来源：威科先行，作者：王晓明、于宇东。本文已获作者授权转载。

一、《最终规则》概述

近日，美国司法部发布了《防止关注国家获取美国敏感个人数据和政府相关数据规定》（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，简称“《最终规则》”）。[1]《最终规则》的颁布旨在防止关注国家通过商业交易获取美国敏感个人数据和政府相关数据，从而应对这些国家对美国国家安全构成的紧迫威胁。[2]这一规则意图通过设立新的美国国家安全计划，限制或禁止美国人士与关注国家或其控制的相关人员开展特定类型的数据交易。

2024年2月，基于国际紧急经济权力法（IEEPA）的授权，拜登签署了第14117号行政命令。该行政命令明确要求采取进一步措施保护美国敏感数据不被关注国家利用。[3]《最终规则》则作为该行政命令实施的最终规则。

据称，此次《最终规则》的主要目的是保护美国的国家安全，特别是防止关注国家通过获取美国个人敏感数据（如地理位置、生物识别和健康数据）或政府相关数据（如联邦雇员信息和敏感的政府地理定位数据）进行网络攻击、间谍活动和军事能力增强等威胁行为。[4]

该规则由司法部国家安全司（National Security Division）下属的外国投资审查科（Foreign Investment Review Section, FIRS）负责实施和执行。FIRS将在日常管理中与国土安全部及其他联邦机构密切合作，以确保《最终规则》的有效落实，并对公众提供合规和实施方面的指导。

二、《最终规则》具体内容

（一）关注国家 （Country of Concern）

《最终规则》将六个国家——中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉——列为关注国家。[5]

（二）涵盖人员（Covered Persons）

《最终规则》涵盖人员包括以下五类：[6]

1.受关注国家控制的外国实体

任何直接或间接被一个或多个受关注国家或其他涵盖人员控制（持股比例达到或超过50%）的外国实体；或者依据受关注国家法律设立或以受关注国家为主要营业地的外国实体。

2.被涵盖人员控制的外国实体

任何直接或间接被一个或多个涵盖人员（如上述定义中的受关注国家实体或个人）持股50%及以上的外国实体。

3.受雇于或承包涵盖实体的外国个人

任何为受关注国家政府或上述定义的涵盖实体（包括受关注国家法律下设立的实体或由其控制的实体）工作的外国个人，包括雇员或承包商。

4.主要居住在受关注国家的外国个人

无论国籍，主要居住（primary residence）在受关注国家领土范围内的外国个人也被视为《最终规则》涵盖的个人。

5. 由司法部长（Attorney General）特别认定的个人或实体（Covered Person List，“受限主体”）

被司法部长根据以下情况认定任何人或实体为受限主体（无论其所在地）：

（1）被受关注国家或涵盖人员控制或可能被其控制；（2）为受关注国家或涵盖人员行动或可能行动；（3）故意导致或可能导致违反本规则的行为。

（三）受到监管的数据

1.敏感个人数据（Sensitive Personal Data）

敏感个人数据指包含以下类别的信息：涵盖个人标识符、精确地理位置数据、生物识别标识符、人类“组学”数据（如基因组或表观基因组数据）、个人健康数据、个人财务数据，或这些类别的任何组合。[7]

敏感个人数据不包括与个人无关的公开或非公开数据，例如符合“商业秘密”或“专有信息”定义的内容；通过联邦、州或地方政府记录（如法院记录）或广泛传播的媒体（如开放访问的公共资源）合法公开的数据；个人通信内容；以及与信息或信息材料相关的仅用于支持信息的传输或传播元数据。[8]

2.批量美国敏感个人数据（Bulk U.S. Sensitive Personal Data）

只有交易中美国敏感个人数据达到批量（bulk）时，交易才会受到监管。批量美国敏感个人数据指与美国个人相关的大量敏感个人数据（无论以何种格式存在，也无论数据是否匿名化、伪匿名化、去标识化或加密）。[9]若美国敏感个人数据数量在过去12个月内通过单笔或多笔受到监管的交易达到以下任何一类的规定阈值，则满足批量的标准：

