基于数据的出口管制：美国数据安全计划对中企出海的合规挑战与应对

2025年1月8日，美国司法部（The Department of Justice of the United States, DOJ）发布《防止受关注国家或涵盖主体访问美国敏感个人数据和美国政府相关数据》（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）的最终规则（Final Rule），以落实时任拜登总统于2024年2月28日发布的行政令（Executive Order, E.O.）14117《防止受关注国家访问美国大量敏感个人数据和美国政府相关数据》（Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern），禁止或限制美国人（U.S. Persons）参与那些可能导致受关注国家或受关注主体访问美国大量敏感个人数据和美国政府相关数据的特定交易。此最终规则创设了针对美国大量敏感个人数据和美国政府相关数据的新的监管框架——美国数据安全计划（Data Security Program, DSP）。

与一般的数据保护和数据合规有所不同，美国数据安全计划将数据提升至国家安全层面进行强监管，其实施将会对不同行业造成不同程度的影响，例如投资行业、科技与信息技术服务行业、跨境电商行业、健康和生命科学行业、银行金融行业等；并对中企涉美业务造成一定的合规挑战。有鉴于此，我们将在本文中对美国数据安全计划及其所创设的合规挑战、对企业出海造成的影响与应对进行分析。

一、背景

美国实施数据安全计划的目的在于应对受关注国家（如中国）或涵盖主体利用美国大量敏感个人数据和美国政府相关数据所带来的国家安全风险，例如开发人工智能、进行监视活动等。例如，在最终规则中，美国司法部指出，2024年10月28日，"有记者发现美国（时任）总统拜登、（时任）竞争对手特朗普（Donald Trump）和哈里斯（Kamala Harris）及其他领导人的高度机密行踪可以通过其保镖使用的健身应用程序进行在线追踪，且该应用程序在这些保镖下班后使用健身应用程序时仍然可以追踪到他们的精确地理位置"。 ^[1]

有鉴于此，为了应对这一国家安全风险，通过发布美国数据安全计划的最终规则，连同2025年4月11日发布的《数据安全计划：合规指引》（Compliance Guide）、《数据安全计划：实施和执行政策（截至2025年7月8日）》（Data Security Program: Implementation and Enforcement Policy Through July 8, 2025）及常见问题（Data Security Program: Frequently Asked Questions），美国司法部实际上据此在数据安全计划下制定了基于"数据"的"出口管制"措施，禁止或限制美国人（U.S. Persons）参与那些可能导致受关注国家或涵盖主体访问美国大量敏感个人数据和美国政府相关数据的特定交易 ^[2]，阻止受关注国家或涵盖主体通过合法商业交易访问这些敏感数据。

二、生效时间

根据《数据安全计划：实施和执行政策（截至2025年7月8日）》，最终规则的不同条款适用不同的生效时间 ^[3]，具体而言：

• 自2025年4月8日起，除DSP的审计、尽职调查、报告要求以外的禁止和限制要求生效，受制于DSP的主体应当遵守这些已生效的要求；

• 2025年4月8日至2025年7月8日为执法宽限期，只要在此期间认真努力遵守DSP合规要求的，美国司法部不会对其违反DSP规定的行为采取执法措施。自执法宽限期结束之日起，受制于DSP的主体应当遵守除DSP的审计、尽职调查、报告要求以外的禁止和限制要求生效，并且美国司法部将对任何违规行为采取执法行动；

• 自2025年10月6日起，该最终规则全部条款（包括DSP的审计、尽职调查、报告要求）已全面生效，受制于DSP的主体应当全面遵守DSP的要求。

根据《数据安全计划：实施和执行政策（截至2025年7月8日）》的规定，执法宽限期内的"认真努力遵守DSP合规要求的行为"如下 ^[4]：

• 对敏感个人数据的访问权限进行内部审查，包括涉及此类数据流访问的交易是否构成数据经纪交易（Data Brokerage Transactions）；

• 审查企业内部数据集（Datasets）和数据类型（Datatypes），以确定它们是否可能受制于DSP；

• 重新谈判供应商协议或与新供应商谈判协议；

• 将产品和服务转移给新供应商；

• 对潜在的新供应商进行尽职调查；

• 与作为数据经纪交易对手方的外国主体协商合同中的后续传输条款（Onward Transfer）；

• 调整员工的工作地点、角色或职责；

• 评估来自受关注国家或涵盖主体的投资；

• 与受关注国家或涵盖主体重新协商投资协议；或

• 实施网络安全和基础设施安全局 (Cybersecurity and Infrastructure Agency, CISA) 的安全要求（Security Requirements），包括为防止涵盖主体访问涵盖数据以进行受限交易而必须采取的数据层面的要求。

三、美国司法部关于DSP的监管理念及其与一般的数据合规的区别

纵观美国司法部所建立的DSP的监管框架，其将数据提升至国家安全的层面进行强监管，对美国大量敏感个人数据和美国政府相关数据施加出口管制措施，禁止或限制受关注国家或主体对此类敏感数据的访问。值得注意的是，DSP的监管机制还同时融合了出口管制与制裁的监管理念。

总体而言，美国数据安全计划与一般的数据合规具有以下的不同：

四、美国数据安全计划的核心规则解读

1. 适用范围

美国数据安全计划禁止或限制美国人（U.S. Persons）参与那些可能导致受关注国家或涵盖主体访问美国大量敏感个人数据和美国政府相关数据的特定交易。根据数据安全计划的FAQ第2问，美国人（U.S. Persons）必须遵守DSP的要求；同时，非美国人（Non-U.S. Persons）也会受制于DSP的特定规定，例如DSP关于禁止任何人（含非美国人）从事旨在规避或逃避DSP相关禁令、导致违反或试图违反DSP相关禁令的行为。 ^[6]

根据DSP的最终规则，美国人（U.S. Persons）是指^[7]：

• 任何美国公民、国民或合法永久居民；

• 根据美国法典第 8 卷第 1157 条被接纳为难民或根据美国法典第 8 卷第 1158 条获得庇护的任何个人；

• 完全根据美国法律或美国境内任何司法管辖区成立的任何实体（包括外国分支机构）；或

• 身处美国的任何人（包括自然人和实体）。

2. 对访问（Access）的理解

触发美国数据安全计划适用的关键之一在于受关注国家或主体对于美国政府数据和美国大量敏感个人数据的"访问"（Access）。DSP的最终规则赋予"访问"一词以广泛的定义，明确"访问是指逻辑或物理访问，包括以任何形式获取、读取、复制、解密、编辑、转移、发布、影响、更改状态或以其他方式查看或接收数据的能力（the ability），包括通过信息系统、信息技术系统、云计算平台、网络、安全系统、设备或软件进行访问......判断是否构成访问时，无需考虑任何安全要求的适用或效果" ^[8]。即判断是否构成访问时，考虑的是其是否具有访问的能力（The Ability to Access），而不考虑对数据所采取的安全措施（例如加密、匿名化、去标识化等）。

3. 黑名单筛查重要性凸显

如前述，美国数据安全计划禁止或限制美国人（U.S. Persons）参与那些可能导致受关注国家或主体访问美国大量敏感个人数据和美国政府相关数据的特定交易。据此，同时符合以下条件的交易将触发美国数据安全计划的适用：

• 交易主要发生于美国人（U.S. Persons）和受关注国家或主体（涵盖主体，Covered Persons）之间，需注意下文所述的关于美国人与外国主体之间特定交易也会触发DSP的适用；

• 交易涉及美国大量敏感个人数据和美国政府相关数据（以下简称"涵盖数据", Covered Data）；

• 交易涉及受关注国家或主体访问（Access）美国大量敏感个人数据和美国政府相关数据；和

• 交易为以下类型之一的涵盖数据交易（Covered Data Transactions）：数据经纪交易（Data Brokerage）、供应商协议（Vendor Agreement）、雇佣协议（Employment Agreement）、投资协议（Investment Agreement）。

受关注国家（Country of Concern）与涵盖主体（Covered Persons）

根据DSP的最终规则，美国认为受关注国家长期从事严重危害美国国家安全或美国公民安全的行为且存在利用政府相关数据或大量美国敏感个人数据，从而损害美国国家安全或美国公民安全的重大风险。受关注国家包括中国（含香港、澳门）、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉。

