作者丨蔡开明、阮东辉
机构丨北京大成律师事务所
* 本文为威科先行独家文章,转载请注明
2024年10月21日,美国司法部国家安全司(the U.S. Department of Justice of National Security Division)发布了拟议规则制定通知(“NPRM”或“拟议规则”),目的是通过限制特定交易,防止中国、俄罗斯等受关注的国家的相关主体或个人获取美国人敏感数据和美国政府数据,加强美国的数据安全。
NPRM旨在落实2024年2月28日拜登政府发布的第14117号行政命令—《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》。拜登政府担忧受关注国家会通过获取美国人敏感数据,利用人工智能大模型等技术分析美国人个人偏好,从事网络攻击、敲诈勒索等不法行为。
美国司法部随后于2024年3月5日对应发布了拟议规则制定预先通知(“ANPRM”)(对ANPRM的分析,请见我们此前撰写的美国禁止与特定国家进行敏感个人数据跨境交易),广泛征集公众意见。NPRM在ANPRM基础上,再次收集公众反馈,NPRM的讨论较为完善。NPRM的主要内容与ANPRM基本保持一致,并对部分内容进行了补充调整。NPRM征求意见为30日,美国司法部审查NPRM的反馈意见后,将起草公布最终适用于企业和个人的生效规则,正式生效的版本尽管会与NPRM有所差异,但我们理解正式生效的版本和NPRM相比,不会有明显差异。
此次新规进一步反映了美国对数据跨境流动的敏感性,与中国相关的交易将因此受到严格的审查与限制。我们对NPRM主要内容进行了简要分析,具体请见下文。
一、立法目的
美国目前已通过美国海外投资委员会(“CFIUS”)审查、信息和通讯技术及服务(“ICTS”)审查关注外国主体参与相关交易或向美国提供服务涉及的数据安全问题。
CFIUS曾以数据安全由否决了中国某企业收购美国企业的交易。虽然中国企业向CFIUS承诺,美国企业的个人数据仍保存在美国本地,但CFIUS仍担忧该项交易可能泄露美国公民信息,从而对美国国家安全构成威胁。
2021年3月17日,美国商务部发布公告表示,将根据第13873号行政命令,进一步审查在美ICTS的中国公司是否符合行政命令,以及是否会对美国安全构成威胁。美国商务部长吉娜·莱蒙多(Gina M. Raimondo)表示,拜登政府一直明确表示,不受信任的通讯技术供应商(ICTS)服务的无限制使用会带来国家安全风险。公告中并未说明具体向哪些公司发出了传票。
尽管CFIUS和ICTS审查过程中也会重点考虑数据安全,但美国政府仍认为上述机制仍不能充分防范其他商业交易中的数据安全风险,如第三方通过投资协议、雇佣和供应商协议获取数据,因此需要NPRM补充规制。
二、如何防止获取数据
NPRM通过商业交易为抓手,防止监管对象获取数据,NPRM下“被涵盖的交易“包括禁止交易和受限制交易。
(一)禁止交易
鉴于个人信息主体在不知情的情况下,数据接收方直接获取大量数据未能充分保障个人信息主体权益,以及人类基因组数据的高度敏感性,若不当使用可能带来的危害性较高。禁止交易包括:
1. 数据经纪交易。“数据经纪”是指数据销售、数据访问许可或涉及将数据从任何人(提供者)转移到任何其他人(接收者)的类似商业交易,而接收者没有直接从与所收集或处理的数据相联系或可联系的个人收集或处理数据。
2. 人类基因组相关数据交易。涉及大量人类基因组数据,或可从中获取大量人类基因组数的人类生物样本数据的交易。