（1）人类组学数据：包含超过1,000名美国人或超过100名美国人的基因组数据；

（2）生物特征识别信息：涉及超过1,000名美国人的生物特征数据；

（3）精确地理位置信息：涉及超过1,000台美国设备的精确地理位置数据；

（4）个人健康数据：涉及超过10,000名美国人的健康数据；

（5）个人财务数据：涉及超过10,000名美国人的财务数据；

（6）涵盖个人识别符：涉及超过100,000名美国人的个人识别信息；

（7）组合数据：包含多个类别（如上所列）的数据，或包含以上类别中任何数据类型与其他类别数据关联的组合数据，其中任意单项数据满足其最低阈值。[10]

3.美国政府相关数据（U.S. Government-Related Data）

政府相关数据主要指与联邦政府控制的地点、活动或人员相关，并可能被关注国家用于威胁美国国家安全的数据。政府相关数据包括与《政府相关地点数据清单》中的地点相关的精确地理数据以及与现任或近期卸任的联邦政府员工、承包商或高级官员（包括军事和情报界）相关联，且被交易方标记为可链接的敏感个人数据。[11]需要注意的是，与敏感个人数据不同，政府数据均无数量阈值要求。

（四）涵盖数据交易类别（Covered Data Transactions）[12]

涵盖数据交易是指涉及受关注国家或涵盖人员访问美国政府相关数据或批量敏感个人数据的属于以下四类之一的任何交易：

1. 数据经纪交易（Data Brokerage）

数据经纪交易指数据的出售、访问许可的授权或类似的商业交易，其中数据由提供方转移给接收方，而接收方并未直接从相关个人那里收集或处理这些数据。[13]此类交易不包括下文所述的雇佣协议、投资协议或供应商协议。[14]数据经纪交易的核心在于通过商业形式将数据转移给并未直接处理该数据的第三方。[15]

例如，一家美国公司将批量美国敏感个人数据出售给一家总部位于关注国家的实体。此交易为符合本《最终规则》定义的数据经纪交易。

2. 供应商协议（Vendor Agreement）

供应商协议是指除雇佣协议以外的任何协议或安排，其中一方为另一方提供商品或服务（包括云计算服务），以换取支付或其他对价[16]。该定义涵盖广泛的商业交易类型，其中商品或服务的提供可能涉及对数据的处理、存储或访问。[17]

例如，一家美国公司通过一款应用收集美国用户的大量精确地理定位数据，并与一家总部位于关注国家的公司签订协议以处理和存储这些数据。此交易为符合本《最终规则》定义的供应商协议交易。

3. 雇佣协议（Employment Agreement）

雇佣协议是指任何个人（非独立承包商）直接为某实体工作或执行工作职能，并以薪酬或其他对价为回报的协议或安排。[18]这类协议包括担任董事会或委员会成员、高管级别的安排或服务，以及操作级别的雇佣服务。[19]

例如，一家从事消费者基因组测试的美国公司收集并维护来自美国消费者的大量基因组数据。该公司在全球范围内运营IT业务，并雇佣了一些主要居住在关注国家的人员提供后端服务。这些雇佣相关的协议为符合本《最终规则》定义的雇佣协议。

4.投资协议（Investment Agreement）

投资协议是指任何个人通过支付或其他对价，获得位于美国的不动产或美国法律实体的直接或间接所有权利益或相关权利的协议或安排，且不包含被动投资协议或者安排。[20]

例如，一家美国公司计划在美国建设一个数据中心，用于存储美国个人的大量健康数据。一家位于中国的私募股权基金同意提供资金用于建设数据中心，并以此获得数据中心的多数股权。赋予该私募股权基金股权的协议属于符合本《最终规则》定义的投资协议。

综上所述，如果交易不涉及数据经纪、供应商协议、雇佣协议或投资协议，即便相关活动在受关注国家进行，也不属于本《最终规则》涵盖管辖的数据交易。

（五）禁止的交易、受限的交易和豁免的交易

1. 禁止的交易（Prohibited Transactions）

《最终规则》禁止的交易行为类型包括数据经纪交易（Data Brokerage Transactions），潜在数据转移交易（Onward Transfer Transactions），人类‘组学’数据和生物样本交易（Human ‘Omic Data and Biospecimen Transactions），规避行为（Evasion or Structuring Transactions）和主动（明知）指挥禁止或受限的交易（Knowingly Directing Prohibited or Restricted Transactions）的行为。

（1）禁止的数据经纪交易（Data Brokerage Transactions）

除非《最终条例》其他条款另行规定，任何美国人士不得明知地参与和关注国家或涵盖人员相关的数据经纪交易。[21]例如，上文范例中一家美国公司将批量美国敏感个人数据出售给一家总部位于关注国家的实体属于此处被禁止的数据经纪交易。

此处的“明知”包括“知道或者应当知道”。例如，一家总部位于关注国家公司的美国子公司（子公司属于“美国人士”）在美国开发了一款人工智能聊天机器人，该机器人以美国个人的大量敏感个人数据为训练基础。若该聊天机器人能够在响应查询时重现或披露用于训练的批量敏感个人健康数据，且美国子公司知情地向全球，包括其母公司等涵盖人员，许可基于订阅的访问权，那么尽管许可本身可能并未明确“涉及访问”大量敏感个人数据，但该子公司会被认定“知道或应当知道”从事属于本《最终条例》禁止的数据经纪行为。[22]

（2）禁止的潜在数据转移交易（Onward Transfer Transactions）

除非《最终条例》其他条款另行规定，若美国人士在与非涵盖人员达成的数据交易中未能通过合同条款限制非涵盖人员将数据转移给受关注国家或涵盖人员，或未按要求报告已知或怀疑的违规行为，则构成禁止的潜在数据转移交易。[23]此处条件包括必须合同约定禁止数据的二次转售，并在发现违规行为后14天内报告。综合（1）及（2）中关于数据经纪交易的规定，向非涵盖人员或者非关注国家公司从事数据经纪交易，只要能满足此处的条件，该数据经纪交易并不当然被本《最终规则》禁止。

例如，一家美国公司将精确地理位置数据出售给欧洲公司，该公司随后将数据转售给受关注国家的实体。如果美国公司未履行合同限制或未及时报告违规行为，该交易构成此处禁止的潜在数据转移交易。

（3）禁止人类‘组学’数据和生物样本交易（Human ‘Omic Data and Biospecimen Transactions）

除非《最终条例》其他条款另行规定，若交易涉及关注国家或涵盖人员访问包含大量美国敏感个人数据的人类“组学”数据，或涉及从中可提取大量人类“组学”数据的人类生物标本，则任何美国人士不得明知地与关注国家或涵盖人员进行任何数据交易。[24]同时，《最终规则》明确涉及此类数据的任何交易类型均不属于受限的交易。[25]

（4）禁止规避行为（Evasion or Structuring Transactions）

《最终规则》禁止任何旨在规避、回避或者导致违反禁止或者受限交易规定的任何行为，包括共谋行为。[26]

例如，一名受雇于俄罗斯总部公司的俄罗斯国民前往美国，与该俄罗斯公司的美国子公司开展业务，包括获取大量美国敏感个人数据。该美国子公司为美国人士，而俄罗斯总部公司和该俄罗斯雇员为涵盖人员。美国子公司明知这些事实，仍在其临时居留美国期间向其许可访问大量美国敏感个人数据，该雇员随后返回俄罗斯。此交易旨在规避法规，属于此处禁止的规避行为。[27]

（5）明知指挥禁止或受限交易（Knowingly Directing Prohibited or Restricted Transactions）

主动指挥是指拥有为某实体作出决策或代表该实体作决策的权力（个人或团体形式），并实际行使该权力的行为。[28]除非《最终条例》其他条款另行规定，美国人士不得明知地指挥或批准任何涉及被禁止或受限的交易。[29]

例如，一位美国高管作为决策者指示其任职的外国公司执行一项与受关注国家的涵盖人员的数据交易。即使该交易符合外国公司所在国家的法律规定，但是若相同的交易由美国人士执行即构成本《最终规则》所规定的禁止交易或者受限的交易，则此决策行为构成本《最终规则》规定的指挥禁止或者受限的交易的行为。[30]

2. 受限的交易（Restricted Transactions）

受限的交易是指美国人士与受关注国家或涵盖人员之间涉及供应商协议、雇佣协议或投资协议的涵盖数据交易；但是这些交易必须在满足严格的安全要求以及其他适用的法规要求的前提下才被允许进行。[31]同时，此处的受限交易明确排除了涉及访问大量人类“组学”数据或可提取该数据的人类生物标本的受限数据交易。[32]

3. 豁免交易（Exempt Transactions）

《最终规则》不适用于如下交易。

（1）个人通信：涉及邮政、电报、电话或其他无价值传输内容的通信不受限制。[33]

（2）信息或信息材料：与信息或材料的进出口有关，无论商业性质或传输媒介均不受限制。[34]

（3）旅行相关交易：出入境旅行相关的活动，包括携带行李、支付生活费用和安排非定期交通的交易不受限制。[35]

（4）美国政府的官方业务：与美国政府授权活动或合同相关的数据交易不受限制。[36]

（5）金融服务：通常附属于银行、资本市场、支付处理及相关金融服务的交易不受限制。[37]

（6）企业集团内部交易：美国公司与其在关注国家的子公司或关联企业之间的行政或附属业务交易不受限制。[38]

（7）依据联邦法律或国际协议的交易：任何依据美国联邦法律或国际协议授权的数据交易均不受限制。[39]

（8）CFIUS审查的投资协议：受到CFIUS审查并明确授权的投资相关数据交易不受限制。[40]（9）电信服务：与电信服务提供直接相关的交易（若为服务附属部分）不受限制。[41]（10）药物、医疗设备及相关授权交易：为获得或维持药物、医疗设备市场授权而提交的去标识化数据交易不受限制。[42]

（六）适用对象

《最终规则》的适用对象一般为美国人士。[43]美国人士（U.S. Person）包括以下类别：美国公民、合法永久居民、美国依法接纳的难民或者接受美国庇护的人、完全依据美国法律或其辖区法律设立的实体（包括其在外国的分支机构），以及位于美国境内的任何个人或实体。[44]与此相对，那些依据外国法律设立的公司，即使在美国设有分支机构，或关注国家的个人如果不在美国境内，通常被视为外国人士。[45]

例如，一个处在美国的来自关注国家的个人在美期间仍旧被视为美国人士。[46]一位双重国籍（美国与受关注国家）的个人，无论身在何处，均属于美国人士。[47]美国母公司控股的依照外国法下成立的外国子公司被视为外国人士。[48]但是，美国公司在关注国家的分支机构则与美国公司一同被视为美国人士。[49]此外，受关注国家母公司在美国设有分支机构（非依照美国法下成立），分支机构和该母公司均被视为外国人士。[50]与之相反，若受关注国家母公司在美国设有依照美国法成立的子公司，则子公司为美国人士。[51]

（七）生效日期

本《最终规则》将在《联邦公报》发布后90天生效。[52]

三、《最终规则》对中国企业或者个人的影响

《最终规则》的目的主要是为了防止那些被美国政府列为关注国家（包括中国在内）的企业或个人通过各种商业合作或雇佣关系接触到批量美国敏感个人数据或政府信息。该规则主要关注美国的数据安全，因此它并不会如同美国出口管制或者经济制裁法规那样直接禁止中国企业与“非关注国家”进行正常的业务合作。然而，如果这些业务或合作中涉及美国要素（例如美国用户数据、美国籍员工或美国技术服务器等），美国司法部就可能对相关交易（包括雇佣关系）进行合规审查并施加限制。因此，《最终规则》将对我国相关产业的跨境业务和人才就业产生影响。

在业务层面，如果中国企业或由中方持股（50%及50%股权以上）的海外实体仅与非美国企业开展普通商品贸易或技术转让，且不涉及美国个人敏感数据或政府信息，那么这类出海业务通常不在《最终规则》的监管范围之内。但在全球供应链的背景下，只要业务涉及美国市场、数据或人员（例如企业使用美国的云计算服务存储数据，或在合作中需要访问美国用户数据）的产业，诸如国内的医药CDMO/CRO/CMO、计算机云服务、人工智能、大数据、与新能源汽车等产业的跨国交易，就可能被美国司法部视为潜在转移交易，并对数据流转进行严格审查。基于这种逻辑，那些希望利用美国敏感个人数据进入美国市场的中国企业将面临更多的合规挑战，美国合作方或其他海外合作方可能为了自保而收缩或拒绝与中方企业深度共享数据。这样一来，《最终规则》的影响就不再局限于中美双边合作，也会在一定程度上波及中国企业与其他国家的业务活动，尤其是当这些活动间接依赖美国人士或者个人敏感数据时，合规压力将显著增加。

在就业层面，中国籍人员以及与主要居住（primary residence）在中国的外籍人才都可能受到《最终规则》某些条款的潜在影响。对于在美国境内或与美国企业合作的人才来说，《最终规则》要求美国企业在雇佣或委派关键岗位人员时，必须审查对方是否在关注国家长期居住或是否受关注国家实际控制。如果美国企业认为雇佣来自中国（或受中国控制的个人）会引发数据安全疑虑，就可能拒绝提供与敏感数据相关的职位，或在雇佣合同中对其访问权限加以严格限制。相应地，中国籍人才若想在人工智能、云计算、生物医药、大数据等行业与美国企业深度合作，就需要面对更严格的背景调查以及更烦琐的签证与合规程序。一些美国甚至其他非关注国家公司和研究机构为了避免被认定为“帮助关注国家接触美国数据”，可能会减少招聘中国籍专业人士或拒绝与中国籍人才外包、合作，从而在实际操作中对中国人才造成就业障碍。

与此同时，《最终规则》也会间接影响美国人士在中方企业或中国背景企业中的就业选择。《最终规则》规定美国人士不得“主动指挥”被禁止或受限制的交易，这意味着美国籍（绿卡持有）管理者或核心团队成员若在中国企业中承担高级决策职责，就可能受到美国执法部门的密切关注。如果美国人士意识到自己在职务过程中存在规避或触碰《最终规则》红线的风险，就可能会选择离开中国企业或拒绝到中国相关项目上任职。这种倾向会削弱中国企业在国际市场上对海外顶尖人才的吸引力，使得本就面临外部竞争压力的中国企业在前沿技术攻关、管理经验积累、科研合作等领域更加困难。

总体而言，《最终规则》并不直接规制中国企业与“非关注国家”的所有商业合作，而是主要针对美国敏感数据的保护。然而，在全球化的商业环境中，大量的跨国业务都可能间接关联到美国的数据，因此中国企业与非美国企业的正常业务合作也难免会受到规则的影响。美国企业及其他国家企业为了合规，往往会收紧与中国背景企业的合作范畴或直接拒绝大规模数据交易共享，使得中国企业“走出去”以及在国际市场上开展深度合作的阻力不断上升。在就业方面，对于中国籍以及主要住所地（primary residence）在中国的外籍人员而言，他们在美国涉及敏感数据岗位的就业机会将更为稀缺；而对于美国籍或受美国法律管辖的人才来说，在中国企业任职或与中国企业深度合作也可能构成合规风险，导致人才回流或避让的趋势愈发明显。种种迹象表明，《最终规则》所引发的震荡效果最有可能从跨境业务与就业两个领域同时展开，进而对中美乃至更广泛的跨国经济合作产生持续且深远的影响。

四、合规意见及建议

针对《最终规则》对美国敏感个人数据和政府相关数据的严格保护，建议中国企业从以下几方面加强合规管控。

首先，要对公司业务中涉及的整体数据进行综合风险评估，准确识别或预判其是否属于《最终规则》所涵盖的数据类型、数量及交易。在必要情况下，公司可考虑进行业务上的合理调整，通过合规方式将美国业务与中国本地业务进行隔离，例如在美国由当地企业及人员进行数据运营管理，或将数据转移至非关注国家设立且中国公司持股比例低于50%的独立主体进行运营管理。

其次，在美中资企业应注重内部对数据的合规管控，比如在供应商协议、雇佣协议或投资协议中，增加明确禁止向关注国家或涵盖人员转让数据的条款，并对数据访问权限进行严格的限制和审计，确保符合《最终规则》的要求。

再次，在美中资企业应建立并强化公司内部的跨境数据合规管理制度，对涉及美国敏感数据的业务部门和员工进行专项培训，确保从交易设计到执行的每个环节都符合法规规定。

最后，中国企业（包括在美中资企业）需审慎评估人员雇佣中可能带来的潜在合规风险。对于担任关键决策或接触批量美国敏感个人数据或者政府数据的员工，应设置更严格的准入和审查流程，以降低违规交易或主动（明知）指挥受限交易的风险。

脚注：

[1] Press release：Justice Department Issues Final Rule Addressing Threat Posed by Foreign Adversaries’ Access to Americans’ Sensitive Personal Data (U.S. Department of Justice, December 27,2024). https://www.justice.gov/opa/pr/justice-department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access.

[2] Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons (“DOJ Final Rule”). https://www.justice.gov/nsd/media/1382521/dl.

[3] Executive Order 14117—Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern (The American Presidency Project, February 28, 2024). https://presidency.ucsb.edu/documents/executive-order-14117-preventing-access-americans-bulk-sensitive-personal-data-and-united.

[4] Press release：Justice Department Issues Final Rule Addressing Threat Posed by Foreign Adversaries’ Access to Americans’ Sensitive Personal Data (U.S. Department of Justice, December 27,2024). https://www.justice.gov/opa/pr/justice-department-issues-final-rule-addressing-threat-posed-foreign-adversaries-access.

[5] DOJ Final Rule, Section 202.208, 209.

[6] DOJ Final Rule, Section 202.211.

[7] DOJ Final Rule, Section 202.249.

[8] Ibid.

[9] DOJ Final Rule, Section 202.206.

[10] DOJ Final Rule, Section 202.205.

[11] DOJ Final Rule, Section 202.202

[12] DOJ Final Rule, Section 202.210.

[13] DOJ Final Rule, Section 202.214.

[14] Ibid.

[15] Ibid.

[16] DOJ Final Rule, Section 202.258.

[17] Ibid.

[18] DOJ Final Rule, Section 202.217.

[19] Ibid.

[20] DOJ Final Rule, Section 202.228.

[21] DOJ Final Rule, Section 202.301.

[22] Ibid, Example 1.

[23] DOJ Final Rule, Section 202.302.

[24] DOJ Final Rule, Section 202.303.

[25] DOJ Final Rule, Section 202.408(b).

[26] DOJ Final Rule, Section 202.304.

[27] Ibid, Example 2.

[28] DOJ Final Rule, Section 202.215.

[29] DOJ Final Rule, Section 202.305.

[30] Ibid, Example 1.

[31] DOJ Final Rule, Section 202.408.

[32] DOJ Final Rule, Section 202.401(b).

[33] DOJ Final Rule, Section 202.501.

[34] DOJ Final Rule, Section 202.502.

[35] DOJ Final Rule, Section 202.503.

[36] DOJ Final Rule, Section 202.504.

[37] DOJ Final Rule, Section 202.505.

[38] DOJ Final Rule, Section 202.506.

[39] DOJ Final Rule, Section 202.507.

[40] DOJ Final Rule, Section 202.508.

[41] DOJ Final Rule, Section 202.509.

[42] DOJ Final Rule, Section 202.510.

[43] DOJ Final Rule, Section 202.103.

[44] DOJ Final Rule, Section 202.256.

[45] DOJ Final Rule, Section 202.221.

[46] DOJ Final Rule, Section 202.256, Example 1.

[47] Ibid, Example 3.

[48] Ibid, Example 6.

[49] Ibid, Example 5.

[50] Ibid, Example 7.

[51] Ibid, Example 8.

[52] DOJ Final Rule, Section 202.216.

作者：

• 王晓明，浙江天册（宁波）律师事务所合伙人；专业领域：国际贸易、出口管制与合规、跨境投资与并购、涉外争议解决；联系方式：wangxiaoming@tclawfirm.com
• 于宇东，浙江天册（宁波）律师事务所律师；专业领域：出口管制与合规、跨境投资与并购、涉外争议解决；联系方式：yuyudong@tclawfirm.com

声明：以上所刊登的文章仅代表作者本人观点，不代表威科中国出具的任何形式之法律意见或建议。