top of page

第二阶段合规期限临近——美国司法部关于批量敏感数据规则(DOJ Rule)

2025-08-05 16:40:59

美国司法部(DOJ)今年早些时候发布了《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》(以下简称“最终规则”),以执行第14117号行政命令。该行政命令旨在构建保护美国敏感个人数据和政府相关数据免遭所谓“外国对手” (其中之一为中国)访问的框架。最终规则整体于2025年4月8日生效。三项特定义务的合规生效日期为2025年10月6日,分别是:(i)受限交易的尽职调查和审计要求(附录J);(ii)某些受限交易的报告要求(§ 202.1103);(iii)拒绝禁止交易的报告要求(§ 202.1104)。

附录J —— 尽职调查和审计要求
参与受限交易的美国个人或实体(以下简称“美国主体”)须履行若干积极义务,具体包括:

· 在交易前主动开展尽职调查,评估并核实数据交易的性质;

· 建立基于风险的数据合规项目,识别并核实数据类型和数量,确认所有交易方身份,评估数据最终用途;

· 详细保存尽职调查记录,并保留年度审计结果,证明符合相关安全和许可要求。
此外,美国主体必须每年接受审计,以验证和提升合规安全要求。该审计是进行受限交易的先决条件。根据附录J规定,独立审计员需出具书面报告,详细说明审计方法,包括审核的具体政策与文件、访谈的人员及审计过程中检查的设施、设备、网络或系统。

§ 202.1103 —— 受限交易报告
涉及云计算服务的受限交易中,如果美国主体的股权(直接或间接)被关注国家或受限人员持有25%及以上,则须提交年度报告。报告截止日期为每年3月1日,需包含前一年度12月31日的交易详细信息,如敏感数据类型和数量、数据传输方式、相关各方及其所在地,以及支持性文件。

§ 202.1104 —— 拒绝禁止交易报告
美国主体若主动拒绝参与涉及数据经纪的禁止交易,须在14日内向司法部报告。报告内容应尽可能详尽,包括拒绝方身份、交易日期与性质、涉及的敏感或政府相关数据类型与数量、数据传输方式、相关各方及辖区(含关注国家)信息及相关文件复印件。报告须按照最终规则下的司法部程序提交。



最终规则适用于同时满足以下三个条件的交易:

“覆盖数据”交易
该交易涉及“受限人员”或“关注国家”(定义见下文)访问“覆盖数据”,且属于以下类型之一:

· “数据经纪”:由未直接收集数据方出售、许可或转让数据访问权;

· “供应商协议”:以对价交换商品或服务的合同关系;

· “雇佣协议”:个人(非独立承包人)为报酬提供工作或服务;

· “投资协议”:直接或间接收购美国房地产或法人实体所有权(被动投资有部分例外)。

涉及“批量美国敏感个人数据”或“政府相关数据”
“覆盖数据”包括两类数据:“批量美国敏感个人数据”和“政府相关数据”。

· “政府相关数据”包括两类:

1. 对被认定为高度风险区域(如军事基地、政府大楼和关键基础设施)的精确地理定位数据;

2. 与美国政府人员相关联的敏感个人数据,即被标记或可识别为与现任或近期离职的美国政府雇员、承包商或高级官员有关的数据。“近期离职”指过去两年内曾为美国政府工作或服务的人员(有偿或无偿)。

· “批量美国敏感个人数据”由最终规则定义,涵盖六类敏感数据,每类设定具体批量门槛,若在交易前12个月内超出门槛,则触发限制或禁止。该门槛适用于匿名化、假名化、去标识或加密数据。

个人识别信息:批量门槛为超过10万人。

精确地理定位数据:批量门槛为超过1000台设备。

生物识别标识符:批量门槛为超过1000人。

人类基因组数据:批量门槛为收集或保存涉及1000人以上的人类组学数据,或涉及100人以上的人类基因组数据。

个人健康数据:批量门槛为超过1万人。

个人财务数据:与个人相关的财务信息,批量门槛为超过1万人。

由“关注国家”或“受限人员”访问
交易须涉及以下人员访问数据:

· 关注国家包括中国(含香港、澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。

· 受限人员包括由关注国家直接或间接持有50%以上股权、根据关注国家法律设立或主要营业地位于关注国家的外国实体,以及居住或工作的外国雇员、承包商等。美国子公司通常不被视为受限人员,除非司法部特别指定。

访问包括逻辑和物理访问,如读取、复制、编辑、解密甚至查看存储数据的权限。



进一步分类

一旦交易纳入最终规则范围,将进一步区分为“受限交易”和“禁止交易”。

受限交易
美国主体不得在不遵守网络安全与基础设施安全局(CISA)安全要求的前提下,故意与关注国家或受限人员进行涉及任何覆盖数据访问的以下交易:

1. “供应商协议”;

2. “雇佣协议”;

3. “投资协议”(排除某些被动投资)。
这些交易须满足一系列积极合规义务。

禁止交易
美国主体不得与关注国家或受限人员进行数据经纪交易,包括出售、许可或转让非直接收集的数据,且该限制同样适用于转售或第三方转移数据。此外,最终规则禁止授予受限实体访问批量人类基因组数据的交易。



重要声明
重要提示:本通讯仅为一般性信息,仅供本所客户及朋友参考之用,并非对所述事项的完整法律分析,也不应被视为法律建议。在某些司法辖区内,本通讯可能被视为律师广告。

 


订阅我们的新闻

650-513-2555

Copyright © 2020-2024.To Magstone Law All rights reserved. 网站地图

bottom of page