专家观点 | 美国涉疆法案下对外举证与数据出境安全风险
The following article is from 金杜研究院 Author 景云峰 吴涵 等
引言
伴随着6月中下旬以美国CBP《进口商指引》和FLETF 《战略报告》为代表的美国所谓《维吾尔强迫劳动预防法案》(“涉疆法案”或“UFLPA” )具体执法措施的如期而至,很多存在对美出口货物贸易的中国企业正在紧急研讨UFLPA下“可反驳推定规则”(即所谓“有罪推定”+“自证清白”)的应对策略。与此同时,在网络与数据安全领域一直受到高度关注的《数据出境安全评估办法》(“《评估办法》”)于2022年7月7日由国家互联网信息办公室正式公布,自今年9月1日起施行。本文将从不同以往的分析视角,协助企业在及时了解UFLPA下对外举证要求的同时,准确理解和严守数据出境安全合规底线。
01
美国涉疆法案下的对外举证要求
1. 对外举证“义务”
UFLPA第3条要求美国海关与边境保护局(CBP)局长推定全部或部分在新疆开采、生产或制造,或由UFLPA实体清单上的实体开采、生产或制造的任何货物、制品、物品或商品均应按美国1930年《关税法》第307条(19 U.S.C. §1307)要求被禁止进口,并且该类货物、制品、物品或商品不被允许入境美国。
在此种推定规则下,CBP首先会推定全部或部分在中国新疆地区开采、生产或制造的货物以及从UFLPA清单实体处进口的货物一律属于所谓“强迫劳动”的产物从而被禁止进口,除非CBP局长确定记录在案的进口商:
(1)已经完全遵守了UFLPA第2(d)(6)条所述的指导意见以及为实施该指导意见而颁布的任何条例;
(2)全面和实质性地回答了执法机构提出的关于确定有关货物是否全部或部分涉及“强迫劳动”开采、生产或制造的询问;
(3)可以通过明确和令人信服的证据,证明该商品不是完全或部分由“强迫劳动”开采、生产或制造的。
如拟进口美国的货物由于所谓“强迫劳动”原因面临CBP的执法,根据CBP《进口商操作指引》,美国进口商可以:(1)向CBP证明拟进口商品与新疆或UFLPA实体清单上的实体缺乏联系,因此不属于UFLPA管辖范围;或(2)提供“明确且令人信服的证据”表明货物并非全部或部分使用“强迫劳动”制造,申请适用“可反驳推定”的例外情形。此外,即使CBP局长确定应当对某一批进口货物适用“可反驳推定”的例外情形,涉疆法案还要求其在做出决定的30日内向相关国会委员会提交识别被扣货物以及所考虑证据的报告,并向公众公开。
2. 对外举证主体
虽然从涉疆法案原文来看,供应链溯源以及合法用工举证的义务主体形式上为美国进口商,但实质上美国进口商会将该等义务逐层传递至供应链上游企业,其中包括位于中国境内的上游原材料供应商、半成品加工企业、下游制造商,直至传导给中国出口商。另外,美国智库高等国防研究中心(C4ADS)近日发表报告,将可能参与所谓“强迫劳动”的中国企业关注范围扩展至了在新疆地区设立子公司的中国东部地区集团公司。[1]
鉴于涉疆法案所要求的证明材料最终将由美国进口商提交至CBP,甚至可能被上报至美国国会并向公众公开,因此,对美出口产品全供应链所涉全部中国企业均需对拟提供证据开展数据出境安全风险评估。
3. 对外举证内容
(1)供应链溯源相关证明材料
CBP《进口商操作指引》作为对《战略报告》的补充,给美国进口商提供了更为详尽的供应链溯源证明标准。根据《进口商操作指引》第IV条规定,美国进口商需要向CBP提供从原材料到进口货物所涉全供应链溯源的证明文件,包括:
1)供应链尽职调查相关证明文件
与供应商和其他利益相关方合作,评估和应对“强迫劳动”风险;
绘制供应链图,评估进口货物从原材料到最终成品全供应链的“强迫劳动”风险;
制定书面文件《供应商行为准则》以禁止使用所谓的“强迫劳动”并应对所谓的中国政府“劳动计划”风险;
为选择供应商并与之互动的员工和代理人提供“强迫劳动”风险培训;
监督供应商遵守《供应商行为准则》的情况;
对尽职调查制度的实施和有效性开展独立核查的结果;
关于尽职调查系统执行与参与情况的报告。
2)供应链溯源相关证明文件
(a)与整体供应链相关的证据
对供应链(包括进口商品及其组件)的详细说明,包括开采、生产或制造的所有阶段;
实体在供应链中的角色,包括发货人和出口商:例如,CBP需要确定供应商是否同时也是制造商;
根据《联邦法规汇编》第19编第152.102(g)条定义[2]与供应链中实体的关系;
与生产流程各步骤相关的供应商名单,包括姓名和联系方式(地址、电子邮件地址和电话号码);
参与生产流程的各公司或实体的宣誓书。
(b)与商品或其组成部分相关的证据
采购订单;
所有供应商和次级供应商的发票;
装箱单;
物料清单;
原产地证明;
付款记录;
卖方的库存记录,包括码头/仓库收据;
装运记录,包括清单、提单(例如:空运/船运/卡车运输);
买方库存记录,包括码头/仓库收据;
所有供应商和次级供应商的发票和收据;
进出口记录。
(c)与开采商、生产商或制造商相关证据
开采、生产或制造记录,包括但不限于:可使CBP能够追踪开采、生产或制造的商品的原材料、生产订单、商品工厂产能报告、进口商、从该工厂采购的供应链下游供应商或第三方的工厂现场考察报告、证明组成部分材料的投入量与所生产商品的产出量相匹配的证据;
证明货物并非全部或部分由“强迫劳动”开采、生产或制造的任何其他证据。
3)供应链合规管理措施相关证明文件
防止或降低“强迫劳动”风险并对在进口货物的开采、生产或制造过程中发现的任何使用“强迫劳动”的行为进行补救的内部控制措施;
所提供的所有证据应是经审计的操作系统或财务系统的一部分。
(2)合法用工相关证明材料
《战略报告》第VI.C部分向美国进口商明确,用于证明来自中国的货物并非全部或部分使用“强迫劳动”生产的证据包括:
1)包含产品生产相关所有实体的供应链地图,以及每一个实体在供应链中的位置;
2)相关实体完整员工名单,包括:
(a)工资支付情况;
(b)员工是否来自新疆,以及员工的户口情况;
(c)产品产量与员工数量的关联性:
每一工种的员工数量,材料或物资投入总量,以及材料或物资的输出总量之间的关系;
工时与日产出之间的关联性。
3)证明员工并非通过中国政府、新疆生产建设兵团或者UFLPA实体清单实体被“雇佣、移动、转移、窝藏或接收”;
4)证明每一位来自新疆的员工均为自愿工作,并且并未受到惩罚的威胁,包括:
招聘过程完全自愿;
招聘以及留职并未受到政府或企业强迫;
招聘过程中未出现强迫劳动指标(forced labor indicator[3])(包括拘留、拘留家庭成员、或强制向政府转移土地等);
员工从新疆被转移是完全自愿并且未出现“强迫劳动”指标(包括移动过程中的“政府监视或限制工人移动”);
员工被转移至企业属于完全自愿行为并且未出现“强迫劳动”指标(包括“政府监视”);
员工在企业的生活和工作条件不涉及“强迫劳动”,包括“政府监视或企业向政府报告的行为、限制行动自由、强制参与活动(例如政治、语言或文化课程)”;
企业接收员工是自愿的并且不涉及“强迫劳动”,包括“政府监视或企业向政府报告行为”。
02
美国涉疆法案下的数据出境合规风险
1. 企业应对美国涉疆法案执法可能引发的数据安全风险
(1)应对美国涉疆法案执法场景下的数据出境安全风险
如前所述,涉及向美国出口产品的中国企业应对美国涉疆法案执法时,其作为上游供应商可能需要协助美国进口商向CBP提供从原材料到货物进口的供应链溯源或合法用工举证文件。而中国企业在配合美国进口商对外举证的过程中,可能还涉及将其在中国境内运营中收集和产生的员工名单、供应商联系方式等个人信息以及原产地证明及开采、生产或制造记录等数据传输、存储至位于境外的美国进口商、CBP及美国国会等美国政府部门处,甚至可能向美国公众公开。对此,我们理解,涉及向美国出口产品的中国企业在应对美国涉疆法案执法进行对外举证的过程中可能涉及数据出境活动, 并可能因此触发《中华人民共和国网络安全法》(“《网安法》”)《中华人民共和国数据安全法》(“《数安法》”)《中华人民共和国个人信息保护法》(“《个信法》”)及其配套法律规范所规定的数据出境安全管理义务。
(2)数据出境安全管理的背景与目的
