跨境數據監管｜全面貿易戰下美國對華數據管控政策的核心要點與應對策略【走出去智庫】_風聞

走出去智庫（CGGT）觀察

美國司法部（DOJ）於2024年12月28日發佈的落實拜登政府簽署的第14117號行政令《防止受關注國家/地區或相關人員訪問美國敏感個人數據和政府相關數據》的最終規則將於今日正式生效。該行政令及相關規則不僅限制美國數據對中國的跨境傳輸，更幾乎涵蓋所有中國企業及其子企業可能接觸受規制美國數據的場景。

走出去智庫(CGGT)特約法律專家、中倫律師事務所合夥人李瑞與顧問賈申認為，在2025年4月2日，美國國立衞生研究院（NIH）已率先打響實施14117號行政令的第一槍，即從2025年4月4日起禁止位於中國（包括香港和澳門）等國家的機構訪問其“受控訪問數據倉庫”，這一決定已引起廣泛輿論關注，但我們需要理解的是，在14117號行政令發佈後，中國企業在數據方面可能受到的影響遠不止於此。

在美國大幅提高關税、加強出口管制制裁、地緣政治秩序變化暗流湧動等大背景下，美國政府以數據安全為抓手遏制中國企業的14117號行政令，無疑是中美博弈大版圖中非常重要的一環，值此多事之秋，值得企業高度關注。有鑑於此，本文以判斷公式為抓手、以模擬案例為視角，對14117號行政令項下設置的規制框架進行了深度梳理，全面剖析其影響及可能的應對方案。

企業如何應對美國跨境數據管控？今天，走出去智庫(CGGT)刊發中倫律師事務所李瑞、賈申、鍾俊鵬、徐晨的文章，供關注美國跨境數據監管的讀者參閲。

要點

1、受規制數據類型有兩大類：一類是敏感個人數據，另一類是政府相關數據。其中，敏感個人數據需要達到一定量級閾值才會受到規制，而政府相關數據，無論量級是多少均會受到規制。

2、根據《最終規則》，被豁免的例外情形有兩類：一類是被《最終規則》明文列為豁免的數據交易；另一類是EO授權DOJ協同相關部門基於個案針對某些本應落入規制的數據交易通過頒發許可的方式進行豁免，為監管提供了一定靈活性。

3、針對被禁止交易，如果企業希望繼續開展該等交易，則需考慮進行相關交易前預留一定審批期限，向DOJ申請特定許可。

正文

2024年12月28日，美國司法部（the Department of Justice，簡稱“DOJ”）發佈《最終規則》（Final Rules）以實施2024年2月28日拜登政府簽署的第14117號行政令《防止受關注國家/地區或相關人員訪問美國敏感個人數據和政府相關數據》（Executive Order 14117: Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，簡稱“EO 14117”）。

自EO 14117發佈以來，DOJ曾先後發佈《擬議規則的預先通知》（Advance Notice of Proposed Rulemaking，簡稱“ANPRM”）與《擬議規則的制定通知》（Notice of Proposed Rulemaking，簡稱“NPRM”），就EO 14117具體實施措施公開徵求意見。ANPRM發佈後，我們曾對有關內容進行了深入解讀（參考文章：《深度解讀美國數據安全監管機制重大變化：判斷公式、關鍵要點、模擬案例及影響分析》）。鑑於《最終規則》相比ANPRM有諸多更新，本文以判斷公式為抓手、以模擬案例為視角對《最終規則》進行了梳理分析。在案例設計上，我們整合了《最終規則》中新增的案例説明，設計了禁止交易、限制交易與豁免交易三個類型場景，旨在反映《最終規則》的更新內容，並直觀展現《最終規則》對企業的深遠影響，幫助企業找到切實可行的應對方案。

圖1 相關制度文件出台流程

一、《最終規則》涵蓋哪些核心要點？

1、核心機制：判斷是否落入管制範圍的公式

依據EO 14117、ANPRM、NPRM以及《最終規則》，我們將美國所建立的數據安全管控機制歸納為如下判斷公式與關鍵詞：

圖2 判斷公式與關鍵詞圖示

需要注意的是，此處雖然採用“數據交易（Transaction）”這個詞，但其所指代的行為比中國法律法規項下僅以數據為交付標的的數據資產交易要廣泛得多，任何涉及交易相對方跨境訪問數據的商業活動，只要滿足關鍵詞①至關鍵詞⑤的要件，且不符合例外情形（關鍵詞⑦），則均可能受到限制或禁止（關鍵詞⑥）。

所謂訪問（Access）是指邏輯或物理訪問，包括以任何形式獲取、讀取、複製、解密、編輯、轉移、發佈、影響、更改狀態或以其他方式查看或接收的能力，包括通過信息系統、信息技術系統、雲計算平台、網絡、安全系統、設備或軟件。並且，《最終規則》明確，為確定交易是否為特定數據交易（Covered Data Transaction），在判斷是否構成訪問時並不考慮任何安全要求（Security Requirements）的適用或影響。

2、關鍵詞①：美國實體（United States Person）

美國實體包括以下幾類：

（1）美國公民、國民或合法永久居民；

（2）在美國獲准作為難民或被授予庇護的人；

（3）僅根據美國法或美國境內任何司法管轄區的法律組建的實體（包括外國分支機構）；

（4）在美國境內的任何主體。

3、關鍵詞②：受關注國家

受關注國家目前包括中國（含香港和澳門）、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉。但EO 14117授權DOJ可以不時增刪受關注國家清單，以更好地實現保護美國實體敏感數據及國家安全的目標。

4、關鍵詞③：受關注實體

受關注主體主要包括以下幾類：

（1）由受關注國家直接或間接地單獨或合計擁有50%或以上股份的實體；根據受關注國家法律組建或特許的實體；主要營業地位於受關注國家的實體；

（2）由第（1）類所述實體或第（3）、（4）或（5）類所述主體一個或多個直接或間接地單獨或合計擁有50%或以上股份的實體；

（3）是受關注國家或第（1）、（2）或（5）類所述實體的僱員或承包商的外國主體；

（4）主要居住在受關注國家領土管轄範圍內的外國主體；

（5）被美國總檢察長指定的由受關注國家擁有、控制、受其管轄或指示的任何主體；或代表或聲稱代表受關注國家或受關注主體行事的任何主體；或在明知的情況下違反或受指示違反規定的任何主體。

注：經美國總檢察長指定被納入受關注實體清單（Covered Person List）的受關注實體可以向美國總檢察長申請行政複議或者採取公司重組、人員辭退等補救措施，請求從該清單上移除。

5、關鍵詞④：受規制數據類型

受規制數據類型有兩大類：一類是敏感個人數據（Sensitive Personal Data），另一類是政府相關數據（Government-related Data）。其中，敏感個人數據需要達到一定量級閾值才會受到規制，而政府相關數據，無論量級是多少均會受到規制。

（1）敏感個人數據

根據《最終規則》，敏感個人數據可以分為以下六類：

表格1 敏感個人數據的主要類別及説明

特定個人標識符（Covered personal identifier）的識別公式為：（1）任一類別已列明標識符+其他類別已列明標識符；或者（2）已列明標識符+其他數據=已列明標識符/其他類敏感個人數據（如精確地理位置數據、生物識別標識等）。按照目前的口徑，單一已列明標識符應當不構成敏感個人數據。需要説明的是，第1項所指的特定個人標識符不包括以下情形：（i）僅與其他人口統計或聯繫數據相關聯的人口統計或聯繫數據（例如名和姓、出生地、郵政編碼、住宅街道或郵政地址、電話號碼、電子郵件地址以及類似的公共賬户標識符）；（ii）僅與提供電信、網絡或類似服務所必需的其他網絡標識符、賬户認證數據或通話詳情數據相關聯的網絡標識符、賬户認證數據或通話詳情數據。

**已列明標識符（Listed Identifier）**是指以下任何數據字段：

表格2 已列明標識符的主要類別及説明

但是，以下數據類型排除在敏感個人數據之外：

(a) 與個人無關的數據，如商業秘密、專有信息；

(b) 公眾可獲取的數據，如政府記錄、開庭記錄；

(c) 個人通信信息，如郵政、電報、電話；

(d) 信息或信息資料（information or informational materials）以及通常相關聯的元數據或為實現此類信息或信息資料的傳輸或傳播而合理必要的元數據，如出版物、電影、新聞電訊稿。

前述敏感個人數據只有在特定數據交易發生前12個月內達到以下閾值後才將受到規制：

表格3 各類別敏感個人數據的監管起始數量的閾值範圍

值得注意的是，即使是匿名、假名、去標識化或加密的數據，也在量級計算範圍內。DOJ表示，隨着技術進步，這些數據也可能被重新識別或去匿名化，或被盜取加密密鑰等方式解密。

（2）政府相關數據

政府相關數據又可以包含兩類，一類是政府相關位置數據（DOJ在《最終規則》中列舉了736條經緯度的位置區塊），一類是政府（包括軍方和情報界）現任或最近的前僱員或承包商或前高級官員有關聯或可關聯的敏感個人數據。

6、關鍵詞⑤和⑥：針對“特定數據交易”的限制或禁止措施

受規制的數據交易分為禁止的數據交易和受限制的數據交易兩類，具體而言：

（1）禁止的數據交易

被禁止的數據交易包括：（i）數據經紀交易；（ii）涉及批量人類基因組數據或可從中提取此類數據的生物樣本轉移的基因組數據交易。其中，針對數據經紀交易，美國主體不僅不能與受關注主體進行交易，也不得與不受關注外國主體開展涉及數據經紀的交易，除非：（i）與該主體簽署合同：約束該主體不再與受關注主體進行涉及相同數據的經紀交易；（ii）及時報告該主體違規行為：在意識到該主體違規與受關注主體進行相同數據經紀交易後的14天內向司法部報告。根據《最終規則》的定義，數據經紀（Data Broker）是指數據的銷售、數據訪問許可或類似的商業交易（但僱傭協議、投資協議或供應商協議除外），涉及將數據從任何人（提供商）轉移到任何其他人（接收方），而接收方並未直接從與所收集或處理的數據相關聯或可鏈接的個人收集或處理數據。

（2）受限制的數據交易

受限制的數據交易包括：（i）涉及提供商品和服務的供應商協議；（ii）僱傭協議；（iii）投資協議。受限制的數據交易需要：（a）符合美國網絡安全與基礎設施局（Cybersecurity and Infrastructure Security Agency，簡稱“CISA”）發佈的安全要求；（b）遵循合規計劃。

(a) 符合安全要求

2025年1月，CISA發佈了最終版的《受限制交易安全要求規則》。根據該規則，從事受限制數據交易應當遵循“組織和系統級要求”與“數據級要求”兩方面內容，我們將有關規則總結如下圖，供讀者參考。

圖3 安全要求的總結歸納

(b) 遵循合規計劃

總結歸納而言，《最終規則》要求受限制交易方應當做到盡職調查、報告、記錄留存以及審計四項合規義務。

* 盡職調查：調查受限制交易中的數據流、供應商的身份等；每年制定數據合規計劃，並由相關負責人認證。

* 報告：當DOJ主動要求報告時如實提供信息；涉及雲計算服務的受限制交易時每年提交年度報告。

* 記錄留存：留存安全要求的實施情況記錄（經合規的高級職員、高管或其他僱員認證）；留存時間至少為10年。

* 審計：每年對數據交易的性質、是否遵守安全要求等進行審計；審計員在審計完成後60天內向美國實體提交報告等。

7、關鍵詞⑦：例外情形

根據《最終規則》，被豁免的例外情形有兩類：一類是被《最終規則》明文列為豁免的數據交易；另一類是EO授權DOJ協同相關部門基於個案針對某些本應落入規制的數據交易通過頒發許可的方式進行豁免，為監管提供了一定靈活性。

（1）明文豁免

《最終規則》將以下情形作為不受限制的數據交易：

表格4 豁免的數據交易情形

（2）許可豁免

EO 14117授權DOJ協同相關部門，通過發佈一般許可和特別許可的方式豁免可能被限制或禁止的受規制交易。根據《最終規則》，一般許可和特別許可機制的適用條件如下：

* 一般許可（General Licenses）：DOJ可酌情頒發通用許可證。在決定是否頒發通用許可證時，總檢察長可以考慮來自任何聯邦部門或機構或任何其他來源的其認為相關且適當的機密或非機密信息或材料。持通用許可證的實體需按要求提交報告。未能及時提交報告或必要信息的，通用許可證提供的授權將失效。

* 特別許可（Specific Licenses）：特定許可證須主動向DOJ申請並説明以下內容：（1）涉及的數據類型和數量；（2）交易方的身份（3）數據的最終用途和數據傳輸方式；（4）總檢察長需要的任何其他信息。除非許可證中另有規定，否則特定許可證：（i）僅適用許可證中確定的各方之間，（ii）僅適用許可證中描述的數據交易，以及（iii）僅在滿足許可證中規定的條件的情況下進行交易。

二、從模擬案例看《最終規則》有哪些影響？

與ANPRM和NPRM相比，《最終規則》在不少條文下又新列舉了許多案例以解析該條文的具體適用。我們整合了各項案例所反映的關鍵點，模擬了以下三個案例場景，以體現《最終規則》的影響：

1、模擬案例①：數據經紀場景

某美國子公司是一家總部位於受關注國家X的母公司在美國的分支機構。子公司在美國開發了一個人工智能聊天機器人，使用美國人的大量敏感個人數據進行模型訓練。雖然不是其主要的商業用途，但聊天機器人在響應查詢時能夠複製或以其他方式披露此前用於訓練的美國人批量敏感個人數據。子公司在知情的情況下在全球範圍內許可（knowingly licenses）包括其母公司在內的受關注實體可基於訂閲訪問該聊天機器人中的聊天內容。儘管許可使用聊天機器人本身不一定“涉及訪問”大量美國敏感個人數據，但子公司知道或應該知道，如果出現提示（prompt），該等許可將能夠訪問美國人的批量敏感個人訓練數據。

圖4 模擬案例①圖解

初步分析：依據DOJ在《最終規則》中對於數據經紀的解釋和案例説明，子公司許可受關注實體訪問這些大量美國敏感個人數據屬於數據經紀，因為它涉及將數據從美國公司（即提供商）傳輸到被許可方（即接收者），其中接收者沒有直接從與收集或處理的數據相關聯或可鏈接的個人收集或處理數據。儘管該等許可沒有明確提供對數據的訪問權限，但仍構成一項被禁止交易，因為子公司知道或應該知道根據其許可使用聊天機器人可以使受關注實體訪問訓練數據。

2、模擬案例②：供應商場景

A公司是根據美國法律成立的一家電商平台公司，A公司與總部位於非受關注國家（如新加坡）的B公司簽訂合同，由B公司為A公司提供IT運維服務。B公司的股權結構為（詳見下圖）：B1持股30%、B2持股20%、B3持股50%。其中，B1由D全資持股，B2由E全資持股，D為受關注國家X（如中國）持股50%的國企，E公司為F公司持股50%的企業，F公司是根據受關注國家X法律所成立的企業，即註冊在受關注國家X的普通企業。A公司掌握美國千萬級以上個人用户的大量精確地理位置信息和個人財務數據。根據雙方簽訂的合同，B公司在提供IT服務時涉及訪問A公司存有上述大量精確地理位置信息和個人財務數據信息系統。B公司是否構成受關注實體？A公司與B公司的運維服務安排是否會落入《最終規則》的限制？

圖5 模擬案例②圖解

初步分析：依據DOJ在《最終規則》中對於受關注實體的解釋和案例説明，B公司將構成受關注實體，原因是B公司由D公司和E公司合計起來直接擁有50%的股份，而D公司和E公司均為受關注外國實體。其中，D公司因由受關注國家X直接持股50%而構成受關注實體，E公司因由另一個受關注實體F公司直接持股50%而構成受關注實體。F公司因依據受關注國家X的法律成立而構成受關注實體。

當前我國有很多出海企業，選擇將總部或戰略重心遷移至新加坡、迪拜等投資友好國家，但依據《最終規則》的50%股權穿透規則，即使位於海外的中資企業也很有可能構成《最終規則》所指的受關注外國實體，最終落入《最終規則》的受制範圍。

在模擬案例②中，B公司依據《IT運維合作協議》將在12個月內訪問A公司所掌握的大量美國人精確地理位置數據與個人財務數據，量級遠超《最終規則》所定閾值。因此，A公司與B公司之間的IT服務協議大概率構成受限制的供應商協議，在簽署和實施有關協議前，A公司應當履行前文所述的安全要求和合規計劃。

3、模擬案例③：豁免場景

A公司是一家美國金融服務提供商，它在受關注的國家X設立了一家子公司B。A公司的客户在受關注國家X進行金融交易，B公司的客户在美國進行金融交易。為了履行與這些金融交易相關的客户服務職能，B公司會訪問大量美國敏感個人數據。

圖6 模擬案例③圖解

初步分析：在這些情況下，公司集團交易豁免將適用於外國子公司對個人財務數據的訪問，因為這通常是提供客户支持的正常附帶行為且屬於其組成部分。外國子公司對個人財務數據的訪問也將受到金融服務豁免的保護。美國與其位於受關注國家/地區（或以其他方式受其所有權、指導、管轄或控制）的子公司或關聯公司之間，與行政或輔助業務運營有關的數據交換，包括：①人力資源；②工資單、費用監控和報銷以及其他公司財務活動；③繳納營業税或費用；④獲得營業執照或執照；⑤與審計師和律所共享數據以實現監管合規；⑥風險管理；⑦業務相關出行；⑧客户支持；⑨員工福利；⑩員工的內外部通信等，均落入豁免範圍。

三、《最終規則》下企業可以採取哪些措施？

受《最終規則》的廣泛影響，企業可以採取以下應對措施來緩解或規避潛在的交易風險，提高自身合規性，避免因違反有關規則而被交易喊停或遭受罰款。總體而言，該等評估和措施可分為以下步驟：

1、開展自我評估：瞭解法律規定，進行全面梳理盤查

2、制定戰略決策：綜合分析情況，決策是否開展業務

3、部署防範策略：實施合規計劃，擬訂風險預案，動態診斷風險

如果企業已確定開展受限交易，則應當提前部署一定的風險防範策略。例如，企業應當擬訂待實施的合規方案，以此落實安全要求與合規計劃，例如開展數據風險評估、制定並實施網絡安全政策、開展審計、盡職調查、進行記錄留存以及按時報告等。針對被禁止交易，如果企業希望繼續開展該等交易，則需考慮進行相關交易前預留一定審批期限，向DOJ申請特定許可。

由於以上問題涉及較多專業化內容，我們建議企業及時聘請外部律師或專家團隊，協助企業拉通外部資源開展審計、起草網絡安全政策並進行內部整改、入場實施數據風險評估、輔助履行申報或許可程序、開展相關交易前進行盡職調查等。

圖7 部署防範策略的核心要點

來源：中倫視界