一、EO 14117的情景引入：出海企业运营触发监管规制的行为或场景

根据《最终规则》《通知》及《预通知》中提供的信息，我们提供以下9个案例作为导引场景，供读者思考——我国企业出海运营的过程中存在的哪些行为或场景，可能触发美国联邦政府根据EO 14117及相关文件开展的监管行动。

案例1：聘用中国技术团队进行运维

假设一家中资背景且经营消费端业务的美国公司收集并维护来自美国消费者的大规模人类基因组数据、个人健康数据等敏感个人数据，该美国公司在信息技术运维方面归入中方母公司的全球运维规划内，并按照母公司的供应商采购策略雇用了一个主要由中国公民组成的团队提供后端服务。

案例2：聘用中国公民进行项目管理

假设一家中资背景的美国公司通过从社交媒体平台爬取已公开照片的方式收集美国网民的大规模敏感个人数据（包含面部数据扫描），并将这些照片输入其自研的数据库用于训练人脸识别算法；基于项目推进效率的考量，该美国公司计划雇佣一位在中国母公司拥有丰富项目管理经验的员工（中国公民）担任数据库项目经理。

案例3：聘用中国公民进行产品研发

假设一家中资背景的美国金融服务公司正在开发基于生成式人工智能的个人助理应用，并计划将其作为该公司的独立产品销售给客户；基于中国母公司的商密保护需求，该美国公司需要雇佣一名原本任职于母公司的数据科学家（中国公民）领导产品研发。

案例4：聘用母公司高管进行组织管理

假设一家中资背景的美国公司开发即时通讯类App并通过美国软件应用程序数字发行平台在美国发行，该App收集美国用户的大规模敏感个人数据；基于中国母公司实际控制要求，该美国公司需要雇用一名原本任职于母公司的高管（受管辖主体）担任首席执行官。

案例5：中资股权投资美国个人健康数据中心

假设一家美国公司计划在美国境内建造一个数据中心，该数据中心将存储美国人的大规模个人健康数据，一家中资背景的私募基金同意为数据中心的建设提供资金，以换取该数据中心的多数权益。

案例6：中资收购美国App运营公司少数股权

假设一家中国科技公司与一家开发即时通讯App的美国公司签订了股权转让协议或者增资协议，中国公司根据该协议获得了美国公司的少数股权，而该美国公司的App系统性地收集其美国用户的大规模敏感个人数据。

案例7：中国云服务商为美国公司存储精确地理位置数据

假设一家美国公司通过App从美国用户处收集大规模精确地理位置数据，并与总部位于中国的云服务公司签署协议以处理并存储该等数据。

案例8：中国云服务商为美国医疗机构存储个人健康数据

假设一家美国医疗机构与一家总部位于中国的云服务公司签署协议以获取信息技术相关的服务，该医疗机构掌握有与美国病人相关的大规模个人健康数据，且该协议中涉及访问保存有该等大规模个人健康数据的信息系统。

案例9：中资控股云服务商为美国公司存储敏感个人数据

假设一家美国公司由总部位于中国的公司控股并且指定了受管辖主体（中国公民）作为管理人员，该公司在美国境内建立数据中心运营数据托管服务，并作为供应商向其他美国公司提供服务以存储美国公司收集的美国大规模敏感个人数据。

以上导引案例的结论与分析，详见本文第四部分。

二、EO 14117的规则解读：基于风险控制的数据交易监管

EO 14117针对性地要求美国司法部颁布禁止或限制美国主体获取、持有、使用、转让、运输或进出口任何外国（政府）或外国公民在其中拥有任何利益的财产（即，“交易”），如果该交易：①涉及大规模敏感个人数据或与美国政府有关的数据；②属于对美国国家安全构成不可接受风险的交易类别；③在司法部规定的生效日期之后启动、待定或完成；④不符合豁免条件，或未基于许可获得授权；并且⑤不属于提供金融服务（包括银行、资本市场和金融保险服务）的正常相关活动和组成部分，也不是遵守任何联邦法定或监管要求（包括执行这些要求的任何法规、指南或命令）所必需的。

