美司法部跨境数据新规如何针对中国？特朗普又要作什么妖？

本规则旨在防止某些受关注国家获取敏感个人数据及政府相关信息。这些国家包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。

该最终规则的制定始于拜登政府的一系列行政命令。虽然有人猜测特朗普政府可能暂停或推翻它，但并未采取行动。预计司法部将执行这些限制，禁止数据流向某些被列为“禁止交易”或“受限交易”的外国主体。

该最终司法部规则对美国企业影响深远。企业处理或可能无意传输个人数据及政府相关信息时将受约束。具体来说，司法部旨在监管以下方面：

司法部规则初步将六国列为“受关注国家”：中国、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。

司法部规则限制及/或禁止以下“被覆盖主体”获取某些政府相关信息和美国敏感个人数据：

1、在受关注国家注册成立、主要营业地点位于受关注国家，或受关注国家所有比例达50%或以上的外国实体；

2、被覆盖主体（个人或实体）直接或间接所有比例达50%或以上的外国实体；

3、在受关注国家或为被覆盖主体工作的非美国居民外籍员工或承包商；

4、主要居住于受关注国家的外籍个人；

5、司法部长根据特定标准合理认定的其他实体或个人。

司法部规则主要涵盖六类个人数据和两类政府相关信息：

1、敏感个人数据：超出特定数量阈值（大量美国敏感个人数据），广泛定义为包括：

（1）人类基因组数据；

（2）生物识别标识符（如面部图像、声纹和声波图、视网膜扫描）；

（3）个人健康数据（范围极广，包含多种健康相关信息）；

（4）个人财务数据（如信用卡、银行账户、财务负债及支付记录）；

（5）精确地理位置数据；

（6）某些与其他数据结合后可关联敏感个人数据的个人标识符（符合特定豁免情况）。

2、政府相关信息：不受数据处理量限制，包括：

（1）司法部规则附录中列出的特定敏感政府位置或地区的精确地理位置数据；

（2）与美国政府现任或前任雇员或承包商关联的敏感个人数据。

司法部规则对特定数据交易设立了全面禁令和限制。这些交易可能使某些外国主体获取美国敏感个人数据或政府相关信息。其影响覆盖并购、房地产、雇佣、高等教育及商业供应商协议等领域。

1、受限交易：符合特定豁免情况下，司法部规则限制任何美国实体或个人明知向被覆盖主体或受关注国家进行的以下三类交易，除非参与交易的美国主体遵守特定“安全要求”：

（1）雇佣协议：包括董事会级别、高管级别安排或服务等雇佣安排（独立承包商除外）。

例如：在受关注国家（如中俄）有业务的企业，可能需要明确限制外籍员工访问受限制数据。若某些业务涉及访问受限制数据或AI相关数据训练，这些限制会进一步阻碍美国企业将职能外包给受关注国家。

（2）投资协议：包括收购美国房地产或美国法律实体的直接或间接所有权权益（被动投资、特定股票投资或被覆盖主体作为少数股东或无投票权股东的投资除外）。

例如：某国科技企业与开发处理受限制数据的数据中心或移动应用的美国企业签订股东协议。若该投资赋予该国投资者访问此类受限制数据的权利，则该交易可能受限。

（3）供应商协议：包括云计算服务、软件即服务订阅、人力资源薪资或招聘平台、AI聊天机器人、AI合同管理服务、数据共享安排、广告技术服务、移动应用开发、管理咨询服务、业务流程外包安排，及其他涉及数据访问与传输的信息技术或非信息技术服务。 

例如：在受关注国家有业务的企业，可能需要明确限制外籍员工访问受限制数据。若某些业务涉及访问受限制数据或AI相关数据训练，这些限制会进一步阻碍美国企业将职能外包给受关注国家。

2、禁止交易：司法部规则禁止明知进行某些数据交易。这些交易使受关注国家或被覆盖主体得以访问受限制数据，包括：

（1）数据经纪活动：指数据的销售、许可或类似的商业交易（将数据从提供方转移给接收方）。

此禁令可能要求所有组织检查其许可协议，识别并评估潜在风险。向与受关注国家有联系的特定外国主体或实体提供数据访问权时，企业应对数据接收方、被许可方或客户进行尽职调查。

对于与不属于被覆盖主体的外方进行数据经纪活动，此类数据传输需满足额外合同义务和报告义务。

（2）涉及访问大量人类生物识别数据或可从中提取此类数据的人类生物样本的交易。

这些禁令和限制将对广泛的商业活动及法律实践产生巨大影响。从涉及跨境投资者和数据中心的企业交易，到带有外资权益的房地产收购，再到涉及居住在受关注国家外籍人士的雇佣协议，以及技术许可、医疗保健和金融服务等领域的供应商管理，企业运营的几乎每个环节都可能面临司法部的执法。

违规可能导致最高民事罚款。罚款金额为368,136美元或涉及交易金额的两倍（二者取高）。蓄意违规可能导致最高100万美元刑事罚金，以及最高20年监禁。

企业应立即全面审查其数据处理实践及国际合作。关键步骤包括：

1、评估数据交易：识别贵组织是否收集或处理司法部规则定义的受限制数据；

2、评估对外关系：确定是否有任何被覆盖主体或外国行为体访问了企业的数据或系统；在某些情况下，发现涉及政府相关信息和敏感个人数据的特定已知或可疑外流数据传输后，需在14天内报告；

3、审查第三方关系：密切监控企业的信息技术或其他供应商合作、并购交易、房地产交易、雇佣安排及投资伙伴关系，确保符合司法部规则；

4、如符合条件，申请司法部许可证：美国企业可向司法部申请通用许可证，以授权特定数据交易。获批后，企业可在司法部批准的具体条款下进行相关受限制数据交易，并履行司法部规定的额外报告义务；

5、建立受限交易合规计划：2025年10月6日前，任何进行受限交易的美国主体必须制定并实施数据合规计划。该计划需包括验证受管制数据流量的基于风险的流程、验证供应商身份及合规性的程序，以及描述符合特定标准的安全要求的书面政策。他们还必须接受独立审计机构对前12个月在司法部规则下合规情况的年度审计。该审计报告至少须保留10年。

就在企业界忙于应对司法部跨境数据新规带来的复杂合规挑战之际，美国联邦层面的网络安全政策方向也因政权更替而发生了调整。新一届政府一上台，便着手修订前任颁布的网络安全行政命令，旨在打造其认为更有效、更符合执政理念的网络安全治理框架。特朗普总统最新发布的行政命令《持续加强国家网络安全举措及修订第13694号与14141号行政令》，正是这一政策转向的集中体现。该命令对奥巴马和拜登时期的几项关键网络安全行政令进行了修订，特别聚焦于数字身份和软件供应链安全要求等方面。

据国外媒体报道，特朗普的行政令修改了奥巴马与拜登时期网络安全行政令中“有问题且令人分心的规定”，特别是“允许非法移民不当获取公共福利的数字身份规定，易引发广泛滥用”。

特朗普行政令的调整主要针对拜登政府1月15日（特朗普就职前）发布的综合行政令。该命令包含九部分内容，要求联邦政府各部门采取数十项行动，涉及支持数字身份、加强供应链风险管理、应对国家行为体威胁等领域。

尽管特朗普令废除了拜登令中关于数字身份的核心条款，并撤销了软件安全开发的强制认证要求，但仍保留了原行政令的主体内容。与充满党派色彩的说明文件不同，行政令正文是纯粹的政策文件，未掺杂政治攻击。

前白宫国安会资深网络安全官员、现Venable律所网络安全服务高级总监Caitlin Clarke表示：“两届政府的行政令存在高度延续性令人欣慰。它们都强调网络安全对联邦网络及关键基础设施的重要性，并推进了核心保护措施。”

攻击者正日益通过盗用数字身份侵入高防护网络。网络罪犯与国家行为体常通过冒充内部人员或窃取凭证渗透系统。

为此，拜登令要求国家标准技术研究院(NIST)支持使用数字证件进行远程身份核验，并敦促联邦机构采纳数字证件及隐私保护机制。

特朗普令则废除了所谓的数字身份“强制规定”，声称向“非法移民”发放政府ID将助长“福利欺诈等滥用行为”。

“加强身份联盟”协调人Jeremy Grant声明指出：“我们对该决定深感失望。这部分内容获得两党共同支持，且受到网络安全与反诈专家的高度认可。其核心是让NIST制定各级机构可用的数字身份安全指南，推动联邦机构采纳安全凭证以防止公共福利欺诈。”

他特别强调：“原行政令从未要求政府向移民等群体发放数字身份证。”

拜登令曾强制要求联邦软件供应商证明其遵守安全开发规范，作为软件供应链安全计划的重要环节。该要求延续了拜登2021年5月首份网络安全行政令精神。拜登今年1月的第二份行政令更通过强制认证（即提供合规的正式证据）强化了执行力度。

Clarke解释：“拜登政府后期认为需要突破简单清单模式，要求额外提供遵循NIST安全开发准则的证明。”

特朗普令废除了认证要求，称其“推行未经证实、繁琐的软件审计流程，将合规清单置于真实安全投入之上”。但同时要求NIST联合产业界建立联盟，制定更完善的安全开发实践指南。

特朗普令延续了拜登令对AI的重视，指出AI能“通过快速识别漏洞、提升威胁检测规模及自动化防御变革网络安全”。

Dataminr公司首席技术官Tim Miller表示，该行政令明确“AI不是取代人类，而是赋能人类强化防御体系，无论是提升漏洞风险管理效率，还是加速零日漏洞应对”。

特朗普令还要求政府机构向学术界开放AI数据集，并建立AI软件漏洞管理机制。两届政府均要求推动后量子密码应用。特朗普令要求国土安全部、网络安全与基础设施安全局及国安局在2025年12月1日前建立后量子密码(PQC)产品类别体系，并要求所有机构在2030年1月2日前支持传输层安全协议1.3或更新版本。

特朗普对奥巴马第13694号令（制裁对美国实施恶意网络活动的“个人”）的唯一实质修改，是将适用对象明确限定为“境外个人”。针对特朗普对前任政策的微调， Clarke总结道：“政策延续性具有积极意义。我们始终强调网络安全应超越党派——仔细阅读特朗普行政令能发现这一点。”

从司法部严控敏感数据跨境流动的新规，到联邦政府内部网络安全政策的转向，美国正在全方位构筑其数字时代的国家安全防线。对于在美运营的企业而言，这意味着需要同时应对两方面的挑战：既要严格遵守DOJ针对特定国家和主体的数据交易禁令与限制，建立完善的跨境数据合规体系；也要关注联邦采购标准的潜在变化，特别是软件供应链安全要求的最新动态。这两大政策动向虽各有侧重——前者聚焦于企业对外数据流动的“边界”，后者着眼于政府自身数字生态的“内核”——但其核心目标却高度一致：在日益复杂的网络威胁环境下，更有效地保护美国公民的敏感信息和国家关键基础设施的安全。未来，无论政策细节如何调整，对数据安全和网络韧性的强调，无疑将成为美国国家战略中超越党派争议的长期共识。企业需保持敏锐洞察，将动态合规融入战略考量，方能在这个数据治理的新纪元中稳健前行。