走出去智庫(kù)（CGGT）觀察

10月6日，美國(guó)司法部（DOJ）發(fā)布的《關(guān)于防止受關(guān)注國(guó)家及相關(guān)主體訪問(wèn)美國(guó)敏感個(gè)人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)的規(guī)定》的最終規(guī)則（簡(jiǎn)稱“《14117最終規(guī)則》”）將全面實(shí)施，禁止或限制“美國(guó)人”與受關(guān)注國(guó)家及其“相關(guān)主體”進(jìn)行某些數(shù)據(jù)交易。

走出去智庫(kù)（CGGT)特約法律專家、金杜律師事務(wù)所合伙人趙新華認(rèn)為，《14117最終規(guī)則》自2025年4月8日生效以來(lái)，觸發(fā)該新規(guī)的企業(yè)均受到較大程度的影響。企業(yè)應(yīng)至少每年一次全面審查企業(yè)數(shù)據(jù)流向、供應(yīng)鏈結(jié)構(gòu)、交易主體信息等，識(shí)別涉及或可能涉及大量美國(guó)敏感個(gè)人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的數(shù)據(jù)經(jīng)紀(jì)交易、雇傭協(xié)議、供應(yīng)協(xié)議或投資協(xié)議。

美國(guó)數(shù)據(jù)新規(guī)有哪些影響？如何應(yīng)對(duì)？今天，走出去智庫(kù) (CGGT) 刊發(fā)金杜律師事務(wù)所趙新華、單文鈺、司馬丹旎的文章，供關(guān)注美國(guó)數(shù)據(jù)政策的讀者參閱。

要點(diǎn)

1、為制定穩(wěn)健的數(shù)據(jù)合規(guī)計(jì)劃，美國(guó)人可定期（理想情況下至少每年一次）或在特定情況發(fā)生（如投資并購(gòu)、內(nèi)部審計(jì)或業(yè)務(wù)過(guò)程中發(fā)現(xiàn)合規(guī)風(fēng)險(xiǎn)）時(shí)開(kāi)展風(fēng)險(xiǎn)評(píng)估，依據(jù)其業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)偏好評(píng)估可能面臨的潛在問(wèn)題。

2、較為有效的內(nèi)控措施是任命和授權(quán)合規(guī)人員，并建立正式的逐級(jí)上報(bào)程序以審查高風(fēng)險(xiǎn)交易，包括評(píng)估交易是否需要向美國(guó)司法部國(guó)家安全司（NSD）尋求特別許可、咨詢意見(jiàn)或進(jìn)行主動(dòng)自我披露。

3、數(shù)據(jù)合規(guī)計(jì)劃的書(shū)面政策須由負(fù)責(zé)合規(guī)的企業(yè)管理人員或員工每年確認(rèn)，并確保其內(nèi)容切實(shí)反映業(yè)務(wù)實(shí)際，能被員工理解和執(zhí)行。

正文

前言

美國(guó)“數(shù)據(jù)脫鉤”新規(guī)即美國(guó)《關(guān)于防止受關(guān)注國(guó)家獲取美國(guó)人大量敏感個(gè)人數(shù)據(jù)和美國(guó)政府相關(guān)數(shù)據(jù)的行政命令》（Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）之最終規(guī)則《防止受關(guān)注國(guó)家或受規(guī)制主體獲取美國(guó)敏感個(gè)人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)》（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）（“《14117最終規(guī)則》”）自2025年4月8日生效以來(lái)，觸發(fā)該新規(guī)的企業(yè)均受到較大程度的影響。

2025年10月6日，《14117最終規(guī)則》將進(jìn)入全面實(shí)施階段。

以下是《14117最終規(guī)則》發(fā)布以來(lái)的幾個(gè)關(guān)鍵時(shí)間節(jié)點(diǎn)：

• 2025年4月8日，《14117最終規(guī)則》正式生效，絕大部分禁止與限制性規(guī)定開(kāi)始實(shí)施，但美國(guó)司法部設(shè)定了為期三個(gè)月的執(zhí)法寬限期。

  在該寬限期內(nèi)，只要美國(guó)人（包括個(gè)人和實(shí)體，定義詳見(jiàn)《14117最終規(guī)則》，下同）“秉持善意努力遵守”《14117最終規(guī)則》，美國(guó)司法部國(guó)家安全司（National Security Division，“NSD”）將不會(huì)優(yōu)先對(duì)違反《14117最終規(guī)則》的行為采取民事執(zhí)法行動(dòng)。

