隐私快讯 | 14117生效之后企业如何应对?美国国家安全局发布合规建议

隐私快讯 | 14117生效之后企业如何应对?美国国家安全局发布合规建议

Kaamel Lab
Kaamel Lab 2025年4月17日

2025年4月8日,拜登政府第14117号行政令正式生效,美国国家安全局(National Security Division, NSD)将根据14117实施《数据安全计划》(Data Security Program,DSP)。《数据安全计划》建立了有效出口管制措施,防止外国对手及其受其控制、管辖、所有权和指导的人员获取美国政府相关数据和大量基因组、地理定位、生物识别、健康、金融和其他敏感个人信息。为了帮助公众遵守DSP,NSD发布了合规指南、一个包含100多个常见问题的FAQs清单,以及为期90天的实施执行政策。该指南旨在协助个人和实体理解DSP的范围和目的,提供遵守法律要求的一般信息,但并不改变第14117号行政令的最终规定。本篇文章将着重参考合规指南的主要内容,为出海企业遵守数据安全计划提供合规建议。

关于相关法规的解读可参考我们之前的文章:

隐私快讯|14117生效之后企业如何应对?美国国家安全局发布FAQs

隐私快讯|14117正式生效,中国出海企业该如何善用90天的“宽限期”?

隐私快讯|美国EO14117的最终规定要生效了,您的企业做好准备了吗?


一、合同条款要求

根据DSP的规定,美国个人在与外国个人(非“受管制人”)进行涉及数据经纪的交易时,必须在合同中加入禁止外国个人将政府相关数据或大量美国敏感个人数据转移或转售给“关注国家”或“受管制人”的条款。建议的合同语言包括:

例子:

[U.S. person] provides [foreign person] with a non-transferable, revocable license to access the [data subject to the brokerage contract]. [Foreign person] is prohibited from engaging or attempting to engage in, or permitting others to engage or attempt to engage in the following:

(a) selling, licensing of access to, or other similar commercial transactions, [such as reselling, sub-licensing, leasing, or transferring in return for valuable consideration,] the [data subject to the brokerage contract] or any part thereof, to countries of concern or covered persons, as defined in 28 CFR part 202;

Where [foreign person] knows or suspects that a country of concern or covered person has gained access to [data subject to the brokerage contract] through a data brokerage transaction, [foreign person] will immediately inform [U.S. person]. Failure to comply with the above will constitute a breach of [data brokerage contract] and may constitute a violation of 28 CFR part 202.

指南也建议在合同中加入条款,要求外国公民定期证明其遵守了合同中关于信息转移的限制,并规定外国公民不得逃避或避免、导致违反或试图违反第14117号行政命令或《联邦法规》第28卷第202部分规定的任何禁令。

例子:

[Foreign person] confirms that for [the brokerage contract], [foreign person] is in compliance with 28 CFR part 202 and any other prohibitions, restrictions or provisions applicable to the [data subject to the brokerage contract]. [Foreign person] agrees to [periodically] certify to [U.S. person], in writing [foreign person’s] compliance with 28 CFR part 202. [Foreign person] agrees to not evade or avoid, cause a violation of, or attempt to violate any of the prohibitions set forth in Executive Order 14117 or 28 CFR part 202].


二、报告义务

美国个人必须在怀疑或知悉违反合同要求的行为后14天内向NSD报告。报告应包括DSP要求的所有可用信息。美国个人还必须进行尽职调查,以确保并监控合同条款的遵守情况,特别是禁止向“关注国家”或“受管制人”进行潜在的后续转移。

DSP要求美国个人拒绝参与任何违反DSP的交易,并将此类被拒绝的交易报告给NSD。换言之,如果企业不遵守DSP,其美国合作方可能因此拒绝继续合作,企业的信息可能被监管机构关注,影响其在美国的业务发展。


三、违规行为及禁止规避、尝试、导致违规和共谋

DSP禁止任何旨在规避或避免、导致违反或尝试违反DSP中规定的禁止行为的交易。除非获得一般或特定许可,明知地指示进行被禁止的受管制数据交易或受限制交易,而未满足适用的额外要求,可能构成对DSP的违反。

此外,DSP还禁止任何共谋违反其禁止行为的行为。一般而言,美国个人在与外国个人签订供应商协议或其他数据交易合同时,不需要对外国个人的雇佣实践进行尽职调查,以确定其员工是否属于“受管制人”。然而,如果美国个人明知地指示外国公司与“受管制人”签订雇佣协议,以间接实现本应由美国个人直接进行的被禁止或受限制的交易,可能构成对DSP的违反。


四、记录保存要求

参与受DSP约束的任何交易的美国个人,必须保留每笔交易的完整准确记录,并在交易日期后至少十年内可供检查。


五、安全要求

根据第14117号行政令,网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)制定了适用于受限制交易的安全要求,并纳入DSP。这些要求包括:


六、基于风险的尽职调查程序

美国个人的数据合规计划必须建立并实施基于风险的程序,以验证受限制交易中的数据流,包括:

企业的风险状况可能因公司规模、产品和服务、客户和交易对手、地理位置等因素而异。作为设计强大数据合规计划的最佳实践,美国个人应定期(理想情况下至少每年)进行风险评估,以评估其业务活动和风险承受能力可能遇到的问题。


七、供应商管理与验证

对于涉及供应商协议的受限制交易,数据合规计划必须包括基于风险的程序,以验证供应商的身份。美国个人应筛查供应商,以确认当前或潜在供应商是否为“受管制人”。由于“受管制人”名单可能随时间更新,有效的数据合规计划应适应这些变化,并包括定期根据公司的风险承受能力对供应商进行筛查的控制措施。

使用筛查软件的组织应确保该软件:

一般而言,美国个人在与外国实体签订供应商协议时,不需要对外国实体的雇佣实践进行尽职调查,以确定其员工是否属于“受管制人”。然而,根据§ 202.211(a)(3),当供应商为“受管制人”实体时,该供应商的所有外国员工也被视为“受管制人”。


八、书面数据合规政策

合规的数据合规计划必须包括一份书面政策,描述数据合规计划,并由负责合规的高级职员、执行官或其他员工每年进行认证。为确保政策的有效性,书面程序应反映组织的日常运营,易于遵守,便于验证合规性,并设计为防止员工的不为。公司应明确传达并确认所有相关员工对数据合规计划政策和程序的理解,包括合规职能部门、相关业务部门(如销售、供应商采购及安全管理人员)以及代表公司履行相关职责的第三方。

企业应考虑在书面数据合规政策中引入基于风险评估结 果制定的内部控制机制,确保在发现潜在违反DSP的数据交易时能够及时识别、升级并向公司适当人员报告。 内部控制机制应包括:


九、书面安全要求政策

每个数据合规计划必须包括一份书面政策,明确说明其如何执行DSP中所定义的安全要求(见§ 202.248)。该政策亦需由一名具备合规职责的高级人员每年签署认证。此政策应覆盖:

  1. 数据分类与存储管理
  1. 访问控制与身份认证机制
  1. 数据保护与隐私增强技术
  1. 网络安全与边界防护
  1. 供应商数据共享与接口安全
  1. 安全事件响应与审计追踪
  1. 人员培训与安全意识提升

十、员工培训

虽然DSP并未明确强制要求员工培训,但建议美国主体定期(理想情况为每年至少一次)对其员工开展数据合规计划和CISA安全要求的培训。相关培训应涵盖:

所有培训材料应保留为内部资源,以便员工随时查阅。


十一、合规审计

合规审计是发现合规控制与实际业务之间差距的关键机制。DSP要求,凡涉及受限制交易的美国主体必须进行全面、独立、客观的年度审计,包括但不限于:

审计人员必须具有相关资质,具备审计DSP相关内容的能力,且不得为受管制人。其应当独立于被审计交易及交易方,确保审计结果的客观性和权威性。

审计报告必须在审计完成后60日内提交至企业高级管理人员(建议为负责DSP合规的人员),并根据DSP记录保存义务,保存不少于十年。


十二、高层管理与合规责任人参与

高管层的支持对于建立企业合规文化至关重要。一个健全的数据合规计划应当:

合规团队的组成与职责应依据企业涉美业务规模、风险水平与数据交易特征进行调整。


十三、许可机制

DSP下设有两类许可机制:

在前90天宽限期内,NSD鼓励企业先推进合规整改,不建议此阶段提交许可申请。通用许可虽可自动适用,但相关交易方仍需确保严格遵守适用条款及报告义务。


十四、咨询意见(Advisory Opinions)

DSP第202.901节建立了书面咨询意见机制。美国个人或其代理人可就具体交易是否适用DSP规定,向NSD提交咨询申请。NSD将根据所提供材料,出具其对该交易当前执法意图的书面意见。

但需注意,该类意见不具法律强制力,仅反映NSD当前的执法倾向,无法在行政、民事或刑事程序中作为权利依据。申请人必须就交易的所有实质信息提供详尽陈述,并确保该交易由申请方参与或主导。


总结与合规建议

DSP的实施为中国企业赴美经营带来前所未有的合规挑战,特别是涉及跨境数据流动、供应商管理、广告与平台运营等高频场景。对于尚未建立合规体系的出海企业而言,当前仍处于90天“善意宽限”窗口期,应立即启动以下重点合规工作:

如需支持制定《数据合规计划》、审阅合同、供应商尽调或技术架构评估,Kaamel合规团队可为出海企业提供完整合规解决方案。欢迎留言或私信获取个性化服务。

Kaamel 提供的合规服务

如果您的企业还未进行足够的合规准备,届时将面临更严格的审查和高额罚款。

作为专业的隐私合规和数据安全咨询公司,Kaamel 提供全方位的合规服务,帮助企业顺利应对最终规定的合规挑战。我们可以为您的企业提供以下服务:

如需评估业务14117相关风险,访问 [www.kaamel.com] 预约领取,第三方跨境流量风险扫描报告。

如需咨询14117相关风险,扫码关注公众号或者加微信:kaamelai 领取EO 14117应对指南白皮书一份。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.