一、要点提示
1. 2024年2月28日,美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(14117行政令)由前任美国总统拜登签署。
2.2024年12月27日,美国司法部发布了《防止受关注国家或受保护人员获取美国敏感个人数据和与政府有关的数据》的最终规则(14117行政令最终规则),旨在具体落实《14117行政令》的要求。
3. 《14117行政令最终规则》已于2025年4月8日生效。其中部分尽职调查、审计、报告义务将于2025年10月6日起实施。
4. 核心逻辑:若“美国人”与“受关注国家/人”开展包含“大规模美国敏感个人数据或美国政府相关数据”为标的“交易”,可能被禁止或被附加合规限制性条件。
5.此处的“交易”应做非常广泛的理解,包括但不限于收购、持有、使用、转让、运输、出口或交易外国或其国民拥有任何权益的任何财产。
二、判断交易是否受制于《14117行政令最终规则》的路径

三、中国企业风险评估注意事项
1. “交易”双方发生在美国人与“受关注国家/涵盖主体”之间?
1.1 美国人:任何美国公民、国民、合法永久居民,被合法接纳为美国难民或被授予庇护的自然人;依据美国法律设立的法律实体(包括其外国分支机构,如美国银行在华设立的分行);任何位于美国境内的主体。
1.2 受关注国家:中国(包括中国香港和中国澳门)、古巴、伊朗、朝鲜、俄罗斯与委内瑞拉。
1.3 涵盖主体:范围相当广泛,与受关注国家存在某种关联、可能被受关注国家施以影响的实体或自然人。
2. “交易”是否涉及达到一定量级的美国人个人敏感数据或任何美国政府相关数据?
2.1 达量的美国人个人敏感数据

2.2 美国政府相关数据
(1)关于敏感区域的精准地理位置数据,主要包括一些政府部门所在地、军事基地等的位置数据;
(2)被宣传为与美国政府工作人员相关联或可关联的数据,包括与美国政府现任或近期前任雇员或外包商,或与前任高级官员相关联或可关联的敏感个人数据。
2.3 不属于个人敏感数据的信息
(1)与个人无关的公开或非公开数据(如商业秘密或专有信息);
(2)通过政府或大众媒体已公开的信息;
(3)个人通信数据;
(4)协助这些信息传输的信息或元数据。
3. 是否能够适用豁免(可豁免情形)?
(1)不涉及价值交换的个人通信(如邮件、电报、电话等);
(2)涉及表达性材料信息(如包括出版物、影片、海报、唱片、照片等)的进口或出口;
(3)通常与旅行相关联的交易,例如在任何旅行国家的日常开销、购买机票等;
(4)美国政府的官方行为;
(5)涉及提供金融服务通常情况下附带的服务(例如用于购买和销售商品或服务涉及的个人财务数据或涵盖个人识别符的转移);
(6)美国跨国公司内部业务运营产生的数据交易(如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易);
(7)美国联邦法律或国际协议所要求或授权的交易;
(8)涉及受制于CFIUS措施的投资协议;
(9)作为提供电信服务的一部分或与之相关的交易(数据经纪交易除外);
(10)涉及监管审批数据的交易,且该等交易对获取或维持药品、生物制品、医疗器械或组合产品所需的审批或授权是必须的。监管审批数据包括为获取或维持药品、生物制品、医疗器械或组合产品所需的审批或授权,需要提交给监管部门或受限制主体,且已经进行去标识化或假名化的数据;
(11)其他临床研究和上市后监测数据。
4. 哪些交易会被禁止?
4.1 数据经纪交易
《14117行政令最终规则》项下规定的“数据经纪”(data brokerage)是相对广义的经纪交易,不限于数据销售,包括所有涉及数据从一方转移到另一方(接收方)的数据销售、数据许可访问或类似的商业交易(不包括雇佣协议、投资协议或供应商协议),接收方不直接从数据关联或可关联的个人处收集或处理数据。
《14117行政令最终规则》禁止美国主体在“明知”的情况下从事涉及受关注国家或涵盖主体的数据经纪交易。
《14117行政令最终规则》要求美国主体需通过合同的方式要求外国主体不得与受关注国家或涵盖主体开展任何该规则项下的涵盖交易,并应当向美国司法部报告任何已知或怀疑的合同违约行为。
4.2 可能导致受关注国家或涵盖主体获取以下类型数据的交易
(1)包含批量人类组学数据的敏感个人数据;
(2)能推导出批量“人类组学数据”的人类生物样本。
5. 哪些交易会被附条件?
(1)供应商协议:供应商协议是指提供商品或服务(包括云计算服务)以换取对价的协议。
(2)雇佣协议:雇佣协议是指任何雇佣(不包括独立承包商)的协议或安排,包括董事会或委员会层面的雇佣协议。
(3)被动投资协议:投资协议是指任何主体以支付或其他对价为交换,获得美国法律实体或美国境内的不动产(如数据中心)的直接或间接所有权的协议或安排。
6. 可能被附加哪些限制性条件?
6.1 安全措施
美国主体开展受限制的交易,需要确保按照美国国土安全部网络安全和基础设施安全局制定的网络安全要求采取相应安全保护措施。这些措施主要包括:制定有关网络安全的政策和措施、数据隔离、数据掩码和最小化、数据加密、采用隐私增强技术等。整体而言,这些安全要求旨在防止或最大限度减少涵盖主体对于涵盖数据的访问。
6.2 内部合规项目
《14117行政令最终规则》要求美国主体基于自身情况建立基于风险的内部合规项目。司法部并没有就如何建立合规项目提供全面的要求,但是对于该等合规项目需要包含的内容予以了规定。
6.3 尽职调查
从事受限制交易的美国主体应当建立基于风险的内部合规计划,该合规计划应当至少包括可以用于调查受限制交易涉及的数据流、数据类型、交易相对方、数据的最终用途、供应商信息等的尽职调查流程;并应制定书面政策来规范该合规计划的执行。
6.4 年度审计
从事受限制交易的美国主体应当每年对遵循《14117行政令最终规则》的情况开展审计。审计可以由外部审计机构或者可以确保独立性的内部审计部门完成。如果其他类审计可以覆盖《14117行政令最终规则》合规情况,则企业不需要就PPPAUS的合规情况另行开展单独审计。
6.5 记录保存
《14117行政令最终规则》要求从事涵盖交易的美国主体保留每一项交易的记录,并至少留存10年备查。此外,从事受限制交易的美国主体还需要保留关于其合规项目的书面政策、采取安全措施的政策、年度审计结果、尽职调查开展情况等相关合规记录和交易信息。
6.6 报告
(1)年度报告。从事“云服务”相关的受限制交易的美国主体,如果受关注国家或涵盖主体直接或间接持有其25%以上的股份,则该美国主体应当提交年度报告。
(2)根据司法部的要求报告。任何主体有义务根据司法部的要求报告与任何行为、交易或涵盖交易相关的信息。
(3)拒绝涉及数据经纪业务的被禁止交易的报告。任何美国主体如果拒绝了其他主体提出的涉及数据经纪业务的被禁止交易的合作意向,有义务向司法部报告。
(4)非涵盖主体疑似违规的报告。美国主体在与非涵盖主体的数据经纪交易中,如果知悉或者怀疑对方违反合同约定,与受关注国家或涵盖主体从事PPPAUS项下规定的涵盖交易,应当报告。
四、合规解决方案建议
高风险企业合规策略
(1)全面梳理美方用户数据流转路径(采集、传输、存储、访问);