• 2025年7月8日，執(zhí)法寬限期結(jié)束，NSD可能對(duì)所有違反《14117最終規(guī)則》的行為采取執(zhí)法行動(dòng)。

• 2025年10月6日，《14117最終規(guī)則》全面實(shí)施，包括數(shù)據(jù)合規(guī)計(jì)劃、年度審計(jì)及特定報(bào)告等要求。

本文將重點(diǎn)介紹《14117最終規(guī)則》即將于2025年10月6日實(shí)施的合規(guī)要求。對(duì)于《14117最終規(guī)則》基本框架和概念的介紹，以及對(duì)其配套文件的解析，可分別參見(jiàn)《》和《》。

01 、2025年10月6日即將生效的合規(guī)義務(wù)

1. 盡職調(diào)查

自2025年10月6日起，開(kāi)展被限制的交易的美國(guó)人應(yīng)制定并實(shí)施數(shù)據(jù)合規(guī)計(jì)劃（Data Compliance Program），以對(duì)被限制的交易開(kāi)展盡職調(diào)查。[1]

數(shù)據(jù)合規(guī)計(jì)劃應(yīng)至少包括以下內(nèi)容：[2]

用于核實(shí)被限制的交易中涉及的數(shù)據(jù)流的風(fēng)險(xiǎn)驗(yàn)證程序，包括驗(yàn)證并以可審計(jì)的方式記錄：（a）任何被限制的交易中涉及的大量美國(guó)敏感個(gè)人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的類(lèi)型和數(shù)量；（b）交易各方的身份，包括實(shí)體的權(quán)屬信息或個(gè)人的國(guó)籍或主要居住地；（c）數(shù)據(jù)的最終用途和數(shù)據(jù)的傳輸方式。

企業(yè)的風(fēng)險(xiǎn)狀況可能取決于多種因素，包括企業(yè)規(guī)模與復(fù)雜程度、產(chǎn)品與服務(wù)類(lèi)型、客戶與交易對(duì)手方類(lèi)型以及地理分布等。為制定穩(wěn)健的數(shù)據(jù)合規(guī)計(jì)劃，美國(guó)人可定期（理想情況下至少每年一次）或在特定情況發(fā)生（如投資并購(gòu)、內(nèi)部審計(jì)或業(yè)務(wù)過(guò)程中發(fā)現(xiàn)合規(guī)風(fēng)險(xiǎn)）時(shí)開(kāi)展風(fēng)險(xiǎn)評(píng)估，依據(jù)其業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)偏好評(píng)估可能面臨的潛在問(wèn)題。此類(lèi)風(fēng)險(xiǎn)評(píng)估可用于檢查企業(yè)當(dāng)前的數(shù)據(jù)持有情況，以及與供應(yīng)商、員工或投資協(xié)議相關(guān)的合規(guī)情況。風(fēng)險(xiǎn)評(píng)估的審查內(nèi)容包括：（a）現(xiàn)有的安全措施；（b）供應(yīng)商、投資者和員工的情況；（c）提供的產(chǎn)品和服務(wù)；（d）適用的一般許可或特定許可或豁免；以及（e）企業(yè)及其關(guān)聯(lián)方、供應(yīng)商、交易對(duì)手方的地理位置等，以識(shí)別可能受限于《14117最終規(guī)則》的活動(dòng)及相關(guān)風(fēng)險(xiǎn)。企業(yè)可根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，完善其內(nèi)部政策、程序、培訓(xùn)和內(nèi)控措施。[3]

用于核實(shí)供應(yīng)商身份的風(fēng)險(xiǎn)驗(yàn)證程序，特別是核查供應(yīng)商是否屬于受規(guī)制主體。

根據(jù)《14117最終規(guī)則》，受規(guī)制主體指滿足以下任一情形的主體：

1）由一個(gè)或多個(gè)受關(guān)注國(guó)家或2）所述主體直接或間接、單獨(dú)或合計(jì)擁有50%或以上股權(quán)的實(shí)體，以及在受關(guān)注國(guó)家注冊(cè)或其主要經(jīng)營(yíng)地在受關(guān)注國(guó)家的實(shí)體；

