2024年12月28日，美国司法部发布《最终规则》以落实第14117号数据管控行政令。本文以判断公式为抓手，对《最终规则》的核心要点进行了系统梳理，通过禁止、限制、豁免交易三个案例场景，展现《最终规则》对企业的深远影响，助企业合规应对。

　　自EO 14117发布以来，DOJ曾先后发布《拟议规则的预先通知》（Advance Notice of Proposed Rulemaking，简称“ANPRM”）与《拟议规则的制定通知》（Notice of Proposed Rulemaking，简称“NPRM”），就EO 14117具体实施措施公开征求意见。ANPRM发布后，我们曾对有关内容做了深入解读（参考文章：《深度解读美国数据安全监督管理机制重大变化：判断公式、关键要点、模拟案例及影响分析》）。鉴于《最终规则》相比ANPRM有诸多更新，本文以判断公式为抓手、以模拟案例为视角对《最终规则》进行了梳理分析。在案例设计上，我们整合了《最终规则》中新增的案例说明，设计了禁止交易、限制交易与豁免交易三个类型场景，旨在反映《最终规则》的更新内容，并直观展现《最终规则》对企业的深远影响，帮企业找到切实可行的应对方案。

　　依据EO 14117、ANPRM、NPRM以及《最终规则》，我们将美国所建立的数据安全管控机制归纳为如下判断公式与关键词：

　　需要注意的是，此处虽然采用“数据交易（Transaction）”这个词，但其所指代的行为比中国法律和法规项下仅以数据为交付标的的数据资产交易要广泛得多，任何涉及交易相对方跨境访问数据的商业活动，只要满足关键词①至关键词⑤的要件，且不符合例外情形（关键词⑦），则均可能受到限制或禁止（关键词⑥）。

　　所谓访问（Access）是指逻辑或物理访问，包括以任何形式获取、读取、复制、解密、编辑、转移、发布、影响、更改状态或以其他方式查看或接收的能力，包括通过信息系统、信息技术系统、云计算平台、网络、安全系统、设备或软件。并且，《最终规则》明确，为确定交易是否为特定数据交易（Covered Data Transaction），在判断是否构成访问时并不考虑任何安全要求（Security Requirements）的适用或影响。

　　（3）仅根据美国法或美国境内任何司法管辖区的法律组建的实体（包括外国分支机构）；

　　受关注国家目前包括中国（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。但EO 14117授权DOJ可以不时增删受关注国家清单，以更好地实现保护美国实体敏感数据及国家安全的目标。

　　（1）由受关注国家直接或间接地单独或合计拥有50%或以上股份的实体；根据受关注国家法律组建或特许的实体；主要营业地位于受关注国家的实体；

　　（2）由第（1）类所述实体或第（3）、（4）或（5）类所述主体一个或多个直接或间接地单独或合计拥有50%或以上股份的实体；

　　（3）是受关注国家或第（1）、（2）或（5）类所述实体的雇员或承包商的外国主体；

　　（5）被美国总检察长指定的由受关注国家拥有、控制、受其管辖或指示的任何主体；或代表或声称代表受关注国家或受关注主体行事的任何主体；或在明知的情况下违反或受指示违反规定的任何主体。

　　注：经美国总检察长指定被纳入受关注实体清单（Covered Person List）的受关注实体可以向美国总检察长申请行政复议或者采取公司重组、人员辞退等补救措施，请求从该清单上移除。

　　受规制数据类型有两大类：一类是敏感个人数据（Sensitive Personal Data），另一类是政府有关数据（Government-related Data）。其中，敏感个人数据要达到一定量级阈值才会受到规制，而政府有关数据，无论量级是多少均会受到规制。

　　其中，第1项所指的特定个人标识符（Covered personal identifier）不包括以下情形：（i）仅与其他人口统计或联系数据相关联的人口统计或联系数据（例如名和姓、出生地、邮政编码、住宅街道或邮政地址、手机号、电子邮件地址以及类似的公共账户标识符）；（ii）仅与提供电信、网络或类似服务所必需的其他网络标识符、账户认证数据或通话详情数据相关联的网络标识符、账户认证数据或通线项提到的已列明标识符（Listed Identifier）是指以下任何数据字段：

　　(d) 信息或信息资料（information or informational materials）以及通常相关联的元数据或为实现此类信息或信息资料的传输或传播而合理必要的元数据，如出版物、电影、新闻电讯稿。

　　前述敏感个人数据只有在特定数据交易发生前12个月内达到以下阈值后才将受到规制

　　值得注意的是，即使是匿名、假名、去标识化或加密的数据，也在量级计算范围内。DOJ表示，随技术进步，这一些数据也可能被重新识别或去匿名化，或被盗取加密密钥等方式解密。

　　政府有关数据又可以包含两类，一类是政府相关位置数据（DOJ在《最终规则》中列举了736条经纬度的位置区块），一类是政府（包括军方和情报界）现任或最近的前雇员或承包商或前高级官员有关联或可关联的敏感个人数据。

　　被禁止的数据交易包括：（i）数据经纪交易；（ii）涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据交易。其中，针对数据经纪交易，美国主体不仅不能与受关注主体进行交易，也不得与不受关注外国主体开展涉及数据经纪的交易，除非：（i）与该主体签署合同：约束该主体不再与受关注主体进行涉及相同数据的经纪交易；（ii）及时报告该主体违反相关规定的行为：在意识到该主体违规与受关注主体进行相同数据经纪交易后的14天内向司法部报告。根据《最终规则》的定义，数据经纪（Data Broker）是指数据的销售、数据访问许可或类似的商业交易（但雇佣协议、投资协议或供应商协议除外），涉及将数据从任何人（提供商）转移到任何其他人（接收方），而接收方并未直接从与所收集或处理的数据相关联或可链接的个人收集或处理数据。

　　受限制的数据交易包括：（i）涉及提供商品和服务的供应商协议；（ii）雇佣协议；（iii）投资协议。受限制的数据交易需要：（a）符合美国网络安全与基础设施局（Cybersecurity and Infrastructure Security Agency，简称“CISA”）发布的安全要求；（b）遵循合规计划。

　　2025年1月，CISA发布了最终版的《受限制交易安全要求规则》。根据该规则，从事受限制数据交易应当遵循“组织和系统级要求”与“数据级要求”两方面内容，我们将有关规则总结如下图，供读者参考。

　　总结归纳而言，《最终规则》要求受限制交易方应当做到尽职调查、报告、记录留存以及审计四项合规义务。

　　* 尽职调查：调查受限制交易中的数据流、供应商的身份等；每年制定数据合规计划，并由相关负责人认证。

　　* 报告：当DOJ主动要求报告时如实提供信息；涉及云计算服务的受限制交易时每年提交年度报告。

　　* 记录留存：留存安全要求的实施情况记录（经合规的高级职员、高管或其他雇员认证）；留存时间至少为10年。

　　* 审计：每年对数据交易的性质、是否遵守安全要求等进行审计；审计员在审计完成后60天内向美国实体提交报告等。

　　根据《最终规则》，被豁免的例外情形有两类：一类是被《最终规则》明文列为豁免的数据交易；另一类是EO授权DOJ协同有关部门基于个案针对某些本应落入规制的数据交易通过颁发许可的方式来进行豁免，为监管提供了一定灵活性。

　　EO 14117授权DOJ协同有关部门，通过发布一般许可和特别许可的方式豁免可能被限制或禁止的受规制交易。根据《最终规则》，一般许可和特别许可机制的适用条件如下：

　　* 一般许可（General Licenses）：DOJ可酌情颁发通用许可证。在决定是不是颁发通用许可证时，总检察长可优先考虑来自任何联邦部门或机构或任何其他来源的其认为相关且适当的机密或非机密信息或材料。持通用许可证的实体需按要求提交报告。未能及时提交报告或必要信息的，通用许可证提供的授权将失效。

　　* 特别许可（Specific Licenses）：特定许可证须主动向DOJ申请并说明以下内容：（1）涉及的数据类型和数量；（2）交易方的身份（3）数据的最终用途和数据传输方式；（4）总检察长需要的任何别的信息。除非许可证中另有规定，否则特定许可证：（i）仅适用许可证中确定的各方之间，（ii）仅适用许可证中描述的数据交易，以及（iii）仅在满足许可证中规定的条件的情况下进行交易。

　　与ANPRM和NPRM相比，《最终规则》在不少条文下又新列举了许多案例以解析该条文的具体适用。我们整合了各项案例所反映的关键点，模拟了以下三个案例场景，以体现《最终规则》的影响：

　　某美国子公司是一家总部在受关注国家X的母公司在美国的分支机构。子公司在美国开发了一个人工智能聊天机器人，使用美国人的大量敏感个人数据来进行模型训练。虽然不是其主要的商业用途，但聊天机器人在响应查询时能够复制或以其他方式披露此前用于训练的美国人批量敏感个人数据。子公司在知情的情况下在全世界内许可（knowingly licenses）包括其母公司在内的受关注实体可基于订阅访问该聊天机器人中的聊天内容。尽管许可使用聊天机器人本身不一定“涉及访问”大量美国敏感个人数据，但子公司知道或必须要知道，假如慢慢的出现提示（prompt），该等许可将能够访问美国人的批量敏感个人训练数据。

　　初步分析：依据DOJ在《最终规则》中对于数据经纪的解释和案例说明，子公司许可受关注实体访问这些大量美国敏感个人数据属于数据经纪，因为它涉及将数据从美国公司（即提供商）传输到被许可方（即接收者），其中接收者没有直接从与收集或处理的数据相关联或可链接的个人收集或处理数据。尽管该等许可没明确提供对数据的访问权限，但仍构成一项被禁止交易，因为子公司知道或必须要知道根据其许可使用聊天机器人能使受关注实体访问训练数据。

　　A公司是根据美国法律成立的一家电子商务平台公司，A公司与总部在非受关注国家（如新加坡）的B公司签订合同，由B公司为A公司提供IT运维服务。B公司的股权结构为（详见下图）：B1持股30%、B2持股20%、B3持股50%。其中，B1由D全资持股，B2由E全资持股，D为受关注国家X（如中国）持股50%的国企，E公司为F公司持股50%的企业，F公司是根据受关注国家X法律所成立的企业，即注册在受关注国家X的普通企业。A公司掌握美国千万级以上个人用户的大量精确地理位置信息和个人财务数据。根据双方签订的合同，B公司在提供IT服务时涉及访问A公司存有上述大量精确地理位置信息和个人财务数据信息系统。B公司是不是构成受关注实体？A公司与B公司的运维服务安排是否会落入《最终规则》的限制？

　　初步分析：依据DOJ在《最终规则》中对于受关注实体的解释和案例说明，B公司将构成受关注实体，原因是B公司由D公司和E公司合计起来直接拥有50%的股份，而D公司和E公司均为受关注外国实体。其中，D公司因由受关注国家X直接持股50%而构成受关注实体，E公司因由另一个受关注实体F公司直接持股50%而构成受关注实体。F公司因依据受关注国家X的法律成立而构成受关注实体。

　　当前我国有很多出海企业，选择将总部或战略重心迁移至新加坡、迪拜等投资友好国家，但依据《最终规则》的50%股权穿透规则，即使位于海外的中资企业也很有可能构成《最终规则》所指的受关注外国实体，最终落入《最终规则》的受制范围。

　　在模拟案例②中，B公司依照《IT运维合作协议》将在12个月内访问A公司所掌握的大量美国人精确地理位置数据与个人财务数据，量级远超《最终规则》所定阈值。因此，A公司与B公司之间的IT服务协议大概率构成受限制的供应商协议，在签署和实施有关协议前，A公司应当履行前文所述的安全要求和合规计划。

　　A公司是一家美国金融服务提供商，它在受关注的国家X设立了一家子公司B。A公司的客户在受关注国家X进行金融交易，B公司的客户在美国进行金融交易。为了履行与这些金融交易相关的客户服务职能，B公司会访问大量美国敏感个人数据。

　　初步分析：在这一些状况下，公司集团交易豁免将适用于外国子公司对个人财务数据的访问，因为这通常是提供客户支持的正常附带行为且属于其组成部分。外国子公司对个人财务数据的访问也将受到金融服务豁免的保护。美国与其位于受关注国家/地区（或以其他方式受其所有权、指导、管辖或控制）的子公司或关联公司之间，与行政或辅助业务运营有关的数据交换，包括：①人力资源；②工资单、费用监控和报销以及其他公司财务活动；③缴纳营业税或费用；④获得营业执照或执照；⑤与审计师和律所共享数据以实现监管合规；⑥风险管理；⑦业务相关出行；⑧客户支持；⑨员工福利；⑩员工的内外部通信等，均落入豁免范围。

　　受《最终规则》的广泛影响，公司能够采取以下应对措施来缓解或规避潜在的交易风险，提高自身合规性，避免因违反有关规则而被交易喊停或遭受罚款。总体而言，该等评估和措施可分为以下步骤：

　　若企业已确定开展受限交易，则应当提前部署一定的风险防范策略。例如，企业应当拟订待实施的合规方案，以此落实安全要求与合规计划，例如开展数据风险评估、制定并实施网络安全政策、开展审计、尽职调查、进行记录留存以及按时报告等。针对被禁止交易，如果企业希望继续开展该等交易，则需考虑进行有关交易前预留一定审批期限，向DOJ申请特定许可。

　　由于以上问题涉及较多专业化内容，我们提议企业及时聘请外部律师或专家团队，协助企业拉通外部资源开展审计、起草网络安全政策并进行内部整改、入场实施数据风险评估、辅助履行申报或许可程序、开展相关交易前进行尽职调查等。

　　以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

　　如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

　　日前，山西省大同市中级人民法院审理席某某上诉案及所涉婚约财产纠纷上诉案的审判长接受记者正常采访：本案系不公开审理的案件，一审宣判后，鉴于网上存在大量不实信息，法院在法律规定范围内最大限度回应社会关切，澄清事实。

　　近日，世贸组织总干事恩戈齐·奥孔乔-伊维拉被问到有关美国和世贸组织关系的问题时，笑谈这是一个“五年来一次”的问题。记者：“（美国）共和党众议员提出动议，要求特朗普政府让美国退出世贸组织，美国现在还在“船上”吗？如果美国退出，世贸组织如何继续运作？

　　玩具业是美国遭受关税冲击最严重的行业之一。美国有线电视新闻网（CNN）指出，对中国生产的玩具加征高额关税，意味着曾经物美价廉的玩具将变成“奢侈品”。美国商务部多个方面数据显示，2024年美国进口了价值177亿美元的玩具，其中75%来自中国。

　　山西“订婚案”维持原判，被告获刑3年，审判长答问：处女膜未破裂影不影响罪的认定？#媒体精选计划

　　近日，深圳一市民在“深圳论坛”发帖称，自己在西丽南方科技大学医院检测肾功能，因医院血液检测结果存在严重偏差被误诊肾病。南方科技大学医院作出回复，该市民反映的情况确实存在，已对检验结果做复核修正，并向该市民诚挚道歉。通过排查回顾得出，本次检测结果出现偏差的原因可能为随机性误差（如电滋干扰、电源电压瞬间波动、振动、噪声等）或未知潜在干扰物（药物、试剂中某些物质）造成的。接下来，检验科将优化流程，对肌酐异常结果设置关联项目异常复检规则，制定审核要求，减少和杜绝类似事件再次发生。（深圳新闻网）

　　△美国加州州长纽森（资料图）美国人口和经济规模第一大州加利福尼亚州州长纽森当地时间16日宣布就关税问题起诉特朗普政府。他批评特朗普政府滥用关税政策的行为“违法”，给美国经济导致非常严重混乱和破坏。加州成为全美第一个就关税问题起诉特朗普政府的州。

　　特朗普大厦商店，用价签遮盖中国制造！美政府大张旗鼓加税，又偷偷摸摸豁免！美服贸顺差近3000亿美元，恐被拖入贸易战

　　央视记者在当地时间4月12日探访特朗普大厦商店，发现里面有许多“Made in China”的标牌被价签遮盖住了。

　　美对华频繁加征一定的关税，记者探访义乌：多数受访商户表示，合作客商遍布五大洲，关税战影响可控

　　4月16日，有一手消息指出，白宫方面声称中国现在面临着对进口到美国的产品征收最高可达245%的关税。

　　美国关税政策导致一些美国企业的成本大幅度的增加，一些小企业难以应对关税带来的冲击。在佛罗里达州，埃米莉·莱伊的小型文具公司正面临着十几年来最大的困境。埃米莉以未经国会讨论、滥施关税为由向特朗普等人提起了诉讼。埃米莉·莱伊在佛罗里达州的彭萨科拉经营一家小型文具公司已17年了。

　　4月1日已经是古稀老人的葛汉昌，再次来到位于浙江杭州安贤陵园的王伟烈士墓，祭奠这位24年前壮烈牺牲的“海空卫士”。王伟烈士墓前最显眼的是各类飞机、航母模型，在葛汉昌看来这是大家衷心呼唤“81192”返航的明证。