2025年4月8日,拜登政府第14117号行政令正式生效,美国国家安全局(National Security Division, NSD)将根据14117实施《数据安全计划》(Data Security Program,DSP)。《数据安全计划》建立了有效出口管制措施,防止外国对手及其受其控制、管辖、所有权和指导的人员获取美国政府相关数据和大量基因组、地理定位、生物识别、健康、金融和其他敏感个人信息。为了帮助公众遵守DSP,NSD发布了合规指南、一个包含100多个常见问题的FAQs清单,以及为期90天的实施执行政策。该指南旨在协助个人和实体理解DSP的范围和目的,提供遵守法律要求的一般信息,但并不改变第14117号行政令的最终规定。本篇文章将着重参考合规指南的主要内容,为出海企业遵守数据安全计划提供合规建议。
关于相关法规的解读可参考我们之前的文章:
一、合同条款要求
根据DSP的规定,美国个人在与外国个人(非“受管制人”)进行涉及数据经纪的交易时,必须在合同中加入禁止外国个人将政府相关数据或大量美国敏感个人数据转移或转售给“关注国家”或“受管制人”的条款。建议的合同语言包括:
- 美国个人授予外国个人对特定数据的不可转让、可撤销的访问许可;
- 外国个人不得将数据出售、许可访问或进行其他类似的商业交易(如转售、再许可、租赁或有偿转让);
- 若外国个人知悉或怀疑“关注国家”或“受管制人”通过数据经纪交易获得了数据,应立即通知美国个人;
- 未遵守上述规定将构成对数据经纪合同的违反,并可能违反28 CFR第202部分的规定。
例子:
[U.S. person] provides [foreign person] with a non-transferable, revocable license to access the [data subject to the brokerage contract]. [Foreign person] is prohibited from engaging or attempting to engage in, or permitting others to engage or attempt to engage in the following:(a) selling, licensing of access to, or other similar commercial transactions, [such as reselling, sub-licensing, leasing, or transferring in return for valuable consideration,] the [data subject to the brokerage contract] or any part thereof, to countries of concern or covered persons, as defined in 28 CFR part 202;Where [foreign person] knows or suspects that a country of concern or covered person has gained access to [data subject to the brokerage contract] through a data brokerage transaction, [foreign person] will immediately inform [U.S. person]. Failure to comply with the above will constitute a breach of [data brokerage contract] and may constitute a violation of 28 CFR part 202.
指南也建议在合同中加入条款,要求外国公民定期证明其遵守了合同中关于信息转移的限制,并规定外国公民不得逃避或避免、导致违反或试图违反第14117号行政命令或《联邦法规》第28卷第202部分规定的任何禁令。
例子:
[Foreign person] confirms that for [the brokerage contract], [foreign person] is in compliance with 28 CFR part 202 and any other prohibitions, restrictions or provisions applicable to the [data subject to the brokerage contract]. [Foreign person] agrees to [periodically] certify to [U.S. person], in writing [foreign person’s] compliance with 28 CFR part 202. [Foreign person] agrees to not evade or avoid, cause a violation of, or attempt to violate any of the prohibitions set forth in Executive Order 14117 or 28 CFR part 202].
二、报告义务
美国个人必须在怀疑或知悉违反合同要求的行为后14天内向NSD报告。报告应包括DSP要求的所有可用信息。美国个人还必须进行尽职调查,以确保并监控合同条款的遵守情况,特别是禁止向“关注国家”或“受管制人”进行潜在的后续转移。
DSP要求美国个人拒绝参与任何违反DSP的交易,并将此类被拒绝的交易报告给NSD。换言之,如果企业不遵守DSP,其美国合作方可能因此拒绝继续合作,企业的信息可能被监管机构关注,影响其在美国的业务发展。
三、违规行为及禁止规避、尝试、导致违规和共谋
DSP禁止任何旨在规避或避免、导致违反或尝试违反DSP中规定的禁止行为的交易。除非获得一般或特定许可,明知地指示进行被禁止的受管制数据交易或受限制交易,而未满足适用的额外要求,可能构成对DSP的违反。
此外,DSP还禁止任何共谋违反其禁止行为的行为。一般而言,美国个人在与外国个人签订供应商协议或其他数据交易合同时,不需要对外国个人的雇佣实践进行尽职调查,以确定其员工是否属于“受管制人”。然而,如果美国个人明知地指示外国公司与“受管制人”签订雇佣协议,以间接实现本应由美国个人直接进行的被禁止或受限制的交易,可能构成对DSP的违反。
四、记录保存要求
参与受DSP约束的任何交易的美国个人,必须保留每笔交易的完整准确记录,并在交易日期后至少十年内可供检查。
五、安全要求
根据第14117号行政令,网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)制定了适用于受限制交易的安全要求,并纳入DSP。这些要求包括:
- 实施访问控制和多因素认证;
- 保持资产清单的更新;
- 实施数据最小化技术;
- 防止“受管制人”和“关注国家”访问可链接、可识别、未加密或可通过常用技术解密的受管制数据。
六、基于风险的尽职调查程序
美国个人的数据合规计划必须建立并实施基于风险的程序,以验证受限制交易中的数据流,包括:
- 验证和记录涉及的美国敏感个人数据或政府相关数据的类型和数量;
- 验证交易方的身份,包括实体的所有权或个人的国籍或主要居住地;
- 验证数据的最终用途和数据传输的方法。
企业的风险状况可能因公司规模、产品和服务、客户和交易对手、地理位置等因素而异。作为设计强大数据合规计划的最佳实践,美国个人应定期(理想情况下至少每年)进行风险评估,以评估其业务活动和风险承受能力可能遇到的问题。
七、供应商管理与验证
对于涉及供应商协议的受限制交易,数据合规计划必须包括基于风险的程序,以验证供应商的身份。美国个人应筛查供应商,以确认当前或潜在供应商是否为“受管制人”。由于“受管制人”名单可能随时间更新,有效的数据合规计划应适应这些变化,并包括定期根据公司的风险承受能力对供应商进行筛查的控制措施。
使用筛查软件的组织应确保该软件:
- 纳入“受管制人”名单的更新;
- 考虑所有标识符,包括“受管制人”的替代拼写或别名;
- 考虑组织结构;
- 考虑供应商的地理信息(包括总部、子公司和分支机构的位置);
- 对当前、新增和潜在供应商进行筛查。
一般而言,美国个人在与外国实体签订供应商协议时,不需要对外国实体的雇佣实践进行尽职调查,以确定其员工是否属于“受管制人”。然而,根据§ 202.211(a)(3),当供应商为“受管制人”实体时,该供应商的所有外国员工也被视为“受管制人”。
八、书面数据合规政策
合规的数据合规计划必须包括一份书面政策,描述数据合规计划,并由负责合规的高级职员、执行官或其他员工每年进行认证。为确保政策的有效性,书面程序应反映组织的日常运营,易于遵守,便于验证合规性,并设计为防止员工的不为。公司应明确传达并确认所有相关员工对数据合规计划政策和程序的理解,包括合规职能部门、相关业务部门(如销售、供应商采购及安全管理人员)以及代表公司履行相关职责的第三方。
企业应考虑在书面数据合规政策中引入基于风险评估结 果制定的内部控制机制,确保在发现潜在违反DSP的数据交易时能够及时识别、升级并向公司适当人员报告。 内部控制机制应包括:
- 任命具备相应权限和专业能力的合规负责人;
- 建立正式的高风险交易升级审核流程;
