走出去智庫（CGGT）觀察

美國司法部（DOJ）于2024年12月28日發(fā)布的落實(shí)拜登政府簽署的第14117號行政令《防止受關(guān)注國家/地區(qū)或相關(guān)人員訪問美國敏感個人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)》的最終規(guī)則將于今日正式生效。該行政令及相關(guān)規(guī)則不僅限制美國數(shù)據(jù)對中國的跨境傳輸，更幾乎涵蓋所有中國企業(yè)及其子企業(yè)可能接觸受規(guī)制美國數(shù)據(jù)的場景。

走出去智庫(CGGT)特約法律專家、中倫律師事務(wù)所合伙人李瑞與顧問賈申認(rèn)為，在2025年4月2日，美國國立衛(wèi)生研究院（NIH）已率先打響實(shí)施14117號行政令的第一槍，即從2025年4月4日起禁止位于中國（包括香港和澳門）等國家的機(jī)構(gòu)訪問其“受控訪問數(shù)據(jù)倉庫”，這一決定已引起廣泛輿論關(guān)注，但我們需要理解的是，在14117號行政令發(fā)布后，中國企業(yè)在數(shù)據(jù)方面可能受到的影響遠(yuǎn)不止于此。

在美國大幅提高關(guān)稅、加強(qiáng)出口管制制裁、地緣政治秩序變化暗流涌動等大背景下，美國政府以數(shù)據(jù)安全為抓手遏制中國企業(yè)的14117號行政令，無疑是中美博弈大版圖中非常重要的一環(huán)，值此多事之秋，值得企業(yè)高度關(guān)注。有鑒于此，本文以判斷公式為抓手、以模擬案例為視角，對14117號行政令項(xiàng)下設(shè)置的規(guī)制框架進(jìn)行了深度梳理，全面剖析其影響及可能的應(yīng)對方案。

企業(yè)如何應(yīng)對美國跨境數(shù)據(jù)管控？今天，走出去智庫(CGGT)刊發(fā)中倫律師事務(wù)所李瑞、賈申、鐘俊鵬、徐晨的文章，供關(guān)注美國跨境數(shù)據(jù)監(jiān)管的讀者參閱。

要點(diǎn)

1、受規(guī)制數(shù)據(jù)類型有兩大類：一類是敏感個人數(shù)據(jù)，另一類是政府相關(guān)數(shù)據(jù)。其中，敏感個人數(shù)據(jù)需要達(dá)到一定量級閾值才會受到規(guī)制，而政府相關(guān)數(shù)據(jù)，無論量級是多少均會受到規(guī)制。

2、根據(jù)《最終規(guī)則》，被豁免的例外情形有兩類：一類是被《最終規(guī)則》明文列為豁免的數(shù)據(jù)交易；另一類是EO授權(quán)DOJ協(xié)同相關(guān)部門基于個案針對某些本應(yīng)落入規(guī)制的數(shù)據(jù)交易通過頒發(fā)許可的方式進(jìn)行豁免，為監(jiān)管提供了一定靈活性。

3、針對被禁止交易，如果企業(yè)希望繼續(xù)開展該等交易，則需考慮進(jìn)行相關(guān)交易前預(yù)留一定審批期限，向DOJ申請?zhí)囟ㄔS可。

正文

2024年12月28日，美國司法部（the Department of Justice，簡稱“DOJ”）發(fā)布《最終規(guī)則》（Final Rules）以實(shí)施2024年2月28日拜登政府簽署的第14117號行政令《防止受關(guān)注國家/地區(qū)或相關(guān)人員訪問美國敏感個人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)》（Executive Order 14117: Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，簡稱“EO 14117”）。

自EO 14117發(fā)布以來，DOJ曾先后發(fā)布《擬議規(guī)則的預(yù)先通知》（Advance Notice of Proposed Rulemaking，簡稱“ANPRM”）與《擬議規(guī)則的制定通知》（Notice of Proposed Rulemaking，簡稱“NPRM”），就EO 14117具體實(shí)施措施公開征求意見。ANPRM發(fā)布后，我們曾對有關(guān)內(nèi)容進(jìn)行了深入解讀（參考文章：《深度解讀美國數(shù)據(jù)安全監(jiān)管機(jī)制重大變化：判斷公式、關(guān)鍵要點(diǎn)、模擬案例及影響分析》）。鑒于《最終規(guī)則》相比ANPRM有諸多更新，本文以判斷公式為抓手、以模擬案例為視角對《最終規(guī)則》進(jìn)行了梳理分析。在案例設(shè)計(jì)上，我們整合了《最終規(guī)則》中新增的案例說明，設(shè)計(jì)了禁止交易、限制交易與豁免交易三個類型場景，旨在反映《最終規(guī)則》的更新內(nèi)容，并直觀展現(xiàn)《最終規(guī)則》對企業(yè)的深遠(yuǎn)影響，幫助企業(yè)找到切實(shí)可行的應(yīng)對方案。

