正文
(一)与外国敌对国家或受管辖主体的禁止交易
根据第202.301节,除非获得通用或一般或特定许可证的豁免或许可,否则美国主体不得明知故犯地从事涉及数据经纪的受管辖数据交易,与外国敌对国家或受管辖主体进行交易。根据第202.214节,“数据经纪”是指数据的销售、许可访问数据或类似商业交易,不包括雇佣协议、投资协议或供应商协议,涉及从任何人(提供者)向另一个人(接收者)转移数据,而接收者并非直接从与收集或处理的数据相关或可关联的个人那里收集或处理数据。为了确定个人或实体在禁止交易的背景下“合理应知”的内容,NSD可能会考虑所有相关事实和情况,包括所涉及个人或实体的相对复杂性。
鉴于数据经纪的定义,美国主体应努力了解其活动是否因使受管辖主体或外国敌对国家能够访问政府相关或大量美国敏感个人数据而被DSP禁止。一些在日常用语中可能不被认为数据经纪的活动,可能在DSP下构成数据经纪,例如美国公司维护一个网站或移动应用流程,该网站或应用流程包含带有跟踪像素(tracking pixels)或软件开发工具包的广告,这些工具包是美国公司明知故犯地安装或批准纳入该应用流程或网站的。将政府相关或大量美国敏感个人数据的访问权或访问权限提供给受管辖主体或外国敌对国家,可能构成数据经纪,并可能违反DSP。
(二)与外国主体的禁止交易
DSP还包含对与非受管辖主体的外国主体进行涉及数据经纪的受管辖数据交易的禁令。根据第202.302节,除非获得通用或特定许可证的豁免或许可,否则美国主体不得明知故犯地从事涉及数据经纪的数据交易,与外国主体进行交易,除非美国主体(1)合同要求该外国主体不得从事随后涉及数据经纪的同一数据的受管辖数据交易,与外国敌对国家或受管辖主体进行交易;并且(2)按照第202.302(b)节的要求报告任何已知或疑似违反此合同要求的行为。
1. 合同条款
从事涉及数据经纪的数据交易的美国主体与非受管辖主体的外国主体必须在合同中包含禁止外国主体从事政府相关数据或大量美国敏感个人数据的后续转移或转售给外国敌对国家或受管辖主体的合同条款。
DSP不要求特定形式或具体的合同条款来禁止转售或转移。各方可以根据几个因素定制其合同条款,包括相关商业活动、风险偏好、合同对方、涉及的产品和服务以及涉及的大量美国个人敏感或政府相关数据。
例如,美国主体可以考虑包含以下条款,由美国主体和外国主体对方的授权代表签署:
[美国主体]向[外国主体]授予一项不可转让、可撤销的许可,以访问[数据经纪合同中的数据]。[外国主体]被禁止从事或试图从事,或允许他人从事以下行为:
(a)出售、许可访问或类似商业交易,[例如转售、再许可、租赁或以换取有价值对价的转让,] [数据经纪合同中的数据]或其任何部分,给外国敌对国家或受管辖主体,如《美国联邦法规》第28卷第202部分中定义的;
如果[外国主体]知道或怀疑外国敌对国家或受管辖主体通过数据经纪交易获得了[数据经纪合同中的数据],[外国主体]将立即通知[美国主体]。违反上述规定将构成对[数据经纪合同]的违约,并且可能构成对《美国联邦法规》第28卷第202部分的违反。
请注意,这只是一个示例条款。美国主体应制定符合DSP要求并适用于其交易和商业运营的条款。
美国主体还可以在其合同中加入其他条款,要求外国主体定期证明其对这一合同限制的遵守,并约束外国主体不得规避或避免、导致违反或试图违反第14117号行政令或《美国联邦法规》第28卷第202部分中规定的任何禁令。例如,美国主体可以在其合同中加入以下条款:
[外国主体]确认,对于[数据经纪合同],[外国主体]遵守《美国联邦法规》第28卷第202部分以及适用于[数据经纪合同中的数据]的任何其他禁令、限制或条款。[外国主体]同意[定期]向[美国主体]书面确认[外国主体]对《美国联邦法规》第28卷第202部分的遵守。[外国主体]同意不规避或避免、导致违反或试图违反第14117号行政令或《美国联邦法规》第28卷第202部分中规定的任何禁令。
尽管使用了任何此类条款,受DSP约束的美国主体仍必须维护适当的组织和控制措施,包括合理且成比例的尽职调查,以降低其违反DSP的风险。从事与非受保护外国主体和第三国进行此类数据经纪交易的美国主体不应仅仅将责任转移给或完全依赖合同条款或其外国对方来遵守这些合同条款。相反,正如《拟议规则制定通知》所解释的那样,与DSP下的合规和执行总体方法一致,NSD期望从事这些数据经纪交易的美国主体采取合理步骤,评估其外国对方是否遵守合同条款,作为实施基于风险的合规计划的一部分。NSD在确定一方是否遵守DSP的要求和禁令时,将审查受管辖数据交易的全部情况,包括参与其中的各方以及采用的合同语言以满足第202.302节的要求。通常情况下,除非存在规避、共谋或明知故犯地指导禁止交易的迹象,否则进行了基于风险的合规计划中充分尽职调查的美国主体,如果外国对方后来违反了所需合同条款,或者美国主体未能发现此类违反行为,则不会认定从事禁止交易。根据具体情况,美国主体未能进行充分尽职调查可能会使其受到执法行动的约束,如果这种失败构成对法规的规避,例如反复知道外国主体的违反行为并继续与该外国主体进行数据经纪交易。
2. 报告已知或疑似违反行为
根据第202.302节所述的涉及数据经纪的交易,除非满足其他条件,否则只有在美国主体报告违反第202.302(a)(1)节所述合同要求的已知或疑似行为时,才不被禁止。美国主体必须在怀疑违反或知晓违反行为后的14天内报告任何已知或疑似违反合同要求的行为。第202.302(b)(2)节列出了该报告所需的内容。报告必须包含DSP要求的、在报告制作时提供报告的个人可获得的所有信息。NSD通常不期望这些个人为了获得第202.302(b)(2)节要求的额外信息而从交易各方获取进一步信息。作为最佳实践,报告应包含适用于所有报告违反行为场景的信息(例如,有关报告提交者的信息、报告所依据的法律依据以及已知或疑似违反行为的日期或发现日期)。所需报告必须按照第202.302(b)节和第J节的要求提交。关于此类第202.302(b)(2)节报告是否构成自愿自我披露(VSD),这是一个具体事实的调查。NSD可能会单独发布DSP执行指导,以提供更多关于VSD的信息。美国公司必须按照第K节的要求保留相关记录十年。
美国主体必须进行尽职调查,以确保并监督对这些禁止潜在转售给外国敌对国家或受管辖主体的合同条款的遵守情况。DSP要求美国主体拒绝参与任何违反DSP的交易,并按照第202.1104节的要求向NSD报告此类被拒绝的交易,如本合规指南的第III(F)(2)部分进一步讨论。
(三)涉及人类“组学”数据或相关人类生物样本的禁止交易
根据第202.303节,除非获得通用或特定许可证的豁免或许可,否则美国主体不得明知故犯地从事涉及外国敌对国家或受管辖主体获取大量人类“组学”数据或可从中衍生大量人类“组学”数据的人类生物样本的受管辖数据交易。人类“组学”数据包括人类基因组、表观基因组、蛋白质组和转录组数据,但不包括嵌入人类“组学”数据集中的病原体特异性数据。人类生物样本是指组织、血液、尿液或其他人类衍生材料的数量,包括根据第202.223节中列出的任何10位协调制度基础的Schedule B编号分类的材料。人类生物样本不包括任何人类生物样本,包括人类血液、细胞和血浆衍生治疗物,由接收者仅用于诊断、治疗或预防任何疾病或医疗状况。
DSP豁免了某些可能与美国主体从事涉及人类“组学”数据的数据交易相关的受管辖数据交易,例如,根据联邦部门和机构的授权、合同或其他协议进行的受管辖数据交易;通常与临床调查和上市后监测相关的受管辖数据交易;根据某些特定国际安排进行的受管辖数据交易,这些安排涉及全球和大流行病准备。关于这些和其他豁免交易的更多信息,请参阅第E节。
(四)禁止规避、企图违反、导致违反和共谋
第202.304节禁止任何旨在规避或避免、导致违反或企图违反DSP中规定的任何禁令的交易。该条款还禁止任何共谋违反DSP禁令的行为。NSD有权根据《国际紧急经济权力法》(IEEPA),50 U.S.C. §§ 1701 et seq.,EO 14117和DSP的基础法律,对DSP的明知违反行为提起执法行动和刑事起诉。根据IEEPA的非法行为,民事罚款可高达每次违规交易价值的两倍或368,136美元中的较大者。故意违反IEEPA的行为可处以最高20年的监禁和1,000,000美元的罚款。NSD可能会单独发布DSP执法指导,以提供更多关于DSP违规行为的信息,包括NSD在计算罚款时将考虑的“交易”定义。
(五)明知故犯地指示禁止交易
除非获得通用或特定许可证的豁免或许可,否则明知故犯地指示禁止的受管辖数据交易或受限制交易,而未满足其他适用要求,可能构成对DSP的违反。根据第202.230(a)节,“明知”,关于行为、情况或结果,意味着个人实际知晓,或合理应知,该行为、情况或结果。根据第202.215节,如果个人(单独或作为团体的一部分)有权为实体做出决策,并行使该权力以实现该行为,则该个人指示该行为。
如上所述,从事供应商协议和其他类别数据交易的美国主体,通常不需要对这些外国主体的雇佣实践进行尽职调查,以确定其员工是否为受管辖主体。通常情况下,如果美国主体与非受管辖主体的外国主体签订涉及大量美国敏感个人数据的供应商协议,而该外国主体反过来雇佣了一名受管辖主体并授予其访问大量美国敏感个人数据的权限,而美国主体对此并不知情或未进行指导,则该美国主体并未明知故犯地指示受限制交易。然而,如果美国主体明知故犯地指示该外国主体公司与受管辖主体签订雇佣协议,以间接实现美国主体直接从事将被禁止或受限制的交易,这可能构成对DSP的违反。
(六)记录保存和报告要求
