避免我国获取美国人敏感数据的联邦法规收效，中企美国子公司需分外留意一点

liukang20244小时前cgw吃瓜133

4月8日，美国避免我国获取美国人批量灵敏个人数据和政府相关数据的联邦法规正式收效（一些尽职查询、审计、陈述责任2025年10月6日起收效）。为进一步弄清相关问题，便当美国个人和企业合规，司法部国家安全司4月11日发布了“法规常见问答”、“前90天施行方针”、“合规指引”三个文件。

现代的防止中国获取美国人敏感数据的联邦法规生效，中企美国子公司需格外注意一点的图像

关于这部法规我一向有个疑问：它究竟管不论美国企业和中企美国子公司之间的买卖？换言之，该法规只针对美国数据向我国的“跨境活动”或我国对美国数据的“跨境拜访”，仍是也规范美国数据的“境内搬运”？在上一年12月“数据脱钩”落地：美国发布制止灵敏个人数据向我国跨境传输的终究规矩”一文中，我曾提出该问题：

特别值得警觉的是，该规矩的影响或许超出数据跨境活动，触及我国企业的美国子公司在美国展开的买卖。美国司法部一方面清晰该规矩不监管“美国人”之间在美国境内进行的“纯国内买卖”（如“美国人”对数据的搜集、维护、处理或运用），但又加了个约束：该“美国人”没有被清晰且揭露指定为“受辖主体”（对受辖主体，司法部制止或约束美国公司与之进行涉美国人批量灵敏数据和政府相关数据的买卖）。

美国司法部至少理论上有或许把一些我国公司的美国子公司列入“受辖主体”清单，约束乃至制止其在美国从事数据搜集和处理活动。经过埋进去这一条，美国司法部给自己制作了一个未来能够制裁我国在美公司的东西，且裁量权很大。

在仔细研读了国安司发布的“常见问答”后，我的结论是：该法规对上述状况不只需管，并且或许仍是一个管控的要点。

该法规的中心思路是监管“美国人”和“受辖主体”展开触及“批量美国灵敏个人数据或美国政府相关数据”的制止性或约束性买卖（数据生意、供货商协议、雇佣协议、出资协议等），责任施加在“美国人”头上。在多个杂乱的概念中，搞清楚哪些是“受辖主体”是合规要害点，在这个基础上再去看数据和买卖的类型。

为了协助美国公司判别哪些是“受辖主体”，国安司将在官网“数据安全计划”页面发布一份“受辖主体”清单（Covered Persons List），并会在《联邦公报》上发布。清单会定时更新，包含两部分：

1、国安司依据第202.211(a)(5)条指定的“受辖主体”清单（指定清单）。

202.211(a)(5)条：

由司法部长确认的任何主体，不论其坐落何处：

（1）由、曾由或或许由重视国家或受辖主体具有或操控，或受其统辖或指示；

（2）为、曾为或意图为重视国家或受辖主体行事，或代表重视国家或受辖主体行事；

（3）成心引发或指示违反本规矩的行为，或或许成心引发或指示违反本规矩的行为。

这个清单是翔实的，里边一切列名主体均是国安司清晰指定，相似财政部的SDN清单和商务部实体清单。美国公司和这些主体经商，确认遭到本法规的约束，无需自行尽调。

2、归于第202.211(a)(1)至(4)条界说所述类别“受辖主体”的清单（界说清单）。

柔和的防止中国获取美国人敏感数据的联邦法规生效，中企美国子公司需格外注意一点的视图

第202.211(a)(1)至(4)条：

（1）由重视国家直接或直接、独自或算计具有50%或以上股权的实体，以及在重视国家注册或其首要事务地在重视国家的实体（A）；

（2）由A、C或E包括主体直接或直接、独自或算计具有50%或以上股权的实体（B）；

（3）作为重视国家、A、B或E包括主体的职工或合同工的外国主体（C）；

（4）首要居住在重视国家疆域统辖规模内的外国主体（D）；

这个清单是开放式的，在上面的公司不是由于司法部指定了他们是“受辖主体”，而朴实是由于契合第202.211(a)(1)-(4)条界说的规范而主动成为这类主体。由于契合该规范的主体太多，很难幻想凭国安司那11个人能尽头地辨认出来。即使美国公司和我国公司买卖时，即使对方不在”受辖主体“清单上，美国公司也要自己依据第202.211(a)(1)至(4)条的规范尽职查询，判别对方是否归于“受辖主体”，并在此基础上做好合规。

依据“常见问答”51，假如母公司总部坐落我国等“重视国家”，该母公司的美国分支组织应当视为母公司的一部分，不视为独立实体，也不因设在美国而被确认为“美国人”。这相当于为本法规界说的“美国人”设了一个破例，由于中企的美国子公司是在美国境内依据美国法令注册建立，本应归于“美国人”，但这儿司法部清晰说不是。

“常见问答”5表明：数据安全计划不触及美国主体之间朴实的国内数据买卖，例如美国主体在美国境内的数据搜集、维护、处理或运用（这契合预期，由于IEEPA理论上只监管美国人和外国人的跨境商贸活动），但该最后又加了这么一句：“除非这些美国主体被指定为受辖主体”。

也就是说，我国公司的美国子公司是或许被司法部指定为“受辖主体”的。假定我国公司甲依据美国法令、在美国境内建立主体乙，运营一个网站或App，并存在搜集、存储、运用美国用户个人数据的状况，该美国公司乙也会成为“受辖主体”，被制止或约束跟美国公司从事相关触及数据的买卖。考虑到受辖数据类型的含糊和广泛，这很有或许。同理，一家我国云服务商的美国子公司为美国客户存储受辖数据或供给技能支撑，也能落入这一景象。

假如我国母公司对美国子公司控股≥ 50%，则会主动落入“受辖主体”规模，不论在不在“受辖主体”清单上，都受本法规的约束。假如我国母公司只持有美国子公司少量股权（<50%），但存在本质操控（如经过协议安排、董事会操控权、或其他方法本质操控子公司的决议计划），司法部能够把该子公司指定为“受辖主体”，列上“指定清单”。

依据“常见问答”，对“受辖主体”只需黑名单，没有白名单，他们能够请求行政复议，寻求从“受辖主体”清单上开除，国安司后续将发布更多关于请求开除程序的信息。

假如中企的美国子公司许多被列入“受辖主体”清单，将明显影响其在美国当地触及批量美国人灵敏数据和政府相关数据的的买卖。

首要，以下买卖肯定制止：

1、一切数据生意买卖：如美国子公司将自行搜集的美国用户数据（如方位、消费行为、阅读记载等）打包成数据集，出售或供给给美国其他企业（如营销渠道、风控公司、保险公司、广告商）。

2、能让该美国子公司或我国获取许多美国人类组学数据，或可从中得出许多人类‘组学’数据的人类生物样本的买卖；

3、触及上述制止买卖的“躲避”“共谋”“指示”行为。

其次，触及供货商协议、雇佣协议或出资协议的数据买卖不肯定制止，但需求恪守疆土安全部网络安全和基础设施安全局（CISA）的安全要求（现已发布）及其他相关要求。

例如，美企将用户数据处理或云基础设施维护外包给中企的美国子公司；托付中企美国子公司开发体系、渠道或嵌入SDK，雇佣中企美国子公司的工程师、数据剖析师，以及中企的美国子公司出资美国草创公司并取得董事会座位、数据接口权限等，只需存在美国人批量灵敏数据或政府相关数据因而被中企美国子公司拜访的危险，都归于受约束的买卖。

这种状况下，满意CISA的安全要求就会成为要害的合规途径，有点相似CFIUS国家安全协议的缓解办法。CISA终究发布的安全要求分为两大块：

榜首部分是“安排和体系层面”的要求，首要是让企业建立好根本的安全管理机制，比方清点财物、操控谁能拜访体系、修补缝隙、记载日志等。这部分只适用于那些触及“受限买卖”和“灵敏数据”的特定体系，规范参阅了一些已有的网络安全结构（如NIST和CISA出的辅导）。

第二部分是“数据层面”的要求，中心意图是避免我国等重视国家或企业能接触到未经处理的美国人灵敏数据。它给出了几种技能计划，比方脱敏、加密、约束拜访等，还特别强调：哪怕你用了安全办法，只需对方能“看见”数据，那也算是“拜访”，不能忽视。企业要依据数据灵敏程度和买卖类型，灵敏组合运用这些手法，做到真实“有用阻挠拜访”。

虽然有了“常见问答”等攻略，关于该法规的一些重要问题仍是没有答案，比方怎样判别哪些归于豁免监管的“美国子公司和我国母公司之间的”行政性或辅助性事务活动“。但总的来说，法规的思路没有改变，逻辑是国家安全而非个人信息维护，这体现在许多方面，例如对“批量美国灵敏个人数据”的界说没有扫除现已匿名化、去标识化、化名化的数据或聚合数据，清晰回绝个人“知情-赞同”作为豁免监管的状况等。换言之，这是一部“触及数据的国家安全法”，而不是一部个人数据维护法，以数据合规的思路去了解和恪守这部法令，或许会犯错。

司法部将在法规正式收效后的前90天（2025年4月8日至7月8日）采纳宽限法律方针：只需企业或个人在此期间真挚尽力合规，一般不发动处分，而是鼓舞我们抓紧时间完善内部准则、调整供应链、检查数据流向，并与美国政府沟通。但这一方针不适用于成心或严峻违规者，关于缺少合规诚心的行为，司法部仍保存法律权。此外，假如当事人主动配合查询，也或许在后续法律中取得活跃考量。

虽然如此，法规现已开端对中美商贸活动及科研协作发生直接影响。

触及人类基因组数据等灵敏生物数据的制止类买卖最早被堵截。4月5日，美国国家癌症研讨所（NCI）的 SEER（癌症监测、流行病学和终究成果）数据库据制止我国科研人员拜访。4月4日，美国国立卫生研讨院（NIH）制止我国组织拜访其“受控拜访数据存储库”（由NIH支撑的、用于存储和同享人类基因组等灵敏研讨数据的存储渠道）。

4月8日（法规收效当天），微软在我国的外包商微创软件停止了其微软项目组，上海、无锡等地约2000名工程师被裁。外界遍及剖析这是因该法规制止微软再答应我国境内外包团队拜访触及美国用户的灵敏数据，售后技能支撑等需处理用户账户、设备信息等数据的作业在我国进行也已不再合规，只能完毕与我国外包公司的协作。

跟着法规的逐渐全面落地，相关影响还会持续闪现。

文章仅做学术探讨和研讨沟通运用，相关判别不代表任何公司或组织态度，也不构成任何商业主张。

告发/反应