此外,为了防范数据流转出去后增加的风险,数据保护立法和数据保护协议中通常均会要求数据接收方未经数据提供方书面同意,不得将数据再提供给第三方。NPRM采取了类似的做法,要求美国人和非“被涵盖的人”开展数据经纪交易时,应通过合同约定外国实体不得将数据转移给受关注国家或“被涵盖的人”。ANPRM中收到的反馈意见表示,通过合同条款要求另一方遵守约定义务,在实践中很难落实,因此为解决这一问题,NPRM增加了要求美国人在意识到存在已知或疑似违规行为,应向美国商务部报告的要求。
与ANPRM的内容一样,NPRM禁止任何以规避拟议规则禁令为目的的交易,以及为违反拟议规则的禁令而形成的共谋。
(二)受限制交易
与ANPRM相比,受限制交易类型没有发生变化.。在数据经纪交易中,数据接收方核心的商业诉求是通过对价获取数据,进一步挖掘数据的商业价值,数据不当使用的风险因此明显提高。对于受限制交易,数据接收方的核心诉求是实现主合同约定的义务,初始目的不是获取数据,如通过投资获取经济回报,因合作关系中人员和经营控制权的变化,导致相关实体或个人得以拥有权限访问大量数据。为了尽可能规避风险,此类交易也需要受到监管。
遵守“安全要求”和其他适用条件的前提下,下列交易不属于禁止交易,可以开展:
1. 投资协议。一方以付款或其他对价为交换条件,直接或间接获得位于美国的不动产或美国法律实体的所有权利益或相关权利的协议或安排。
2. 雇佣协议,协议或安排的内容为个人(独立承包商除外)直接为某实体执行工作或履行工作职能,以换取报酬或其他对价,包括董事会或委员会的雇佣、执行层面的安排或服务,以及经营层面的雇佣服务;
3. 供应商协议,指除雇佣协议外的任何协议或安排,其中以支付对价的方式,任何一方向另一方提供货物或服务,包括云计算服务。
“安全要求”需转致参考国土安全部网络安全和基础设施局(“CISA”)制定的“受限制交易安全要求”,“受限制交易安全要求”规制尚未正式颁布。
根据NPRM中列举的例子,一家美国公司与“被涵盖的人”签订了供应商协议,以存储大量个人健康数据。该美国公司没有实施“安全要求”,而是实施了不同的管控措施,美国公司认为这些管控措施可以减少“被涵盖的人”对大量个人健康数据的访问。但由于美国公司未遵守“安全要求”,供应商协议未获授权,属于禁止交易。
(三)豁免交易
纯粹美国主体之间的交易不受监管,其他豁免交易类型包括:
1. 不涉及任何有价物品转移的个人通信的数据交易。
2. 信息或信息材料(即表达性的材料,包括出版物、电影、海报、唱片、照片、微缩胶卷、微缩胶片、磁带,光盘、CD-ROM、艺术品和新闻推送。不包括技术、功能或其他非表达性的数据)的进出口数据交易。
3. 旅行信息,包括支付个人使用服务费用信息等。
4. 美国政府雇员、资助人或承包商开展公务;美国政府部门或机构的任何授权活动;根据与美国政府签订的赠款、合同或其他协议进行的交易。
5. 金融服务。通常是提供金融服务一部分,包括银行、资本市场(包括投资管理服务)或金融保险服务;购买和销售商品和服务时,个人财务数据或所涵盖的个人标识符的转移等。
6. 集团内部的数据交易,包括人力资源、工资管理、费用报销、与审计师和律师事务所共享数据以遵守监管规定等。
7. 联邦法律或国际协议要求或授权的交易,或遵守联邦法律所必需的交易。
8. 受CFIUS约束的投资协议。
9. 通常是提供电信服务的一部分,包括国际电话、移动语音和数据漫游。
10. 药品、生物制品和医疗器械授权,包括为在受关注国家获得和维持药品、生物制品、医疗器械或组合产品上市监管批准所需的数据交易
11. 其他临床研究和上市后监测数据交易。包括美国食品和药品管理局(“FDA”)监管的药品、生物制品等上市许可的临床研究;收集或处理表明产品真实世界性能或安全性的临床数据、或是支持或维持FDA授权所必需的上市后监测数据,但数据必须是去标识化的。
(四)人工智能和算法交易监管
