走出去智庫（CGGT）觀察

美國司法部（DOJ）于2024年12月28日發(fā)布的落實拜登政府簽署的第14117號行政令《防止受關注國家/地區(qū)或相關人員訪問美國敏感個人數(shù)據和政府相關數(shù)據》的最終規(guī)則將于今日正式生效。該行政令及相關規(guī)則不僅限制美國數(shù)據對中國的跨境傳輸，更幾乎涵蓋所有中國企業(yè)及其子企業(yè)可能接觸受規(guī)制美國數(shù)據的場景。

走出去智庫(CGGT)特約法律專家、中倫律師事務所合伙人李瑞與顧問賈申認為，在2025年4月2日，美國國立衛(wèi)生研究院（NIH）已率先打響實施14117號行政令的第一槍，即從2025年4月4日起禁止位于中國（包括香港和澳門）等國家的機構訪問其“受控訪問數(shù)據倉庫”，這一決定已引起廣泛輿論關注，但我們需要理解的是，在14117號行政令發(fā)布后，中國企業(yè)在數(shù)據方面可能受到的影響遠不止于此。

在美國大幅提高關稅、加強出口管制制裁、地緣政治秩序變化暗流涌動等大背景下，美國政府以數(shù)據安全為抓手遏制中國企業(yè)的14117號行政令，無疑是中美博弈大版圖中非常重要的一環(huán)，值此多事之秋，值得企業(yè)高度關注。有鑒于此，本文以判斷公式為抓手、以模擬案例為視角，對14117號行政令項下設置的規(guī)制框架進行了深度梳理，全面剖析其影響及可能的應對方案。

企業(yè)如何應對美國跨境數(shù)據管控？今天，走出去智庫(CGGT)刊發(fā)中倫律師事務所李瑞、賈申、鐘俊鵬、徐晨的文章，供關注美國跨境數(shù)據監(jiān)管的讀者參閱。

要點

1、受規(guī)制數(shù)據類型有兩大類：一類是敏感個人數(shù)據，另一類是政府相關數(shù)據。其中，敏感個人數(shù)據需要達到一定量級閾值才會受到規(guī)制，而政府相關數(shù)據，無論量級是多少均會受到規(guī)制。

2、根據《最終規(guī)則》，被豁免的例外情形有兩類：一類是被《最終規(guī)則》明文列為豁免的數(shù)據交易；另一類是EO授權DOJ協(xié)同相關部門基于個案針對某些本應落入規(guī)制的數(shù)據交易通過頒發(fā)許可的方式進行豁免，為監(jiān)管提供了一定靈活性。

3、針對被禁止交易，如果企業(yè)希望繼續(xù)開展該等交易，則需考慮進行相關交易前預留一定審批期限，向DOJ申請?zhí)囟ㄔS可。

正文

2024年12月28日，美國司法部（the Department of Justice，簡稱“DOJ”）發(fā)布《最終規(guī)則》（Final Rules）以實施2024年2月28日拜登政府簽署的第14117號行政令《防止受關注國家/地區(qū)或相關人員訪問美國敏感個人數(shù)據和政府相關數(shù)據》（Executive Order 14117: Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，簡稱“EO 14117”）。

自EO 14117發(fā)布以來，DOJ曾先后發(fā)布《擬議規(guī)則的預先通知》（Advance Notice of Proposed Rulemaking，簡稱“ANPRM”）與《擬議規(guī)則的制定通知》（Notice of Proposed Rulemaking，簡稱“NPRM”），就EO 14117具體實施措施公開征求意見。ANPRM發(fā)布后，我們曾對有關內容進行了深入解讀（參考文章：《深度解讀美國數(shù)據安全監(jiān)管機制重大變化：判斷公式、關鍵要點、模擬案例及影響分析》）。鑒于《最終規(guī)則》相比ANPRM有諸多更新，本文以判斷公式為抓手、以模擬案例為視角對《最終規(guī)則》進行了梳理分析。在案例設計上，我們整合了《最終規(guī)則》中新增的案例說明，設計了禁止交易、限制交易與豁免交易三個類型場景，旨在反映《最終規(guī)則》的更新內容，并直觀展現(xiàn)《最終規(guī)則》對企業(yè)的深遠影響，幫助企業(yè)找到切實可行的應對方案。

圖1 相關制度文件出臺流程

一、《最終規(guī)則》涵蓋哪些核心要點？

1、核心機制：判斷是否落入管制范圍的公式

依據EO 14117、ANPRM、NPRM以及《最終規(guī)則》，我們將美國所建立的數(shù)據安全管控機制歸納為如下判斷公式與關鍵詞：

圖2 判斷公式與關鍵詞圖示

需要注意的是，此處雖然采用“數(shù)據交易（Transaction）”這個詞，但其所指代的行為比中國法律法規(guī)項下僅以數(shù)據為交付標的的數(shù)據資產交易要廣泛得多，任何涉及交易相對方跨境訪問數(shù)據的商業(yè)活動，只要滿足關鍵詞①至關鍵詞⑤的要件，且不符合例外情形（關鍵詞⑦），則均可能受到限制或禁止（關鍵詞⑥）。

所謂訪問（Access）是指邏輯或物理訪問，包括以任何形式獲取、讀取、復制、解密、編輯、轉移、發(fā)布、影響、更改狀態(tài)或以其他方式查看或接收的能力，包括通過信息系統(tǒng)、信息技術系統(tǒng)、云計算平臺、網絡、安全系統(tǒng)、設備或軟件。并且，《最終規(guī)則》明確，為確定交易是否為特定數(shù)據交易（Covered Data Transaction），在判斷是否構成訪問時并不考慮任何安全要求（Security Requirements）的適用或影響。

2、關鍵詞①：美國實體（United States Person）

美國實體包括以下幾類：

（1）美國公民、國民或合法永久居民；

（2）在美國獲準作為難民或被授予庇護的人；

（3）僅根據美國法或美國境內任何司法管轄區(qū)的法律組建的實體（包括外國分支機構）；

（4）在美國境內的任何主體。

3、關鍵詞②：受關注國家

受關注國家目前包括中國（含香港和澳門）、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉。但EO 14117授權DOJ可以不時增刪受關注國家清單，以更好地實現(xiàn)保護美國實體敏感數(shù)據及國家安全的目標。

4、關鍵詞③：受關注實體

受關注主體主要包括以下幾類：

（1）由受關注國家直接或間接地單獨或合計擁有50%或以上股份的實體；根據受關注國家法律組建或特許的實體；主要營業(yè)地位于受關注國家的實體；

（2）由第（1）類所述實體或第（3）、（4）或（5）類所述主體一個或多個直接或間接地單獨或合計擁有50%或以上股份的實體；

（3）是受關注國家或第（1）、（2）或（5）類所述實體的雇員或承包商的外國主體；

（4）主要居住在受關注國家領土管轄范圍內的外國主體；

（5）被美國總檢察長指定的由受關注國家擁有、控制、受其管轄或指示的任何主體；或代表或聲稱代表受關注國家或受關注主體行事的任何主體；或在明知的情況下違反或受指示違反規(guī)定的任何主體。

注：經美國總檢察長指定被納入受關注實體清單（Covered Person List）的受關注實體可以向美國總檢察長申請行政復議或者采取公司重組、人員辭退等補救措施，請求從該清單上移除。

5、關鍵詞④：受規(guī)制數(shù)據類型

受規(guī)制數(shù)據類型有兩大類：一類是敏感個人數(shù)據（Sensitive Personal Data），另一類是政府相關數(shù)據（Government-related Data）。其中，敏感個人數(shù)據需要達到一定量級閾值才會受到規(guī)制，而政府相關數(shù)據，無論量級是多少均會受到規(guī)制。