2）由1）、3）、4）、5）中所述一個(gè)或多個(gè)主體直接或間接、單獨(dú)或合計(jì)擁有50%或以上股權(quán)的實(shí)體；

3）受關(guān)注國(guó)家或1）、2）、5）中所述主體的雇員或承包商；

4）主要居住在受關(guān)注國(guó)家領(lǐng)土管轄范圍內(nèi)的外國(guó)人（即非美國(guó)人，包括自然人和實(shí)體）；或

5）無(wú)論其位于何處，由美國(guó)司法部部長(zhǎng)在受規(guī)制主體名單中認(rèn)定的：（i）將要、已經(jīng)、或未來(lái)可能被受關(guān)注國(guó)家或受規(guī)制主體擁有或控制，或受其管轄或指導(dǎo)的主體；或（ii）代表、意圖代表、或可能代表受關(guān)注國(guó)家或相關(guān)人員行事的主體；或（iii）故意導(dǎo)致或指示違反，或可能故意導(dǎo)致或指示違反《14117最終規(guī)則》的主體。[4]

由于上述情形1）至4）中相關(guān)主體的股權(quán)或相關(guān)個(gè)人的雇傭或主要居住地情況可能會(huì)發(fā)生變化，上述情形5）中受規(guī)制主體名單（Covered Persons List）可能不時(shí)調(diào)整，有效的數(shù)據(jù)合規(guī)計(jì)劃應(yīng)能夠適應(yīng)這些變化，并根據(jù)企業(yè)的風(fēng)險(xiǎn)偏好，定期對(duì)供應(yīng)商進(jìn)行篩查并設(shè)置相應(yīng)的控制措施。[5]

篩查方式包括通過(guò)篩查軟件審查現(xiàn)有或潛在供應(yīng)商的地理信息，以判斷該供應(yīng)商是否位于受關(guān)注國(guó)家、依據(jù)該國(guó)法律設(shè)立或注冊(cè)，或其主要營(yíng)業(yè)地點(diǎn)是否在受關(guān)注國(guó)家。使用篩查軟件的企業(yè)應(yīng)確保該軟件能夠：（a）納入受規(guī)制主體名單的最新更新；（b）識(shí)別所有標(biāo)識(shí)信息，包括已識(shí)別的或指定的受規(guī)制主體的別名及不同拼寫(xiě)；（c）考量組織層級(jí)結(jié)構(gòu)；（d）考量供應(yīng)商的地理信息（包括總部、子公司及分支機(jī)構(gòu)的所在地）；以及（e）對(duì)現(xiàn)有、新增以及潛在供應(yīng)商進(jìn)行全面篩查。[6]

需要注意的是，美國(guó)人與外國(guó)人簽訂供應(yīng)商協(xié)議時(shí)，通常無(wú)需在其數(shù)據(jù)合規(guī)計(jì)劃中對(duì)外國(guó)人的雇傭情況進(jìn)行盡職調(diào)查，以確認(rèn)該外國(guó)人的雇員是否屬于受規(guī)制主體。除非存在規(guī)避或在明知情況下指示的情形，美國(guó)人基于供應(yīng)協(xié)議將受規(guī)制數(shù)據(jù)提供至外國(guó)人通常不構(gòu)成違反《14117最終規(guī)則》，即使該外國(guó)人雇傭受規(guī)制主體并授予其數(shù)據(jù)訪問(wèn)權(quán)限。[7]

描述數(shù)據(jù)合規(guī)計(jì)劃的書(shū)面政策，需由負(fù)責(zé)合規(guī)的企業(yè)管理人員或其他員工每年確認(rèn)。

描述數(shù)據(jù)合規(guī)計(jì)劃的書(shū)面政策應(yīng)充分反映組織的日常運(yùn)作，便于遵循，易于核實(shí)合規(guī)情況，并旨在防止員工不當(dāng)行為。

理想情況下，企業(yè)應(yīng)向所有相關(guān)員工清晰傳達(dá)并確認(rèn)其對(duì)數(shù)據(jù)合規(guī)計(jì)劃政策和流程的理解，視情況需包括企業(yè)合規(guī)職能部門(mén)的人員、網(wǎng)關(guān)人員和業(yè)務(wù)部門(mén)（例如銷(xiāo)售或供應(yīng)商采購(gòu)團(tuán)隊(duì)和網(wǎng)絡(luò)安全人員）以及代表企業(yè)履行相關(guān)職責(zé)的第三方。