ANPRM收到的反馈意见中有评论者建议扩大规定的适用范围,禁止通过使用大量美国敏感个人数据开发训练的算法或人工智能模型的交易,当一项交易使一个受关注国家或“被涵盖的人”能够访问该模型,该模型可能使受关注国家或“被涵盖的人”访问模型底层训练用的美国敏感个人数据。
为回应该意见,司法部列举了案例强调规则为防止规避行为,将如何适用于大量美国敏感个人数据将被许可或出售以支持算法开发,或者可从人工智能模型中提取敏感个人数据。
示例:一家美国在线博彩公司使用人工智能算法来分析收集到的大量涵盖的个人标识符,以根据定向广告来识别用户。为了规避,总部位于受关注国家的母公司的美国子公司,从美国在线博彩公司获得许可使用算法,以便从算法模型中访问训练数据包含的大量敏感个人标识符,因为母公司无法访问这些标识符,子公司与母公司共享算法,以便母公司可以获得批量的个人标识符。美国子公司与母公司的许可交易旨在规避法规,这是被禁止的。
但此外,司法部表示将继续评估这一新兴领域的国家安全风险,同时考虑该法规的有效性。其他领域的规定,如出口管制和2019年2月11日的颁布第13859号行政命令《保持美国在人工智能领域的领导地位》,相比拟议规则,更适合解决人工智能监管问题。
三、受监管的数据接收方
受监管的数据接收方未发生变化。NPRM认定六个受关注国家(country of concern)存在利用大量敏感个人数据的重大风险:中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。NPRM监管的数据接收方又称为“被涵盖的人”,“被涵盖的人”是参照“受关注国家”定义的。“被涵盖的人”包括:
1. 由“受关注国家”直接或间接拥有50%或以上的股份、或根据“受关注国家”法律设立或主要营业地点在“受关注国家”的外国实体。
2. 由“被涵盖的人”直接或间接拥有50%或更多股份的外国实体。
3. “受关注国家”或属于作为“被涵盖的人”外国实体的外国雇员或承包商。
4. 主要居住在“受关注国家”的外国人。
5. 司法部指定的实体和个人。
根据NPRM列举的例子,如果一个外国人位于国外,且受雇于总部位于中国的公司。因为该公司属于“被涵盖的人”的外国实体,而该员工位于美国境外,所以该员工属于“被涵盖的人”。而位于美国的中国公民则被视为美国主体,不属于“被涵盖的人”(司法部指定的实体和个人除外)。
四、受监管的数据类型
与ANPRM相比,NPRM对敏感个人数据和美国政府数据的部分类型的定义进行了调整。
(一)敏感个人数据排除类型
NPRM明确地将某些类别的数据排除在“敏感个人数据”的定义之外。这些排除包括:
1. 与个人无关的公共或非公共数据(包括商业秘密和专有信息)。
2. 在交易时从政府记录或媒体渠道获得合法公开的数据。
3. 个人通信(以邮政、电报、电话,或其他不涉及任何有价值物品转移方式的个人通信)。
4. 信息或信息材料(表达性的材料)。
(二)敏感个人数据具体类型
1.被涵盖的个人标识符
列举的标识符需要与其他数据互相组合,才构成被涵盖的个人标识符。单独的列举标识符,如一个社会保障号码或帐户用户名,不属于被涵盖的个人标识符。被涵盖的个人标识符由三种方式组成:列举的标识符与另一个列出的标识符组合、与敏感个人数据组合或交易方根据交易披露的其他数据组合。例如当社会保障号码与姓名组合、MAC地址与住宅街道组合,就构成被涵盖的个人标识符。
NPRM认定两种列举标识符组合不属于被涵盖的个人标识符:
(1)人口统计或联系数据与另一个人口统计或联系数据组合。人口统计或联系数据包括姓名、出生日期、出生地、邮政编码、住宅街道或邮政地址、电话号码和电子邮件地址以及类似的公开帐户标识符。
示例:姓名与住宅街道组合、姓名和电子邮件地址组合,不构成被涵盖的个人标识符。
(2)基于网络的标识符、帐户身份验证数据或呼叫详细信息数据与另一个基于网络的标识符、帐户身份验证数据或呼叫详细信息数据组合,并为提供电信、网络或类似服务所必需。
相关企业在开展交易时,收集的列举标识符和敏感个人数据可组合成多种被涵盖的个人标识符。如对于跨境电商服务场景下,向美国主体提供服务的中国企业涉及收集人口联系数据(姓名、居住地址、IP地址)和个人支付信息等。根据拟议规则,通过网上购物或电商平台购买、销售或转让消费商品和服务,作为个人财务数据或其他被涵盖的标识符传输属于豁免交易情形。企业应结合业务场景,判断业务情形是否属于可豁免的交易。
有评论反馈建议立法者采取欧盟隐私保护法下更宽泛的“个人可识别信息”定义,但司法部未采纳建议。NPRM规定了八项列举的标识符,不包括未列举的其他数据(如个人的就业记录、教育记录、组织成员资格、犯罪记录或网络浏览记录):
a) 完整或部分身份证明或帐号(如社会保障号码、驾照或国家身份证号码、护照号码或外国人登记号码);
b) 与金融机构或金融服务公司相关的完整金融账号或个人识别号码;
c) 基于设备或基于硬件的标识符(如IMEI、MAC地址或SIM卡号);
d) 人口统计或联系人数据(如姓名、出生日期、出生地、邮政编码、居住街道或邮政地址、电话号码、电子邮件地址或类似的公共账户标识符);
e) 广告标识符(如谷歌广告ID、苹果广告ID或其他移动广告ID);
f) 帐户身份验证数据(如帐户用户名、帐户密码或安全问题的答案);
g) 基于网络的标识符(如IP地址或cookie数据);或
h) 呼叫详细数据(如客户专有网络信息)。
2. 精确的地理定位数据
NPRM精确地理定位数据是指精度在1000米以内,识别个人或设备的物理位置,包括实时或历史的数据,GPS坐标和IP地址地理定位。
中国企业在美国销售的产品,如具备收集精确地理定位功能,需要判断是否为实现产品功能所必需,如不需要应设置产品默认不收集,且将可能涉及处理的数据严格存储在美国境内。
3. 生物特征标识符
与ANPRM一致,指用于识别或验证个人身份的可测量的物理特征或行为,包括面部图像、声纹和声音模式、视网膜和虹膜扫描、掌纹和指纹、步态和键盘使用模式,这些特征或行为记录在生物识别系统中,以及由系统创建的摘要。
在美销售的设备如涉及收集人脸、声纹等生物特征标识符,应将收集的数据存储在设备终端,在本地实现业务功能,避免数据上传云端。
4. 人类基因组数据
指构成人类细胞中遗传指令的完全或部分的核酸序列的数据,包括“个人基因检测”的结果和任何相关的人类基因测序数据,不包括非人类数据,如病原体基因序列数据。
司法部正考虑在最终规则中,将人类基因组数据之外的大量人类“组学”数据纳入限制访问的数据类型,因为宏观层面上, “组学”数据研究可以检验细胞和组织形成和功能的生物过程。“组学”数据可能包括人类表观基因组数据、糖组数据、脂质组数据、代谢组数据、元多组学数据、微生物组数据、表型数据、蛋白质组数据和转录组数据。司法部就上述名词的概念,征求公众意见,司法部更关注的意见是规范此类数据交易后对健康、经济或科学以及任何国家安全的影响。
5. 个人健康数据
ANPRM中个人健康数据的定义援引了《健康保险可携性和责任法案》(“HIPAA”)中的定义,但NPRM做了修正,NPRM中不会根据信息是否识别个人来定义健康信息,因为无论数据否被去识别,NPRM都适用。
修正后的定义是指与个人过去、现在或未来的身体或心理健康状况有关的健康信息;为个人提供医疗保健信息;或过去、现在或未来为向个人提供医疗保健而支付的费用。具体种类包括基本的身体测量和健康特征(如身体功能、身高和体重、生命体征、症状记录和过敏记录);社会、心理、行为和医学诊断、干预和治疗史;测试结果;运动习惯日志;免疫数据;生殖健康和性健康数据;以及处方药的使用或购买数据。
