行至水穷处，坐看云起时——如何理解和应对美国限制访问敏感个人数据行政命令

标签：合规业务-网络安全与数据合规，数字经济，电信、传媒、娱乐与高科技-数据及隐私权保护

2024年2月28日，美国总统拜登正式签署第14117号行政命令，即《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）（“《14117行政令》”）[1]，指示美国司法部颁布条例，以禁止或限制美国主体进行会导致中国、俄罗斯等6个“受关注国家”和相关主体访问美国人敏感个人数据（特定种类的个人识别符、地理位置数据和相关传感器数据、生物特征标识符、人类组学数据、个人健康数据、个人财务数据）和美国政府相关数据的交易。

美国司法部于同日发布关于《14117行政令》的情况说明（Fact Sheet）（“《情况说明》”）[2]，并于次日发布《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》（Provisions Regarding Access to Americans' Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern）的拟议规则预通知（Advance notice of proposed rulemaking，ANPRM）（“《预通知》”）[3]，将《14117行政令》中的规则进一步细化，并向社会公开征求意见。

根据《情况说明》，《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》（“《14117规则》”）将经过两轮的公开意见征求后正式发布。公众有45天向美国司法部提供对《预通知》的意见，并且在美国司法部结合收到对《预通知》反馈发布拟议规则通知（notice of proposed rulemaking，NPRM）后，公众将仍然有机会向美国司法部提供意见。根据《预通知》，尽管《14117规则》不会适用于2月28日至《14117规则》正式生效之间产生的交易，但是美国司法部可能会在《14117规则》生效后要求美国主体提供在《14117行政令》发布后完成或拟开展的相关交易情况。

一、背景

（一）美国宣传的数据“自由”流动的历史性态度与国内蓬勃发展的数据经销行业

一直以来，美国公开宣称其呼吁数据自由跨境并致力于推动建立盟国之间的数据跨境自由流动体系。2005年，由亚太经济合作组织（the Asia-Pacific Economic Cooperation，APEC）制定发布的数据跨境流动隐私框架（APEC Privacy Framework）则要求包括美国在内的成员经济体要“采取一切合理及适当步骤避免和消除任何不必要的信息流动障碍”，而后以该框架为基础建立的《跨境隐私规则》（Cross-Border Privacy Rules，CBPR）也同样强调数据的自由流动。此外，《美国-韩国自由贸易协定》（U.S.-Korea Free Trade Agreement）、《跨太平洋伙伴关系协定》（CPTPP）、《跨大西洋贸易与投资伙伴关系协定》（TTIP）以及《美国-墨西哥-加拿大协定》（USMCA）等国际条约都体现了美国对于数据跨境自由流动的支持性态度。近年来，美国在国际社会多次尝试推动盟国间的多边数据自由跨境，例如：

2019年，日本安倍晋三政府在其主办的2019年G20大阪峰会前夕提出了“数据自由流动与信任”（Data Free Flow with Trust）的口号，该呼吁得到了美国的积极响应。2019年至2021年，美国先后与英国、澳大利亚分别达成《以打击严重犯罪为目的访问电子数据协议》（the Agreement on Access to Electronic Data for the Purpose of Countering Serious Crime），以促进美国与英国、澳大利亚之间出于执法目的下的数据访问活动。

2022年4月21日，美国率领加拿大、日本、大韩民国、菲律宾、新加坡等9个国家或地区共同发布全球跨境隐私规则声明（Global Cross-Border Privacy Rules Declaration），正式对外宣告成立全球跨境隐私规则论坛，致力促进数据自由流通与有效的隐私保护[4]。这一举动本质上是将亚太经济合作组织框架下的《跨境隐私规则》（CBPR）体系进一步扩展适用于更广泛的范围[5]，但也有报道认为该举拟将《跨境隐私规则》（CBPR）体系独立于亚太经济合作组织（APEC）之外[6]。

2023年7月10日，欧盟委员会宣布《欧美数据隐私框架》（EU-US Data Privacy Framework，EU-U.S. DPF）通过了基于《通用数据保护条例》（General Data Protection Regulation，GDPR）的“充分性认定”，认可参与《欧美数据隐私框架》（EU-U.S. DPF）的美国商业组织能够提供与欧盟相当的数据保护水平[7]。据此，欧盟的个人数据可以无需额外的保护措施而自由地传输至参与该框架的美国的商业实体。

在以上盟国范围内所实施的宽松数据跨境流动监管政策推动了美国国内数据经销商（Data Broker）行业的蓬勃发展。目前，美国的数据经销商的业务类型大体分为四类：投放营销和广告、进行欺诈检测、帮助风险缓解、进行人员搜索。[8]其中头部数据经销商包括安客诚（Acxiom）、尼尔森（Nielsen）、甲骨文（Oracle）、律商联讯（LexisNexis）、厄普西隆（Epsilon）等[9]。这些数据经销商们掌握大量数据资源，包括美国家庭的信息、消费者信息，其通过这些海量信息构建所数字营销平台向市场供应着有关个人行为和趋势判断的极具商业价值的讯息。但值得注意的是，美国目前对于数据经销行业整体还缺乏体系化的治理格局。具体而言，美国尚未正式出台联邦层面的对数据经销商进行规范的立法规定，有关数据经销的治理规定仍散落在州级层面，例如，美国佛蒙特州和加利福尼亚州已经在2018年和2019年先后出台了有关要求数据经销商履行法定注册登记的规定，加利福尼亚州在2023年10月还进一步修订了该数据经销商登记法，以加强对数据经销商进行监管。除此之外，俄勒冈州、缅因州、纽约州等其他州的类似的立法提议也还在酝酿当中[10]。

（二）正在缩限的美国数据“自由”流通政策

在国家贫富差距日益加大、低技能劳动者失业浪潮与数字贸易兴起的背景下，维护数字时代的贸易利益、保护本国数字产业发展的“数据重商主义”向来是美国打破数据流通壁垒的主张的直接驱动力[11]。然而，出于维护国家安全与数据主权的需求，美国开始收缩数据自由跨境的闸口，就在2023年10月，美国贸易代表戴琪（Katherine Tai）在世界贸易组织的谈判中放弃了美国长期以来的数字贸易要求，表示美国正在撤回特朗普政府在2019年提出的有关坚持世贸组织电子商务规则允许自由跨境数据流动、禁止国家对数据进行本地化的议案，从而为国会加强对大型科技公司的监管腾出空间[12]。

值得说明的是，在美国所高举的“数据自由流动”的旗帜下，美国对数据跨境所客观采取的限制性措施与对数据主权的扩张迹象实则随处可见，例如，在出口管制方面，美国《出口管理条例》限制特定领域的数据出口，要求受管制的技术数据若传输到位于美国境外的服务器，则需获得美国商务部产业与安全局（Bureaus of Industry and Security，BIS）的出口许可。在外商投资方面，美国通过《外国投资风险评估现代化法案》（Foreign Investment Risk Review Modernization Act，FIRRMA）收紧对外国投资的国家安全审查程序规范外商投资中的数据出境行为，具体而言，涉及敏感个人数据、关键基础设施和关键技术的美国企业的其他投资（包括非控制性外商投资）也会受美国外商投资委员会（CFIUS）的审查，以防止外国投资者通过投资来获取美国的个人数据或关键技术。此外，为扩大美国政府获取海外数据、削弱海外政府获取美国境内数据的能力，美国《澄清境外数据的合法使用法案》（Clarifying Lawful Overseas Use of Data Act，CLOUD Act）规定无论网络服务提供商的通信内容、记录或其他信息是否存储在美国境内，只要该网络服务提供者拥有、控制或监管上述内容、记录或信息，均需要按照该法令的要求保存、备份、披露。但与此同时，外国政府若想通过网络提供商访问调取储存在美国的本国数据，则其必须是《澄清境外数据的合法使用法案》（CLOUD Act）所定义的符合条件的外国政府并满足其所要求的一系列条件。

此外，美国所致力于构建的数据“自由”流动圈也实则生长于充斥着信任权衡与趋同意识形态的、具有局限性的政治生态环境中。美国一方面通过强势的外交政策拉拢包括欧盟、日本、加拿大在内的盟友以打造基于政治友好关系的数据自由流动格局，另一方面则针对中国、俄罗斯等在数据安全方面被施加了“缺乏信任”标签的司法辖区实行数据封锁，并长期着重关注这类国家在美的数据安全问题。例如，2020年8月，美国商务部以TikTok和微信收集了大量的数据信息，包括网络活动、位置数据、浏览数据和搜索历史记录等，为美国的国家安全带来了“不可接受的风险”而对与WeChat和TikTok有关交易实施禁止令[13]。2021年6月，美国发布2023年4月，美国美中经济安全审查委员会（U.S.-China Economic and Security Review Commission，USCC）发布《Shein，Temu 和中国电商：数据风险、货源违规和贸易漏洞》专项调查报告，提出Shein利用用户数据和搜索历史，通过AI算法预测时尚趋势，但Shein缺乏有效的用户数据保护措施[14]。纽约州于2022年对Shein的母公司Zoetop处以190万美元的罚款，原因是个人数据处理不当导致 3900 万个账户的用户数据泄露[15]。中国出海社交媒体平台TikTok更因数据存储安全和算法推荐操纵的问题受到美国制裁，目前美国蒙大拿州众议院已通过全面禁止 TikTok 的法案[16]。

（三）《14117行政令》出台背景

《14117行政命令》的出台与上述美国有关收紧数据自由流动闸口的整体动向与美国对中国、俄罗斯等国家数据安全方面所持续持有的特殊关注态度密切相关。就具体的立法沿革来看，《14117行政令》的授权来自《国际紧急经济权力法》（International Emergency Economic Powers Act，IEEPA），《国家紧急状态法》（National Emergencies Act，NEA），以及《美国联邦法典》（United States Code）。《国际紧急经济权力法》（IEEPA）于1977年颁布，授权总统在宣布国家紧急状态后可以对国际商业活动进行监管，以应对美国所面临的来源于美国境外的任何异常和特殊的威胁。在宣布国家紧急状态的基础上，总统有权进一步阻止交易并冻结资产，以应对上述来自境外的威胁。自1976年以来，美国总统已经宣布了八十余起紧急状态，其中有四十余项目前仍然有效，并且大多数均是根据《国际紧急经济权力法》（IEEPA）发起[17]。

依据《国际紧急经济权力法》（IEEPA）的授权，特朗普政府在2019年5月15日第13873号行政命令《保护信息和通信技术（ICT）与服务供应链》中宣布了国家紧急状态（national emergency）[18]，并于2021年6月9日通过第14034号行政命令《保护美国人的敏感数据免受外国对手攻击》中采取了应对措施[19]。本次拜登政府所发布的《14117行政命令》的意图则在于扩大国家紧急状态，以及对进一步应对紧急状态的额外措施的命令。

二、《14117行政令》关键内容介绍

（一）行政命令介绍

美国的行政命令（Executive Order）是总统行使其行政权、管理联邦政府运作而颁布及执行的指令。现任总统有权撤销前任总统发布的行政命令，国会亦有权通过立法使其无效，从而推翻行政命令，但是总统可以否决国会的相关立法，在这种情况下，国会就需要以三分之二多数的同意来推翻总统的否决。同时，国会还可以利用其财政权利，拒绝为行政命令提供必要的资金，以有效地阻止一项行政命令的执行。此外，最高法院也有权通过裁定总统的行政命令违宪而最终推翻一项行政命令。

（二）关键内容

根据《预通知》，《14117规则》下的数据交易监管制度将类似其他《国际紧急经济权力法》（IEEPA）下的制度，例如美国财政部海外资产控制办公室（Office of Foreign Assets Control，OFAC）和美国商务部工业与安全局（BIS）的相关审批流程。例如，美国司法部在一般情况下将不会对交易进行个例审批，而是通过一系列规则限制所有满足要求的交易。如情况特殊时，交易相关方可以向美国司法部申请一般许可（general license）或特定许可（specific license）。获得许可的交易相关方在满足美国司法部要求的前提下可以进行受限制的交易。

根据《预通知》，《14117规则》下的监管体系将涉及受关注国家范围、数据类型、数据交易性质、数据交易相关方，以及数据规模等角度。

1. 受关注国家的范围

根据《14117行政令》，美国司法部识别“受关注国家”的标准为：（1）“长期从事或从事会显著损害美国国家安全或美国主体的安全与保障的行为的”，并且（2）“存在利用大量敏感个人数据或美国政府相关的数据对美国的国家安全或美国主体的安全与保障造成损害的重大风险的”国家。

鉴于《14117行政令》为对第13873行政命令中紧急状态的扩大，美国司法部拟将中国（包括香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉认定为《14117行政令》下的“受关注国家”，与美国商务部在实施第13873号行政命令时认定的国别一致。

2. 受限制数据类型

根据《预通知》，《14117行政令》中受限制的数据类型包括：

• 敏感个人数据：指特定种类的个人识别符、地理位置数据和相关传感器数据、生物特征标识符、人类组学数据、个人健康数据、个人财务数据。
• 美国政府相关数据：

指交易方识别为联邦政府（包括军队）现任或近期前任雇员、承包商，或前高级官员有关或可关联；

与可能用于识别联邦政府（包括军队）的现任或近期前任雇员、承包商，或前高级官员的数据有关；以及

与特定敏感区域相关的数据。

根据《预通知》，美国司法部拟进一步细化《14117行政令》中确定的六类敏感个人数据，具体包含：

• 特定的个人标识符：特定的个人标识符是指任何与其他任何已列明的标识符相关联的任何已列明的标识符，包括但不限于社会保险号码、驾照、MAC地址、电话号码等。最终的《14117规则》将包含全面的标识符清单。
• 地理定位和相关传感器数据：目前仅限于精确地理定位数据（precise geolocation data）。精确地理定位数据是指根据电子信号或惯性传感装置，以特定精度范围内可以确定个人或设备实际位置的数据，包括实时数据和历史数据。目前，美国司法部正在通过《预通知》对具体的精度征求意见。
• 生物特征标识符：用于识别或验证个人身份的可测量的身体特征或行为，包括面部图像、声纹和声纹模式、视网膜和虹膜扫描、掌纹和指纹、步态，以及在生物识别系统中注册的键盘使用模式或创建的模板。
• 人类组学数据：目前仅限于人类基因组学数据。人类基因组学数据是代表构成人类细胞中全部或部分遗传指令的核酸序列的数据，包括个人“基因测试”的结果和任何相关的人类基因测序数据。
• 个人健康数据：是指《健康保险便携性和责任法案》（Health Insurance Portability and Accountability Act，HIPPA）下的个人可识别健康信息（Individually Identifiable Health Information），指包括人口统计数据在内的、与个人健康状况、健康护理提供或健康护理支付相关，并能够识别个人或可能用于识别个人的信息。。
• 个人财务数据：指关于个人信用卡、借记卡或银行账户的数据，包括购买和支付历史；银行、信用或其他财务报表中的数据，包括资产、负债和债务以及交易；或者在信用或“消费者报告”中的数据。

在《14117行政令》的基础上，根据《预通知》，美国司法部拟在《14117规则》中对“政府相关数据”进行进一步细化，包括：

• 涉及军事、其他政府或其他敏感设施或地点的特定地理围栏区域清单中列举的该区域内的精确地理定位数据；或
• 交易方认为与美国政府（包括军方和情报部门）现任或近期前任雇员、承包商，或前高级官员有关联或可关联的敏感个人数据。

3. 交易类型

根据《预通知》，《14117规则》拟区分禁止的交易（prohibited transaction）和受限制的交易（restricted transaction），并且进一步将禁止的交易（prohibited transaction）定义为对美国国家安全构成不可接受风险的受限制数据交易（covered data transaction），并且认为安全要求（security requirements）将不会对该等风险有缓释作用。另一方，受限制的交易（restricted transaction）是指虽然对美国国家安全构成不可接受风险的受限制数据交易（covered data transaction），但可以通过实施安全要求（security requirements）缓释此类风险。此处，“对美国国家安全构成不可接受风险”是指受关注国家或受限制人员可以访问（access）大批量美国敏感个人数据或政府相关数据的风险。同时，《14117规则》也对访问（access）采取了较为广泛的定义，包括逻辑或物理访问，包括以任何形式获取、读取、复制、解密、编辑、转移、发布、影响、改变状态，或者以其他方式查看或接收的能力，包括通过信息技术系统、云计算平台、网络、安全系统、设备或软件。

类似其他《国际紧急经济权力法》（IEEPA）下的行政命令，《14117行政令》下交易（transaction）的定义非常广泛，包括任何获取、持有、使用、转移、运输、出口或处理涉及外国或其国民有利益的任何财产的行为。根据《预通知》，美国司法部拟将涉及大批量美国敏感个人数据或政府相关数据，且属于如下特定类型的交易认定为“受限制数据交易”（covered data transaction）：

• 数据经纪（data brokerage）：指出售、允许访问或涉及从任何提供方向任何接收方转移数据的商业交易，并且接收方并未直接从与所收集或处理的个人数据有关联或可关联的主体处收集数据。
• 供应商协议（vendor agreement）：指一方当事人向另一方提供商品或服务以换取付款或其他对价的协议或安排，包括云计算服务但不包括雇佣协议。
• 雇佣协议（employment agreement）：指个人直接为美国主体工作或履行工作职能以换取报酬或其他对价的任何协议或安排，包括在董事会或委员会中的雇佣、行政级别的安排或服务以及业务级别的雇佣服务，但不包括独立承包商。
• 投资协议（investment agreement）：指任何协议或安排，在这些协议或安排中，任何主体以付款或其他考虑为交换条件，直接或间接获得位于美国的房地产或美国法律实体的所有权利益或相关权利。

其中，根据《预通知》，目前美国司法部拟豁免某些不传递（convey）所有者利益或权利的被动投资类别，包括但不限于：

• 如下类别的投资：

向在任何司法辖区内对于公开交易的证券的投资；

向指数基金、共同基金、交易所交易基金或类似的工具（包括相关的衍生品）的投资；

在满足特定前提条件时作为有限合伙人向风险投资基金、私募股权基金、组合型基金（FOF）或其他集合投资基金的投资；

• 受限制主体在美国主体中拥有的总投票权和股权利益少于一定门槛；以及
• 不会给予受限制主体超出合理标准的少数股东保护权利。

美国司法部和美国国土安全部正在制定受限制的交易（restricted transaction）下相关方必须采取的安全要求（security requirements），目前仅在《预通知》中提供了安全要求（security requirements）的初步介绍，包括：

• 落实基本组织网络安全态势要求（Basic Organizational Cybersecurity Posture requirements）；
• 在受限制数据交易（covered data transaction）中采取包括数据最小化和屏蔽、使用隐私保护技术、开发信息技术系统以防止未授权披露，以及实施逻辑和物理访问控制在内的技术措施；和
• 满足特定合规要求，例如通过独立审计师对上述措施进行年度审计。

上述基本组织网络安全态势要求（Basic Organizational Cybersecurity Posture requirements）以及相关技术措施预计会包括美国网络安全和基础设施安全局（CISA）的网络安全绩效目标（CPG）；美国国家标准与技术研究院（NIST）的网络安全框架（CSF）、隐私框架（PF），以及NIST SP 800-171修订版3的相关措施。

值得注意的是，根据《预通知》，在适用的安全要求向公众发布并通过最终的《14117规则》生效之前，美国司法部目前计划不对受限制的受限制数据交易进行监管。

4. 受限制主体（covered persons）

除受关注国家外，《14117行政令》还规定了受限制主体（covered persons），认为从法律和实际角度看，向这些主体提供敏感个人数据和美国政府相关数据都将使这些数据处于受关注国家的控制范围内。

根据《预通知》，《14117规则》拟划定如下五类受限制主体，包括：

（1）由受关注国家直接或间接拥有50%或以上股权的实体，以及在受关注国家注册或其主要业务地在受关注国家的实体（“第一类受限制主体”）；

（2）由第一类、第三类或第五类受限制主体直接或间接拥有50%或以上股权的实体（“第二类受限制实体”）；

（3）作为受关注国家、第一类、第二类或第五类受限制主体的雇员或合同工的外国主体（foreign person，即非美国主体）（“第三类受限制实体”）；

（4）主要居住在受关注国家领土管辖范围内的外国主体（foreign person）（“第四类受限制实体”）；以及

（5）被美国司法部部长指定为由受关注国家拥有或控制，或受关注国家管辖或指导的主体，或者是代表或声称代表受关注国家或相关人员行事的主体，或者是“故意”（知道或应当知道）导致或“引起”（决定、批准）违反相关规定行为的主体（“第五类受限制实体”）。

《14117行政令》同时授权了司法部对以上受限制主体类别进行补充，可指定某些符合标准的特定实体或个人作为受限制主体。司法部将公布并定期动态更新一份“非穷尽”（non-exhaustive）的名单，以履行其义务并明确相关情况。

鉴于《14117行政令》并不会限制美国主体（定义如下）之间的交易，因此任何美国主体均不属于受限制主体。

5. 美国主体（U.S. persons）

《14117行政令》对于美国主体进行了明确的定义：包含美国公民、国民或合法永久居民；以难民身份进入美国或者获得美国庇护的个人；仅根据美国法或在美国境内司法辖区下组建的实体（或外国分支机构）；以及任何位于美国境内的主体。

6. 数据规模要求

基于初步的风险评估，目前美国司法部对数据规模拟定了一系列整体限额范围（见下表），但同时也在就该问题公开征求意见，包括这些阈值数量的设定、阈值设定的考量因素、是否需要区分应对匿名化、假名化、去标识化和加密的数据等等。

而对于政府相关数据的交易，《14117行政令》目前均采取了较为严格的态度，即无论该交易数据量的大小均属于受限制数据交易。但同时对于政府相关数据具体包含的类型、如何定义关联及可关联的数据以及是否有必要为基于相关数据展开的研究工作颁发许可证等问题仍待美国司法部进一步澄清。

（三）例外情形

根据《预通知》，《14117规则》拟豁免部分满足要求的受限制数据交易。目前，美国司法部拟制定的豁免规则如下。

（四）非受关注国家数据交易的后续传输限制

针对通过将敏感个人数据和美国政府相关数据从其他国家再传输至受关注国家，从而规避《14117行政令》监管的行为，美国司法部拟采取更为严格的措施。根据《预通知》，美国司法部拟禁止任何美国主体在明知的情况下，与外国主体进行涉及数据经纪的受限制数据交易，除非美国主体通过合同要求外国主体承诺不将敏感个人数据与受关注国家或受限制主体进行受限制数据交易，或《14117规则》另有规定的除外。

三、《14117行政令》的影响与建议

（一）特定行业的直接影响

虽然在《预通知》下仍然有很多问题有待进一步明确，但根据受限制的数据类型（特定种类的个人识别符、地理位置数据和相关传感器数据、生物特征标识符、人类组学数据、个人健康数据、个人财务数据），可以预料的到，《14117行政令》会对例如（1）生物科技和健康医疗、（2）智能网联车、（3）金融投资及电子商务等行业造成直接影响。

但值得注意的是，一方面，美国司法部拟进一步细化《14117行政令》中确定的敏感个人数据类型，另一方面由于通用人工智能的发展，海量训练数据中将不可避免的涉及个人数据（尽管部分公开数据可能被豁免），因此《14117行政令》的实施不仅将为对人工智能和大数据的研发带来新的阻碍，也会引发当前部分全球性商业应用更大的不确定性。比如完成部分预训练的大模型能否继续广泛的对外提供服务等问题将需要后续的实践来检验。

再例如，鉴于委托处理也属于被受限制数据交易类型，因此《14117行政令》也会进一步影响我国境内从事数据分析、软件开发和运维等业务公司。例如，随着我国技术水平的不断提升，越来越多的科研机构愿意将其在境外收集的数据交由我国境内的数据分析公司进行处理，但《14117行政令》无疑会对此类数据公司造成较大影响。

（二）跨国公司运营及业务模式的重构

除对特定行业的直接影响以外，我们更应该警惕其对于跨国公司的惯常运营方式以及传统跨国业务模式的深远影响。

1. 内部员工管理等

比如跨国公司内部的数据通常会通过使用统一采购的数据系统或通过定期的通报制度来确保共享使用。虽然《预通知》拟豁免美国跨国公司与位于受关注国家的子公司或附属机构之间开展业务运营所附带的数据交易，例如基于人力资源管理目的共享员工的特定个人识别符，发放薪酬（如向海外雇员或承包商支付工资和养老金）等，但是基于人力资源管理目的的豁免仅限于部分类型数据，其他类型的个人数据并不在豁免范围内。无论是外资企业还是出海企业，在集团内部共享其他类型的敏感个人数据时，仍然需要遵守《14117行政令》的限制。

2. IT管理及安全系统的重构

如上所述，跨国公司当前采用统一的数据系统管理内部数据，如果主要数据系统的服务器不位于美国，位于包括中国在内的其他国家的集团公司主体将在使用数据系统中不可避免的接触到收集自美国的数据。此外，在企业出海场景下，出海企业可能会在美国境内租用服务器来存储和处理业务数据；如果这些服务器存储了敏感的个人数据，并且需要中国境内的技术人员进行运维管理，则可能触及《14117行政令》的规定。

3. 如何适应当地法律要求

尽管企业内部管理、信息系统的影响还可以通过业务和信息系统的本地化来降低风险，但值得注意的是《14117行政令》中提及的豁免措施将不适用于美国跨国公司在受关注国家的子公司应当地国家安全法律要求提供存储在美国母公司服务器内相关数据的情形。在该等情况下，美国母公司允许子公司访问相关数据的行为将受到《14117行政令》的规制。该规定可能会造成较多的实操问题，比如当调取数据的目的是为了在受关注国家境内进行商事诉讼时，是否会落入豁免范围还有待美国司法部进一步澄清。

（三）全球科学研究何去何从

美国虽然在《14117行政令》中说明了其会继续推动开放和负责任的科学合作以促进创新，但并没有为科学研究提供豁免。因此，我们理解跨国的科学研究和合作可能会受到限制。例如，药物研发企业在全球进行临床试验时，通常需要汇总各国的数据以支持药品注册申请，以证明其药品的安全性和有效性。如果这些数据包含了美国患者的个人健康数据或人类组学数据，将这些数据转移至受关注国家的药品监管机构可能会受到《14117行政令》的限制。此外，科研机构可能会经常使用美国数据库的数据进行科研活动。如果这些数据库包含受《14117行政令》下包含的数据类型，那么受关注国家科研人员访问和使用这些数据可能会受到限制。

（四）当前企业需升级的合规措施

虽然距《14117规则》正式生效仍有一段时间，且其实际执行尚有一定不确定性。但如此前我们多次呼吁中提及，企业尤其是跨国企业应当开始重构其公司架构、IT系统和业务模式等来应对当前全球数据监管的态势。以下将是大量跨国公司亟需升级的合规措施：

（1）新型数据分级分类：除根据数据敏感程度分级分类以外，企业应该根据数据来源地（可能的司法管辖关系）来区分不同的数据保护级别、访问权限、隔离措施；

（2）多层次的数据隔离与数据托管：数据的隔离不仅仅涉及技术访问权限，还应当从数据“物理控制”和“理论控制”的思路，从IT系统所有权、运营权，以及不同公司间数据相关的业务管理权限等建立层层屏障来尝试阻隔基于数据的长臂管辖。在自我管理和约束制度无法获得当地监管认同的特殊情况，可能不可不考虑数据托管等措施以自证清白；

（3）更为完善和完整的数据处理记录：对不同源头的数据处理记录应当完整和准确，以应对可能的数据审计和监管；

（4）IT基础设施架构的调整：重新权衡统一IT系统的利弊，考虑部分本地化IT系统并对本地下放IT管理权限；如完全本地化不可行，综合考虑数据监管等因素，建立区域化数据中心、服务中心或管理中心；

（5）公司管理架构的调整：在设置区域化管理中心的同时，要考虑本地与区域化中心的管理机制和数据共享思路，以及区域化中心之间和母公司的管理颗粒度。

以上仅仅是企业为应对当前数据监管形势的基本措施，从宏观方面，企业还要考虑不同公司股权控制管理，控制比例等架构问题，以及出海业务区域化部署的顺序和节奏等。

四、全球数据出境限制的再思考

在全球化的数字经济背景下，基于国家安全和隐私保护的考虑，越来越多的国家对数据出境开始进行限制。然而，数据出境限制措施往往会受到国际政治关系的影响，如同贸易保护主义在经济领域的作用一样，被不当利用为政治工具从而影响数据出境监管体系的有效性和正当性，甚至可能会逐步演化为数据本地化要求。

目前，不同国家基于自身的国家安全观念和隐私保护需求，制定了多样的数据出境规则。虽然相关措施旨在加强数据保护和促进数据流动自由，但对于数据出境的严格限制，也引发了对数据自由流动造成负面影响的担忧。各个司法辖区不同的数据出境规则也可能会进一步影响国际合作、全球化进程、经济发展、科技创新乃至全球市场的整体竞争力，并且也可能限制数据在全球范围内的有效利用，从而对人类社会的整体进步产生负面影响。

在当前全球经济动荡的背景下，我们理解建立全球范围内的数据安全共识显得更加迫切。例如我国曾于2020年发布《全球数据安全倡议》[20]，倡议各国反对利用信息技术破坏他国关键基础设施或窃取重要数据，以及利用其从事危害他国国家安全和社会公共利益的行为，并且呼吁各国支持并通过双边或地区协议等形式确认上述承诺。

我们期待各个国家摒弃意识形态的对立，通过多边或双边协议，达成广泛接受的数据安全原则和标准，为国际数据流动提供明确的法律框架，减少不同司法辖区法规之间的冲突，降低跨境数据流动的成本和复杂性，促进经济增长，加强国际合作。

最后，在智能化时代到来之际，数据是全球基本的生产要素，也是基础的社会要素，其不应当成为人类命运共同体“内耗”的“引爆点”。在人工智能技术已然“更新换代”的今天，面对新型机器智能的崛起，国家数据监管制度体现的不仅仅是某些个人或群体的利益，而应当反映多样群体的集体智慧，更应当体现人类命运共同体的“组织智能”。“与时偕行天地宽”，我们期待人类的“组织智能”和集体智慧能在数据治理中求同存异，顺应时代，行稳致远。

感谢实习生宋佳怡对本文作出的贡献。

扫码订阅“金杜律师事务所”，了解更多业务资讯