专栏名称: 环球律师事务所

环球律师事务所（“我们”）是中国改革开放后成立的第一家律师事务所，由中国国际贸易促进委员会在1979年设立。我们始终秉持简单、正直、阳光的价值观，以客户为中心，不懈地优化工作质量和协调沟通能力，高效和创造性地解决客户的法律问题。

美国数据跨境新政解读：适用场景、应用公式与应对策略

环球律师事务所 · 公众号 · · 2024-12-30 17:09

正文

作者： 孟洁 | 钱星辰 | 杜畅

审 校：赵姝

引言

当地时间2024年12月26日，美国司法部（Department of Justice, DOJ）制定并发布了《关于落实EO 14117行政命令，以防止俄罗斯、伊朗、中国及其他受关注国家获取美国人的大量敏感个人数据和美国政府相关数据的最终规则（Final Rule Implements Executive Order to Prevent Access to Americans’ Bulk Sensitive Personal Data and U.S. Government-Related Data by Russia, Iran, China and Other Countries of Concern）》 ^[1] （以下称“《最终规则》”）。此次发布的 《最终规则》将在刊登于《联邦公报》的90日后生效 。

《最终规则》的发布是美国司法部基于2024年2月28日美国总统小约瑟夫·罗宾内特·拜登签署并发布的第14117号《关于阻止受关注国家获取美国人的大规模敏感个人数据及合众国政府相关数据的行政命令（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）》（以下称“EO 14117”）的授权， ^[2] 在美国司法部前序发布的《关于受关注国家获取美国人的大规模敏感个人数据和政府相关数据的规定的拟议规则制定预通知（Advance Notice of Proposed Rulemaking: Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern）》 ^[3] （以下称“《预通知》”）和于2024年10月21日制定并发布的《防止受关注国家获取美国人大规模敏感个人数据及政府相关数据拟议规则通知（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）》（以下称“《通知》”）征询意见期结束后进一步发布的正式规定，是美国司法部基于EO 14117制定后续其他规则的先导。

以上这些以EO 14117为核心的文件矛头直指有关“受关注国家（Countries of Concern）”政府（包括 中国、俄罗斯、朝鲜、古巴、伊朗与委内瑞拉 ）以及与其存在关联的实体与个人。EO 14117及相关文件的发布，在一定程度上体现出美国联邦政府修改其此前主张的数据跨境自由流动政策的意向，可能对“受关注国家”以及企业带来实质性影响。本文将结合目前已公开发布的相关文件，以美国数据跨境流动政策的不变与变化为视角，分析美国在数据跨境政策上的整体方向；在此基础上，我们将进一步结合企业关注的热点场景为我国企业在相关政策落地前进行风险预判，特别为我国出海企业提供应对参考。

一、EO 14117的情景引入：出海企业运营触发监管规制的行为或场景

根据《最终规则》《通知》及《预通知》中提供的信息，我们提供以下9个案例作为导引场景，供读者思考——我国企业出海运营的过程中存在的哪些行为或场景，可能触发美国联邦政府根据EO 14117及相关文件开展的监管行动。

案例1：聘用中国技术团队进行运维

假设一家中资背景且经营消费端业务的美国公司收集并维护来自美国消费者的大规模人类基因组数据、个人健康数据等敏感个人数据，该美国公司在信息技术运维方面归入中方母公司的全球运维规划内，并按照母公司的供应商采购策略雇用了一个主要由中国公民组成的团队提供后端服务。

案例2：聘用中国公民进行项目管理

假设一家中资背景的美国公司通过从社交媒体平台爬取已公开照片的方式收集美国网民的大规模敏感个人数据（包含面部数据扫描），并将这些照片输入其自研的数据库用于训练人脸识别算法；基于项目推进效率的考量，该美国公司计划雇佣一位在中国母公司拥有丰富项目管理经验的员工（中国公民）担任数据库项目经理。

案例3：聘用中国公民进行产品研发

假设一家中资背景的美国金融服务公司正在开发基于生成式人工智能的个人助理应用，并计划将其作为该公司的独立产品销售给客户；基于中国母公司的商密保护需求，该美国公司需要雇佣一名原本任职于母公司的数据科学家（中国公民）领导产品研发。

案例4：聘用母公司高管进行组织管理

假设一家中资背景的美国公司开发即时通讯类App并通过美国软件应用程序数字发行平台在美国发行，该App收集美国用户的大规模敏感个人数据；基于中国母公司实际控制要求，该美国公司需要雇用一名原本任职于母公司的高管（受管辖主体）担任首席执行官。

案例5：中资股权投资美国个人健康数据中心

假设一家美国公司计划在美国境内建造一个数据中心，该数据中心将存储美国人的大规模个人健康数据，一家中资背景的私募基金同意为数据中心的建设提供资金，以换取该数据中心的多数权益。

案例6：中资收购美国App运营公司少数股权

假设一家中国科技公司与一家开发即时通讯App的美国公司签订了股权转让协议或者增资协议，中国公司根据该协议获得了美国公司的少数股权，而该美国公司的App系统性地收集其美国用户的大规模敏感个人数据。

案例7：中国云服务商为美国公司存储精确地理位置数据

假设一家美国公司通过App从美国用户处收集大规模精确地理位置数据，并与总部位于中国的云服务公司签署协议以处理并存储该等数据。

案例8：中国云服务商为美国医疗机构存储个人健康数据

假设一家美国医疗机构与一家总部位于中国的云服务公司签署协议以获取信息技术相关的服务，该医疗机构掌握有与美国病人相关的大规模个人健康数据，且该协议中涉及访问保存有该等大规模个人健康数据的信息系统。

案例9：中资控股云服务商为美国公司存储敏感个人数据

假设一家美国公司由总部位于中国的公司控股并且指定了受管辖主体（中国公民）作为管理人员，该公司在美国境内建立数据中心运营数据托管服务，并作为供应商向其他美国公司提供服务以存储美国公司收集的美国大规模敏感个人数据。

以上导引案例的结论与分析，详见本文第四部分。

二、EO 14117的规则解读：基于风险控制的数据交易监管

EO 14117针对性地要求美国司法部颁布禁止或限制美国主体获取、持有、使用、转让、运输或进出口任何外国（政府）或外国公民在其中拥有任何利益的财产（即，“交易”），如果该交易：①涉及大规模敏感个人数据或与美国政府有关的数据；②属于对美国国家安全构成不可接受风险的交易类别；③在司法部规定的生效日期之后启动、待定或完成；④不符合豁免条件，或未基于许可获得授权；并且⑤不属于提供金融服务（包括银行、资本市场和金融保险服务）的正常相关活动和组成部分，也不是遵守任何联邦法定或监管要求（包括执行这些要求的任何法规、指南或命令）所必需的。

基于EO 14117的要求，美国司法部在发布的相关文件中中进一步强调：①美国司法部规则禁止美国主体从事“受监管数据交易（covered data transactions）”类型，因为这些类型的数据交易可能使受关注国家或受管辖主体访问美国的“大规模敏感个人数据（bulk sensitive personal data）”或“政府相关数据（government-related data）”；②一些原本被禁止的交易可能受到限制，并仅在符合某些条件——如，国土安全部发布的“安全要求（security requirements）”——的情况下才被允许开展；③被禁止或受限制的交易可能适用通用或特定“许可（license）”而被允许开展；④任何限制或禁止的要求均不适用于“豁免交易（exempt transactions）”。

作为一般适用的基本规则，EO 14117及相关文件禁止或限制了美国主体与受关注国家或受管辖主体之间涉及大规模敏感个人数据或政府相关数据的受监管数据交易，除非该等交易构成豁免交易或基于许可获得了授权；但受限交易可以在满足安全要求的前提下开展（以下称“禁止/限制规则”）。我们从禁止/限制规则中汇总提取了4组关键要素：

作为监管目标的数据——大规模敏感个人数据、政府相关数据；
作为监管事项的交易——受监管数据交易、具体禁令；
开展交易的合规路径——实施安全要求、获得许可；
作为监管对象的主体——美国主体、受关注国家与受管辖主体。

（一）EO 14117规制的应用公式

在上述一般性规则的基础上，通过梳理EO 14117与《最终规则》的最新要求，我们理解，EO 14117的规制公式可以总结为：

禁止或限制美国主体从事任何获取、持有、使用、转让、运输、进出口或参与任何与其他国家或国民有利益关系的交易（即，“交易”），如果该交易：

受关注国家 或 受管辖主体 与 美国主体 间开展的交易；
交易对象涉及 受管辖的数据 ；
属于 受监管数据交易 ；
交易发生于《最终规则》的生效期间；
交易不属于 被豁免的交易 ；
交易未采取相关 合规路径 （未取得相关许可且未满足安全要求）。

以下我们将围绕上述规制公式中的关键要素及相关概念，基于EO 14117与《最终规则》等相关文本，对相关政策规则进行进一步解读。

（二）受关注国家

根据《最终规则》，“受关注的国家”的定义为符合以下条件的任何外国政府：

从事长期或严重不利于美国国家安全或美国人安全的行为；并且
构成利用政府相关数据或大量美国敏感个人数据损害美国国家安全或美国人安全的重大风险。

具体而言，受关注国家共有六个，分别是： 中国（包括中国香港和澳门）、古巴、伊朗、朝鲜、俄罗斯、委内瑞拉 。

（三）受管辖主体

在受关注国家的基础上，《最终规则》将受管辖主体定义为符合以下条件的外国主体：

直接或间接，单独或整体上由一个或多个受关注国家或由符合第（2）款的个人持有50%或以上股份，根据受关注国家的法律组织或特许而设立，或主要营业地位于受关注国家的实体；
直接或间接，单独或整体上由符合第（1）款、第（3）款、第（4）款或第（5）款所述的主体持有50%或以上股份的实体；
作为受关注国家的员工或承包商的个人，或作为符合第（1）款、第（2）款或第（5）款所述的实体的员工或承包商的个人；
主要作为受关注国家的领土管辖范围内居民的个人；
由司法部长认定的任何主体，无论其位于何处：

（1）由、曾由或可能由受关注国家或受管辖主体拥有或控制，或受其管辖或指示；

（2）为、曾为或意图为受关注国家或受管辖主体行事，或代表受关注国家或受管辖主体行事；

（3）故意引发或指示违反本规则的行为，或可能故意引发或指示违反本规则的行为。

（四）美国主体

《最终规则》将美国主体定义为符合以下条件的主体：

任何美国公民、国民或合法永久居民；
根据《美国法典》第8编第1157条被接纳为美国难民或根据第1158条被授予庇护的任何自然人；
任何仅依据美国或美国辖区内的法律成立的实体（包括外国分支机构）；或
任何位于美国境内的主体。

（五）受管辖的数据

1. “敏感个人数据”

《最终规则》将敏感个人数据定义为受管辖的个人标识符、精确地理位置数据、生物标识符、人类组学数据、个人健康数据、个人金融数据，或任何以上数据的结合；但不包括：

（1）与个人无关的公开或非公开数据，包括符合（18 U.S.C. 1839 (3)中定义）“商业秘密”或符合（50 U.S.C. 1708 (d) (7)中定义）“专有信息”的数据；

（2）在交易发生时，根据联邦、州或地方政府记录（如，法庭记录）或广泛传播的媒介（如，通常通过不受限制和开放获取的存储库向公众提供的来源），可以由公众合法获取的数据；

（3）IEEPA的个人通信例外所包含的数据；

（4）IEEPA的信息材料例外所包含的数据。

具体而言，以及相关的细分定义总结如下：

定性	类别	定义
构成敏感个人数据	受管辖的个人标识符	“受管辖的个人标识符”指的是符合以下任一条件的列明的个人标识符：与任何其他列明的个人标识符结合；或与交易方根据交易披露的其他数据结合，使得列明的个人标识符与其他列明的个人标识符或其他敏感个人数据相关联或可关联。但“受管辖的个人标识符”不包括：仅与另一项人口统计或联系数据相关联的人口统计或联系数据（例如姓名、出生日期、出生地、邮政编码、居所街道或邮政地址、电话号码和电子邮件地址，以及类似的公共账户标识符）；仅与提供电信、网络或类似服务的另一网络标识符、账户验证数据或通话详情数据相关联的网络标识符、账户验证数据或通话详情数据。 “列明的个人标识符”清单：完整或经过截取处理的政府身份证号或账号；与金融机构或金融服务公司相关的完整金融账号或个人识别号码；基于设备或硬件的标识符——如，国际移动设备识别码（IMEI）、媒体访问控制（MAC）地址、用户身份模块（SIM）卡号码；人口统计或联系数据——如，姓名、出生日期、出生地、邮政编码、居所街道或邮政地址、电话号码和电子邮件地址，以及类似的公共账户标识符；广告标识符——如谷歌广告标识符、苹果广告标识符或其他移动广告标识符（MAID）；账户验证数据——如，账户用户名、账户密码或安全问题答案；基于网络的标识符——如，互联网协议（IP）地址或 Cookie数据；呼叫详情数据——如，客户专有网络信息（CPNI）。
	精确地理位置数据	能够将目标明确在1,000米精度范围内的实时或历史数据。
	生物标识符	用于识别或认证特定个人的、可测量的物理特征或行为，包括面部图像、声纹和声波模式、视网膜与虹膜扫描、掌纹与指纹、步态、键盘使用习惯，该等数据在生物识别系统中进行了注册且由该系统生成了数据模板。
	人类组学数据	人类组学数据具体指：人类基因组数据。表示核酸序列的数据，这些核酸序列构成人类细胞中全部或部分的遗传指令集，包含了个人（42 U.S.C. 300gg-91(d)(17)中定义的）“基因测试”的结果；人类表观基因组数据。通过对人类表观遗传修饰进行系统层面分析得出的数据，表观遗传修饰是指不涉及 DNA 序列本身改变的基因表达变化。这些表观遗传修饰包括诸如 DNA 甲基化、组蛋白修饰和非编码 RNA 调控等修饰。出于个性化患者护理目的对表观遗传修饰进行的常规临床测量，根据本规则不被视为表观基因组数据，因为此类测量并不需要对样本中的表观遗传修饰进行系统层面的分析；人类蛋白质组数据。通过对人类基因组、细胞、组织或生物体所表达的蛋白质进行系统层面分析得出的数据。出于个性化患者护理目的对蛋白质进行的常规临床测量，不被视为蛋白质组数据，因为此类测量并不需要对样本中发现的蛋白质进行系统层面的分析；人类转录组数据。通过对在特定条件下或特定细胞类型中由人类基因组产生的RNA转录本进行系统层面分析得出的数据。出于个性化患者护理目的对RNA转录本进行的常规临床测量，根据本规则不被视为转录组数据，因为此类测量并不需要对样本中的 RNA 转录本进行系统层面的分析。但人类组学数据不包含嵌入人类组学数据集中的病原体特异性数据。
	个人健康数据	与个人的过去、现在或将来的身体或精神健康或状况有关，与为个人提供医疗保健服务有关，或与为个人提供医疗保健的过去、现在或将来的支付有关的健康信息，包括：基本的身体测量和健康属性（如，身体功能、身高和体重、生命体征、症状和过敏情况）；社会、心理、行为和医学诊断、干预和治疗历史；测试结果；锻炼习惯的记录；免疫数据；生殖和性健康数据；以及使用或购买处方药物的数据。
	个人金融数据	有关个人信用卡、签账卡或借记卡或银行账户的数据，包括购买和付款记录；银行、信贷或其他财务报表中的数据，包括资产、负债和债务以及交易；信用报告中的数据，或（15 U.S.C. 1681a(d)中定义的）“消费者报告”中的数据。
不构成敏感个人数据	与个人无关的公开或非公开数据	包括符合（18 U.S.C. 1839 (3)中定义）“商业秘密”或符合（50 U.S.C. 1708 (d) (7)中定义）“专有信息”的数据。
	可以由公众合法获取的数据	在交易发生时，根据联邦、州或地方政府记录（如，法庭记录）或广泛传播的媒介（如，通常通过不受限制和开放获取的存储库向公众提供的来源），可以由公众合法获取的数据。
	IEEPA的个人通信例外所包含的数据	不涉及有价物转让的任何邮政、电报、电话或其他个人通信。（如50 U.S. Code § 1702(b)(1)中所述）
	IEEPA的信息或信息材料例外所包含的数据	任何信息或信息材料，包括但不限于出版物、电影、海报、唱片、照片、缩微胶卷、缩微胶片、磁带、光盘、CD ROM、艺术品和新闻电讯，不论其格式或传播媒介如何；但不包括技术性、功能性或其他非表达性的数据。此外，信息或信息材料不包括：在数据交易日期尚未完全创建并存在的信息或信息材料，或对信息或信息材料的实质性或艺术性的修改或增强，或提供市场营销和商业咨询服务，包括市场推广、制作或共同制作，或协助创建信息或信息材料；截至1994年4月30日，或在该时间之后成为出口管制对象的物品，这种管制是为了促进美国的核武器不扩散或反恐政策，或根据18 U.S.C. chapter 37被禁止的行为。

表1 EO 14117下的敏感个人数据

2. “大规模”敏感个人数据的门槛

“大规模敏感个人数据”的定义为“与美国敏感个人数据有关的任何格式的大规模数据集合或数据集，无论这些数据是否经匿名化、假名化、去标识化或加密处理”。“大规模”一词是指任何在过去12个月的任一时间点达到特定门槛的数据——该等特定门槛可以通过单一的受管辖交易受监管数据交易的数据量来满足，也可以通过复数受管辖交易受监管数据交易的集合的数据量来满足，但后者要求集合内的交易涉及同一受管辖主体。我们比较了《预通知》《通知》与《最终规则》对于“大规模”含义比规定的区别并总结如下：

《预通知》中的规定			《通知》中的规定		《最终规则》中的规定
敏感个人数据类型	数量门槛		敏感个人数据类型	数量门槛	敏感个人数据类型		数量门槛
	低门槛	高门槛
受管辖的个人识别数据	超过1万名美国个人	超过100万名美国个人	受管辖的个人标识符	超过10万名美国个人	受管辖的个人标识符		超过10万名美国个人
地理位置数据及相关传感器数据	超过100部美国设备	超过1万部美国设备	精确地理位置数据	超过1000部美国设备	精确地理位置数据		超过1000部美国设备
生物识别数据	超过100名美国个人	超过1万名美国个人	生物识别数据	超过1000名美国个人	生物识别数据		超过1000名美国个人
生物组学数据	超过100名美国个人	超过1000名美国个人	人类基因组数据	超过100名美国个人	人类组学数据	人类基因组数据	超过100名美国个人
						人类表观基因组数据	超过1000名美国个人
						人类蛋白质组数据	超过1000名美国个人
						人类转录组数据	超过1000名美国个人
个人健康数据	超过1000名美国个人	超过100万名美国个人	个人健康数据	超过1万名美国个人	个人健康数据		超过1万名美国个人
个人金融数据	超过1000名美国个人	超过100万名美国个人	个人金融数据	超过1万名美国个人	个人金融数据		超过1万名美国个人

表2 EO 14117下大规模敏感个人数据的门槛

此外，美国司法部同时强调其将会持续关注技术和威胁的演变，并在必要情况下对目前《最终规则》设定的相关数量门槛进一步调整。

3. 美国“政府相关数据”

EO 14117将美国政府相关数据定义为“具有被受关注国家利用以损害美国国家安全的高度风险的敏感个人数据，无论其数量多少”。《最终规则》则在此基础上对美国政府相关数据提供了细化定义与相应示例如下：

类别	定义
政府精确位置数据	对于在政府相关位置数据列表（§ 202.1401）上列出的任何区域内任何位置的任何精确地理位置数据，无论其数量多少。这些位置数据由于其自身性质或在其地点工作人员的原因，一旦泄漏后被受关注国家掌握或利用将造成较高风险，从而损害美国国家安全。此类相关数据包括这些具体位置的设施情况、所开展活动和人口等相关数据。
政府人员相关联或可关联数据	交易方认为与美国政府（包括军队和情报部门）现任或前任雇员、现任或前任承包商、前任高级官员相关联或可关联的任何敏感个人数据，无论其数量多少。

表3 EO 14117下的美国政府相关数据

（六）受监管数据交易

EO 14117将“交易”定义为“获取、持有、使用、转让、运输或进出口任何外国（政府）或外国公民在其中拥有任何利益的财产”的行为，并明确了“涉及大规模敏感个人数据或与美国政府有关的数据，对美国国家安全构成不可接受风险的交易”应受限制或禁止。《预通知》则在此基础上将更为具体的“受监管数据交易”的概念定义为“任何涉及美国大规模敏感个人数据或美国政府相关数据的交易，且该交易也涉及：①数据经纪 ^[4] ；②供应商协议；③劳动协议；或④投资协议”。《最终规则》也进一步肯定了这一定义。

值得注意的是单词“涉及（involve）”在此处的多次使用，说明了 EO 14117相关政策规则体系下的“受监管数据交易”不仅限于直接进行数据交互的交易活动（如，数据经纪），也包括了可能产生数据访问风险的其他交易活动（如，供应商协议、劳动协议、投资协议） ——而在EO 14117的语境下，前述有关风险主要是指受关注国家或受管辖主体访问美国大规模敏感个人数据或政府相关数据的风险。如果使用数据合规实务领域常用的概念来理解， EO 14117的“受监管数据交易”实质上覆盖了各类针对大规模敏感个人数据或政府相关数据的、向受关注国家或受管辖主体进行的共享、转移、委托处理、授权访问的行为，以及直接或间接产生受关注国家或受管辖主体访问大规模敏感个人数据或政府相关数据可能性的其他特定交易行为，且“访问”的性质将不会因为应用 安全措施而被影响或改变 。

此外，受监管数据交易行为虽然会受到豁免交易、交易许可及数据范围的三重限制，但由于其定义相对宽泛，可以预期相关规则在具体落实时可能仍然存在较广的灰色地带，给执法机关留下比较大的自由裁量权。

针对数据交易的监管，《最终规则》采取了分类监管的策略，将交易分为禁止交易与受限交易，并进一步提出了交易豁免的类别。根据《预通知》《通知》与《最终规则》，我们将相关禁止交易与受限交易的分类标准与禁止/限制规则总结如下：

分类	具体情形	分类标准
禁止交易	数据经纪交易	定义数据的出售、数据访问授权或类似的商业交易（不包含劳动协议、投资协议或供应商协议），其中涉及将数据从某一方（提供方）转移到另一方（接收方），且接收方并非直接从与已收集或处理的数据相关联或可关联的个人处收集或处理数据。
禁止交易	涉及人类组学数据和人类生物样本的交易	定义涉及转让大规模人类组学数据或可从中提取此类数据的生物样本的基因组数据交易。
受限交易	涉及提供商品和服务的供应商协议的交易	定义除了雇佣协议之外的任何协议或安排，其中任何个人向另一人提供商品或服务，包括云计算服务，以换取报酬或其他报酬。
	涉及劳动协议的交易	定义 “劳动协议”指任何个人（不作为独立承包商）直接为他人工作或执行工作职能以换取报酬或其他报酬的协议或安排，包括在董事会或委员会中的任职、执行级别的安排或服务，以及业务级别的劳动服务。
	涉及投资协议的交易	定义 “投资协议”指任何个人以支付或其他报酬为交换，获得直接或间接的所有权利益或与以下相关的权益的协议或安排：①位于美国境内的不动产；②美国法律实体。“投资协议”不包括同时符合以下条件的被动投资情形：如果投资是： ○ 投入（根据15 U.S.C. 78c(a)(10)定义的）公开交易的证券，以任何货币计价，在任何司法管辖区的证券交易所或通过 “场外交易”的方法进行交易； ○ 投入由以下实体提供的证券： -（根据15 U.S.C. 80a-3(a)(1) 定义的）“投资公司”，并且在美国证券交易委员会注册（如，指数基金、共同基金或交易所交易基金）；或 - 任何被选择受监管或根据15 U.S.C. 80a-53作为商业发展公司受监管的公司，或上述任何衍生实体；或 ○ 作为有限合伙人投入风险投资基金、私募股权基金、基金中的基金或其他集合投资基金，如果有限合伙人的贡献仅为资本，且有限合伙人不能做出管理决策，不对超出其投资的任何债务负责，并且没有正式或非正式的能力影响或参与基金或美国人员的决策或运营；给予受管辖主体美国主体总投票权与股权利益不到10%；并且不给予受管辖主体超出被认为是标准少数股东保护权利之外的权利，包括—— ○ 在董事会或美国人员的等同管理机构的成员或观察员权利，或提名个人担任董事会或等同管理机构的职位的权利，或 ○ 在投票股份之外，对美国主体的实质性商业决策、管理或战略的任何其他参与。

表4 EO 14117下的数据交易的分类

（七）被豁免的交易

在禁止交易与限制交易的基础上，《最终规则》还规定了共计十一项被豁免的数据交易，包括：

1. 适用于《最终规则》全文规定的三项豁免——

（1）涉及任何邮政、电报、电话或其他不涉及任何有价物品转让的个人通信的数据交易。

（2）涉及表达性材料信息的进口或出口。

（3）旅行信息，包括个人行李、生活费用和旅行安排的相关数据。

2. 适用于《最终规则》第C（禁止交易）、D（受限交易）、J（尽职调查与审计）、K（报告与记录保存）子部分的八项豁免——

（1）美国政府的官方交易活动。

（2）涉及提供金融服务通常附带的交易，金融服务包括银行业务、资本市场或金融保险服务；国家银行授权的金融活动；根据银行控股公司法定义为金融性质或补充金融活动的活动；附带个人金融数据的电子商务转移；以及为补偿提供投资组合或资产投资建议的投资管理服务（包括相关辅助服务）则属于金融服务。

（3）美国人与其外国子公司或关联公司之间的公司集团交易（当这些交易通常属于日常行政或业务运营的一部分时），如人力资源、薪资、税务、许可、合规、风险管理、差旅和客户支持。

（4）联邦法律或国际协议要求或授权的交易，其中包括《国际民用航空公约》（2022年）、《世界卫生组织章程》（1946年）等协议。此外，如果交易属于遵守联邦法律法规的正常附带活动。

（5）美国财政部（the Department of the Treasury）下辖的美国外国投资委员会（Committee on Foreign Investment in the United States, CFIUS）明确指定豁免的投资协议。

（6）提供电信服务（包括国际电话、移动语音和数据漫游）过程中通常涉及的交易。

（7）药品、生物制品和医疗器械授权相关数据交易，当其涉及在相关国家获得或维持监管审批所需的“监管审批数据”。

（8）其他临床研究和上市后监督数据。

三、EO 14117的合规路径：数据交易许可、合规措施与安全要求

（一）数据交易的许可制度

EO 14117下的数据交易许可制度主要基于外国资产控制办公室（Office of Foreign Assets Control, OFAC）的许可制度修改而来，且与OFAC的许可制度类似，同样包括“通用许可（general licenses）”与“特定许可（specific licenses）”，用于批准禁止或受限的受监管数据交易。

通用许可是对于特定类别交易的全面授权，相当于在对于受监管数据交易的禁止/限制规则下创设一个例外性的授权，为美国司法部提供了灵活的调整空间，以应对政策需求的变化。援引通用许可开展数据交易的美国主体无需自行进行申请，而只需根据美国司法部对于通用许可的相关规定提交报告与声明，并根据相关要求在交易进行过程中进行充分披露；如果未能履行充分披露义务，则给予通用许可的授权可能面临失效，并同时导致相关交易活动构成对于规定中禁令的违反，相关主体可能面临执法机构制裁的风险。

特定许可是由参与特定受监管数据交易的特定美国主体主动申请的、一事一议的专项授权，美国主体需要填写并递交各类申请文件以申请特定许可，并可能同样需要遵守通用许可中的持续性披露的义务（如，持续提供有关授权开展的数据交易的报告）。美国司法部目前在针对特定许可考虑要求任何获得特定许可进行大规模敏感个人数据或政府相关数据交易的主体必须在可行的范围内提供保证，确保根据此类交易转移的任何数据都可以恢复、不可逆地删除或以其他方式使其失效。

在上述许可机制外，公司和个人还可以依据法规对特定交易的适用性征求美国司法部（或其他有关部门）的咨询意见。

（二）数据交易的合规安全措施

《最终规则》充分考虑了《通知》与《预通知》中提出的监管受限制交易的措施，并根据EO 14117的授权对受限制交易的行为施加了尽调与审计要求；此外，《最终规则》也提出了相应的报告与记录保存要求。

1. 尽职调查与审计要求

（1）规定参与受限制交易的条件是按照要求开展尽职调查，并保存尽职调查的文件材料，以协助检查和执法；

（2）规定参与受限制交易的条件之一是开展第三方年度独立审计，并保存年度审计报告，以核实和改进安全要求的遵守情况；

（3）要求制定并实施数据合规计划，并制定基于风险的程序来核实数据流，包括交易中涉及的数据类型和数量、交易各方的身份以及数据的最终用途。

2. 报告与记录保存要求

（1）从事涉及云计算服务的受限制交易时，如果受限制交易的25%或以上直接或间接由受关注国家或受管辖主体所有，相关美国个人应当按要求提交年度报告；

（2）任何收到并明确拒绝他人提出从事禁止交易的要约的美国人必须在拒绝后的14个工作日内向司法部提交报告；

（3）从事与外国非受管辖主体进行涉及数据经纪的受关注交易的美国人，在知道或怀疑外国交易对手违反了向受关注国家或受管辖主体转售和转移的限制时，应提交报告；以及

（4）美国个人援引交易豁免以向相关国家提供获得或维持监管审批所需的“监管审批数据”，且当这些交易对于获得或维持在受关注国家针对特定业务获取监管批准是必要时，应提交报告，因为将受监管数据直接传输给关注国家的政府实体会带来更高的国家安全风险。

（5）此外，根据《最终规则》第202.1101条，需要记录的内容包括：

a. 描述合规程序的书面政策；

b. 记录实施受限交易安全措施的书面政策；

c. 评估对安全措施遵守情况的任何审计结果；

d. 为验证任何受限交易中涉及的数据流而进行的尽职调查的文件；

e. 与每次交易相关的其他相关信息；

f. 数据传输方式的证明文件；

g. 交易开始与结束日期的证明文件；

h. 与交易相关协议的副本；

i. 与交易相关的许可或咨询意见的副本；

j. 总检查长向其发布的任何原始文件的文件编号；

k. 交易过程中接收或创建的相关文件副本；

l. 对记录尽职调查的完整性和准确性进行的年度证明。

（6）根据《最终规则》第202.1001-202.1002条从事受限制交易的美国主体所负担的尽职调查与审计义务，以及第202.1103-202.1104条规定的部分报告义务，将于《最终规则》刊登于《联邦公报》270日后生效。

（三）受限制交易的安全要求

针对受限制交易，EO 14117要求其满足特定的安全要求作为前提，以缓释其所产生的受关注国家及受管辖主体访问大规模敏感个人数据或政府相关数据的风险。EO 14117相关文件中强调，该等安全要求旨在降低风险，并可能包括网络安全措施，如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化，以及隐私保护技术的使用等。

2024年10月24日，美国国土安全部网络安全与基础设施局（Cybersecurity and Infrastructure Security Agency）（以下称“CISA”）按照EO 14117的指示制定了 适用于美国司法部所颁布法规中确定的受限制交易的安全要求 （以下称“安全要求”） ^[5] ，并于2024年10月29日刊登于《联邦公报》对外征求意见。 CISA近期也将基于《最终规则》发布针对受限制交易的正式安全要求。

在司法部提出的合规要求的基础上，CISA在安全要求中针对所涉数据、所涉系统和组织整体角度，提出如何结合美国现有的网络安全和隐私保护框架 （目前暂无详细规定，但CISA已经提出将援引NIST框架作为参考） 以符合EO 14117的要求 。进一步地， CISA从“组织和系统层面”以及“数据层面”区分了针对限制性交易的拟议安全要求的主要内容 。

1. 组织和系统层面的安全要求

在组织和系统层面，CISA针对限制性交易的拟议安全要求可分为三个子项， 即“实施组织网络安全政策、实践和要求”“实施访问控制措施”与“开展数据风险评估” 。

（1）实施组织网络安全政策

a. 识别、记录所涉系统的所有系统及数据资产，并定期更新；

b. 在组织层面指定负责网络安全以及合规职能方面的管理人员；

c. 对所涉系统制定应急事件响应计划，在规定时间内修复漏洞；

d. 记录并维护所涉系统的所有供应商协议；

e. 开发并维护所涉系统准确网络拓扑结构；

f. 配置安装或部署新的硬件、固件或软件前的批准流程。

（2）实施访问控制措施

a. 在所涉系统上实施多因素认证或要求密码具备足够强度；

b. 合理且动态配置个人系统权访问权限；

c. 收集所涉系统中与访问及安全相关事件有关的日志（12个月）；

d. 确保未经授权的介质和硬件不会连接到所涉资产；

e. 默认情况下拒绝所有连接到所涉系统以及相关网络的连接；

f. 在组织层面管理系统身份标识和凭证。

（3）开展数据风险评估

a. 评估应考量数据对外披露的可能性和危害性；

b. 针对评估的风险确定风险缓释措施，追踪缓释措施实施情况。

2. 数据层面的安全要求

（1）在受限制交易过程中应用安全加密技术

a. 全面加密：使用行业标准加密技术对所涉数据在传输和存储过程中进行加密；

b. 保障传输层安全：通过互联网传输所涉数据时仅使用TLS1.2或更高版本的协议；

c. 密钥管理：生成并安全管理用于加密所涉数据的加密密钥。

（2）应用数据最小化和数据脱敏策略

a. 制定书面的数据留存和删除政策，并每年进行审查且根据情况适时更新；

b. 通过处理实现数据不再属于“受管辖的个人标识符”范畴，或最大限度降低与美国公民实体的关联性。

（3）应用隐私增强技术

不向参与受限制交易的相关人员透露所涉数据或可合理用于重识别所涉数据的信息。

（4）配置身份管理策略

确保受关注国家相关人员无法访问所涉系统及数据。

四、EO 14117的风险应对：我国出海企业的合规风险与应对

虽然EO 14117及相关文件确立的规则直接适用的主体对象仅包括美国主体，但如果作为受管辖主体的企业所经营的业务涉及受监管数据交易，且涉及业务的开展与我国企业相关，则有关业务行为仍存在受到监管审查乃至被要求停止开展的可能性。因此，结合对《预通知》《通知》与《最终规则》中提供的规则与交易示例进行适用性分析，中国企业如未按照EO 14117与《最终规则》的合规要求开展商业活动，仍可能受到较为严重的利益损失和其他负面影响。我们将结合本文第一部分中提供的导引案例进行解释说明。

（一）海外App运营的风险分析

目前存在出海业务的企业最为关注的风险之一是在EO 14117逐步落实的背景下，具有中资背景的App在美国境内开展运营活动并收集、存储、使用美国用户的个人数据，是否可能触发EO 14117体系下的禁止/限制规则？

基于禁止/限制规则的基本结构，对于这一潜在风险项的分析可以基于如下思路进行：

1. 是否涉及受监管数据？

不同类别App的运营可能涉及的数据类别也不尽相同；但需要注意EO 14117与《最终规则》对于“受监管的个人识别数据”的定义十分宽泛。

由于《最终规则》中列明的个人识别数据包含了各类常见设备信息、广告标识符、账户信息、网络协议等App难免会收集、存储的数据，因此可以较为容易地通过“相互结合的、列明的个人识别数据”这一细分路径也将构成敏感个人数据。

在大规模敏感个人数据的门槛方面，对于企业而言，触发《最终规则》中“大规模”门槛的可能性是相对较高的，企业需要清晰梳理所涉及业务涉及的个人信息主体数量是否会实际触发该门槛。

2. 是否涉及受监管数据交易？

对于这一问题的答案在很大程度上取决于App运营方的身份、中国母公司的身份，以及作为投资方/控制方的中国母公司是否可能访问到运营方的数据。

在App运营方的身份方面，无论运营方在美国境内注册设立、设有分支机构，还是单纯通过远程方式运营App，均可能会构成EO 14117与《最终规则》下的“美国主体”，进而适用相关监管规则与合规要求。

在中国母公司的身份方面，由于运营方背后的母公司/集团的中资背景，无论如何安排其股权与控制权结构，都不太可能完全避开作为“受管辖主体”判断的兜底情形，即被美国司法部长指认为由某受关注国家拥有或控制，或受其管辖或指示。

在母公司的访问控制方面，如果运营方与母公司之间存在涉及受监管数据的数据交互，则在该等交互的数据方面具有较高可能性符合《最终规则》中对于数据经纪活动的定义，并且也符合场景示例中“签署协议并授权访问”的基本事实。因此，如果希望避免落入监管规则的适用范围，相关企业需要在App运营企业与境外母公司之间制定并落实数据隔离与访问控制的策略，避免被认定构成受监管数据交易。

3. 是否涉及豁免交易？

在豁免交易方面，由于App用户个人数据的范围较广，相关从业企业能够潜在依赖的豁免事项仅有“作为业务运营一部分实体内部交易”中的“美国主体及其位于受关注国家（或从属于该受关注国家的所有权、指示、管辖或控制）子公司或分公司之间的交易”这一种类别；而该类豁免事项的适用要求企业调整组织架构，将美国主体作为主要运营实体，令境外实体成为美国主体的子公司或分公司——对于多数公司而言，该等调整在业务与管理层面的可行性不高。

（二）海外实体招聘的风险分析

另一类受到较多关注的场景是中资背景的美国主体在员工招聘方面，基于管理、运维、业务等各方面的考量，实践中经常需要聘用中国境内的技术团队及人员，或聘用中方母公司的管理层人员。

1. 聘用中国技术团队进行运维

假设一家中资背景且经营消费端业务的美国公司收集并维护来自美国消费者的大规模人类基因组数据、个人健康数据等敏感个人数据，该美国公司在信息技术运维方面归入中方母公司的全球运维规划内，并按照母公司的供应商采购策略雇用了一个主要由中国公民组成的团队提供后端服务（第一部分“案例1”）。

——如果该后端运维团队可以访问包含大规模敏感个人数据的系统，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 聘用中国公民进行项目管理

假设一家中资背景的美国公司通过从社交媒体平台抓取已公开照片的方式收集美国网民的大规模敏感个人数据（包含面部数据扫描），并将这些照片输入其自研的数据库用于训练人脸识别算法；基于项目推进效率的考量，该美国公司计划雇佣一位在中国母公司拥有丰富项目管理经验的员工（中国公民）担任数据库项目经理（第一部分“案例2”）。

——如果该员工作为项目经理的工作内容将涉及到访问大规模生物特征识别数据，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

3. 聘用中国公民进行产品研发

假设一家中资背景的美国金融服务公司正在开发基于生成式人工智能的个人助理应用，并计划将其作为该公司的独立产品销售给客户；基于中国母公司的商密保护需求，该美国公司需要雇佣一名原本任职于母公司的数据科学家（中国公民）领导产品研发（第一部分“案例3”）。

美国数据跨境新政解读：适用场景、应用公式与应对策略

正文

请到「今天看啥」查看全文