专栏名称: 数据何规
数据安全及个人信息保护。
目录
相关文章推荐
望京博格投基  ·  清仓信创买的这个ETF,今天就大涨了~ ·  19 小时前  
望京博格投基  ·  清仓信创买的这个ETF,今天就大涨了~ ·  19 小时前  
金融街老裘  ·  香港市场 ·  21 小时前  
微同城本地便民  ·  古人留下的六副后悔药,人生路上须回头! ·  昨天  
微同城本地便民  ·  古人留下的六副后悔药,人生路上须回头! ·  昨天  
香乐坊  ·  闲人闲事——与夏天相见的日子 ·  2 天前  
香乐坊  ·  闲人闲事——与夏天相见的日子 ·  2 天前  
51好读  ›  专栏  ›  数据何规

All I Know about 14117行政令(DOJ三个文件篇)

数据何规  · 公众号  ·  · 2025-04-26 12:00

正文

请到「今天看啥」查看全文


《数据安全计划:合规指南》(Data Security Program:Compliance Guide)


《数据安全计划:合规指南》是对对又臭又长的《最终规则》的官方缩写版(但要落地还得读原文),此处需要再次复习14117行政令的适用公式: 禁止或者限制-美国实体-与受关注国家以及受控实体-就批量美国人敏感个人数据和政府相关数据-所进行的交易

《合规指南》在《最终规则》的基础上,对这个公式下部分适用条件做了进一步说明(重复强调的内容我就不放了,只放一些新的知识点):

1. “明知”条件的说明


关于“明知”,《合规指南》指出:

  • 美国实体若与外国非受控实体签订供应商协议或参与其他类型的数据交易协议 ,通常不被要求对该外国非受控实体的用工行为进行尽职调查,以判断其雇员是否构成“受控实体”。

  • 如果美国实体与外国非受控实体的协议在前,该外国非受控实体随后雇佣了一名“受控实体”雇员并赋予其相关数据的访问权限,但美国实体对于该行为不知情,则不属于“明知”。

  • 但如果该美国实体在明知并允许外国非受控实体雇佣“受控实体”,以间接实现如果由美国主体直接从事将被禁止或受限制的交易,那么就属于“明知”。

2. 针对“被禁止的交易”豁免条件的说明


有关“被禁止的交易”包含两种情况:

  • 直接与受控实体进行数据经济交易;或

  • 间接与受控实体的交易,即通过一个外国非受控实体进行数据经济交易,最终使得受控数据受控实体获得受控数据

对于间接交易的情形,《最终规则》也给出了豁免条件:如果(1) 美国实体在其与外国非受控实体的 合同中已经明确约束 外国实体不得向受控实体再转移相关数据;且(2)在发现前述嫌疑时积极报告,那么其与外国非受控实体有关受控数据的交易则不会被禁止。

而《合规指南》就对“合同”中约束条款的表述给出了示例(我就不翻译了,实践中肯定是用官方示例原文为优):


约束数据再转移的条款示例


要求外国非受控实体(合同方)定期确认遵守约束的条款示例


此外,《合规指南》提出,仅凭纸面约束不足以证明美国实体可以获得豁免,其还应该维持适当的保障措施(例如尽职调查),确保合同方(外国非受控实体)确未与受控实体进行数据交易。

而对条件(2)在发现前述嫌疑时积极报告,《合规指南》也有补充要求:报告义务应从怀疑或得知外国非受控实体违反合同限制向受控实体交易时起 14日内 完成。

3. “许可”路径也需要满足记录义务







请到「今天看啥」查看全文