基于EO 14117的要求，美国司法部在发布的相关文件中中进一步强调：①美国司法部规则禁止美国主体从事“受监管数据交易（covered data transactions）”类型，因为这些类型的数据交易可能使受关注国家或受管辖主体访问美国的“大规模敏感个人数据（bulk sensitive personal data）”或“政府相关数据（government-related data）”；②一些原本被禁止的交易可能受到限制，并仅在符合某些条件——如，国土安全部发布的“安全要求（security requirements）”——的情况下才被允许开展；③被禁止或受限制的交易可能适用通用或特定“许可（license）”而被允许开展；④任何限制或禁止的要求均不适用于“豁免交易（exempt transactions）”。

作为一般适用的基本规则，EO 14117及相关文件禁止或限制了美国主体与受关注国家或受管辖主体之间涉及大规模敏感个人数据或政府相关数据的受监管数据交易，除非该等交易构成豁免交易或基于许可获得了授权；但受限交易可以在满足安全要求的前提下开展（以下称“禁止/限制规则”）。我们从禁止/限制规则中汇总提取了4组关键要素：

1. 作为监管目标的数据——大规模敏感个人数据、政府相关数据；
    

2. 作为监管事项的交易——受监管数据交易、具体禁令；
    

3. 开展交易的合规路径——实施安全要求、获得许可；
    

4. 作为监管对象的主体——美国主体、受关注国家与受管辖主体。

（一）EO 14117规制的应用公式

在上述一般性规则的基础上，通过梳理EO 14117与《最终规则》的最新要求，我们理解，EO 14117的规制公式可以总结为：

禁止或限制美国主体从事任何获取、持有、使用、转让、运输、进出口或参与任何与其他国家或国民有利益关系的交易（即，“交易”），如果该交易：

1. 受关注国家或受管辖主体与美国主体间开展的交易；
    
2. 交易对象涉及受管辖的数据；
    
3. 属于受监管数据交易；
    
4. 交易发生于《最终规则》的生效期间；
    
5. 交易不属于被豁免的交易；
    
6. 交易未采取相关合规路径（未取得相关许可且未满足安全要求）。

以下我们将围绕上述规制公式中的关键要素及相关概念，基于EO 14117与《最终规则》等相关文本，对相关政策规则进行进一步解读。

（二）受关注国家

根据《最终规则》，“受关注的国家”的定义为符合以下条件的任何外国政府：

1. 从事长期或严重不利于美国国家安全或美国人安全的行为；并且
    
2. 构成利用政府相关数据或大量美国敏感个人数据损害美国国家安全或美国人安全的重大风险。

具体而言，受关注国家共有六个，分别是：中国（包括中国香港和澳门）、古巴、伊朗、朝鲜、俄罗斯、委内瑞拉。

（三）受管辖主体

在受关注国家的基础上，《最终规则》将受管辖主体定义为符合以下条件的外国主体：

1. 直接或间接，单独或整体上由一个或多个受关注国家或由符合第（2）款的个人持有50%或以上股份，根据受关注国家的法律组织或特许而设立，或主要营业地位于受关注国家的实体；
    
2. 直接或间接，单独或整体上由符合第（1）款、第（3）款、第（4）款或第（5）款所述的主体持有50%或以上股份的实体；
    
3. 作为受关注国家的员工或承包商的个人，或作为符合第（1）款、第（2）款或第（5）款所述的实体的员工或承包商的个人；
    
4. 主要作为受关注国家的领土管辖范围内居民的个人；
    
5. 由司法部长认定的任何主体，无论其位于何处：
   
   （1）由、曾由或可能由受关注国家或受管辖主体拥有或控制，或受其管辖或指示；
   
   （2）为、曾为或意图为受关注国家或受管辖主体行事，或代表受关注国家或受管辖主体行事；
   
   （3）故意引发或指示违反本规则的行为，或可能故意引发或指示违反本规则的行为。

（四）美国主体

《最终规则》将美国主体定义为符合以下条件的主体：

1. 任何美国公民、国民或合法永久居民；
    
2. 根据《美国法典》第8编第1157条被接纳为美国难民或根据第1158条被授予庇护的任何自然人；
    
3. 任何仅依据美国或美国辖区内的法律成立的实体（包括外国分支机构）；或
    
4. 任何位于美国境内的主体。

（五）受管辖的数据

1. “敏感个人数据”

《最终规则》将敏感个人数据定义为受管辖的个人标识符、精确地理位置数据、生物标识符、人类组学数据、个人健康数据、个人金融数据，或任何以上数据的结合；但不包括：

（1）与个人无关的公开或非公开数据，包括符合（18 U.S.C. 1839 (3)中定义）“商业秘密”或符合（50 U.S.C. 1708 (d) (7)中定义）“专有信息”的数据；
 

