跨境數(shù)據(jù)監(jiān)管｜防止獲取美國(guó)人敏感數(shù)據(jù)新規(guī)生效，中企在美子公司恐將列入“受轄主體”清單【走出去智庫(kù)】

走出去智庫(kù)（CGGT）觀察

4月8日，美國(guó)第14117號(hào)行政令《防止受關(guān)注國(guó)家/地區(qū)或相關(guān)人員訪問(wèn)美國(guó)敏感個(gè)人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)》的最終規(guī)則（以下簡(jiǎn)稱“法規(guī)”）正式生效。當(dāng)天，微軟在中國(guó)的外包商微創(chuàng)軟件終止了其微軟項(xiàng)目組，或緣于該法規(guī)禁止微軟再允許中國(guó)境內(nèi)外包團(tuán)隊(duì)訪問(wèn)涉及美國(guó)用戶的敏感數(shù)據(jù)。

走出去智庫(kù)（CGGT）觀察到，該法規(guī)不僅管控?cái)?shù)據(jù)跨境流動(dòng)，還可能重點(diǎn)規(guī)范美國(guó)數(shù)據(jù)“境內(nèi)轉(zhuǎn)移”，尤其針對(duì)中國(guó)企業(yè)的美國(guó)子公司。美國(guó)司法部通過(guò)發(fā)布“受轄主體”清單，明確將符合特定條件的中企美子公司納入監(jiān)管，限制其涉及美國(guó)敏感數(shù)據(jù)的交易。盡管法規(guī)實(shí)施初期采取寬限執(zhí)法政策，但已對(duì)中美商貿(mào)及科研合作產(chǎn)生顯著影響，預(yù)計(jì)隨著法規(guī)全面落地，影響將持續(xù)擴(kuò)大。

美國(guó)跨境數(shù)據(jù)新規(guī)將帶來(lái)哪些影響？今天，走出去智庫(kù)（CGGT）刊發(fā)關(guān)于該法規(guī)的分析文章，供關(guān)注美國(guó)跨境數(shù)據(jù)監(jiān)管的讀者參閱。

要點(diǎn)

1、美國(guó)司法部至少理論上有可能把一些中國(guó)公司的美國(guó)子公司列入“受轄主體”清單，限制甚至禁止其在美國(guó)從事數(shù)據(jù)收集和處理活動(dòng)。

2、如果中企的美國(guó)子公司大量被列入“受轄主體”清單，將顯著影響其在美國(guó)當(dāng)?shù)厣婕芭棵绹?guó)人敏感數(shù)據(jù)和政府相關(guān)數(shù)據(jù)的的交易。

3、美國(guó)司法部將在法規(guī)正式生效后的前90天（2025年4月8日至7月8日）采取寬限執(zhí)法政策：只要企業(yè)或個(gè)人在此期間真誠(chéng)努力合規(guī)，一般不啟動(dòng)處罰，而是鼓勵(lì)大家抓緊時(shí)間完善內(nèi)部制度、調(diào)整供應(yīng)鏈、審查數(shù)據(jù)流向，并與美國(guó)政府溝通。

正文

4月8日，美國(guó)防止中國(guó)獲取美國(guó)人批量敏感個(gè)人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)的聯(lián)邦法規(guī)正式生效（一些盡職調(diào)查、審計(jì)、報(bào)告義務(wù)2025年10月6日起生效）。為進(jìn)一步澄清相關(guān)問(wèn)題，便利美國(guó)個(gè)人和企業(yè)合規(guī)，司法部國(guó)家安全司4月11日發(fā)布了“法規(guī)常見(jiàn)問(wèn)答”、“前90天實(shí)施政策”、“合規(guī)指引”三個(gè)文件。

關(guān)于這部法規(guī)我一直有個(gè)疑問(wèn)：它到底管不管美國(guó)企業(yè)和中企美國(guó)子公司之間的交易？換言之，該法規(guī)只針對(duì)美國(guó)數(shù)據(jù)向中國(guó)的“跨境流動(dòng)”或中國(guó)對(duì)美國(guó)數(shù)據(jù)的“跨境訪問(wèn)”，還是也規(guī)范美國(guó)數(shù)據(jù)的“境內(nèi)轉(zhuǎn)移”？在去年12月“數(shù)據(jù)脫鉤”落地：美國(guó)發(fā)布禁止敏感個(gè)人數(shù)據(jù)向中國(guó)跨境傳輸?shù)淖罱K規(guī)則”一文中，我曾提出該問(wèn)題：

特別值得警惕的是，該規(guī)則的影響可能超出數(shù)據(jù)跨境流動(dòng)，波及中國(guó)企業(yè)的美國(guó)子公司在美國(guó)開(kāi)展的交易。美國(guó)司法部一方面明確該規(guī)則不監(jiān)管“美國(guó)人”之間在美國(guó)境內(nèi)進(jìn)行的“純國(guó)內(nèi)交易”（如“美國(guó)人”對(duì)數(shù)據(jù)的收集、維護(hù)、處理或使用），但又加了個(gè)限定：該“美國(guó)人”沒(méi)有被明確且公開(kāi)指定為“受轄主體”（對(duì)受轄主體，司法部禁止或限制美國(guó)公司與之進(jìn)行涉美國(guó)人批量敏感數(shù)據(jù)和政府相關(guān)數(shù)據(jù)的交易）。

美國(guó)司法部至少理論上有可能把一些中國(guó)公司的美國(guó)子公司列入“受轄主體”清單，限制甚至禁止其在美國(guó)從事數(shù)據(jù)收集和處理活動(dòng)。通過(guò)埋進(jìn)去這一條，美國(guó)司法部給自己制造了一個(gè)未來(lái)可以制裁中國(guó)在美公司的工具，且裁量權(quán)很大。

在認(rèn)真研讀了國(guó)安司發(fā)布的“常見(jiàn)問(wèn)答”后，我的結(jié)論是：該法規(guī)對(duì)上述情況不僅要管，而且可能還是一個(gè)管控的重點(diǎn)。

該法規(guī)的核心思路是監(jiān)管“美國(guó)人”和“受轄主體”開(kāi)展涉及“批量美國(guó)敏感個(gè)人數(shù)據(jù)或美國(guó)政府相關(guān)數(shù)據(jù)”的禁止性或限制性交易（數(shù)據(jù)經(jīng)紀(jì)、供應(yīng)商協(xié)議、雇傭協(xié)議、投資協(xié)議等），義務(wù)施加在“美國(guó)人”頭上。在多個(gè)復(fù)雜的概念中，搞清楚哪些是“受轄主體”是合規(guī)關(guān)鍵點(diǎn)，在這個(gè)基礎(chǔ)上再去看數(shù)據(jù)和交易的類型。

為了幫助美國(guó)公司判斷哪些是“受轄主體”，國(guó)安司將在官網(wǎng)“數(shù)據(jù)安全計(jì)劃”頁(yè)面發(fā)布一份“受轄主體”清單（Covered Persons List），并會(huì)在《聯(lián)邦公報(bào)》上公布。清單會(huì)定期更新，包括兩部分：

1、國(guó)安司根據(jù)第202.211(a)(5)條指定的“受轄主體”清單（指定清單）。

202.211(a)(5)條：

由司法部長(zhǎng)認(rèn)定的任何主體，無(wú)論其位于何處：

（1）由、曾由或可能由關(guān)注國(guó)家或受轄主體擁有或控制，或受其管轄或指示；

（2）為、曾為或意圖為關(guān)注國(guó)家或受轄主體行事，或代表關(guān)注國(guó)家或受轄主體行事；

（3）故意引發(fā)或指示違反本規(guī)則的行為，或可能故意引發(fā)或指示違反本規(guī)則的行為。

這個(gè)清單是詳盡的，里面所有列名主體均是國(guó)安司明確指定，類似財(cái)政部的SDN清單和商務(wù)部實(shí)體清單。美國(guó)公司和這些主體做生意，確定受到本法規(guī)的限制，無(wú)需自行盡調(diào)。

2、屬于第202.211(a)(1)至(4)條定義所述類別“受轄主體”的清單（定義清單）。

第202.211(a)(1)至(4)條：

（1）由關(guān)注國(guó)家直接或間接、單獨(dú)或合計(jì)擁有50%或以上股權(quán)的實(shí)體，以及在關(guān)注國(guó)家注冊(cè)或其主要業(yè)務(wù)地在關(guān)注國(guó)家的實(shí)體（A）；

（2）由A、C或E涵蓋主體直接或間接、單獨(dú)或合計(jì)擁有50%或以上股權(quán)的實(shí)體（B）；

（3）作為關(guān)注國(guó)家、A、B或E涵蓋主體的員工或合同工的外國(guó)主體（C）；

（4）主要居住在關(guān)注國(guó)家領(lǐng)土管轄范圍內(nèi)的外國(guó)主體（D）；

這個(gè)清單是開(kāi)放式的，在上面的公司不是因?yàn)樗痉ú恐付怂麄兪恰笆茌犞黧w”，而純粹是因?yàn)榉系?02.211(a)(1)-(4)條定義的標(biāo)準(zhǔn)而自動(dòng)成為這類主體。因?yàn)榉显摌?biāo)準(zhǔn)的主體太多，很難想象憑國(guó)安司那11個(gè)人能窮盡地識(shí)別出來(lái)。即便美國(guó)公司和中國(guó)公司交易時(shí)，即便對(duì)方不在”受轄主體“清單上，美國(guó)公司也要自己根據(jù)第202.211(a)(1)至(4)條的標(biāo)準(zhǔn)盡職調(diào)查，判斷對(duì)方是否屬于“受轄主體”，并在此基礎(chǔ)上做好合規(guī)。

根據(jù)“常見(jiàn)問(wèn)答”51，如果母公司總部位于中國(guó)等“關(guān)注國(guó)家”，該母公司的美國(guó)分支機(jī)構(gòu)應(yīng)當(dāng)視為母公司的一部分，不視為獨(dú)立實(shí)體，也不因設(shè)在美國(guó)而被認(rèn)定為“美國(guó)人”。這相當(dāng)于為本法規(guī)定義的“美國(guó)人”設(shè)了一個(gè)例外，由于中企的美國(guó)子公司是在美國(guó)境內(nèi)根據(jù)美國(guó)法律注冊(cè)成立，本應(yīng)屬于“美國(guó)人”，但這里司法部明確說(shuō)不是。

“常見(jiàn)問(wèn)答”5表示：數(shù)據(jù)安全計(jì)劃不涉及美國(guó)主體之間純粹的國(guó)內(nèi)數(shù)據(jù)交易，例如美國(guó)主體在美國(guó)境內(nèi)的數(shù)據(jù)收集、維護(hù)、處理或使用（這符合預(yù)期，因?yàn)镮EEPA理論上只監(jiān)管美國(guó)人和外國(guó)人的跨境商貿(mào)活動(dòng)），但該最后又加了這么一句：“除非這些美國(guó)主體被指定為受轄主體”。

也就是說(shuō)，中國(guó)公司的美國(guó)子公司是可能被司法部指定為“受轄主體”的。假設(shè)中國(guó)公司甲根據(jù)美國(guó)法律、在美國(guó)境內(nèi)設(shè)立主體乙，運(yùn)營(yíng)一個(gè)網(wǎng)站或App，并存在收集、存儲(chǔ)、使用美國(guó)用戶個(gè)人數(shù)據(jù)的情況，該美國(guó)公司乙也會(huì)成為“受轄主體”，被禁止或限制跟美國(guó)公司從事相關(guān)涉及數(shù)據(jù)的交易。考慮到受轄數(shù)據(jù)類型的模糊和寬泛，這很有可能。同理，一家中國(guó)云服務(wù)商的美國(guó)子公司為美國(guó)客戶存儲(chǔ)受轄數(shù)據(jù)或提供技術(shù)支持，也能落入這一情形。

如果中國(guó)母公司對(duì)美國(guó)子公司控股≥ 50%，則會(huì)自動(dòng)落入“受轄主體”范圍，不管在不在“受轄主體”清單上，都受本法規(guī)的限制。如果中國(guó)母公司只持有美國(guó)子公司少數(shù)股權(quán)（<50%），但存在實(shí)質(zhì)控制（如通過(guò)協(xié)議安排、董事會(huì)控制權(quán)、或其他方式實(shí)質(zhì)控制子公司的決策），司法部可以把該子公司指定為“受轄主體”，列上“指定清單”。

根據(jù)“常見(jiàn)問(wèn)答”，對(duì)“受轄主體”只有黑名單，沒(méi)有白名單，他們可以申請(qǐng)行政復(fù)議，尋求從“受轄主體”清單上除名，國(guó)安司后續(xù)將發(fā)布更多關(guān)于申請(qǐng)除名程序的信息。

如果中企的美國(guó)子公司大量被列入“受轄主體”清單，將顯著影響其在美國(guó)當(dāng)?shù)厣婕芭棵绹?guó)人敏感數(shù)據(jù)和政府相關(guān)數(shù)據(jù)的的交易。

首先，以下交易絕對(duì)禁止：

1、所有數(shù)據(jù)經(jīng)紀(jì)交易：如美國(guó)子公司將自行收集的美國(guó)用戶數(shù)據(jù)（如位置、消費(fèi)行為、瀏覽記錄等）打包成數(shù)據(jù)集，出售或提供給美國(guó)其他企業(yè)（如營(yíng)銷平臺(tái)、風(fēng)控公司、保險(xiǎn)公司、廣告商）。

2、能讓該美國(guó)子公司或中國(guó)獲取大量美國(guó)人類組學(xué)數(shù)據(jù)，或可從中得出大量人類‘組學(xué)’數(shù)據(jù)的人類生物樣本的交易；

3、涉及上述禁止交易的“規(guī)避”“共謀”“指示”行為。

其次，涉及供應(yīng)商協(xié)議、雇傭協(xié)議或投資協(xié)議的數(shù)據(jù)交易不絕對(duì)禁止，但需要遵守國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的安全要求（已經(jīng)發(fā)布）及其他相關(guān)要求。

例如，美企將用戶數(shù)據(jù)處理或云基礎(chǔ)設(shè)施維護(hù)外包給中企的美國(guó)子公司；委托中企美國(guó)子公司開(kāi)發(fā)系統(tǒng)、平臺(tái)或嵌入SDK，雇傭中企美國(guó)子公司的工程師、數(shù)據(jù)分析師，以及中企的美國(guó)子公司投資美國(guó)初創(chuàng)公司并獲得董事會(huì)席位、數(shù)據(jù)接口權(quán)限等，只要存在美國(guó)人批量敏感數(shù)據(jù)或政府相關(guān)數(shù)據(jù)因此被中企美國(guó)子公司訪問(wèn)的風(fēng)險(xiǎn)，都屬于受限制的交易。

這種情況下，滿足CISA的安全要求就會(huì)成為關(guān)鍵的合規(guī)路徑，有點(diǎn)類似CFIUS國(guó)家安全協(xié)議的緩解措施。CISA最終發(fā)布的安全要求分為兩大塊：

第一部分是“組織和系統(tǒng)層面”的要求，主要是讓企業(yè)建立好基本的安全管理機(jī)制，比如清點(diǎn)資產(chǎn)、控制誰(shuí)能訪問(wèn)系統(tǒng)、修補(bǔ)漏洞、記錄日志等。這部分只適用于那些涉及“受限交易”和“敏感數(shù)據(jù)”的特定系統(tǒng)，標(biāo)準(zhǔn)參考了一些已有的網(wǎng)絡(luò)安全框架（如NIST和CISA出的指導(dǎo)）。

第二部分是“數(shù)據(jù)層面”的要求，核心目的是防止中國(guó)等關(guān)注國(guó)家或企業(yè)能接觸到未經(jīng)處理的美國(guó)人敏感數(shù)據(jù)。它給出了幾種技術(shù)方案，比如脫敏、加密、限制訪問(wèn)等，還特別強(qiáng)調(diào)：哪怕你用了安全措施，只要對(duì)方能“看見(jiàn)”數(shù)據(jù)，那也算是“訪問(wèn)”，不能忽視。企業(yè)要根據(jù)數(shù)據(jù)敏感程度和交易類型，靈活組合使用這些手段，做到真正“有效阻止訪問(wèn)”。

盡管有了“常見(jiàn)問(wèn)答”等指南，關(guān)于該法規(guī)的一些重要問(wèn)題還是沒(méi)有答案，比如怎么判斷哪些屬于豁免監(jiān)管的“美國(guó)子公司和中國(guó)母公司之間的”行政性或輔助性業(yè)務(wù)活動(dòng)“。但總的來(lái)說(shuō)，法規(guī)的思路沒(méi)有變化，邏輯是國(guó)家安全而非個(gè)人信息保護(hù)，這體現(xiàn)在很多方面，例如對(duì)“批量美國(guó)敏感個(gè)人數(shù)據(jù)”的定義沒(méi)有排除已經(jīng)匿名化、去標(biāo)識(shí)化、假名化的數(shù)據(jù)或聚合數(shù)據(jù)，明確拒絕個(gè)人“知情-同意”作為豁免監(jiān)管的情況等。換言之，這是一部“涉及數(shù)據(jù)的國(guó)家安全法”，而不是一部個(gè)人數(shù)據(jù)保護(hù)法，以數(shù)據(jù)合規(guī)的思路去理解和遵守這部法律，可能會(huì)犯錯(cuò)。

司法部將在法規(guī)正式生效后的前90天（2025年4月8日至7月8日）采取寬限執(zhí)法政策：只要企業(yè)或個(gè)人在此期間真誠(chéng)努力合規(guī)，一般不啟動(dòng)處罰，而是鼓勵(lì)大家抓緊時(shí)間完善內(nèi)部制度、調(diào)整供應(yīng)鏈、審查數(shù)據(jù)流向，并與美國(guó)政府溝通。但這一政策不適用于故意或嚴(yán)重違規(guī)者，對(duì)于缺乏合規(guī)誠(chéng)意的行為，司法部仍保留執(zhí)法權(quán)。此外，如果當(dāng)事人主動(dòng)配合調(diào)查，也可能在后續(xù)執(zhí)法中獲得積極考量。

盡管如此，法規(guī)已經(jīng)開(kāi)始對(duì)中美商貿(mào)活動(dòng)及科研合作產(chǎn)生直接影響。

涉及人類基因組數(shù)據(jù)等敏感生物數(shù)據(jù)的禁止類交易最先被切斷。4月5日，美國(guó)國(guó)家癌癥研究所（NCI）的 SEER（癌癥監(jiān)測(cè)、流行病學(xué)和最終結(jié)果）數(shù)據(jù)庫(kù)據(jù)禁止中國(guó)科研人員訪問(wèn)。4月4日，美國(guó)國(guó)立衛(wèi)生研究院（NIH）禁止中國(guó)機(jī)構(gòu)訪問(wèn)其“受控訪問(wèn)數(shù)據(jù)存儲(chǔ)庫(kù)”（由NIH支持的、用于存儲(chǔ)和共享人類基因組等敏感研究數(shù)據(jù)的存儲(chǔ)平臺(tái)）。

4月8日（法規(guī)生效當(dāng)天），微軟在中國(guó)的外包商微創(chuàng)軟件終止了其微軟項(xiàng)目組，上海、無(wú)錫等地約2000名工程師被裁。外界普遍分析這是因該法規(guī)禁止微軟再允許中國(guó)境內(nèi)外包團(tuán)隊(duì)訪問(wèn)涉及美國(guó)用戶的敏感數(shù)據(jù)，售后技術(shù)支持等需處理用戶賬戶、設(shè)備信息等數(shù)據(jù)的工作在中國(guó)進(jìn)行也已不再合規(guī)，只能結(jié)束與中國(guó)外包公司的合作。

隨著法規(guī)的逐步全面落地，相關(guān)影響還會(huì)繼續(xù)顯現(xiàn)。

文章僅做學(xué)術(shù)探討和市場(chǎng)研究交流使用，相關(guān)判斷不代表任何公司或機(jī)構(gòu)立場(chǎng)，也不構(gòu)成任何投資建議論。

來(lái)源：東不壓橋研究院

延展閱讀

▌地緣政治風(fēng)險(xiǎn):

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競(jìng)爭(zhēng):

▌品牌聲譽(yù)管理: