跨境數據觀察｜美國“數據脫鉤”新規進入全面實施階段【走出去智庫】

走出去智庫（CGGT）觀察

10月6日，美國司法部（DOJ）發布的《關于防止受關注國家及相關主體訪問美國敏感個人數據和政府相關數據的規定》的最終規則（簡稱“《14117最終規則》”）將全面實施，禁止或限制“美國人”與受關注國家及其“相關主體”進行某些數據交易。

走出去智庫（CGGT)特約法律專家、金杜律師事務所合伙人趙新華認為，《14117最終規則》自2025年4月8日生效以來，觸發該新規的企業均受到較大程度的影響。企業應至少每年一次全面審查企業數據流向、供應鏈結構、交易主體信息等，識別涉及或可能涉及大量美國敏感個人數據或政府相關數據的數據經紀交易、雇傭協議、供應協議或投資協議。

美國數據新規有哪些影響？如何應對？今天，走出去智庫 (CGGT) 刊發金杜律師事務所趙新華、單文鈺、司馬丹旎的文章，供關注美國數據政策的讀者參閱。

要點

1、為制定穩健的數據合規計劃，美國人可定期（理想情況下至少每年一次）或在特定情況發生（如投資并購、內部審計或業務過程中發現合規風險）時開展風險評估，依據其業務活動和風險偏好評估可能面臨的潛在問題。

2、較為有效的內控措施是任命和授權合規人員，并建立正式的逐級上報程序以審查高風險交易，包括評估交易是否需要向美國司法部國家安全司（NSD）尋求特別許可、咨詢意見或進行主動自我披露。

3、數據合規計劃的書面政策須由負責合規的企業管理人員或員工每年確認，并確保其內容切實反映業務實際，能被員工理解和執行。

正文

前言

美國“數據脫鉤”新規即美國《關于防止受關注國家獲取美國人大量敏感個人數據和美國政府相關數據的行政命令》（Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）之最終規則《防止受關注國家或受規制主體獲取美國敏感個人數據和政府相關數據》（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）（“《14117最終規則》”）自2025年4月8日生效以來，觸發該新規的企業均受到較大程度的影響。

2025年10月6日，《14117最終規則》將進入全面實施階段。

以下是《14117最終規則》發布以來的幾個關鍵時間節點：

• 2025年4月8日，《14117最終規則》正式生效，絕大部分禁止與限制性規定開始實施，但美國司法部設定了為期三個月的執法寬限期。

  在該寬限期內，只要美國人（包括個人和實體，定義詳見《14117最終規則》，下同）“秉持善意努力遵守”《14117最終規則》，美國司法部國家安全司（National Security Division，“NSD”）將不會優先對違反《14117最終規則》的行為采取民事執法行動。

• 2025年7月8日，執法寬限期結束，NSD可能對所有違反《14117最終規則》的行為采取執法行動。

• 2025年10月6日，《14117最終規則》全面實施，包括數據合規計劃、年度審計及特定報告等要求。

本文將重點介紹《14117最終規則》即將于2025年10月6日實施的合規要求。對于《14117最終規則》基本框架和概念的介紹，以及對其配套文件的解析，可分別參見《》和《》。

01 、2025年10月6日即將生效的合規義務

1. 盡職調查

自2025年10月6日起，開展被限制的交易的美國人應制定并實施數據合規計劃（Data Compliance Program），以對被限制的交易開展盡職調查。[1]

數據合規計劃應至少包括以下內容：[2]

用于核實被限制的交易中涉及的數據流的風險驗證程序，包括驗證并以可審計的方式記錄：（a）任何被限制的交易中涉及的大量美國敏感個人數據或政府相關數據的類型和數量；（b）交易各方的身份，包括實體的權屬信息或個人的國籍或主要居住地；（c）數據的最終用途和數據的傳輸方式。

