2025年4月8日,美国《总统行政令第14117号》(EO 14117)及其最终规则已正式生效。该规定限制美国个人敏感数据及政府相关数据向“受关注国家”及其控制实体的流动,对广大涉及中美数据流动的中国出海企业构成重大合规挑战。
2025年4月11日,美国司法部(Department of Justice, DOJ)下属的国家安全司(National Security Division, NSD)发布执行指南与FAQs。DOJ 正式称14117 相关的数据安全合规要求为”数据安全项目”(Data Security Program, DSP)。该发布虽然没有新增义务,却释放出一个强烈信号:合规“倒计时”已正式开始,执法准备就绪。
为了帮助公众遵守DSP,NSD发布了合规指南、一个包含100多个常见问题的FAQs清单,以及为期90天的实施执行政策。本期文章将着重该90天实施执行宽限期。
这篇发布中,DOJ 明确了受监管企业或个人在未来有90天的过渡性宽限期。
NSD will not prioritize civil enforcement actions against any person for violations of the Data Security Program that occur from April 8 through July 8, 2025, so long as the person is engaging in good faith efforts to comply with or come into compliance with the Data Security Program during that time.
自2025年4月8日至2025年7月8日期间,只要相关个人或实体在此期间内以善意努力遵守或实现DSP合规,NSD将不会优先针对其违反DSP的行为采取民事执法行动。换言之,这是企业进行整改的“最后窗口期”。
“善意努力”的合规动作包括但不限于:
同时,若在此期间存在明显违反规定、故意规避义务的行为,NSD仍保留立即执法及处以民事罚款的权力。本次宽限政策并不意味着暂缓或削弱执法能力,而是意在鼓励实质性整改。
在此90天期限结束时,个人和实体应已完全符合《数据安全计划》(DSP)的各项要求,并应预期国家安全司(NSD)将针对任何违规行为采取相应的执法措施。
虽然此次公告未增加新的实质义务,但它再次向企业释放出明确信号:监管机关已准备就绪,合规行为必须尽快启动。
对于尚未开展针对14117的合规评估,或仍处于观望状态的出海企业而言,此“宽限期”是最后的修正机会。我们预计,短期内不会出现密集高压式执法,但未来一旦进入实质审查阶段,无善意准备或缺乏合规动作的企业将被优先监管。
Kaamel 将在未来几天持续推出14117和DSP相关的专题文章,欢迎各位订阅我们的公众号。如贵企业已收到合作方发出的14117合规问卷,或正在评估是否属于“US Person”或“受限制主体”,欢迎与我们联系。
作为专业的隐私合规和数据安全咨询公司,Kaamel 提供全方位的合规服务,帮助企业顺利应对最终规定的合规挑战。我们可以为您的企业提供以下服务:
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
关于相关法规的解读可参考我们之前的文章:
隐私快讯|美国EO14117的最终规定要生效了,您的企业做好准备了吗?
