20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
前言
EO 14117 是美国总统拜登于 2024 年 2 月 28 日签署的《关于防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据的行政命令》,是美国以国家安全为名强化数据跨境流动管控的核心行政令。
该行政令本质是通过约束美国实体的相关数据交易,阻断 “受关注国家” 获取特定敏感数据的渠道。
本篇是解读的上篇,将对其基本概念、立法目的、历史发展、核心内容予以解读。
概述
1
基本概念
该行政令本质是通过约束美国实体的相关数据交易,阻断 “受关注国家” 获取特定敏感数据的渠道,其核心规制逻辑可拆解为主体、数据、交易三大核心要素,具体内容如下:
1.明确双重规制主体
一方面将美国公民、根据美国法律设立的实体等界定为 “美国实体”,这类主体是该行政令下合规义务的主要承担者;
另一方面划定了中国(含港澳)、俄罗斯、伊朗等 6 个 “受关注国家”,并将这些国家设立的实体、受其控股超 50% 的实体等列为 “受规制主体”,行政令的限制交易对象主要就是这类主体。
值得注意的是,规则还强调实质重于形式,严禁通过空壳公司、人员跨境中转等方式规避规制。
2.圈定大范围受规制数据
涵盖两大类核心数据,一是美国人的批量敏感个人数据,包括生物识别数据、基因数据、健康数据、金融数据等,且即便数据经过匿名化、加密等处理,只要达到数量门槛仍受约束;
二是美国政府相关数据,涉及美国政府及军队等关联的数据,这类数据被视为国家安全相关的核心敏感信息。
3.限定多类型受规制交易
针对上述主体与数据的交易,分为禁止交易和限制交易两类,涵盖数据经纪、供应商协议、雇佣协议、投资协议等多种场景。
例如美国实体不得通过数据经纪业务向受规制主体出售批量美国人基因数据,而部分受限交易若要开展,需满足严格的安全要求和合规义务。
2
立法目的
1.防范所谓国家安全与情报风险
这是该行政令最核心的立法目的。
美国政府认为,在人工智能等技术的加持下,“受关注国家” 获取美国人批量敏感数据和政府相关数据后,可能带来反情报、敲诈勒索等风险。
比如军方人员的生物数据、地理位置数据若被获取,可能威胁其人身安全和军事部署安全;海量民众的健康、金融数据被批量获取,则可能被用于分析社会态势等,进而危害美国国家安全。
2.延续并强化对非同盟国家的数据监管
该行政令是美国两党对非同盟国家数据监管政策的延续和升级。
此前特朗普政府曾将部分国家列为 “外国对手” 并出台供应链安全相关行政令,拜登政府则通过 EO 14117,把监管焦点进一步聚焦在数据领域。
其打破了传统数据监管的零散模式,构建了覆盖交易全链条的管控体系,以此强化对非同盟国家的技术与信息领域的遏制。
3.强化美国对本土数据的主导权
尽管美国常宣称支持数据自由跨境流动,但 EO 14117 实质是通过行政手段把控本土核心数据的跨境流向。
通过要求美国实体履行尽职调查、审计、年度报告等义务,以及设置许可证机制管控特殊交易,美国政府得以全面介入数据跨境相关活动,从而牢牢掌握数据流动的主导权,维护其在数字领域的优势地位。
4.填补数据跨境流动管控的规则空白
此前美国针对数据跨境的监管多分散在不同领域和法规中,对于批量敏感数据流向特定国家的管控缺乏系统性规则。
该行政令授权司法部牵头制定统一规则,明确了违规后的民事、刑事处罚标准(如最高可处交易金额两倍或数十万美元的民事罚款),形成了从规则界定到执法处罚的完整闭环,填补了此前专项管控的制度缺口。
核心内容
EO 14117 的核心内容围绕 “规制主体、受规制数据、受规制交易、合规与豁免规则” 四大核心维度展开,美国司法部后续发布的最终规则及配套文件进一步细化了相关条款,使其形成了逻辑严密的管控体系,具体内容如下:
明确双重规制主体,界定清晰且有穿透性
1
美国实体
这是合规义务的主要承担者,范围涵盖自然人与组织。
自然人包括美国公民、合法永久居民、难民或受庇护者以及在美国境内的任何人;
组织则是指依据美国或其辖区法律设立的实体及其分支机构,比如美国特拉华州设立的企业,但其在境外的全资子公司若依据当地法律设立,则不算美国实体。
值得注意的是,美国公民无论身处何地、是否双重国籍,都属于这一范畴。
2
受关注国家与受规制主体
明确将中国(含港澳)、朝鲜、古巴、伊朗、俄罗斯和委内瑞拉列为受关注国家。
受规制主体范围较广,不仅包含受关注国家持股超 50% 的实体、在当地注册或主营的实体,还涵盖这些实体的关联持股实体、相关雇员和承包商,以及主要居住在受关注国家的个人。
同时设有兜底条款,即便持股不足 50%,若被认定受受关注国家控制或指导,也可被列为受规制主体。
划定两类受规制数据,门槛明确且覆盖全面
1.美国人的批量敏感个人数据
涵盖生物识别数据、基因数据、健康数据、精准地理位置数据(误差≤1000 米)、金融数据等。
该数据的认定不受匿名化、加密等处理方式影响,只要过去 12 个月内单次或累计达到特定数量门槛,就属于规制范畴。若为组合数据,数量门槛按最低标准适用。
2.美国政府相关数据
属于核心管控数据,比如美军基地坐标、政府雇员敏感信息等,这类数据被列为 “绝对禁区”,禁止任何形式向受关注国家跨境传输,违规可能触发刑事风险。
划分三类受规制交易,区分禁止与限制情形
1.禁止的交易
核心是两类交易,一是数据经纪相关交易,包括通过数据经纪方式向受规制主体出售、授权访问批量敏感数据;
二是含生物样本的个人或群体数据流转。同时严禁通过第三国中转等规避手段开展此类交易。
2.受限制的交易
涵盖供应商协议、雇佣协议、投资协议三类场景。
这类交易并非完全禁止,但需满足美国网络安全和基础设施安全局(CISA)的网络安全标准,比如涉敏感岗位的雇佣协议、涉及敏感数据的供应商合作,都需通过严格合规审查才能开展。
3.交易认定原则
以美国实体 “明知并指示” 为前提,若交易未涉及受规制主体获取数据,则不构成受规制交易。
例如受规制主体与美国实体的供应商协议,若仅为美国实体访问对方已有的敏感数据,就不算违规。
设定合规义务与豁免规则,完善执行细节
1.明确合规义务
相关规则于 2025 年 4 月 8 日正式生效,其中尽职调查、审计和报告义务等自 2025 年 10 月 6 日起实施。
美国实体需对受限交易开展尽职调查,留存交易相关记录并接受审计,同时履行相应报告义务,确保交易全程可追溯、可核查。
2.规定豁免的交易
设置了少量豁免情形作为缓冲。比如用于药品审批的数据,完成不可逆去标识化并向美国司法部备案后可豁免;
集团内部仅用于行政事务的数据,且不用于商业分析或研发的,也可申请豁免;
金融领域仅限支付清算等基础服务的数据交易可豁免,而用户画像、风控建模相关交易则不在此列。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。