汇业直播 | 拜登行政令EO14117对出海企业涉美业务的影响与合规路径

近年来，随着中国在技术、经济和军事领域的崛起，中美之间的战略竞争日益加剧，特别是在数据安全、网络安全和技术领域，美国担心中国利用技术获取美国敏感数据，尤其是涉及国家安全和公民隐私的敏感数据。

在此背景下，拜登总统在2024年2月28日签发了总统行政令（俗称“EO14117”或“拜登行政令”），限制包括中国在内的六个受关注国家的主体获得或访问美国公民的批量敏感个人数据和任何政府的敏感数据。美国司法部作为该行政令的执法机构，经公开征求意见后，当地时间2024年12月26日颁布了执行该行政令的最终规则（简称“Final Rule”或“最终规则”），最终规则将于刊登于《联邦公报》的90日后生效，目前尚未刊登和生效。

近期，为了配套最终规则的实施，美国国土安全部网络安全与基础设施局（Cybersecurity and Infrastructure Security Agency）（“CISA”）还将基于最终规则发布针对受限制交易的正式安全要求（此前已发布征求意见稿）。

上周，我们收到了许多中国企业关于拜登行政令对其美国业务及在美运营可能产生的影响的咨询与担忧。由于规则的复杂性，以及立法执法体制和行文习惯的差异，许多企业对拜登行政令及最终规则的适用范围、规制逻辑、违规后果以及对具体行业和业务的具体影响感到困惑。

魏冬冬律师，汇业律师事务所合伙人，汇业网络安全与数据合规委员会副主任。魏律师长期专注于数据合规领域，近两年的执业重点为企业出海数据合规与国际隐私认证咨询。魏律师服务的客户涵盖国内头部互联网企业、上市公司、高科技公司和全球知名外企等，他们来自IoT设备、AI、医疗、广告与营销、网络游戏等行业。魏律师荣登“2024GRCD中国客户首选合规律师：数据合规”榜单，魏律师是“网络与数据法实务”的主理人，主编的《出海数据隐私合规newsletter》受到订阅用户的广泛赞赏。

拜登行政令要达到的目的是限制包括中国在内的六个“受关注国家”的主体（以下均以中国为例，遂称“中国背景主体”）获得或访问美国公民的批量敏感个人数据和任何政府敏感数据，但受限于美国法令无法直接对来自“受关注国家”的主体生效，因此与美国其他限制敌对国家及其企业的法令同理，行政令是通过禁止或限制美国主体的行为实现的，违反拜登行政令的要求，直接承担法律责任的系美国主体（包括美国本土企业，也可能包括中国企业美国主体的高管或直接责任人、在美员工等），法律责任涵盖监禁、罚款等，甚至可能涉嫌与数据窃取或国家安全等相关罪名，而给中国企业来的损失更多是禁令和罚款等带来的业务中断及经济损失。

被禁止或限制的交易包含1类被禁止的交易和3类受限制的交易（简称“1禁止+3限制”），分别为：

(1) 禁止美国主体与中国背景主体实施特定的数据经纪交易(除数据买卖外，还包括释放、授权访问等）；

(2) 限制美国主体使用中国背景供应商，或成为中国背景主体的供应商（特定条件下）；

(3) 限制美国主体与中国背景主体之间的雇佣关系（特定条件）；

(4) 限制美国主体与中国背景主体之间的投资并购（特定条件）。

其中“特定条件”是指同时满足6个条件，其中主要条件是指该交易可能使得中国背景主体访问的数据类型属于6+1类敏感数据，且数据量达到最终规则规定的阈值（详见下文）。

规制逻辑如下图所示：

进而，在最终规则生效后，若我国企业的一项业务一旦落入上述“1禁止+3限制”交易，则美国主体应事先申请美国司法部的许可，获得许可后方可实施该业务，若未按照要求申请许可，私自交易，则美国主体（包括美国本土企业，也可能包括中国企业的美国主体的高管或直接责任人、在美员工等）可能面临前述罚款、监禁等法律责任，交易也可能被颁发禁令。

被禁止的交易取得许可方可实施，但对于被限制的交易而言，除许可外，还需要满足特定的合规要求（尽职调查、审计、报告等）及特定的安全要求（后续美国国土安全部网络安全与基础设施局颁布的正式安全要求），但无疑被禁止交易获得许可的难度将大幅高于被限制交易。

事实上，根据我们的行业观察，有大量中国企业的业务可能落入禁止交易，及限制交易中的供应商交易和雇佣关系交易。

总结起来，同时满足下列六个条件，中国背景主体的业务将落入最终规则规定的“被禁止或被限制交易”：

(1) 交易一方是“美国主体”；

(2) 交易另一方是“中国背景主体”；

(3) 交易使得“中国背景主体”可能访问的数据类型为6+1类数据；

(4) 交易使得“中国背景主体”可能访问的数据量达到指定的阈值；

(5) 交易类型为“1禁止+3限制”之一；

(6) 交易类型不属于“豁免交易”之一。

下面，我们将重点介绍数据类型，数据阈值及交易类型，此外，其余条件如“美国主体”“中国背景主体”（参考原文covered person定义）均具有特定含义，应参考原文理解，也可参与直播提问。

2.1数据类型与数据阈值

最为显著的判断标志之一是数据类型与数据阈值，根据数据类型，我们将可能受影响的行业总结如下表：

2.2交易类型

“1禁止+3限制”的交易类型也是判断是否落入被禁止或被限制交易的重要条件，直接决定中国企业的哪些数据处理行为会受到影响，我们总结如下：

拜登行政令及最终规则一旦生效（刊登于《联邦公报》的90日后），符合条件的交易将直接落入限制交易或禁止交易，中国企业将面临两难境地：若继续开展，将可能面临罚款、禁令和监禁等法律责任，若停止业务，则面临业务中断的损失。

为此我们建议中国企业尽早梳理全球主体、数据流和业务等现状，以判断是否落入被限制或被禁止交易，一旦判断可能落入，尽早实施综合性解决方案以减轻损失。

下图为合规路径逻辑图：

解决方案应优先考虑Plan A,即通过调整系统与数据处理实践、主体调整、业务模式变更等方式，在兼顾合规要求、业务影响和合规成本的背景下，将“受限制或被禁止交易”调整为“非受限或非禁止交易（即可自由开展的交易）”。由于落入受限或禁止交易需同时满足六项条件，为此，调整方法即解构其中任意一项条件。

更多解构方式，欢迎进入直播或关注我们的后续“拜登行政令”系列文章。

若经评估Plan A不可行，考虑采取风险缓解措施降低风险（Plan B），最后考虑按照最终规则要求申请司法部许可，并采取合规管理措施和满足安全要求（Plan C）。

考虑到美国立法与执法体制与中国的差异、拜登行政令及最终规则的复杂性，以及技术性安全要求的高度专业性，我们建议相关企业尽早开展合规分析工作，或咨询具备丰富美国数据合规实践经验的外部法律顾问，以制定符合业务现状的合规路径和实施方案。

若您有关于相关规则的进一步解读，是否涉及限制或禁止交易的判断，或是合规实施的具体问题，欢迎与本文作者联系，以获取量身定制的合规支持。