在拜登政府執政末期,美國司法部(DOJ)發布了一系列新規。這些規定于2025年4月8日起生效。新規聚焦于個人數據的跨境傳輸。
這份最終版司法部規則名為“防止受關注國家或被覆蓋主體獲取美國敏感個人數據及政府相關數據”。它對涉及特定外國的數據交易實施了重要限制和禁令。
司法部規則影響范圍極廣。其涉及從并購、房地產交易,到雇傭協議、數據許可和供應商管理等多種活動。數據暴露問題已從隱私問題上升為國家安全關切。各行業企業必須重新評估其跨境合作與合規策略。
本規則旨在防止某些受關注國家獲取敏感個人數據及政府相關信息。這些國家包括中國、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉。
該最終規則的制定始于拜登政府的一系列行政命令。雖然有人猜測特朗普政府可能暫停或推翻它,但并未采取行動。預計司法部將執行這些限制,禁止數據流向某些被列為“禁止交易”或“受限交易”的外國主體。
該最終司法部規則對美國企業影響深遠。企業處理或可能無意傳輸個人數據及政府相關信息時將受約束。具體來說,司法部旨在監管以下方面:
司法部規則初步將六國列為“受關注國家”:中國、古巴、伊朗、朝鮮、俄羅斯和委內瑞拉。
司法部規則限制及/或禁止以下“被覆蓋主體”獲取某些政府相關信息和美國敏感個人數據:
1、在受關注國家注冊成立、主要營業地點位于受關注國家,或受關注國家所有比例達50%或以上的外國實體;
2、被覆蓋主體(個人或實體)直接或間接所有比例達50%或以上的外國實體;
3、在受關注國家或為被覆蓋主體工作的非美國居民外籍員工或承包商;
4、主要居住于受關注國家的外籍個人;
5、司法部長根據特定標準合理認定的其他實體或個人。
司法部規則主要涵蓋六類個人數據和兩類政府相關信息:
1、敏感個人數據:超出特定數量閾值(大量美國敏感個人數據),廣泛定義為包括:
(1)人類基因組數據;
(2)生物識別標識符(如面部圖像、聲紋和聲波圖、視網膜掃描);
(3)個人健康數據(范圍極廣,包含多種健康相關信息);
(4)個人財務數據(如信用卡、銀行賬戶、財務負債及支付記錄);
(5)精確地理位置數據;
(6)某些與其他數據結合后可關聯敏感個人數據的個人標識符(符合特定豁免情況)。
2、政府相關信息:不受數據處理量限制,包括:
(1)司法部規則附錄中列出的特定敏感政府位置或地區的精確地理位置數據;
(2)與美國政府現任或前任雇員或承包商關聯的敏感個人數據。
司法部規則對特定數據交易設立了全面禁令和限制。這些交易可能使某些外國主體獲取美國敏感個人數據或政府相關信息。其影響覆蓋并購、房地產、雇傭、高等教育及商業供應商協議等領域。
1、受限交易:符合特定豁免情況下,司法部規則限制任何美國實體或個人明知向被覆蓋主體或受關注國家進行的以下三類交易,除非參與交易的美國主體遵守特定“安全要求”:
(1)雇傭協議:包括董事會級別、高管級別安排或服務等雇傭安排(獨立承包商除外)。
例如:在受關注國家(如中俄)有業務的企業,可能需要明確限制外籍員工訪問受限制數據。若某些業務涉及訪問受限制數據或AI相關數據訓練,這些限制會進一步阻礙美國企業將職能外包給受關注國家。
(2)投資協議:包括收購美國房地產或美國法律實體的直接或間接所有權權益(被動投資、特定股票投資或被覆蓋主體作為少數股東或無投票權股東的投資除外)。
例如:某國科技企業與開發處理受限制數據的數據中心或移動應用的美國企業簽訂股東協議。若該投資賦予該國投資者訪問此類受限制數據的權利,則該交易可能受限。
(3)供應商協議:包括云計算服務、軟件即服務訂閱、人力資源薪資或招聘平臺、AI聊天機器人、AI合同管理服務、數據共享安排、廣告技術服務、移動應用開發、管理咨詢服務、業務流程外包安排,及其他涉及數據訪問與傳輸的信息技術或非信息技術服務。
