适用场景
计划或正在美国市场运营,并涉及处理美国用户敏感个人数据(如基因组、健康、金融、地理位置、生物识别等数据)的中国出海企业,特别是在数据跨境、员工雇佣、供应商合作、投融资等环节存在业务安排的企业。
核心要点
1. 新规核心:禁止或限制特定数据交易
美国《最终规则》核心是禁止或限制‘美国主体’与‘受关注国家’(包括中国)及其‘受管辖主体’之间,涉及‘大规模敏感个人数据’或‘美国政府相关数据’的特定交易。这不仅是直接的数据买卖,还包括可能带来数据访问风险的雇佣、供应商、投资等协议。
2. 明确受管辖的数据类型与数量门槛
受管辖的‘敏感个人数据’包括个人标识符、精确地理位置、生物标识符、人类组学数据、个人健康数据、个人金融数据等六类。‘大规模’有明确数量门槛,例如,涉及超过1万名美国个人的个人健康数据,或超过1000部美国设备的精确地理位置数据,即可能触发监管。
3. 识别高风险业务场景
企业需重点审视以下场景:1)雇佣中国公民(包括母公司派遣)在美国公司处理敏感数据;2)与中国云服务商合作存储或处理美国用户敏感数据;3)接受来自中国实体的投资,且目标公司持有美国敏感数据;4)作为数据经纪商向中国实体出售或提供数据访问权限。
4. 合规路径:豁免、许可与安全要求
并非所有交易都被禁止。企业可寻求‘豁免交易’(如集团内部日常运营、金融服务附带活动等),或申请‘通用许可’与‘特定许可’。对于‘受限交易’,则必须满足美国国土安全部制定的‘安全要求’,并履行尽职调查、独立审计及报告义务。
实务建议
- 立即开展数据资产盘点:识别业务中是否涉及美国‘敏感个人数据’,并对照新规门槛评估数据量是否达到‘大规模’标准。
- 全面审查第三方合作:重新评估与所有供应商(尤其是云服务、IT运维)、投资方及雇佣人员的协议,判断其是否构成‘受管辖主体’及交易性质。
- 建立内部合规流程:针对可能构成‘受限交易’的业务,制定并实施满足‘安全要求’的数据保护措施、尽职调查程序和审计计划。
- 善用合规路径:深入研究‘豁免交易’条款,评估自身业务是否符合;同时关注美国司法部后续发布的‘通用许可’细则,以便合规开展业务。
- 完善记录与报告机制:按照新规要求,建立并保存完整的交易记录、尽职调查文件和审计报告,确保在需要时能及时履行报告义务。
风险提示
- 误区:认为只有直接传输数据才受监管。正解:雇佣中国员工、使用中国云服务等可能带来数据‘访问’风险的安排,同样可能构成‘受监管数据交易’。
- 误区:认为数据经过匿名化或加密即可高枕无忧。正解:新规明确‘大规模’的定义涵盖经匿名化、假名化、去标识化或加密处理的数据。
- 注意事项:‘受管辖主体’定义宽泛,不仅包括中国实体,也可能涵盖由中国公民主要控制或为其行事的任何主体,需谨慎进行穿透识别。
- 注意事项:新规部分条款(如部分报告和审计义务)有更晚的生效日期,但企业应提前准备,避免合规真空期风险。