化妆品法案》第 505(i) 和 520(g) 条监管的临床研究的一部分，或者是为药品、生物制品、器械、组合产品或婴儿配方奶粉的研究或上市许可向 FDA 提交申请所支持的其他临床研究和上市后监测数据，并且这些数据是按照 FDA 的规定（21 C.F.R. 314.80(i)）进行去识别或假名化的，则此类数据也予以免除。如果它们是收集或处理的一部分，则也予以免除。

1. 对数据密集型行业的影响

最终规则对涉及个人标识符、精确的地理定位数据、生物识别标识符、人类基因组数据以及人类“组学”数据、个人健康数据、个人财务数据等六类敏感个人数据的交易进行监管，对于数据密集型行业中的高新技术企业，诸如：1）生物科技；2）医疗健康；3）跨境电商；4）社交娱乐；5）人工智能；6）智能汽车等领域内的中国企业将带来直接影响。最终规则生效后，相关数据交易可能会被禁止或限制，与美国之间的技术合作与交流将受到限制，高新技术领域创新或受到抑制、跨境电商、娱乐软件行业面临冲击、智能汽车在美竞争力或下降。[2]

最终规则对“受限制主体”适用类似财政部外国资产控制办公室的50%规则向下穿透规则，让相当数量的中国公司位于美国的子公司落入“受限制主体”的范围。此外，对于在中国经营的外资企业，包括美资公司在内，同样需要评估最终规则对其在华业务的影响，并及时做好业务模式调整和IT架构重构的准备工作。

2. 中美之间数据跨境传输双重合规要求

涉美企业当前应当针对数据跨境传输监管法规变化带来的挑战，亟需升级合规管理体系，满足中美之间数据跨境传输双重合规要求。

（1） 重新审视并升级企业现有合规管理体系，协调数据合规与贸易合规（进出口管制与制裁）措施，建立和完善全面的合规计划。例如考量国别/地区（六个受关注国家/地区）要求的数据分类分级流程、数据跨境流动核查机制、开展个人信息保护影响再评估等。

（2） 梳理涉美业务中是否存在“供应商协议、雇佣协议和被动投资协议”三类受限制交易，以及交易中存在的跨境数据双向传输情况，评估是否可以避免收集敏感数据，是否可以转入可豁免的数据交易，从而降低法规变化带来业务影响以及由此带来的美国执法与监管关注。

（3） 评估涉美业务数据存储的“美国本地化”策略。通过升级网络与数据安全保护措施，设置访问权限授权与访问控制，防止未经授权和违规的数据传输。必要时，实施涉美业务数据存储的“美国本地化”策略，由此降低企业访问美国敏感个人数据或政府相关数据的风险，确保境外主体合法合规运营。

（4）年度审计和记录保存：定期自行组织个人信息保护内部审计或聘请第三方审计，验证其是否满足美国国土安全部网络安全和基础设施安全局（CISA）制定的安全要求；并对不同源头的数据处理记录进行保管，包括数据传输方式、交易日期、协议、许可证、咨询意见以及与交易相关的资料，以应对可能的数据审计和执法监管。