美国“数据脱钩”新规——中国企业应对14117最终规则之十问十答

近年来，美国出台了一系列政策举措，试图与中国在经济、科技、贸易等多个领域进行“脱钩”，包括由美国外国投资委员会（CFIUS）牵头的外商投资审查、美国商务部牵头的对包括中国在内的外国对手在信息通讯技术与服务（ICTS）领域的交易审查、美国商务部产业安全局（BIS）等部门牵头的出口管制体系等。

在已有的一系列“脱钩”政策举措中，敏感个人数据保护是被关注的问题之一，例如，CFIUS有权以国家安全为由禁止或中止外资对美国公司的并购交易，其中对敏感个人数据的保护是衡量国家安全的重要因素 [1] ；美国商务部对外国对手在ICTS领域交易审查的审查要点包括美国人的敏感数据是否会被外国对手政府掌握 [2] 。

2024年2月28日，美国前总统拜登签署第14117号行政命令，即《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）（“ 《14117行政令》 ”）。除了美国政府相关数据外，《14117行政令》拟系统性地防范敏感个人数据流动带来的国家安全风险。这一政策改变了美国长期以来奉行的“数据跨境自由流动”原则。

《14117行政令》要求美国司法部颁布实施此行政令的具体规则 [3] 。美国司法部分别在2024年3月5日发布第一次征求意见稿的预通知（Advance Notice of Proposed Rulemaking，“ ANPRM ”） [4] ，在10月21日发布第二次征求意见稿的通知（Notice of Proposed Rulemaking，“ NPRM ”） [5] ，向公众征求意见。

2024年12月27日，美国司法部发布了《防止受关注国家或受保护人员获取美国敏感个人数据和与政府有关的数据》（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）的最终规则（“ 《14117最终规则》 ”）。《14117最终规则》于2025年1月8日在美国《联邦公报》上发布 [6] 。

根据《14117最终规则》，其将在美国《联邦公报》上公布后90日，即2025年4月8日生效，其中部分尽职调查、审计、报告义务将于公布后270日，即2025年10月6日起实施。

值得注意的是，根据美国法律，现任总统有权撤销前任总统发布的行政令，新一届政府亦有权通过特定程序撤销《联邦公报》发布的行政法规。特朗普于2025年1月20日就职美国现任总统，并于上任首日就废除了拜登政府颁布的多项行政命令 [7] 。目前被废除的行政命令中不包括《14117行政令》，但不排除特朗普政府后续可能进一步调整《14117行政令》及《14117最终规则》。因此该等规定是否以及在何种程度能落地实施仍存在不确定性。

《14117最终规则》将对开展海外（尤其是美国）业务的中国企业产生较大影响，其影响面非常广泛。

中国企业在美国的关联公司与中国企业的业务往来将受到不同程度的禁止或限制。一些美国企业也可能要求与中国有关联的企业未来在合同中承诺不会从事导致违反《14117最终规则》的活动，因此即便对于在美国没有业务或关联公司的中国企业，其在其他海外国家的业务依然可能受到影响。例如，中国企业有一名新加坡的客户，由于新加坡客户的上游客户是美国公司，那么新加坡客户可能会在美国公司的要求下，终止或限制可能导致中国企业间接获取美国数据的业务。

除了中国企业外，境外跨国公司（尤其是总部在美国的跨国公司）与在中国的关联公司的业务往来也可能受到不同程度的禁止或限制。

其中，部分行业可能受到更为明显的冲击：

一是大量依赖数据经纪人出售的数据以进行广告投放与营销的行业，包括跨境电商、社交媒体、流媒体、保险、医疗与养老等行业。在《14117最终规则》正式实施后，除非获得了相关许可，中国公司从美国数据经纪人处获取大量潜在美国客户敏感个人数据的交易将被禁止。

二是需要大量数据用于训练算法和开发产品的AI行业。对于AI行业，首先需要大量底层数据用于训练算法，继而再开发通用型或垂直型的AI产品。《14117最终规则》明确，如果算法不会导致使用者可以访问用于算法训练的底层数据，则可以向受关注国家和受规制主体提供使用受规制数据训练的算法 [8] 。反之，如果提供的算法或AI产品可以导致受关注国家或受规制主体获取受规制数据，则提供算法或AI产品的行为构成数据经纪交易，从而被禁止 [9] 。

三是可能获取地理位置数据的汽车、出行、地图、工业机械等行业。能够以1000米以内的精度确定个人或设备物理位置的历史数据和实时数据属于敏感个人数据。结合美国商务部于2024年12月6日发布的对中国国家的信息与通信技术和服务（Information and Communications Technology and Services）的供应链审查规则 [10] ，美国正在对中国网联汽车和相关组件供应商在美国的业务实施全面审查。

《14117最终规则》通过禁止或限制“美国人”与“受关注国家”或“受规制人士”之间涉及大量“敏感个人数据”或任何“美国政府相关数据”且不属于可豁免范围的交易，以防止“受关注国家”或“受规制主体”获取大量“美国人的敏感个人数据”或与“美国政府相关的数据”。

根据《14117最终规则》，美国人不得开展同时满足以下五项条件的交易：

《14117最终规则》并不是直接一刀切地禁止或限制美国人向受关注国家或受规制主体传输敏感个人数据或美国政府相关数据，而是以“交易”为抓手，以美国人为监管对象，禁止或限制美国人开展涉及大量美国人的敏感个人数据或任何政府相关数据的特定交易，防止受关注国家或受规制主体获取相关数据。

《14117最终规则》强调，任何以规避为目的导致违反《14117最终规则》的交易都是被禁止的，例如通过将相关数据先传输至非受关注国家或非受规制主体，再从该等国家或主体传输至受关注国家或受规制主体来规避《14117最终规则》监管的行为 [11] 。

《14117最终规则》对“美国人”（United States person或U.S. person）的定义与NPRM一致，其中“人”包括自然人和法人主体； [12] “美国”包括美国的领土和属地，以及美国拥有管辖权的所有地区。 [13] 据此，“美国人”涵盖了：

根据《14117最终规则》提供的示例，以下个人或实体属于《14117最终规则》下的“美国人”：

需要注意，美国公司在受关注国家的子公司，以及总部在中国企业的美国分公司，不是美国人，而是外国人 [19] 。

根据《14117最终规则》，识别受关注国家的标准为：

从ANPRM到NPRM，再到《14117最终规则》，受关注国家的范围始终保持一致，均为 中国（包括中国香港和中国澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉 [21] 。受关注国家清单可被不时修改，并且该等修改将适用于修改生效之日或之后启动的、待定的、或完成的任何受监管数据交易 [22] 。

与ANPRM和NPRM相比，《14117最终规则》对受规制主体的定义进行了调整。美国司法部认为ANPRM和NPRM只考虑了直接或间接持有50%及以上股权的问题，但并未考虑多个受关注国家或受规制主体合计持有50%及以上股权同样可能带来法规所定义的美国国家安全风险 [23] 。因此，《14117最终规则》修改了受规制主体的定义和表述，使其“50%及以上”的股权标准与美国OFAC制裁的“50%规则”一致，统计多个受关注国家和受规制主体合计持有的股权比例 [24] 。这一修改使某些具有复杂股权结构的主体能够被穿透统计股权比例，从而将使更多主体被认定为受规制主体。

具体而言，受规制主体是指满足以下任一情形的主体：

即使受关注国家或受规制主体直接或间接，单独或合计持有相关实体的股权不超过50%，但如果可以实际控制相关实体，相关实体受其管辖或指导，或相关实体可能代表其行事，仍有可能被认定为“受规制实体”。美国司法部提示，美国人在与未达到50%股权标准的主体开展受规制的数据交易时，应谨慎行事，因为这些主体可能通过股权以外的方式被受关注国家或受规制主体控制；股权比例可能波动从而达到50%，且该等实体可能由美国司法部根据重大控制权益指定 [26] 。

《14117最终规则》所涉及的数据类型包括美国人的大量敏感个人数据（bulk U.S. sensitive personal data）和政府相关数据（government-related data）。相较于NPRM，《14117最终规则》扩充了敏感个人数据的类型，将NPRM中的人类基因组数据扩大为人类组学数据，其中包括人类基因组数据、人类表观基因组数据、人类蛋白质组数据和人类转录组数据 [27] ；并且，除人类基因组数据外，这一类型“大量”（bulk）的标准也由100提升至1,000 [28] 。政府相关数据的定义则并无变化。

根据《14117最终规则》， 匿名化、假名化、去标识化或加密后的敏感个人数据依旧属于《14117最终规则》所定义的敏感个人数据 [29] 。美国司法部认为，匿名化数据依旧有可能被恢复可识别性，且大量匿名化数据本身依旧包含国家安全风险。例如大量匿名化的美国人敏感个人数据可以反映这个群体的弱点，可能被用于军事打击，如生化武器；即使少量美国敏感的个人数据，也可以用来对更大的群体进行统计推断或得出结论 [30] 。

《14117最终规则》规制的具体数据类别和“大量”的具体标准详见下方表格：

《14117最终规则》明确了受规制的交易类型包括被禁止的交易（prohibited transaction）和被限制的交易（restricted transaction）。

被禁止的交易包括：

被限制的交易包括在明知的情况下与受关注国家或受规制主体开展涉及供应协议、雇佣协议或投资协议的受监管数据交易，除非满足相关安全要求 [50] 。具体来说：

除了被禁止的交易类型和被限制的交易类型，《14117最终规则》还规定了11种被豁免的交易类型（Exempt transactions），不受上述禁止或限制，包括：

1. 一般许可与特别许可

《14117最终规则》明确，无论是被禁止的交易还是被限制的交易，若获得美国司法部发放的许可，则可以继续开展。许可分为两类。一是一般许可，适用于某一类型交易且不限定于特定主体 [61] ；二是特别许可，只向特定的一个或多个主体颁发，或仅针对特定的一项或多项交易 [62] 。一般许可由美国司法部决定是否颁发，不允许主体自行申请；特定许可需要主体自行申请，并经美国司法部审核批准。 [63]

为获得并适用一般许可或特别许可，相关美国人可能需要满足特定报告义务，若未满足相关报告义务，可能会使相关许可下赋予的授权无效 [64] 。

就受限制的交易而言，如果可以满足CISA的相关安全要求，则可能被解除相关限制，而无需再获得一般或特别许可。

2. 数据合规计划

自2025年10月6日起，开展受限制交易的美国人应制定并实施数据合规计划，用于对被限制的交易开展尽职调查 [65] 。该计划应至少包括以下内容：

3. 审计

自2025年10月6日起，开展受限制交易的美国人应进行符合《14117最终规则》要求的审计。具体要求涵盖审计师资质、最低频率要求（每日历年一次）、审计范围、审计报告内容要求等。审计报告及相关记录应保存至少10年 [67] 。

4. 记录留存

开展被禁止或被限制的交易的美国人，应在开展交易之日起至少10年内保存每笔交易的准确记录 [68] 。对于开展被限制交易的美国人，还需另外保存数据合规计划、审计、尽职调查文件、每笔交易的详细记录等材料 [69] 。

5. 报告

《14117最终规则》要求，任何美国人都有义务配合美国司法部要求提供关于任何行为或交易的报告，或提供美国司法部要求的其他形式的材料，无论相关交易是否经许可开展 [70] 。

自2025年10月6日起，除了应美国司法部要求进行报告，部分美国人还应主动进行年度报告。任何开展涉及云计算服务的被限制交易并且由受关注国家或受规制主体拥有（直接或间接、通过任何合同、安排、谅解、关系或任何其他方式）25%及以上股权的美国人，应当最迟在交易发生次年的3月1日提交上一年度参与的该交易的年度报告，报告内容包括对交易的描述，以及与形成交易相关或在交易中收到的文件等 [71] 。尽管如此，《14117最终规则》尚未明确云计算服务的含义和范围。

另外，《14117最终规则》还要求，自2025年10月6日起，任何收到并拒绝（包括通过使用软件或其他数字工具自动拒绝）他人从事被禁止的数据经纪交易要约的美国人，必须在拒绝该交易要约后的14天内提交报告，报告内容包括对被拒绝交易的描述，以及与该交易相关的文件等 [72] 。

《14117行政令》源于美国《国际紧急经济权力法》（The International Emergency Economic Powers Act）的授权。因此，违反《14117行政令》及《14117最终规则》的后果也引致该法 [73] 。

根据《14117最终规则》，对于一般的违规，违规者将被处以不超过368,136美元或违规交易金额的两倍的民事罚款，两者取其高。对于蓄意违规、协助或教唆违规的行为，对违规主体处以不超过100万美元的刑事罚款，或监禁20年（对自然人而言），或两者并处 [74] 。

为了应对《14117最终规则》，相关企业可以考虑采取以下应对措施：