本文旨在介绍存在涉及美国业务的中国公司(无论内资还是外资)都需要格外关注的新规,该新规带来的“范式改变”可能影响到存在包括但不限于以下各类业务的企业和个人:(1)向符合下文美国主体定义的公司(下称“美国公司”)提供“总部服务”的中资出海企业;(2)能够访问中国境外的美国数据的外资企业在华子公司、分公司、代表处; (3) 在美国公司担任董事、高管或员工,并长居国内的中国籍人士;(4)为美国公司提供IT外包服务或数据处理外包服务或全球服务的中国公司;(5) 同时在中美两国都有运营的医药企业、金融机构、物联网企业、车联网企业;(6)在美国拥有网站或APP,涉及收集美国人身份验证信息、生物识别信息、精准地理位置信息并传往中国处理或需要中国IT支持的互联网企业(如出海游戏企业、出海电商平台、社交媒体、智能设备生产商、在线旅行社或拥有自主预订渠道的连锁酒店和航空公司)以及为其提供技术服务的企业,如云服务企业;(7)在美国经营或为美国公司提供基因数据分析的CRO或其他涉及中国和美国多中心临床实验的医疗企业;(8)在美国拥有公司或工厂并存在生物识别验证(如生物识别门禁)的中资企业;(9)从美国批量购买数据进行训练、分析和学习的中资企业,如AI大模型厂商、游戏公司或Martech公司等;(10)拟收购或投资美国公司或美国不动产的中资企业,等等。

上文提到的、带来“数据脱钩”效应的新规即2025年1月8日,美国司法部制定并公布的《防止受关注国家或涵盖主体获取美国敏感个人数据和政府相关数据的规定》(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons,以下简称“PPPAUS”)的最终规则。PPPAUS旨在落实拜登于2024年2月28日签发的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,通称“14117行政命令”)中提出的一系列针对包括中国在内的所谓“敌对国家”获取美国数据的限制措施,其核心,在于禁止或限制敏感个人数据和美国政府相关数据传往中国或者被中国主体访问,并以此为核心,通过要求相关企业履行报告或合规义务等手段,实现美国政府对美国数据向中国传输的影响、监测和控制。

由于此规定颁布于美国总统换届之际,其后续走向尚存在不确定性。但是考虑到其可能对企业较大的冲击,尤其是业务上强依赖美国数据的企业,我们强烈建议相关企业密切关注其动态发展,在PPPAUS全部条款于2025年4月和10月分批生效之前,未雨绸缪,尽早规划应对策略。

本文将介绍PPPAUS的出台背景、其主要内容和限制范围,以及简要分析该规定对企业的影响,以便读者对PPPAUS有更加全面的了解。

出台背景

主导PPPAUS出台的主要机构是美国司法部国家安全司(National Security Division)下属的外资审查处(Foreign Investment Review Section, FIRS),该部门亦是美国外资投资委员会(以下简称“CFIUS”)的组成部分。FIRS主管Devin DeBacker曾在访谈中提到,推动美国制定PPPAUS的一个关键诱因在于,美国基于过往的CFIUS审查经验认为,美国面临的被包括中国在内的所谓“敌对国家”及其企业获取其敏感数据的风险是同质而且是系统性的,而CFIUS基于个案的、偶发性的审查模式无法应对这种系统性的风险,因此需要制定新的工具来应对这种系统性风险。对于这项重任为何交给司法部,DeBacker提到,司法部是美国主要肩负反情报职责的部门,而美国希望通过PPPAUS解决和应对的核心问题正是所谓“敌对国家”通过直接或间接获取美国数据提取情报进而威胁美国国家安全的风险。[1]

因此,特殊的立法背景使得PPPAUS既区别于欧盟从隐私保护视角所构建的数据出境规则,也不同于中国将隐私保护与国家安全相融合的立法思路下制定的数据出境规则,对PPPAUS的理解和适用应当更关注其国家安全底色。例如,通常被排除在个人信息范围之外的匿名化数据(如统计数据)也有可能构成PPPAUS项下的敏感个人数据,因为美国方面认为这种集合也可能被用于威胁美国国家安全,即使其可能不一定会侵犯某个自然人的合法权益。美国司法部在对社会意见的回应中也提到,虽然隐私保护和国家安全可以互补,但是两者也存在质的不同。从PPPAUS的众多术语和监管手段中,也不难发现诸多出口管制和制裁相关的国家安全类法规的痕迹。从某种程度上可以说,PPPAUS已经将美国的敏感数据视为“出口管制物项”,限制其向受关注国家和涵盖主体出口。

此外,PPPAUS关注的内容也不仅仅是数据跨境流动本身,而是数据是否实质上被所谓“敌对国家”或其企业获取,不管数据是否在物理上跨越了国界,因此这也决定了其限制的范围要比传统的数据出境规则更为宽泛。

主要内容

PPPAUS的主要内容围绕禁止或限制某些特定类型的“交易”(transaction)展开,即禁止或者限制美国主体(定义见下方)从事特定交易,若该交易可能会导致受关注国家或其企业获取(access)美国政府相关数据或达到规定量级的美国敏感个人数据,除非该等交易属于被豁免的情形或者取得了司法部的许可,并且满足了PPPAUS规定的适用合规义务。需注意,PPPAUS项下的“交易”并不限于传统意义上的价值交换,其本质含义是“行为”(activity),如其定义中可以体现,“交易”是指任何获取、持有、使用、转让、运输或进出口任何外国(政府)或外国公民在其中拥有任何利益的财产。

为方便读理解,我们准备了如下的流程图以方便读者理解PPPAUS的主要内容和适用方式。需注意,图中所呈现的不同限制要素的判断顺序,仅是为了便于直观展示而列出。在实际操作中,各限制要素的判断先后顺序并非固定不变,可依据具体情形灵活调整。

 

1. 美国主体

PPPAUS的适用主体是“美国主体”(United States Persons)。美国主体包括任何美国公民、国民、合法永久居民,被合法接纳为美国难民或被授予庇护的自然人;依据美国法律设立的法律实体(包括其外国分支机构,如美国银行在华设立的分行),以及任何位于美国境内的主体。根据该定义,中国公司的美国子公司(即使是控股子公司)也属于美国主体(除非该子公司被美国司法部指定为“涵盖主体”)。对于受雇于美国公司的中国籍员工,若其工作地点处于美国境内,则该中国籍员工属于“位于美国境内的主体”,因而也属于PPPAUS项下的“美国主体”。

美国主体作为PPPAUS下的主要责任主体,负责履行PPPAUS项下的相关合规义务,包括审核其交易相对方是否涉及受关注国家或涵盖主体,交易是否涉及政府相关数据及批量敏感个人数据,是否构成被禁止或受限制的交易类型,以及负责确保采取相应的合规措施等。美国主体若未能履行其在PPPAUS下的义务,则可能会面临民事或刑事责任。

2. 受关注国家和涵盖主体

受关注国家(countries of concern)

PPPAUS规定的受关注国家包括:中国(包括中国香港和中国澳门)、古巴、伊朗、朝鲜、俄罗斯与委内瑞拉

涵盖主体 (covered person)

PPPAUS规定的涵盖主体包括以下五类,

  1. 由受关注国家或(2)中描述的主体直接或间接、单独或合计拥有50%或以上股权的外国实体,以及根据受关注国家法律注册或主要营业地在受关注国家的外国实体;
  2. 由(1)、(3)、(4)或(5)描述的涵盖主体直接或间接、单独或合计拥有50%或以上股权的外国实体;
  3. 作为受关注国家,或(1)、(2)或(5)中描述的涵盖主体的员工或合同工的外国自然人;
  4. 主要居住地在受关注国家领土范围内的外国自然人;
  5. 美国司法部长指定的其他主体。

根据上述定义可以看出,PPPAUS所限定的“涵盖主体”范围非常宽泛,只要与受关注国家存在某种关联、可能被受关注国家施以影响的,均可能受到限制。

3. 涵盖数据(covered data)

PPPAUS主要规定了批量敏感个人信息政府相关数据两类涵盖数据(covered data),这两类数据是在分类分级基础上划定的。

批量敏感个人数据

敏感个人数据主要包括下表的六类数据,每类数据的含义和对应的达量标准如下:

PPPAUS将以下数据排除在敏感个人数据范围之外:(1)与个人无关的公开或非公开数据(如商业秘密或专有信息);(2)通过政府或大众媒体已公开的信息;(3)个人通信数据,以及(4)协助这些信息传输的信息或元数据。

政府相关数据

政府相关数据包括两类:(1)关于敏感区域的精准地理位置数据,主要包括一些政府部门所在地、军事基地等的位置数据,该等区域范围已经在PPPAUS附件《政府相关位置数据列表》中列出;(2)被宣传为与美国政府工作人员相关联或可关联的数据,包括与美国政府现任或近期前任雇员或外包商,或与前任高级官员相关联或可关联的敏感个人数据。政府相关数据无达量标准。司法部也明确“政府相关数据”不包括公开的数据。

4. 涵盖交易(covered transactions)

PPPAUS管辖的交易分为两类:“被禁止的交易”和“受限制的交易”(合称为“涵盖交易”)。

被禁止的交易(prohibited transactions)

被禁止的交易包括以下两类:

  • 数据经纪交易。PPPAUS项下规定的“数据经纪”(data brokerage)是相对广义的经纪交易,不限于数据销售,包括所有涉及数据从一方转移到另一方(接收方)的数据销售、数据许可访问、或类似的商业交易(不包括雇佣协议、投资协议或供应商协议),接收方不直接从数据关联或可关联的个人处收集或处理数据。简言之,即数据接收方并非从个人处直接收集,而是从其它提供方购买、获取许可或者通过其它商业安排间接获取数据的情形。PPPAUS禁止美国主体在“明知”的情况下从事涉及受关注国家或涵盖主体的数据经纪交易。此外,为避免其它外国主体从美国主体获取涵盖数据后再传输的风险,PPPAUS还要求美国主体需通过合同的方式要求外国主体不得与受关注国家或涵盖主体开展任何PPPAUS项下的涵盖交易,并应当向美国司法部报告任何已知或怀疑的合同违约行为。
  • 可能导致受关注国家或涵盖主体获取以下类型数据的交易:(1)包含批量人类组学数据的敏感个人数据;(2)能推导出批量“人类组学数据”的人类生物样本。

受限制的交易(restricted transactions)

PPPAUS规定的受限制交易包括三类:供应商协议、雇佣协议和被动投资协议。这类交易并不会被直接禁止,但美国主体需要满足一定合规义务才可以开展此类交易,具体包括按照美国国土安全部网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)制定的网络安全要求[2]采取相应安全保护措施、建立内部合规计划、开展尽职调查、审计、记录和报告义务等。

  • 供应商协议。供应商协议是指提供商品或服务(包括云计算服务)以换取对价的协议。例如某美国汽车公司通过提供车联网服务收集了大量的精准地理位置数据,并委托某中国公司提供数据处理服务,则该交易将构成受限制的交易。
  • 雇佣协议。雇佣协议是指任何雇佣(不包括独立承包商)的协议或安排,包括董事会或委员会层面的雇佣协议。例如某美国公司的分支机构在中国聘用中国员工即属于受限制的雇佣协议。
  • 被动投资协议。投资协议是指任何主体以支付或其它对价为交换,获得美国法律实体或美国境内的不动产(如数据中心)的直接或间接所有权的协议或安排。PPPAUS排除了部分投资协议,例如涵盖主体获得的投票权与股东权利不到10%,或者该交易是通过证券交易所进行的交易等。

反规避

PPPAUS同时包含反规避条款,即通过二次销售或者第三方销售间接实现涵盖交易或通过其他形式掩盖涵盖交易的规避行为仍然会被刺破面纱认定为涵盖交易。但是PPPAUS同时规定,使用第三方平台或者网络基础设施业务本身并不被视为规避措施。在此,掌握数据源的美国主体应当在合同里加入最终用户控制条款,即在与非受关注国家或非涵盖主体的外国主体进行交易的合同中写明,该方不得将涵盖数据与受关注国家或涵盖主体进行交易。DeBacker在访谈中提到,美国司法部可能在未来就其具体的合同条款语言给予指导。

5. 合规措施

对于受限制交易,美国主体需要采取合规措施才可以开展。PPPAUS主要规定了以下要求:

安全措施

美国主体开展受限制的交易,需要确保按照CISA制定的网络安全要求采取相应安全保护措施。这些措施主要包括:制定有关网络安全的政策和措施、数据隔离、数据掩码和最小化、数据加密、采用隐私增强技术等。整体而言,这些安全要求旨在防止或最大限度减少涵盖主体对于涵盖数据的访问。

内部合规项目

PPPAUS要求美国主体基于自身情况建立基于风险的内部合规项目。司法部并没有就如何建立合规项目提供全面的要求,但是对于该等合规项目需要包含的内容予以了规定:

  • 尽职调查。从事受限制交易的美国主体应当建立基于风险的内部合规计划,该合规计划应当至少包括可以用于调查受限制交易涉及的数据流、数据类型、交易相对方、数据的最终用途、供应商信息等的尽职调查流程;并应制定书面政策来规范该合规计划的执行。
  • 年度审计。从事受限制交易的美国主体应当每年对遵循PPPAUS的情况开展审计。审计可以由外部审计机构或者可以确保独立性的内部审计部门完成。如果其它类审计可以覆盖PPPAUS合规情况,则企业不需要就PPPAUS的合规情况另行开展单独审计。

记录保存

PPPAUS要求从事涵盖交易的美国主体保留每一项交易的记录,并至少留存10年备查。此外,从事受限制交易的美国主体还需要保留关于其合规项目的书面政策、采取安全措施的政策、年度审计结果、尽职调查开展情况等相关合规记录和交易信息。

报告

PPPAUS规定了若干项报告义务,包括年度报告和特定事项报告两类,具体包括:

  1. 年度报告。从事“云服务”相关的受限制交易的美国主体,如果受关注国家或涵盖主体直接或间接持有其25%以上的股份,则该美国主体应当提交年度报告。
  2. 根据司法部的要求报告。任何主体有义务根据司法部的要求报告与任何行为、交易或涵盖交易相关的信息。
  3. 拒绝涉及数据经纪业务的被禁止交易的报告。任何美国主体如果拒绝了其他主体提出的涉及数据经纪业务的被禁止交易的合作意向,有义务向司法部报告。
  4. 非涵盖主体疑似违规的报告。美国主体在与非涵盖主体的数据经纪交易中,如果知悉或者怀疑对方违反合同约定,与受关注国家或涵盖主体从事PPPAUS项下规定的涵盖交易,应当报告。

6. 豁免

PPPAUS规定了如下的豁免情形:

  • 不涉及价值交换的个人通信(如邮件、电报、电话等),该豁免旨在防止误伤邮件、即时通信等非结构化数据传输
  • 涉及表达性材料信息(如包括出版物、影片、海报、唱片、照片等)的进口或出口
  • 通常与旅行相关联的交易,例如在任何旅行国家的日常开销、购买机票等
  • 美国政府的官方行为
  • 涉及提供金融服务通常情况下附带的服务(例如用于购买和销售商品或服务涉及的个人财务数据或涵盖个人识别符的转移)
  • 美国跨国公司内部业务运营产生的数据交易(如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易)
  • 美国联邦法律或国际协议所要求或授权的交易
  • 涉及受制于CFIUS措施的投资协议
  • 作为提供电信服务的一部分或与之相关的交易(数据经纪交易除外)
  • 涉及监管审批数据的交易,且该等交易对获取或维持药品、生物制品、医疗器械或组合产品所需的审批或授权是必须的。监管审批数据包括为获取或维持药品、生物制品、医疗器械或组合产品所需的审批或授权,需要提交给监管部门或受限制主体,且已经进行去标识化或假名化的数据。
  • 其他临床研究和上市后监测数据

7. 许可机制(Licensing)

PPPAUS授权司法部在认为适当的情况下,通过颁发许可的方式豁免部分被禁止或受限制的交易。该许可机制分为一般许可(general license)和特殊许可(specific license)。一般许可由司法部自行决定是否颁发,并会在联邦公报公布,对所有相关方均可适用;特殊许可则需要交易相关方根据PPPAUS规定的程序向司法部申请,司法部在收到申请后会尽可能(但非必须)在45天内做出决定,特殊许可获批后仅适用于特定交易。司法部可在一项特殊许可中同时授权多项交易,并可在颁发许可时施加一定合规要求。

FIRS主管DeBacker在访谈中曾提到,司法部在决定是否颁发许可时也会咨询其他相关政府部门的意见,以确保和其它政府程序的衔接,以及减少对企业业务的影响。例如,如涉及金融数据的出境,司法部则会视需要征询财政部意见。

8. 咨询意见机制(Advisory Opinions)

PPPAUS也建立了咨询意见机制,司法部可以在颁布正式指导意见之外,通过咨询意见的方式回应企业就特定事项的咨询,就PPPAUS对特定交易的适用等问题予以解释。但该机制仅限于涵盖交易当事方的美国主体或其代理申请,且申请必须就特定的、真实的、非假设的交易咨询,其它申请司法部有权不予受理。据悉,目前司法部也正在建立相关的IT系统,以便利企业提交咨询申请。

9. 处罚措施

司法部可以对违反PPPAUS的行为施以民事和刑事处罚。民事罚款为368,136美元或交易金额的两倍,以孰大者为准。刑事责任最高为100万美元的罚金和/或20年有期徒刑。

FAQ

1. PPPAUS何时生效?

PPPAUS于2025年1月8日正式于《联邦公报》公布,根据其规定,PPAUS的主要限制措施将于90天后(即2025年4月8日)生效,对于“受限制交易”需满足的尽职调查、审计以及报告义务,则将在刊登后的270天(即2025年10月5日)生效。

2. 与其他法规的关系

PPPAUS和其他若干法律法规都是美国行政部门基于总统在《国际紧急经济权力法案》(International Emergency Economic Powers Act, 1977)项下的授权而制定的,因此具有同源性,比如美国财政部《关于美国在受关注国家的特定国家安全技术和产品领域投资的规定》(Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern)。受关注国家与ICTS项目中所涉及的国家基本相同。

但是,与PPPAUS最接近的法律当属已经于2024年6月生效的《保护美国人数据免受外国敌对势力法》(Protecting Americans’ Data from Foreign Adversaries Act of 2024,以下简称“PADFA”)。该法律旨在防止数商(data broker)将美国人的可识别的个人信息交易给受关注国家,与PPPAUS相比在范围上存在一定区别,表现在以下几个方面:

  • 主要规制第三方数商(data broker)
  • 不规制间接销售或转售
  • 仅包括可识别个人信息,不包括匿名化信息(PPPAUS的范畴包括匿名化信息);但是数据类别更广-如包括电影租赁信息
  • 由联邦贸易委员会(FTC)而非司法部负责执法
  • 具有个人同意例外,只要取得个人同意则PADFA就不禁止数据交易
  • 无许可证或咨询意见(advisory opinion)制度,主要约束相关主体,而非行为
  • 受关注国家不包括古巴和委内瑞拉

PPPAUS和PADFA标志着美国政府对于数据流动的态度已经发生了范式改变,由之前主张数据自由流动转为从国家安全角度进行限制。

3. 美国公司在华子公司是否属于涵盖主体?

美国公司在华子公司因为系依据中国法律设立,且主要营业地位于中国,因此属于PPPAUS项下的涵盖主体。但美国公司在华的分公司和代表处系美国公司的一部分,因此仍属于美国主体不是涵盖主体。

4. 既然雇佣协议属于被限制的交易,那么美国公司在华聘用中国员工是否受关注?

因为雇佣协议是限制美国公司直接聘用受关注国家的员工,所以美国公司在华子公司作为独立法人聘用中国员工并非受到PPPAUS管制。

但是,如果在华子公司的员工可以通过内部系统权限访问美国公司存储的美国敏感个人数据,且涉及的数据量达到规定的阈值,考虑到在华子公司和其员工均构成PPPAUS项下的涵盖主体,则该行为也可能构成PPPAUS项下的受限制交易。如果在华子公司员工是基于公司日常行政事务,例如差旅审批,则可以基于关联公司内部交易主张豁免;而如果该员工访问美国公司的数据是为了向美国公司提供某类服务,例如数据处理和分析服务,而且这类访问权限比较难以解释为关联公司日常业务运营所必须,则可能落入“供应商协议”的范畴而受到限制。然而,关于此类关联公司内部的数据访问仍需进一步澄清。同时,考虑到中国子公司可能与美国总部共享IT基础设施而未进行隔离,从前瞻性角度来看,不排除未来司法部可能就此问题作出更明确的补充规定。

此外,美国公司在华分公司或代表处聘用会接触到受涵盖数据的员工则可能会受到PPPAUS约束,其原因是该类组织仍属于美国主体。

5. 有无合规路径?

上文提到,涉及美国数据的企业需要考虑建立一套基于风险的合规管理体系以适应PPPAUS提出的新要求。具体包括对于涉及的美国数据进行数据映射(data mapping),了解有哪些业务活动会使得涵盖数据被受关注国家和/或涵盖主体获取,涉及哪些涵盖数据,是否构成涵盖交易,相关的例外和豁免能否适用,是否能够获得许可。如相关业务活动构成被限制的交易则公司能否采取合规和隔离措施。企业可以结合该路线图设计适合自己的合规管理体系。

6. 不同行业的涉及美国数据的企业需要重点关注哪些问题?

因为PPPAUS以数据为抓手,涉及的行业范围太广,本文不可能一一分析,只能选择两个典型行业做浅显的点评:生物医药领域在生物医药领域,如临床试验或者合同研究组织(CRO)业务可能涉及人类组学数据或个人健康数据,有关数据出境行为可能构成被限制的交易或者被禁止的交易。这些公司需要清楚自己在价值链中的位置,即能否要求自己的上游企业履行合规义务,避免直接涉及覆盖交易。如无法避免,则需要关注PPPAUS项下的临床研究豁免。此处需特别注意临床研究豁免的有限的适用条件及利用该豁免将会触发的特定报告义务。如果交易构成受限制的交易,则企业可以考虑开展安全措施以便继续进行该等交易。

7. 金融领域

因为10,000人以上的个人金融数据属于涵盖数据,在特定情形下,数据传输和访问,特别是中国公司提供全球IT服务的情况,可能构成受限制的交易,因此无论是中资在美金融机构还是美国在华金融机构均需考虑采取安全措施以便符合PPPAUS规定的开展受限制的交易的先决条件。

  1. 参见The Lawfare Podcast: The New Program to Protect Americans’ Bulk Data from Foreign Exploitation, with DOJ’s Devin DeBacker,2024年11月8日。
  2. 参见https://www.cisa.gov/sites/default/files/2025-01/Security_Requirements_for_Restricted_Transaction-EO_14117_Implementation508.pdf

 

作者
张文豪 | 宓玉婕