跨国生物医药企业为临床实验等场景,会收集个人健康数据(病例报告、诊疗信息等)以及人类基因组学数据(检验用血液等),如为药品等在受关注国家获得上市许可,需要注意将数据去标识化后提供数据且为获得监管批准所需,才能主张属于豁免情形。根据拟议规则列举的案例,如美国主体向监管提供不经去标识处理的数据,即使监管机构要求提供不经去标识化的数据,不属于豁免情形。
6. 个人财务信息
指个人的信用卡、借记卡或银行账户,包括购买和付款历史;资产、负债、银行交易、信贷或其他财务报表;或信用报告或“消费者报告”中的数据。
根据拟议规则列举的案例,提供跨国金融服务的银行、保险公司等,如是为了向另一方提供金融服务所需、应当地监管合法要求或为反欺诈、反恐和制裁的要求,则属于豁免情形。但如金融机构高层管理者可访问数据,但不是为提供金融服务所需,则不属于豁免情形。
(三)美国政府数据
1. 政府地点相关数据。司法部制定了《政府相关位置数据清单》,清单中列举精确地点位置数据,最终规则的清单中将根据反馈意见,补充包括军事、政府或其他敏感设施地点的位置数据。
2.政府相关人员数据。美国政府(包括军事和情报机关)现任或近期的前雇员或承包商或前高级官员有联系或可联系的敏感个人数据。“近期的前雇员或承包商”是指在涵盖数据交易前2年内,以有偿或无偿身份为美国政府工作或提供服务的雇员或承包商。
(四)触发监管的数据量级标准
NPRM的规定适用于触发一定量级的美国敏感个人数据交易。政府相关数据除外,政府数据无论量级多少,涵盖的交易都受到规则限制。
NPRM将触发数据量级定为交易前12个月内达到或超过阈值的任何数量的此类数据,无论是通过一次性涵盖的数据交易,还是涉及相同美国主体和外国主体(或被涵盖的人)多次涵盖的数据交易。NPRM为每类敏感个人数据交易设定了具体的阀值。
数据类别 | 阀值 |
人类基因组数据 | 超过100名美国人 |
生物特征标识符、精确地理位置数据 | 超过1000名美国人 |
个人健康数据、个人财务数据 | 超过1万名美国人 |
涵盖的个人标识符 | 超过10万名美国人 |
五、许可和咨询意见
第14117号行政命令授权司法部长在与国务院、商务部和国土安全部一致同意,并与其他相关部门协商的情况下签发(包括修改或撤销)许可,授权开展将被禁止或受限制的交易。司法部预计,只有在司法部长认为适当的极少数情况下才会发放许可证。
(一)一般许可
一般许可将在《联邦公报》上公布,受规则特定要素影响的所有相关方都可以参照适用,满足适用条件的受限制交易将被允许;在达成此类许可证所涵盖的交易之前,不需要进一步授权。主张一般许可的相关方可能需要按照这些许可中规定的内容提交报告和声明。
(二)特殊许可
另一方面,特殊许可仅授权向司法部申请此类许可,并披露其试图从事的被涵盖交易的事实情况的各方。特殊许可仅授权许可中陈述的交易。特殊许可的申请应至少包括对交易性质的描述,包括交易数据数量和种类、数据交易双方身份、转移数据的最终使用目的和方式等。
(三)咨询意见
司法部计划公开官方指导,以帮助潜在的受监管方更好地理解规定内容,以及监管机构对相关规则的解释。
六、受限制交易的合规要求
司法部希望实现对拟议规则的广泛遵守,并收集管理和执行规则所需的信息。司法部鼓励受拟议规则约束的美国主体酌情制定、实施和更新合规计划。司法部会就合规计划发布指导,以协助美国主体制定和实施合规计划。从事拟议规则相关活动的美国主体均应采取基于风险的方法来制定合规计划,并确保该计划与其业务概况相一致。
目前拟议规则规定积极的尽职调查和记录保存,作为参与受限制交易的要求。
(一)尽职调查和审计