圖1 相關(guān)制度文件出臺流程

一、《最終規(guī)則》涵蓋哪些核心要點(diǎn)？

1、核心機(jī)制：判斷是否落入管制范圍的公式

依據(jù)EO 14117、ANPRM、NPRM以及《最終規(guī)則》，我們將美國所建立的數(shù)據(jù)安全管控機(jī)制歸納為如下判斷公式與關(guān)鍵詞：

圖2 判斷公式與關(guān)鍵詞圖示

需要注意的是，此處雖然采用“數(shù)據(jù)交易（Transaction）”這個詞，但其所指代的行為比中國法律法規(guī)項(xiàng)下僅以數(shù)據(jù)為交付標(biāo)的的數(shù)據(jù)資產(chǎn)交易要廣泛得多，任何涉及交易相對方跨境訪問數(shù)據(jù)的商業(yè)活動，只要滿足關(guān)鍵詞①至關(guān)鍵詞⑤的要件，且不符合例外情形（關(guān)鍵詞⑦），則均可能受到限制或禁止（關(guān)鍵詞⑥）。

所謂訪問（Access）是指邏輯或物理訪問，包括以任何形式獲取、讀取、復(fù)制、解密、編輯、轉(zhuǎn)移、發(fā)布、影響、更改狀態(tài)或以其他方式查看或接收的能力，包括通過信息系統(tǒng)、信息技術(shù)系統(tǒng)、云計(jì)算平臺、網(wǎng)絡(luò)、安全系統(tǒng)、設(shè)備或軟件。并且，《最終規(guī)則》明確，為確定交易是否為特定數(shù)據(jù)交易（Covered Data Transaction），在判斷是否構(gòu)成訪問時并不考慮任何安全要求（Security Requirements）的適用或影響。

2、關(guān)鍵詞①：美國實(shí)體（United States Person）

美國實(shí)體包括以下幾類：

（1）美國公民、國民或合法永久居民；

（2）在美國獲準(zhǔn)作為難民或被授予庇護(hù)的人；

（3）僅根據(jù)美國法或美國境內(nèi)任何司法管轄區(qū)的法律組建的實(shí)體（包括外國分支機(jī)構(gòu)）；

（4）在美國境內(nèi)的任何主體。

3、關(guān)鍵詞②：受關(guān)注國家

受關(guān)注國家目前包括中國（含香港和澳門）、俄羅斯、伊朗、朝鮮、古巴和委內(nèi)瑞拉。但EO 14117授權(quán)DOJ可以不時增刪受關(guān)注國家清單，以更好地實(shí)現(xiàn)保護(hù)美國實(shí)體敏感數(shù)據(jù)及國家安全的目標(biāo)。

4、關(guān)鍵詞③：受關(guān)注實(shí)體

受關(guān)注主體主要包括以下幾類：

（1）由受關(guān)注國家直接或間接地單獨(dú)或合計(jì)擁有50%或以上股份的實(shí)體；根據(jù)受關(guān)注國家法律組建或特許的實(shí)體；主要營業(yè)地位于受關(guān)注國家的實(shí)體；

（2）由第（1）類所述實(shí)體或第（3）、（4）或（5）類所述主體一個或多個直接或間接地單獨(dú)或合計(jì)擁有50%或以上股份的實(shí)體；

（3）是受關(guān)注國家或第（1）、（2）或（5）類所述實(shí)體的雇員或承包商的外國主體；

（4）主要居住在受關(guān)注國家領(lǐng)土管轄范圍內(nèi)的外國主體；

（5）被美國總檢察長指定的由受關(guān)注國家擁有、控制、受其管轄或指示的任何主體；或代表或聲稱代表受關(guān)注國家或受關(guān)注主體行事的任何主體；或在明知的情況下違反或受指示違反規(guī)定的任何主體。

