走出去智庫（CGGT）觀察

10月6日，美國司法部（DOJ）發(fā)布的《關(guān)于防止受關(guān)注國家及相關(guān)主體訪問美國敏感個人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)的規(guī)定》的最終規(guī)則（簡稱“《14117最終規(guī)則》”）將全面實施，禁止或限制“美國人”與受關(guān)注國家及其“相關(guān)主體”進行某些數(shù)據(jù)交易。

走出去智庫（CGGT)特約法律專家、金杜律師事務(wù)所合伙人趙新華認(rèn)為，《14117最終規(guī)則》自2025年4月8日生效以來，觸發(fā)該新規(guī)的企業(yè)均受到較大程度的影響。企業(yè)應(yīng)至少每年一次全面審查企業(yè)數(shù)據(jù)流向、供應(yīng)鏈結(jié)構(gòu)、交易主體信息等，識別涉及或可能涉及大量美國敏感個人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的數(shù)據(jù)經(jīng)紀(jì)交易、雇傭協(xié)議、供應(yīng)協(xié)議或投資協(xié)議。

美國數(shù)據(jù)新規(guī)有哪些影響？如何應(yīng)對？今天，走出去智庫 (CGGT) 刊發(fā)金杜律師事務(wù)所趙新華、單文鈺、司馬丹旎的文章，供關(guān)注美國數(shù)據(jù)政策的讀者參閱。

要點

1、為制定穩(wěn)健的數(shù)據(jù)合規(guī)計劃，美國人可定期（理想情況下至少每年一次）或在特定情況發(fā)生（如投資并購、內(nèi)部審計或業(yè)務(wù)過程中發(fā)現(xiàn)合規(guī)風(fēng)險）時開展風(fēng)險評估，依據(jù)其業(yè)務(wù)活動和風(fēng)險偏好評估可能面臨的潛在問題。

2、較為有效的內(nèi)控措施是任命和授權(quán)合規(guī)人員，并建立正式的逐級上報程序以審查高風(fēng)險交易，包括評估交易是否需要向美國司法部國家安全司（NSD）尋求特別許可、咨詢意見或進行主動自我披露。

3、數(shù)據(jù)合規(guī)計劃的書面政策須由負(fù)責(zé)合規(guī)的企業(yè)管理人員或員工每年確認(rèn)，并確保其內(nèi)容切實反映業(yè)務(wù)實際，能被員工理解和執(zhí)行。

正文

前言

美國“數(shù)據(jù)脫鉤”新規(guī)即美國《關(guān)于防止受關(guān)注國家獲取美國人大量敏感個人數(shù)據(jù)和美國政府相關(guān)數(shù)據(jù)的行政命令》（Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）之最終規(guī)則《防止受關(guān)注國家或受規(guī)制主體獲取美國敏感個人數(shù)據(jù)和政府相關(guān)數(shù)據(jù)》（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）（“《14117最終規(guī)則》”）自2025年4月8日生效以來，觸發(fā)該新規(guī)的企業(yè)均受到較大程度的影響。

2025年10月6日，《14117最終規(guī)則》將進入全面實施階段。

以下是《14117最終規(guī)則》發(fā)布以來的幾個關(guān)鍵時間節(jié)點：

• 2025年4月8日，《14117最終規(guī)則》正式生效，絕大部分禁止與限制性規(guī)定開始實施，但美國司法部設(shè)定了為期三個月的執(zhí)法寬限期。

  在該寬限期內(nèi)，只要美國人（包括個人和實體，定義詳見《14117最終規(guī)則》，下同）“秉持善意努力遵守”《14117最終規(guī)則》，美國司法部國家安全司（National Security Division，“NSD”）將不會優(yōu)先對違反《14117最終規(guī)則》的行為采取民事執(zhí)法行動。

• 2025年7月8日，執(zhí)法寬限期結(jié)束，NSD可能對所有違反《14117最終規(guī)則》的行為采取執(zhí)法行動。

• 2025年10月6日，《14117最終規(guī)則》全面實施，包括數(shù)據(jù)合規(guī)計劃、年度審計及特定報告等要求。

本文將重點介紹《14117最終規(guī)則》即將于2025年10月6日實施的合規(guī)要求。對于《14117最終規(guī)則》基本框架和概念的介紹，以及對其配套文件的解析，可分別參見《》和《》。

