美国司法部发布《数据安全计划合规指南》，以落实敏感数据外流至受关注国家

随着数字技术发展，数据安全成为美国国家安全的核心议题。2017年特朗普政府通过第13873号行政令（《确保信息和通信技术及服务供应链安全》），首次以“国家紧急状态”应对外国获取信息技术的威胁。2019年5月15日，前总统拜登扩大了第13873号行政命令中宣布的国家紧急状态的范围，2021年6月9日，前总统拜登发布的第14034号行政令（《保护美国人的敏感数据免受外国对手的侵害》）中采取了附加措施。2024年2月28日，前总统拜登发布了第14117号行政令（《阻止相关国家获取美国人的大量敏感个人数据和美国政府相关数据》）。为推进总统行政令，美国司法部推出《数据安全计划合规指南》，该指南针对中国等“受关注国家”通过商业渠道获取美国公民基因组、生物识别、地理定位等敏感数据的行为，旨在阻断其利用人工智能技术分析海量数据、实施间谍活动或战略压制的路径。

（一）核心目标

 1.阻断敏感数据外流：防范外国对手通过商业采购或强制企业披露获取敏感信息；

2.建立分级管控体系：重点监管基因组学、地理定位、生物识别、健康及金融等敏感领域；

3.平衡安全与商业利益：设置90天政策缓冲期，给予企业合规调整时间。

（二）三大核心机制

1.数据出口管制体系

（1）建立受控人员名单：识别外国对手控制、管辖或指导的实体；

（2）划分敏感数据类型：涵盖政府相关数据及6大类个人敏感信息；

（3）设置交易禁令：禁止美国实体与受控对象进行特定数据交易。

2.合规支持体系

（1）发布标准化合同范本：提供数据交易合规协议模板；

（2）明确审计要求：规定数据留存及审查程序；

（3）建立咨询机制：通过FAQ解答300余项操作性问题。

3.分级执法政策

（1）90天缓冲期（2025.4.8-7.8）：优先指导而非处罚，允许企业调整合同和数据流程；

（2）强制合规期（2025.10.6起）：全面执行尽职调查义务；

（3）例外处理机制：保留对紧急国家安全威胁的即时处置权。

（三）利益相关方义务

1.美国实体：须建立数据分类管理制度，定期进行数据流审查；

2.在美外企：需遵守与美国实体同等的交易限制规定；

3.技术供应商：应部署CISA网络安全标准，强化数据保护措施。

（四）动态调整机制

1.定期更新受控名单：根据情报评估动态增删管控对象；

2.优化合规指南：每季度发布新版FAQ回应行业反馈；

3.弹性执法政策：保留对恶意违规行为的追溯处罚权。