注：經(jīng)美國總檢察長指定被納入受關(guān)注實(shí)體清單（Covered Person List）的受關(guān)注實(shí)體可以向美國總檢察長申請行政復(fù)議或者采取公司重組、人員辭退等補(bǔ)救措施，請求從該清單上移除。

5、關(guān)鍵詞④：受規(guī)制數(shù)據(jù)類型

受規(guī)制數(shù)據(jù)類型有兩大類：一類是敏感個人數(shù)據(jù)（Sensitive Personal Data），另一類是政府相關(guān)數(shù)據(jù)（Government-related Data）。其中，敏感個人數(shù)據(jù)需要達(dá)到一定量級閾值才會受到規(guī)制，而政府相關(guān)數(shù)據(jù)，無論量級是多少均會受到規(guī)制。

（1）敏感個人數(shù)據(jù)

根據(jù)《最終規(guī)則》，敏感個人數(shù)據(jù)可以分為以下六類：

表格1 敏感個人數(shù)據(jù)的主要類別及說明

特定個人標(biāo)識符（Covered personal identifier）的識別公式為：（1）任一類別已列明標(biāo)識符+其他類別已列明標(biāo)識符；或者（2）已列明標(biāo)識符+其他數(shù)據(jù)=已列明標(biāo)識符/其他類敏感個人數(shù)據(jù)（如精確地理位置數(shù)據(jù)、生物識別標(biāo)識等）。按照目前的口徑，單一已列明標(biāo)識符應(yīng)當(dāng)不構(gòu)成敏感個人數(shù)據(jù)。需要說明的是，第1項(xiàng)所指的特定個人標(biāo)識符不包括以下情形：（i）僅與其他人口統(tǒng)計(jì)或聯(lián)系數(shù)據(jù)相關(guān)聯(lián)的人口統(tǒng)計(jì)或聯(lián)系數(shù)據(jù)（例如名和姓、出生地、郵政編碼、住宅街道或郵政地址、電話號碼、電子郵件地址以及類似的公共賬戶標(biāo)識符）；（ii）僅與提供電信、網(wǎng)絡(luò)或類似服務(wù)所必需的其他網(wǎng)絡(luò)標(biāo)識符、賬戶認(rèn)證數(shù)據(jù)或通話詳情數(shù)據(jù)相關(guān)聯(lián)的網(wǎng)絡(luò)標(biāo)識符、賬戶認(rèn)證數(shù)據(jù)或通話詳情數(shù)據(jù)。

已列明標(biāo)識符（Listed Identifier）是指以下任何數(shù)據(jù)字段：

表格2 已列明標(biāo)識符的主要類別及說明

但是，以下數(shù)據(jù)類型排除在敏感個人數(shù)據(jù)之外：

(a) 與個人無關(guān)的數(shù)據(jù)，如商業(yè)秘密、專有信息；

(b) 公眾可獲取的數(shù)據(jù)，如政府記錄、開庭記錄；

(c) 個人通信信息，如郵政、電報、電話；

(d) 信息或信息資料（information or informational materials）以及通常相關(guān)聯(lián)的元數(shù)據(jù)或?yàn)閷?shí)現(xiàn)此類信息或信息資料的傳輸或傳播而合理必要的元數(shù)據(jù)，如出版物、電影、新聞電訊稿。

前述敏感個人數(shù)據(jù)只有在特定數(shù)據(jù)交易發(fā)生前12個月內(nèi)達(dá)到以下閾值后才將受到規(guī)制：

表格3 各類別敏感個人數(shù)據(jù)的監(jiān)管起始數(shù)量的閾值范圍

值得注意的是，即使是匿名、假名、去標(biāo)識化或加密的數(shù)據(jù)，也在量級計(jì)算范圍內(nèi)。DOJ表示，隨著技術(shù)進(jìn)步，這些數(shù)據(jù)也可能被重新識別或去匿名化，或被盜取加密密鑰等方式解密。

（2）政府相關(guān)數(shù)據(jù)

政府相關(guān)數(shù)據(jù)又可以包含兩類，一類是政府相關(guān)位置數(shù)據(jù)（DOJ在《最終規(guī)則》中列舉了736條經(jīng)緯度的位置區(qū)塊），一類是政府（包括軍方和情報界）現(xiàn)任或最近的前雇員或承包商或前高級官員有關(guān)聯(lián)或可關(guān)聯(lián)的敏感個人數(shù)據(jù)。

6、關(guān)鍵詞⑤和⑥：針對“特定數(shù)據(jù)交易”的限制或禁止措施

受規(guī)制的數(shù)據(jù)交易分為禁止的數(shù)據(jù)交易和受限制的數(shù)據(jù)交易兩類，具體而言：

（1）禁止的數(shù)據(jù)交易

被禁止的數(shù)據(jù)交易包括：（i）數(shù)據(jù)經(jīng)紀(jì)交易；（ii）涉及批量人類基因組數(shù)據(jù)或可從中提取此類數(shù)據(jù)的生物樣本轉(zhuǎn)移的基因組數(shù)據(jù)交易。其中，針對數(shù)據(jù)經(jīng)紀(jì)交易，美國主體不僅不能與受關(guān)注主體進(jìn)行交易，也不得與不受關(guān)注外國主體開展涉及數(shù)據(jù)經(jīng)紀(jì)的交易，除非：（i）與該主體簽署合同：約束該主體不再與受關(guān)注主體進(jìn)行涉及相同數(shù)據(jù)的經(jīng)紀(jì)交易；（ii）及時報告該主體違規(guī)行為：在意識到該主體違規(guī)與受關(guān)注主體進(jìn)行相同數(shù)據(jù)經(jīng)紀(jì)交易后的14天內(nèi)向司法部報告。根據(jù)《最終規(guī)則》的定義，數(shù)據(jù)經(jīng)紀(jì)（Data Broker）是指數(shù)據(jù)的銷售、數(shù)據(jù)訪問許可或類似的商業(yè)交易（但雇傭協(xié)議、投資協(xié)議或供應(yīng)商協(xié)議除外），涉及將數(shù)據(jù)從任何人（提供商）轉(zhuǎn)移到任何其他人（接收方），而接收方并未直接從與所收集或處理的數(shù)據(jù)相關(guān)聯(lián)或可鏈接的個人收集或處理數(shù)據(jù)。

（2）受限制的數(shù)據(jù)交易

受限制的數(shù)據(jù)交易包括：（i）涉及提供商品和服務(wù)的供應(yīng)商協(xié)議；（ii）雇傭協(xié)議；（iii）投資協(xié)議。受限制的數(shù)據(jù)交易需要：（a）符合美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施局（Cybersecurity and Infrastructure Security Agency，簡稱“CISA”）發(fā)布的安全要求；（b）遵循合規(guī)計(jì)劃。

(a) 符合安全要求

2025年1月，CISA發(fā)布了最終版的《受限制交易安全要求規(guī)則》。根據(jù)該規(guī)則，從事受限制數(shù)據(jù)交易應(yīng)當(dāng)遵循“組織和系統(tǒng)級要求”與“數(shù)據(jù)級要求”兩方面內(nèi)容，我們將有關(guān)規(guī)則總結(jié)如下圖，供讀者參考。

圖3 安全要求的總結(jié)歸納

(b) 遵循合規(guī)計(jì)劃

總結(jié)歸納而言，《最終規(guī)則》要求受限制交易方應(yīng)當(dāng)做到盡職調(diào)查、報告、記錄留存以及審計(jì)四項(xiàng)合規(guī)義務(wù)。

* 盡職調(diào)查：調(diào)查受限制交易中的數(shù)據(jù)流、供應(yīng)商的身份等；每年制定數(shù)據(jù)合規(guī)計(jì)劃，并由相關(guān)負(fù)責(zé)人認(rèn)證。

* 報告：當(dāng)DOJ主動要求報告時如實(shí)提供信息；涉及云計(jì)算服務(wù)的受限制交易時每年提交年度報告。

* 記錄留存：留存安全要求的實(shí)施情況記錄（經(jīng)合規(guī)的高級職員、高管或其他雇員認(rèn)證）；留存時間至少為10年。

* 審計(jì)：每年對數(shù)據(jù)交易的性質(zhì)、是否遵守安全要求等進(jìn)行審計(jì)；審計(jì)員在審計(jì)完成后60天內(nèi)向美國實(shí)體提交報告等。

7、關(guān)鍵詞⑦：例外情形

根據(jù)《最終規(guī)則》，被豁免的例外情形有兩類：一類是被《最終規(guī)則》明文列為豁免的數(shù)據(jù)交易；另一類是EO授權(quán)DOJ協(xié)同相關(guān)部門基于個案針對某些本應(yīng)落入規(guī)制的數(shù)據(jù)交易通過頒發(fā)許可的方式進(jìn)行豁免，為監(jiān)管提供了一定靈活性。

（1）明文豁免

《最終規(guī)則》將以下情形作為不受限制的數(shù)據(jù)交易：

表格4 豁免的數(shù)據(jù)交易情形

（2）許可豁免

EO 14117授權(quán)DOJ協(xié)同相關(guān)部門，通過發(fā)布一般許可和特別許可的方式豁免可能被限制或禁止的受規(guī)制交易。根據(jù)《最終規(guī)則》，一般許可和特別許可機(jī)制的適用條件如下：

* 一般許可（General Licenses）：DOJ可酌情頒發(fā)通用許可證。在決定是否頒發(fā)通用許可證時，總檢察長可以考慮來自任何聯(lián)邦部門或機(jī)構(gòu)或任何其他來源的其認(rèn)為相關(guān)且適當(dāng)?shù)臋C(jī)密或非機(jī)密信息或材料。持通用許可證的實(shí)體需按要求提交報告。未能及時提交報告或必要信息的，通用許可證提供的授權(quán)將失效。

* 特別許可（Specific Licenses）：特定許可證須主動向DOJ申請并說明以下內(nèi)容：（1）涉及的數(shù)據(jù)類型和數(shù)量；（2）交易方的身份（3）數(shù)據(jù)的最終用途和數(shù)據(jù)傳輸方式；（4）總檢察長需要的任何其他信息。除非許可證中另有規(guī)定，否則特定許可證：（i）僅適用許可證中確定的各方之間，（ii）僅適用許可證中描述的數(shù)據(jù)交易，以及（iii）僅在滿足許可證中規(guī)定的條件的情況下進(jìn)行交易。

二、從模擬案例看《最終規(guī)則》有哪些影響？

與ANPRM和NPRM相比，《最終規(guī)則》在不少條文下又新列舉了許多案例以解析該條文的具體適用。我們整合了各項(xiàng)案例所反映的關(guān)鍵點(diǎn)，模擬了以下三個案例場景，以體現(xiàn)《最終規(guī)則》的影響：

1、模擬案例①：數(shù)據(jù)經(jīng)紀(jì)場景

某美國子公司是一家總部位于受關(guān)注國家X的母公司在美國的分支機(jī)構(gòu)。子公司在美國開發(fā)了一個人工智能聊天機(jī)器人，使用美國人的大量敏感個人數(shù)據(jù)進(jìn)行模型訓(xùn)練。雖然不是其主要的商業(yè)用途，但聊天機(jī)器人在響應(yīng)查詢時能夠復(fù)制或以其他方式披露此前用于訓(xùn)練的美國人批量敏感個人數(shù)據(jù)。子公司在知情的情況下在全球范圍內(nèi)許可（knowingly licenses）包括其母公司在內(nèi)的受關(guān)注實(shí)體可基于訂閱訪問該聊天機(jī)器人中的聊天內(nèi)容。盡管許可使用聊天機(jī)器人本身不一定“涉及訪問”大量美國敏感個人數(shù)據(jù)，但子公司知道或應(yīng)該知道，如果出現(xiàn)提示（prompt），該等許可將能夠訪問美國人的批量敏感個人訓(xùn)練數(shù)據(jù)。

圖4 模擬案例①圖解

初步分析：依據(jù)DOJ在《最終規(guī)則》中對于數(shù)據(jù)經(jīng)紀(jì)的解釋和案例說明，子公司許可受關(guān)注實(shí)體訪問這些大量美國敏感個人數(shù)據(jù)屬于數(shù)據(jù)經(jīng)紀(jì)，因?yàn)樗婕皩?shù)據(jù)從美國公司（即提供商）傳輸?shù)奖辉S可方（即接收者），其中接收者沒有直接從與收集或處理的數(shù)據(jù)相關(guān)聯(lián)或可鏈接的個人收集或處理數(shù)據(jù)。盡管該等許可沒有明確提供對數(shù)據(jù)的訪問權(quán)限，但仍構(gòu)成一項(xiàng)被禁止交易，因?yàn)樽庸局阑驊?yīng)該知道根據(jù)其許可使用聊天機(jī)器人可以使受關(guān)注實(shí)體訪問訓(xùn)練數(shù)據(jù)。

2、模擬案例②：供應(yīng)商場景

A公司是根據(jù)美國法律成立的一家電商平臺公司，A公司與總部位于非受關(guān)注國家（如新加坡）的B公司簽訂合同，由B公司為A公司提供IT運(yùn)維服務(wù)。B公司的股權(quán)結(jié)構(gòu)為（詳見下圖）：B1持股30%、B2持股20%、B3持股50%。其中，B1由D全資持股，B2由E全資持股，D為受關(guān)注國家X（如中國）持股50%的國企，E公司為F公司持股50%的企業(yè)，F(xiàn)公司是根據(jù)受關(guān)注國家X法律所成立的企業(yè)，即注冊在受關(guān)注國家X的普通企業(yè)。A公司掌握美國千萬級以上個人用戶的大量精確地理位置信息和個人財(cái)務(wù)數(shù)據(jù)。根據(jù)雙方簽訂的合同，B公司在提供IT服務(wù)時涉及訪問A公司存有上述大量精確地理位置信息和個人財(cái)務(wù)數(shù)據(jù)信息系統(tǒng)。B公司是否構(gòu)成受關(guān)注實(shí)體？A公司與B公司的運(yùn)維服務(wù)安排是否會落入《最終規(guī)則》的限制？

圖5 模擬案例②圖解

初步分析：依據(jù)DOJ在《最終規(guī)則》中對于受關(guān)注實(shí)體的解釋和案例說明，B公司將構(gòu)成受關(guān)注實(shí)體，原因是B公司由D公司和E公司合計(jì)起來直接擁有50%的股份，而D公司和E公司均為受關(guān)注外國實(shí)體。其中，D公司因由受關(guān)注國家X直接持股50%而構(gòu)成受關(guān)注實(shí)體，E公司因由另一個受關(guān)注實(shí)體F公司直接持股50%而構(gòu)成受關(guān)注實(shí)體。F公司因依據(jù)受關(guān)注國家X的法律成立而構(gòu)成受關(guān)注實(shí)體。

當(dāng)前我國有很多出海企業(yè)，選擇將總部或戰(zhàn)略重心遷移至新加坡、迪拜等投資友好國家，但依據(jù)《最終規(guī)則》的50%股權(quán)穿透規(guī)則，即使位于海外的中資企業(yè)也很有可能構(gòu)成《最終規(guī)則》所指的受關(guān)注外國實(shí)體，最終落入《最終規(guī)則》的受制范圍。

在模擬案例②中，B公司依據(jù)《IT運(yùn)維合作協(xié)議》將在12個月內(nèi)訪問A公司所掌握的大量美國人精確地理位置數(shù)據(jù)與個人財(cái)務(wù)數(shù)據(jù)，量級遠(yuǎn)超《最終規(guī)則》所定閾值。因此，A公司與B公司之間的IT服務(wù)協(xié)議大概率構(gòu)成受限制的供應(yīng)商協(xié)議，在簽署和實(shí)施有關(guān)協(xié)議前，A公司應(yīng)當(dāng)履行前文所述的安全要求和合規(guī)計(jì)劃。

3、模擬案例③：豁免場景

A公司是一家美國金融服務(wù)提供商，它在受關(guān)注的國家X設(shè)立了一家子公司B。A公司的客戶在受關(guān)注國家X進(jìn)行金融交易，B公司的客戶在美國進(jìn)行金融交易。為了履行與這些金融交易相關(guān)的客戶服務(wù)職能，B公司會訪問大量美國敏感個人數(shù)據(jù)。

圖6 模擬案例③圖解

初步分析：在這些情況下，公司集團(tuán)交易豁免將適用于外國子公司對個人財(cái)務(wù)數(shù)據(jù)的訪問，因?yàn)檫@通常是提供客戶支持的正常附帶行為且屬于其組成部分。外國子公司對個人財(cái)務(wù)數(shù)據(jù)的訪問也將受到金融服務(wù)豁免的保護(hù)。美國與其位于受關(guān)注國家/地區(qū)（或以其他方式受其所有權(quán)、指導(dǎo)、管轄或控制）的子公司或關(guān)聯(lián)公司之間，與行政或輔助業(yè)務(wù)運(yùn)營有關(guān)的數(shù)據(jù)交換，包括：①人力資源；②工資單、費(fèi)用監(jiān)控和報銷以及其他公司財(cái)務(wù)活動；③繳納營業(yè)稅或費(fèi)用；④獲得營業(yè)執(zhí)照或執(zhí)照；⑤與審計(jì)師和律所共享數(shù)據(jù)以實(shí)現(xiàn)監(jiān)管合規(guī)；⑥風(fēng)險管理；⑦業(yè)務(wù)相關(guān)出行；⑧客戶支持；⑨員工福利；⑩員工的內(nèi)外部通信等，均落入豁免范圍。

三、《最終規(guī)則》下企業(yè)可以采取哪些措施？

受《最終規(guī)則》的廣泛影響，企業(yè)可以采取以下應(yīng)對措施來緩解或規(guī)避潛在的交易風(fēng)險，提高自身合規(guī)性，避免因違反有關(guān)規(guī)則而被交易喊停或遭受罰款。總體而言，該等評估和措施可分為以下步驟：

1、開展自我評估：了解法律規(guī)定，進(jìn)行全面梳理盤查

2、制定戰(zhàn)略決策：綜合分析情況，決策是否開展業(yè)務(wù)

3、部署防范策略：實(shí)施合規(guī)計(jì)劃，擬訂風(fēng)險預(yù)案，動態(tài)診斷風(fēng)險

如果企業(yè)已確定開展受限交易，則應(yīng)當(dāng)提前部署一定的風(fēng)險防范策略。例如，企業(yè)應(yīng)當(dāng)擬訂待實(shí)施的合規(guī)方案，以此落實(shí)安全要求與合規(guī)計(jì)劃，例如開展數(shù)據(jù)風(fēng)險評估、制定并實(shí)施網(wǎng)絡(luò)安全政策、開展審計(jì)、盡職調(diào)查、進(jìn)行記錄留存以及按時報告等。針對被禁止交易，如果企業(yè)希望繼續(xù)開展該等交易，則需考慮進(jìn)行相關(guān)交易前預(yù)留一定審批期限，向DOJ申請?zhí)囟ㄔS可。

由于以上問題涉及較多專業(yè)化內(nèi)容，我們建議企業(yè)及時聘請外部律師或?qū)＜覉F(tuán)隊(duì)，協(xié)助企業(yè)拉通外部資源開展審計(jì)、起草網(wǎng)絡(luò)安全政策并進(jìn)行內(nèi)部整改、入場實(shí)施數(shù)據(jù)風(fēng)險評估、輔助履行申報或許可程序、開展相關(guān)交易前進(jìn)行盡職調(diào)查等。

圖7 部署防范策略的核心要點(diǎn)

來源：中倫視界

李瑞 律師

中倫律師事務(wù)所

北京辦公室 合伙人

業(yè)務(wù)領(lǐng)域：跨境投資并購，反壟斷和競爭法，網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)

行業(yè)領(lǐng)域：教育培訓(xùn)，電信和互聯(lián)網(wǎng)，信息和智能技術(shù)

賈申

中倫律師事務(wù)所

北京辦公室 高級顧問

業(yè)務(wù)領(lǐng)域：合規(guī)和調(diào)查，投資并購和公司治理，訴訟仲裁

行業(yè)領(lǐng)域：能源和電力

鐘俊鵬 律師

中倫律師事務(wù)所北京辦公室

非權(quán)益合伙人

業(yè)務(wù)領(lǐng)域：跨境投資并購，網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)，反壟斷和競爭法

行業(yè)領(lǐng)域：銀行業(yè)和金融服務(wù)，信息和智能技術(shù)

徐晨

中倫律師事務(wù)所

北京辦公室 公司業(yè)務(wù)部

* 蒲昱含對本文亦有貢獻(xiàn)

免責(zé)聲明

本文僅代表原作者觀點(diǎn)，不代表走出去智庫立場。

延展閱讀

▌地緣政治風(fēng)險:

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競爭:

▌品牌聲譽(yù)管理: