适用场景
计划或正在美国投资、建设或运营数据中心(IDC)的中国云服务商、科技公司及基础设施投资者,尤其是在并购、绿地投资及日常运营阶段。
核心要点
1. 美国外资安全审查(CFIUS)的全面覆盖
CFIUS审查不仅针对控制性并购,也涵盖涉及关键技术、关键基础设施或敏感个人数据(TID)企业的非控制性投资。对于数据中心这类关键基础设施,即使是通过绿地投资设立的美国子公司,其后续的股权变动也可能触发审查。审查的核心是判断投资是否导致外国投资者获得“控制权”或对敏感业务产生实质性影响。
2. 供应链安全审查(ICTS)带来的额外风险
美国商务部的ICTS规则专门审查涉及“外国对手”(包括中国)的信息通信技术与服务交易。数据中心作为数据托管和计算服务的关键设施,若涉及处理超百万美国人的敏感个人数据,极有可能落入审查范围。审查可由官方主动发起,程序严格,可能导致交易被禁止或附加苛刻条件。
3. 复杂的数据与出口管制合规要求
美国虽倡导数据跨境自由流动,反对数据本地化,但对特定行业(如金融、儿童隐私)和敏感个人数据有严格的传输与使用限制。同时,数据中心若处理受《出口管制条例》(EAR)等法规管制的技术数据,向美国境内外国人披露也可能构成“视同出口”,需获得许可,否则将面临违规风险。
实务建议
- 在投资架构设计初期,即聘请熟悉CFIUS和ICTS审查的美国专业律师进行全面的交易风险评估与路径规划。
- 对目标数据中心业务进行彻底尽职调查,明确其是否属于TID行业、是否处理敏感个人数据或受控技术数据。
- 在交易文件中设置针对未能通过CFIUS或ICTS审查的免责条款、费用分担及交易终止机制。
- 建立内部数据分类与合规流程,严格区分并管理受美国出口管制法规约束的技术数据,避免“视同出口”违规。
- 若涉及收集儿童信息或金融数据,确保运营流程符合美国《儿童在线隐私保护法》(COPPA)、《格雷姆-里奇-比利雷法》(GLBA)等特定法规要求。
风险提示
- 误区:认为绿地投资绝对安全。实际上,其设立的美国子公司未来股权变动仍受CFIUS管辖。
- 误区:仅关注联邦层面。需同时关注美国州级层面可能存在的额外数据隐私与安全法规(如加州消费者隐私法CCPA)。
- 注意事项:ICTS审查中的“外国对手”定义可能动态调整,且审查可由第三方申请启动,增加了不确定性。
- 注意事项:对“控制权”和“敏感个人数据”的定义非常宽泛,需从实质影响和具体数据类型上谨慎判断。