拟议规则规定了“了解你的数据”要求,具体要求从事受限制交易的美国主体制定并实施数据合规计划,验证数据流,包括交易中涉及的数据类型和数量、交易方的身份以及数据的最终用途。
从事受限制交易的美国主体还应通过外部第三方每年开展审计,审计内容包括美国主体的数据合规计划和相关记录等。
(二)报告和记录保存
1. 记录保存要求
拟议规则要求任何从事受限制交易的美国主体保留每笔受限制交易的完整准确记录,并在交易日期后至少10年内保留这些记录以供检查。
记录内容应包括描述合规计划的书面政策、记录采取安全措施实施情况的书面政策、评估安全措施合规性的审计结果,验证数据流而进行的尽职调查的文件等。
2. 报告要求
拟议规则要求从事涉及云计算服务的受限制交易的美国主体每年提交报告,美国主体25%或以上的股权由受关注国家或涵盖的人拥有(直接或间接,通过任何合同、安排、备忘录或其他方式)。
此外,任何收到并明确拒绝参与禁止交易邀约的美国主体,必须在拒绝后14个工作日内向司法部提交报告。
七、与CFIUS和ICTS机制的协调
(一)与CFIUS的协调
豁免交易中包括“受CFIUS约束的投资协议”,如果CFIUS就投资协议采取行动,该投资协议将不受拟议规则的约束。司法部将与作为CFIUS主导机构的财政部密切协调,保留在CFIUS行动生效日期之前,对任何违反拟议规则的行为的执法权。
在某些情况下,CFIUS可能不会审查特定交易,或可能结束审查,或在不采取CFIUS行动的情况下对交易评估。但CFIUS不采取行动不意味着该交易不构成国家安全风险。某些交易可能涉及预先存在的国家安全风险,而这些风险并非来自CFIUS可以审查的特定交易。在这些情况下,拟议规则下的要求将继续适用于特定交易。
(二)与ICTS机制的协调
美国商务部ICTS和司法部此次制定的拟议规则,均旨在解决供应商协议可能带来的国家安全风险。ICTS规则是为解决美国对手参与通信技术服务的特定交易风险,包括通过收购、进口、使用或其他方式等。拟议规则是为解决数据出境风险。ICTS监管的国家安全风险比访问美国个人数据的风险要更广泛。
拟议规则不会限制商务部针对供应商行使ICTS下的权力。司法部正在考虑如商务部和司法部之间监管范围重叠的情况下,如何解决的措施。
八、罚则
民事责任:最高可达368,136美元(根据《联邦民事处罚通货膨胀调整法》可调整)或交易金额的两倍,以较高者为准。
刑事责任:故意实施、故意企图实施、故意共谋实施或协助或教唆实施违反任何许可的行为,将面临最高100万美元的罚款和/或最长20年的监禁。
九、对中国企业影响和建议
据相关媒体报道,NPRM公开后,美国官员表示中国互联网科技企业如将美国公司处理数据传回中国境内,则将受到规则影响。尽管NPRM对跨国公司内部数据传输场景作出了相应的豁免,但在日常管理经营中,境内总部访问境外公司数据可能存在权限管理不规范、系统保护措施不到位等情况。因此,中国企业通过主张跨国集团管理场景豁免,不完全符合履行人力资源管理等所需,说服监管的可行性有待商榷。且从行业上看,规则对涉及人工智能等需要应用大量数据的企业,也会形成一定冲击。
(一)开展数据合规差距分析
企业应对照拟议规则列举的敏感个人信息种类和规定的阀值,盘点内部处理数据字段、量级、使用目的以及处理数据各环节的情况,判断内部业务场景是否落入受限制交易或禁止交易范围。
企业如希望通过豁免场景主张合法权利,应对处理所有字段必要性以及对外提供数据等场景进行重点评估,并梳理内部数据安全管理等制度,检查网络安全保护措施实施的具体情况。
(二)完善内部合规体系
鉴于司法部旨在推动企业建立合规措施,企业应结合数据合规差距分析的结果,建立健全数据处理生命各周期的管理流程,加强内部关联公司和外部合作方处理的把控,落实公司相关负责人的内部数据安全保护责任,通过制度和规程识别日常经营中可能产生的合规风险,定期对员工开展内部规则和法律法规的培训,通过技术手段和审计等方式验证控制措施,及时查漏补缺,弥补合规差距。
(三)制定数据隔离方案
此外,规则不会监管美国主体之间、以及美国主体与非受关注国家主体之间的交易。中国企业可考虑通过调整公司架构,将处理美国人敏感数据的业务由美国关联公司或不在受关注国家独立运营。美国公司或非受关注国家主体独立决策日常业务,完全掌握数据访问权限,管理不受中国企业和其他关联公司干预。或者中国企业委托外部合作的第三方美国主体开展业务,中国企业不控制处理数据,实现数据隔离。
(四)遵守中国法下要求
虽然NPRM规定了受限制交易报告义务,但境内企业如将相关资料提交给美国监管,有可能违反中国数据出境管理的要求。中国《数据安全法》第36条要求企业向外国执法机构提供数据,需经中国主管部门批准,因此如需向境外提供资料,应准备相关材料,提前与中国监管部门沟通。
作者介绍
蔡开明 律师
北京大成律师事务所 高级合伙人
kaiming.cai@dentons.cn
蔡开明律师从事跨境合规、出口管制、经济制裁、数据保护等相关业务。
蔡律师目前担任中国贸易促进委员会 (CCPIT)及中国国际商会(CCOIC)美国法律 事务的海外常年法律顾问、中国机电产品进出口商会法律顾问、走出去智库(CGGT)特约专家、中信基金会金融实验室专家库成员、北京理工大学法学院校外硕士生导师、仲裁员、多个省级商会商事法律中心调解员。
蔡开明律师服务的客户包括:
1. 政府机构:中国贸促会、中国发改委国际合作中心、浙江省商务厅、上海市商委等;
2. 互联网:腾讯、阿里巴巴、字节跳动、快手、阿里云;
3. 制造高科技: 中芯国际、高通、浪潮集团、联想、TCL、华大基因等;
4. 央企:招商局集团、中石油集团、中石化集团、三峡国际公司;
5. 物流港口:中远海运、中外运股份、东航物流、招商港口集团;
6. 汽车新能源:宁德时代、吉利汽车;
7. 金融:华泰证券、渤海银行、平安保险。
蔡律师连续多年被钱伯斯、legal500、legal band评选为出口管制/经济制裁、数据合规、TMT行业领先律师。
阮东辉 律师
北京大成律师事务所 合伙人
donghui.ruan@dentons.cn
阮东辉律师的主要职业领域包括出口管制合规与经济制裁、数据保护和跨境投资。阮律师于2013 年取得北京大学法学学士学位,并在其学习期间作为交换学生在杜克大学法学院攻读,阮律师于2016 年取得伦敦大学法学学士学位。大陆法和普通法的背景使得阮律师能够为中外客户提供高质量的法律服务。
阮律师在投资并购、出口管制、经济制裁、数据保护等相关法律事务方面拥有丰富的实务经验。
特别声明
以上所刊登的文章仅代表作者本人观点,不代表威科中国出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“威科先行”及作者姓名。未经书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与我们联系。
Wolters Kluwer | 威科先行
威科先行法律信息库丨境外投资模块
结合自身既有内容积累和技术优势,充分贴近“走出去”企业境外投资业务的实务需求及具体操作流程,为“走出去”企业提供全方位、实操性、可落地的法律信息指引,帮助企业在实施海外投资过程中规避各类风险,实现投资目标。
申请试用
威科先行法律信息库
境外投资模块
长按并识别左侧二维码
WHEN YOU HAVE TO BE RIGHT.
想了解更多关于「威科先行」的产品和信息
欢迎长按下方图片,添加「小威」为微信好友
