來源：四大新鮮事兒

引言

2024年2月28日，美國總統拜登簽署了第14117號總統行政令《防止受關注國家訪問美國敏感個人數據和政府相關數據》。該命令旨在應對由“受關注國家”（Countries of Concern）或“受限主體”（Covered Persons）訪問美國個人敏感信息或政府相關數據所帶來的國家安全和外交政策風險。行政令明確針對包括中國、俄羅斯、伊朗和朝鮮等國家，並授權美國司法部制定具體規則，從制度上限制美國實體向這些國家或主體傳輸敏感數據。2025年1月8日，美國司法部（DOJ）正式發佈該行政令的最終實施規則（Final Rule）並宣佈2025年4月8日爲正式生效日。《第14117號行政令》將對開展海外（尤其是美國）業務的中國企業產生較大影響，如以下四個方面：

企業架構與投資調整：中資企業在海外設立分支機構或獨立法人，若在交易中涉及美國個人數據，無論其股權結構設計如何“去中國化”，只要實際控制權、經營決策或技術資源來自中國，仍可能被認定爲“受關注國家控制的實體”。一旦中美間存在受管制數據的傳輸或訪問，即可構成受限交易。

業務合作成本與風險：中國企業在美直接開展業務，或作爲美國企業供應商時，美企會依據法規要求中國企業達到合規標準。比如中資控股雲服務商爲美國客戶提供數據託管、SaaS服務，尤其服務內容涉及存儲或處理敏感個人數據、政府相關數據的，即使基礎設施部署在境外，該供應商協議也高度可能構成受限交易，受到本規則直接約束。

特定行業衝擊：廣告營銷、零售、跨境電商、社交媒體、醫療健康、保險等依賴數據投放營銷，以及人工智能、大數據分析等需大量數據訓練算法和開發產品的行業受衝擊大。例如，一些從事精準廣告投放的中國企業，因使用美國用戶數據而面臨業務受阻，其基於美國用戶數據訓練的廣告推薦算法也可能被認定違規。

招聘與人員安排：當美方實體或跨國公司聘用中國籍員工，參與產品研發、系統運維、數據分析、用戶支持等業務，若其具備訪問、處理或分析美國個人敏感數據的權限，即使數據未出境，該類用工安排亦可能被視爲受監管數據交易。這一判斷標準強調“實質可訪問性”而非“數據物理位置”，特別是對於依賴中國團隊處理美國用戶行爲、健康或位置數據的企業，應格外關注中國團隊數據訪問的權限配置，數據安全保護和合規隔離措施。

這一系列措施標誌着美國在數據出境、跨境交易監管領域，進入以國家安全爲導向的“硬約束”時代。對所有涉及敏感數據處理和跨境傳輸的企業與組織而言，該行政令不僅提升了合規門檻，也將對現有業務模式、技術架構及全球數據運營策略帶來深遠影響。未及時調整策略的企業可能面臨高額罰款、業務中斷甚至刑事責任。本文將解析新規核心要求，並提出系統性應對框架，幫助企業化解風險、穩健出海。

行政令規則概述

美國《第14117號行政令》的立法背景和目標主要圍繞嚴格管控敏感個人數據及政府相關數據的跨境流動，防止受關注國家或受限主體獲取這些數據，從而更有效地保障美國的國家安全利益。該行政令明確界定了受管制數據的範圍、交易雙方的身份類型、以及不同交易情形下的合規要求。其制度設計中，將數據交易分爲禁止交易、受限交易和豁免交易三類，並建立了由司法部負責管理的許可制度，包括一般許可（General License）和特別許可（Specific License）機制，爲美國人或機構與受關注國家或受限主體之間開展涉及敏感數據的交易提供合規路徑。

此外，2025年4月11日，美國司法部國家安全司（NSD）發佈三份重要文件以推進《14117最終規則》實施。

《數據安全計劃：至2025年7月8日的實施與執法政策》介紹了《14117最終規則》生效後前90日的實施和執法政策。該政策明確設定，自2025年4月8日法規正式生效起，將有爲期90天的執法寬限期。在此期間，只要美國人或實體積極開展自我評估與調整，展現出“合規誠信勤勉”的行爲，就不會被列爲優先執法對象。

《數據安全計劃：合規指南》對關鍵定義、被禁止和限制交易及建立數據合規計劃要求予以指導，提供示範合同條款及遵守審計和記錄保存要求的最佳實踐建議，助力公衆理解和遵守《14117最終規則》。

《數據安全計劃：常見問題解答》（FAQs）以問答形式對《14117行政令》和《14117最終規則》相關內容進行澄清，解答108個常見問題，後續NSD將視情況更新補充。

