跨境数据监管｜全面贸易战下美国对华数据管控政策的核心要点与应对策略【走出去智库】

走出去智库（CGGT）观察

美国司法部（DOJ）于2024年12月28日发布的落实拜登政府签署的第14117号行政令《防止受关注国家/地区或相关人员访问美国敏感个人数据和政府相关数据》的最终规则将于今日正式生效。该行政令及相关规则不仅限制美国数据对中国的跨境传输，更几乎涵盖所有中国企业及其子企业可能接触受规制美国数据的场景。

走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人李瑞与顾问贾申认为，在2025年4月2日，美国国立卫生研究院（NIH）已率先打响实施14117号行政令的第一枪，即从2025年4月4日起禁止位于中国（包括香港和澳门）等国家的机构访问其“受控访问数据仓库”，这一决定已引起广泛舆论关注，但我们需要理解的是，在14117号行政令发布后，中国企业在数据方面可能受到的影响远不止于此。

在美国大幅提高关税、加强出口管制制裁、地缘政治秩序变化暗流涌动等大背景下，美国政府以数据安全为抓手遏制中国企业的14117号行政令，无疑是中美博弈大版图中非常重要的一环，值此多事之秋，值得企业高度关注。有鉴于此，本文以判断公式为抓手、以模拟案例为视角，对14117号行政令项下设置的规制框架进行了深度梳理，全面剖析其影响及可能的应对方案。

企业如何应对美国跨境数据管控？今天，走出去智库(CGGT)刊发中伦律师事务所李瑞、贾申、钟俊鹏、徐晨的文章，供关注美国跨境数据监管的读者参阅。

要点

1、受规制数据类型有两大类：一类是敏感个人数据，另一类是政府相关数据。其中，敏感个人数据需要达到一定量级阈值才会受到规制，而政府相关数据，无论量级是多少均会受到规制。

2、根据《最终规则》，被豁免的例外情形有两类：一类是被《最终规则》明文列为豁免的数据交易；另一类是EO授权DOJ协同相关部门基于个案针对某些本应落入规制的数据交易通过颁发许可的方式进行豁免，为监管提供了一定灵活性。

3、针对被禁止交易，如果企业希望继续开展该等交易，则需考虑进行相关交易前预留一定审批期限，向DOJ申请特定许可。

正文

2024年12月28日，美国司法部（the Department of Justice，简称“DOJ”）发布《最终规则》（Final Rules）以实施2024年2月28日拜登政府签署的第14117号行政令《防止受关注国家/地区或相关人员访问美国敏感个人数据和政府相关数据》（Executive Order 14117: Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，简称“EO 14117”）。

自EO 14117发布以来，DOJ曾先后发布《拟议规则的预先通知》（Advance Notice of Proposed Rulemaking，简称“ANPRM”）与《拟议规则的制定通知》（Notice of Proposed Rulemaking，简称“NPRM”），就EO 14117具体实施措施公开征求意见。ANPRM发布后，我们曾对有关内容进行了深入解读（参考文章：《深度解读美国数据安全监管机制重大变化：判断公式、关键要点、模拟案例及影响分析》）。鉴于《最终规则》相比ANPRM有诸多更新，本文以判断公式为抓手、以模拟案例为视角对《最终规则》进行了梳理分析。在案例设计上，我们整合了《最终规则》中新增的案例说明，设计了禁止交易、限制交易与豁免交易三个类型场景，旨在反映《最终规则》的更新内容，并直观展现《最终规则》对企业的深远影响，帮助企业找到切实可行的应对方案。

图1 相关制度文件出台流程

一、《最终规则》涵盖哪些核心要点？

1、核心机制：判断是否落入管制范围的公式

依据EO 14117、ANPRM、NPRM以及《最终规则》，我们将美国所建立的数据安全管控机制归纳为如下判断公式与关键词：

图2 判断公式与关键词图示

需要注意的是，此处虽然采用“数据交易（Transaction）”这个词，但其所指代的行为比中国法律法规项下仅以数据为交付标的的数据资产交易要广泛得多，任何涉及交易相对方跨境访问数据的商业活动，只要满足关键词①至关键词⑤的要件，且不符合例外情形（关键词⑦），则均可能受到限制或禁止（关键词⑥）。

所谓访问（Access）是指逻辑或物理访问，包括以任何形式获取、读取、复制、解密、编辑、转移、发布、影响、更改状态或以其他方式查看或接收的能力，包括通过信息系统、信息技术系统、云计算平台、网络、安全系统、设备或软件。并且，《最终规则》明确，为确定交易是否为特定数据交易（Covered Data Transaction），在判断是否构成访问时并不考虑任何安全要求（Security Requirements）的适用或影响。

2、关键词①：美国实体（United States Person）

美国实体包括以下几类：

（1）美国公民、国民或合法永久居民；

（2）在美国获准作为难民或被授予庇护的人；

（3）仅根据美国法或美国境内任何司法管辖区的法律组建的实体（包括外国分支机构）；

（4）在美国境内的任何主体。

3、关键词②：受关注国家

受关注国家目前包括中国（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。但EO 14117授权DOJ可以不时增删受关注国家清单，以更好地实现保护美国实体敏感数据及国家安全的目标。

4、关键词③：受关注实体

受关注主体主要包括以下几类：

（1）由受关注国家直接或间接地单独或合计拥有50%或以上股份的实体；根据受关注国家法律组建或特许的实体；主要营业地位于受关注国家的实体；

（2）由第（1）类所述实体或第（3）、（4）或（5）类所述主体一个或多个直接或间接地单独或合计拥有50%或以上股份的实体；

（3）是受关注国家或第（1）、（2）或（5）类所述实体的雇员或承包商的外国主体；

（4）主要居住在受关注国家领土管辖范围内的外国主体；

（5）被美国总检察长指定的由受关注国家拥有、控制、受其管辖或指示的任何主体；或代表或声称代表受关注国家或受关注主体行事的任何主体；或在明知的情况下违反或受指示违反规定的任何主体。

注：经美国总检察长指定被纳入受关注实体清单（Covered Person List）的受关注实体可以向美国总检察长申请行政复议或者采取公司重组、人员辞退等补救措施，请求从该清单上移除。

5、关键词④：受规制数据类型

受规制数据类型有两大类：一类是敏感个人数据（Sensitive Personal Data），另一类是政府相关数据（Government-related Data）。其中，敏感个人数据需要达到一定量级阈值才会受到规制，而政府相关数据，无论量级是多少均会受到规制。

（1）敏感个人数据

根据《最终规则》，敏感个人数据可以分为以下六类：

表格1 敏感个人数据的主要类别及说明

特定个人标识符（Covered personal identifier）的识别公式为：（1）任一类别已列明标识符+其他类别已列明标识符；或者（2）已列明标识符+其他数据=已列明标识符/其他类敏感个人数据（如精确地理位置数据、生物识别标识等）。按照目前的口径，单一已列明标识符应当不构成敏感个人数据。需要说明的是，第1项所指的特定个人标识符不包括以下情形：（i）仅与其他人口统计或联系数据相关联的人口统计或联系数据（例如名和姓、出生地、邮政编码、住宅街道或邮政地址、电话号码、电子邮件地址以及类似的公共账户标识符）；（ii）仅与提供电信、网络或类似服务所必需的其他网络标识符、账户认证数据或通话详情数据相关联的网络标识符、账户认证数据或通话详情数据。

已列明标识符（Listed Identifier）是指以下任何数据字段：

表格2 已列明标识符的主要类别及说明

但是，以下数据类型排除在敏感个人数据之外：

(a) 与个人无关的数据，如商业秘密、专有信息；

(b) 公众可获取的数据，如政府记录、开庭记录；

(c) 个人通信信息，如邮政、电报、电话；

(d) 信息或信息资料（information or informational materials）以及通常相关联的元数据或为实现此类信息或信息资料的传输或传播而合理必要的元数据，如出版物、电影、新闻电讯稿。

前述敏感个人数据只有在特定数据交易发生前12个月内达到以下阈值后才将受到规制：

表格3 各类别敏感个人数据的监管起始数量的阈值范围

值得注意的是，即使是匿名、假名、去标识化或加密的数据，也在量级计算范围内。DOJ表示，随着技术进步，这些数据也可能被重新识别或去匿名化，或被盗取加密密钥等方式解密。

（2）政府相关数据

政府相关数据又可以包含两类，一类是政府相关位置数据（DOJ在《最终规则》中列举了736条经纬度的位置区块），一类是政府（包括军方和情报界）现任或最近的前雇员或承包商或前高级官员有关联或可关联的敏感个人数据。

6、关键词⑤和⑥：针对“特定数据交易”的限制或禁止措施

受规制的数据交易分为禁止的数据交易和受限制的数据交易两类，具体而言：

（1）禁止的数据交易

被禁止的数据交易包括：（i）数据经纪交易；（ii）涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据交易。其中，针对数据经纪交易，美国主体不仅不能与受关注主体进行交易，也不得与不受关注外国主体开展涉及数据经纪的交易，除非：（i）与该主体签署合同：约束该主体不再与受关注主体进行涉及相同数据的经纪交易；（ii）及时报告该主体违规行为：在意识到该主体违规与受关注主体进行相同数据经纪交易后的14天内向司法部报告。根据《最终规则》的定义，数据经纪（Data Broker）是指数据的销售、数据访问许可或类似的商业交易（但雇佣协议、投资协议或供应商协议除外），涉及将数据从任何人（提供商）转移到任何其他人（接收方），而接收方并未直接从与所收集或处理的数据相关联或可链接的个人收集或处理数据。

（2）受限制的数据交易

受限制的数据交易包括：（i）涉及提供商品和服务的供应商协议；（ii）雇佣协议；（iii）投资协议。受限制的数据交易需要：（a）符合美国网络安全与基础设施局（Cybersecurity and Infrastructure Security Agency，简称“CISA”）发布的安全要求；（b）遵循合规计划。

(a) 符合安全要求

2025年1月，CISA发布了最终版的《受限制交易安全要求规则》。根据该规则，从事受限制数据交易应当遵循“组织和系统级要求”与“数据级要求”两方面内容，我们将有关规则总结如下图，供读者参考。

图3 安全要求的总结归纳

(b) 遵循合规计划

总结归纳而言，《最终规则》要求受限制交易方应当做到尽职调查、报告、记录留存以及审计四项合规义务。

* 尽职调查：调查受限制交易中的数据流、供应商的身份等；每年制定数据合规计划，并由相关负责人认证。

* 报告：当DOJ主动要求报告时如实提供信息；涉及云计算服务的受限制交易时每年提交年度报告。

* 记录留存：留存安全要求的实施情况记录（经合规的高级职员、高管或其他雇员认证）；留存时间至少为10年。

* 审计：每年对数据交易的性质、是否遵守安全要求等进行审计；审计员在审计完成后60天内向美国实体提交报告等。

7、关键词⑦：例外情形

根据《最终规则》，被豁免的例外情形有两类：一类是被《最终规则》明文列为豁免的数据交易；另一类是EO授权DOJ协同相关部门基于个案针对某些本应落入规制的数据交易通过颁发许可的方式进行豁免，为监管提供了一定灵活性。

（1）明文豁免

《最终规则》将以下情形作为不受限制的数据交易：

表格4 豁免的数据交易情形

（2）许可豁免

EO 14117授权DOJ协同相关部门，通过发布一般许可和特别许可的方式豁免可能被限制或禁止的受规制交易。根据《最终规则》，一般许可和特别许可机制的适用条件如下：

* 一般许可（General Licenses）：DOJ可酌情颁发通用许可证。在决定是否颁发通用许可证时，总检察长可以考虑来自任何联邦部门或机构或任何其他来源的其认为相关且适当的机密或非机密信息或材料。持通用许可证的实体需按要求提交报告。未能及时提交报告或必要信息的，通用许可证提供的授权将失效。

* 特别许可（Specific Licenses）：特定许可证须主动向DOJ申请并说明以下内容：（1）涉及的数据类型和数量；（2）交易方的身份（3）数据的最终用途和数据传输方式；（4）总检察长需要的任何其他信息。除非许可证中另有规定，否则特定许可证：（i）仅适用许可证中确定的各方之间，（ii）仅适用许可证中描述的数据交易，以及（iii）仅在满足许可证中规定的条件的情况下进行交易。

二、从模拟案例看《最终规则》有哪些影响？

与ANPRM和NPRM相比，《最终规则》在不少条文下又新列举了许多案例以解析该条文的具体适用。我们整合了各项案例所反映的关键点，模拟了以下三个案例场景，以体现《最终规则》的影响：

1、模拟案例①：数据经纪场景

某美国子公司是一家总部位于受关注国家X的母公司在美国的分支机构。子公司在美国开发了一个人工智能聊天机器人，使用美国人的大量敏感个人数据进行模型训练。虽然不是其主要的商业用途，但聊天机器人在响应查询时能够复制或以其他方式披露此前用于训练的美国人批量敏感个人数据。子公司在知情的情况下在全球范围内许可（knowingly licenses）包括其母公司在内的受关注实体可基于订阅访问该聊天机器人中的聊天内容。尽管许可使用聊天机器人本身不一定“涉及访问”大量美国敏感个人数据，但子公司知道或应该知道，如果出现提示（prompt），该等许可将能够访问美国人的批量敏感个人训练数据。

图4 模拟案例①图解

初步分析：依据DOJ在《最终规则》中对于数据经纪的解释和案例说明，子公司许可受关注实体访问这些大量美国敏感个人数据属于数据经纪，因为它涉及将数据从美国公司（即提供商）传输到被许可方（即接收者），其中接收者没有直接从与收集或处理的数据相关联或可链接的个人收集或处理数据。尽管该等许可没有明确提供对数据的访问权限，但仍构成一项被禁止交易，因为子公司知道或应该知道根据其许可使用聊天机器人可以使受关注实体访问训练数据。

2、模拟案例②：供应商场景

A公司是根据美国法律成立的一家电商平台公司，A公司与总部位于非受关注国家（如新加坡）的B公司签订合同，由B公司为A公司提供IT运维服务。B公司的股权结构为（详见下图）：B1持股30%、B2持股20%、B3持股50%。其中，B1由D全资持股，B2由E全资持股，D为受关注国家X（如中国）持股50%的国企，E公司为F公司持股50%的企业，F公司是根据受关注国家X法律所成立的企业，即注册在受关注国家X的普通企业。A公司掌握美国千万级以上个人用户的大量精确地理位置信息和个人财务数据。根据双方签订的合同，B公司在提供IT服务时涉及访问A公司存有上述大量精确地理位置信息和个人财务数据信息系统。B公司是否构成受关注实体？A公司与B公司的运维服务安排是否会落入《最终规则》的限制？

图5 模拟案例②图解

初步分析：依据DOJ在《最终规则》中对于受关注实体的解释和案例说明，B公司将构成受关注实体，原因是B公司由D公司和E公司合计起来直接拥有50%的股份，而D公司和E公司均为受关注外国实体。其中，D公司因由受关注国家X直接持股50%而构成受关注实体，E公司因由另一个受关注实体F公司直接持股50%而构成受关注实体。F公司因依据受关注国家X的法律成立而构成受关注实体。

当前我国有很多出海企业，选择将总部或战略重心迁移至新加坡、迪拜等投资友好国家，但依据《最终规则》的50%股权穿透规则，即使位于海外的中资企业也很有可能构成《最终规则》所指的受关注外国实体，最终落入《最终规则》的受制范围。

在模拟案例②中，B公司依据《IT运维合作协议》将在12个月内访问A公司所掌握的大量美国人精确地理位置数据与个人财务数据，量级远超《最终规则》所定阈值。因此，A公司与B公司之间的IT服务协议大概率构成受限制的供应商协议，在签署和实施有关协议前，A公司应当履行前文所述的安全要求和合规计划。

3、模拟案例③：豁免场景

A公司是一家美国金融服务提供商，它在受关注的国家X设立了一家子公司B。A公司的客户在受关注国家X进行金融交易，B公司的客户在美国进行金融交易。为了履行与这些金融交易相关的客户服务职能，B公司会访问大量美国敏感个人数据。

图6 模拟案例③图解

初步分析：在这些情况下，公司集团交易豁免将适用于外国子公司对个人财务数据的访问，因为这通常是提供客户支持的正常附带行为且属于其组成部分。外国子公司对个人财务数据的访问也将受到金融服务豁免的保护。美国与其位于受关注国家/地区（或以其他方式受其所有权、指导、管辖或控制）的子公司或关联公司之间，与行政或辅助业务运营有关的数据交换，包括：①人力资源；②工资单、费用监控和报销以及其他公司财务活动；③缴纳营业税或费用；④获得营业执照或执照；⑤与审计师和律所共享数据以实现监管合规；⑥风险管理；⑦业务相关出行；⑧客户支持；⑨员工福利；⑩员工的内外部通信等，均落入豁免范围。

三、《最终规则》下企业可以采取哪些措施？

受《最终规则》的广泛影响，企业可以采取以下应对措施来缓解或规避潜在的交易风险，提高自身合规性，避免因违反有关规则而被交易喊停或遭受罚款。总体而言，该等评估和措施可分为以下步骤：

1、开展自我评估：了解法律规定，进行全面梳理盘查

2、制定战略决策：综合分析情况，决策是否开展业务

3、部署防范策略：实施合规计划，拟订风险预案，动态诊断风险

如果企业已确定开展受限交易，则应当提前部署一定的风险防范策略。例如，企业应当拟订待实施的合规方案，以此落实安全要求与合规计划，例如开展数据风险评估、制定并实施网络安全政策、开展审计、尽职调查、进行记录留存以及按时报告等。针对被禁止交易，如果企业希望继续开展该等交易，则需考虑进行相关交易前预留一定审批期限，向DOJ申请特定许可。

由于以上问题涉及较多专业化内容，我们建议企业及时聘请外部律师或专家团队，协助企业拉通外部资源开展审计、起草网络安全政策并进行内部整改、入场实施数据风险评估、辅助履行申报或许可程序、开展相关交易前进行尽职调查等。

图7 部署防范策略的核心要点

来源：中伦视界