（2）在交易发生时，根据联邦、州或地方政府记录（如，法庭记录）或广泛传播的媒介（如，通常通过不受限制和开放获取的存储库向公众提供的来源），可以由公众合法获取的数据；
 

（3）IEEPA的个人通信例外所包含的数据；
 

（4）IEEPA的信息材料例外所包含的数据。

具体而言，以及相关的细分定义总结如下：

表1 EO 14117下的敏感个人数据

2. “大规模”敏感个人数据的门槛

“大规模敏感个人数据”的定义为“与美国敏感个人数据有关的任何格式的大规模数据集合或数据集，无论这些数据是否经匿名化、假名化、去标识化或加密处理”。“大规模”一词是指任何在过去12个月的任一时间点达到特定门槛的数据——该等特定门槛可以通过单一的受管辖交易受监管数据交易的数据量来满足，也可以通过复数受管辖交易受监管数据交易的集合的数据量来满足，但后者要求集合内的交易涉及同一受管辖主体。我们比较了《预通知》《通知》与《最终规则》对于“大规模”含义比规定的区别并总结如下：

表2 EO 14117下大规模敏感个人数据的门槛

此外，美国司法部同时强调其将会持续关注技术和威胁的演变，并在必要情况下对目前《最终规则》设定的相关数量门槛进一步调整。

3. 美国“政府相关数据”

EO 14117将美国政府相关数据定义为“具有被受关注国家利用以损害美国国家安全的高度风险的敏感个人数据，无论其数量多少”。《最终规则》则在此基础上对美国政府相关数据提供了细化定义与相应示例如下：

表3 EO 14117下的美国政府相关数据

（六）受监管数据交易

EO 14117将“交易”定义为“获取、持有、使用、转让、运输或进出口任何外国（政府）或外国公民在其中拥有任何利益的财产”的行为，并明确了“涉及大规模敏感个人数据或与美国政府有关的数据，对美国国家安全构成不可接受风险的交易”应受限制或禁止。《预通知》则在此基础上将更为具体的“受监管数据交易”的概念定义为“任何涉及美国大规模敏感个人数据或美国政府相关数据的交易，且该交易也涉及：①数据经纪[4]；②供应商协议；③劳动协议；或④投资协议”。《最终规则》也进一步肯定了这一定义。

值得注意的是单词“涉及（involve）”在此处的多次使用，说明了EO 14117相关政策规则体系下的“受监管数据交易”不仅限于直接进行数据交互的交易活动（如，数据经纪），也包括了可能产生数据访问风险的其他交易活动（如，供应商协议、劳动协议、投资协议）——而在EO 14117的语境下，前述有关风险主要是指受关注国家或受管辖主体访问美国大规模敏感个人数据或政府相关数据的风险。如果使用数据合规实务领域常用的概念来理解，EO 14117的“受监管数据交易”实质上覆盖了各类针对大规模敏感个人数据或政府相关数据的、向受关注国家或受管辖主体进行的共享、转移、委托处理、授权访问的行为，以及直接或间接产生受关注国家或受管辖主体访问大规模敏感个人数据或政府相关数据可能性的其他特定交易行为，且“访问”的性质将不会因为应用安全措施而被影响或改变。

此外，受监管数据交易行为虽然会受到豁免交易、交易许可及数据范围的三重限制，但由于其定义相对宽泛，可以预期相关规则在具体落实时可能仍然存在较广的灰色地带，给执法机关留下比较大的自由裁量权。

针对数据交易的监管，《最终规则》采取了分类监管的策略，将交易分为禁止交易与受限交易，并进一步提出了交易豁免的类别。根据《预通知》《通知》与《最终规则》，我们将相关禁止交易与受限交易的分类标准与禁止/限制规则总结如下：

表4 EO 14117下的数据交易的分类

（七）被豁免的交易

在禁止交易与限制交易的基础上，《最终规则》还规定了共计十一项被豁免的数据交易，包括：

1. 适用于《最终规则》全文规定的三项豁免——

（1）涉及任何邮政、电报、电话或其他不涉及任何有价物品转让的个人通信的数据交易。

（2）涉及表达性材料信息的进口或出口。

（3）旅行信息，包括个人行李、生活费用和旅行安排的相关数据。

2. 适用于《最终规则》第C（禁止交易）、D（受限交易）、J（尽职调查与审计）、K（报告与记录保存）子部分的八项豁免——

（1）美国政府的官方交易活动。

（2）涉及提供金融服务通常附带的交易，金融服务包括银行业务、资本市场或金融保险服务；国家银行授权的金融活动；根据银行控股公司法定义为金融性质或补充金融活动的活动；附带个人金融数据的电子商务转移；以及为补偿提供投资组合或资产投资建议的投资管理服务（包括相关辅助服务）则属于金融服务。

（3）美国人与其外国子公司或关联公司之间的公司集团交易（当这些交易通常属于日常行政或业务运营的一部分时），如人力资源、薪资、税务、许可、合规、风险管理、差旅和客户支持。

（4）联邦法律或国际协议要求或授权的交易，其中包括《国际民用航空公约》（2022年）、《世界卫生组织章程》（1946年）等协议。此外，如果交易属于遵守联邦法律法规的正常附带活动。

（5）美国财政部（the Department of the Treasury）下辖的美国外国投资委员会（Committee on Foreign Investment in the United States, CFIUS）明确指定豁免的投资协议。

（6）提供电信服务（包括国际电话、移动语音和数据漫游）过程中通常涉及的交易。

（7）药品、生物制品和医疗器械授权相关数据交易，当其涉及在相关国家获得或维持监管审批所需的“监管审批数据”。

（8）其他临床研究和上市后监督数据。

三、EO 14117的合规路径：数据交易许可、合规措施与安全要求

（一）数据交易的许可制度

EO 14117下的数据交易许可制度主要基于外国资产控制办公室（Office of Foreign Assets Control, OFAC）的许可制度修改而来，且与OFAC的许可制度类似，同样包括“通用许可（general licenses）”与“特定许可（specific licenses）”，用于批准禁止或受限的受监管数据交易。

通用许可是对于特定类别交易的全面授权，相当于在对于受监管数据交易的禁止/限制规则下创设一个例外性的授权，为美国司法部提供了灵活的调整空间，以应对政策需求的变化。援引通用许可开展数据交易的美国主体无需自行进行申请，而只需根据美国司法部对于通用许可的相关规定提交报告与声明，并根据相关要求在交易进行过程中进行充分披露；如果未能履行充分披露义务，则给予通用许可的授权可能面临失效，并同时导致相关交易活动构成对于规定中禁令的违反，相关主体可能面临执法机构制裁的风险。

特定许可是由参与特定受监管数据交易的特定美国主体主动申请的、一事一议的专项授权，美国主体需要填写并递交各类申请文件以申请特定许可，并可能同样需要遵守通用许可中的持续性披露的义务（如，持续提供有关授权开展的数据交易的报告）。美国司法部目前在针对特定许可考虑要求任何获得特定许可进行大规模敏感个人数据或政府相关数据交易的主体必须在可行的范围内提供保证，确保根据此类交易转移的任何数据都可以恢复、不可逆地删除或以其他方式使其失效。

在上述许可机制外，公司和个人还可以依据法规对特定交易的适用性征求美国司法部（或其他有关部门）的咨询意见。

（二）数据交易的合规安全措施

《最终规则》充分考虑了《通知》与《预通知》中提出的监管受限制交易的措施，并根据EO 14117的授权对受限制交易的行为施加了尽调与审计要求；此外，《最终规则》也提出了相应的报告与记录保存要求。

1. 尽职调查与审计要求

（1）规定参与受限制交易的条件是按照要求开展尽职调查，并保存尽职调查的文件材料，以协助检查和执法；

（2）规定参与受限制交易的条件之一是开展第三方年度独立审计，并保存年度审计报告，以核实和改进安全要求的遵守情况；

（3）要求制定并实施数据合规计划，并制定基于风险的程序来核实数据流，包括交易中涉及的数据类型和数量、交易各方的身份以及数据的最终用途。

2. 报告与记录保存要求

（1）从事涉及云计算服务的受限制交易时，如果受限制交易的25%或以上直接或间接由受关注国家或受管辖主体所有，相关美国个人应当按要求提交年度报告 ；

（2）任何收到并明确拒绝他人提出从事禁止交易的要约的美国人必须在拒绝后的14个工作日内向司法部提交报告；

（3）从事与外国非受管辖主体进行涉及数据经纪的受关注交易的美国人，在知道或怀疑外国交易对手违反了向受关注国家或受管辖主体转售和转移的限制时，应提交报告；以及

（4）美国个人援引交易豁免以向相关国家提供获得或维持监管审批所需的“监管审批数据”，且当这些交易对于获得或维持在受关注国家针对特定业务获取监管批准是必要时，应提交报告，因为将受监管数据直接传输给关注国家的政府实体会带来更高的国家安全风险。

（5）此外，根据《最终规则》第202.1101条，需要记录的内容包括：

a. 描述合规程序的书面政策；

b. 记录实施受限交易安全措施的书面政策；

c. 评估对安全措施遵守情况的任何审计结果；

d. 为验证任何受限交易中涉及的数据流而进行的尽职调查的文件；

e. 与每次交易相关的其他相关信息；

f. 数据传输方式的证明文件；

g. 交易开始与结束日期的证明文件；

h. 与交易相关协议的副本；

i. 与交易相关的许可或咨询意见的副本；

j. 总检查长向其发布的任何原始文件的文件编号；

k. 交易过程中接收或创建的相关文件副本；

l. 对记录尽职调查的完整性和准确性进行的年度证明。

（6）根据《最终规则》第202.1001-202.1002条从事受限制交易的美国主体所负担的尽职调查与审计义务，以及第202.1103-202.1104条规定的部分报告义务，将于《最终规则》刊登于《联邦公报》270日后生效。

（三）受限制交易的安全要求

针对受限制交易，EO 14117要求其满足特定的安全要求作为前提，以缓释其所产生的受关注国家及受管辖主体访问大规模敏感个人数据或政府相关数据的风险。EO 14117相关文件中强调，该等安全要求旨在降低风险，并可能包括网络安全措施，如基本的组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化，以及隐私保护技术的使用等。

2024年10月24日，美国国土安全部网络安全与基础设施局（Cybersecurity and Infrastructure Security Agency）（以下称“CISA”）按照EO 14117的指示制定了适用于美国司法部所颁布法规中确定的受限制交易的安全要求（以下称“安全要求”）[5]，并于2024年10月29日刊登于《联邦公报》对外征求意见。CISA近期也将基于《最终规则》发布针对受限制交易的正式安全要求。

在司法部提出的合规要求的基础上，CISA在安全要求中针对所涉数据、所涉系统和组织整体角度，提出如何结合美国现有的网络安全和隐私保护框架（目前暂无详细规定，但CISA已经提出将援引NIST框架作为参考）以符合EO 14117的要求。进一步地，CISA从“组织和系统层面”以及“数据层面”区分了针对限制性交易的拟议安全要求的主要内容。

1. 组织和系统层面的安全要求

在组织和系统层面，CISA针对限制性交易的拟议安全要求可分为三个子项，即“实施组织网络安全政策、实践和要求”“实施访问控制措施”与“开展数据风险评估”。

（1）实施组织网络安全政策

a. 识别、记录所涉系统的所有系统及数据资产，并定期更新；

b. 在组织层面指定负责网络安全以及合规职能方面的管理人员；

c. 对所涉系统制定应急事件响应计划，在规定时间内修复漏洞；

d. 记录并维护所涉系统的所有供应商协议；

e. 开发并维护所涉系统准确网络拓扑结构；

f. 配置安装或部署新的硬件、固件或软件前的批准流程。

（2）实施访问控制措施

a. 在所涉系统上实施多因素认证或要求密码具备足够强度；

b. 合理且动态配置个人系统权访问权限；

c. 收集所涉系统中与访问及安全相关事件有关的日志（12个月）；

d. 确保未经授权的介质和硬件不会连接到所涉资产；

e. 默认情况下拒绝所有连接到所涉系统以及相关网络的连接；

f. 在组织层面管理系统身份标识和凭证。

（3）开展数据风险评估

a. 评估应考量数据对外披露的可能性和危害性；

b. 针对评估的风险确定风险缓释措施，追踪缓释措施实施情况。

2. 数据层面的安全要求

（1）在受限制交易过程中应用安全加密技术

a. 全面加密：使用行业标准加密技术对所涉数据在传输和存储过程中进行加密；

b. 保障传输层安全：通过互联网传输所涉数据时仅使用TLS1.2或更高版本的协议；

c. 密钥管理：生成并安全管理用于加密所涉数据的加密密钥。

（2）应用数据最小化和数据脱敏策略

a. 制定书面的数据留存和删除政策，并每年进行审查且根据情况适时更新；

b. 通过处理实现数据不再属于“受管辖的个人标识符”范畴，或最大限度降低与美国公民实体的关联性。

（3）应用隐私增强技术

不向参与受限制交易的相关人员透露所涉数据或可合理用于重识别所涉数据的信息。

（4）配置身份管理策略

确保受关注国家相关人员无法访问所涉系统及数据。

四、EO 14117的风险应对：我国出海企业的合规风险与应对

虽然EO 14117及相关文件确立的规则直接适用的主体对象仅包括美国主体，但如果作为受管辖主体的企业所经营的业务涉及受监管数据交易，且涉及业务的开展与我国企业相关，则有关业务行为仍存在受到监管审查乃至被要求停止开展的可能性。因此，结合对《预通知》《通知》与《最终规则》中提供的规则与交易示例进行适用性分析，中国企业如未按照EO 14117与《最终规则》的合规要求开展商业活动，仍可能受到较为严重的利益损失和其他负面影响。我们将结合本文第一部分中提供的导引案例进行解释说明。

（一）海外App运营的风险分析

目前存在出海业务的企业最为关注的风险之一是在EO 14117逐步落实的背景下，具有中资背景的App在美国境内开展运营活动并收集、存储、使用美国用户的个人数据，是否可能触发EO 14117体系下的禁止/限制规则？

基于禁止/限制规则的基本结构，对于这一潜在风险项的分析可以基于如下思路进行：

1. 是否涉及受监管数据？

不同类别App的运营可能涉及的数据类别也不尽相同；但需要注意EO 14117与《最终规则》对于“受监管的个人识别数据”的定义十分宽泛。

由于《最终规则》中列明的个人识别数据包含了各类常见设备信息、广告标识符、账户信息、网络协议等App难免会收集、存储的数据，因此可以较为容易地通过“相互结合的、列明的个人识别数据”这一细分路径也将构成敏感个人数据。

在大规模敏感个人数据的门槛方面，对于企业而言，触发《最终规则》中“大规模”门槛的可能性是相对较高的，企业需要清晰梳理所涉及业务涉及的个人信息主体数量是否会实际触发该门槛。

2. 是否涉及受监管数据交易？

对于这一问题的答案在很大程度上取决于App运营方的身份、中国母公司的身份，以及作为投资方/控制方的中国母公司是否可能访问到运营方的数据。

在App运营方的身份方面，无论运营方在美国境内注册设立、设有分支机构，还是单纯通过远程方式运营App，均可能会构成EO 14117与《最终规则》下的“美国主体”，进而适用相关监管规则与合规要求。

在中国母公司的身份方面，由于运营方背后的母公司/集团的中资背景，无论如何安排其股权与控制权结构，都不太可能完全避开作为“受管辖主体”判断的兜底情形，即被美国司法部长指认为由某受关注国家拥有或控制，或受其管辖或指示。

在母公司的访问控制方面，如果运营方与母公司之间存在涉及受监管数据的数据交互，则在该等交互的数据方面具有较高可能性符合《最终规则》中对于数据经纪活动的定义，并且也符合场景示例中“签署协议并授权访问”的基本事实。因此，如果希望避免落入监管规则的适用范围，相关企业需要在App运营企业与境外母公司之间制定并落实数据隔离与访问控制的策略，避免被认定构成受监管数据交易。

3. 是否涉及豁免交易？

在豁免交易方面，由于App用户个人数据的范围较广，相关从业企业能够潜在依赖的豁免事项仅有“作为业务运营一部分实体内部交易”中的“美国主体及其位于受关注国家（或从属于该受关注国家的所有权、指示、管辖或控制）子公司或分公司之间的交易”这一种类别；而该类豁免事项的适用要求企业调整组织架构，将美国主体作为主要运营实体，令境外实体成为美国主体的子公司或分公司——对于多数公司而言，该等调整在业务与管理层面的可行性不高。

（二）海外实体招聘的风险分析

另一类受到较多关注的场景是中资背景的美国主体在员工招聘方面，基于管理、运维、业务等各方面的考量，实践中经常需要聘用中国境内的技术团队及人员，或聘用中方母公司的管理层人员。

1. 聘用中国技术团队进行运维

假设一家中资背景且经营消费端业务的美国公司收集并维护来自美国消费者的大规模人类基因组数据、个人健康数据等敏感个人数据，该美国公司在信息技术运维方面归入中方母公司的全球运维规划内，并按照母公司的供应商采购策略雇用了一个主要由中国公民组成的团队提供后端服务（第一部分“案例1”）。

——如果该后端运维团队可以访问包含大规模敏感个人数据的系统，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 聘用中国公民进行项目管理

假设一家中资背景的美国公司通过从社交媒体平台抓取已公开照片的方式收集美国网民的大规模敏感个人数据（包含面部数据扫描），并将这些照片输入其自研的数据库用于训练人脸识别算法；基于项目推进效率的考量，该美国公司计划雇佣一位在中国母公司拥有丰富项目管理经验的员工（中国公民）担任数据库项目经理（第一部分“案例2”）。

——如果该员工作为项目经理的工作内容将涉及到访问大规模生物特征识别数据，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

3. 聘用中国公民进行产品研发

假设一家中资背景的美国金融服务公司正在开发基于生成式人工智能的个人助理应用，并计划将其作为该公司的独立产品销售给客户；基于中国母公司的商密保护需求，该美国公司需要雇佣一名原本任职于母公司的数据科学家（中国公民）领导产品研发（第一部分“案例3”）。

——如果作为受雇工作内容的一部分，该数据科学家所拥有的权限允许其访问、下载和传输大规模的个人金融数据，且这些数据不是通常属于公司向其客户提供的金融服务的一部分，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

4. 聘用母公司高管进行组织管理

假设一家中资背景的美国公司开发即时通讯类App并通过美国软件应用程序数字发行平台在美国发行，该App收集美国用户的大规模敏感个人数据；基于中国母公司实际控制要求，该美国公司需要雇用一名原本任职于母公司的高管（非中国公民，但由于其与母公司的历史沿革被美国司法部长指定为受管辖主体）担任首席执行官（第一部分“案例4”）。

——如果该高管作为首席执行官的权力和职责涉及访问应用程序收集的所有数据，则该等劳动协议或聘用安排本身构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

（三）海外项目投资的风险分析

除了上述出海布局业务外，中国企业在美国开展的投资活动也可能受制于EO 14117及相关政策规则而受到不利影响。具体而言：

1. 中资股权投资美国个人健康数据中心

假设一家美国公司计划在美国境内建造一个数据中心，该数据中心将存储美国人的大规模个人健康数据，一家中资背景的私募基金同意为数据中心的建设提供资金，以换取该数据中心的多数权益（第一部分“案例5”）。

——此时该等投资协议或安排本身可能被认定为构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 中资收购美国App运营公司少数股权

假设一家中国科技公司与一家开发即时通讯App的美国公司签订了股权转让协议或者增资协议，中国公司根据该协议获得了美国公司的少数股权，而该美国公司的App系统性地收集其美国用户的大规模敏感个人数据（第一部分“案例6”）

——此时，无论投资协议是否明确授予该外国科技公司访问该等数据的能力，即便协议中明确禁止该等访问，该等投资协议或安排本身仍可能被认定为构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

我们理解，监管机构可能不会只根据书面文件来判断受关注国家的投资人是否有权利访问或接触美国大规模敏感个人数据或美国政府相关数据的权利，而是更加看重受关注国家是否有可能通过该交易访问或接触到美国大规模敏感个人数据或美国政府相关数据，因此，对投资人基于协议的数据访问权限的限制并不会被认为降低了风险。而与之相反的是，如果上述接受投资的美国公司客观上不具备访问美国大规模敏感个人数据或美国政府相关数据的能力，则中国企业对于该等美国公司的投资一般不会触发针对包含投资协议的受监管数据交易的禁止/控制。

（四）为海外提供云服务的风险分析

中国云服务企业在近年来也凭借高性价比的优势逐渐打开国际市场。随着EO 14117及相关政策规则的落地实施，中国云服务企业作为供应商提供的IaaS/PaaS/SaaS类云服务也可以预见会受到一定程度的冲击。

1. 中国云服务商为美国公司存储精确地理位置数据

假设一家美国公司通过App从美国用户处收集大规模精确地理位置数据，并与总部位于中国的云服务公司签署协议以处理并存储该等数据（第一部分“案例7”）。

——此时该等供应商协议或安排本身将构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

2. 中国云服务商为美国医疗机构存储个人健康数据

假设一家美国医疗机构与一家总部位于中国的云服务公司签署协议以获取信息技术相关的服务，该医疗机构掌握有与美国病人相关的大规模个人健康数据，且该协议中涉及访问保存有该等大规模个人健康数据的信息系统（第一部分“案例8”）。

——此时该等供应商协议或安排本身仍然构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

3. 中资控股云服务商为美国公司存储敏感个人数据

假设一家美国公司由总部位于中国的公司控股并且指定了受管辖主体（中国公民）作为管理人员，该公司在美国境内建立数据中心运营数据托管服务，并作为供应商向其他美国公司提供服务以存储美国公司收集的美国大规模敏感个人数据（第一部分“案例9”）。

——此时该等供应商协议或安排本身仍构成受监管数据交易，将受到EO 14117以及《最终规则》的规制。

（五）现阶段相关企业的合规应对

基于上述潜在风险，我国出海企业可以结合企业内部制度管理、技术保障、数据全生命周期安全等方面的合规落实路径，按照以下思路与流程开展EO 14117及相关法规文件下的合规动作：

1. 数据梳理与适用判断

（1）梳理公司数据资产中与美国境内业务及美国境内居民存在关联的部分，识别其中的敏感个人数据及政府相关数据；

（2）梳理公司涉及数据处理的业务模式，识别其中受监管数据交易类型及场景；

（3）针对EO 14117对公司业务活动的适用性进行综合判断。

2. 技术与管理措施落实

在专业人士的指导下，参考CISA发布的安全指南和NIST网络安全及隐私保护相关的合规框架及合规工具，从所涉数据、所涉系统和组织整体的角度出发，实施与本组织相适应的安全技术与管理措施，有效控制合规风险。

3. 合规落地的日常咨询

（1）基于对法律法规的深入调研分析与丰富的行业实践经验，提供EO 14117的落地合规水位指引；

（2）针对未来潜在的监管合规风险，提供事前、事中、事后的全流程合规建议指引与落实方案；

（3）考虑企业现有数据跨境传输合规管理体系，提供纳入EO 14117合规要求的制度流程更新。

以上仅为对于相关合规事项的初步、大致的建议，考虑到EO 14117、《最终规则》及CISA安全指南的复杂性、专业性，我们建议相关企业尽早咨询具备丰富全球合规管理与数据跨境传输合规经验的专业外部法律顾问，对于企业的合规计划落实进行指导与协助。（如需对于EO 14117的进一步解读，可以通过文末的联系方式联络本文作者）。

结语

EO 14117及《最终规则》等相关文件的发布，标志着美国总统又一次动用IEEPA下的紧急权力，并在实质层面建立了一个重要的新监管制度。在此，司法部负责在建立和管理这一监管制度方面发挥重要的新作用。虽然目前该机制的重点是监管规则和程序的确立，但司法部最终将需要建立审查许可证和处理民事执法案件的基础措施，这些措施在很大程度上更类似于OFAC在管理制裁制度方面所做的工作。EO 14117在国家安全的考虑下不可避免地偏离了跨境数据自由流动的政策方向；而对于依赖数据跨境传输开展业务的我国出海企业而言，重新评估和调整业务的潜在需求带来了严峻的挑战。因此，企业如何在加强内部管理、提升数据处理的安全性和透明度的同时，在成本可控的前提下确保出海业务的可持续发展，是长远视角下的重要话题。

EO 14117与《预通知》《通知》以及《最终规则》在不到一年内的陆续发布，在美国历史上开创性地构建起一套以保护美国国家安全为目的的较为完备的敏感数据跨境流动监管体系。从此，美国长期秉持的“数据跨境自由流动”理念被赋予了清晰的边界条件，即该原则仅在数据出境目的地并非“外国对手”或“受关注”国家等特定国家时适用；而一旦涉及向该等特定国家进行数据出境操作，那么“数据跨境自由流动”的一般性原则将存在适用的例外。

因此，我们建议所涉行业的相关企业如果初步判断EO 14117相关的规则限制可能对自身产生较大影响，即应尽快引入具有丰富全球合规管理经验的律师等外部专家顾问，协助企业从内部管理、业务运营的实际场景出发，逐步搭建符合EO 14117与《最终规则》监管要求的合规体系，并在外部顾问的协助下确保企业日常运营中的数据处理与跨境传输活动中落实符合该等监管要求的具体合规预防措施；对于可能已经存在风险敞口的出海企业，也建议在外部专家的支持下尽快落实风险缓释措施，面对全球化的监管风险为企业最大程度地争取利益。