行政令關鍵規則解讀

1.四大核心要素解析

《第14117號行政令》及其最終規則文件指出，企業在從事數據交易前，必須明確以下四類關鍵監管要素：

示例圖：第14117號法案 關鍵要素

基於以上四個方面的關鍵要素，中國出海企業與美國公司的業務往來可能受到不同程度的禁止或限制，其中部分行業可能會受到較爲明顯的衝擊。

2. 違規處罰機制

示例圖：處罰措施

根據《第14117號行政令最終規則》，對於一般的違規，違規者將被處以不超過368,136美元或違規交易金額的兩倍的民事罰款，兩者取其高。對於蓄意違規、協助或教唆違規的行爲，對違規主體處以不超過100萬美元的刑事罰款，或監禁20年（針對個人），或兩者並罰。

3. 數據交易分類

美國司法部會對交易進行分類，劃分爲禁止、限制和豁免三個類別（如下圖展示），並制定了相應的監管路徑。

示例圖：交易分類

對於被禁止的數據交易而言，美國實體不得參與此類交易。一旦接觸相關邀約，尤其涉及數據經紀類交易，需14天內向司法部報備。同時，美國數據經紀人若發現外國客戶違反標準合同條款（SCC），需在30天內向司法部報備。

受限制的數據交易需根據《合規指南》的建議，建立書面的數據安全計劃（DSP），並滿足美國國土安全部網絡與基礎設施安全局（CISA）設定的網絡安全與數據保護要求。例如，受限交易的美國實體需建立一套結構化、基於風險的數據安全計劃，涵蓋組織治理、數據梳理與分類、風險評估、盡職調查、數據保護、監控和審計、內部控制及人員培訓等關鍵要素。數據保護需按照CISA安全要求落實數據、系統及組織層面安全措施，且由獨立審計機構進行年度審計。

若美國主體25%及以上股份由受限主體或受關注國家持有，且受限交易涉及雲服務，還需履行年度報備義務。具體而言，從事相關數據交易的美國主體需提供：主體名稱、地址及聯繫人信息；數據交易日期、涉及的政府數據或美國批量敏感個人數據的類型與數量、傳輸方式；參與方（含數據接收方）的名稱、所在地、所有權屬性、個人國籍或主要居住地等信息。

對於從事被豁免的數據交易的美國主體而言，仍需履行“資料留存備查義務”和“拒絕交易報備”等義務。其中如從事藥品、生物製藥、醫療器械授權交易有額外的資料留存義務，即其有主動義務必須按照§202.1101（a）的規定對所有豁免交易進行詳細記錄，並將相關記錄保留10年備查。

4. 敏感數據類別及觸發閾值

受限制數據有兩大類別：其一，涉及美國人的敏感個人數據，該類別進一步細分爲六個子類，以確保對各類敏感信息的全面覆蓋；其二，涵蓋與美國政府相關的數據，此類數據涉及國家機密與安全。針對這兩大類別數據，依據其敏感程度和潛在風險，分別設定了差異化的觸發閾值，以實施更爲精準和有效的數據管理和控制措施。如下表所示：

示例圖：受管制數據類型和觸發閾值

同時美國司法部強調，即使是經過匿名化或加密的數據，若其符合“批量”標準，並且能夠與美國個人建立關聯，也屬於該範疇。

適應性判斷框架

隨着《第14117號總統行政令最終規則》的正式落地，判斷企業是否受該規則管轄，成爲數據跨境交易中的核心問題之一。普華永道網絡安全與隱私服務團隊提煉出關鍵適用對象標準與判斷流程，供企業進行前置合規評估與風險識別。

1. 受限主體的界定

該規則明確了“受限主體”的廣義定義。無論從法律意義上，還是在實際控制關係上，若敏感個人數據或政府相關數據有可能被轉移至“受關注國家”的控制之下，即可被視爲“受限主體”。詳見下表：

示例圖：受限主體

2. 適應性判斷流程

爲了幫助企業評估其業務活動是否觸發《第14117號行政令》的監管，普華永道總結出一套可操作的“適用性判斷流程圖”，涵蓋從交易方背景覈查、數據類型篩查、交易模式審查，到最終許可義務判斷等關鍵步驟。如下圖所示：

示例圖：適應性判斷流程圖

針對受限交易實體的合規建議

受限制交易實體需按照《合規指南》建議，結合CISA數據安全要求實施下面合規要點：

1. 組織治理與制度建設

建立結構化、文件化、基於風險的數據安全計劃（DSP）；

指定首席信息安全官（CISO）及風險合規負責人（如GRC Officer），負責統籌數據安全工作；

梳理數據清單，數據映射包括識別數據的類型和數量、傳輸和訪問方式及風險評估；

建立跨部門合規執行機制與員工培訓制度；

制定並維護適用於受限制交易的應急響應、數據處理與訪問政策。

2. 系統與訪問控制機制

維護一個實時更新的受保護系統資產清單，包括與數據處理相關的所有信息系統、服務節點、外包服務等；

實施多因素認證（MFA）、強密碼策略和最小權限原則；

吊銷離職或權限變更員工的訪問憑證，限制高風險角色的系統操作能力；

定期實施漏洞掃描，需立即採取補救措施並記錄修復活動，形成閉環審計證據；

所有系統訪問行爲需進行日誌記錄與監控，配置日誌告警機制；

默認阻斷未經授權的設備與連接，設立統一身份訪問管理平臺（IAM）；

實施訪問分級與細粒度授權，控制受關注國家或主體的訪問路徑與行爲。

3. 數據保護與隱私控制

僅收集業務所需的最小數據集，避免“預防性”收集；

高敏感數據（如生物識別、精準定位、健康記錄）需加密存儲與傳輸（TLS ≥ 1.2，AES-256）；

推行數據脫敏、數據最小化、隱私增強技術（如差分隱私、同態加密）；

跨境數據流設立“出口攔截機制”，在網絡出口、API、開發接口等層面設置控制點；

對所有數據處理活動建立記錄（RoPA），至少保留10年以供審計。

4. 第三方管理與外包控制

與雲服務商、外包商等第三方簽署合規合同，明確其數據訪問、安全責任與違約條款；

對供應商開展KYC與安全盡職調查，確保其不屬於受限主體；

管理第三方數據訪問路徑，實施訪問隔離與操作日誌追蹤；

若企業25%以上股份由受限主體持有，且涉及雲服務，需履行年度報備義務。

5.持續審計

每年由獨立審計機構進行合規性審計，內部審計可被接受但需保持獨立性。

治理視角下的合規實施框架

企業若要構建長期穩定的合規體系，應圍繞以下四個維度開展建設，包含綜合風險評估與業務調整、建立跨境數據合規管理制度、內部數據合規管控、外部合規風險評估四個方面。

示例圖：基於治理維度的合規實施要點

普華永道的服務支持

《第14117號行政令最終規則》的落地，既是挑戰也是機遇。企業需跳出“被動應對”思維，將數據安全轉化爲競爭優勢 —— 通過構建透明可信的合規體系，贏得國際合作夥伴的長期信任，提前將合規優勢佈局於企業發展的進程中，不僅能幫助自身規避風險，更能讓企業在全球市場中佔據先機。

普華永道中國網絡安全與隱私合規團隊與美國成員所團隊合作，對《第14117號行政令最終規則》做出解讀，並結合多年來在企業出海的最佳實踐，提供全方位的合規支持與網絡安全服務，確保合規經營並保護企業的利益。

風險識別：識別並優先受影響的業務流程、系統和供應商。參照監管的數據類型和閾值對數據交易進行分類與量化；

合規評估：開展法案合規能力評估，分析在現狀下對業務的影響，並審查CISA所要求的安全與數據控制措施；

整改規劃：按業務流程和系統評估整改措施，並協助制定整體的合規計劃；

專家支持：提供專家以支持整改和技術控制落地和實施，幫助客戶落實行政命令及CISA提出的變更要求；

第三方管理：爲法規要求的第三方風險管理（TPRM）流程提供合規方案，並幫助企業落實；

合規審計：提供《第14117號行政令最終規則》要求的合規審計服務，並後續依據該行政令要求提供持續審計服務。

參考文獻

1. Notice of Availability of Security Requirements for Restricted Transactions Under Executive Order 14117.CISA-2024-0029 [online] Available at: https://www.federalregister.gov/documents/2025/01/08/2024-31479/notice-of-availability-of-security-requirements-for-restricted-transactions-under-executive-order [Accessed 28 Apr. 2025].

2. Drug, biological product, and medical device authorizations.202.510 [online] Available at: https://www.ecfr.gov/current/title-28/chapter-I/part-202/subpart-E/section-202.510 [Accessed 28 Apr. 2025].

聯繫我們

徐世達

中國內地及香港地區風險及控制服務市場主管合夥人

電話：+86 (21) 2323 3405

郵箱：jasper.xu@cn.pwc.com

李睿

普華永道中國網絡安全和隱私服務中國內地主管合夥人

電話：+86 (10) 6533 2312

郵箱：lisa.ra.li@cn.pwc.com

張俊賢

普華永道中國中區網絡安全和隱私服務主管合夥人

電話：+86 (21) 2323 3927

郵箱：chun.yin.cheung@cn.pwc.com

潘曉鷗

普華永道中國網絡安全和隱私服務合夥人

電話：+86 (21) 2323 2693

郵箱：sean.pan@cn.pwc.com

感謝網絡安全服務團隊成員劉暢、章韜、張亦華等對本文的貢獻與支持。

（轉自：四大新鮮事兒）

海量資訊、精準解讀，盡在新浪財經APP