- 在必要时评估是否需向NSD申请特别许可或咨询意见,或主动进行自愿性违规披露(Voluntary Self-Disclosure);
- 每年至少一次对书面政策进行审查和认证,评估其充分性与执行效果。
九、书面安全要求政策
每个数据合规计划必须包括一份书面政策,明确说明其如何执行DSP中所定义的安全要求(见§ 202.248)。该政策亦需由一名具备合规职责的高级人员每年签署认证。此政策应覆盖:
- 数据分类与存储管理
- 建立基于敏感性、来源、用途等维度的数据分类制度,明确对不同类型数据的处理要求;
- 实施数据分级存储策略,将含有大量敏感个人信息和政府相关数据的系统与一般性数据系统物理或逻辑隔离;
- 在数据存储过程中引入字段级加密机制,特别是对广告标识符、财务信息、位置数据等关键字段采用高强度加密算法进行保护。
- 访问控制与身份认证机制
- 建立基于最小权限原则的访问权限管理体系,确保不同角色仅能访问其业务所需数据;
- 对所有用户实施多因素认证(MFA),推荐使用符合 FIDO2 标准的硬件安全密钥,强化身份验证过程;
- 应用条件访问策略,基于设备状态、登录地理位置、用户行为模式动态评估访问风险,实施访问准入控制;
- 针对具备系统管理权限或访问敏感数据权限的特权账户,实施实时会话监控与日志记录,并设立操作留痕机制。
- 数据保护与隐私增强技术
- 结合数据处理场景,采用形态保持加密(Format-Preserving Encryption)等先进加密技术,兼顾数据安全与系统兼容性;
- 实施基于角色的数据动态掩蔽机制,对无必要查看权限的用户自动隐藏敏感字段,防止非授权泄露;
- 建立端到端的数据传输加密机制,确保数据在内部流转和外部交换过程中的机密性与完整性。
- 网络安全与边界防护
- 合理划分网络安全区域,将处理或存储敏感数据的系统部署在隔离环境中,避免与公共网络直接连接;
- 部署具备应用层检测能力的下一代防火墙,对常规网络协议与异常应用行为进行实时分析与阻断;
- 引入异常流量检测系统(IDS/IPS),结合日志分析与威胁情报自动识别潜在入侵行为,并联动响应机制进行处置。
- 供应商数据共享与接口安全
- 对涉及供应商系统的数据接口实施强身份认证、传输加密和访问控制;
- 要求供应商采用相同等级的数据加密、日志管理和存储隔离措施;
- 建立供应商身份验证机制和黑名单管理制度,定期筛查是否为受管制实体,防止未经授权的再转移行为发生。
- 安全事件响应与审计追踪
- 建立完善的数据泄露和安全事件响应机制,覆盖事件识别、报告、分析、处置、通报和复盘各环节;
- 建立与DSP一致的日志记录与保留制度,确保系统操作日志、访问记录、传输路径等信息可追溯、可回溯,且保存不少于十年;
- 实施定期合规审计制度,结合自动化工具与人工检查,发现与纠正安全配置缺陷与潜在风险。
- 人员培训与安全意识提升
- 为处理敏感数据的所有岗位员工提供定期培训,涵盖DSP要求、CISA安全标准、违规识别与上报流程等内容;
- 建立常态化培训机制,将数据安全培训纳入新员工入职流程,并设置年度强制复训要求;
- 为员工提供便捷获取的内部知识库和操作手册,提升其在日常业务中识别和应对数据安全风险的能力。
十、员工培训
虽然DSP并未明确强制要求员工培训,但建议美国主体定期(理想情况为每年至少一次)对其员工开展数据合规计划和CISA安全要求的培训。相关培训应涵盖:
- DSP的合规义务与法律后果;
- 敏感数据识别与处理;
- 安全要求的日常执行;
- 内部报告与违规识别流程。
所有培训材料应保留为内部资源,以便员工随时查阅。
十一、合规审计
合规审计是发现合规控制与实际业务之间差距的关键机制。DSP要求,凡涉及受限制交易的美国主体必须进行全面、独立、客观的年度审计,包括但不限于:
- 审核数据交易流程与合规政策执行情况;
- 审查CISA安全要求的实施效果;
- 核查系统与技术平台是否满足DSP要求。
审计人员必须具有相关资质,具备审计DSP相关内容的能力,且不得为受管制人。其应当独立于被审计交易及交易方,确保审计结果的客观性和权威性。
审计报告必须在审计完成后60日内提交至企业高级管理人员(建议为负责DSP合规的人员),并根据DSP记录保存义务,保存不少于十年。
十二、高层管理与合规责任人参与
高管层的支持对于建立企业合规文化至关重要。一个健全的数据合规计划应当:
- 指定一位具备技术背景与高层管理权限的负责人建立并维护合规体系;
- 给予合规负责人足够的人员、资源与技术支持;
- 建立由跨部门成员组成的合规团队,确保数据合规措施嵌入企业日常运营;
- 推动合规负责人定期检测合规控制的有效性,并对缺陷及时修复。
合规团队的组成与职责应依据企业涉美业务规模、风险水平与数据交易特征进行调整。
十三、许可机制
DSP下设有两类许可机制:
- 通用许可(General Licenses):针对特定交易类型或主体群体,自动适用,无需单独申请;
- 特定许可(Specific Licenses):须由相关个人或实体向NSD正式提出申请,由NSD书面批准,适用于具体交易或交易组合。
在前90天宽限期内,NSD鼓励企业先推进合规整改,不建议此阶段提交许可申请。通用许可虽可自动适用,但相关交易方仍需确保严格遵守适用条款及报告义务。
十四、咨询意见(Advisory Opinions)
DSP第202.901节建立了书面咨询意见机制。美国个人或其代理人可就具体交易是否适用DSP规定,向NSD提交咨询申请。NSD将根据所提供材料,出具其对该交易当前执法意图的书面意见。
但需注意,该类意见不具法律强制力,仅反映NSD当前的执法倾向,无法在行政、民事或刑事程序中作为权利依据。申请人必须就交易的所有实质信息提供详尽陈述,并确保该交易由申请方参与或主导。
总结与合规建议
DSP的实施为中国企业赴美经营带来前所未有的合规挑战,特别是涉及跨境数据流动、供应商管理、广告与平台运营等高频场景。对于尚未建立合规体系的出海企业而言,当前仍处于90天“善意宽限”窗口期,应立即启动以下重点合规工作:
- 梳理数据流动路径与交易分类,识别受限制或被禁止交易;
- 审查供应商与合作方是否为“受管制人”,建立筛查机制;
- 建立书面数据合规计划与安全要求政策,任命负责人;
- 与美国合作方共同修订合同条款,加入传输限制与认证义务;
- 计划执行年度审计与员工培训,确保制度可操作与落地;
- 必要时考虑申请特定许可或提交咨询意见,避免监管风险。
如需支持制定《数据合规计划》、审阅合同、供应商尽调或技术架构评估,Kaamel合规团队可为出海企业提供完整合规解决方案。欢迎留言或私信获取个性化服务。
Kaamel 提供的合规服务
如果您的企业还未进行足够的合规准备,届时将面临更严格的审查和高额罚款。
作为专业的隐私合规和数据安全咨询公司,Kaamel 提供全方位的合规服务,帮助企业顺利应对最终规定的合规挑战。我们可以为您的企业提供以下服务:
- 尽调相关服务:为企业提供相关尽职调查支持,帮助您回应最终规定下的尽调问卷,明确是否属于“受限主体”,并提供合规分析与整改建议。
- 合规检测服务与报告:提供专业的合规检测服务,评估您企业当前的数据处理流程和跨境数据传输情况,并出具合规分析报告,帮助您识别潜在合规风险。
- 合规治理方案制定:为企业合规团队提供支持,协助制定或优化合规治理方案,确保数据处理活动符合美国及其他司法管辖区的隐私与安全要求。
- CISA安全差距分析与整改建议:我们提供CISA(美国网络安全和基础设施安全局)安全差距分析,帮助企业发现并修补信息安全体系中的漏洞,提升整体安全性和合规性。
- 数据安全合规计划书编制:根据最终规定要求,帮助企业编制数据安全合规计划书,并针对禁止交易、受限交易进行二次梳理,确保合规操作。
- 受限交易记录机制建设:协助企业建立受限交易记录机制,确保所有敏感数据的跨境传输符合合规要求,并协助洽谈外部合规审计,确保数据传输的合规性。
- 本地化咨询与代运维托管服务:提供终局计划运营的本地化咨询,帮助企业根据目标市场的合规要求调整运营策略,提供美国数据中心环境的代运维托管服务。
如需评估业务14117相关风险,访问 [www.kaamel.com] 预约领取,第三方跨境流量风险扫描报告。
如需咨询14117相关风险,扫码关注公众号或者加微信:kaamelai 领取EO 14117应对指南白皮书一份。
