由前可知,美国政府通过《14117行政令》《预先通知》《拟议通知》与《最终规则》实施的限制美国相关数据向特定国家传输的管理制度,旨在禁止或以其他方式限制美国人参与受规制的交易,即此类交易涉及将大量美国敏感个人数据或与美国政府相关的数据转移到受关注的国家。而虽然《14117行政令》《预先通知》《拟议通知》与《最终规则》的直接适用对象为美国人(U.S. Person),但鉴于目前较多中国企业可能作为该等美国人的交易对手方、子公司、供应商,相关业务场景与数据交易仍会被纳入监管范围甚至存在可能被要求停止开展业务的风险。
中国企业在判断其出海业务场景是否受到规制时,可以参考以下步骤:
首先,对于总部位于海外的跨国企业而言,受规制的主体可能包括所有中国子公司、所有中国子公司的外籍雇员或承包商,以及主要居住在中国的外籍人士。该等受规制的主体与企业美国总部/子公司之间涉及个人信息传输的行为(美国总部/子公司对此类数据/个人信息有访问权限),理论上均会落入受规制的交易的范围。
其次,根据数据/个人信息传输的具体场景类型、传输的数据量与数据类型,判断是否属于受规制的交易。如果涉及理论上会落入受规制的交易的四种情形,并且涉及超过阈值的个人敏感信息或者政府相关数据,则此类数据/个人信息的传输/访问行为可能会被禁止或受到限制。
再次,即便相关数据/个人信息的传输行为理论上落入受规制的交易,企业可以进一步关注相关业务场景是否符合“豁免的交易”。《最终规则》列明了九种“豁免的交易”并就每种数据交易提供了具体的示例,例如在美国总部公司与其在中国子公司之间因公司内部业务运营产生的数据交易(常见于人力资源管理、工资支付与费用报销、支付税费、与外部审计师或律师基于合规要求共享数据、风险管理、客服支持、员工福利等);或者属于提供金融服务附带或正常情况下会产生的行为,例如因购买和销售商品和服务而附带需要提供或处理涉及个人财务数据或涵盖个人身份标识(如在线购物);或者基于监管要求,美国金融服务提供商位于受关注的国家的分支机构向位于受关注的国家的美国人提供金融服务;或者涉及药品、生物制品、器械或组合产品的审批或授权的数据交易,且该等监管审批数据已按美国药监局规定去标识或化名处理,仅限于评估安全性与有效性所必需的信息等。需注意的是,《最终规则》对于上述豁免的交易并非穷尽列举,企业可以参考《最终规则》下对于豁免的交易的一般性描述以判断未落入所列举示例的数据交易场景是否也可以被豁免。
最后,对于属于受规制的交易而言,首先,《最终规则》规定了通过获取许可证以授权开展被禁止或限制的交易,许可证包括一般许可证(general license)与特定许可证(specific license),《最终规则》未列明许可证适用的通用条件,许可证的颁发通常以特定领域或行业场景为基础。其次,美国司法部有权向特定交易发布咨询意见(advisory opinion),为交易方提供咨询与规则解释说明。此外,《最终规则》借鉴了美国财政部外国资产管制办公室的经济制裁项目,要求美国企业和个人建立并落实合规计划,对于属于三种“受限制的交易”(Restricted Transaction)而言,美国司法部有权要求美国人实施一系列合规要求以开展此类交易,例如建立全面的合规计划、制定并实施数据安全及合规政策、年度审计、记录留存等。
另一常见场景是具有中资背景的美国实体可能依赖由中国境内的团队与人员提供技术、运维、业务方面的支持,在此过程中,中国团队在后端对有关美国人的敏感个人信息的访问可能会落入“受规制的交易—供应商协议”的定义范围,企业需根据《最终规则》列明的情景以及豁免交易的前提条件,预先考虑设置防火墙或限制中国团队的访问数据类型权限,以开展相关支持服务。
对于向海外提供云服务或者人工智能服务的中国企业而言,在目前的规则框架下可能将受到较为严重的冲击。此种交易框架下,中国企业的供应商身份一般会自然的落入供应商协议的管制范围内,如果服务对象或涉及的数据类型较为敏感,例如位于美国的医疗机构、金融机构等,则交易涉及大规模美国人敏感个人数据的可能性则更高。
为了应对以上潜在风险,具有中资背景的美国实体可以考虑参考以下逻辑预先开展合规落地:
首先,结合《最终规则》举例列明的合规计划内容,预先落实企业内部合规管理制度、安全技术措施,以降低如需申请许可证时所带来的合规整改负担与成本。例如,企业应首先梳理公司目前数据资产、盘点是否含有敏感个人数据及政府相关数据。同时识别并确定目前业务中涉及数据交易的业务场景可能会落入《最终规则》列明的“受规制的交易”范围。
其次,参考《最终规则》项下规定的具体合规要求(例如审计、记录留存)与CISA发布的安全指南和NIST网络安全及隐私保护相关的合规框架及合规工具,对企业内部涉及的系统、工具、安全技术措施、安全管理措施等方面开展差距性分析,并进行有效整改。
最后,《14117行政令》《预先通知》《拟议通知》与《最终规则》的发布象征着美国基于国家安全目的的敏感数据跨境流动监管框架接近完善,对于“数据跨境自由流动”的原则提供了清晰的适用例外监管机制。这对于有出海需求的企业、美国公司的中国子公司业务、中资背景的美国公司业务等而言均提出了合规挑战。企业需积极应对不断变化的国际法律环境,以确保业务的可持续发展为前提,主动开展数据合规机制的建设,将风险评估纳入日常业务流程,确保跨境业务的合规与合法。