01 、2025年10月6日即將生效的合規(guī)義務(wù)

1. 盡職調(diào)查

自2025年10月6日起，開展被限制的交易的美國人應(yīng)制定并實施數(shù)據(jù)合規(guī)計劃（Data Compliance Program），以對被限制的交易開展盡職調(diào)查。[1]

數(shù)據(jù)合規(guī)計劃應(yīng)至少包括以下內(nèi)容：[2]

用于核實被限制的交易中涉及的數(shù)據(jù)流的風(fēng)險驗證程序，包括驗證并以可審計的方式記錄：（a）任何被限制的交易中涉及的大量美國敏感個人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的類型和數(shù)量；（b）交易各方的身份，包括實體的權(quán)屬信息或個人的國籍或主要居住地；（c）數(shù)據(jù)的最終用途和數(shù)據(jù)的傳輸方式。

企業(yè)的風(fēng)險狀況可能取決于多種因素，包括企業(yè)規(guī)模與復(fù)雜程度、產(chǎn)品與服務(wù)類型、客戶與交易對手方類型以及地理分布等。為制定穩(wěn)健的數(shù)據(jù)合規(guī)計劃，美國人可定期（理想情況下至少每年一次）或在特定情況發(fā)生（如投資并購、內(nèi)部審計或業(yè)務(wù)過程中發(fā)現(xiàn)合規(guī)風(fēng)險）時開展風(fēng)險評估，依據(jù)其業(yè)務(wù)活動和風(fēng)險偏好評估可能面臨的潛在問題。此類風(fēng)險評估可用于檢查企業(yè)當(dāng)前的數(shù)據(jù)持有情況，以及與供應(yīng)商、員工或投資協(xié)議相關(guān)的合規(guī)情況。風(fēng)險評估的審查內(nèi)容包括：（a）現(xiàn)有的安全措施；（b）供應(yīng)商、投資者和員工的情況；（c）提供的產(chǎn)品和服務(wù)；（d）適用的一般許可或特定許可或豁免；以及（e）企業(yè)及其關(guān)聯(lián)方、供應(yīng)商、交易對手方的地理位置等，以識別可能受限于《14117最終規(guī)則》的活動及相關(guān)風(fēng)險。企業(yè)可根據(jù)風(fēng)險評估的結(jié)果，完善其內(nèi)部政策、程序、培訓(xùn)和內(nèi)控措施。[3]

用于核實供應(yīng)商身份的風(fēng)險驗證程序，特別是核查供應(yīng)商是否屬于受規(guī)制主體。

根據(jù)《14117最終規(guī)則》，受規(guī)制主體指滿足以下任一情形的主體：

1）由一個或多個受關(guān)注國家或2）所述主體直接或間接、單獨或合計擁有50%或以上股權(quán)的實體，以及在受關(guān)注國家注冊或其主要經(jīng)營地在受關(guān)注國家的實體；

2）由1）、3）、4）、5）中所述一個或多個主體直接或間接、單獨或合計擁有50%或以上股權(quán)的實體；

3）受關(guān)注國家或1）、2）、5）中所述主體的雇員或承包商；

4）主要居住在受關(guān)注國家領(lǐng)土管轄范圍內(nèi)的外國人（即非美國人，包括自然人和實體）；或

5）無論其位于何處，由美國司法部部長在受規(guī)制主體名單中認(rèn)定的：（i）將要、已經(jīng)、或未來可能被受關(guān)注國家或受規(guī)制主體擁有或控制，或受其管轄或指導(dǎo)的主體；或（ii）代表、意圖代表、或可能代表受關(guān)注國家或相關(guān)人員行事的主體；或（iii）故意導(dǎo)致或指示違反，或可能故意導(dǎo)致或指示違反《14117最終規(guī)則》的主體。[4]

由于上述情形1）至4）中相關(guān)主體的股權(quán)或相關(guān)個人的雇傭或主要居住地情況可能會發(fā)生變化，上述情形5）中受規(guī)制主體名單（Covered Persons List）可能不時調(diào)整，有效的數(shù)據(jù)合規(guī)計劃應(yīng)能夠適應(yīng)這些變化，并根據(jù)企業(yè)的風(fēng)險偏好，定期對供應(yīng)商進行篩查并設(shè)置相應(yīng)的控制措施。[5]

篩查方式包括通過篩查軟件審查現(xiàn)有或潛在供應(yīng)商的地理信息，以判斷該供應(yīng)商是否位于受關(guān)注國家、依據(jù)該國法律設(shè)立或注冊，或其主要營業(yè)地點是否在受關(guān)注國家。使用篩查軟件的企業(yè)應(yīng)確保該軟件能夠：（a）納入受規(guī)制主體名單的最新更新；（b）識別所有標(biāo)識信息，包括已識別的或指定的受規(guī)制主體的別名及不同拼寫；（c）考量組織層級結(jié)構(gòu)；（d）考量供應(yīng)商的地理信息（包括總部、子公司及分支機構(gòu)的所在地）；以及（e）對現(xiàn)有、新增以及潛在供應(yīng)商進行全面篩查。[6]

需要注意的是，美國人與外國人簽訂供應(yīng)商協(xié)議時，通常無需在其數(shù)據(jù)合規(guī)計劃中對外國人的雇傭情況進行盡職調(diào)查，以確認(rèn)該外國人的雇員是否屬于受規(guī)制主體。除非存在規(guī)避或在明知情況下指示的情形，美國人基于供應(yīng)協(xié)議將受規(guī)制數(shù)據(jù)提供至外國人通常不構(gòu)成違反《14117最終規(guī)則》，即使該外國人雇傭受規(guī)制主體并授予其數(shù)據(jù)訪問權(quán)限。[7]

描述數(shù)據(jù)合規(guī)計劃的書面政策，需由負(fù)責(zé)合規(guī)的企業(yè)管理人員或其他員工每年確認(rèn)。

描述數(shù)據(jù)合規(guī)計劃的書面政策應(yīng)充分反映組織的日常運作，便于遵循，易于核實合規(guī)情況，并旨在防止員工不當(dāng)行為。

理想情況下，企業(yè)應(yīng)向所有相關(guān)員工清晰傳達并確認(rèn)其對數(shù)據(jù)合規(guī)計劃政策和流程的理解，視情況需包括企業(yè)合規(guī)職能部門的人員、網(wǎng)關(guān)人員和業(yè)務(wù)部門（例如銷售或供應(yīng)商采購團隊和網(wǎng)絡(luò)安全人員）以及代表企業(yè)履行相關(guān)職責(zé)的第三方。

企業(yè)應(yīng)考慮在其書面的數(shù)據(jù)合規(guī)計劃中，納入基于風(fēng)險評估結(jié)果而制定的內(nèi)控措施，使組織能夠識別并上報任何可能違反《14117最終規(guī)則》的受規(guī)制數(shù)據(jù)交易。較為有效的內(nèi)控措施是任命和授權(quán)合規(guī)人員，并建立正式的逐級上報程序以審查高風(fēng)險交易，包括評估交易是否需要向NSD尋求特別許可、咨詢意見或進行主動自我披露。

對數(shù)據(jù)合規(guī)計劃書面政策和程序的年度審查與認(rèn)證，必須評估其充分性及實施效果。[8]

描述實施CISA規(guī)定的安全要求的書面政策，需由負(fù)責(zé)合規(guī)的企業(yè)管理人員或其他員工每年確認(rèn)。

（5）

其他美國司法部部長要求的信息。任何該等要求將在生效前公布在《聯(lián)邦公報》上。[9]截至目前，美國司法部部長尚未就此提出進一步要求。

2. 年度審計

自2025年10月6日起，每一公歷年度中，只要美國人參與過被限制的交易，必須在該年度進行一次審計，審計的時間范圍應(yīng)覆蓋審計前的12個月。[10]

（1）審計范圍必須包括：[11]

?審查該美國人的被限制的交易；

?審查數(shù)據(jù)合規(guī)計劃及其實施情況；

?審查按照《14117最終規(guī)則》第202.1101條保存的相關(guān)記錄；

?審查該美國人實施的CISA安全要求；

?采用可靠的方法開展審計。

（2）審計人員必須符合以下條件：[12]

?具備審查、驗證并證明該美國人符合并有效實施CISA安全要求以及針對被限制的交易所有其他適用要求的專業(yè)能力與資格；

?保持獨立性；

?不屬于受關(guān)注國家或受規(guī)制主體。

（3）審計標(biāo)準(zhǔn)

《14117最終規(guī)則》不要求遵循特定的審計標(biāo)準(zhǔn)。美國政府審計署（GAO）在《政府審計準(zhǔn)則》[13]中提供了財務(wù)報表審計指南，但審計人員也可選擇遵循其他標(biāo)準(zhǔn)，例如，上市公司會計監(jiān)督委員會（PCAOB）制定的標(biāo)準(zhǔn)或國際審計與鑒證準(zhǔn)則理事會（IAASB）制定的標(biāo)準(zhǔn)。審計人員應(yīng)采用可靠的方法，根據(jù)被審計美國人的規(guī)模與復(fù)雜度，實施適當(dāng)?shù)膶徲嫵绦?，以反映對企業(yè)實踐的全面和客觀的評估。[14]

（4）審計報告的內(nèi)容應(yīng)包括：[15]

?描述該美國人所進行的任何被限制的交易的性質(zhì)，即屬于何種類型的交易（供應(yīng)協(xié)議、雇傭協(xié)議或投資協(xié)議）；

?描述所采用的審計方法，包括所審查的相關(guān)政策和文件、訪談的相關(guān)人員，以及檢查的設(shè)施、設(shè)備、網(wǎng)絡(luò)或系統(tǒng)；

?描述該美國人的數(shù)據(jù)合規(guī)計劃及其實施的有效性；

?說明在CISA安全要求的實施過程中已影響或可能影響受關(guān)注國家或受規(guī)制主體獲取受規(guī)制數(shù)據(jù)風(fēng)險的任何漏洞或缺陷；

?說明CISA安全要求未能有效降低受關(guān)注國家或受規(guī)制主體獲取受規(guī)制數(shù)據(jù)風(fēng)險的情形；

?建議為確保符合CISA安全要求所需的政策、實踐或其他業(yè)務(wù)方面的改進或調(diào)整。

（5）審計報告提交時間

審計人員必須在完成審計后的60天內(nèi)，向該美國人提交書面報告[16]，最好是向該美國人負(fù)責(zé)總體網(wǎng)絡(luò)安全或《14117最終規(guī)則》合規(guī)的合規(guī)人員提交書面報告。[17]

（6）審計報告保留時間

從事被限制的交易的美國人須將審計報告至少保留10年。[18]NSD可要求美國人在必要時提供審計報告。[19]

（7）收到審計報告后的應(yīng)對措施

在收到否定或“無法發(fā)表意見”的審計結(jié)果時，企業(yè)最好立即采取有效行動，確定并實施補救措施，以解決相關(guān)問題，并且最好還應(yīng)記錄補救審計發(fā)現(xiàn)的任何缺陷的努力。

3. 涉及云計算服務(wù)的被限制的交易的年度報告

除非聯(lián)邦法律另有禁止，自2025年10月6日起，凡美國人從事涉及云計算服務(wù)的被限制的交易，且其25%或以上的股權(quán)（無論直接或間接，通過任何合同、安排、諒解、關(guān)系或其他方式）由受關(guān)注國家或受規(guī)制主體持有的，必須提交一份年度報告。[20]針對上一年度截至12月31日開展的該等被限制的交易，年度報告必須在次年3月1日之前向美國司法部提交。[21]

美國人可委托律師、代理人或其他人員代為提交年度報告，但報告的主要責(zé)任仍由實際從事該數(shù)據(jù)交易的美國人承擔(dān)。若另一美國人已就同一數(shù)據(jù)交易提交報告，除非該美國人確知另一美國人已提交，否則不得以此為由免除其自身的報告義務(wù)。[22]

該等年度報告必須包括以下信息：[23]

（1）從事受規(guī)制數(shù)據(jù)交易的美國人的名稱和地址，及其聯(lián)系人的姓名、電話和電子郵箱；

（2）該受規(guī)制數(shù)據(jù)交易的描述，包括：

?交易日期；

?所涉及的政府相關(guān)數(shù)據(jù)或美國大量敏感個人數(shù)據(jù)的類型和數(shù)量；

?數(shù)據(jù)傳輸方式；

?參與該數(shù)據(jù)交易的人員及其所在地，包括數(shù)據(jù)接收方的名稱和位置、相關(guān)實體的權(quán)屬信息或個人的國籍或主要居住地、交易中涉及的任何受規(guī)制主體的名稱和位置，以及涉及的任何受關(guān)注國家的名稱；

需要注意的是，一般僅需提供受規(guī)制數(shù)據(jù)交易的概要性描述，而無需提供底層數(shù)據(jù)。在少數(shù)情況下，NSD可能需要了解有關(guān)底層敏感個人數(shù)據(jù)的更多細(xì)節(jié)，但通?？梢栽诓恢苯荧@取底層數(shù)據(jù)的情況下解決，例如通過向當(dāng)事方詢問數(shù)據(jù)性質(zhì)等方式；[24]

（3）收到或形成的與該交易相關(guān)的所有文件的副本；

（4）美國司法部要求提供的任何其他信息。

NSD可要求提交年度報告的主體補充或提供后續(xù)信息。報告必須按照規(guī)定以電子方式提交，可通過以下途徑完成：發(fā)送電子郵件至 nsd.firs.datasecurity@usdoj.gov，或依照NSD官方網(wǎng)站上的指示，使用其他官方電子報告渠道。NSD不接受年度報告的紙質(zhì)副本。[25]

4. 拒絕被禁止的數(shù)據(jù)經(jīng)紀(jì)交易的報告

美國人在明知的情況下與受關(guān)注國家或受規(guī)制主體開展數(shù)據(jù)經(jīng)紀(jì)交易是被禁止的。[26]數(shù)據(jù)經(jīng)紀(jì)交易是指數(shù)據(jù)接收方不直接從與數(shù)據(jù)相關(guān)聯(lián)的個人處收集數(shù)據(jù)，而是從數(shù)據(jù)提供方處購買數(shù)據(jù)、被許可訪問數(shù)據(jù)或其他類似的商業(yè)交易，不包括雇傭協(xié)議、投資協(xié)議或供應(yīng)商協(xié)議。[27]

除非聯(lián)邦法律另有禁止，自2025年10月6日起，凡美國人收到并明確拒絕（包括使用軟件、技術(shù)或自動化工具自動拒絕）他人提出的涉及被禁止的數(shù)據(jù)經(jīng)紀(jì)交易的要約，必須在拒絕被禁止的交易之日起的14天內(nèi)向美國司法部提交報告。[28]

拒絕交易的報告在提交時，應(yīng)盡可能包含以下信息：[29]

（1）從事受規(guī)制數(shù)據(jù)交易的美國人的名稱和地址，及其聯(lián)系人的姓名、電話和電子郵箱；

（2）該受規(guī)制數(shù)據(jù)交易的描述，包括：

?交易被拒絕的日期；

?交易中涉及的政府相關(guān)數(shù)據(jù)或美國大量敏感個人數(shù)據(jù)的類型和數(shù)量；

?數(shù)據(jù)傳輸方式；

?試圖參與該交易的人員及其所在地，包括數(shù)據(jù)接收方的名稱和位置、相關(guān)實體的權(quán)屬信息或個人的國籍或主要居住地、交易中涉及的受規(guī)制主體的名稱和位置，以及涉及的任何受關(guān)注國家的名稱；

?收到或形成的與該交易相關(guān)的所有文件的副本；

?美國司法部要求提供的任何其他信息。

同理，一般僅需提供對被拒絕的數(shù)據(jù)經(jīng)紀(jì)交易的概要性描述，而無需提供底層數(shù)據(jù)。[30]

NSD認(rèn)為美國人在拒絕被禁止的數(shù)據(jù)經(jīng)紀(jì)交易后主動報告的行為是否構(gòu)成自愿自我披露（VSD）報告需結(jié)合具體事實情況進行判斷。NSD會單獨發(fā)布《14117最終規(guī)則》執(zhí)行指南（DSP Enforcement Guidance）以提供關(guān)于VSD的額外信息。[31]

02、 合規(guī)建議

1. 企業(yè)應(yīng)建立動態(tài)審查機制，確認(rèn)是否觸發(fā)《14117最終規(guī)則》

企業(yè)應(yīng)至少每年一次全面審查企業(yè)數(shù)據(jù)流向、供應(yīng)鏈結(jié)構(gòu)、交易主體信息等，識別涉及或可能涉及大量美國敏感個人數(shù)據(jù)或政府相關(guān)數(shù)據(jù)的數(shù)據(jù)經(jīng)紀(jì)交易、雇傭協(xié)議、供應(yīng)協(xié)議或投資協(xié)議。