(2)实施美国数据“本地化”策略,禁止跨境回传至中国;
(3)在美国设立独立法律实体或合资公司,隔离控制权和系统权限;
(4)严格执行数据最小化:避免收集SSN、GPS、指纹、面部、健康等敏感数据;
(5)尽可能进行数据去识别化或匿名化处理;
(6)审查并更新所有第三方供应商合同条款,限制数据流向受关注国家;
(7)建立内部应急响应机制,准备应对司法部调查或自愿披露;
(8) 考虑申请行政命令下的豁免路径(如满足技术控制、第三方审计要求)。
中风险企业合规策略
(1)区分并隔离美区用户数据,基于IP、地区自动识别;
(2)移除或关闭SDK/插件中默认采集敏感信息的功能(如定位、设备识别码);
(3)美区用户隐私政策单独编写并显著告知,设立退出选项;
(4)不主动销售或共享美国用户数据给中国境内第三方;
(5)审慎开展涉及美区用户数据的广告、算法或个性化推荐业务;
(6)邀请专业法律顾问就股权结构、系统架构是否触发EO审查进行合规诊断;
(7)加强对中后台团队的数据权限管理,避免无意违规。
低风险企业合规策略
(1)明确公司不接触任何美国人数据或与美国政府相关的数据;
(2)建立“数据准入”审批机制,控制美区数据进入企业系统;
(3)对CRM、ERP、邮箱等后台系统配置国家识别字段,防止误收美国用户数据;
(4)对销售、客服、IT部门进行培训,强化美国数据不可接触的红线意识;
(5)如未来拓展美区市场,预留合规架构(如双系统、双数据库);
(6)关注后续美国司法部或商务部的细化规则和更新版本。
五、总结
《14117行政令最终规则》的出台,标志着美国政府在数据安全和国家安全领域加强对“受关注国家”风险防控的最新动向。对于中国企业而言,尤其是涉及大规模美国敏感个人数据或政府相关数据的交易活动,将面临更高的审查和合规要求。企业需根据自身业务风险等级,及时调整数据管理策略,完善内部合规体系,降低潜在法律和商业风险。同时,密切关注后续细则变化,并结合实际情况制定灵活、可执行的合规应对方案,是未来合规管理的关键。
1. 2024年2月28日,美国《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(14117行政令)由前任美国总统拜登签署。
2.2024年12月27日,美国司法部发布了《防止受关注国家或受保护人员获取美国敏感个人数据和与政府有关的数据》的最终规则(14117行政令最终规则),旨在具体落实《14117行政令》的要求。
3. 《14117行政令最终规则》已于2025年4月8日生效。其中部分尽职调查、审计、报告义务将于2025年10月6日起实施。
4. 核心逻辑:若“美国人”与“受关注国家/人”开展包含“大规模美国敏感个人数据或美国政府相关数据”为标的“交易”,可能被禁止或被附加合规限制性条件。
5.此处的“交易”应做非常广泛的理解,包括但不限于收购、持有、使用、转让、运输、出口或交易外国或其国民拥有任何权益的任何财产。
二、判断交易是否受制于《14117行政令最终规则》的路径

三、中国企业风险评估注意事项
1. “交易”双方发生在美国人与“受关注国家/涵盖主体”之间?
1.1 美国人:任何美国公民、国民、合法永久居民,被合法接纳为美国难民或被授予庇护的自然人;依据美国法律设立的法律实体(包括其外国分支机构,如美国银行在华设立的分行);任何位于美国境内的主体。
1.2 受关注国家:中国(包括中国香港和中国澳门)、古巴、伊朗、朝鲜、俄罗斯与委内瑞拉。
1.3 涵盖主体:范围相当广泛,与受关注国家存在某种关联、可能被受关注国家施以影响的实体或自然人。
2. “交易”是否涉及达到一定量级的美国人个人敏感数据或任何美国政府相关数据?
2.1 达量的美国人个人敏感数据

2.2 美国政府相关数据
(1)关于敏感区域的精准地理位置数据,主要包括一些政府部门所在地、军事基地等的位置数据;
(2)被宣传为与美国政府工作人员相关联或可关联的数据,包括与美国政府现任或近期前任雇员或外包商,或与前任高级官员相关联或可关联的敏感个人数据。
2.3 不属于个人敏感数据的信息
(1)与个人无关的公开或非公开数据(如商业秘密或专有信息);
(2)通过政府或大众媒体已公开的信息;
(3)个人通信数据;
(4)协助这些信息传输的信息或元数据。
3. 是否能够适用豁免(可豁免情形)?
(1)不涉及价值交换的个人通信(如邮件、电报、电话等);
(2)涉及表达性材料信息(如包括出版物、影片、海报、唱片、照片等)的进口或出口;
(3)通常与旅行相关联的交易,例如在任何旅行国家的日常开销、购买机票等;
(4)美国政府的官方行为;
(5)涉及提供金融服务通常情况下附带的服务(例如用于购买和销售商品或服务涉及的个人财务数据或涵盖个人识别符的转移);
(6)美国跨国公司内部业务运营产生的数据交易(如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易);
(7)美国联邦法律或国际协议所要求或授权的交易;
(8)涉及受制于CFIUS措施的投资协议;
(9)作为提供电信服务的一部分或与之相关的交易(数据经纪交易除外);
(10)涉及监管审批数据的交易,且该等交易对获取或维持药品、生物制品、医疗器械或组合产品所需的审批或授权是必须的。监管审批数据包括为获取或维持药品、生物制品、医疗器械或组合产品所需的审批或授权,需要提交给监管部门或受限制主体,且已经进行去标识化或假名化的数据;
(11)其他临床研究和上市后监测数据。
4. 哪些交易会被禁止?
4.1 数据经纪交易
《14117行政令最终规则》项下规定的“数据经纪”(data brokerage)是相对广义的经纪交易,不限于数据销售,包括所有涉及数据从一方转移到另一方(接收方)的数据销售、数据许可访问或类似的商业交易(不包括雇佣协议、投资协议或供应商协议),接收方不直接从数据关联或可关联的个人处收集或处理数据。
《14117行政令最终规则》禁止美国主体在“明知”的情况下从事涉及受关注国家或涵盖主体的数据经纪交易。
《14117行政令最终规则》要求美国主体需通过合同的方式要求外国主体不得与受关注国家或涵盖主体开展任何该规则项下的涵盖交易,并应当向美国司法部报告任何已知或怀疑的合同违约行为。
4.2 可能导致受关注国家或涵盖主体获取以下类型数据的交易
(1)包含批量人类组学数据的敏感个人数据;
(2)能推导出批量“人类组学数据”的人类生物样本。
5. 哪些交易会被附条件?
(1)供应商协议:供应商协议是指提供商品或服务(包括云计算服务)以换取对价的协议。
(2)雇佣协议:雇佣协议是指任何雇佣(不包括独立承包商)的协议或安排,包括董事会或委员会层面的雇佣协议。
(3)被动投资协议:投资协议是指任何主体以支付或其他对价为交换,获得美国法律实体或美国境内的不动产(如数据中心)的直接或间接所有权的协议或安排。
6. 可能被附加哪些限制性条件?