美国数据安全计划下的涵盖主体被赋予广泛定义，且纳入了美国经济制裁的OFAC 50%规则和涵盖主体清单制度。具体而言，涵盖主体包括：

（1）满足以下任一条件的实体（A foreign person that is an entity）：

• 由一个或多个受关注国家（单独或合计、直接或间接）持股50%以上的实体；

• 由一个或多个(2)中的涵盖主体（Covered Person）（单独或合计、直接或间接）持股50%以上的实体；

• 依据受关注国家法律设立（例如，依据中国法律设立的公司）；

• 主要营业地为受关注国家（例如，主要营业地为中国的公司）；

（2）由一个或多个(1), (3), (4)或(5)所列实体（单独或合计、直接或间接）持股50%以上的实体；

（3）满足以下任一条件的自然人：

• 受关注国家的员工或承包商；或

• (1), (2), or (5)所列实体的员工或承包商；

（4）主要居住在受关注国家领土管辖范围内的自然人；

（5）无论身处何地，被美国司法部长认定的如下任何人（自然人或实体）：

• 属于、曾经属于或可能属于受关注国家或涵盖主体所有或控制，或受其管辖或指示；

• 为、曾经为或声称为受关注国家或涵盖主体行事，或可能为之行事；或

• 明知造成或指使，或可能明知造成或指使违反本部分规定的行为。

涵盖数据（Covered Data）

美国数据安全计划下的涵盖数据包括美国大量敏感个人数据和美国政府相关数据，其中美国大量敏感个人数据需要达到对应的数量要求才会触发DSP的管辖，而对于美国政府相关数据则无相应的数量阈值要求。

根据美国数据安全计划的最终规则，大量美国敏感个人数据是指与美国人有关的任何格式的敏感个人数据的集合或数据集，无论该数据是否经过匿名化、假名化、去标识化或加密，只要该数据达到或超过规定的阈值。具体而言，大量美国敏感个人数据是指在过去 12 个月内的任何时间点达到或超过以下阈值的任何数量的敏感个人数据，无论是通过单个或多个涵盖数据交易汇总而成：

根据美国数据安全计划的最终规则，美国政府相关数据包括：

• 任何精确的地理位置数据：无论数据量多少，位于"政府相关位置数据清单"上任何地点（例如，军事基地和其他敏感政府场所）的地理位置数据；

• 任何被宣传为与美国政府雇员、承包商和官员相关或可与之关联的敏感个人数据。

涵盖数据交易（Covered Data Transactions）

涵盖数据交易是指受关注国家或涵盖主体访问涵盖数据、且涉及数据经纪交易（Data Brokerage）、供应商协议（Vendor Agreement）、雇佣协议（Employment Agreement）、投资协议（Investment Agreement）的数据交易。

数据经纪（Data Brokerage）是指出售数据、许可访问数据或类似的商业交易，但不包括雇佣协议、投资协议或供应商协议，涉及将数据从任何人（提供者）转移到任何其他人（接收者），其中接收者没有直接从与所收集或处理的数据相关联或可关联的个人收集或处理数据。例如，美国公司销售大量美国敏感个人信息给中国公司的，属于数据经纪交易。

供应商协议（Vendor Agreement）是指除雇佣协议以外的任何协议或安排，其中任何人向另一主体提供商品或服务（包括云计算服务），以换取付款或其他对价（Consideration）。例如，某美国公司通过其应用程序（App）收集大量美国敏感个人信息，然后与某中国公司签署供应商协议以约定由中国公司负责处理和存储这些数据，此协议即为供应商协议。

雇佣协议（Employment Agreement）是指除独立承包商以外的任何协议或安排，其中个人直接为他人履行工作或工作职能，以换取报酬或其他对价（Consideration），包括在董事会或委员会任职、在高管级别的安排或服务以及运营级别的雇佣服务。例如，某美国医疗公司持有大量美国敏感个人信息，其聘请具有香港永居身份的香港人加入其审计委员会所签署的雇佣协议。

投资协议（Investment Agreement）是指任何人通过支付款项或其他对价，获得位于美国的房地产或美国法律实体的直接或间接所有权权益或相关权利的安排，但某些被动投资（Passive Investments）除外。例如，中国私募股权基金为某美国公司拟建立的数据中心进行投资并获得大部分股权的投资协议。

4. 禁止交易（Prohibited Transactions）

美国数据安全计划将涵盖数据交易分为两类——禁止交易和限制交易。其中，禁止交易包括如下情形。

• （1）禁止的数据经纪交易（Prohibited data-brokerage transactions.）：除经豁免或许可或另有规定，任何美国人不得明知故犯地与受关注国家或涵盖主体进行涉及数据经纪的涵盖数据交易。例如，美国公司授权中国公司访问大量美国敏感个人信息的，属于被禁止的数据经纪交易。

• （2）其他涉及可能将数据转移（Potential Onward Transfer）至受关注国家或涵盖主体的禁止数据经纪交易（Other prohibited data-brokerage transactions involving potential onward transfer to countries of concern or covered persons.）：除非另有规定，任何美国人不得明知故犯地参与任何涉及外国人（非涵盖主体）获取美国政府相关数据或大量美国敏感个人数据的数据经纪交易，除非该美国人：1）通过合同要求该外国人不得与受关注国家或涵盖主体进行涉及相同数据的后续涵盖数据交易；以及2）报告任何已知或疑似违反上述合同条款要求的行为。例如，某美国公司出售美国大量敏感个人信息给一个德国公司，则该美国公司有义务在此协议中限制德国公司将数据转售给中国公司或通过其他商业交易方式与中国公司进行数据经纪交易。否则，该美国公司与德国公司的协议为禁止交易。

• （3）禁止进行人类组学数据和人类生物样本交易（Prohibited human 'omic data and human biospecimen transactions.）：除非另有规定，任何美国人不得明知故犯地参与与受关注国家或涵盖主体的、涉及受关注国家或涵盖主体访问美国大量人类组学数据或人类生物样本的数据的涵盖数据交易。例如，美国公司将大量人类组学数据许可给中国公司访问的，为禁止交易。

• （4）禁止规避、企图规避、造成违规和共谋行为（Prohibited evasions, attempts, causing violations, and conspiracies.）：任何旨在规避或逃避、导致或企图违反DSP任何禁令的交易均被禁止、任何为违反DSP所列禁令而形成的共谋均被禁止。例如，一个美国公司持有大量美国敏感个人数据，其将这些数据销售给中国个人。为实现规避DSP的目的，该美国公司邀请中国人来美国旅行入境美国（此时该入境美国的中国人属于DSP下的"美国人"/U.S. Person）以完成此次数据交易。然后中国人带着大量美国敏感个人数据回到中国。此交易属于被禁止的规避行为。

• （5）明知而指引禁止交易或限制交易（Knowingly directing prohibited or restricted transactions.）：除非另有规定，任何美国人不得明知故犯地指示进行，如由美国人从事则本应被禁止的交易或不符合合规要求的限制交易。例如，一个美国人是某德国公司的CEO，该美国人指引并审批德国公司与中国公司开展数据经纪交易（如果是美国公司与中国公司开展此交易，属于禁止交易），那么该美国人属于故意指导从事应被禁止的交易。

5. 限制交易（Restricted Transactions）

美国数据安全计划明确，未经许可或豁免，任何美国人不得明知与受关注国家或涵盖主体签订供应商协议、雇佣协议或投资协议以进行涵盖数据交易，除非该美国人遵守美国网络安全基础设施安全机构（Cybersecurity Infrastructure Security Agency, CISA）的安全要求和美国司法部的合规要求（包括建立数据安全计划的合规体系、记录保存要求和审计要求）。需要指出的是，涉及人类组学数据和人类生物样本交易的涵盖数据交易不属于限制交易的范围，而属于禁止交易的范围。

CISA安全要求包括组织层面（Organization-Level）、系统层面（System-Level）和数据层面（Data-Level）的安全要求，例如确保组织的基本网络安全政策、实践和要求到位；试行访问控制；开展内部数据风险评估；应用数据最小化和数据掩码（data masking）；应用加密技术保护涵盖数据；应用隐私增强技术、身份和访问管理技术等。

而对于美国司法部关于DSP的合规要求，《数据安全计划：合规指引》中指出，企业应从如下方面开展DSP合规工作：

6. 豁免（Exemptions）

美国数据安全计划规定了不同的豁免交易的情形。然而，需要注意的是，这些豁免情形的适用都较为局限且需满足一定的条件，因此企业在适用时应进行审慎的分析。总体上，DSP规定的豁免情形如下 ^[9]：

• 个人通信（Personal Communications）：涉及任何邮政、电报、电话或其他不涉及任何有价物转移的个人通信的数据交易。

• 信息或信息材料（Information or Information Materials）：涉及从任何国家进口或向任何国家出口任何信息或信息材料的数据交易，无论该等交易是商业性的还是其他性质的，也无论其格式或传输媒介如何。

• 旅行（Travel）：与往返任何国家或地区的旅行相关的必要数据交易，包括为个人用途携带随身行李入境；在任何国家/地区内的生活开支，包括支付生活费用和购买为个人用途购买的商品或服务；以及安排或协助此类旅行，包括非定期空运、海运或陆路旅行。

• 美国政府的官方商业交易（Official Business of the United States Government）：美国政府雇员、受赠人或承包商为开展美国政府公务而进行的数据交易；美国政府任何部门或机构的任何授权活动；或根据与美国政府签订的赠款、合同或其他协议进行的交易。

• 金融服务（Financial Service）：涉及金融服务提供过程中附带的或构成金融服务的一部分的数据交易。

• 企业集团交易（Corporate Group Transactions）：涉及美国人与其位于受关注国家（或由受关注国家所有、指导、管辖或控制）的子公司或关联公司之间的、通常与行政或辅助业务运营相关且构成其一部分的（Ordinarily incident to and part of administrative or ancillary business operations）数据交易，包括人力资源；工资、费用监控和报销以及其他公司财务活动；缴纳营业税费；获取营业执照或许可证；为遵守监管规定而与审计师和律师事务所共享数据；风险管理；商务旅行；客户支持；员工福利；以及员工的内部和外部沟通。

• 联邦法律或国际协议要求或授权的交易（Transactions required or authorized by Federal law or international agreements, or necessary for compliance with Federal law）：即联邦法律要求或授权的数据交易，或根据美国作为缔约方的国际协议要求或授权的数据交易。

• 受制于美国外国投资委员会（Committee on Foreign Investment in the United States, CFIUS）的投资协议：即涉及受 CFIUS 审查的投资协议的数据交易（Data transactions that involve an investment agreement that is subject to a CFIUS action）。

• 电信服务（Telecommunications Services）：通常是电信服务提供过程中附带的或构成电信服务的一部分的数据交易。

• 药品、生物制品和医疗器械的授权（Drug, biological product, and medical device authorizations）：涉及监管审批数据的交易、且是为获得或维持监管授权或批准以进行药物、生物制品、器械或组合产品的研发或上市所必需的数据交易。

• 其他临床研究和上市后监测数据（Other clinical investigations and post-marketing surveillance data）：涉及其他临床研究和上市后监测数据的数据交易。

7. 许可机制（License）

美国数据安全计划采用了一种类似于美国经济制裁和出口管制的许可机制，以授权实施那些本应被禁止或限制的涵盖数据交易。应当注意的是，美国司法部在DSP的最终规则中指出，"许可证只会在极其少见的情况下发放"，且可能受制于司法部认为合适的要求。

美国数据安全计划下的许可证包括通用许可证（General Licenses）和特别许可证（Specific Licenses）。通用许可证可适用于受制于DSP的主体（美国人），而特别许可证适用于为特定交易申请许可证的当事方。目前，美国司法部尚未发布相关许可证。

8. 记录保存和报告要求

美国数据安全计划要求美国人（U.S. Persons）对其开展的未被豁免的涵盖数据交易进行记录保存（至少10年）。对于限制交易，DSP还规定了企业必须保存的资料，包括经年度认证（Annually Certified）的数据合规计划的制度、经年度认证的安全要求的实施制度、年度审计报告、限制交易数据流的尽职调查报告、数据传输方式的记录、交易的开始和终止时间、与交易相关的协议、获取的咨询意见或许可证等。美国司法部可以随时要求对受制于DSP的任何行为、交易或涵盖数据交易进行报告。

美国数据安全计划最终规则还明确，除另有规定外，任何在 2025 年 10 月 6 日或之后从事涉及云计算服务的限制交易的美国人，如果其25%或以上的股权由受关注国家或涵盖主体（直接或间接，通过任何合同、安排、谅解、关系或其他方式）持有，则必须提交年度报告。同时，除另有规定外，任何美国人如在2025年10月6日或之后收到并明确拒绝他人提出的涉及数据经纪的禁止交易的，则必须提交报告。

9. 对限制交易的尽职调查和审计要求

美国数据安全计划最终规则明确，在2025年10月6日之前，美国人必须对其开展的限制交易建立数据合规计划（Data Compliance Program, DCP）。此数据安全合规计划应当至少包括如下内容：

• 建立以风险为导向的机制核实限制交易的数据流，明确限制交易中涵盖数据的类型和数量、交易方的身份、涵盖数据的最终用途、数据传输方式；

• 对于涉及供应商的限制交易，应核实供应商的身份；

• 经合规认证的DCP政策；及

• 经合规认证的实施安全要求的政策等。

美国数据安全计划要要求美国人自2025年10月6日起对限制交易开展审计，与审计相关的要求如下：

• 审计人员应当具有资质、能胜任的，具有独立性，其不应为受关注国家或涵盖主体；

• 对于美国人进行任何限制交易的每年，必须进行一次审计；

• 审计必须涵盖前12个月的期间；

• 审计范围包括审计美国人的限制交易、数据合规计划（DCP）的建立与执行、相关的记录保存、安全要求等；及

• 完成审计后的60天内应向美国人提交书面审计报告。

10. 不合规的处罚

违反DSP可能导致民事处罚和刑事处罚。民事处罚即每次违规最高罚款金额为 368,136美元或交易金额的两倍，以较高者为准。故意违反者可处以刑事处罚，最高罚款金额为 1,000,000 美元或 20 年监禁。

需要指出的是，与美国出口管制和经济制裁针对违规行为适用严格责任制（Strict Liability）不同，DSP下的处罚适用"知情"标准（Knowledge Standard），即"对于美国人实际知晓或理应知晓的行为、情况或结果"。在确定实体是否知晓或有理由知晓违规行为时，美国司法部表示将"考虑相关事实和情况，包括所涉数据的规模和敏感性，以及交易各方......似乎知晓并试图规避该规则适用的程度"；在评估违规行为时，美国司法部也将考虑企业是否自愿披露（Voluntary Self-Disclosure）和是否存在加重情节，如未能实施数据合规计划可能构成"任何执法行动中的加重处罚因素"。

五、美国数据安全计划对行业的影响

如前述，美国数据安全计划对不同行业将造成不同程度的影响，例如投资行业、科技与信息技术服务行业、跨境电商行业、健康和生命科学行业、银行金融行业等。

1. 投资行业

投资协议属于DSP下涵盖数据交易中限制交易涉及的交易类型之一，中国主体对美投资时，如中国实体通过投资获得拥有涵盖数据的美国实体的足够所有权权益并能访问涵盖数据的，该投资很可能会受制于DSP，从而提升中国主体对美投资的门槛并构成一定的限制。

2. 科技与信息技术服务行业

科技公司的全球化运营通常依赖于第三方供应商提供信息技术服务。DSP的实施将导致科技公司需要对其供应商、数据处理、访问控制等进行限制。中国公司如作为供应商为美国主体提供这些信息技术服务并被认定为访问美国主体的涵盖数据的，可能落入涉及供应商协议的限制交易，从而进一步影响中国公司对美提供此类服务。

3. 跨境电商行业

跨境电商及其相关的服务行业（如跨境物流）的公司通常收集许多自然人的个人敏感数据，如财务数据、精确地理位置等，且这些数据可能经不同程度的跨境访问。对此，此行业的企业应当对其业务涉及的数据流进行分析并进而分析DSP对其的影响。

4. 健康和生命科学行业

健康和生命科学行业的公司通常处理许多敏感健康数据，例如人类组学数据、人类基因组数据和人类生物样本数据，且涉及这些数据的交易通常落入DSP下的禁止交易范围，尽管DSP同时规定了相关的豁免情形。对于那些为美国制药公司、生物技术公司等提供医药合同研发机构（Contract research organization, CRO）等相关服务的中国企业，应当对其业务进行分析并分析DSP对其的影响。

5. 银行与金融行业

尽管DSP将涉及金融服务提供过程中附带的或构成金融服务的一部分的数据交易列入豁免情形，金融机构仍应对其业务涉及的数据流进行审慎分析并进而分析DSP对其的影响。

六、中国企业出海美国应对美国数据安全计划的合规建议

DSP的实施会对不同行业的中国企业的美国业务造成不同程度的影响，并施加不同程度的合规挑战。对此，我们关于中国企业出海美国应对美国数据安全计划的合规建议如下：

1. 尽职调查（Due Diligence）

中国企业应首先对其涉及美国的架构、业务模式、业务涉及的数据及数据流（Know your data and know your data flow）开展尽职调查，分析公司美国业务下哪些主体构成美国人、哪些主体构成涵盖主体；公司业务是否涉及涵盖数据（涵盖数据如何收集、存储、传输等）、是否涉及涵盖数据交易、哪些主体可以访问涵盖数据交易等；

2. 风险评估（Risk Assessment）

在尽职调查的基础上，公司应对其涵盖数据交易开展风险评估，评估属于禁止交易还是限制交易，及是否适用豁免；为此目的，公司需要绘制涵盖数据及访问控制的流程图，评估关键供应商、客户、员工、关联子公司是否能访问关键数据，对供应商建立相应黑名单筛查机制，和对公司目前的供应商协议、投资协议、雇佣协议、数据持有或相关协议进行风险评估等。

3. 建立DSP合规体系

公司应根据其风险评估结果，建立风险导向的DSP合规体系，该合规体系应包括制定数据安全计划的书面制度、制定数据安全措施的书面制度等。

4. 开展培训

企业应针对DSP为其员工开展相关培训，向受众传达为什么要开展美国数据安全计划以及背后的国家安全原因等。

5. 审计、记录保存与报告要求

企业还应当根据DSP的规定开展审计、遵守记录保存与报告要求。

6. 高层承诺

根据上述分析，美国司法部高度重视企业高层对于其开展DSP合规的参与和重视程度；并且，DSP规定企业高层审核合规报告的责任及开展年度合规认证的要求。

七、结语

综上所述，美国通过实施美国数据安全计划将数据提升在国家安全的层面进行强监管，并实际上对涵盖数据施加了出口管制措施，以禁止或限制美国人（U.S. Persons）参与那些可能导致受关注国家或涵盖主体访问美国大量敏感个人数据和美国政府相关数据的特定交易。美国数据安全计划的实施将在不同程度上影响到中国企业的对美业务，某些交易可能被禁止，或被施加特定的限制或合规要求。有鉴于此，中国企业（尤其是存在涉美业务的企业）应当根据对其业务和数据开展尽职调查和风险评估，审慎分析DSP对其的适用性与影响，并采取相关的合规措施进行应对，从而降低合规风险乃至执法风险。

注释：

[1] 请参见美国数据安全计划最终规则,Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-us-sensitive-personal-data-and-government-related-data-by-countries-of-concern.

[2] 请参见美国司法部官网关于美国数据安全计划的信息, https://www.justice.gov/nsd/data-security.

[3] 请参见《数据安全计划：实施和执行政策（截至2025年7月8日）》, Data Security Program: Implementation and Enforcement Policy Through July 8, 2025, https://www.justice.gov/opa/media/1396346/dl?inline.

[4] 请参见《数据安全计划：实施和执行政策（截至2025年7月8日）》, Data Security Program: Implementation and Enforcement Policy Through July 8, 2025, https://www.justice.gov/opa/media/1396346/dl?inline.

[5] 请参见美国数据安全计划最终规则,Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-us-sensitive-personal-data-and-government-related-data-by-countries-of-concern.

[6] 请参见美国数据安全计划的常见问题,Data Security Program: Frequently Asked Questions, https://www.justice.gov/nsd/media/1415006/dl.

[7] 请参见美国数据安全计划最终规则,Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons, https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-us-sensitive-personal-data-and-government-related-data-by-countries-of-concern.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.