鑒于受規(guī)制主體名單的動態(tài)更新，依賴人工篩查效率低且易出錯。企業(yè)可考慮選用能夠滿足以下要求的自動篩查工具：可自動同步官方發(fā)布的最新受規(guī)制主體名單、可識別別名及不同拼寫、可識別組織層級結(jié)構(gòu)、可獲取供應(yīng)商的地理信息。此外，建議企業(yè)建立相關(guān)流程，對現(xiàn)有及新增供應(yīng)商進行定期篩查或在開展相關(guān)交易前進行篩查。

2. 涉及開展被限制的交易的企業(yè)應(yīng)建立并動態(tài)更新數(shù)據(jù)合規(guī)計劃，該計劃不應(yīng)僅是應(yīng)付檢查的書面文件，而應(yīng)是一套融入日常運營的主動風(fēng)險管理機制

數(shù)據(jù)合規(guī)計劃的書面政策須由負(fù)責(zé)合規(guī)的企業(yè)管理人員或員工每年確認(rèn)，并確保其內(nèi)容切實反映業(yè)務(wù)實際，能被員工理解和執(zhí)行。企業(yè)可以通過明確的職責(zé)分工、培訓(xùn)和內(nèi)部溝通，將政策要求轉(zhuǎn)化為具體行動指南，并設(shè)計內(nèi)部控制節(jié)點以便及時發(fā)現(xiàn)和上報違規(guī)風(fēng)險。

3. 涉及開展被限制的交易的企業(yè)應(yīng)嚴(yán)格執(zhí)行年度審計，確保審計的獨立性、專業(yè)性與文件材料的留存

涉及開展被限制的交易的企業(yè)現(xiàn)在即應(yīng)開始選擇和聘請具備專業(yè)資質(zhì)、能滿足獨立性要求且不屬于受關(guān)注國家或受規(guī)制主體的審計機構(gòu)。鑒于《14117最終規(guī)則》未指定單一標(biāo)準(zhǔn)，企業(yè)應(yīng)與審計機構(gòu)明確其將采用的審計準(zhǔn)則，并確保其審計方法與企業(yè)的規(guī)模和復(fù)雜度相匹配。

審計范圍廣泛，涉及交易記錄、數(shù)據(jù)合規(guī)計劃的實施、CISA安全要求的實施等，企業(yè)應(yīng)建立專門的檔案管理系統(tǒng)，在日常工作中注意留存所有相關(guān)文件、記錄和決策過程證據(jù)。審計報告完成后，必須確保其至少保存10年。

4. 針對特定報告義務(wù)，企業(yè)應(yīng)建立內(nèi)部快速響應(yīng)流程，確保報告的準(zhǔn)確性與時效性

對于涉及云計算服務(wù)的被限制的交易，以及拒絕的被禁止的數(shù)據(jù)經(jīng)紀(jì)交易，企業(yè)面臨嚴(yán)格的報告時限和內(nèi)容要求。

企業(yè)內(nèi)部需清晰界定何種情況會觸發(fā)報告義務(wù)，并指定專門團隊（如法務(wù)、合規(guī)部）負(fù)責(zé)評估和準(zhǔn)備報告內(nèi)容。企業(yè)可以根據(jù)《14117最終規(guī)則》規(guī)定的內(nèi)容要求，預(yù)先設(shè)計內(nèi)部信息收集清單和報告草案模板。從而一旦觸發(fā)報告條件，就可快速啟動信息收集流程，確保在有限的時間內(nèi)提交內(nèi)容完整、格式規(guī)范的報告，避免因準(zhǔn)備不足而延誤或錯漏。

