美国司法部(DOJ)最新的数据安全规则已于2025年4月8日正式生效。这项新规在实质上设立了一道“出口管控线”,要求企业采取措施,防止美国敏感个人信息和政府相关数据落入“外国对手”之手。
概述
该规定适用于涉及“大量敏感个人数据”或“政府相关数据”的交易行为,包括但不限于数据经纪服务、供应商协议、雇佣合同以及投资协议等,且当这些交易涉及特定的“受管辖个人”或“关注国家”(包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉)时,将面临严格审查。
为帮助企业更好地理解和遵守规则,司法部国家安全司(NSD)于2025年4月11日发布了《合规指南》、《常见问题解答(FAQs)》以及《执行与实施政策》。这些文件对如何评估合规情况及未来的执法方向提供了重要指引。值得注意的是,该政策中最受关注的一项内容是司法部宣布设立为期90天的“合规宽限期”,适用于自新规生效之日2025年4月8日至2025年7月8日之间,已开始以诚信态度推进合规工作的企业(但故意违规者仍将被追责)。这段宽限期旨在鼓励企业尽早启动合规程序,推动各行业树立“以合规为先”的意识。
对于尚未启动合规准备的企业,现在是时候采取行动了。司法部已明确指出,以下多项举措可被视为“诚信合规”的体现,有助于企业在宽限期内减少风险:
评估自身所处理的数据集和数据类型是否属于新规的适用范围;
审查数据流向与相关数据交易,尤其是可能被认定为“数据经纪活动”的行为;
分析现有供应商协议,判断是否需要增设新条款、重新谈判协议,或更换产品与服务提供商;
建立符合新规要求的供应商尽职调查机制;
检查员工对敏感数据的访问权限,并在必要时调整其职责、角色或办公地点;
评估与受管辖国家或受管辖主体相关的投资及投资协议;
修订或制定内部数据管理政策与操作流程;
根据美国网络安全与基础设施安全局(CISA)发布的要求,实施必要的安全控制措施。
合规进度
美国司法部的指导文件重申了新规的正式生效时间及对合规进度的具体预期。虽然核心规则已于2025年4月8日生效,但更进一步的合规义务,包括审计、报告、尽职调查等,须在2025年10月6日前全面落实。
对于收集、存储或传输敏感个人数据,特别是存在跨境数据活动的企业来说,应立即展开上述合规工作。该规则实际上是一项“国家安全层面的数据管控”措施,适用于包括数据经纪人、云基础设施服务商、与境外合作方有业务往来的企业在内的广泛市场参与者。
本文作者
Townsend Bourne
合伙人,华盛顿
tbourne@sheppardmullin.comTownsend Bourne是本所华盛顿特区办公室政府业务部合伙人。她是公司航空航天、国防和政府服务团队以及政府业务网络安全和数据保护团队的负责人。
联系人
张小艺(Michael Zhang)
管理合伙人,上海
+86 21-2321-6010
mzhang@sheppardmullin.com
张律师是盛智公司业务组、知识产权业务组以及反垄断业务组成员,张律师在中国的公司法、反垄断法和知识产权法等领域经验丰富。
本文由上海办公室陆媛梅、王振晔翻译。
