来源：四大新鲜事儿

引言

2024年2月28日，美国总统拜登签署了第14117号总统行政令《防止受关注国家访问美国敏感个人数据和政府相关数据》。该命令旨在应对由“受关注国家”（Countries of Concern）或“受限主体”（Covered Persons）访问美国个人敏感信息或政府相关数据所带来的国家安全和外交政策风险。行政令明确针对包括中国、俄罗斯、伊朗和朝鲜等国家，并授权美国司法部制定具体规则，从制度上限制美国实体向这些国家或主体传输敏感数据。2025年1月8日，美国司法部（DOJ）正式发布该行政令的最终实施规则（Final Rule）并宣布2025年4月8日为正式生效日。《第14117号行政令》将对开展海外（尤其是美国）业务的中国企业产生较大影响，如以下四个方面：

企业架构与投资调整：中资企业在海外设立分支机构或独立法人，若在交易中涉及美国个人数据，无论其股权结构设计如何“去中国化”，只要实际控制权、经营决策或技术资源来自中国，仍可能被认定为“受关注国家控制的实体”。一旦中美间存在受管制数据的传输或访问，即可构成受限交易。

业务合作成本与风险：中国企业在美直接开展业务，或作为美国企业供应商时，美企会依据法规要求中国企业达到合规标准。比如中资控股云服务商为美国客户提供数据托管、SaaS服务，尤其服务内容涉及存储或处理敏感个人数据、政府相关数据的，即使基础设施部署在境外，该供应商协议也高度可能构成受限交易，受到本规则直接约束。

特定行业冲击：广告营销、零售、跨境电商、社交媒体、医疗健康、保险等依赖数据投放营销，以及人工智能、大数据分析等需大量数据训练算法和开发产品的行业受冲击大。例如，一些从事精准广告投放的中国企业，因使用美国用户数据而面临业务受阻，其基于美国用户数据训练的广告推荐算法也可能被认定违规。

招聘与人员安排：当美方实体或跨国公司聘用中国籍员工，参与产品研发、系统运维、数据分析、用户支持等业务，若其具备访问、处理或分析美国个人敏感数据的权限，即使数据未出境，该类用工安排亦可能被视为受监管数据交易。这一判断标准强调“实质可访问性”而非“数据物理位置”，特别是对于依赖中国团队处理美国用户行为、健康或位置数据的企业，应格外关注中国团队数据访问的权限配置，数据安全保护和合规隔离措施。

这一系列措施标志着美国在数据出境、跨境交易监管领域，进入以国家安全为导向的“硬约束”时代。对所有涉及敏感数据处理和跨境传输的企业与组织而言，该行政令不仅提升了合规门槛，也将对现有业务模式、技术架构及全球数据运营策略带来深远影响。未及时调整策略的企业可能面临高额罚款、业务中断甚至刑事责任。本文将解析新规核心要求，并提出系统性应对框架，帮助企业化解风险、稳健出海。

行政令规则概述

美国《第14117号行政令》的立法背景和目标主要围绕严格管控敏感个人数据及政府相关数据的跨境流动，防止受关注国家或受限主体获取这些数据，从而更有效地保障美国的国家安全利益。该行政令明确界定了受管制数据的范围、交易双方的身份类型、以及不同交易情形下的合规要求。其制度设计中，将数据交易分为禁止交易、受限交易和豁免交易三类，并建立了由司法部负责管理的许可制度，包括一般许可（General License）和特别许可（Specific License）机制，为美国人或机构与受关注国家或受限主体之间开展涉及敏感数据的交易提供合规路径。

此外，2025年4月11日，美国司法部国家安全司（NSD）发布三份重要文件以推进《14117最终规则》实施。

《数据安全计划：至2025年7月8日的实施与执法政策》介绍了《14117最终规则》生效后前90日的实施和执法政策。该政策明确设定，自2025年4月8日法规正式生效起，将有为期90天的执法宽限期。在此期间，只要美国人或实体积极开展自我评估与调整，展现出“合规诚信勤勉”的行为，就不会被列为优先执法对象。

《数据安全计划：合规指南》对关键定义、被禁止和限制交易及建立数据合规计划要求予以指导，提供示范合同条款及遵守审计和记录保存要求的最佳实践建议，助力公众理解和遵守《14117最终规则》。

《数据安全计划：常见问题解答》（FAQs）以问答形式对《14117行政令》和《14117最终规则》相关内容进行澄清，解答108个常见问题，后续NSD将视情况更新补充。

行政令关键规则解读

1.四大核心要素解析

《第14117号行政令》及其最终规则文件指出，企业在从事数据交易前，必须明确以下四类关键监管要素：

示例图：第14117号法案 关键要素

基于以上四个方面的关键要素，中国出海企业与美国公司的业务往来可能受到不同程度的禁止或限制，其中部分行业可能会受到较为明显的冲击。

2. 违规处罚机制

示例图：处罚措施

根据《第14117号行政令最终规则》，对于一般的违规，违规者将被处以不超过368,136美元或违规交易金额的两倍的民事罚款，两者取其高。对于蓄意违规、协助或教唆违规的行为，对违规主体处以不超过100万美元的刑事罚款，或监禁20年（针对个人），或两者并罚。

3. 数据交易分类

美国司法部会对交易进行分类，划分为禁止、限制和豁免三个类别（如下图展示），并制定了相应的监管路径。

示例图：交易分类

对于被禁止的数据交易而言，美国实体不得参与此类交易。一旦接触相关邀约，尤其涉及数据经纪类交易，需14天内向司法部报备。同时，美国数据经纪人若发现外国客户违反标准合同条款（SCC），需在30天内向司法部报备。

受限制的数据交易需根据《合规指南》的建议，建立书面的数据安全计划（DSP），并满足美国国土安全部网络与基础设施安全局（CISA）设定的网络安全与数据保护要求。例如，受限交易的美国实体需建立一套结构化、基于风险的数据安全计划，涵盖组织治理、数据梳理与分类、风险评估、尽职调查、数据保护、监控和审计、内部控制及人员培训等关键要素。数据保护需按照CISA安全要求落实数据、系统及组织层面安全措施，且由独立审计机构进行年度审计。

若美国主体25%及以上股份由受限主体或受关注国家持有，且受限交易涉及云服务，还需履行年度报备义务。具体而言，从事相关数据交易的美国主体需提供：主体名称、地址及联系人信息；数据交易日期、涉及的政府数据或美国批量敏感个人数据的类型与数量、传输方式；参与方（含数据接收方）的名称、所在地、所有权属性、个人国籍或主要居住地等信息。

对于从事被豁免的数据交易的美国主体而言，仍需履行“资料留存备查义务”和“拒绝交易报备”等义务。其中如从事药品、生物制药、医疗器械授权交易有额外的资料留存义务，即其有主动义务必须按照§202.1101（a）的规定对所有豁免交易进行详细记录，并将相关记录保留10年备查。

4. 敏感数据类别及触发阈值

受限制数据有两大类别：其一，涉及美国人的敏感个人数据，该类别进一步细分为六个子类，以确保对各类敏感信息的全面覆盖；其二，涵盖与美国政府相关的数据，此类数据涉及国家机密与安全。针对这两大类别数据，依据其敏感程度和潜在风险，分别设定了差异化的触发阈值，以实施更为精准和有效的数据管理和控制措施。如下表所示：

示例图：受管制数据类型和触发阈值

同时美国司法部强调，即使是经过匿名化或加密的数据，若其符合“批量”标准，并且能够与美国个人建立关联，也属于该范畴。

适应性判断框架

随着《第14117号总统行政令最终规则》的正式落地，判断企业是否受该规则管辖，成为数据跨境交易中的核心问题之一。普华永道网络安全与隐私服务团队提炼出关键适用对象标准与判断流程，供企业进行前置合规评估与风险识别。

1. 受限主体的界定

该规则明确了“受限主体”的广义定义。无论从法律意义上，还是在实际控制关系上，若敏感个人数据或政府相关数据有可能被转移至“受关注国家”的控制之下，即可被视为“受限主体”。详见下表：

示例图：受限主体

2. 适应性判断流程

为了帮助企业评估其业务活动是否触发《第14117号行政令》的监管，普华永道总结出一套可操作的“适用性判断流程图”，涵盖从交易方背景核查、数据类型筛查、交易模式审查，到最终许可义务判断等关键步骤。如下图所示：

示例图：适应性判断流程图

针对受限交易实体的合规建议

受限制交易实体需按照《合规指南》建议，结合CISA数据安全要求实施下面合规要点：

1. 组织治理与制度建设

建立结构化、文件化、基于风险的数据安全计划（DSP）；

指定首席信息安全官（CISO）及风险合规负责人（如GRC Officer），负责统筹数据安全工作；

梳理数据清单，数据映射包括识别数据的类型和数量、传输和访问方式及风险评估；

建立跨部门合规执行机制与员工培训制度；

制定并维护适用于受限制交易的应急响应、数据处理与访问政策。

2. 系统与访问控制机制

维护一个实时更新的受保护系统资产清单，包括与数据处理相关的所有信息系统、服务节点、外包服务等；

实施多因素认证（MFA）、强密码策略和最小权限原则；

吊销离职或权限变更员工的访问凭证，限制高风险角色的系统操作能力；

定期实施漏洞扫描，需立即采取补救措施并记录修复活动，形成闭环审计证据；

所有系统访问行为需进行日志记录与监控，配置日志告警机制；

默认阻断未经授权的设备与连接，设立统一身份访问管理平台（IAM）；

实施访问分级与细粒度授权，控制受关注国家或主体的访问路径与行为。

3. 数据保护与隐私控制

仅收集业务所需的最小数据集，避免“预防性”收集；

高敏感数据（如生物识别、精准定位、健康记录）需加密存储与传输（TLS ≥ 1.2，AES-256）；

推行数据脱敏、数据最小化、隐私增强技术（如差分隐私、同态加密）；

跨境数据流设立“出口拦截机制”，在网络出口、API、开发接口等层面设置控制点；

对所有数据处理活动建立记录（RoPA），至少保留10年以供审计。

4. 第三方管理与外包控制

与云服务商、外包商等第三方签署合规合同，明确其数据访问、安全责任与违约条款；

对供应商开展KYC与安全尽职调查，确保其不属于受限主体；

管理第三方数据访问路径，实施访问隔离与操作日志追踪；

若企业25%以上股份由受限主体持有，且涉及云服务，需履行年度报备义务。

5.持续审计

每年由独立审计机构进行合规性审计，内部审计可被接受但需保持独立性。

治理视角下的合规实施框架

企业若要构建长期稳定的合规体系，应围绕以下四个维度开展建设，包含综合风险评估与业务调整、建立跨境数据合规管理制度、内部数据合规管控、外部合规风险评估四个方面。

示例图：基于治理维度的合规实施要点

普华永道的服务支持

《第14117号行政令最终规则》的落地，既是挑战也是机遇。企业需跳出“被动应对”思维，将数据安全转化为竞争优势 —— 通过构建透明可信的合规体系，赢得国际合作伙伴的长期信任，提前将合规优势布局于企业发展的进程中，不仅能帮助自身规避风险，更能让企业在全球市场中占据先机。

普华永道中国网络安全与隐私合规团队与美国成员所团队合作，对《第14117号行政令最终规则》做出解读，并结合多年来在企业出海的最佳实践，提供全方位的合规支持与网络安全服务，确保合规经营并保护企业的利益。

风险识别：识别并优先受影响的业务流程、系统和供应商。参照监管的数据类型和阈值对数据交易进行分类与量化；

合规评估：开展法案合规能力评估，分析在现状下对业务的影响，并审查CISA所要求的安全与数据控制措施；

整改规划：按业务流程和系统评估整改措施，并协助制定整体的合规计划；

专家支持：提供专家以支持整改和技术控制落地和实施，帮助客户落实行政命令及CISA提出的变更要求；

第三方管理：为法规要求的第三方风险管理（TPRM）流程提供合规方案，并帮助企业落实；

合规审计：提供《第14117号行政令最终规则》要求的合规审计服务，并后续依据该行政令要求提供持续审计服务。

参考文献

1. Notice of Availability of Security Requirements for Restricted Transactions Under Executive Order 14117.CISA-2024-0029 [online] Available at: https://www.federalregister.gov/documents/2025/01/08/2024-31479/notice-of-availability-of-security-requirements-for-restricted-transactions-under-executive-order [Accessed 28 Apr. 2025].

2. Drug, biological product, and medical device authorizations.202.510 [online] Available at: https://www.ecfr.gov/current/title-28/chapter-I/part-202/subpart-E/section-202.510 [Accessed 28 Apr. 2025].

联系我们

徐世达

中国内地及香港地区风险及控制服务市场主管合伙人

电话：+86 (21) 2323 3405

邮箱：jasper.xu@cn.pwc.com

李睿

普华永道中国网络安全和隐私服务中国内地主管合伙人

电话：+86 (10) 6533 2312

邮箱：lisa.ra.li@cn.pwc.com

张俊贤

普华永道中国中区网络安全和隐私服务主管合伙人

电话：+86 (21) 2323 3927

邮箱：chun.yin.cheung@cn.pwc.com

潘晓鸥

普华永道中国网络安全和隐私服务合伙人

电话：+86 (21) 2323 2693

邮箱：sean.pan@cn.pwc.com

感谢网络安全服务团队成员刘畅、章韬、张亦华等对本文的贡献与支持。

（转自：四大新鲜事儿）

海量资讯、精准解读，尽在新浪财经APP