結(jié)語

2025年10月6日起，《14117最終規(guī)則》將全面實施，包括盡職調(diào)查、年度審計及特定報告在內(nèi)的合規(guī)義務(wù)將正式生效，企業(yè)將面臨更加嚴(yán)格的合規(guī)義務(wù)。受《14117最終規(guī)則》規(guī)制的企業(yè)應(yīng)將合規(guī)工作前移，即刻著手構(gòu)建或完善其內(nèi)部合規(guī)框架，將數(shù)據(jù)合規(guī)計劃制定與實施、定期風(fēng)險評估和審計以及合規(guī)報告融入企業(yè)日常運營管理，將監(jiān)管壓力內(nèi)化為管理制度，避免觸發(fā)合規(guī)風(fēng)險。

腳注：

[1] 《14117最終規(guī)則》§202.1001(a)；被限制的交易包括在明知的情況下與受關(guān)注國家或受規(guī)制主體開展涉及供應(yīng)協(xié)議、雇傭協(xié)議或投資協(xié)議的受規(guī)制數(shù)據(jù)交易，除非滿足相關(guān)CISA安全要求，其定義詳見《14117最終規(guī)則》§202.401(a)

[2] 《14117最終規(guī)則》§202.1001(b)

[3] Data Security Program: Compliance Guide: Section IV.B.1.i

[4] 《14117最終規(guī)則》§202.211

[5] Data Security Program: Compliance Guide: Section IV.B.1.ii

[6] Data Security Program: Compliance Guide: Section IV.B.1.ii

[7] Data Security Program: Compliance Guide: Section IV.B.1.ii

[8] Data Security Program: Compliance Guide: Section IV.B.1.iii

[9] Data Security Program: Compliance Guide: Section IV.B.2

[10] 《14117最終規(guī)則》§202.1002(a)(c)(d)

[11] 《14117最終規(guī)則》§202.1002(e)

[12] 《14117最終規(guī)則》§202.1002(b)

[13] https://www.gao.gov/yellowbook

[14] Data Security Program: Compliance Guide: Section IV.B.4

[15] 《14117最終規(guī)則》§202.1002(f)(2)

[16] 《14117最終規(guī)則》§202.1002(f)(1)

[17] Data Security Program: Compliance Guide: Section IV.B.4

[18] 《14117最終規(guī)則》§202.1002(f)(3)

[19] 《14117最終規(guī)則》§202.1102

[20] 《14117最終規(guī)則》§202.1103(a)

[21] 《14117最終規(guī)則》§202.1103(c)

[22] 《14117最終規(guī)則》§202.1103(b)

[23] 《14117最終規(guī)則》§202.1103(d)

[24] Data Security Program: Frequently Asked Questions 86

[25] Data Security Program: Compliance Guide: Section IV.E

[26] 《14117最終規(guī)則》，§202. 301

[27] 《14117最終規(guī)則》，§202.214

[28] 《14117最終規(guī)則》§202.1104(a)(b)

[29] 《14117最終規(guī)則》§202.1104(c)

[30] Data Security Program: Frequently Asked Questions 86

[31] Data Security Program: Compliance Guide: Section III.F.2

本文作者

趙新華

金杜律師事務(wù)所合伙人

公司業(yè)務(wù)部

業(yè)務(wù)領(lǐng)域：公司并購、外商直接投資、公司重組、數(shù)據(jù)及隱私保護

趙新華律師擁有十多年的法律從業(yè)經(jīng)驗，曾為多家知名國內(nèi)外企業(yè)提供法律服務(wù)，包括股權(quán)或資產(chǎn)收購、轉(zhuǎn)讓、公司重組、設(shè)立合資公司、特許經(jīng)營、數(shù)據(jù)及隱私保護等，涉及的行業(yè)包括汽車、人工智能、物聯(lián)網(wǎng)、高科技、零售、教育、現(xiàn)代農(nóng)業(yè)、工業(yè)制造、船舶和醫(yī)藥等。趙新華律師對智能汽車、車聯(lián)網(wǎng)領(lǐng)域的法律問題有著深入的研究，并為國內(nèi)外眾多客戶提供并購、市場準(zhǔn)入及合規(guī)方面的法律服務(wù)。

單文鈺

金杜律師事務(wù)所資深律師

公司業(yè)務(wù)部

司馬丹旎

金杜律師事務(wù)所律師

公司業(yè)務(wù)部

來源：金杜研究院

免責(zé)聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風(fēng)險:

▌出口管制與制裁:

▌跨境數(shù)據(jù)監(jiān)管:

▌全球科技競爭:

▌品牌聲譽管理: