美国司法部《批量数据传输规则》合规指南:关键条款与应对策略
概述
2025年7月8日,美国司法部(DOJ)将结束其自我设定的执法暂停期,开始全面执行《防止关注国家或覆盖人员获取美国敏感个人数据和政府相关数据的规则》(简称《批量数据规则》或《DOJ规则》),即28 CFR Part 202。该规则于2025年4月8日生效,旨在实施拜登时期的第14117号行政命令,防止美国个人数据被关注国家获取以损害美国人利益并破坏美国国家安全。
规则目标与适用范围
《批量数据规则》的核心目标是禁止或限制向特定“关注国家”(目前包括中国(含香港)、俄罗斯、伊朗、古巴、朝鲜和委内瑞拉)及其控制的个人和实体批量传输美国人的敏感个人数据。规则适用于与这些“关注国家”管辖或控制的公司或个人进行的任何形式的交易,包括供应商关系、雇佣或承包商关系、客户协议或关联公司/公司间活动。
关键定义
关注国家
当前指定的关注国家包括:中国(含香港和澳门)、俄罗斯、伊朗、古巴、朝鲜和委内瑞拉。对大多数公司而言,中国、香港和俄罗斯最具相关性。
覆盖人员
- 个人覆盖人员: (a) 中国、香港、俄罗斯或其他关注国家的居民,或 (b) 下述公司覆盖人员的雇员(无论居住地);
- 公司覆盖人员: (a) 在关注国家注册、总部设立或位于该地的外国实体,或 (b) 由上述实体拥有50%或以上所有权的外国实体。
DOJ还可特别指定其他个人或公司为覆盖人员,但目前尚未进行此类指定。
覆盖数据
覆盖数据分为两类:
- 美国个人敏感个人数据:包括个人标识符、个人健康数据、个人财务数据、人类组学数据、人类生物样本、生物识别标识符和精确地理位置数据;
- 美国政府相关数据: (a) 特定区域(如军事设施和情报设施)的精确地理位置数据,或 (b) 可链接到当前或前任美国政府雇员或官员的任何敏感个人数据。
每类敏感数据均有其“批量”阈值:
- 个人标识符(如姓名、电子邮件、IP地址):100,000条美国个人记录;
- 个人健康信息和财务信息:10,000条记录;
- 生物识别数据和某些组学数据(非遗传数据):1,000条记录;
- 美国个人遗传数据:100条记录起;
- 美国个人生物样本和某些美国政府相关数据:单条记录即可触发规则。
覆盖数据交易
“覆盖数据交易”指美国公司与“覆盖人员”之间涉及“批量”数据的任何交易,分为两类:
- 禁止交易:包括与覆盖人员进行的“数据经纪”交易(如数据销售、数据访问许可),以及使覆盖人员可访问批量人类组学数据或美国个人生物样本的交易;
- 限制交易:涉及与关注国家或覆盖人员的供应商协议、雇佣协议或投资协议的交易。
限制交易需满足以下条件方可进行:
- 实施网络安全和基础设施安全局(CISA)发布的网络安全控制措施;
- 为每笔“限制”交易建立新的记录保存程序;
- 制定书面“数据合规计划”;
- 每年审计数据合规计划并由高管认证合规。
豁免条款
规则基于交易类型(而非行业或实体类型)提供了十项豁免,包括:
- 金融服务业通常附带的交易;
- 电信服务(包括IP、语音、有线、无线等);
- 涉及FDA监管批准的药物、生物制品和医疗器械授权;
- 个人通信、信息材料、旅行、美国政府公务或联邦法律合规相关交易。
违规处罚
违反《批量数据规则》可能导致民事和刑事处罚,最高民事罚款为368,136美元或交易金额的两倍(取较高值),故意违规者可能面临最高100万美元罚款或20年监禁(或两者并罚)。
执法暂停与合规行动
DOJ提供了90天的执法暂停期(至2025年7月8日),允许组织善意努力合规。此外,需在2025年10月6日前为限制交易建立“数据安全程序”。合规行动包括:
- 进行内部评估以识别潜在覆盖数据交易;
- 识别覆盖供应商和雇员/承包商,评估其工作是否导致覆盖数据交易;
- 修改供应商和客户合同以包含模型条款;
- 开发员工培训计划;
- 实施CISA网络安全控制措施。
结论
《批量数据规则》对与关注国家有数据交易的企业提出了严峻的合规挑战。组织应尽快评估自身数据流和交易,制定并实施有效的合规计划,以避免潜在的法律风险。