20
25
Specializing in Cross-Border E-Commerce
专注跨境电商
前言
EO 14117 是美国总统拜登于 2024 年 2 月 28 日签署的《关于防止受关注国家获取美国人批量敏感个人数据及美国政府相关数据的行政命令》,是美国以国家安全为名强化数据跨境流动管控的核心行政令。
该行政令本质是通过约束美国实体的相关数据交易,阻断 “受关注国家” 获取特定敏感数据的渠道。
本篇是解读的下篇,将对其争议法律问题与对全球数字治理之影响予以介绍。
争议法律问题
美国第14117号行政命令(Executive Order 14117, EO 14117)及其配套的《最终规则》自2025年4月8日生效以来,引发了广泛的法律、政策与实务层面的争议。
其核心目标是防止“受关注国家”(如中国、俄罗斯等)获取美国人的批量敏感个人数据(Bulk Sensitive Personal Data)和政府相关数据(Government-Related Data),以维护国家安全。
然而,该制度在法律正当性、适用边界、执法可行性等方面存在显著争议。以下从五个维度分析其主要争议性法律问题:
1
国家安全 vs. 隐私保护
传统数据跨境机制(如GDPR)以个人权利保护为核心,强调合法性基础、透明度、数据最小化等原则。
EO 14117则完全转向国家安全导向,即使数据已匿名化、加密或获得用户同意,只要可能被用于群体画像、生物识别、军事推演等“国家安全风险”,即可能被禁止。
争议点:
将隐私数据纳入国家安全审查,模糊了“情报威胁”与“商业数据处理”的界限;
用户“知情同意”被司法部明确否定为有效合规路径,削弱了个体对自身数据的控制权;
可能构成对特定国家(尤其是中国)的歧视性监管,违反WTO非歧视原则或国际投资协定中的公平待遇条款。
2
“受控主体(Covered Person)定义过于宽泛,缺乏法律确定性”
《最终规则》将“受控主体”定义为包括:
由中国等“受关注国家”直接或间接持股≥50%的实体;
主要营业地或注册地在受关注国家的外国公司;
受关注国家的员工或合同工;
甚至可由司法部长单方面指定任何主体为“受控主体”。
争议点:
“50%股权”标准未区分实际控制与财务投资,可能导致大量中资背景但独立运营的跨国企业被误伤;
“司法部长指定权”缺乏透明程序与司法救济机制,涉嫌违反正当程序原则(Due Process);
外国自然人仅因“主要居住地”在中国即被列为受控主体,构成基于国籍/地域的推定风险,有违平等保护精神。
3
“交易(Transaction)”概念扩张,涵盖无偿内部数据流动
尽管司法部在解释中称规制对象为“具有商业性质的交易”,但又在回复意见中表示:
母子公司间无偿数据传输仍可能构成“对价”(如提升效率、节约成本);
志愿服务、慈善行为中的数据处理也可能落入监管。
争议点:
将集团内部行政性数据共享纳入“交易”范畴,突破传统合同法与财产法对“交易”的理解;
若中美合资企业或中资在美子公司向中国总部回传运营数据,即便无金钱对价,也可能触发禁止或限制义务;
此举实质上变相禁止跨国企业正常的数据治理架构,迫使企业重构全球IT与合规体系。
4
执法资源与裁量权失衡:高风险低能力
司法部负责执行EO 14117,但据2024年底披露,专项团队仅约11–17人;
执法依赖“明知”(knowing)标准,但“应知”(should have known)的模糊解释赋予执法机关极大自由裁量权;
行政处罚可达36万美元或交易金额两倍,刑事处罚最高100万美元+20年监禁。
争议点:
执法力量严重不足,可能导致选择性执法或“杀鸡儆猴”式威慑;
“明知”标准在复杂供应链中难以界定,企业合规成本剧增;
刑事责任门槛过低,可能将普通商业决策错误上升为国家安全犯罪
5
域外效力与国际法冲突风险
EO 14117虽以“美国主体”为规制对象,但实际效果是阻止非美国主体(如中国公司):
美国公司不得向中国供应商提供批量健康数据;
即使中国APP直接面向美国消费者收集数据,若通过美国支付网关或云服务商,仍可能被切断服务。
争议点:
构成典型的长臂管辖(Long-Arm Jurisdiction),可能违反他国数据主权;
与中国《数据安全法》《个人信息保护法》中的数据出境管制形成监管对峙,导致企业陷入“合规两难”;
若广泛适用于非美国实体,可能引发WTO争端或双边报复措施。
EO 14117对全球数据治理产生的影响
EO 14117(第14117号行政命令)及其配套《最终规则》的实施,标志着美国从“数据自由流动”向“数据安全优先”战略的重大转向。这一政策不仅直接影响中美之间的数字交往,更可能重塑全球数据治理格局,其影响可从以下五个维度系统分析:
加速全球“数据铁幕”形成:地缘政治驱动的数据割裂
EO 14117明确将中国、俄罗斯等六国列为“受关注国家”,禁止或限制其获取美国人的批量敏感数据。
此举并非孤立事件,而是与欧盟《数据治理法案》、印度《个人数据保护法》、中国《数据出境安全评估办法》等形成呼应。
影响:
全球正从“统一数字市场”愿景滑向“数据阵营化”(Data Blocs);
跨国企业被迫在美、欧、中三大数据体系间做“合规选边”,增加运营复杂性与成本;
“去风险化”(De-risking)取代“脱钩”成为主流话语,但实质仍是技术与数据领域的选择性隔离。
重构跨境数据流动范式:从“权利本位”转向“安全本位”
传统跨境机制(如GDPR的充分性认定、APEC CBPR)以个人隐私权保护为核心逻辑,强调透明度、同意与问责。
而EO 14117完全绕过个人权利,以国家安全为唯一判准:
即使数据已匿名化、加密或获用户授权,仍可能被禁止传输;
数据是否“敏感”不再由用途决定,而由接收方国籍决定。
影响:
全球数据治理出现“双轨制”:
• 民事领域继续沿用GDPR逻辑;
• 国家安全领域则采用EO 14117式的“来源国—接收国”敌我识别模型;
“数据主权”概念被武器化,成为限制他国科技发展的合法工具。
推动各国强化本土数据基础设施与替代方案
面对美国限制,中国、俄罗斯、东南亚等国家正加速构建自主可控的数据生态:
中国推进“可信数据空间”建设,要求关键行业数据本地化;
欧盟发展GAIA-X云架构,减少对AWS、Azure依赖;
新兴市场国家(如印尼、沙特)出台强制本地存储法规。
影响:
全球云计算、CDN、数据分析服务市场将碎片化;
开源协议、API标准、SDK生态可能出现“兼容性分裂”;
中小企业出海需面对“多套合规栈”(multi-compliance stack),创新门槛提高。
结语:从“互联互通”到“可控互联”
EO 14117不仅是美国对华科技遏制的一环,更是全球数字秩序转型的标志性事件。它预示着未来十年数据治理的核心矛盾将不再是“隐私 vs. 便利”,而是“安全 vs. 开放”。
在此背景下,企业需放弃“一套架构打天下”的幻想,转向模块化、区域化、可切换的数据战略;而国际社会亟需探索新的对话机制,在国家安全与全球合作之间寻找脆弱但必要的平衡点。
作者简介
师伟律师
泰和泰(深圳)律师事务所
具备法院(四川省某人民法院民商事审判庭)、公司法务(超多维集团、环球易购等)和律所三重法律工作背景,拥有10年的法律从业经验。负责多起金额亿元以上的投融资并购交易,另外代理企业500+商事诉讼、仲裁案件,并保持90%胜诉率。
有长达6年的跨境电商行业的从业法律服务经验,在跨境电商企业涉及的境外产品合规、数据合规、广告营销合规、消费者保护合规、跨境电商企业在境内与供应商涉及的产品质量纠纷、与劳动者涉及的竞业限制纠纷、绩效纠纷、商业贿赂纠纷等方面有丰富的司法实践经验,能为客户提供跨境电商行业的常年法律顾问服务、专项服务以及诉讼服务。
电话丨18565822898
邮箱丨wei.shi@tahota.com
免责声明:本文及其内容仅为交流目的。本文任何文字、图片等内容,未经授权不得转载。如需转载或引用,请联系公众号后台取得授权。