6.1 安全措施
美国主体开展受限制的交易,需要确保按照美国国土安全部网络安全和基础设施安全局制定的网络安全要求采取相应安全保护措施。这些措施主要包括:制定有关网络安全的政策和措施、数据隔离、数据掩码和最小化、数据加密、采用隐私增强技术等。整体而言,这些安全要求旨在防止或最大限度减少涵盖主体对于涵盖数据的访问。
6.2 内部合规项目
《14117行政令最终规则》要求美国主体基于自身情况建立基于风险的内部合规项目。司法部并没有就如何建立合规项目提供全面的要求,但是对于该等合规项目需要包含的内容予以了规定。
6.3 尽职调查
从事受限制交易的美国主体应当建立基于风险的内部合规计划,该合规计划应当至少包括可以用于调查受限制交易涉及的数据流、数据类型、交易相对方、数据的最终用途、供应商信息等的尽职调查流程;并应制定书面政策来规范该合规计划的执行。
6.4 年度审计
从事受限制交易的美国主体应当每年对遵循《14117行政令最终规则》的情况开展审计。审计可以由外部审计机构或者可以确保独立性的内部审计部门完成。如果其他类审计可以覆盖《14117行政令最终规则》合规情况,则企业不需要就PPPAUS的合规情况另行开展单独审计。
6.5 记录保存
《14117行政令最终规则》要求从事涵盖交易的美国主体保留每一项交易的记录,并至少留存10年备查。此外,从事受限制交易的美国主体还需要保留关于其合规项目的书面政策、采取安全措施的政策、年度审计结果、尽职调查开展情况等相关合规记录和交易信息。
6.6 报告
(1)年度报告。从事“云服务”相关的受限制交易的美国主体,如果受关注国家或涵盖主体直接或间接持有其25%以上的股份,则该美国主体应当提交年度报告。
(2)根据司法部的要求报告。任何主体有义务根据司法部的要求报告与任何行为、交易或涵盖交易相关的信息。
(3)拒绝涉及数据经纪业务的被禁止交易的报告。任何美国主体如果拒绝了其他主体提出的涉及数据经纪业务的被禁止交易的合作意向,有义务向司法部报告。
(4)非涵盖主体疑似违规的报告。美国主体在与非涵盖主体的数据经纪交易中,如果知悉或者怀疑对方违反合同约定,与受关注国家或涵盖主体从事PPPAUS项下规定的涵盖交易,应当报告。
四、合规解决方案建议
高风险企业合规策略
(1)全面梳理美方用户数据流转路径(采集、传输、存储、访问);
(2)实施美国数据“本地化”策略,禁止跨境回传至中国;
(3)在美国设立独立法律实体或合资公司,隔离控制权和系统权限;
(4)严格执行数据最小化:避免收集SSN、GPS、指纹、面部、健康等敏感数据;
(5)尽可能进行数据去识别化或匿名化处理;
(6)审查并更新所有第三方供应商合同条款,限制数据流向受关注国家;
(7)建立内部应急响应机制,准备应对司法部调查或自愿披露;
(8) 考虑申请行政命令下的豁免路径(如满足技术控制、第三方审计要求)。
中风险企业合规策略
(1)区分并隔离美区用户数据,基于IP、地区自动识别;
(2)移除或关闭SDK/插件中默认采集敏感信息的功能(如定位、设备识别码);
(3)美区用户隐私政策单独编写并显著告知,设立退出选项;
(4)不主动销售或共享美国用户数据给中国境内第三方;
(5)审慎开展涉及美区用户数据的广告、算法或个性化推荐业务;
(6)邀请专业法律顾问就股权结构、系统架构是否触发EO审查进行合规诊断;
(7)加强对中后台团队的数据权限管理,避免无意违规。
低风险企业合规策略
(1)明确公司不接触任何美国人数据或与美国政府相关的数据;
(2)建立“数据准入”审批机制,控制美区数据进入企业系统;
(3)对CRM、ERP、邮箱等后台系统配置国家识别字段,防止误收美国用户数据;
(4)对销售、客服、IT部门进行培训,强化美国数据不可接触的红线意识;
(5)如未来拓展美区市场,预留合规架构(如双系统、双数据库);
(6)关注后续美国司法部或商务部的细化规则和更新版本。
五、总结
《14117行政令最终规则》的出台,标志着美国政府在数据安全和国家安全领域加强对“受关注国家”风险防控的最新动向。对于中国企业而言,尤其是涉及大规模美国敏感个人数据或政府相关数据的交易活动,将面临更高的审查和合规要求。企业需根据自身业务风险等级,及时调整数据管理策略,完善内部合规体系,降低潜在法律和商业风险。同时,密切关注后续细则变化,并结合实际情况制定灵活、可执行的合规应对方案,是未来合规管理的关键。
