一、EO 14117规则解读回顾：基于风险控制的数据交易监管

作为一般适用的基本规则，EO 14117及相关文件禁止或限制了美国主体与受关注国家或受管辖主体之间涉及大规模敏感个人数据或政府相关数据的受监管数据交易，除非该等交易构成豁免交易或基于许可获得了授权；但受限制交易可以在满足安全要求的前提下开展（以下称“禁止/限制规则”）。我们从禁止/限制规则中汇总提取了4组关键要素：

1. 作为监管目标的数据——大规模敏感个人数据、政府相关数据；
    
2. 作为监管事项的交易——受监管数据交易、具体禁令；
    
3. 开展交易的合规路径——实施安全要求、获得许可；
    
4. 作为监管对象的主体——美国主体、受关注国家与受管辖主体。

（一）EO 14117规制的应用公式

在上述一般性规则的基础上，通过梳理EO 14117与《最终规则》的最新要求，我们理解，EO 14117的规制公式可以总结为：

禁止或限制美国主体从事任何获取、持有、使用、转让、运输、进出口或参与任何与其他国家或国民有利益关系的交易（即，“交易”），如果该交易：

1. 受关注国家或受管辖主体与美国主体间开展的交易；
    
2. 交易对象涉及受管辖的数据；
    
3. 属于受监管数据交易；
    
4. 交易发生于《最终规则》的生效期间；
    
5. 交易不属于被豁免的交易；
    
6. 交易未采取相关合规路径（未取得相关许可且未满足安全要求）。

以下我们将围绕上述规制公式中的关键要素及相关概念，基于EO 14117与《最终规则》等相关文本，对相关政策规则进行进一步解读。

（二）受关注国家

根据《最终规则》，“受关注的国家”的定义为符合以下条件的任何外国政府：

1. 从事长期或严重不利于美国国家安全或美国人安全的行为；并且
    
2. 构成利用政府相关数据或大量美国敏感个人数据损害美国国家安全或美国人安全的重大风险。

具体而言，受关注国家共有六个，分别是：中国（包括中国香港和澳门）、古巴、伊朗、朝鲜、俄罗斯、委内瑞拉。

（三）受管辖主体

在受关注国家的基础上，《最终规则》将受管辖主体定义为符合以下条件的外国主体：

1. 直接或间接，单独或整体上由一个或多个受关注国家或由符合第（2）款的个人持有50%或以上股份，根据受关注国家的法律组织或特许而设立，或主要营业地位于受关注国家的实体；
    
2. 直接或间接，单独或整体上由符合第（1）款、第（3）款、第（4）款或第（5）款所述的主体持有50%或以上股份的实体；
    
3. 作为受关注国家的员工或承包商的个人，或作为符合第（1）款、第（2）款或第（5）款所述的实体的员工或承包商的个人；
    
4. 主要作为受关注国家的领土管辖范围内居民的个人；
    
5. 由司法部长认定的任何主体，无论其位于何处：
   
   （1）由、曾由或可能由受关注国家或受管辖主体拥有或控制，或受其管辖或指示；
   
   （2）为、曾为或意图为受关注国家或受管辖主体行事，或代表受关注国家或受管辖主体行事；
   
   （3）故意引发或指示违反本规则的行为，或可能故意引发或指示违反本规则的行为。

（四）美国主体

《最终规则》将美国主体定义为符合以下条件的主体：

1. 任何美国公民、国民或合法永久居民；
    
2. 根据《美国法典》第8编第1157条被接纳为美国难民或根据第1158条被授予庇护的任何自然人；
    
3. 任何仅依据美国或美国辖区内的法律成立的实体（包括外国分支机构）；或
    
4. 任何位于美国境内的主体。

（五）受管辖的数据

1. 大规模“敏感个人数据”

《最终规则》将敏感个人数据定义为六类，包括受管辖的个人标识符、精确地理位置数据、生物标识符、人类组学数据、个人健康数据、个人金融数据，或任何以上数据的结合；但不包括：

（1）与个人无关的公开或非公开数据，包括符合（18 U.S.C. 1839 (3)中定义）“商业秘密”或符合（50 U.S.C. 1708 (d) (7)中定义）“专有信息”的数据；
 

（2）在交易发生时，根据联邦、州或地方政府记录（如，法庭记录）或广泛传播的媒介（如，通常通过不受限制和开放获取的存储库向公众提供的来源），可以由公众合法获取的数据；
 

（3）IEEPA的个人通信例外所包含的数据；
 

（4）IEEPA的信息材料例外所包含的数据。

“大规模”的定义为“与美国敏感个人数据有关的任何格式的大规模数据集合或数据集，无论这些数据是否经匿名化、假名化、去标识化或加密处理”。“大规模”一词是指任何在过去12个月的任一时间点达到特定门槛的数据——该等特定门槛可以通过单一的受监管数据交易的数据量来满足，也可以通过复数受监管数据交易的集合的数据量来满足，但后者要求集合内的交易涉及同一受管辖主体。

关于我们总结的EO 14117下六类敏感个人信息的细分定义和构成“大规模”敏感个人信息的门槛，请详见《美国数据跨境新政解读：适用场景、应用公式与应对策略》。

2. 美国“政府相关数据”

EO 14117将美国政府相关数据定义为“具有被受关注国家利用以损害美国国家安全的高度风险的敏感个人数据，无论其数量多少”。《最终规则》则在此基础上对美国政府相关数据提供了细化定义与相应示例如下：

（1）政府精确位置数据：对于在政府相关位置数据列表（§ 202.1401）上列出的任何区域内任何位置的任何精确地理位置数据，无论其数量多少。这些位置数据由于其自身性质或在其地点工作人员的原因，一旦泄漏后被受关注国家掌握或利用将造成较高风险，从而损害美国国家安全。此类相关数据包括这些具体位置的设施情况、所开展活动和人口等相关数据。
 

（2）政府人员相关联或可关联数据：交易方认为与美国政府（包括军队和情报部门）现任或前任雇员、现任或前任承包商、前任高级官员相关联或可关联的任何敏感个人数据，无论其数量多少。

（六）受监管数据交易

EO 14117将“交易”定义为“获取、持有、使用、转让、运输或进出口任何外国（政府）或外国公民在其中拥有任何利益的财产”的行为，并明确了“涉及大规模敏感个人数据或与美国政府有关的数据，对美国国家安全构成不可接受风险的交易”应受限制或禁止。《预通知》则在此基础上将更为具体的“受监管数据交易”的概念定义为“任何涉及美国大规模敏感个人数据或美国政府相关数据的交易，且该交易也涉及：①数据经纪[5]；②供应商协议；③劳动协议；或④投资协议”。《最终规则》也进一步肯定了这一定义。

值得注意的是单词“涉及（involve）”在此处的多次使用，说明了EO 14117相关政策规则体系下的“受监管数据交易”不仅限于直接进行数据交互的交易活动（如，数据经纪），也包括了可能产生数据访问风险的其他交易活动（如，供应商协议、劳动协议、投资协议）——而在EO 14117的语境下，前述有关风险主要是指受关注国家或受管辖主体访问美国大规模敏感个人数据或政府相关数据的风险。如果使用数据合规实务领域常用的概念来理解，EO 14117的“受监管数据交易”实质上覆盖了各类针对大规模敏感个人数据或政府相关数据的、向受关注国家或受管辖主体进行的共享、转移、委托处理、授权访问的行为，以及直接或间接产生受关注国家或受管辖主体访问大规模敏感个人数据或政府相关数据可能性的其他特定交易行为，且“访问”的性质将不会因为应用安全措施而被影响或改变。

此外，受监管数据交易行为虽然会受到豁免交易、交易许可及数据范围的三重限制，但由于其定义相对宽泛，可以预期相关规则在具体落实时可能仍然存在较广的灰色地带，给执法机关留下比较大的自由裁量权。

针对数据交易的监管，《最终规则》采取了分类监管的策略，将交易分为禁止交易与受限制交易，并进一步提出了交易豁免的类别，其中禁止交易包括数据经纪交易、涉及人类组学数据和人类生物样本的交易；而受限制交易则包括涉及提供商品和服务的供应商协议的交易、涉及劳动协议的交易和涉及投资协议的交易，具体规则请详见《美国数据跨境新政解读：适用场景、应用公式与应对策略》。

（七）被豁免的交易

在禁止交易与限制交易的基础上，《最终规则》还规定了共计十一项被豁免的数据交易，包括：

1. 适用于《最终规则》全文规定的三项豁免——

（1）涉及任何邮政、电报、电话或其他不涉及任何有价物品转让的个人通信的数据交易。
 

（2）涉及表达性材料信息的进口或出口。
 

（3）旅行信息，包括个人行李、生活费用和旅行安排的相关数据。
 

2. 适用于《最终规则》第C（禁止交易）、D（受限制交易）、J（尽职调查与审计）、K（报告与记录保存）子部分的八项豁免——
 

（1）美国政府的官方交易活动。
 

（2）涉及提供金融服务通常附带的交易，金融服务包括银行业务、资本市场或金融保险服务；国家银行授权的金融活动；根据银行控股公司法定义为金融性质或补充金融活动的活动；附带个人金融数据的电子商务转移；以及为补偿提供投资组合或资产投资建议的投资管理服务（包括相关辅助服务）则属于金融服务。
 

（3）美国人与其外国子公司或关联公司之间的公司集团交易（当这些交易通常属于日常行政或业务运营的一部分时），如人力资源、薪资、税务、许可、合规、风险管理、差旅和客户支持。
 

（4）联邦法律或国际协议要求或授权的交易，其中包括《国际民用航空公约》（2022年）、《世界卫生组织章程》（1946年）等协议。此外，如果交易属于遵守联邦法律法规的正常附带活动。
 

（5）美国财政部（the Department of the Treasury）下辖的美国外国投资委员会（Committee on Foreign Investment in the United States, CFIUS）明确指定豁免的投资协议。
 

（6）提供电信服务（包括国际电话、移动语音和数据漫游）过程中通常涉及的交易。
 

（7）药品、生物制品和医疗器械授权相关数据交易，当其涉及在相关国家获得或维持监管审批所需的“监管审批数据”。
 

（8）其他临床研究和上市后监督数据。

二、EO 14117的合规路径：数据交易许可、合规措施与安全要求

（一）数据交易的许可制度

EO 14117下的数据交易许可制度主要基于外国资产控制办公室（Office of Foreign Assets Control, OFAC）的许可制度修改而来，且与OFAC的许可制度类似，同样包括“通用许可（general licenses）”与“特定许可（specific licenses）”，用于批准禁止或受限的受监管数据交易。

通用许可是对于特定类别交易的全面授权，相当于在对于受监管数据交易的禁止/限制规则下创设一个例外性的授权，为美国司法部提供了灵活的调整空间，以应对政策需求的变化。援引通用许可开展数据交易的美国主体无需自行进行申请，而只需根据美国司法部对于通用许可的相关规定提交报告与声明，并根据相关要求在交易进行过程中进行充分披露；如果未能履行充分披露义务，则给予通用许可的授权可能面临失效，并同时导致相关交易活动构成对于规定中禁令的违反，相关主体可能面临执法机构制裁的风险。

特定许可是由参与特定受监管数据交易的特定美国主体主动申请的、一事一议的专项授权，美国主体需要填写并递交各类申请文件以申请特定许可，并可能同样需要遵守通用许可中的持续性披露的义务（如，持续提供有关授权开展的数据交易的报告）。美国司法部目前在针对特定许可考虑要求任何获得特定许可进行大规模敏感个人数据或政府相关数据交易的主体必须在可行的范围内提供保证，确保根据此类交易转移的任何数据都可以恢复、不可逆地删除或以其他方式使其失效。

在上述许可机制外，公司和个人还可以依据法规对特定交易的适用性征求美国司法部（或其他有关部门）的咨询意见。

（二）数据交易的合规安全措施

《最终规则》充分考虑了《通知》与《预通知》中提出的监管受限制交易的措施，并根据EO 14117的授权对受限制交易的行为施加了尽调与审计要求；此外，《最终规则》也提出了相应的报告与记录保存要求。

1. 尽职调查与审计要求

（1）规定参与受限制交易的条件是按照要求开展尽职调查，并保存尽职调查的文件材料，以协助检查和执法；

（2）规定参与受限制交易的条件之一是开展第三方年度独立审计，并保存年度审计报告，以核实和改进安全要求的遵守情况；

（3）要求制定并实施数据合规计划，并制定基于风险的程序来核实数据流，包括交易中涉及的数据类型和数量、交易各方的身份以及数据的最终用途。

2. 报告与记录保存要求

（1）从事涉及云计算服务的受限制交易时，如果受限制交易的25%或以上直接或间接由受关注国家或受管辖主体所有，相关美国个人应当按要求提交年度报告 ；

（2）任何收到并明确拒绝他人提出从事禁止交易的要约的美国人必须在拒绝后的14个工作日内向司法部提交报告；

（3）从事与外国非受管辖主体进行涉及数据经纪的受关注交易的美国人，在知道或怀疑外国交易对手违反了向受关注国家或受管辖主体转售和转移的限制时，应提交报告；以及

（4）美国个人援引交易豁免以向相关国家提供获得或维持监管审批所需的“监管审批数据”，且当这些交易对于获得或维持在受关注国家针对特定业务获取监管批准是必要时，应提交报告，因为将受监管数据直接传输给关注国家的政府实体会带来更高的国家安全风险。

（5）此外，根据《最终规则》第202.1101条，需要记录的内容包括：

① 描述合规程序的书面政策；

② 记录实施受限制交易安全措施的书面政策；

③ 评估对安全措施遵守情况的任何审计结果；

④ 为验证任何受限制交易中涉及的数据流而进行的尽职调查的文件；

⑤ 与每次交易相关的其他相关信息；

⑥ 数据传输方式的证明文件；

⑦ 交易开始与结束日期的证明文件；

⑧ 与交易相关协议的副本；

⑨ 与交易相关的许可或咨询意见的副本；

⑩ 总检察长向其发布的任何原始文件的文件编号；

⑪ 交易过程中接收或创建的相关文件副本；

⑫ 对记录尽职调查的完整性和准确性进行的年度证明。

（6）根据《最终规则》第202.1001-202.1002条从事受限制交易的美国主体所负担的尽职调查与审计义务，以及第202.1103-202.1104条规定的部分报告义务，将于《最终规则》刊登于《联邦公报》270日后（即2025年10月6日）生效。

（三）受限制交易的安全要求

针对受限制交易，EO 14117要求其满足特定的安全要求作为前提，以缓释其所产生的受关注国家及受管辖主体访问大规模敏感个人数据或政府相关数据的风险。EO 14117相关文件中强调，该等安全要求旨在降低风险，并可能包括网络安全措施，如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化，以及隐私保护技术的使用等。

2025年1月，美国国土安全部网络安全与基础设施局（Cybersecurity and Infrastructure Security Agency）（以下称“CISA”）按照EO 14117的指示正式发布了适用于美国司法部所颁布法规中确定的受限制交易的安全要求（以下称“安全要求”）[6]。

在司法部提出的合规要求的基础上，CISA在安全要求中针对所涉数据、所涉系统和组织整体角度，提出如何结合美国现有的网络安全和隐私保护框架以符合EO 14117的要求。进一步地，CISA从“组织和系统层面”以及“数据层面”区分了针对限制性交易安全要求的主要内容。

1. 组织和系统层面的安全要求

在组织和系统层面，CISA针对限制性交易的安全要求可分为三个子项，即“实施组织网络安全政策、实践和要求”“实施访问控制措施”与“开展数据风险评估”。

（1）实施组织网络安全政策：识别、更新所涉系统及数据资产；指定网络安全和合规管理人员；对所涉系统制定应急响应计划并及时修复漏洞；记录并维护所涉系统的供应商协议；开发并维护网络拓扑结构；建立软硬件安装批准流程。

（2）实施访问控制措施：采用多因素认证或强密码；合理配置系统访问权限；收集所涉系统中12个月的访问及安全日志；防止未经授权的硬件连接；默认拒绝外部连接；管理系统身份标识和凭证。

（3）内部开展数据风险评估：考量数据对外披露的可能性和危害性；针对评估的风险确定风险缓释措施，追踪缓释措施实施情况。

2. 数据层面的安全要求

（1）在受限制交易过程中应用安全加密技术：对所涉数据在传输和存储过程中进行加密；生成并安全管理用于加密所涉数据的加密密钥。

（2）应用数据最小化和数据脱敏策略：制定书面的数据留存和删除政策，并每年进行审查且根据情况适时更新；通过处理实现数据不再属于“受管辖的个人标识符”范畴，或最大限度降低与美国公民实体的关联性。

（3）应用隐私增强技术：不向参与受限制交易的相关人员透露所涉数据或可合理用于重识别所涉数据的信息。

（4）配置身份管理策略：确保受关注国家相关人员无法访问所涉系统及数据。

三、EO 14117下我国出海企业的合规风险与应对

虽然EO 14117及相关文件确立的规则直接适用的主体对象仅包括美国主体，但如果作为受管辖主体的企业所经营的业务涉及受监管数据交易，且涉及业务的开展与我国企业相关，则有关业务行为仍存在受到监管审查乃至被要求停止开展的可能性。因此，结合对《预通知》《通知》与《最终规则》中提供的规则与交易示例进行适用性分析，中国企业如未按照EO 14117与《最终规则》的合规要求开展商业活动，仍可能受到较为严重的利益损失和其他负面影响。

（一）海外App运营的风险分析

目前存在出海业务的企业最为关注的风险之一是在EO 14117逐步落实的背景下，具有中资背景的App在美国境内开展运营活动并收集、存储、使用美国用户的个人数据，是否可能触发EO 14117体系下的禁止/限制规则？

基于禁止/限制规则的基本结构，对于这一潜在风险项的分析可以基于如下思路进行：

1. 是否涉及受监管数据？

不同类别App的运营可能涉及的数据类别也不尽相同；但需要注意EO 14117与《最终规则》对于“受监管的个人识别数据”的定义十分宽泛。

由于《最终规则》中列明的个人识别数据包含了各类常见设备信息、广告标识符、账户信息、网络协议等App难免会收集、存储的数据，因此可以较为容易地通过“相互结合的、列明的个人识别数据”这一细分路径也将构成敏感个人数据。

在大规模敏感个人数据的门槛方面，对于企业而言，触发《最终规则》中“大规模”门槛的可能性是相对较高的，企业需要清晰梳理所涉及业务涉及的个人信息主体数量是否会实际触发该门槛。

2. 是否涉及受监管数据交易？

对于这一问题的答案在很大程度上取决于App运营方的身份、中国母公司的身份，以及作为投资方/控制方的中国母公司是否可能访问到运营方的数据。

在App运营方的身份方面，无论运营方在美国境内注册设立、还是设有分支机构，均可能会构成EO 14117与《最终规则》下的“美国主体”，进而适用相关监管规则与合规要求。

在中国母公司的身份方面，由于运营方背后的母公司/集团的中资背景，无论如何安排其股权与控制权结构，都不太可能完全避开作为“受管辖主体”判断的兜底情形，即被美国司法部长指认为由某受关注国家拥有或控制，或受其管辖或指示。

在母公司的访问控制方面，如果运营方与母公司之间存在涉及受监管数据的数据交互，则在该等交互的数据方面具有较高可能性符合《最终规则》中对于数据经纪活动的定义，并且也符合场景示例中“签署协议并授权访问”的基本事实。因此，如果希望避免落入监管规则的适用范围，相关企业需要在App运营企业与境外母公司之间制定并落实数据隔离与访问控制的策略，避免被认定构成受监管数据交易。

3. 是否涉及豁免交易？

在豁免交易方面，由于App用户个人数据的范围较广，相关从业企业能够潜在依赖的豁免事项仅有“作为业务运营一部分实体内部交易”中的“美国主体及其位于受关注国家（或从属于该受关注国家的所有权、指示、管辖或控制）子公司或分公司之间的交易”这一种类别；而该类豁免事项的适用要求企业调整组织架构，将美国主体作为主要运营实体，令境外实体成为美国主体的子公司或分公司——对于多数公司而言，该等调整在业务与管理层面的可行性不高。

（二）海外实体招聘的风险分析

另一类受到较多关注的场景是中资背景的美国主体在员工招聘方面，基于管理、运维、业务等各方面的考量，实践中经常需要聘用中国境内的技术团队及人员，或聘用中方母公司的管理层人员。

1. 聘用中国技术团队进行运维

假设一家中资背景且经营消费端业务的美国公司收集并维护来自美国消费者的大规模人类基因组数据、个人健康数据等敏感个人数据，该美国公司在信息技术运维方面归入中方母公司的全球运维规划内，并按照母公司的供应商采购策略雇用了一个主要由中国公民组成的团队提供后端服务。

——如果该后端运维团队可以访问包含大规模敏感个人数据的系统，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 聘用中国公民进行项目管理

假设一家中资背景的美国公司通过从社交媒体平台抓取已公开照片的方式收集美国网民的大规模敏感个人数据（包含面部数据扫描），并将这些照片输入其自研的数据库用于训练人脸识别算法；基于项目推进效率的考量，该美国公司计划雇佣一位在中国母公司拥有丰富项目管理经验的员工（中国公民）担任数据库项目经理。

——如果该员工作为项目经理的工作内容将涉及到访问大规模生物特征识别数据，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

3. 聘用中国公民进行产品研发

假设一家中资背景的美国金融服务公司正在开发基于生成式人工智能的个人助理应用，并计划将其作为该公司的独立产品销售给客户；基于中国母公司的商密保护需求，该美国公司需要雇佣一名原本任职于母公司的数据科学家（中国公民）领导产品研发。

——如果作为受雇工作内容的一部分，该数据科学家所拥有的权限允许其访问、下载和传输大规模的个人金融数据，且这些数据不是通常属于公司向其客户提供的金融服务的一部分，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

4. 聘用母公司高管进行组织管理

假设一家中资背景的美国公司开发即时通讯类App并通过美国软件应用程序数字发行平台在美国发行，该App收集美国用户的大规模敏感个人数据；基于中国母公司实际控制要求，该美国公司需要雇用一名原本任职于母公司的高管（非中国公民，但由于其与母公司的历史沿革被美国司法部长指定为受管辖主体）担任首席执行官。

——如果该高管作为首席执行官的权力和职责涉及访问应用程序收集的所有数据，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

（三）海外项目投资的风险分析

除了上述出海布局业务外，中国企业在美国开展的投资活动也可能受制于EO 14117及相关政策规则而受到不利影响。具体而言：

1. 中资股权投资美国个人健康数据中心

假设一家美国公司计划在美国境内建造一个数据中心，该数据中心将存储美国人的大规模个人健康数据，一家中资背景的私募基金同意为数据中心的建设提供资金，以换取该数据中心的多数权益。

——此时该等投资协议或安排本身可能被认定为构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 中资收购美国App运营公司少数股权

假设一家中国科技公司与一家开发即时通讯App的美国公司签订了股权转让协议或者增资协议，中国公司根据该协议获得了美国公司的少数股权，而该美国公司的App系统性地收集其美国用户的大规模敏感个人数据。

——此时，无论投资协议是否明确授予该外国科技公司访问该等数据的能力，即便协议中明确禁止该等访问，该等投资协议或安排本身仍可能被认定为构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

我们理解，监管机构可能不会只根据书面文件来判断受关注国家的投资人是否有权利访问或接触美国大规模敏感个人数据或美国政府相关数据的权利，而是更加看重受关注国家是否有可能通过该交易访问或接触到美国大规模敏感个人数据或美国政府相关数据，因此，对投资人基于协议的数据访问权限的限制并不会被认为降低了风险。而与之相反的是，如果上述接受投资的美国公司客观上不具备访问美国大规模敏感个人数据或美国政府相关数据的能力，则中国企业对于该等美国公司的投资一般不会触发针对包含投资协议的受监管数据交易的禁止/控制。

（四）为海外提供云服务的风险分析

中国云服务企业在近年来也凭借高性价比的优势逐渐打开国际市场。随着EO 14117及相关政策规则的落地实施，中国云服务企业作为供应商提供的IaaS/PaaS/SaaS类云服务也可以预见会受到一定程度的冲击。

1. 中国云服务商为美国公司存储精确地理位置数据

假设一家美国公司通过App从美国用户处收集大规模精确地理位置数据，并与总部位于中国的云服务公司签署协议以处理并存储该等数据。

——此时该等供应商协议或安排本身将构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 中国云服务商为美国医疗机构存储个人健康数据

假设一家美国医疗机构与一家总部位于中国的云服务公司签署协议以获取信息技术相关的服务，该医疗机构掌握有与美国病人相关的大规模个人健康数据，且该协议中涉及访问保存有该等大规模个人健康数据的信息系统。

——此时该等供应商协议或安排本身仍然构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

3. 中资控股云服务商为美国公司存储敏感个人数据

假设一家美国公司由总部位于中国的公司控股并且指定了受管辖主体（中国公民）作为管理人员，该公司在美国境内建立数据中心运营数据托管服务，并作为供应商向其他美国公司提供服务以存储美国公司收集的美国大规模敏感个人数据。

——此时该等供应商协议或安排本身仍构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

（五）针对EO 14117的企业合规应对指南

基于上述潜在风险，我国出海企业可以结合企业内部制度管理、技术保障、数据全生命周期安全等方面的合规落实路径，按照以下思路与流程开展EO 14117及相关法规文件下的合规动作：

1. 数据梳理与适用判断

（1）梳理公司数据资产中与美国境内业务及美国境内居民存在关联的部分，识别其中的敏感个人数据及政府相关数据：对于已在美国开展业务的企业而言，首先要做的是，精准判断自身是否属于受限制主体范畴。特别需要留意的是，《最终规则》实行“50%向下穿透规则”。这一规则意味着，众多国内企业设在美国的子公司，极有可能被纳入受限制主体范围，企业必须全面梳理自身股权结构及子公司情况，避免因疏忽而违规。在必要情况下，企业可以通过在非受关注国家建立独立主体运营数据等方式调整架构，以实现中美业务合规隔离。

（2）梳理公司涉及数据处理的业务模式，识别其中受监管数据交易类型及场景：企业应重新审视并调整自身的数据收集方式。仔细评估能否规避收集《最终规则》中所列举的个人敏感数据或政府相关数据，若无法避免，需提前拟定替代性的数据收集方案。尤其是针对美国个人数据，更要密切关注《最终规则》所设定的阈值，严格把控数据收集的范围与数量，确保数据收集环节符合规定。

（3）针对EO 14117对公司业务活动的适用性进行综合判断：企业需全面梳理涉美业务，排查其中是否存在“供应商协议、雇佣协议和被动投资协议”这三类“受限制交易”。对于已存在的此类交易，评估能否将其转变为可豁免的数据交易。根据官方发布的问答表单，最终规则不监管美国人员在美国境内进行的纯国内交易（除非相关美国人员被明确且公开指定为被管辖主体）。基于这一点，企业在必要时可考虑实施涉美业务数据存储的“美国本地化”策略，以此降低合规风险。

2. 合规技术与管理措施落实

针对最终规则所确定的“受限制交易”，企业必须严格履行规定的强制合规要求。建议企业在专业人士的指导下，参考CISA发布的安全要求和NIST网络安全及隐私保护相关的合规框架及合规工具，从所涉数据、所涉系统和组织整体的角度出发，实施与本组织相适应的安全技术与管理措施，有效控制合规风险。这包括制定详尽的合规计划，对数据流动路径及潜在风险展开细致评估；构建书面化的合规政策，并进行年度认证；邀请内外部独立审计员依据CISA的标准，对企业合规情况进行年度审计等。此外，交易细节、协议、许可证及相关记录必须妥善保存至少10年。按照《最终规则》，一旦违反合规要求，企业将面临民事甚至刑事处罚，因此企业务必高度重视，严格落实各项合规措施。

3. 合规落地的日常咨询

（1）基于对法律法规的深入调研分析与丰富的行业实践经验，提供EO 14117的落地合规水位指引；
 

（2）针对未来潜在的监管合规风险，提供事前、事中、事后的全流程合规建议指引与落实方案；
 

（3）考虑企业现有数据跨境传输合规管理体系，提供纳入EO 14117合规要求的制度流程更新。

以上仅为对于相关合规事项的初步、大致的建议，考虑到EO 14117、《最终规则》及CISA安全要求的复杂性、专业性，我们建议相关企业尽早咨询具备丰富全球合规管理与数据跨境传输合规经验的专业外部法律顾问，对于企业的合规计划落实进行指导与协助。（如需对于EO 14117的进一步解读，可以通过文末的联系方式联络本文作者）。

四、结语

EO 14117、《最终规则》及CISA安全要求在不到一年内的陆续发布，在美国历史上开创性地构建起一套以保护美国国家安全为目的的较为完备的敏感数据跨境流动监管体系。从此，美国长期秉持的“数据跨境自由流动”理念被“数据铁幕”赋予了清晰的边界条件，即该原则仅在数据出境目的地并非“外国对手”或“受关注”国家等特定国家时适用；而一旦涉及向该等特定国家进行数据出境操作，那么“数据跨境自由流动”的一般性原则将存在适用的例外。

随着《最终规则》的正式生效，这一政策变化对我国依赖数据跨境传输开展业务的出海企业而言，无疑会产生直接且重大的影响，重新评估和调整业务的潜在需求也带来了严峻的挑战。因此，企业如何在加强内部管理、提升数据处理的安全性和透明度的同时，在成本可控的前提下确保出海业务的可持续发展，是长远视角下的重要话题。

值得注意的是，美国商务部（Department of Commerce, DOC）工业与安全局（Bureau of Industry and Security, BIS）于2025年1月13日发布了名为《人工智能扩散框架》（Framework for Artificial Intelligence Diffusion）的出口管制临时最终规则（Interim Final Rules），在EO 14117与《最终规则》构筑起的“数据铁幕”之上，进一步构建了人工智能领域的“技术铁幕”。可见，随着人工智能领域的国际竞争愈演愈烈，美国联邦政府基于人工智能集成电路（芯片）的先发优势，越发倾向于以出口管制规则作为抓手，有针对性地通过限制高性能算力的国际“扩散”进一步确立并稳固人工智能产业的国际竞争优势。关于《人工智能扩散框架》的要点解读，我们已在前期发表的相关文章中进行系统阐述（具体请参见《美国〈人工智能扩散框架〉解读》）。

铁幕重重落下，企业何去何从？我们建议所涉行业的相关企业如果初步判断EO 14117相关的规则限制可能对自身产生较大影响，即应尽快引入具有丰富全球合规管理经验的律师等外部专家顾问，协助企业从内部管理、业务运营的实际场景出发，逐步搭建符合EO 14117与《最终规则》监管要求的合规体系，并在外部顾问的协助下确保企业日常运营中的数据处理与跨境传输活动中落实符合该等监管要求的具体合规预防措施；对于可能已经存在风险敞口的出海企业，也建议在外部专家的支持下尽快落实风险缓释措施，面对全球化的监管风险为企业最大程度地争取利益。

注释：