企業的風險狀況可能取決于多種因素，包括企業規模與復雜程度、產品與服務類型、客戶與交易對手方類型以及地理分布等。為制定穩健的數據合規計劃，美國人可定期（理想情況下至少每年一次）或在特定情況發生（如投資并購、內部審計或業務過程中發現合規風險）時開展風險評估，依據其業務活動和風險偏好評估可能面臨的潛在問題。此類風險評估可用于檢查企業當前的數據持有情況，以及與供應商、員工或投資協議相關的合規情況。風險評估的審查內容包括：（a）現有的安全措施；（b）供應商、投資者和員工的情況；（c）提供的產品和服務；（d）適用的一般許可或特定許可或豁免；以及（e）企業及其關聯方、供應商、交易對手方的地理位置等，以識別可能受限于《14117最終規則》的活動及相關風險。企業可根據風險評估的結果，完善其內部政策、程序、培訓和內控措施。[3]

用于核實供應商身份的風險驗證程序，特別是核查供應商是否屬于受規制主體。

根據《14117最終規則》，受規制主體指滿足以下任一情形的主體：

1）由一個或多個受關注國家或2）所述主體直接或間接、單獨或合計擁有50%或以上股權的實體，以及在受關注國家注冊或其主要經營地在受關注國家的實體；

2）由1）、3）、4）、5）中所述一個或多個主體直接或間接、單獨或合計擁有50%或以上股權的實體；

3）受關注國家或1）、2）、5）中所述主體的雇員或承包商；

4）主要居住在受關注國家領土管轄范圍內的外國人（即非美國人，包括自然人和實體）；或

5）無論其位于何處，由美國司法部部長在受規制主體名單中認定的：（i）將要、已經、或未來可能被受關注國家或受規制主體擁有或控制，或受其管轄或指導的主體；或（ii）代表、意圖代表、或可能代表受關注國家或相關人員行事的主體；或（iii）故意導致或指示違反，或可能故意導致或指示違反《14117最終規則》的主體。[4]

由于上述情形1）至4）中相關主體的股權或相關個人的雇傭或主要居住地情況可能會發生變化，上述情形5）中受規制主體名單（Covered Persons List）可能不時調整，有效的數據合規計劃應能夠適應這些變化，并根據企業的風險偏好，定期對供應商進行篩查并設置相應的控制措施。[5]

篩查方式包括通過篩查軟件審查現有或潛在供應商的地理信息，以判斷該供應商是否位于受關注國家、依據該國法律設立或注冊，或其主要營業地點是否在受關注國家。使用篩查軟件的企業應確保該軟件能夠：（a）納入受規制主體名單的最新更新；（b）識別所有標識信息，包括已識別的或指定的受規制主體的別名及不同拼寫；（c）考量組織層級結構；（d）考量供應商的地理信息（包括總部、子公司及分支機構的所在地）；以及（e）對現有、新增以及潛在供應商進行全面篩查。[6]

需要注意的是，美國人與外國人簽訂供應商協議時，通常無需在其數據合規計劃中對外國人的雇傭情況進行盡職調查，以確認該外國人的雇員是否屬于受規制主體。除非存在規避或在明知情況下指示的情形，美國人基于供應協議將受規制數據提供至外國人通常不構成違反《14117最終規則》，即使該外國人雇傭受規制主體并授予其數據訪問權限。[7]

描述數據合規計劃的書面政策，需由負責合規的企業管理人員或其他員工每年確認。

描述數據合規計劃的書面政策應充分反映組織的日常運作，便于遵循，易于核實合規情況，并旨在防止員工不當行為。

理想情況下，企業應向所有相關員工清晰傳達并確認其對數據合規計劃政策和流程的理解，視情況需包括企業合規職能部門的人員、網關人員和業務部門（例如銷售或供應商采購團隊和網絡安全人員）以及代表企業履行相關職責的第三方。

企業應考慮在其書面的數據合規計劃中，納入基于風險評估結果而制定的內控措施，使組織能夠識別并上報任何可能違反《14117最終規則》的受規制數據交易。較為有效的內控措施是任命和授權合規人員，并建立正式的逐級上報程序以審查高風險交易，包括評估交易是否需要向NSD尋求特別許可、咨詢意見或進行主動自我披露。

對數據合規計劃書面政策和程序的年度審查與認證，必須評估其充分性及實施效果。[8]

描述實施CISA規定的安全要求的書面政策，需由負責合規的企業管理人員或其他員工每年確認。

（5）

其他美國司法部部長要求的信息。任何該等要求將在生效前公布在《聯邦公報》上。[9]截至目前，美國司法部部長尚未就此提出進一步要求。

2. 年度審計

自2025年10月6日起，每一公歷年度中，只要美國人參與過被限制的交易，必須在該年度進行一次審計，審計的時間范圍應覆蓋審計前的12個月。[10]

（1）審計范圍必須包括：[11]

?審查該美國人的被限制的交易；

?審查數據合規計劃及其實施情況；

?審查按照《14117最終規則》第202.1101條保存的相關記錄；

?審查該美國人實施的CISA安全要求；

?采用可靠的方法開展審計。

（2）審計人員必須符合以下條件：[12]

?具備審查、驗證并證明該美國人符合并有效實施CISA安全要求以及針對被限制的交易所有其他適用要求的專業能力與資格；

?保持獨立性；

?不屬于受關注國家或受規制主體。

（3）審計標準

《14117最終規則》不要求遵循特定的審計標準。美國政府審計署（GAO）在《政府審計準則》[13]中提供了財務報表審計指南，但審計人員也可選擇遵循其他標準，例如，上市公司會計監督委員會（PCAOB）制定的標準或國際審計與鑒證準則理事會（IAASB）制定的標準。審計人員應采用可靠的方法，根據被審計美國人的規模與復雜度，實施適當的審計程序，以反映對企業實踐的全面和客觀的評估。[14]

（4）審計報告的內容應包括：[15]

?描述該美國人所進行的任何被限制的交易的性質，即屬于何種類型的交易（供應協議、雇傭協議或投資協議）；

?描述所采用的審計方法，包括所審查的相關政策和文件、訪談的相關人員，以及檢查的設施、設備、網絡或系統；

?描述該美國人的數據合規計劃及其實施的有效性；

?說明在CISA安全要求的實施過程中已影響或可能影響受關注國家或受規制主體獲取受規制數據風險的任何漏洞或缺陷；

?說明CISA安全要求未能有效降低受關注國家或受規制主體獲取受規制數據風險的情形；

?建議為確保符合CISA安全要求所需的政策、實踐或其他業務方面的改進或調整。

（5）審計報告提交時間

審計人員必須在完成審計后的60天內，向該美國人提交書面報告[16]，最好是向該美國人負責總體網絡安全或《14117最終規則》合規的合規人員提交書面報告。[17]

（6）審計報告保留時間

從事被限制的交易的美國人須將審計報告至少保留10年。[18]NSD可要求美國人在必要時提供審計報告。[19]

（7）收到審計報告后的應對措施

在收到否定或“無法發表意見”的審計結果時，企業最好立即采取有效行動，確定并實施補救措施，以解決相關問題，并且最好還應記錄補救審計發現的任何缺陷的努力。

3. 涉及云計算服務的被限制的交易的年度報告

除非聯邦法律另有禁止，自2025年10月6日起，凡美國人從事涉及云計算服務的被限制的交易，且其25%或以上的股權（無論直接或間接，通過任何合同、安排、諒解、關系或其他方式）由受關注國家或受規制主體持有的，必須提交一份年度報告。[20]針對上一年度截至12月31日開展的該等被限制的交易，年度報告必須在次年3月1日之前向美國司法部提交。[21]

美國人可委托律師、代理人或其他人員代為提交年度報告，但報告的主要責任仍由實際從事該數據交易的美國人承擔。若另一美國人已就同一數據交易提交報告，除非該美國人確知另一美國人已提交，否則不得以此為由免除其自身的報告義務。[22]

該等年度報告必須包括以下信息：[23]

（1）從事受規制數據交易的美國人的名稱和地址，及其聯系人的姓名、電話和電子郵箱；

（2）該受規制數據交易的描述，包括：

?交易日期；

?所涉及的政府相關數據或美國大量敏感個人數據的類型和數量；

?數據傳輸方式；

?參與該數據交易的人員及其所在地，包括數據接收方的名稱和位置、相關實體的權屬信息或個人的國籍或主要居住地、交易中涉及的任何受規制主體的名稱和位置，以及涉及的任何受關注國家的名稱；

需要注意的是，一般僅需提供受規制數據交易的概要性描述，而無需提供底層數據。在少數情況下，NSD可能需要了解有關底層敏感個人數據的更多細節，但通常可以在不直接獲取底層數據的情況下解決，例如通過向當事方詢問數據性質等方式；[24]

