截至 2026-03-27T12:37:52Z(UTC), 美国司法部的 Data Security Program,已经进入持续执行阶段,若仍把它理解成一次性的“外国对手”政策标题,理解重心就会偏离当前语境。把这套制度从原则层面推入运行层面的关键日期都已过去。规则主体自 2025 年 4 月 8 日 起生效,围绕尽职调查、审计、年度报告与被拒绝交易报告的第二层义务,自 2025 年 10 月 6 日 起进入正式适用状态。[1][2][3][4][5]

这组时间锚点改变了 2026 年的实际问题。企业当前真正要回答的题目,落在执行结构上:法务是否读过 Executive Order 14117、内部是否知道 countries of concern 的名单,都只是入口信息;更硬的考题在于,企业能否说清楚受覆盖数据位于何处、哪些交易会让这些数据暴露、哪些对手方与服务商能够接触这些数据,以及企业手里是否已经形成一套足以证明 restricted transactions 受到持续控制的证据链。[1][3][4][5][6]

配图说明:文首照片为华盛顿特区罗伯特·F·肯尼迪司法部大楼。这里采用这张图片,是因为本文讨论的是司法部一套已经进入运行阶段的合规制度,不对应某一起具体网络事件或诉讼案件。[7]

哪些部分已经从政策文本进入运行法

司法部官网总览对项目范围交代得很清楚。Data Security Program 建立在 Executive Order 14117 之上,核心针对的是 countries of concern 与 covered persons 借由商业关系接触美国 government-related data 与美国人 bulk sensitive personal data 所带来的国家安全风险。[1] 规则框架涵盖的敏感数据类型并不狭窄,基因、地理位置、生物特征、健康、金融等类别都在制度叙述之内,因此很多企业很难把它当成一条只影响情报行业的边缘规则。[1][3]

合规指南把机制讲得更直接。项目覆盖的 covered data transactions,主要落在 data brokerage、vendor agreements、employment agreements、investment agreements 这几类安排之内,并且通过 prohibited transactions、restricted transactions、豁免与许可这些层次来决定一笔交易到底处在什么通道上。[3] 由此带来的直接后果是,2026 年的压力首先落在分类与流程梳理上。企业若说不清自己掌握了哪些数据、数据量落在什么门槛、这些数据通过何种交易结构对外开放,就无法知道眼前这笔安排属于禁止通道、受限通道,还是豁免通道。[3][4]

第二个生效日期之所以重要,在于它把“项目还在过渡”这一类说法基本清空。司法部 2025 年 4 月的材料明确写出,subpart J 下的尽职调查与审计义务、§ 202.1103 的年度报告义务,以及 § 202.1104 的被拒绝禁止交易报告义务,都已在 2025 年 10 月 6 日 生效。[3][4][5] 这意味着 2026 年是第一段完整周期,在这段周期里,监管关注点已经不只停留在企业有没有拦住高风险交易,还会落到企业能否把自己的判断路径、控制结构与持续监测逻辑完整展示出来。

为什么 2026 年真正的压力点是数据流梳理

司法部 FAQ 里专门用了 “know your data” 这一表述。[4] 这项要求所指向的,是名单筛查之外的一整套核验程序。对 restricted transactions 的参与者来说,项目要求建立风险导向的流程,用来核验 数据类型、数据量、交易参与方身份以及交易结构。[4] 放在执行层面上,数据流梳理是起点,地缘政治筛查随后接入。

顺着这个结构展开,可以看到三个直接后果。

第一,很多看上去普通的外包安排,比业务团队想象得更容易落入规则范围。一个 vendor agreement,只要让 covered person 或受 countries of concern 控制的主体接触到 bulk U.S. sensitive personal data,在采购流程里看上去完全可以像日常分析支持、后台处理、模型训练协助、数据标注或软件维护。等到法务被问到这笔交易到底属于禁止、受限还是豁免时,真正决定结果的前置工作早已不在名单核对本身,而在更基础的几个问题上:数据在哪里,数据量有多大,谁实际上能接触它,合同里又给了哪些 onward transfer 或访问权限。[3][4][5]

第二,雇佣与投资通道很难继续被当成边缘个案。合规指南明确把这两类安排纳入交易地图。[3] 因此 2026 年的合规工程,有一部分天然会延伸到人力资源与公司发展职能,同时覆盖安全、隐私与采购部门。企业若把这套制度理解成采购团队单独负责的事情,很容易漏掉那些通过人员配置、关联主体、承包关系或资本结构形成的数据访问路径。[3][4]

第三,2025 年 10 月后的义务结构,让证据质量进入规则中心位置。企业手里当然可以形成一套“我们觉得当前控制已经足够”的内部判断,司法部的框架则把问题推得更深一步:你的尽职调查过程、审计轨迹与报送逻辑,是否已经形成可展示、可追踪、可复核的材料。[3][4][5] 到了这一层,单纯的一页政策备忘录已经承受不了全部要求。

企业当前最容易低估的摩擦在哪里

1. 仍然把 2025 年春季的过渡窗口当成现实背景

司法部 2025 年 4 月 11 日的新闻稿与实施政策,确实给过一个有限的缓冲期。NSD 当时表示,对于 2025 年 4 月 8 日至 7 月 8 日 之间发生的违规,只要企业处在诚信整改状态中,部门不会把民事执法优先级摆在最前。[2][5] 这些材料的设计目的,是让企业有时间修改合同、识别数据流、调整供应商并部署控制措施。[2][5] 这个逻辑在 2026 年已经不再构成主背景。更扎实的运行假设,应该是过渡理由已经退出舞台。

2. 把 restricted transaction 理解成“只要小心一点就行”

项目结构确实允许部分交易在满足安全要求和其他条件时继续存在,这一点让 diligence 的重要性进一步上升。[1][3][6] restricted transactions 的制度安排,本来就要求控制措施、审计能力与报送义务一起工作,用来证明这条访问通道已经被收窄、被监测、被记录。企业若只保留收入端安排,却忽略记录保存与审计证据,执行逻辑就已经偏离规则本意。[3][4][6]

3. 把安全控制与交易治理拆成两条线

CISA 的安全要求之所以重要,在于司法部规则与技术控制原本就是并行设计。[1][6] 如果法务团队把某笔交易归类为 restricted transaction,技术团队却拿不出身份控制、数据最小化、日志、分段隔离等相应要求在具体环境中的落实证据,合规结构就只完成了一半。[6] 放在 2026 年的执行语境里,风险更高的企业不一定是跨境活动最多的企业,反而常常是那些法律分类与技术落地仍然分散在不同系统里的企业。

一次现实可用的 2026 年自查,应当包含什么

对任何或许接触规则范围内数据的企业来说,一次严肃的就绪度检查,至少需要把五件事接在一起:

这份清单的价值在于,它逼着组织回答同一个核心问题:你是否真的理解敏感数据是怎样穿过商业关系流动的,还是只知道哪些国家名称需要回避。

结尾

DOJ 的 Data Security Program 走到今天,新闻价值已经明显落在执行层面,宣布阶段的权重已经退后。2026 年表现更扎实的企业,往往都是那些把规则转成一张活的数据地图、交易地图、访问地图与证据地图的企业。执行更脆弱的企业,则仍然把它理解成一份地缘政治筛查备忘录,直到很晚才发现,司法部真正建立起来的,其实是一套持续运行的数据治理制度。[1][3][4][5][6]

来源

  1. 美国司法部国家安全司,"Data Security" 总览页。
  2. 美国司法部公共事务办公室,"Justice Department Implements Critical National Security Program to Protect Americans' Sensitive Data from Foreign Adversaries"(2025 年 4 月 11 日)。
  3. 美国司法部国家安全司,Data Security Program: Compliance Guide(2025 年 4 月 11 日 PDF)。
  4. 美国司法部国家安全司,Data Security Program: Frequently Asked Questions(2025 年 9 月 24 日更新 PDF)。
  5. 美国司法部国家安全司,Data Security Program: Implementation and Enforcement Policy Through July 8, 2025(2025 年 4 月 11 日 PDF)。
  6. 美国网络安全与基础设施安全局(CISA),Security Requirements for Restricted Transactions(2025 年 1 月 3 日)。
  7. Wikimedia Commons,"File: U.S. Department of Justice headquarters, August 12, 2006.jpg"。