适用场景
计划或正在美国开展业务、投资,或业务中涉及处理美国公民敏感个人数据(如地理位置、生物识别、健康、财务、基因组数据)及美国政府相关数据的中国出海企业。
核心要点
1. 监管性质与范围
美国近期行政命令的核心是国家安全审查,而非单纯的数据跨境传输限制。其旨在阻止包括中国在内的‘关注国家’及其关联实体访问美国公民的大量敏感个人数据和政府相关数据。监管对象不仅限于位于关注国家的实体,也涵盖受其管辖、指导或与其有特定联系的海外实体与个人。
2. 受监管的数据类型
监管聚焦于六类敏感个人数据:精确地理位置、生物识别信息、人类基因组数据、个人健康数据、个人财务数据、特定种类的个人识别信息组合。此外,涉及美国政府人员或地点的敏感个人数据也在监管之列。已合法公开的公共记录数据通常被排除在外。
3. 受影响的业务活动
主要影响三类企业:1)业务中处理美国敏感数据的企业(如汽车测绘、医药、生物识别、金融等领域);2)向美国出海,在美国设有实体或雇员的公司;3)投资美国企业并能因此访问其敏感数据的中国投资方。数据交易需达到一定规模阈值才会触发监管,但涉及政府相关数据的交易无此豁免。
4. 潜在风险与罚则
违反规定将面临美国司法部的调查,并可能依据《国际紧急经济权力法》承担民事乃至刑事责任。具体处罚将视违规情节而定。此外,通过非关注国家第三方进行的‘数据再传输’行为也可能受到约束。
实务建议
- 立即开展数据盘点:审查现有业务中是否收集、访问或处理上述六类美国敏感个人数据或政府相关数据,评估其必要性。
- 优先考虑数据替代或本地化处理:在业务可行的前提下,尝试用非敏感数据替代敏感数据;或考虑将数据处理活动安排在美国境内或其他非关注国家进行。
- 优化出海架构与部署:在规划美国业务时,提前设计服务器部署地点和人员安排,尽可能避免从关注国家境内远程访问或处理美国敏感数据。
- 审慎开展投资尽职调查:投资美国企业前,务必核查目标公司是否处理敏感数据,并考虑通过数据剥离等方式在交易前消除相关风险。
- 建立专项合规制度:针对涉及美国敏感数据的处理活动,建立并完善内部数据访问控制、安全保护和合规审计制度。
风险提示
- 误区:认为只有位于中国的实体才会受影响。实际上,具有中国背景或联系的海外实体和个人(如子公司、承包商、主要居住在中国的非美国人)都可能被认定为‘关注人员’。
- 误区:忽视‘数据再传输’风险。即使数据最初传输给非关注国家的第三方,若该第三方可能将数据再传输至关注国家,相关交易也可能受到监管。
- 注意事项:监管规则仍在细化中,企业需持续关注美国司法部后续发布的拟议规则和最终细则,动态调整合规策略。
- 注意事项:处理美国政府相关数据(即使数量很少)不受交易规模阈值保护,需格外谨慎。