（3）收到或形成的與該交易相關的所有文件的副本；

（4）美國司法部要求提供的任何其他信息。

NSD可要求提交年度報告的主體補充或提供后續信息。報告必須按照規定以電子方式提交，可通過以下途徑完成：發送電子郵件至 nsd.firs.datasecurity@usdoj.gov，或依照NSD官方網站上的指示，使用其他官方電子報告渠道。NSD不接受年度報告的紙質副本。[25]

4. 拒絕被禁止的數據經紀交易的報告

美國人在明知的情況下與受關注國家或受規制主體開展數據經紀交易是被禁止的。[26]數據經紀交易是指數據接收方不直接從與數據相關聯的個人處收集數據，而是從數據提供方處購買數據、被許可訪問數據或其他類似的商業交易，不包括雇傭協議、投資協議或供應商協議。[27]

除非聯邦法律另有禁止，自2025年10月6日起，凡美國人收到并明確拒絕（包括使用軟件、技術或自動化工具自動拒絕）他人提出的涉及被禁止的數據經紀交易的要約，必須在拒絕被禁止的交易之日起的14天內向美國司法部提交報告。[28]

拒絕交易的報告在提交時，應盡可能包含以下信息：[29]

（1）從事受規制數據交易的美國人的名稱和地址，及其聯系人的姓名、電話和電子郵箱；

（2）該受規制數據交易的描述，包括：

?交易被拒絕的日期；

?交易中涉及的政府相關數據或美國大量敏感個人數據的類型和數量；

?數據傳輸方式；

?試圖參與該交易的人員及其所在地，包括數據接收方的名稱和位置、相關實體的權屬信息或個人的國籍或主要居住地、交易中涉及的受規制主體的名稱和位置，以及涉及的任何受關注國家的名稱；

?收到或形成的與該交易相關的所有文件的副本；

?美國司法部要求提供的任何其他信息。

同理，一般僅需提供對被拒絕的數據經紀交易的概要性描述，而無需提供底層數據。[30]

NSD認為美國人在拒絕被禁止的數據經紀交易后主動報告的行為是否構成自愿自我披露（VSD）報告需結合具體事實情況進行判斷。NSD會單獨發布《14117最終規則》執行指南（DSP Enforcement Guidance）以提供關于VSD的額外信息。[31]

02、 合規建議

1. 企業應建立動態審查機制，確認是否觸發《14117最終規則》

企業應至少每年一次全面審查企業數據流向、供應鏈結構、交易主體信息等，識別涉及或可能涉及大量美國敏感個人數據或政府相關數據的數據經紀交易、雇傭協議、供應協議或投資協議。

鑒于受規制主體名單的動態更新，依賴人工篩查效率低且易出錯。企業可考慮選用能夠滿足以下要求的自動篩查工具：可自動同步官方發布的最新受規制主體名單、可識別別名及不同拼寫、可識別組織層級結構、可獲取供應商的地理信息。此外，建議企業建立相關流程，對現有及新增供應商進行定期篩查或在開展相關交易前進行篩查。

2. 涉及開展被限制的交易的企業應建立并動態更新數據合規計劃，該計劃不應僅是應付檢查的書面文件，而應是一套融入日常運營的主動風險管理機制

數據合規計劃的書面政策須由負責合規的企業管理人員或員工每年確認，并確保其內容切實反映業務實際，能被員工理解和執行。企業可以通過明確的職責分工、培訓和內部溝通，將政策要求轉化為具體行動指南，并設計內部控制節點以便及時發現和上報違規風險。

3. 涉及開展被限制的交易的企業應嚴格執行年度審計，確保審計的獨立性、專業性與文件材料的留存

涉及開展被限制的交易的企業現在即應開始選擇和聘請具備專業資質、能滿足獨立性要求且不屬于受關注國家或受規制主體的審計機構。鑒于《14117最終規則》未指定單一標準，企業應與審計機構明確其將采用的審計準則，并確保其審計方法與企業的規模和復雜度相匹配。

