在圣诞假期后首日,美国司法部发布了“应对外国对手获取美国公民敏感个人数据”的最终规则(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons – Final Rules)。这标志着美国政府在2024年2月28日签署的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)及具体规定,终于在2024年年末落地。
由于该规则实施后将对中资企业在出海合规方面带来较大影响,德勤中国团队不仅对其进行了及时解读,而且已开始为相关企业提供专业的合规咨询服务。
新规解读
适用范围
美国人
《14117行政令》明确定义了美国人(U.S Person),行政令适用于所有美国人,美国人包括:
任何美国公民、国民或合法永久居民
任何以合法难民身份进入美国的人
仅根据美国法律或美国境内任何司法管辖区成立的任何实体(包括外国分支机构)
任何在美国的人
受限制的国家和主体
美国司法部拟将中国(包括香港和澳门)列为《 14117 行政令 》下“受关注国家”之一,并规定了受限制主体:中国(含港澳)企业、其境外控制的实体、其雇佣且不属于“美国人士”的人员、单纯长期居住在中国境内的非美国人,都可能受到辐射。
《14117行政令》还规定了受限制主体( covered persons ),认为从法律和实际角度看,向这些主体提供敏感个人数据和美国政府相关数据都将使这些数据处于受关注国家的控制范围内。
受限制的数据类型
目前来看,受限制数据主要分为两大类:美国人的敏感个人数据(6个子类)和美国政府相关数据。对不同类别数据,设定不同的触发阈值。
美国政府数据则是无论何种敏感个人数据,不论数量多少,如果交易方将其作为与美国政府(包括军事和情报部门)的现任或近期前雇员或承包商,或前高级官员有关联或可关联的数据,均属于受限制数据交易。
受限制的交易
14117行政令特别定义五种数据交易类型,对美国人和受关注国家人员涉及含有美国人敏感个人信息/美国政府数据的此类数据交易进行限制,防止受关注国家通过这些交易获取大量美国人敏感个人信息和政府数据,对美国国家安全形成威胁。
合规要求
根据《14117行政令》相关规定,美国企业在满足安全要求及外部审计和监管报告等合规要求的情况下,可开展“受限制交易”。美国网络安全和基础设施安全局 (CISA) 针对这一规定,在2024年10月31日发布了《14117行政令受限制交易的安全要求》,相关安全要求参考了CISA CPG, NIST Privacy Framework,NIST CSF 2.0的部分要求。
违规处罚
客户成功案例
自2024年年初起,德勤中国时刻关注着该行政令的签署和最终规则的生效落地。德勤提供的合规咨询服务,已为国内某能源企业妥善应对了该行政命令带来的风险。
通过对该企业在美实体的身份识别,盘点该企业所有的受控数据类型,厘清该企业在中美之间进行数据交互的场景和字段级别的数据流,德勤中国为客户提出了场景化的合规整改建议和后续业务开展的合规与技术指导意见。该咨询服务的所有成果交由美国当地律师进行审阅,最终通过评审并获取了法律意见书。
业务垂询,敬请联络:
金凌云
德勤中企出海服务主管合伙人
邮箱:lawrjin@deloittecn.com.cm
薛梓源
德勤中国网络安全事业群主管合伙人
邮箱:tonxue@deloittecn.com.cn
冯晔
德勤中国网络安全战略与转型及数字隐私信任主管合伙人
邮箱:stefeng@deloittecn.com.cn
江玮
德勤中国网络安全战略与转型及数字隐私信任合伙人
邮箱:davidjiang@deloittecn.com.cn
何薇
德勤中国网络安全战略与转型及数字隐私信任合伙人
邮箱:vhe@deloittecn.com.cn
汤洪煜
德勤中国网络安全战略与转型及数字隐私信任经理
邮箱:tonyhtang@deloittecn.com.cn
VIP课程推荐
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