对于企业而言,企业数据出境安全管理是企业抵御数据跨境安全风险并在全球数字经济市场中获得长足稳定发展的重要前提。在大数据时代,数字经济的全球化发展催生了企业数据跨境流动的客观需要,数据跨境流动成为了企业在空间维度延伸数据价值的必然要求,而数据跨境流动为企业带来便利与商业价值的同时,也在一定程度上增加了数据泄露乃至被恶意利用的安全风险。企业在应对美国涉疆法案执法时应当坚持底线思维,在法律划定的数据出境安全管理等红线以内从事数据跨境传输活动,保障数据出境的安全性,在落实数据跨境合规机制的同时,也需要重点关注对外举证过程中因可能的冲突管辖而造成的数据跨境实践困境和合规隐患,否则依据《数安法》将可能面临封顶五百万元以下罚款,并被主管机关责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照的严重处罚。
就国家层面而言,数据出境安全风险不仅关乎企业自身数据安全,还关乎着一国的经济安全、社会安全,乃至国家安全。纵观全球各国数据跨境流动治理模式,跨境数据流动监管已经成为数字经济发展和智能时代发展的必然要求。企业在应对美国涉疆法案执法的过程中,不可避免地面临着境外监管机构调取数据的要求,而全供应链溯源的证明文件可能涉及了商品原材料产地分布、工厂产能等可能被认定为“重要数据”的供应链数据,而中国出口企业通过美国进口商向CBP等监管机构提供该等供应链溯源的证明文件,可能构成重要数据、核心数据乃至国家秘密出境。考虑到数据资源作为社会进步和国家发展的重要战略资源,可能承载着个人信息主体的合法权益、公共利益、国家安全等多重价值,美国涉疆法案下中国企业所承担的对外举证义务一定程度上延伸了美国监管机构在数据领域的管辖范围,促使其数据主权突破领土范围而实现在全球范围内的扩张,并在极大程度上可能损害了数据所在国对其境内数据的管理权。同时,若供应链溯源数据在数据调取场景中被泄露或者非法使用,或将损害我国公民的个人利益、国家安全、社会公共利益与其他数据控制者利益,存在较大的数据安全隐患,甚至可能引发国家安全风险。
(3)中国数据出境安全管理机制的立法定位
就中国数据出境安全管理机制立法定位而言,一方面,数据的跨境流动不仅影响个人信息权益,还关乎着国家安全与社会公共利益,数据出境安全风险可能引发国家关键数据资源的流失甚至危及一国数据主权,潜藏了国家安全风险隐患。正如国家互联网信息办公室有关负责人在答记者问中充分肯定了规范数据出境活动需要对于维护国家安全与社会公共利益的重要意义,“总体国家安全观”也始终主导和指引着中国数据跨境规则的具体制定和体系搭建,以期有效防范和抵御境外数据处理的安全风险。另一方面,企业数据安全也将成为企业长足发展的基本前提。《评估办法》第三条将“防范数据出境安全风险,保障数据依法有序自由流动”作为立规目标,充分体现了中国数据跨境流动治理的监管取向。换言之,中国数据出境安全管理本身作为一种手段而非目的,其根本目标是为深度参与全球经济市场的资源利用和分工协作的企业,提供在管控数据安全风险前提下数据跨境流动的机制保障,以期帮助企业提升自身的数据合规管理水平,从而更好地融入全球市场。
总体而言,加强国家总体安全观指引和定位下的企业数据出境安全管理,成为了促进中国经济健康有序发展的客观需要,也是维护国家安全的必然要求。而《评估办法》等中国数据出境安全风险管控机制的出台应当构成审慎应对美国涉疆法案执法的中国企业的制度指引而非业务阻力,中国企业应对美国涉疆法案下的对外举证前需要提前梳理供应链溯源或合法用工举证过程中涉及的数据类型、数据处理场景,在中国数据出境安全管理机制的保驾护航下审慎预判对外举证过程中的数据安全风险,依法履行 “总体国家安全观”下数据出境安全管理义务,才能更为精准、有力地把握经济全球化的发展新机遇。
2. 中国数据出境安全管理的基本框架
为帮助相关企业在对外举证前做好相应的合规准备,主动依法落实数据出境安全管理义务与数据安全保护责任,我们将在本部分为可能涉及应对美国涉疆法案执法的中国企业详细解读中国数据出境安全管理机制,梳理不同类型数据处理者的数据出境安全管理义务适用性以及数据出境安全管理的监管机构。
(1)数据出境安全管理义务群