審計范圍廣泛，涉及交易記錄、數據合規計劃的實施、CISA安全要求的實施等，企業應建立專門的檔案管理系統，在日常工作中注意留存所有相關文件、記錄和決策過程證據。審計報告完成后，必須確保其至少保存10年。

4. 針對特定報告義務，企業應建立內部快速響應流程，確保報告的準確性與時效性

對于涉及云計算服務的被限制的交易，以及拒絕的被禁止的數據經紀交易，企業面臨嚴格的報告時限和內容要求。

企業內部需清晰界定何種情況會觸發報告義務，并指定專門團隊（如法務、合規部）負責評估和準備報告內容。企業可以根據《14117最終規則》規定的內容要求，預先設計內部信息收集清單和報告草案模板。從而一旦觸發報告條件，就可快速啟動信息收集流程，確保在有限的時間內提交內容完整、格式規范的報告，避免因準備不足而延誤或錯漏。

結語

2025年10月6日起，《14117最終規則》將全面實施，包括盡職調查、年度審計及特定報告在內的合規義務將正式生效，企業將面臨更加嚴格的合規義務。受《14117最終規則》規制的企業應將合規工作前移，即刻著手構建或完善其內部合規框架，將數據合規計劃制定與實施、定期風險評估和審計以及合規報告融入企業日常運營管理，將監管壓力內化為管理制度，避免觸發合規風險。

腳注：

[1] 《14117最終規則》§202.1001(a)；被限制的交易包括在明知的情況下與受關注國家或受規制主體開展涉及供應協議、雇傭協議或投資協議的受規制數據交易，除非滿足相關CISA安全要求，其定義詳見《14117最終規則》§202.401(a)

[2] 《14117最終規則》§202.1001(b)

[3] Data Security Program: Compliance Guide: Section IV.B.1.i

[4] 《14117最終規則》§202.211

[5] Data Security Program: Compliance Guide: Section IV.B.1.ii

[6] Data Security Program: Compliance Guide: Section IV.B.1.ii

[7] Data Security Program: Compliance Guide: Section IV.B.1.ii

[8] Data Security Program: Compliance Guide: Section IV.B.1.iii

[9] Data Security Program: Compliance Guide: Section IV.B.2

[10] 《14117最終規則》§202.1002(a)(c)(d)

[11] 《14117最終規則》§202.1002(e)

[12] 《14117最終規則》§202.1002(b)

[13] https://www.gao.gov/yellowbook

[14] Data Security Program: Compliance Guide: Section IV.B.4

[15] 《14117最終規則》§202.1002(f)(2)

[16] 《14117最終規則》§202.1002(f)(1)

[17] Data Security Program: Compliance Guide: Section IV.B.4

[18] 《14117最終規則》§202.1002(f)(3)

[19] 《14117最終規則》§202.1102

[20] 《14117最終規則》§202.1103(a)

[21] 《14117最終規則》§202.1103(c)

[22] 《14117最終規則》§202.1103(b)

[23] 《14117最終規則》§202.1103(d)

[24] Data Security Program: Frequently Asked Questions 86

[25] Data Security Program: Compliance Guide: Section IV.E

[26] 《14117最終規則》，§202. 301

[27] 《14117最終規則》，§202.214

[28] 《14117最終規則》§202.1104(a)(b)

[29] 《14117最終規則》§202.1104(c)

[30] Data Security Program: Frequently Asked Questions 86

[31] Data Security Program: Compliance Guide: Section III.F.2

本文作者

趙新華

金杜律師事務所合伙人

公司業務部

業務領域：公司并購、外商直接投資、公司重組、數據及隱私保護

趙新華律師擁有十多年的法律從業經驗，曾為多家知名國內外企業提供法律服務，包括股權或資產收購、轉讓、公司重組、設立合資公司、特許經營、數據及隱私保護等，涉及的行業包括汽車、人工智能、物聯網、高科技、零售、教育、現代農業、工業制造、船舶和醫藥等。趙新華律師對智能汽車、車聯網領域的法律問題有著深入的研究，并為國內外眾多客戶提供并購、市場準入及合規方面的法律服務。

單文鈺

金杜律師事務所資深律師

公司業務部

司馬丹旎

金杜律師事務所律師

公司業務部

來源：金杜研究院

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數據監管:

▌全球科技競爭:

▌品牌聲譽管理: