美国司法部数据跨境转移新规解读：影响及合规要求

2025年1月8日，美国司法部（DOJ）依据第14117号行政令 发布了最终规则，全称为《防止受关注国家或特定人员获取美国敏感个人数据及政府相关数据的规则》 （以下简称“《规则》”）。 该《规则》于2025年4月8日正式生效，对向指定的“受关注国家”，包括中国（含香港和澳门）、伊朗、朝鲜、古巴、委内瑞拉和俄罗斯，或“特定人员”（包括依据受关注国家法律设立的实体及其员工）传输“大量美国敏感个人数据”和“政府相关数据”（包括现任或近期美国政府雇员的数据以及敏感政府地理位置数据）设立了类似出口管制的限制和禁止措施。 《规则》设置了高额的民事处罚并允许刑事执法。然而，2025年4月11日，司法部宣布暂停民事执法至2025年7月8日，前提是相关方在此期间表现出“真诚努力”遵守或逐步实现合规。刑事执法未暂停。

一、《规则》的适用范围

《规则》界定了四类“受管辖的数据交易”，包括：

1. 任何涉及受关注国家或特定人员访问；

2. 任何大量美国敏感个人数据或政府相关数据；并属于以下任一交易类型：（i）数据经纪交易；（ii）供应商协议（包括涉及云服务的协议）；（iii）雇佣协议；或（iv）投资协议。

“敏感个人数据”分为七种特定类型，包括：

1. 特定的个人标识符（例如姓名和联系方式、财务账户号码、社保号码、IP地址、MAC地址、设备ID和广告ID）；

2. 精确地理位置数据（1000米范围内）；

3. 生物特征标识符；

4. 人类组学数据（基因组学、表观基因组学、蛋白质组学和转录组学数据）；

5. 个人健康数据（广义定义）；

6. 个人财务数据（广义定义）；以及

7. 上述任何类别数据的组合。

“大量”是指在过去12个月内的任何时间点，通过单次或多次涉及同一美国人士和同一外国人士的交易，达到或超过以下门槛值的数据量：

根据《规则》，“特定人员”包括：

(1) 由受关注国家直接或间接拥有50%或以上所有权的实体，以及根据受关注国家的法律设立注册，或其主要业务地在受关注国家的实体；

(2) 由（1）、（3）、（4）、（5）所述的一个或多个主体直接或间接、单独或共同拥有50%或以上所有权的实体；

(3) 作为受关注国家或上述（1）、（2）或（5）点所述实体的员工或合同工的外国个人；

(4) 主要居住在受关注国家领土范围内的外国个人；

(5) 美国司法部部长认定的其他主体（无论该主体位于何处），包括：

（i）由受关注国家拥有或控制，或已拥有或控制，或可能被拥有或控制，或受关注国家管辖或指导的主体；

（ii）代表受关注国家或特定人员行事，已经行事，或声称行事或可能行事的主体；

（iii）已经“故意”（知道或应当知道）导致或引起（包括决定或批准），可能导致或引起违反相关规定行为的主体。

根据上述定义，子公司作为独立法人实体，有可能落入“特定人员”的范畴，但公司内的各业务单元，即使位于受关注国家，也不构成“特定人员”。司法部长对是否构成“特定人员”拥有广泛的自由裁量权。

《规则》还提供了几个示例，用于澄清“特定人员”的范围。例如，受关注国家的公民如果主要居住在美国或第三国则可豁免，除非他们被司法部长单独指定为“特定人员”，或受雇于受关注国家或“特定人员”。

二、禁止性交易

《规则》明确禁止某些高风险的交易，例如涉及与受关注国家或特定人员的包含受关注数据的数据经纪交易，以及涉及访问大量人类组学数据或生物样本的交易。

“数据经纪”被定义为“数据的销售、许可访问或类似商业行为（不包括雇佣、投资或供应商协议），且接收方未直接从与数据关联的个人处直接收集或处理数据”。

《规则》特意对“数据经纪”定义的比较广泛，以确保“受关注国家无法继续利用数据经纪市场获取和利用大量美国敏感个人数据或政府相关数据”。司法部在2025年4月11日发布的《合规指南》 中专门强调了这一点，对“数据经纪”的定义具有广泛性，可能包含非常规情形。例如：

“美国公司运营的网站或移动应用程序中包含其明知且主动批准嵌入的广告追踪像素或软件开发工具包（SDK），并向特定人员或受关注国家传输，或向其提供权限访问美国政府相关数据或大量美国敏感个人数据，此类行为可能构成数据经纪并违反《规则》。”

除了与受关注国家或特定人员的数据经纪交易被禁止，还特别需要注意，向非受关注国家的数据经纪交易需通过合同限制二次传输并报告违规。

三、受限交易

供应商协议、雇佣协议以及投资协议相关的数据交易属于“受限交易”，需要满足以下条件才能开展：

1. 必须遵守网络安全和基础设施安全局（CISA）制定的严格安全要求 ，包括组织和系统级网络安全控制、数据级保护（如加密和数据最小化措施），以及年度独立审计与留存详细记录；

2. 必须遵守尽职调查、审计、记录保存和报告要求，并在不迟于2025年10月6日前制定和实施书面数据合规计划；

3. 所有受《规则》管辖的交易（不仅仅是被禁止或受限的交易），保留其完整和准确的记录至少10年。对于从事受限交易的美国人士，则有加强的记录保存要求（包括描述数据合规计划的书面政策、安全要求的实施、年度审计结果以及为验证受限交易中的数据流而进行的尽职调查）。

受限交易仅限于与供应商协议、雇佣协议和投资协议相关的数据交易，每种交易在《规则》中都有相关定义，并在其配套评论中进行了讨论。

“供应商协议”的定义为“除雇佣协议外，任何人向其他人提供商品或服务（包含云计算服务）以换取报酬或其他对价的任何协议或安排。”示例包括：

示例1：受关注国家的供应商处理和存储美国公司APP收集的大量精确地理位置数据。

示例2：受关注国家的供应商向美国医疗机构提供IT相关服务。

示例3：受关注国家的供应商为美国公司提供的数据中心托管服务。

示例4：美国移动游戏开发商从受关注国家的供应商处获取软件开发服务。

《规则》尽管不强制要求采取书面协议，但仍然建议采用书面协议，因为这样可以明确各方之间的数据交易属于“供应商协议”（因此是受限，而非被禁止的交易），并能够应对司法部的询问。

“雇佣协议”指的是“除独立承包商外，个人直接为某人工作或履行工作职能以换取报酬或其他对价的任何协议或安排，包括董事会或委员会的雇佣、高管级人员安排或服务，以及运营层面的雇佣服务。”《规则》中描述了一种受到限制的雇佣协议的场景，例如美国公司雇佣来自受关注国家的个人从事能够访问美国境内敏感数据的工作职能。

“投资协议”被定义为任何人通过支付或其他对价获得美国不动产或美国法人实体的直接或间接所有权利益或权利的安排，但排除不构成国家安全风险的被动投资，例如持有不到10%的投票权和股权利益且没有实质性决策权的投资。 《规则》中关于受到限制的投资协议的一个示例是，美国公司计划建造一个美国数据中心，存储美国人的大量个人健康数据，受关注国家的外国私募股权基金提供资本以换取该数据中心的多数股权。

四、受限交易和合规义务

参与受限交易（即与供应商协议、雇佣协议或投资协议相关的受关注数据的交易）的美国实体必须：

• 建立基于风险的书面合规计划；

• 对交易对手进行彻底的尽职调查，包括所有权和控制权检查；

• 保存详细记录，并完成年度独立审计；以及

• 及时向司法部报告被明确拒绝的禁止交易，并保存所有受限交易的全面记录。

在2025年4月11日司法部发布的监管文件包（包括新闻声明 、合规指南 、常见问题解答 以及实施和执法政策 ）中，司法部强调了严格遵守《规则》在程序性方面的重要性。特别是，司法部还保留随时要求提供信息或文件、要求作证以及就任何行为或任何交易（无论是在《规则》下被禁止还是受限）举行听证会的权力，这凸显了合规和留存详细书面记录的重要性。违反《规则》可能导致严重的民事处罚（每项违规行为的罚款数额最高可达368,136美元，或交易金额的两倍，以较高者为准），以及刑事处罚（最高20年监禁和最高100万美元的罚款）。

虽然司法部已将民事执法活动延迟至2025年7月8日，但前提是相关方在此期间表现出“真诚努力”来实现合规。“真诚努力”的具体措施示例包括：

• 对敏感个人数据的跨境访问情况进行摸排，审查相关交易是否构成数据经纪；

• 审查内部数据集和数据类型，以确定它们是否可能受司法部数据安全计划管辖；

• 重新和供应商谈判协议或与新的供应商谈判协议；

• 将产品和服务转移给新的供应商；

• 对潜在的新供应商进行尽职调查；

• 与作为数据经纪交易对手方的外国人谈判合同中的数据再转移条款；

• 调整员工的工作地点、角色或职责；

• 评估受关注国家或特定人员的投资活动；

• 与受关注国家或特定人员重新谈判投资协议；以及

• 实施安全要求，采取必要的数据安全措施，以防止特定人员在受限交易中访问受监管的数据类型。

五、豁免情形

《规则》就被限制或禁止的数据交易提供了几种豁免情形，包括美国政府官方业务、金融服务、企业集团交易以及某些临床调查和药物、生物制品及医疗器械的监管提交。出于本文章的目的，我们仅分析金融服务和企业集团交易的豁免情形。

1. 金融服务豁免

金融服务豁免涵盖“通常与提供金融服务有关的数据交易”，例如：

• 银行、资本市场或金融保险服务；

• 在购买和销售商品和服务（如在线购物或电子商务市场）过程中附带的受关注数据的转移；

• 提供或处理支付或资金转移（如支付争议解决、付款人认证、令牌化、支付网关、支付欺诈检测）的服务；以及

• 提供投资管理服务。

《规则》第§202.205（a）（4）的规定涉及电子商务，具体规定如下：

§202.505金融服务：

（a）豁免。本部分的C、D、J和K子部分（§202.1102和§202.1104除外）不适用于数据交易，只要它们通常是提供金融服务的一部分，包括：

（4）购买和销售商品和服务（如通过网上购物或电商平台购买、销售或转让消费品和服务）附带的个人财务数据或特定个人标识符的转移。

《规则》还为可能属于金融服务豁免范围的数据交易提供了12个示例。其中一个示例涉及电子商务：作为运营在线商品购买和销售市场的组成部分，美国公司通常在消费者购买商品的过程中，将大量联系信息、支付信息（例如信用卡账号、到期日期和安全代码）以及送货地址转移给位于受关注国家的商家。虽然这些数据转移涉及特定人员对大量个人财务数据的访问，但因为这是美国消费者购买商品过程中通常附带的部分，因此属于豁免交易。

基于以上规定，即使大量个人财务数据被转移到关注国家，金融服务豁免也为企业开展在线市场和其他电商业务提供了一些便利。然而《规则》和上述示例中提到的金融服务豁免的“电子商务”具体如何解释在《规则》或其序言中都没有具体说明。通过在线购物或电子商务市场购买、销售或转让消费品和服务时，是否个人财务数据和特定个人标识符的转移属于提供金融服务所通常附带的部分，取决于具体的业务场景。因此，企业有必要进行个案评估，因为如果错误地适用关于豁免交易的条款，可能会导致严厉的处罚，甚至更严重的后果。我们预计司法部将在未来的监管指南文件中将更详细地说明这一豁免情形下所包含的全部具体业务情形。

2. 企业集团交易豁免

企业集团交易豁免允许美国人员与其位于受关注国家的（或以其他方式由受关注国家拥有、指令、司法管辖或控制的）子公司或关联公司之间，通常与行政或辅助性业务运营有关的数据传输。包括：

• 人力资源；

• 工资、费用监控和报销以及其他公司财务活动；

• 缴纳企业税；

• 获取营业执照或许可；

• 与审计师或律师事务所共享数据以进行监管合规；

• 风险管理；

• 商务旅行；

• 客户服务；

• 员工福利；以及

• 员工的内部和外部通讯。

在《规则》的评论以及2025年4月11日司法部发布的常见问题解答 中，司法部进一步澄清，虽然行政和辅助业务的情形是“例示性的而非穷尽的”，但豁免活动不包括“核心业务活动，如产品研发”。

与其他《规则》中的规定类似，这两项关于豁免交易的条款较为复杂，企业如果错误地适用，可能会产生严重后果。因此，我们建议企业在评估这些豁免条款和《规则》的其他相关内容时，应咨询律师。

最后，美国人士还可以针对被禁止的交易申请个案的特别许可，由监管部门逐案进行处理。

六、对中国企业的影响和合规建议

为遵守《规则》，与美国有业务往来的中国企业，特别是那些在美国当地设有实体的企业，必须仔细审查其运营框架，包括商业模式和人员部署。

如果可能对大量美国敏感个人数据或政府相关数据存在跨境访问，则应：（i）评估在《规则》的现有监管框架下是否存在合规风险，以及（ii）实施风险缓解控制措施，以及必要的包括尽职调查、审计、记录留存和报告在内的内部政策和程序，以确保遵守这些新的监管要求。

根据《规则》和司法部关于数据安全计划的指导文件，我们建议中国企业采取以下合规措施：

(1) 及时对相关交易以及所涉的数据跨境传输情况进行摸排，确认美国境内数据向中国跨境转移的业务场景、数据流、涉及的数据类型、规模等；

(2) 根据数据跨境传输摸排结果，评估相关交易是否可能落入受限交易或禁止性交易，以及是否存在豁免的情形；

(3) 若发现可能落入监管限制，则需考虑是否调整业务模式或结构、是否终止向中国境内传输数据等；

(4) 评估与供应商或其他合作伙伴的相关协议，必要时进行修改和重签；

(5) 对在美国任职的员工进行必要调整，根据数据可访问的要求确定其职责和访问权限；

(6) 建立符合司法部合规指南要求的全面数据合规管理计划体系，包括涉及交易评估和数据摸排管理、供应商尽职调查评估和验证的流程和政策、书面的组织内数据合规管理政策和合规安全管理措施政策、员工培训机制、记录留存、报告和定期审计机制；以及

(7) 确保受关注的数据交易中的美国合作伙伴仔细遵守《规则》的所有要求（包括在适用的情况下，遵守CISA安全要求）。

对于和美国公司开展商务合作的中国公司，我们建议采取以下额外的合规措施：

(1) 对于和美国公司的合作模式以及所涉及的数据跨境情况进行摸排，评估是否，以及多大程度上受《规则》的管辖；

(2) 评估《规则》对中国公司涉美业务的影响程度，并就采取应急策略咨询律师，如对美国境内数据的外部访问设置限制，探索替代商业模式。

此外，中国企业还需要持续关注美国司法部的监管动态（可以通过本文合著作者君合律师事务所或ArentFox Schiff律师事务所就监管动态发布的各类研究文章进行了解），跟进受关注特定人员名单的发布和更新情况，以及时采取应对措施。

关键要点

《规则》显著扩大了美国对敏感个人数据的国家安全管控，将影响众多美国企业，特别是电子商务、技术、医疗保健、金融服务和云计算领域。虽然初始合规成本（如评估和采取后续补救措施）是一次性的合规费用支出，但企业仍将面临许多持续的义务，包括持续尽职调查、合规计划更新、监控、定期审计以及详细的记录留存和报告。

对于电子商务和在线广告等行业，由于需要依赖大量个人数据来增强客户参与度和优化营销策略，因此将受到《规则》的显著影响。《规则》下数据经纪的广泛定义对这些行业管理数据交易具有重大影响。电子商务企业可能需要重新评估和优化其数据管理实践，特别是与可能访问敏感数据的第三方供应商和其他服务提供商有关的实践。

《规则》的条款内容十分详细且复杂，合规耗时时间长且需要调动的资源众多。因此，现在是时候咨询专业律师、清点数据交易、评估合规义务并实施司法部所明确列举的构成“真诚努力”的合规措施了。

如果您对《规则》如何影响您的业务有疑问，请联系陆斯珮(lusp@junhe.com)，陆斯珮是君合律师事务所贸易和数据合规组合伙人，或联系Reed Freeman Jr(reed.freeman@afslaw.com) ，Reed Freeman Jr是美国ArentFox Schiff律师事务所隐私、数据保护和数据安全组的成员。