整体而言,《网安法》首次在国家层面立法构建了个人信息和重要数据的跨境机制,随后出台的《数安法》《个信法》进一步分别细化了重要数据和个人信息的跨境规则,前述三部法律对中国数据跨境传输提出了统领性规定,构建了中国数据出境安全管理的基本制度框架,而《网络数据安全管理条例(征求意见稿)》《个人信息出境标准合同规定(征求意见稿)》《评估办法》等配套措施相继颁布,标志着我国数据跨境监管规则逐渐落地,形成了以个人信息和重要数据为规制重点,本地化措施与限制性数据跨境并行的多层次的数据跨境规制体系。我国对于跨境活动监管规则从多角度多层级进发,主要合规要求具体请见下表:
在数据出境具体实践中,企业有必要评估自身是否可能落入关键信息基础设施运营者的范畴以及识别出境数据类型是否涉及个人信息、重要数据、出口管制事项以及特殊行业数据,进而从适用主体以及数据类型两个维度综合评估和判断自身所需适用的跨境规则。就数据本地化存储与限制性数据跨境的适用关系而言,我们理解,数据本地化存储与限制性数据跨境是中国数据出境安全管理的一体两面,二者并非排斥对立的关系。例如,关键信息基础设施运营者应当将在中华人民共和国境内收集和产生的数据存储在境内,确需向境外提供的,应当通过数据出境安全评估,从而实现在确保安全前提下的限制性数据出境。
(2)数据出境安全管理的监管机构
我国建立了“在数据安全工作协调机制的统一指挥下,各部门、各地区负责各项具体的数据安全工作的主管机关或者单位,将形成相互协调、协助和配合的执法体系”。根据《网安法》《数安法》《个信法》及其配套法律规范的规定,数据出境安全管理的主要由“国家网信部门”牵头,联合“国务院有关部门”、相应的主管机关、省级网信部门及专门机构开展相应的执法工作,对此,我们理解,具体的主管机关应根据企业所属行业、数据性质以及数据处理活动的具体场景进行综合判断,而国家网信部门统筹多部门协同监管是我国数据出境安全管理的常态监管机制。
考虑到中国企业在美国涉疆法案下对外举证时较大可能涉及触发《数安法》第三十六条的审批义务以及向境外提供重要数据,而我国目前对于关键信息基础设施运营者、重要数据的认定以及如何履行《数安法》第三十六条对于行政审批、行政调查和诉讼仲裁等场景下中国企业向外国司法或执法机构提供数据时的审批义务均存在一定的不确定性,中国企业在开展数据出境实践过程中,除了依法履行数据出境安全管理义务之外,仍需积极与相应的主管机关充分联系,并在必要时与国家网信部门进行主动沟通并请求提供相应的行政指导,以确保相关企业在数据出境过程中充分落实与履行数据出境安全管理义务,保障数据的安全有序流动,从而尽可能事前管控数据出境活动可能引发的国家安全风险。03
实务热点问题解析与风险应对建议
(1)原产地证明及开采、生产或制造记录:可能涉及“能源、金属、非金属等主要矿物的地理分布情况及开采储量、设计储量、远景储量等储量信息,尤其是与国家安全密切相关的矿产情况”,从而可能构成重要数据;
(2)与整体供应链相关的证据:结合采购订单,所有供应商和次级供应商的发票等信息,可以明确各供应商与其采购的次供应商产品之间的对应关系,如与关键信息基础设施运行相关,则可能构成“描述重要装备、各类电子信息设备、软件产品和信息技术服务的客户与具体产品、服务的对应关系的信息” ,从而可能构成重要数据。
《数安法》第三十六条确立了“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”的向境外司法和执法机关提供数据的限制。如前文所述,虽然从涉疆法案的条文内容来看,举证义务主体是美国的进口商,但基于供应链溯源等举证要求的特殊性,实质上美国进口商对供应链溯源的过程中必然会将举证义务逐层传递至供应链中的每一家企业,中国企业是实质上承担举证义务的主体。因此,中国企业在向美国进口商提供证明材料时,尽管直接的数据接收方可能并非美国海关与边境保护局(CBP)这一执法机构,但企业显然是迫于CBP执法之压力,且可明确预知证明材料最终将被提供至CBP,甚至可能被上报至美国国会并向公众公开。
在此基础上,进一步考虑到《数安法》第三十六条本就是在数据管辖权冲突日益激烈的背景下出台,是阻断境外长臂管辖的重大立法举措,我们理解,取得主管部门的审批有相当可能属于企业在履行数据出境安全评估时的前置性义务,建议企业就拟在涉疆法案下对外举证事宜与主管部门主动和积极沟通,以确保充分履行数据出境安全管理义务。
2)《个信法》第五十五条的个人信息保护影响评估义务
就个人信息而言,根据《个信法》第五十五条规定,个人信息处理者在向境外提供个人信息时,应当事前进行个人信息保护影响评估。我们理解,《评估办法》中的自评估与《个信法》中事先进行的“个人信息保护影响评估”可能在评估内容上有所重叠。从控制合规成本的角度来看,企业或可考虑在充分将《个信法》要求的个人信息保护影响评估内容囊括在内的前提下,主张在《评估办法》下开展的自评估亦满足《个信法》第五十五条的个人信息保护影响评估义务。
3)《评估办法》对美国涉疆法案下对外举证的影响
基于上述,我们理解,中国数据出境安全管理的监管机制针对出境数据类型、量级、数据处理者类型以及数据出境场景设置了不同的数据出境安全管理义务,而中国企业在协助美国进口商进行对外举证,至少应当采取以下措施,以确保自身依法充分履行数据出境安全管理义务。
就举证流程而言,中国企业应当采取以下步骤,以充分梳理并识别出境数据类型、量级,并在对外举证前采取所适用的数据出境安全管理措施,从而对应对涉疆法案执法过程中的数据出境合规风险进行充分的预防与管理。
首先,美国进口商相关的供应链主体,应当依据以往的产品出口情况开展生产、加工、制造等全供应链尽职调查,并根据《进口商指引》及《战略报告》等涉疆法案的配套规范,识别自身是否涉及如下可能触发涉疆法案执法的高风险因素:(1)从新疆向美国出口货物;(2)由UFLPA实体清单主体向美国出口货物;(3)供应链中涉及位于新疆的实体(或其关联公司)并经其他地区向美国出口货物。
其次,若相关企业为应对美国涉疆法案执法而向境外提供数据,那么其应当依据现有数据处理情况,识别自身所累计处理数据的类型、量级,并评估自身是否构成关键信息基础设施运营者、累计处理个人信息人次超过100万以上的个人信息处理者等特殊类型的数据处理者,并整理证明(1)产品的供应链中不含有新疆元素;或(2)产品的供应链中虽涉及新疆元素,但不涉及所谓的“强迫劳动”的相关材料,从而梳理汇总对外举证可能涉及的证明文件,从中识别个人信息、重要数据、限制出境的特殊行业数据等以及统计相应的出境数据量级。
再者,相关企业根据既有的数据处理情况以及拟出境数据情况,从流程效率、适用要求等因素触发评估选择自身可能适用的数据出境机制,并预判与实施所可能需要履行的数据出境安全管理义务,包括但不限于数据出境安全评估、个人信息主体的告知同意义务、个人信息保护影响评估以及特殊行业所需的审查、备份等其他数据出境安全管理义务。
最后,若相关企业通过数据出境风险自评估、个人信息保护影响评估,识别并发现可能涉及向境外提供属于管制物项、涉及本地化要求的数据、甚至国家秘密以及触发国家安全审查或《数安法》第三十六条审批义务等高风险的数据出境活动时,企业应当在对外举证前履行相应的报批义务,或积极主动地与国家网信部门、相关行业主管机关等数据出境安全管理的监管部门进行沟通联系,并根据监管部门要求及法律法规规定采取相应的数据出境安全管理措施,并依据法律法规、相关监管部门的行政指导意见以及数据安全评估结果等进行对外举证,并提供相应的证明材料。
就举证内容而言,中国企业为应对美国涉疆法案执法进行对外举证时,应当严格根据数据出境的相关规制要求、监管部门的行政指导意见等严格限缩对外举证的颗粒度、敏感程度、数据量级,并尽量避免提供原始个人信息等未经脱敏处理后的数据。例如,公司若需向境外提供关于“供应链中涉新疆元素”以及“合法用工元素”的证明材料时 ,公司或可优先考虑通过提供“供应链所涉各方不来自新疆以及合法用工”的承诺书、公司内部劳动保护制度、供应链管理机制等内部制度的方式,以代替向境外提供材料原产地的具体地址、员工具体名单、工资支付情况等原始数据,从而降低企业向境外提供重要数据并增加自身的数据出境安全管理成本的可能性。
2. 美国涉疆法案下企业如何履行数据出境安全评估义务
(1)数据出境安全评估流程
在具体的评估流程上,企业应当遵照《评估办法》所明确的自评估——安全评估——重新申报评估的评估流程框架。企业在申报数据出境安全评估前,应当开展数据出境风险自评估,提前准备完备申报书、自评估报告,以及与境外接收方拟订立的法律文件(如《数据跨境协议》)等申报材料,并向企业所在地的省级网信部门提交。数据出境安全评估工作每2年开展一次,如有效期届满,需要继续开展数据出境活动的,企业应当在有效期届满60个工作日前重新申报评估。
(2)数据出境安全评估内容
《评估办法》第5条和第8条分别就自评估和安全评估的重点评估事项进行列举,可以看出,二者在内容上有一定重叠,安全评估将重点关注数据出境活动对国家安全、公共利益、个人或组织合法权益带来的风险,并将基于此额外考虑境外接收方所在国家或地区的政策、法律、网络安全环境对出境数据安全的影响,以及数据出境活动及所涉相关方遵守中国法律、行政法规、部门规章情况。此外,《评估办法》第9条还就作为自评估和安全评估的重要组成部分的数据跨境法律文件应当包含的内容进行说明。
因此,我们理解企业在自行开展数据出境风险自评估时,基于对数据安全评估的整体流程和内容认知,不应将评估内容局限于《评估办法》所列举的自评估事项,宜充分考量安全评估的事项和数据跨境法律文件条款。
鉴于此,本文认为企业可以尝试从数据处理者维度、数据接收方维度、数据出境风险维度,以及合同约束维度分别开展自评估工作。具体内容可参考下表:
正如前文所述,由于企业可能还需承担开展个人信息保护影响评估,与主管机关积极沟通或取得其批准的义务,建议企业亦在数据出境风险自评估报告中就此展开论述,以作为自证合规材料。
3. 企业违反数据出境安全管理义务可能承担的法律责任
(1)行政责任
违反数据出境安全管理义务所需承担的行政责任,主要见于《网安法》《数安法》和《个信法》,本文于下表作相应梳理:
(2)民事与刑事责任
企业在涉疆法案下的对外举证行为若违反数据出境安全管理义务,即进行数据“非法出境”活动,一方面可能需依照《个保法》第六十九条之规定,向个人承担损害赔偿等侵权责任,另一方面还可能构成侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪两个与数据安全高度相关的罪名。进一步而言,企业应当深刻理解把握总体国家安全观,在数据安全亦是国家安全之今日,鉴于重要数据对于国家安全的影响,若企业非法向境外提供重要数据,也可能构成为境外窃取、刺探、收买、非法提供国家秘密、情报罪。
结语
与此同时,近年来,中国数据出境安全管理规则逐步落地与完善,无疑在数据安全治理领域为保护国家安全筑起一道更为坚实的防护墙,也在为相关企业施以必要的合规要求的同时,为相关企业提供了把握贸易新机遇的重要制度指引,协助其深入评估并提前预判在对外举证过程中的数据安全风险与国家安全风险并依法履行数据出境安全管理义务,以期保障企业在数据出境安全管理体系的护航下从容应对贸易管制新变局。
向下滑动阅览
脚注:
[1] https://c4ads.org/reports/shifting-gears/ 参见。
[2] 《联邦法规汇编》第19编第152.102(g)条:(1)同一家庭的成员,包括兄弟姐妹(无论是全血亲还是半血亲)、配偶、祖先和直系后代。(2)组织的任何管理人员或董事,以及该组织本身。(3)组织的高级管理人员或董事和另一个组织的高级管理人员或董事,如果每个人同时也是另一个组织的高级管理人员或董事。(4)合伙人。(5)雇主和雇员。(6)任何人直接或间接拥有、控制或持有某组织百分之五或以上的已发行有表决权股票或股份,以及该组织本身。(7)直接或间接控制、被任何人控制或与任何人共同控制的两人或多人。
[3] 详见《战略报告》第II部分“Indicators of Forced Labor in PRC Labor Programs”。
作者简介
景云峰,合伙人 公司业务部业务领域:出口管制与经济制裁、中国反制措施与国家安全合规、海关与进出口监管等吴涵,合伙人 合规业务部业务领域:网络安全、数据合规与治理蒋雨琦,律师助理 合规业务部张浣然,律师助理 合规业务部樊佳欣,律师助理 合规业务部感谢实习生刘亚琴、冯佳颖对本文作出的贡献。(来源:金杜研究院)
更多资讯