例如:在受關注國家有業務的企業,可能需要明確限制外籍員工訪問受限制數據。若某些業務涉及訪問受限制數據或AI相關數據訓練,這些限制會進一步阻礙美國企業將職能外包給受關注國家。
2、禁止交易:司法部規則禁止明知進行某些數據交易。這些交易使受關注國家或被覆蓋主體得以訪問受限制數據,包括:
(1)數據經紀活動:指數據的銷售、許可或類似的商業交易(將數據從提供方轉移給接收方)。
此禁令可能要求所有組織檢查其許可協議,識別并評估潛在風險。向與受關注國家有聯系的特定外國主體或實體提供數據訪問權時,企業應對數據接收方、被許可方或客戶進行盡職調查。
對于與不屬于被覆蓋主體的外方進行數據經紀活動,此類數據傳輸需滿足額外合同義務和報告義務。
(2)涉及訪問大量人類生物識別數據或可從中提取此類數據的人類生物樣本的交易。
這些禁令和限制將對廣泛的商業活動及法律實踐產生巨大影響。從涉及跨境投資者和數據中心的企業交易,到帶有外資權益的房地產收購,再到涉及居住在受關注國家外籍人士的雇傭協議,以及技術許可、醫療保健和金融服務等領域的供應商管理,企業運營的幾乎每個環節都可能面臨司法部的執法。
違規可能導致最高民事罰款。罰款金額為368,136美元或涉及交易金額的兩倍(二者取高)。蓄意違規可能導致最高100萬美元刑事罰金,以及最高20年監禁。
企業應立即全面審查其數據處理實踐及國際合作。關鍵步驟包括:
1、評估數據交易:識別貴組織是否收集或處理司法部規則定義的受限制數據;
2、評估對外關系:確定是否有任何被覆蓋主體或外國行為體訪問了企業的數據或系統;在某些情況下,發現涉及政府相關信息和敏感個人數據的特定已知或可疑外流數據傳輸后,需在14天內報告;
3、審查第三方關系:密切監控企業的信息技術或其他供應商合作、并購交易、房地產交易、雇傭安排及投資伙伴關系,確保符合司法部規則;
4、如符合條件,申請司法部許可證:美國企業可向司法部申請通用許可證,以授權特定數據交易。獲批后,企業可在司法部批準的具體條款下進行相關受限制數據交易,并履行司法部規定的額外報告義務;
5、建立受限交易合規計劃:2025年10月6日前,任何進行受限交易的美國主體必須制定并實施數據合規計劃。該計劃需包括驗證受管制數據流量的基于風險的流程、驗證供應商身份及合規性的程序,以及描述符合特定標準的安全要求的書面政策。他們還必須接受獨立審計機構對前12個月在司法部規則下合規情況的年度審計。該審計報告至少須保留10年。
就在企業界忙于應對司法部跨境數據新規帶來的復雜合規挑戰之際,美國聯邦層面的網絡安全政策方向也因政權更替而發生了調整。新一屆政府一上臺,便著手修訂前任頒布的網絡安全行政命令,旨在打造其認為更有效、更符合執政理念的網絡安全治理框架。特朗普總統最新發布的行政命令《持續加強國家網絡安全舉措及修訂第13694號與14141號行政令》,正是這一政策轉向的集中體現。該命令對奧巴馬和拜登時期的幾項關鍵網絡安全行政令進行了修訂,特別聚焦于數字身份和軟件供應鏈安全要求等方面。
據國外媒體報道,特朗普的行政令修改了奧巴馬與拜登時期網絡安全行政令中“有問題且令人分心的規定”,特別是“允許非法移民不當獲取公共福利的數字身份規定,易引發廣泛濫用”。
特朗普行政令的調整主要針對拜登政府1月15日(特朗普就職前)發布的綜合行政令。該命令包含九部分內容,要求聯邦政府各部門采取數十項行動,涉及支持數字身份、加強供應鏈風險管理、應對國家行為體威脅等領域。
盡管特朗普令廢除了拜登令中關于數字身份的核心條款,并撤銷了軟件安全開發的強制認證要求,但仍保留了原行政令的主體內容。與充滿黨派色彩的說明文件不同,行政令正文是純粹的政策文件,未摻雜政治攻擊。
前白宮國安會資深網絡安全官員、現Venable律所網絡安全服務高級總監Caitlin Clarke表示:“兩屆政府的行政令存在高度延續性令人欣慰。它們都強調網絡安全對聯邦網絡及關鍵基礎設施的重要性,并推進了核心保護措施。”
攻擊者正日益通過盜用數字身份侵入高防護網絡。網絡罪犯與國家行為體常通過冒充內部人員或竊取憑證滲透系統。
為此,拜登令要求國家標準技術研究院(NIST)支持使用數字證件進行遠程身份核驗,并敦促聯邦機構采納數字證件及隱私保護機制。
特朗普令則廢除了所謂的數字身份“強制規定”,聲稱向“非法移民”發放政府ID將助長“福利欺詐等濫用行為”。
“加強身份聯盟”協調人Jeremy grant聲明指出:“我們對該決定深感失望。這部分內容獲得兩黨共同支持,且受到網絡安全與反詐專家的高度認可。其核心是讓NIST制定各級機構可用的數字身份安全指南,推動聯邦機構采納安全憑證以防止公共福利欺詐。”
他特別強調:“原行政令從未要求政府向移民等群體發放數字身份證。”
拜登令曾強制要求聯邦軟件供應商證明其遵守安全開發規范,作為軟件供應鏈安全計劃的重要環節。該要求延續了拜登2021年5月首份網絡安全行政令精神。拜登今年1月的第二份行政令更通過強制認證(即提供合規的正式證據)強化了執行力度。
Clarke解釋:“拜登政府后期認為需要突破簡單清單模式,要求額外提供遵循NIST安全開發準則的證明。”
特朗普令廢除了認證要求,稱其“推行未經證實、繁瑣的軟件審計流程,將合規清單置于真實安全投入之上”。但同時要求NIST聯合產業界建立聯盟,制定更完善的安全開發實踐指南。
特朗普令延續了拜登令對AI的重視,指出AI能“通過快速識別漏洞、提升威脅檢測規模及自動化防御變革網絡安全”。
Dataminr公司首席技術官Tim Miller表示,該行政令明確“AI不是取代人類,而是賦能人類強化防御體系,無論是提升漏洞風險管理效率,還是加速零日漏洞應對”。
特朗普令還要求政府機構向學術界開放AI數據集,并建立AI軟件漏洞管理機制。兩屆政府均要求推動后量子密碼應用。特朗普令要求國土安全部、網絡安全與基礎設施安全局及國安局在2025年12月1日前建立后量子密碼(PQC)產品類別體系,并要求所有機構在2030年1月2日前支持傳輸層安全協議1.3或更新版本。
特朗普對奧巴馬第13694號令(制裁對美國實施惡意網絡活動的“個人”)的唯一實質修改,是將適用對象明確限定為“境外個人”。針對特朗普對前任政策的微調, Clarke總結道:“政策延續性具有積極意義。我們始終強調網絡安全應超越黨派——仔細閱讀特朗普行政令能發現這一點。”
從司法部嚴控敏感數據跨境流動的新規,到聯邦政府內部網絡安全政策的轉向,美國正在全方位構筑其數字時代的國家安全防線。對于在美運營的企業而言,這意味著需要同時應對兩方面的挑戰:既要嚴格遵守DOJ針對特定國家和主體的數據交易禁令與限制,建立完善的跨境數據合規體系;也要關注聯邦采購標準的潛在變化,特別是軟件供應鏈安全要求的最新動態。這兩大政策動向雖各有側重——前者聚焦于企業對外數據流動的“邊界”,后者著眼于政府自身數字生態的“內核”——但其核心目標卻高度一致:在日益復雜的網絡威脅環境下,更有效地保護美國公民的敏感信息和國家關鍵基礎設施的安全。未來,無論政策細節如何調整,對數據安全和網絡韌性的強調,無疑將成為美國國家戰略中超越黨派爭議的長期共識。企業需保持敏銳洞察,將動態合規融入戰略考量,方能在這個數據治理的新紀元中穩健前行。
浙公網安備 33010502006954號 
