美国司法部《防止受关注国家访问美国人大量敏感个人数据和美国政府相关数据规则》(以下简称“数据安全规则”)已于2025年10月6日全面生效,所有过渡期和宽限期已结束。该规则基于2024年2月28日拜登总统签署的第14117号行政命令,旨在限制中国等受关注国家通过商业交易获取美国敏感个人数据。本文介绍该规则的最新动态及对中国企业的合规影响。
规则实施时间线:2024年12月27日司法部发布最终规则,2025年4月8日规则生效,2025年7月8日90天宽限期结束,2025年10月6日全部合规义务生效。
一、哪些企业和交易会被覆盖
美国司法部数据安全规则的直接合规义务主体是美国主体(U.S. Person),包括美国公民、永久居民、美国公司及其海外分支机构。规则禁止或限制美国主体向受限主体传输大量敏感个人数据。
受限主体包括:(1)注册于或总部位于中国的公司和居住在中国的个人;(2)中国实体直接或间接控股50%以上的海外公司;(3)中国实体的雇员和承包商;(3)司法部指定的其他实体。
规则覆盖的数据类型及"大量"阈值(按过去12个月滚动累计,自2025年4月8日起计算):人类基因组数据100人、其他人类组学数据和生物识别数据1,000人、精确地理位置数据1,000台设备、个人健康数据和财务数据10,000人、个人身份信息100,000人。
规则区分两类交易:禁止类交易(如从数据经纪人购买数据)完全不得进行;限制类交易(如雇佣协议、供应商协议、投资协议)理论上可以进行,但必须满足CISA网络安全要求,其核心前提是,通过匿名化、去标识化或加密(密钥不在受关注国家),使受限主体无法访问可识别的敏感个人数据。这意味着,如果中国企业需要在中国使用可识别到个人的美国用户数据进行业务运营,这类交易实际上无法合规。
二、最新执行动态
2025年9月24日,司法部更新了超过100个常见问题解答,进一步明确合规要求。司法部还计划发布受限实体名单(Covered Persons List),将特定外国或美国实体直接指定为受限主体。
2025年9月2日,美国加州北区和伊利诺伊州北区联邦地区法院出现两起集体诉讼:Porcuna v. Xandr, Inc.(案号4:25-cv-07385)和Baker v. Index Exchange, Inc.(案号1:25-cv-10517)。这两起案件的被告是美国广告平台Xandr(微软子公司)和Index Exchange,原告指控被告违反司法部规则,将用户数据传输给中国电商平台Temu。这两起案例表明,理论上,如果中国企业的美国子公司违反司法部规则,向中国母公司或其他受限主体传输大量敏感个人数据,美国消费者可以直接起诉该美国子公司。这意味着中国企业不仅面临司法部执法风险,其美国子公司还可能面临来自美国消费者的集体诉讼。
2025年10月6日,规则的全部合规义务生效。从事限制类交易的美国主体必须:(1)建立书面数据合规计划并每年由高管认证;(2)每年进行独立审计,审计报告需保存至少10年(留存备查,司法部可随时要求提供);(3)保存所有限制类交易记录至少10年;(4)如被受关注国家拥有25%以上股权且从事云计算相关交易,需每年3月1日前向司法部报告;(5)如拒绝禁止类交易,需在14天内向司法部报告。
三、典型场景案例
场景一:跨境电商企业。某中国电商公司在美国设立子公司运营购物APP,收集超过50万美国用户的个人数据(比如精确位置(用于配送)、支付信息、IP地址、广告ID、设备ID和Cookie数据等)。美国子公司作为合规义务主体,如将这些可识别数据传回中国母公司,触发限制类交易要求。由于中国母公司需要使用可识别数据进行用户分析和运营,无法通过CISA安全要求(需匿名化或加密且密钥不在中国)。实际合规路径:数据留在美国本地处理,仅传输匿名化后的聚合结果,但这需要在美国建立技术运维和工程师团队,成本显著增加。如不合规,美国子公司可能面临民事罚款(最高36.8万美元或交易价值两倍)和集体诉讼。
场景二:生物医药公司跨境临床试验。某中国生物科技公司在美国开展临床试验,收集超过10,000名受试者的健康数据。美国子公司向中国母公司传输这些数据用于研发分析,触发限制类交易要求。实际合规路径:在美国本地进行数据分析,或仅传输完全匿名化的研究结果。如不合规,美国子公司可能被司法部调查或被私人诉讼起诉。
场景三:社交媒体/短视频平台。某中国社交媒体公司的APP在美国拥有数百万用户,收集用户位置、设备ID和浏览行为。超过阈值后,美国运营主体向中国母公司传输数据属于限制类交易。由于平台需要在中国进行内容推荐和算法优化,无法满足CISA要求。此外,美国广告合作方可能因担心类似Temu案的诉讼风险而拒绝合作。实际合规路径:算法和数据处理完全在美国进行,或调整股权结构使中国控制权降至50%以下。
四、律师可以提供的帮助
我们可以协助中国企业及其美国子公司:(1)评估现有业务是否触发规则要求;(2)设计实际可行的合规方案,包括数据本地化架构、匿名化技术方案、股权结构调整建议;(3)起草和审查数据合规计划、供应商协议条款;(4)安排独立审计并协助准备审计报告;(5)应对司法部调查或私人诉讼;(6)评估合规成本与业务调整的平衡。
五、结语
司法部数据安全规则对中国企业的美国业务构成实质性挑战。虽然规则区分禁止类和限制类交易,但限制类交易的CISA安全要求实际上要求数据匿名化和加密(密钥不在中国),这对于需要在中国使用可识别数据的业务模式而言,意味着必须进行根本性调整。首批集体诉讼的出现表明私人诉讼已成为规则执行的重要渠道。企业应尽快评估风险并制定合规策略。
本文仅供一般性信息参考,不构成具体的法律意见。请通过以下方式联系我们。
Todd Liao合伙人 | 美国执业律师
2024 ALB China Top 15网络安全与数据保护律师
2024-2025 Lawdragon 500 Leading Global Cyber Lawyers
2025 BTI Client Service All-Star
todd.liao@morganlewis.com
