执法将满一年：DOJ《数据安全计划》（28 C.F.R. Part 202）如何锁定中资企业——批量敏感数据出境的合规生死线

2026 年 7 月 8 日，美国司法部（DOJ）国家安全司（NSD）"数据安全计划"（Data Security Program，DSP）结束宽限期、进入全面执法即将满一周年。这套依据第 14117 号行政命令（Executive Order 14117）和《国际紧急经济权力法》（IEEPA）制定、编入 28 C.F.R. Part 202 的规则，把中国（含香港、澳门）列为六个"受关注国家"（countries of concern）之首，并将大量中资背景企业及其员工直接界定为"受管控主体"（covered persons）。2025 年 10 月 6 日起，尽职调查、年度审计与年度报告等积极合规义务全部生效；2026 年 3 月 1 日，首批年度报告申报期已过。对于在美持有用户数据的中资企业而言，DSP 已不是"将来时"，而是正在运转的执法机器——据 Morgan Lewis 等多家美国律所观察，NSD 的 DSP 执法已经"全面展开"（in full swing）。

法规背景：从行政命令到"数据出口管制"

2024 年 2 月 28 日，时任总统拜登签署 EO 14117《防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据》。司法部国家安全司据此于 2024 年 12 月 26 日发布最终规则（2025 年 1 月 8 日刊载于《联邦公报》），规则于 2025 年 4 月 8 日生效。NSD 同步发布了《合规指南》《执法政策》及 FAQ（最近一次更新为 2025 年 9 月 24 日），并明确：2025 年 7 月 8 日前对善意合规者暂缓民事执法，此后全面执法。

DSP 的本质是一套针对数据的"出口管制"：禁止或限制美国主体（U.S. persons）与受关注国家及受管控主体之间进行可能导致后者"访问"（access）美国政府相关数据或美国人批量敏感个人数据的交易。受关注国家共六个：中国（含港澳）、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉。

核心规则：谁被管、管什么、怎么管

一、"受管控主体"（covered person）的宽口径定义。包括：受关注国家法律设立或主要营业地在该国的外国实体；被受关注国家或受管控主体直接或间接持股 50% 以上的外国实体；上述实体的外国雇员或承包商；主要居住在受关注国家的外国个人；以及 NSD 个案指定的主体。换言之，一家中国母公司的境外子公司、其外籍员工，都可能落入管控范围。

二、"批量"敏感数据的门槛（按前 12 个月累计）。人类基因组数据 100 人以上；生物识别标识符 1,000 人以上；精确地理位置数据 1,000 台设备以上；个人健康数据、个人金融数据各 10,000 人以上；受管控个人标识符（covered personal identifiers）100,000 人以上。而"政府相关数据"则不设任何数量门槛。

三、禁止类与限制类交易。向受关注国家或受管控主体进行的数据经纪（data brokerage）交易、涉及批量人类基因组数据/生物样本的交易被完全禁止；§ 202.302 还要求与任何外国主体的数据经纪交易必须附加禁止转售给受关注国家的合同条款。涉及批量敏感数据的供应商协议、雇佣协议、投资协议属于"限制类交易"，须满足 CISA 安全要求、建立合规计划并接受年度独立审计后方可进行。

四、积极合规义务已全面生效。自 2025 年 10 月 6 日起：从事限制类交易的美国主体须执行"了解你的数据"（Know Your Data）尽职调查、每年完成独立审计（审计报告留存 10 年）；被受关注国家持股 25% 以上的美国主体从事受限云计算交易的，须于每年 3 月 1 日前向 NSD 提交年度报告；收到并拒绝禁止类交易要约的，须按 § 202.1104 在 14 天内报告。

五、处罚。民事罚款最高为 368,136 美元（随通胀调整）或违规交易金额两倍的孰高者；故意违反可构成刑事犯罪，最高 20 年监禁及 100 万美元罚金。NSD 适用"知道或应当知道"（knowledge）标准——合规盲区不是抗辩理由。

对中资企业的合规要点

1. 立即完成"双向身份评估"。先判断己方美国实体是否构成 U.S. person、交易对手或集团内主体是否构成 covered person；中资持股 50% 以上的境外关联公司及其员工大概率在列。

2. 开展数据测绘（data mapping），对照六类敏感数据及数量门槛盘点存量。特别注意 App 的 SDK 数据回传、广告归因数据、可穿戴设备健康数据与精确定位数据——这些都是 NSD 在 FAQ 中点名的高风险场景。

3. 重新审视集团内数据流。美国子公司向中国母公司的数据回传、共用数据库、中国研发团队对美国用户数据库的远程访问权限，都可能构成"雇佣协议"或"供应商协议"项下的限制类交易，须配齐 CISA 安全要求与年度审计。

4. 修订对外合同。与任何外国主体的数据交易须加入禁止向受关注国家转售的条款；与美国客户的合同则要预判对方因 DSP 对中资供应商提出的尽调与陈述保证要求。

5. 建立违规应对与自愿披露机制。发现潜在违规时，及时评估向 NSD 自愿自披露（voluntary self-disclosure）的利弊；2026 年是首个完整审计年度，审计中发现的问题如何处置，需要在律师特权保护下审慎安排。

格知律所如何协助

格知律师事务所（Getech Law LLC）数据合规团队长期协助中资企业应对美国数据出境监管。针对 DSP，我们提供：covered person 身份与交易定性评估、跨境数据传输合规评估（DSP 与中国《个人信息保护法》出境规则的双向衔接）、数据测绘与"了解你的数据"尽调流程搭建、限制类交易的 CISA 安全要求落地与年度独立审计协调、供应商及集团内协议（DPA）修订，以及面向 NSD 的年度报告、拒绝交易报告与自愿自披露代理。如企业同时面临 CCPA/CPRA、州生物识别法等多线合规要求，我们可提供一体化的美国数据合规方案。

结语

DSP 把"数据"正式纳入了美国国家安全管制工具箱，其对中资企业的影响不亚于出口管制清单：它管的不是"你是谁"，而是"数据流向谁"。随着全面执法满一年、首个审计与报告周期落地，NSD 从"规则宣导"转向"个案执法"只是时间问题。中资企业与其等待第一张罚单来划定边界，不如现在就把数据流向图、合同条款与审计底稿准备好——在 IEEPA 框架下，事前合规的成本永远低于事后和解。