（1）敏感個人數(shù)據

根據《最終規(guī)則》，敏感個人數(shù)據可以分為以下六類：

表格1 敏感個人數(shù)據的主要類別及說明

特定個人標識符（Covered personal identifier）的識別公式為：（1）任一類別已列明標識符+其他類別已列明標識符；或者（2）已列明標識符+其他數(shù)據=已列明標識符/其他類敏感個人數(shù)據（如精確地理位置數(shù)據、生物識別標識等）。按照目前的口徑，單一已列明標識符應當不構成敏感個人數(shù)據。需要說明的是，第1項所指的特定個人標識符不包括以下情形：（i）僅與其他人口統(tǒng)計或聯(lián)系數(shù)據相關聯(lián)的人口統(tǒng)計或聯(lián)系數(shù)據（例如名和姓、出生地、郵政編碼、住宅街道或郵政地址、電話號碼、電子郵件地址以及類似的公共賬戶標識符）；（ii）僅與提供電信、網絡或類似服務所必需的其他網絡標識符、賬戶認證數(shù)據或通話詳情數(shù)據相關聯(lián)的網絡標識符、賬戶認證數(shù)據或通話詳情數(shù)據。

已列明標識符（Listed Identifier）是指以下任何數(shù)據字段：

表格2 已列明標識符的主要類別及說明

但是，以下數(shù)據類型排除在敏感個人數(shù)據之外：

(a) 與個人無關的數(shù)據，如商業(yè)秘密、專有信息；

(b) 公眾可獲取的數(shù)據，如政府記錄、開庭記錄；

(c) 個人通信信息，如郵政、電報、電話；

(d) 信息或信息資料（information or informational materials）以及通常相關聯(lián)的元數(shù)據或為實現(xiàn)此類信息或信息資料的傳輸或傳播而合理必要的元數(shù)據，如出版物、電影、新聞電訊稿。

前述敏感個人數(shù)據只有在特定數(shù)據交易發(fā)生前12個月內達到以下閾值后才將受到規(guī)制：

表格3 各類別敏感個人數(shù)據的監(jiān)管起始數(shù)量的閾值范圍

值得注意的是，即使是匿名、假名、去標識化或加密的數(shù)據，也在量級計算范圍內。DOJ表示，隨著技術進步，這些數(shù)據也可能被重新識別或去匿名化，或被盜取加密密鑰等方式解密。

（2）政府相關數(shù)據

政府相關數(shù)據又可以包含兩類，一類是政府相關位置數(shù)據（DOJ在《最終規(guī)則》中列舉了736條經緯度的位置區(qū)塊），一類是政府（包括軍方和情報界）現(xiàn)任或最近的前雇員或承包商或前高級官員有關聯(lián)或可關聯(lián)的敏感個人數(shù)據。

6、關鍵詞⑤和⑥：針對“特定數(shù)據交易”的限制或禁止措施

受規(guī)制的數(shù)據交易分為禁止的數(shù)據交易和受限制的數(shù)據交易兩類，具體而言：

（1）禁止的數(shù)據交易

被禁止的數(shù)據交易包括：（i）數(shù)據經紀交易；（ii）涉及批量人類基因組數(shù)據或可從中提取此類數(shù)據的生物樣本轉移的基因組數(shù)據交易。其中，針對數(shù)據經紀交易，美國主體不僅不能與受關注主體進行交易，也不得與不受關注外國主體開展涉及數(shù)據經紀的交易，除非：（i）與該主體簽署合同：約束該主體不再與受關注主體進行涉及相同數(shù)據的經紀交易；（ii）及時報告該主體違規(guī)行為：在意識到該主體違規(guī)與受關注主體進行相同數(shù)據經紀交易后的14天內向司法部報告。根據《最終規(guī)則》的定義，數(shù)據經紀（Data Broker）是指數(shù)據的銷售、數(shù)據訪問許可或類似的商業(yè)交易（但雇傭協(xié)議、投資協(xié)議或供應商協(xié)議除外），涉及將數(shù)據從任何人（提供商）轉移到任何其他人（接收方），而接收方并未直接從與所收集或處理的數(shù)據相關聯(lián)或可鏈接的個人收集或處理數(shù)據。

（2）受限制的數(shù)據交易

受限制的數(shù)據交易包括：（i）涉及提供商品和服務的供應商協(xié)議；（ii）雇傭協(xié)議；（iii）投資協(xié)議。受限制的數(shù)據交易需要：（a）符合美國網絡安全與基礎設施局（Cybersecurity and Infrastructure Security Agency，簡稱“CISA”）發(fā)布的安全要求；（b）遵循合規(guī)計劃。

(a) 符合安全要求

2025年1月，CISA發(fā)布了最終版的《受限制交易安全要求規(guī)則》。根據該規(guī)則，從事受限制數(shù)據交易應當遵循“組織和系統(tǒng)級要求”與“數(shù)據級要求”兩方面內容，我們將有關規(guī)則總結如下圖，供讀者參考。

圖3 安全要求的總結歸納

(b) 遵循合規(guī)計劃

總結歸納而言，《最終規(guī)則》要求受限制交易方應當做到盡職調查、報告、記錄留存以及審計四項合規(guī)義務。

* 盡職調查：調查受限制交易中的數(shù)據流、供應商的身份等；每年制定數(shù)據合規(guī)計劃，并由相關負責人認證。

* 報告：當DOJ主動要求報告時如實提供信息；涉及云計算服務的受限制交易時每年提交年度報告。

* 記錄留存：留存安全要求的實施情況記錄（經合規(guī)的高級職員、高管或其他雇員認證）；留存時間至少為10年。

* 審計：每年對數(shù)據交易的性質、是否遵守安全要求等進行審計；審計員在審計完成后60天內向美國實體提交報告等。

7、關鍵詞⑦：例外情形

根據《最終規(guī)則》，被豁免的例外情形有兩類：一類是被《最終規(guī)則》明文列為豁免的數(shù)據交易；另一類是EO授權DOJ協(xié)同相關部門基于個案針對某些本應落入規(guī)制的數(shù)據交易通過頒發(fā)許可的方式進行豁免，為監(jiān)管提供了一定靈活性。

（1）明文豁免

《最終規(guī)則》將以下情形作為不受限制的數(shù)據交易：

表格4 豁免的數(shù)據交易情形

（2）許可豁免

EO 14117授權DOJ協(xié)同相關部門，通過發(fā)布一般許可和特別許可的方式豁免可能被限制或禁止的受規(guī)制交易。根據《最終規(guī)則》，一般許可和特別許可機制的適用條件如下：

* 一般許可（General Licenses）：DOJ可酌情頒發(fā)通用許可證。在決定是否頒發(fā)通用許可證時，總檢察長可以考慮來自任何聯(lián)邦部門或機構或任何其他來源的其認為相關且適當?shù)臋C密或非機密信息或材料。持通用許可證的實體需按要求提交報告。未能及時提交報告或必要信息的，通用許可證提供的授權將失效。

* 特別許可（Specific Licenses）：特定許可證須主動向DOJ申請并說明以下內容：（1）涉及的數(shù)據類型和數(shù)量；（2）交易方的身份（3）數(shù)據的最終用途和數(shù)據傳輸方式；（4）總檢察長需要的任何其他信息。除非許可證中另有規(guī)定，否則特定許可證：（i）僅適用許可證中確定的各方之間，（ii）僅適用許可證中描述的數(shù)據交易，以及（iii）僅在滿足許可證中規(guī)定的條件的情況下進行交易。

二、從模擬案例看《最終規(guī)則》有哪些影響？

與ANPRM和NPRM相比，《最終規(guī)則》在不少條文下又新列舉了許多案例以解析該條文的具體適用。我們整合了各項案例所反映的關鍵點，模擬了以下三個案例場景，以體現(xiàn)《最終規(guī)則》的影響：

1、模擬案例①：數(shù)據經紀場景

某美國子公司是一家總部位于受關注國家X的母公司在美國的分支機構。子公司在美國開發(fā)了一個人工智能聊天機器人，使用美國人的大量敏感個人數(shù)據進行模型訓練。雖然不是其主要的商業(yè)用途，但聊天機器人在響應查詢時能夠復制或以其他方式披露此前用于訓練的美國人批量敏感個人數(shù)據。子公司在知情的情況下在全球范圍內許可（knowingly licenses）包括其母公司在內的受關注實體可基于訂閱訪問該聊天機器人中的聊天內容。盡管許可使用聊天機器人本身不一定“涉及訪問”大量美國敏感個人數(shù)據，但子公司知道或應該知道，如果出現(xiàn)提示（prompt），該等許可將能夠訪問美國人的批量敏感個人訓練數(shù)據。

圖4 模擬案例①圖解

初步分析：依據DOJ在《最終規(guī)則》中對于數(shù)據經紀的解釋和案例說明，子公司許可受關注實體訪問這些大量美國敏感個人數(shù)據屬于數(shù)據經紀，因為它涉及將數(shù)據從美國公司（即提供商）傳輸?shù)奖辉S可方（即接收者），其中接收者沒有直接從與收集或處理的數(shù)據相關聯(lián)或可鏈接的個人收集或處理數(shù)據。盡管該等許可沒有明確提供對數(shù)據的訪問權限，但仍構成一項被禁止交易，因為子公司知道或應該知道根據其許可使用聊天機器人可以使受關注實體訪問訓練數(shù)據。

2、模擬案例②：供應商場景

A公司是根據美國法律成立的一家電商平臺公司，A公司與總部位于非受關注國家（如新加坡）的B公司簽訂合同，由B公司為A公司提供IT運維服務。B公司的股權結構為（詳見下圖）：B1持股30%、B2持股20%、B3持股50%。其中，B1由D全資持股，B2由E全資持股，D為受關注國家X（如中國）持股50%的國企，E公司為F公司持股50%的企業(yè)，F(xiàn)公司是根據受關注國家X法律所成立的企業(yè)，即注冊在受關注國家X的普通企業(yè)。A公司掌握美國千萬級以上個人用戶的大量精確地理位置信息和個人財務數(shù)據。根據雙方簽訂的合同，B公司在提供IT服務時涉及訪問A公司存有上述大量精確地理位置信息和個人財務數(shù)據信息系統(tǒng)。B公司是否構成受關注實體？A公司與B公司的運維服務安排是否會落入《最終規(guī)則》的限制？

圖5 模擬案例②圖解

初步分析：依據DOJ在《最終規(guī)則》中對于受關注實體的解釋和案例說明，B公司將構成受關注實體，原因是B公司由D公司和E公司合計起來直接擁有50%的股份，而D公司和E公司均為受關注外國實體。其中，D公司因由受關注國家X直接持股50%而構成受關注實體，E公司因由另一個受關注實體F公司直接持股50%而構成受關注實體。F公司因依據受關注國家X的法律成立而構成受關注實體。

當前我國有很多出海企業(yè)，選擇將總部或戰(zhàn)略重心遷移至新加坡、迪拜等投資友好國家，但依據《最終規(guī)則》的50%股權穿透規(guī)則，即使位于海外的中資企業(yè)也很有可能構成《最終規(guī)則》所指的受關注外國實體，最終落入《最終規(guī)則》的受制范圍。

在模擬案例②中，B公司依據《IT運維合作協(xié)議》將在12個月內訪問A公司所掌握的大量美國人精確地理位置數(shù)據與個人財務數(shù)據，量級遠超《最終規(guī)則》所定閾值。因此，A公司與B公司之間的IT服務協(xié)議大概率構成受限制的供應商協(xié)議，在簽署和實施有關協(xié)議前，A公司應當履行前文所述的安全要求和合規(guī)計劃。

3、模擬案例③：豁免場景

A公司是一家美國金融服務提供商，它在受關注的國家X設立了一家子公司B。A公司的客戶在受關注國家X進行金融交易，B公司的客戶在美國進行金融交易。為了履行與這些金融交易相關的客戶服務職能，B公司會訪問大量美國敏感個人數(shù)據。

圖6 模擬案例③圖解

初步分析：在這些情況下，公司集團交易豁免將適用于外國子公司對個人財務數(shù)據的訪問，因為這通常是提供客戶支持的正常附帶行為且屬于其組成部分。外國子公司對個人財務數(shù)據的訪問也將受到金融服務豁免的保護。美國與其位于受關注國家/地區(qū)（或以其他方式受其所有權、指導、管轄或控制）的子公司或關聯(lián)公司之間，與行政或輔助業(yè)務運營有關的數(shù)據交換，包括：①人力資源；②工資單、費用監(jiān)控和報銷以及其他公司財務活動；③繳納營業(yè)稅或費用；④獲得營業(yè)執(zhí)照或執(zhí)照；⑤與審計師和律所共享數(shù)據以實現(xiàn)監(jiān)管合規(guī)；⑥風險管理；⑦業(yè)務相關出行；⑧客戶支持；⑨員工福利；⑩員工的內外部通信等，均落入豁免范圍。

三、《最終規(guī)則》下企業(yè)可以采取哪些措施？

受《最終規(guī)則》的廣泛影響，企業(yè)可以采取以下應對措施來緩解或規(guī)避潛在的交易風險，提高自身合規(guī)性，避免因違反有關規(guī)則而被交易喊停或遭受罰款?？傮w而言，該等評估和措施可分為以下步驟：

1、開展自我評估：了解法律規(guī)定，進行全面梳理盤查

2、制定戰(zhàn)略決策：綜合分析情況，決策是否開展業(yè)務

3、部署防范策略：實施合規(guī)計劃，擬訂風險預案，動態(tài)診斷風險

如果企業(yè)已確定開展受限交易，則應當提前部署一定的風險防范策略。例如，企業(yè)應當擬訂待實施的合規(guī)方案，以此落實安全要求與合規(guī)計劃，例如開展數(shù)據風險評估、制定并實施網絡安全政策、開展審計、盡職調查、進行記錄留存以及按時報告等。針對被禁止交易，如果企業(yè)希望繼續(xù)開展該等交易，則需考慮進行相關交易前預留一定審批期限，向DOJ申請?zhí)囟ㄔS可。

由于以上問題涉及較多專業(yè)化內容，我們建議企業(yè)及時聘請外部律師或專家團隊，協(xié)助企業(yè)拉通外部資源開展審計、起草網絡安全政策并進行內部整改、入場實施數(shù)據風險評估、輔助履行申報或許可程序、開展相關交易前進行盡職調查等。

圖7 部署防范策略的核心要點

來源：中倫視界

李瑞 律師

中倫律師事務所

北京辦公室 合伙人

業(yè)務領域：跨境投資并購，反壟斷和競爭法，網絡安全和數(shù)據保護

行業(yè)領域：教育培訓，電信和互聯(lián)網，信息和智能技術

賈申

中倫律師事務所

北京辦公室 高級顧問

業(yè)務領域：合規(guī)和調查，投資并購和公司治理，訴訟仲裁

行業(yè)領域：能源和電力

鐘俊鵬 律師

中倫律師事務所北京辦公室

非權益合伙人

業(yè)務領域：跨境投資并購，網絡安全和數(shù)據保護，反壟斷和競爭法

行業(yè)領域：銀行業(yè)和金融服務，信息和智能技術

徐晨

中倫律師事務所

北京辦公室 公司業(yè)務部

* 蒲昱含對本文亦有貢獻

免責聲明

本文僅代表原作者觀點，不代表走出去智庫立場。

延展閱讀

▌地緣政治風險:

▌出口管制與制裁:

▌跨境數(shù)據監(jiān)管:

▌全球科技競爭:

▌品牌聲譽管理: