关于“美国限制数据跨境新规”——美国司法部第14117号行政命令实施规则初步影响评估的常见问题解答（FAQs）

作为落实第14117号行政命令的规则，美国司法部制定的《防止受关注国家或涵盖主体获取美国敏感个人数据和政府相关数据的规定》（下称“《14117实施规则》”）的大部分条款已于美国时间2025年4月8日正式生效。本文旨在对企业在实践中遇到的关于该规则的常见问题以FAQ的形式进行简评。

* 请注意，本文不构成任何的正式法律意见或建议。

 

一、《14117实施规则》的适用主体范围

1.哪些行业企业需要特别关注《14117实施规则》？

基本上而言，凡是与美国市场存在业务关联的企业，无论是直接在美国设立实体、雇佣美国员工、在美国拥有关联公司、获取美国个人数据、为美国客户提供服务，或是计划开展上述业务的企业，都有可能受到《14117实施规则》的影响。不管是中国企业本身，还是其海外控股企业，均需评估其业务是否可能落入该规则的适用范围，并进行相应的合规安排。

其中，出海的互联网（特别是涉互联网广告企业）、车联网、物联网、智能家电、人工智能（AI）、生物技术、医疗健康、金融等行业的企业，尤其需要关注《14117实施规则》的禁止和限制性规定，以及相关合规义务要求。主要原因如下：

（1）数据及研发需求：这些行业在研发和产品测试以及推广过程中高度依赖海量数据，特别是在涉及算法与AI应用时，为了更好地满足美国当地客户需求，以及更精准触达当地用户，往往需要收集和分析大量的美国用户数据。

（2）系统集中部署：一些企业可能出于技术适配、存储成本、以及管理效率等方面考虑，利用境内统一部署的系统处理美国用户的数据，从而触发涵盖交易。

（3）远程服务依赖：出于成本优势和便利性考虑，企业可能依赖中国境内团队提供远程支持和维护。在此过程中，若境内团队能够访问或处理美国用户的个人数据，则可能触及《14117实施规则》的适用范围。

2.谁是《14117实施规则》的义务主体？

依据《14117实施规则》的法规结构设计，该规则项下的责任主体主要是美国主体（U.S. Person）[1]。举例来说，若某中国企业因参与某涵盖交易涉及从美国企业获取达到规定数量的美国敏感个人数据，此时该美国企业是《14117实施规则》项下的义务主体，需履行相关合规义务。

非美国主体（如涵盖主体或其它外国主体）若违反《14117实施规则》时也可能会面临法律后果，例如涉及促使美国主体或与美国主体合谋违反该规则，或从事规避《14117实施规则》的行为，例如通过复杂的交易结构掩盖真实的数据传输行为，也可能会面临法律责任。[2]

此外，中国企业在与美国主体开展数据相关合作时仍需保持谨慎，因为美国主体可能通过特定的合同条款，如陈述与保证条款（representations and warranties）、合规条款（compliance with law）以及赔偿条款（indemnity）等，将合规风险转嫁给作为数据接收方的中资企业。

3.中国企业在美子公司是否属于“美国主体”？通过美国子公司与美国客户开展业务是否仍受《14117实施规则》限制？

根据《14117实施规则》中“美国主体”（U.S. Person） 的定义[3]，原则上，在美国境内设立的法人实体，包括中国企业在美设立的子公司，都属于美国主体。中国企业在美子公司与其它美国主体之间的数据传输不属于《14117实施规则》规制的涵盖交易，因此不受该规则的限制。基于此，部分中国企业可以根据自身业务实际，考虑采取业务剥离，将部分业务转移至美国子公司，在美国境内实现“内循环”的方式来降低《14117实施规则》带来的影响。

但是需特别注意，在此模式下，美国子公司从其它美国主体获取的涵盖数据（即美国敏感个人数据和政府相关数据）不得以任何方式直接或间接提供给中国母公司及其它涵盖主体（如中国公司的员工或在其它国家的控股子公司），否则，美国子公司将可能违反《14117实施规则》而面临法律风险[4]。不过，考虑到在美国境内的自然人都是美国主体，在业务剥离到美国后，若中国工程师去美国完成项目，且不涉及数据回传，一般也不会受到《14117实施规则》的限制。[5]

另外，还需警惕另一风险，根据《14117实施规则》项下“涵盖主体”的定义，美国司法部长有权将可能受涵盖主体实际控制或指使，代表涵盖主体行事，或违反《14117实施规则》的任何主体（包括美国主体）指定为“涵盖主体”。[6]若美国子公司被美国司法部长指定为涵盖主体，其将不再享有“美国主体”的身份保护，其与其它美国主体之间的数据传输亦将受到《14117实施规则》的约束。

还需要说明的是，“美国主体”中的自然人范围包括了美国护照、绿卡、难民或庇护身份持有者，但不包括持有如学生签证、工作签证的人员。当然，此类人员如果在美国境内仍可按照美国主体处理。

 

二、《14117实施规则》项下的涵盖数据范围

《14117实施规则》规定的涵盖数据包括政府数据和敏感个人数据两类。其中政府数据分为政府地理位置信息和联邦政府前雇员或现雇员的敏感个人数据，无数量标准。敏感个人数据需要同时符合数据类别和数量标准，即一方面需要属于《14117实施规则》规定的数据类别，另一方面需要达到该规则规定的数量标准。

4.《14117实施规则》项下的敏感个人数据与传统数据保护法框架下的敏感个人数据有哪些不同？

《14117实施规则》看似为敏感个人数据规定了清晰的定义和边界，但在实践中理解和适用时，企业仍需特别注意以下事项：

(1)《14117实施规则》项下的“敏感个人数据”范围可能超出传统数据保护法框架下的敏感个人数据范围

《14117实施规则》项下的“敏感个人数据”虽然在部分数据类型上与传统数据保护法框架下（如欧盟GDPR，以及中国的《个人信息保护法》）的敏感个人数据范围存在重合，例如健康信息、生物识别信息、位置信息等，但也存在明显差异。例如，某些特定类型的标识符相关组合在《14117实施规则》项下可能直接构成敏感个人数据。举例来说，IP地址和任一设备标识符的组合（如IMEI号或MAC地址）、或者IP地址与邮箱地址或手机号的任一组合，在达到一定数量标准时，即可能构成《14117实施规则》项下敏感个人数据。[7]相较之下，虽然标识符在传统数据保护法框架下也属于较为敏感的个人数据类型，但是通常并不会直接认定为敏感个人数据，这点在实践中需要注意，避免因误判而触发合规风险。

(2) 脱敏加密后的数据不能完全豁免

不同于传统数据保护法框架会对匿名化的数据进行豁免，《14117实施规则》项下的敏感个人数据也包括去标识化、假名化和匿名化后的数据。也就是说，即使企业已经对敏感个人数据进行了脱敏、加密、去标识化甚至匿名化处理，也并不当然获得豁免。该设计的主要原因在于，如我们在【《方达观点 | 美国限制中国获取美国敏感数据的最终规则正式公布》】一文中提到，《14117实施规则》更聚焦于美国的国家安全保护，对于脱敏后的敏感个人数据，即使其可能不一定会侵犯某自然人个人的合法权益，但根据美国司法部的观点，若该等数据集合仍可能被受关注国家用于威胁美国国家安全，例如对美国政府官员进行数据画像并施加影响，或通过分析大量的敏感个人数据获得情报，则仍需限制其向受关注国家的流动。

(3) 部分数据字段虽存在具体豁免情形，但豁免逻辑需结合“用途+组合”理解

《14117实施规则》不仅规定了特定的豁免场景，对于部分字段也规定了例外情形，例如类似于姓名、地址、出生年月、手机号、邮箱地址等纯人口学数据组合不属于涵盖数据[8]；以及已经合法公开的政府相关数据和敏感个人数据不受《14117实施规则》的限制[9]。但需特别注意，部分例外情形往往局限于特定的场景和用途，并非对特定字段的绝对排除，在理解和适用时需严格结合特定场景来理解。例如，在组学数据（Human omic data）部分，《14117实施规则》将表观基因组数据（Human Epigenomic Data）、蛋白质组数据（Human Proteomic Data）和转录组数据（Human Transcriptomic Data）均限定于系统性分析（Systems-level Analysis）所产生的数据，排除了日常临床检查为了诊疗目的针对个人患者的跨境传输[10]，但若在诊疗过程中使用受关注国家的供应商提供的组学数据监测和分析服务是否豁免仍有待进一步解释。人类生物学样本如果是为了治病救人、疾病防控的目的传往受关注国家，该传输不受14117限制。[11]出于电信运营的必要性，为了电信运营之目的，个人识别符项下的网络账号信息，IP地址,CPNI等字段的组合不是涵盖数据[12]。另外类似于姓名+地址或出生年月手机邮箱的字段互相组合也不是涵盖数据。[13]

5.敏感个人数据的数量如何计算？

根据《14117实施规则》项下“大量”（Bulk）的定义，敏感个人数据的数量计算方式是在涵盖交易发生前的12个月的任何时候，同一美国主体与同一涵盖主体在所有交易中涉及的数据量累计。[14]

据此，如果交易的双方主体相同，通过蚂蚁搬家式的交易结构（Structuring）来规避触发阈值将存在障碍。此外，虽然不同主体之间的数量不会累计计算（例如同一美国主体和互为关联公司的多个涵盖主体），但是考虑到《14117实施规则》明确设有反规避条款，一旦被司法部认定存在故意规避的意图，涉及的美国主体将会面临严重的法律后果。而且，拆分主体也可能显著增加交易复杂度和成本，从实际操作角度看，其可行性和可持续性均有限。

 

三、《14117实施规则》规制的行为范围

6.通过在线服务直接收集美国人数据是否受到《14117实施规则》的限制？

中国企业通过网站、App等在线服务的方式直接向美国用户提供服务，在服务过程中直接从美国用户收集数据的行为并不在《14117实施规则》的规制范围。其原因主要是因为《14117实施规则》的上位法《国际紧急经济权力法》（IEEPA）仅授权美国总统对特定“交易”（Transaction）进行限制或禁止[15]，直接收集行为并不构成“交易”。美国司法部在就《14117实施规则》发布的Notice of Proposed Rulemaking（NPRM）的事实概述（Fact Sheet） 中也明确指出，《14117实施规则》并不旨在禁止某些应用或社交平台，其主要解决的是受关注国家获取敏感数据的国家安全风险，而非广泛的隐私挑战。[16]需要注意的是，如果有关软件或应用有部分涉及到了信息通信技术服务(Information and Communications and Technology and Services，ICTS)，则该部分可能受到美国商务部工业和安全局(Bureau of Industry and Security，BIS）的规则限制。[17]

7.取得个人同意是否可以豁免《14117实施规则》的限制？

不可以，《14117实施规则》并未授权基于个人同意的豁免。如前文指出，相较传统隐私保护法规，《14117实施规则》更侧重国家安全保护。[18]在美国司法部看来，从国家安全的角度看，纵使个人同意数据传输到受关注国家，仍然不能解决涵盖数据流向受关注国家带来的所谓国家安全的隐患。

8.委托处理是否可以豁免《14117实施规则》的限制？

不可以。《14117实施规则》并未规定针对委托处理的豁免。作为背景，委托处理是指数据处理者委托第三人按其指示处理数据的情形，委托人对数据主体承担数据处理的责任，受托人只要按照委托事项妥善处理数据，无需对数据主体承担责任。与不认可基于个人同意的豁免同理，美国司法部认为，从国家安全角度来看，纵使在委托处理的情况，仍不能排除受托人受到所在的受关注国家法律或政府要求而在委托人不知情的情况下对外提供数据的情况，无法避免《14117实施规则》关注的国家安全风险，因此委托处理并无豁免。[19]

9.云服务是否属于涵盖交易，出海美国的企业在选择云服务商时需要注意哪些事项？云服务商本身有哪些注意事项？

云服务被明确列为“供应商协议”(Vendor Agreement)的一种类型，属于《14117实施规则》项下的“受限制的交易”（Restricted Transaction）。[20]因此，出海美国的企业在选择云服务商时需要关注可能涉及向可能属于涵盖主体的云服务商传输涵盖数据的风险。出海美国企业在选择云服务商时，若选择符合NIST网络安全框架(NIST Cybersecurity Framework)和隐私框架(Privacy Framework)的云服务提供商，可以更容易满足美国网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）对受限制交易在数据安全方面的要求。

此外，若美国主体从事涉及云服务的受限制交易，且该美国主体的25%或以上的股权由受关注国家或涵盖主体持有，则该美国主体需要履行年度报告义务，需在每年3月1日前报告上一年度涉及云服务的受限制交易的情况。[21]

对于云服务商本身而言，《14117实施规则》并未要求云服务提供商对客户数据涉及涵盖交易的情况（例如客户通过云服务将涵盖数据传输至涵盖主体）承担责任。对云服务商本身因雇佣涵盖主体、使用涵盖主体供应商或者接受涵盖主体的投资而导致客户数据可能流向涵盖主体的情况，则需判断其是否享有“不知情”的一般抗辩[22]，还是存在“明知或应知”的情形（例如向某美国医疗机构提供云服务）[23]，若涉及后者，则仍可能会触发涵盖交易。

10.出海美国企业如何获得中国总部数据服务？

出海美国企业继续获得中国总部数据服务主要是要考虑公司集团事务的豁免。需要注意的是该豁免仅针对公司有限的行政事项或辅助业务的豁免，而不是针对研发、产品等核心业务的豁免。以下举两个常见的例子。

a) 远程支持类

如果出海美国企业在美国有布局，需要国内的IT远程支持美国企业的系统，而系统里有涵盖数据，该交易仍属于受限交易，因会被认为是国内总部给美国主体提供服务的过程中能够访问涵盖数据。这种情况下需要按照受限交易的合规要求控制国内人员的数据访问权限以及做到其他的合规措施。

b) 数据分析类

如果美国企业需要利用国内的系统进行数据分析，譬如对数据打标以协助美国国内的精准营销，这种行为极有可能被认定为数据经纪行为，原因是打标的数据可能留在了国内的数据库中，增强了国内数据库的内容，从而在服务协议之外使得涵盖主体取得了涵盖数据。这样一来，数据分析行为就属于被禁止的交易。如果该服务是在隔离基础上进行的，国内除服务以外未做留存，则可能被理解为供应商协议，数据受限制的交易。

 

四、《14117实施规则》项下的“知情”（knowingly）标准

11.意外牵涉《14117实施规则》有无抗辩？

与同基于IEEPA的OFAC制裁规则通常采取严格责任[24]不同，《14117实施规则》明确要求所有违法行为必须具备“知情”（knowingly）要件，只有在行为人明知或应知自身参与或协助实施了违反该规则的交易行为的前提下，才会被追究责任。因此，如果企业或个人在无主观故意或合理预见的情况下，意外牵涉《14117实施规则》项下的涵盖交易，最通用的抗辩是“不知情”抗辩。

 

五、《14117实施规则》规定的合规义务主要有哪些？

12.《14117实施规则》规定的主要合规义务有哪些？

对于被禁止的交易而言，美国主体即不得从事该交易。并且，如果日后收到潜在的涵盖主体要约希望与其从事与数据经纪有关的被禁止交易的，需要在拒绝交易之后14日内将有关情况汇报给司法部。这里的潜在义务是如果美国主体需要对潜在的涉及数据经纪的被禁止的交易的相对方做了解你的客户（KYC）调查，以构成其拒绝交易并向司法部汇报的基础。另外，从事数据经纪的美国主体需要在外国主体违反限制转售的标准合同条款（SCC）后30天内向司法部报告。[25]

对于受限制的交易而言《14117实施规则》规定了一系列的义务，包括建立合规项目、审计、记录留存、按司法部要求提供材料等。因此，如果美国主体从事受限制的交易，则需要首先完成数据处理行为记录(RoPA)，了解交易相对方身份，对所有受限交易进行记录，根据CISA的要求采取字段、系统和组织层面的安全措施且以上各项均需非涵盖主体的独立审计机构进行年度审计。如美国主体25%或以上的股份有受限主体或受关注国家持有还需要履行年度报告义务（如受限交易涉及使用云服务）。

对于从事被豁免的受限制交易的美国主体而言，仍需履行“资料留存备查义务”[26]和“拒绝交易报告义务”[27]。其中，如从事药物、生物产品、医疗器械授权交易有额外的资料留存义务，即其有主动义务必须按照 § 202.1101（a）的规定对所有豁免交易进行详细记录，并将相关记录保留10年备查。[28]

13.豁免场景有哪些遗留义务？

不少企业认为自己的涉美数据交易符合项下的豁免场景，因此无需采取进一步的合规动作。持这种想法的企业需要仔细研判《14117实施规则》项下豁免场景的“遗留义务”。首先，《14117实施规则》项下的豁免大致可以分为三类，（1）IEEPA已经规定为豁免的 – 即个人通信、表达性材料和旅行；（2） EO14117项下规定为豁免的 – 金融服务及为符合联邦法律要求而进行的数据交易； （3）美国司法部依据EO14117的授权而自创的豁免情形，即美国政府业务、公司集团交易、CFIUS管理下的投资协议、电信服务、药品申请和临床研究及监测数据。

需要注意的是，仅有第（1）类只要符合豁免条件，则无需采取进一步合规动作。如果是（2）和（3）类，即便满足了豁免条件，企业仍需履行《14117实施规则》项下的”根据要求报告义务”和”拒绝交易报告义务”。[29]换言之，美国司法部对于符合豁免条件的交易并不完全放心，保留有核查的权力。从这个角度看，豁免交易并未完全豁免与限制交易相关的合规义务。从实际角度出发，企业如果涉及豁免交易，还是建议按照限制交易的要求做足合规措施和资料留存，以应对美国司法部潜在的检查和执法。

此外，在所有豁免交易当中，药物、生物产品、医疗器械授权交易有额外的资料留存义务，即其有主动义务必须按照 § 202.1101（a）的规定对所有豁免交易进行详细记录，并将相关记录保留10年备查。因此特别提醒从事药品、药械和生物医药企业如涉及豁免交易必须履行该资料留存义务。[30]

另外需要注意的是若干个豁免场景均有“正常关联”(ordinarily incident to)的限制，此限制的要求高于“必要”标准，即，某些交易对于企业开展业务是必要的，但由于与豁免场景下考虑的交易并无“正常关联”，因此还是无法享受豁免。根据《14117实施规则》的举例，必要但无正常关联的情形包括，受限主体根据受关注国家的法律要求需要向当地情报机构提供数据[31]、受限主体利用美国的大数据开发AI助手[32]等。

因此为满足“正常关联”企业需要首先判断潜在的豁免交易是否有“涉华因素”，即该交易必须与中国相关联，其次要判断豁免交易是否与豁免场景下规定的细分要素直接相关。

 

六、违法后果和执法

14.违反《14117实施规则》的法律后果是什么？

根据IEEPA，司法部可以对违反《14117实施规则》的企业或个人（美国主体）依法追究民事和刑事责任[33]。

（1）民事罚款：民事责任包括每项违规行为最高368,136美元（每年根据通货膨胀进行调整）或交易金额两倍（以较高者为准）的罚款。若企业涉及多项违规“涵盖交易”，则每一项交易均可被作为独立违规行为进行处罚，罚款总额可能呈倍数增长。

（2）刑事责任：对于故意违法行为，企业和个人（包括企业负责人以及实际从事违法行为的个人）还可能承担刑事责任，刑罚最高可达100万美元罚款，自然人还可能面临最长20年监禁，或两者并罚。

15.《14117实施规则》由哪一部门负责人执法，该部门有哪些执法权限？

《14117实施规则》由美国司法部负责执法[34]。具体而言，是由司法部下设的国家安全司（National Security Division，NSD）负责执法。NSD也会和其它情报部门合作执法。[35]

如何执法？NSD会依靠14117中的资料留存、审计、主动报告机制、年度报告机制中获得执法线索。任何从事受限交易的美国主体均需完成资料留存且完成年度审计。从事数据经纪的美国公司需要在外国主体违反SCC后30天内或拒绝潜在涵盖交易后14天内向美国司法部报告、由受关注国家持股超过25%的通过云服务从事受限交易的美国主体还有年度报告义务。[36]因此，美国司法部可能获得丰富的执法线索。

美国司法部有何执法手段？美国司法部有权要求任何主体向其提供与潜在涵盖交易有关的一切信息，美国司法部也有广泛的检查权。通过执法检查，美国司法部可以获得有关证据供其对违规的美国主体启动民事或刑事处罚的程序。[37]

 

七、合规方案建议

16.现阶段企业可以就《14117实施规则》采取哪些合规措施？

在《14117实施规则》即将正式实施的背景下，对于涉美企业来说，当前首要任务是评估《14117实施规则》对其现有和未来业务的潜在影响，通过该初步影响评估尽快识别出可能受到该规则约束的潜在涵盖交易以及数据流，并在此基础上，制定和实施相应的合规应对策略，例如通过减少字段传输、业务重组或剥离、或本地化方案来避免适用《14117实施规则》，以及针对需要继续开展的业务部署相应的安全措施等，并最终通过该过程建立其适用于企业自身的、且满足《14117实施规则》“尽职义务（Due Diligence）”要求的合规体系。[38]

17.企业如何进行《14117实施规则》的初步影响评估？

初步影响评估主要是对企业业务活动中是否存在潜在涵盖交易进行识别和判断。具体来说，

（1）对美国主体而言（例如中国企业在美子公司），需评估其业务中是否涉及向受关注国家或涵盖主体提供涵盖数据的情形；

（2）对中国企业本身以及其它涵盖主体而言，则需识别是否存在从美国主体或其它外国主体获取涵盖数据的场景。

在此过程中，应对相关业务涉及的具体场景、字段以及大致量级进行初步分析，进而判断企业是否涉及潜在涵盖交易。考虑到《14117实施规则》的复杂程度，我们为企业设计了初步影响评估的问卷，协助完成初评。

18.如何开展《14117实施规则》的数据流梳理（RoPA）？

如果经过初步影响评估，确认企业涉及潜在涵盖交易，则需要进一步启动更精细化的数据流梳理工作（Record of Processing Activities, 即“RoPA”）。该过程主要包括两个核心环节：（1）对潜在涵盖交易的范围进行确认，即识别企业具体在哪些产品或服务项下涉及涵盖交易及涵盖数据传输的风险；（2）对识别的潜在涵盖交易涉及的底层数据字段、来源、流转情况、处理目的、最终用途、涉及的接收方、最终用户、处理方式、存储方式进行摸排。通过这一过程，企业不仅可以更清楚地识别潜在合规风险，还可据此制定差异化的应对策略，如：适用豁免、实施安全控制措施、履行记录与报告义务等。

整体而言，RoPA的开展方式与GDPR和《个人信息保护法》项下的数据核查的开展方式类似，目标都是形成对数据处理活动的系统性记录与风险识别。不过，在开展《14117实施规则》项下的数据核查时应重点关注数据流向受关注国家和涵盖主体的情况，不管数据接收方是否为受托方（处理者）。实践中，建议企业围绕具体产品/服务展开用例梳理，从功能场景出发，定位涉及涵盖数据流转的关键节点。并通过多部门协同访谈，确保梳理结果满足《14117实施规则》关于数据敏感性、交易类型和跨境流向的合规判断标准。

19.企业如何设计《14117实施规则》的合规方案？

基于RoPA的结果，企业可以根据识别的涉及涵盖交易的具体场景以及数据流评估适合的风险缓释方案。

例如，企业可以首先根据不同产品或服务涉及涵盖交易情况，综合评估合规成本与业务价值之间的平衡，确定是否继续开展相关业务的战略决策。例如，美国司法部在《14117实施规则》的引言中披露，其预计该规则将影响约4500家企业，其中大型企业的年度合规成本预计在40万美元，小型企业的年度合规成本预计在3万美元[39]，可见合规成本之高。若企业评估认为美国相关业务的营收、利润或战略重要性难以支撑合规投入，则可优先考虑通过业务剥离、架构调整或市场退出等方式规避监管风险；反之，则需制定更细化的合规执行路径，以保障业务连续性与合法性。

此外，在RoPA开展的同时，企业便可以同步就部分问题进行评估，例如可以围绕“字段必要性”问题开展技术与业务评估，即，字段是否有处理的必要性，换言之，如果不使用该字段，是否影响研发、产品或服务，从而尽可能降低《14117实施规则》的影响范围和程度。

20.架构重组需要注意什么？

因为《14117实施规则》将严重限制出海美国中国企业的业务发展，架构重组的重要性尤为显现。成功的架构重组能够帮助中国企业应对《14117实施规则》带来的挑战，并维护其竞争力。是否重组以及如何选择重组架构涉及多方面的考量，以下我们总结了一些重组常见的关注事项供参考：

（1）重组的主要目标和方向：根据项目、业务、数据处理的实际情况和实控人的需求，确定最主要的重组目标、商业诉求和方案方向；

（2）重组涉及的业务、资产和人员范围和布局：在法律顾问的协助下开展对自身业务的合规尽职调查，以厘清哪些业务存在合规风险需要剥离或重组，并考虑该等业务涉及的业务合同、资产、和团队人员等方面应如何合理安排布局等；

（3）现有股东和投资人对重组的态度和沟通：考虑到股东们和投资人的态度因具体情况而异，主动了解股东们最新的想法和诉求，与股东们保持积极有效沟通（包括分不同阶段、有策略地进行不同颗粒度的沟通和同步），争取提早锁定和维持主要股东和投资人对重组的支持；

（4）重组步骤的税务影响：根据具体的剥离方式评估可能涉及的各种税务影响和应对方案（包括资本利得税、企业所得税、印花税及跨境税务合规等）；

（5）重组过程所需的资金规模和流向计划：取决于剥离或重组涉及的业务体量、交易结构、相关法律和财务成本，提前做好资金准备和资金流向规划（如自有资金不足可能需提前向金融机构了解资金支持方案）；和

（6）重组后是否涉及关联交易和处理方案：考虑和分析重组后剥离业务与保留业务之间的潜在合作或依赖关系；如有不可避免的关联交易，提前做好规划和应对。

根据项目背景、业务种类的不同和公司本身先天条件的不同，架构重组的方向也会不同。以架构重组的其中一个情形为例来展开，可大致分为三个可能性方向：（1）美国内循环（即尝试业务剥离，切断中美之间的数据传输，将运营转到美国境内的美国主体，由其专门服务美国市场），（2）出海美国主动合规（即继续用中国境内的运营服务美国市场，但由一家美国主体承接所有对美业务并作为对华数据提供者，由该美国主体全面遵从14117的合规义务），和（3）出海第三国（即将运营全部或部分转到不受受限主体控制的第三国（例如新加坡）主体下，同时服务中美市场等情况；此时，除非是在美国主体明知或指使下完成的，第三国的外国主体与涵盖主体的供应协议与雇佣协议等交易可被认为并非涵盖交易[40]）。在任何情况和方案方向下，都要注意14117项下的反规避条款、美国主体不能明知指使第三国的外国主体从事涵盖交易的条款、和数据经济交易的限制条款等。在条件允许的情况下，可考虑采取一些适当措施进行必要的隔离（包括架构、信息、数据、人员和/或运营的隔离等），以有效管控风险。

21.如何开展14117自评估和整改？

套用我国重要数据保护的概念，《14117实施规则》的实质是要求涉及受限交易的美国主体在将数据提供到中国前开展数据出境安全自评估项目，即需要在通过RoPA达到“了解你的数据”(know your data)的基础上[41]，在字段层面、系统层面和组织层面[42]采取一系列的安全与合规措施以达到《14117实施规则》要求的安全、加密和脱敏标准，并形成书面记录作为备查的“自评估报告”或“台账”。这些资料随时可能会被司法部要求检查[43]。简述如下：

（1）字段层面（Data-Level Requirements)：主要是通过匿名化、假名化、加密脱敏等方式使得字段不再具备与涵盖数据关联的可能，其核心是满足CISA的标准[44]。

（2）系统层面(System-Level Requirements)：主要是根据NIST的要求围绕CIA（即机密性(Confidentiality)、完整性(Integrity)、和可用性(Availability)），以及AAA（即认证（Authentication）、授权（Authorization）、和记录（Accounting））采取符合标准的安全措施，这其中涉及到选择符合NIST要求的云环境。

（3）组织层面(Organizational-Level Requirements)：根据《14117实施规则》的要求建立合规项目，制定合规政策，对数据处理活动以及安全评估工作进行书面记录，并由直接责任人进行年度的签署认证，并完成年度审计。

22.整改措施如何落地？

待合规项目完成后，会形成差距点列表和对应每项差距点的行动计划。待行动计划完成后，差距点即形成新的控制点，与企业已经存在的控制点一起形成合规体系。合规控制点需要有人负责，在企业运营中得到执行并留下管理痕迹。

23.如何开展持续的合规？

持续的合规主要体现在审计中。当控制点形成以后，管理痕迹需要经过审计，这也是《14117实施规则》的要求。这些作为审计证据的管理痕迹包括，在数据经纪的情形，任何第三国主体对于SCC的违反需30天内向司法部提交报告[45]。任何被美国主体拒绝的被禁止的数据经纪交易需14天内向司法部提交报告[46]。在受限交易的情形，有关的记录留存、尽调记录、内部决策、年度报告（在特定美国主体的受限交易涉及使用云服务的情形）。在豁免的受限交易情形，豁免的理由、有关的记录留存和上报记录。[47]

 

结语

考虑到《14117实施规则》已经大部分生效、规则复杂且处罚力度大，我们强烈建议中资出海美国企业尽快开展初步影响评估，谋定而后动，积极应对《14117实施规则》带来的重大监管变化。

 

注释

1. Prohibited Data-Brokerage Transactions, 90 Fed. Reg. 1717 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.301); Authorization to Conduct Restricted Transactions, 90 Fed. Reg. 1719 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.401).
2. Penalties for Violations, 90 Fed. Reg. 1730 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1301); U.S. Dep’t of Just., Justice Department Moving Forward with Publishing a Proposed Rule to Protect Americans’ Sensitive Personal Data from Countries of Concern (Oct. 21, 2024),
3. 存在豁免场景或者已经采取合规措施的受限交易不在此列。
4. Prohibited evasions, attempts, causing violations, and conspiracies （Example 1）, 90 Fed. Reg. 1709 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.304).
5. Covered Person, 90 Fed. Reg. 1708, 1709 ((a)(5)) (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.211).
6. Covered Personal Identifiers, 90 Fed. Reg. 1709 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.212).
7. Covered Personal Identifiers, 90 Fed. Reg. 1709 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.212).
8. Government-Related Data, 90 Fed. Reg. 1712 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.222); Sensitive Personal Data, 90 Fed. Reg. 1716 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.249).
9. Human ‘Omic Datas, 90 Fed. Reg. 1712 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.224).
10. Human Biospecimens, 90 Fed. Reg. 1712 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.223).
11. Covered Personal Identifiers, 90 Fed. Reg. 1709 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.212).
12. Id.
13. Bulk, 90 Fed. Reg. 1708 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.205).
14. 50 U.S.C. § 1702 (2025).
15. U.S. Dep’t of Just., Justice Department Moving Forward with Publishing a Proposed Rule to Protect Americans’ Sensitive Personal Data from Countries of Concern (Oct. 21, 2024), https://www.justice.gov/archives/opa/media/1374016/dl.
16. Elizabeth Cannon (first Executive Director of the Office of ICTS within the Department of Commerce), The Lawfare Podcast (May. 2, 2024).
17. Executive Summary, 90 Fed. Reg. 1636 (Jan. 8, 2025).
18. Discussion of Comments on the Notice of Proposed Rulemaking and Changes From the Proposed Rule, 90 Fed. Reg. 1642, 1651 (Jan. 8, 2025).
19. Vendor Agreement, 90 Fed. Reg. 1716, 1717 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.258).
20. Annual Reports, 90 Fed. Reg. 1729 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1103).
21. Knowingly, 90 Fed. Reg. 1713, 1714 (Examples 3 & 5) (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.230).
22. Knowingly, 90 Fed. Reg. 1713, 1714 (Examples 4 & 6) (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.230).
23. Economic Sanctions Enforcement Guidelines, 31 C.F.R. pt. 501, app. A.
24. 根据Devin DeBacker (Chief of Foreign Investment Review Section, DOJ), The TalkChina Podcast (Apr. 19, 2024), 这样做的目的是把有关潜在受限主体指定为受限主体从而限制其获取涵盖数据。
25. Reports to be Furnished on Demand, 90 Fed. Reg. 1729 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1102).
26. Reports on Rejected Prohibited Transactions, 90 Fed. Reg. 1730 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1104).
27. Drug, Biological Product, and Medical Device Authorizations, 90 Fed. Reg. 1724 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.510).
28. Official Business of the United States Government, Financial Services, Corporate Group Transactions, Transactions Required or Authorized by Federal Law or International Agreements, or Necessary for Compliance with Federal Law, Investment Agreements Subject to a CFIUS Action, Telecommunications Services, Drug, Biological Product, and Medical Device Authorizations, & Other Clinical Investigations and Post-Marketing Surveillance Data, 90 Fed. Reg. 1720, 1720–25 (Jan. 8, 2025) (to be codified at 28 C.F.R. §§ 202.504–.511).
29. Drug, Biological Product, and Medical Device Authorizations, 90 Fed. Reg. 1724 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.510).
30. Corporate Group Transactions, 90 Fed. Reg. 1722 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.506).
31. Discussion of Comments on the Notice of Proposed Rulemaking and Changes From the Proposed Rule, 90 Fed. Reg. 1642, 1672 (Jan. 8, 2025).
32. 50 U.S.C. § 1705 (2025).
33. Process for Pre-penalty Notice, 90 Fed. Reg. 1730-31 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1302)
34. Devin DeBacker, The Lawfare Podcast (Mar. 13, 2024).
35. Audits for Restricted Transactions, Records and Recordkeeping Requirements, Reports to Be Furnished on Demand, Annual Reports, and Reports on Rejected Prohibited Transactions, 90 Fed. Reg. 1728, 1728-30 (Jan. 8, 2025) (to be codified at 28 C.F.R. §§ 202.1002, 202.1101-04).
36. Penalties for Violations, 90 Fed. Reg. 1730 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1301).
37. Due Diligence for Restricted Transactions, 90 Fed. Reg. 1728 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1001).
38. Rulemaking Process, 90 Fed. Reg. 1702-03 (Jan. 8, 2025) (to be codified at 28 C.F.R. pt. 202).
39. Knowingly (example 1), 90 Fed. Reg. 1730 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.230); Knowingly directing prohibited or restricted transactions (example 8), 90 Fed. Reg. 1730 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.305);
40. Rulemaking Process, 90 Fed. Reg. 1639, 1695 (Jan. 8, 2025).
41. Cybersecurity & Infrastructure Security Agency, Security Requirements for Restricted Transactions Pursuant to Executive Order 14117, Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern (Jan. 3, 2025).
42. Reports to be Furnished on Demand, 90 Fed. Reg. 1729 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1102).
43. Cybersecurity & Infrastructure Sec. Agency, Security Requirements for Restricted Transactions (Jan. 3, 2025), https://www.cisa.gov/sites/default/files/2025-01/Security_Requirements_for_Restricted_Transaction-EO_14117_Implementation508.pdf.
44. Other Prohibited Data-Brokerage Transactions Involving Potential Onward Transfer to Countries of Concern or Covered Persons, 90 Fed. Reg. 1717 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.302)
45. Reports on Rejected Prohibited Transactions, 90 Fed. Reg. 1730 (Jan. 8, 2025) (to be codified at 28 C.F.R. § 202.1104)
46. Official Business of the United States Government, Financial Services, Corporate Group Transactions, Transactions Required or Authorized by Federal Law or International Agreements, or Necessary for Compliance with Federal Law, Investment Agreements Subject to a CFIUS Action, Telecommunications Services, Drug, Biological Product, and Medical Device Authorizations, & Other Clinical Investigations and Post-Marketing Surveillance Data, 90 Fed. Reg. 1720, 1720–25 (Jan. 8, 2025) (to be codified at 28 C.F.R. §§ 202.504–.511).

文章来源

方达律师事务所