企業(yè)應(yīng)考慮在其書(shū)面的數(shù)據(jù)合規(guī)計(jì)劃中，納入基于風(fēng)險(xiǎn)評(píng)估結(jié)果而制定的內(nèi)控措施，使組織能夠識(shí)別并上報(bào)任何可能違反《14117最終規(guī)則》的受規(guī)制數(shù)據(jù)交易。較為有效的內(nèi)控措施是任命和授權(quán)合規(guī)人員，并建立正式的逐級(jí)上報(bào)程序以審查高風(fēng)險(xiǎn)交易，包括評(píng)估交易是否需要向NSD尋求特別許可、咨詢意見(jiàn)或進(jìn)行主動(dòng)自我披露。

對(duì)數(shù)據(jù)合規(guī)計(jì)劃書(shū)面政策和程序的年度審查與認(rèn)證，必須評(píng)估其充分性及實(shí)施效果。[8]

描述實(shí)施CISA規(guī)定的安全要求的書(shū)面政策，需由負(fù)責(zé)合規(guī)的企業(yè)管理人員或其他員工每年確認(rèn)。

（5）

其他美國(guó)司法部部長(zhǎng)要求的信息。任何該等要求將在生效前公布在《聯(lián)邦公報(bào)》上。[9]截至目前，美國(guó)司法部部長(zhǎng)尚未就此提出進(jìn)一步要求。

2. 年度審計(jì)

自2025年10月6日起，每一公歷年度中，只要美國(guó)人參與過(guò)被限制的交易，必須在該年度進(jìn)行一次審計(jì)，審計(jì)的時(shí)間范圍應(yīng)覆蓋審計(jì)前的12個(gè)月。[10]

（1）審計(jì)范圍必須包括：[11]

?審查該美國(guó)人的被限制的交易；

?審查數(shù)據(jù)合規(guī)計(jì)劃及其實(shí)施情況；

?審查按照《14117最終規(guī)則》第202.1101條保存的相關(guān)記錄；

?審查該美國(guó)人實(shí)施的CISA安全要求；

?采用可靠的方法開(kāi)展審計(jì)。

（2）審計(jì)人員必須符合以下條件：[12]

?具備審查、驗(yàn)證并證明該美國(guó)人符合并有效實(shí)施CISA安全要求以及針對(duì)被限制的交易所有其他適用要求的專業(yè)能力與資格；

?保持獨(dú)立性；

?不屬于受關(guān)注國(guó)家或受規(guī)制主體。

（3）審計(jì)標(biāo)準(zhǔn)

《14117最終規(guī)則》不要求遵循特定的審計(jì)標(biāo)準(zhǔn)。美國(guó)政府審計(jì)署（GAO）在《政府審計(jì)準(zhǔn)則》[13]中提供了財(cái)務(wù)報(bào)表審計(jì)指南，但審計(jì)人員也可選擇遵循其他標(biāo)準(zhǔn)，例如，上市公司會(huì)計(jì)監(jiān)督委員會(huì)（PCAOB）制定的標(biāo)準(zhǔn)或國(guó)際審計(jì)與鑒證準(zhǔn)則理事會(huì)（IAASB）制定的標(biāo)準(zhǔn)。審計(jì)人員應(yīng)采用可靠的方法，根據(jù)被審計(jì)美國(guó)人的規(guī)模與復(fù)雜度，實(shí)施適當(dāng)?shù)膶徲?jì)程序，以反映對(duì)企業(yè)實(shí)踐的全面和客觀的評(píng)估。[14]

（4）審計(jì)報(bào)告的內(nèi)容應(yīng)包括：[15]

?描述該美國(guó)人所進(jìn)行的任何被限制的交易的性質(zhì)，即屬于何種類(lèi)型的交易（供應(yīng)協(xié)議、雇傭協(xié)議或投資協(xié)議）；

?描述所采用的審計(jì)方法，包括所審查的相關(guān)政策和文件、訪談的相關(guān)人員，以及檢查的設(shè)施、設(shè)備、網(wǎng)絡(luò)或系統(tǒng)；

?描述該美國(guó)人的數(shù)據(jù)合規(guī)計(jì)劃及其實(shí)施的有效性；

?說(shuō)明在CISA安全要求的實(shí)施過(guò)程中已影響或可能影響受關(guān)注國(guó)家或受規(guī)制主體獲取受規(guī)制數(shù)據(jù)風(fēng)險(xiǎn)的任何漏洞或缺陷；

?說(shuō)明CISA安全要求未能有效降低受關(guān)注國(guó)家或受規(guī)制主體獲取受規(guī)制數(shù)據(jù)風(fēng)險(xiǎn)的情形；

?建議為確保符合CISA安全要求所需的政策、實(shí)踐或其他業(yè)務(wù)方面的改進(jìn)或調(diào)整。

（5）審計(jì)報(bào)告提交時(shí)間

審計(jì)人員必須在完成審計(jì)后的60天內(nèi)，向該美國(guó)人提交書(shū)面報(bào)告[16]，最好是向該美國(guó)人負(fù)責(zé)總體網(wǎng)絡(luò)安全或《14117最終規(guī)則》合規(guī)的合規(guī)人員提交書(shū)面報(bào)告。[17]

（6）審計(jì)報(bào)告保留時(shí)間

從事被限制的交易的美國(guó)人須將審計(jì)報(bào)告至少保留10年。[18]NSD可要求美國(guó)人在必要時(shí)提供審計(jì)報(bào)告。[19]

（7）收到審計(jì)報(bào)告后的應(yīng)對(duì)措施

在收到否定或“無(wú)法發(fā)表意見(jiàn)”的審計(jì)結(jié)果時(shí)，企業(yè)最好立即采取有效行動(dòng)，確定并實(shí)施補(bǔ)救措施，以解決相關(guān)問(wèn)題，并且最好還應(yīng)記錄補(bǔ)救審計(jì)發(fā)現(xiàn)的任何缺陷的努力。

3. 涉及云計(jì)算服務(wù)的被限制的交易的年度報(bào)告

除非聯(lián)邦法律另有禁止，自2025年10月6日起，凡美國(guó)人從事涉及云計(jì)算服務(wù)的被限制的交易，且其25%或以上的股權(quán)（無(wú)論直接或間接，通過(guò)任何合同、安排、諒解、關(guān)系或其他方式）由受關(guān)注國(guó)家或受規(guī)制主體持有的，必須提交一份年度報(bào)告。[20]針對(duì)上一年度截至12月31日開(kāi)展的該等被限制的交易，年度報(bào)告必須在次年3月1日之前向美國(guó)司法部提交。[21]

美國(guó)人可委托律師、代理人或其他人員代為提交年度報(bào)告，但報(bào)告的主要責(zé)任仍由實(shí)際從事該數(shù)據(jù)交易的美國(guó)人承擔(dān)。若另一美國(guó)人已就同一數(shù)據(jù)交易提交報(bào)告，除非該美國(guó)人確知另一美國(guó)人已提交，否則不得以此為由免除其自身的報(bào)告義務(wù)。[22]

該等年度報(bào)告必須包括以下信息：[23]

（1）從事受規(guī)制數(shù)據(jù)交易的美國(guó)人的名稱和地址，及其聯(lián)系人的姓名、電話和電子郵箱；

（2）該受規(guī)制數(shù)據(jù)交易的描述，包括：

?交易日期；

?所涉及的政府相關(guān)數(shù)據(jù)或美國(guó)大量敏感個(gè)人數(shù)據(jù)的類(lèi)型和數(shù)量；

?數(shù)據(jù)傳輸方式；

?參與該數(shù)據(jù)交易的人員及其所在地，包括數(shù)據(jù)接收方的名稱和位置、相關(guān)實(shí)體的權(quán)屬信息或個(gè)人的國(guó)籍或主要居住地、交易中涉及的任何受規(guī)制主體的名稱和位置，以及涉及的任何受關(guān)注國(guó)家的名稱；

需要注意的是，一般僅需提供受規(guī)制數(shù)據(jù)交易的概要性描述，而無(wú)需提供底層數(shù)據(jù)。在少數(shù)情況下，NSD可能需要了解有關(guān)底層敏感個(gè)人數(shù)據(jù)的更多細(xì)節(jié)，但通?？梢栽诓恢苯荧@取底層數(shù)據(jù)的情況下解決，例如通過(guò)向當(dāng)事方詢問(wèn)數(shù)據(jù)性質(zhì)等方式；[24]

（3）收到或形成的與該交易相關(guān)的所有文件的副本；

（4）美國(guó)司法部要求提供的任何其他信息。

NSD可要求提交年度報(bào)告的主體補(bǔ)充或提供后續(xù)信息。報(bào)告必須按照規(guī)定以電子方式提交，可通過(guò)以下途徑完成：發(fā)送電子郵件至 nsd.firs.datasecurity@usdoj.gov，或依照NSD官方網(wǎng)站上的指示，使用其他官方電子報(bào)告渠道。NSD不接受年度報(bào)告的紙質(zhì)副本。[25]

4. 拒絕被禁止的數(shù)據(jù)經(jīng)紀(jì)交易的報(bào)告

美國(guó)人在明知的情況下與受關(guān)注國(guó)家或受規(guī)制主體開(kāi)展數(shù)據(jù)經(jīng)紀(jì)交易是被禁止的。[26]數(shù)據(jù)經(jīng)紀(jì)交易是指數(shù)據(jù)接收方不直接從與數(shù)據(jù)相關(guān)聯(lián)的個(gè)人處收集數(shù)據(jù)，而是從數(shù)據(jù)提供方處購(gòu)買(mǎi)數(shù)據(jù)、被許可訪問(wèn)數(shù)據(jù)或其他類(lèi)似的商業(yè)交易，不包括雇傭協(xié)議、投資協(xié)議或供應(yīng)商協(xié)議。[27]

除非聯(lián)邦法律另有禁止，自2025年10月6日起，凡美國(guó)人收到并明確拒絕（包括使用軟件、技術(shù)或自動(dòng)化工具自動(dòng)拒絕）他人提出的涉及被禁止的數(shù)據(jù)經(jīng)紀(jì)交易的要約，必須在拒絕被禁止的交易之日起的14天內(nèi)向美國(guó)司法部提交報(bào)告。[28]

拒絕交易的報(bào)告在提交時(shí)，應(yīng)盡可能包含以下信息：[29]

（1）從事受規(guī)制數(shù)據(jù)交易的美國(guó)人的名稱和地址，及其聯(lián)系人的姓名、電話和電子郵箱；

（2）該受規(guī)制數(shù)據(jù)交易的描述，包括：

?交易被拒絕的日期；

?交易中涉及的政府相關(guān)數(shù)據(jù)或美國(guó)大量敏感個(gè)人數(shù)據(jù)的類(lèi)型和數(shù)量；

?數(shù)據(jù)傳輸方式；

?試圖參與該交易的人員及其所在地，包括數(shù)據(jù)接收方的名稱和位置、相關(guān)實(shí)體的權(quán)屬信息或個(gè)人的國(guó)籍或主要居住地、交易中涉及的受規(guī)制主體的名稱和位置，以及涉及的任何受關(guān)注國(guó)家的名稱；

?收到或形成的與該交易相關(guān)的所有文件的副本；

?美國(guó)司法部要求提供的任何其他信息。

同理，一般僅需提供對(duì)被拒絕的數(shù)據(jù)經(jīng)紀(jì)交易的概要性描述，而無(wú)需提供底層數(shù)據(jù)。[30]

NSD認(rèn)為美國(guó)人在拒絕被禁止的數(shù)據(jù)經(jīng)紀(jì)交易后主動(dòng)報(bào)告的行為是否構(gòu)成自愿自我披露（VSD）報(bào)告需結(jié)合具體事實(shí)情況進(jìn)行判斷。NSD會(huì)單獨(dú)發(fā)布《14117最終規(guī)則》執(zhí)行指南（DSP Enforcement Guidance）以提供關(guān)于VSD的額外信息。[31]

02、 合規(guī)建議

1. 企業(yè)應(yīng)建立動(dòng)態(tài)審查機(jī)制，確認(rèn)是否觸發(fā)《14117最終規(guī)則》

企業(yè)應(yīng)至少每年一次全面審查企業(yè)數(shù)據(jù)流向、供應(yīng)鏈結(jié)構(gòu)、交易主體信息等，識(shí)別涉及或可能涉及大量美國(guó)敏感個(gè)人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的數(shù)據(jù)經(jīng)紀(jì)交易、雇傭協(xié)議、供應(yīng)協(xié)議或投資協(xié)議。

鑒于受規(guī)制主體名單的動(dòng)態(tài)更新，依賴人工篩查效率低且易出錯(cuò)。企業(yè)可考慮選用能夠滿足以下要求的自動(dòng)篩查工具：可自動(dòng)同步官方發(fā)布的最新受規(guī)制主體名單、可識(shí)別別名及不同拼寫(xiě)、可識(shí)別組織層級(jí)結(jié)構(gòu)、可獲取供應(yīng)商的地理信息。此外，建議企業(yè)建立相關(guān)流程，對(duì)現(xiàn)有及新增供應(yīng)商進(jìn)行定期篩查或在開(kāi)展相關(guān)交易前進(jìn)行篩查。

2. 涉及開(kāi)展被限制的交易的企業(yè)應(yīng)建立并動(dòng)態(tài)更新數(shù)據(jù)合規(guī)計(jì)劃，該計(jì)劃不應(yīng)僅是應(yīng)付檢查的書(shū)面文件，而應(yīng)是一套融入日常運(yùn)營(yíng)的主動(dòng)風(fēng)險(xiǎn)管理機(jī)制

數(shù)據(jù)合規(guī)計(jì)劃的書(shū)面政策須由負(fù)責(zé)合規(guī)的企業(yè)管理人員或員工每年確認(rèn)，并確保其內(nèi)容切實(shí)反映業(yè)務(wù)實(shí)際，能被員工理解和執(zhí)行。企業(yè)可以通過(guò)明確的職責(zé)分工、培訓(xùn)和內(nèi)部溝通，將政策要求轉(zhuǎn)化為具體行動(dòng)指南，并設(shè)計(jì)內(nèi)部控制節(jié)點(diǎn)以便及時(shí)發(fā)現(xiàn)和上報(bào)違規(guī)風(fēng)險(xiǎn)。

3. 涉及開(kāi)展被限制的交易的企業(yè)應(yīng)嚴(yán)格執(zhí)行年度審計(jì)，確保審計(jì)的獨(dú)立性、專業(yè)性與文件材料的留存

涉及開(kāi)展被限制的交易的企業(yè)現(xiàn)在即應(yīng)開(kāi)始選擇和聘請(qǐng)具備專業(yè)資質(zhì)、能滿足獨(dú)立性要求且不屬于受關(guān)注國(guó)家或受規(guī)制主體的審計(jì)機(jī)構(gòu)。鑒于《14117最終規(guī)則》未指定單一標(biāo)準(zhǔn)，企業(yè)應(yīng)與審計(jì)機(jī)構(gòu)明確其將采用的審計(jì)準(zhǔn)則，并確保其審計(jì)方法與企業(yè)的規(guī)模和復(fù)雜度相匹配。

審計(jì)范圍廣泛，涉及交易記錄、數(shù)據(jù)合規(guī)計(jì)劃的實(shí)施、CISA安全要求的實(shí)施等，企業(yè)應(yīng)建立專門(mén)的檔案管理系統(tǒng)，在日常工作中注意留存所有相關(guān)文件、記錄和決策過(guò)程證據(jù)。審計(jì)報(bào)告完成后，必須確保其至少保存10年。

4. 針對(duì)特定報(bào)告義務(wù)，企業(yè)應(yīng)建立內(nèi)部快速響應(yīng)流程，確保報(bào)告的準(zhǔn)確性與時(shí)效性

對(duì)于涉及云計(jì)算服務(wù)的被限制的交易，以及拒絕的被禁止的數(shù)據(jù)經(jīng)紀(jì)交易，企業(yè)面臨嚴(yán)格的報(bào)告時(shí)限和內(nèi)容要求。

企業(yè)內(nèi)部需清晰界定何種情況會(huì)觸發(fā)報(bào)告義務(wù)，并指定專門(mén)團(tuán)隊(duì)（如法務(wù)、合規(guī)部）負(fù)責(zé)評(píng)估和準(zhǔn)備報(bào)告內(nèi)容。企業(yè)可以根據(jù)《14117最終規(guī)則》規(guī)定的內(nèi)容要求，預(yù)先設(shè)計(jì)內(nèi)部信息收集清單和報(bào)告草案模板。從而一旦觸發(fā)報(bào)告條件，就可快速啟動(dòng)信息收集流程，確保在有限的時(shí)間內(nèi)提交內(nèi)容完整、格式規(guī)范的報(bào)告，避免因準(zhǔn)備不足而延誤或錯(cuò)漏。

結(jié)語(yǔ)

2025年10月6日起，《14117最終規(guī)則》將全面實(shí)施，包括盡職調(diào)查、年度審計(jì)及特定報(bào)告在內(nèi)的合規(guī)義務(wù)將正式生效，企業(yè)將面臨更加嚴(yán)格的合規(guī)義務(wù)。受《14117最終規(guī)則》規(guī)制的企業(yè)應(yīng)將合規(guī)工作前移，即刻著手構(gòu)建或完善其內(nèi)部合規(guī)框架，將數(shù)據(jù)合規(guī)計(jì)劃制定與實(shí)施、定期風(fēng)險(xiǎn)評(píng)估和審計(jì)以及合規(guī)報(bào)告融入企業(yè)日常運(yùn)營(yíng)管理，將監(jiān)管壓力內(nèi)化為管理制度，避免觸發(fā)合規(guī)風(fēng)險(xiǎn)。

腳注：

[1] 《14117最終規(guī)則》§202.1001(a)；被限制的交易包括在明知的情況下與受關(guān)注國(guó)家或受規(guī)制主體開(kāi)展涉及供應(yīng)協(xié)議、雇傭協(xié)議或投資協(xié)議的受規(guī)制數(shù)據(jù)交易，除非滿足相關(guān)CISA安全要求，其定義詳見(jiàn)《14117最終規(guī)則》§202.401(a)

[2] 《14117最終規(guī)則》§202.1001(b)

[3] Data Security Program: Compliance Guide: Section IV.B.1.i

[4] 《14117最終規(guī)則》§202.211

[5] Data Security Program: Compliance Guide: Section IV.B.1.ii

[6] Data Security Program: Compliance Guide: Section IV.B.1.ii

[7] Data Security Program: Compliance Guide: Section IV.B.1.ii

[8] Data Security Program: Compliance Guide: Section IV.B.1.iii

[9] Data Security Program: Compliance Guide: Section IV.B.2

[10] 《14117最終規(guī)則》§202.1002(a)(c)(d)

[11] 《14117最終規(guī)則》§202.1002(e)

[12] 《14117最終規(guī)則》§202.1002(b)

[13] https://www.gao.gov/yellowbook

[14] Data Security Program: Compliance Guide: Section IV.B.4

[15] 《14117最終規(guī)則》§202.1002(f)(2)

[16] 《14117最終規(guī)則》§202.1002(f)(1)

[17] Data Security Program: Compliance Guide: Section IV.B.4

[18] 《14117最終規(guī)則》§202.1002(f)(3)

[19] 《14117最終規(guī)則》§202.1102

[20] 《14117最終規(guī)則》§202.1103(a)

[21] 《14117最終規(guī)則》§202.1103(c)

[22] 《14117最終規(guī)則》§202.1103(b)

[23] 《14117最終規(guī)則》§202.1103(d)

[24] Data Security Program: Frequently Asked Questions 86

[25] Data Security Program: Compliance Guide: Section IV.E

[26] 《14117最終規(guī)則》，§202. 301

[27] 《14117最終規(guī)則》，§202.214

[28] 《14117最終規(guī)則》§202.1104(a)(b)

[29] 《14117最終規(guī)則》§202.1104(c)

[30] Data Security Program: Frequently Asked Questions 86

[31] Data Security Program: Compliance Guide: Section III.F.2

本文作者

趙新華

金杜律師事務(wù)所合伙人

公司業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：公司并購(gòu)、外商直接投資、公司重組、數(shù)據(jù)及隱私保護(hù)

趙新華律師擁有十多年的法律從業(yè)經(jīng)驗(yàn)，曾為多家知名國(guó)內(nèi)外企業(yè)提供法律服務(wù)，包括股權(quán)或資產(chǎn)收購(gòu)、轉(zhuǎn)讓、公司重組、設(shè)立合資公司、特許經(jīng)營(yíng)、數(shù)據(jù)及隱私保護(hù)等，涉及的行業(yè)包括汽車(chē)、人工智能、物聯(lián)網(wǎng)、高科技、零售、教育、現(xiàn)代農(nóng)業(yè)、工業(yè)制造、船舶和醫(yī)藥等。趙新華律師對(duì)智能汽車(chē)、車(chē)聯(lián)網(wǎng)領(lǐng)域的法律問(wèn)題有著深入的研究，并為國(guó)內(nèi)外眾多客戶提供并購(gòu)、市場(chǎng)準(zhǔn)入及合規(guī)方面的法律服務(wù)。

單文鈺

金杜律師事務(wù)所資深律師

公司業(yè)務(wù)部

司馬丹旎

金杜律師事務(wù)所律師

公司業(yè)務(wù)部

來(lái)源：金杜研究院

免責(zé)聲明

本文僅代表原作者觀點(diǎn)，不代表走出去智庫(kù)立場(chǎng)。

延展閱讀

▌地緣政治風(fēng)險(xiǎn):

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競(jìng)爭(zhēng):

▌品牌聲譽(yù)管理: