EO14117：美国对华数据流动限制政策的规则、实例与对策

室长按：去年底，我们对科技领域美国对华限制打压政策做过全面盘点（），总结美国对华打压限制集中在投资、供应链以及数据三个方向。拜登于去年发布的14117号行政令（EO14117）就是数据方向限制政策的核心文件。在拜登离任之前，美国司法部发布了落实EO14117的最终规则，今年4月开始生效。

特朗普二次上任后，撤销了一大批拜登签署的行政令，但EO14117及其配套规则并未被撤销。由此可见，推动中美在数据领域“局部脱钩”是美国两党共识。在美国展业的中国企业面临新的挑战。

引言：EO14117与DSP的来龙去脉

2019年5月15日，美国总统特朗普签署发布《保障信息和通信技术与服务供应链》（Securing the Information and Communications Technology and Services Supply Chain，E.O. 13873，以下简称“EO13873”），宣布国家进入紧急状态，保护信息通信技术供应链。在此基础上，2021年6月9日，拜登签署发布《保护美国人敏感数据免受外国对手威胁》（Protecting Americans’ Sensitive Data from Foreign Adversaries，E.O. 14034，以下简称“EO14034”），要求进一步评估和应对由外国对手开发或控制的联网软件应用程序可能带来的国家安全风险。

2024年2月28日，拜登再次依据《国际紧急经济权力法》（IEEPA）签署并发布《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，E.O. 14117，以下简称“EO14117”）。该行政命令基于EO13873为应对外国对手威胁美国信息与通信技术供应链所宣布的国家紧急状态，在EO14034的保护框架上进行延伸，以加强对敏感数据的保护。

为落实EO14117，2025年1月8日，美国司法部发布《防止受关注国家或受控主体获取美国敏感个人数据和政府相关数据》（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，以下简称《最终规则》），并于2025年4月8日正式生效。

2025年4月11日，美国司法部国家安全司（NSD）为推进《最终规则》落地，发布了三份配套文件，这些文件和行动被冠以“数据安全计划（DSP）”之名。三份配套文件分别是：

（1）《数据安全计划：至2025年7月8日的实施与执法政策》（以下简称《实施与执法政策》），主要介绍《最终规则》生效后90日内的实施和执法政策；

（2）《数据安全计划：合规指南》（以下简称《合规指南》），说明关键定义、被禁止和受限交易，并对建立数据合规计划的要求等提供指导；

（3）《数据安全计划：常见问题解答》（以下简称《常见问题解答》），以问答形式对行政令和最终规则相关内容进行澄清。

这一系列政策体现出地缘政治导致的、全球数据跨境流动监管的新趋势，不仅会对在中美两国间开展跨国业务的企业产生短期影响，更将带来国际业务流程及跨国公司治理结构的深刻变革。

本文将简要阐述《最终规则》及三份配套文件的核心内容，并结合两个实际案例，探讨中国企业在美国新政策框架下的合规风险。

一、《最终规则》的特点

1. 以国家安全为核心的监管导向

以欧盟GDPR为代表的数据跨境流动机制以隐私保护为核心，围绕个人基本权利构建规则体系，要求数据处理须具备合法基础、透明度及权利响应机制。与欧盟不同的是，美国正在构建的数据跨境流动机制更加关注国家安全，即使是符合合法性要求的个人信息处理行为，若危及美国国家安全，仍有可能被禁止或限制。

《最终规则》即体现出这一特征：规则制定者高度关注大数据的统计学关联效应，例如通过数据分析、人工智能等技术挖掘潜在信息的风险，并基于以上原因，明确将匿名化、去标识化数据纳入监管范围，这也凸显出监管者对于“数据聚合”等技术可能导致国家安全风险问题的警惕性。

2. 以司法部为主导的执法体系

美国传统行业监管（如许可、制裁等），通常由商务部、财政部、联邦通信委员会等机构负责，但《最终规则》将执法权赋予了司法部。这一安排的逻辑在于：在国家安全保护方面，司法部拥有更为深厚的经验，其下属的国家安全司在情报分析、敏感数据风险研判等领域具备显著的专业优势与大量的实践经历。此外，司法部作为外国投资委员会（CFIUS）的重要成员，长期主导处理涉及敏感批量数据的国家安全案件，熟悉相关事项处理流程，便于开展跨部门协作与风险防控。

上述执行体系预示着，未来《最终规则》的执法将呈现更强的穿透性与不确定性，可能突破常规行业监管的边界，对企业数据合规提出更高要求。

3. 国家安全风险与正常业务的平衡机制

《最终规则》关注的国家安全风险主要包括以下两方面：

群体特征分析风险：利用批量敏感个人数据（如基因组数据、地理位置数据）识别特定人群的脆弱性，进而用于情报监视、心理战或生物武器研发；

军事科技转化风险：获取大规模人类基因组数据，进而加速生物军事技术突破，威胁美国国家安全。

另一方面，《最终规则》通过豁免机制为正常跨国业务提供缓冲空间。例如，美国公司向中国金融机构转移个人金融数据用于跨境支付清算，若该数据流动是“金融服务的必要附带环节”，则可基于业务功能性豁免免于严格审查。

二、《最终规则》要点与示例

1. 美国主体（United States person）

美国主体作为主要责任主体，负责履行《最终规则》规定的合规义务，包括积极尽职调查义务，识别交易相对方是否为受控主体，判断交易是否属于受禁交易或受限交易，确保受限交易已采取规定的合规措施，报告及审计要求等。《最终规则》中，美国主体主要包括：

（1）任何美国公民、国民或合法永久居民；

（2）被合法接纳为美国难民或被授予庇护的自然人；

（3）任何仅根据美国法律或美国境内任何司法管辖区组建的实体(包括外国分支机构)；

（4）美国境内的任何人。

2. 受关注国家（countries of concern）和受控主体(covered person)

《最终规则》将中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉六个国家列为受关注国家，并定义了五类受控主体，分别是：

（1）【受国家控制+属地】由受关注国家或（2）中描述的主体直接或间接、单独或合计拥有50%或以上所有权的外国实体，以及根据受关注国家法律注册或主要营业地在受关注国家的外国实体；

（2）【控股】由（1）、（3）、（4）或（5）描述的受控主体直接或间接、单独或合计拥有50%或以上股权的外国实体；

（3）【员工】作为受关注国家，或（1）、（2）或（5）中描述的受控主体的员工或合同工的外国自然人；

（4）【属地】主要居住地在受关注国家领土范围内的外国自然人；

（5）【指定】美国司法部长指定的任何人。

受控主体范围非常宽泛，任何受关注国家或受控主体持有50%及以上所有权的实体均可能被视为受控主体。此外，司法部还拥有单独指定的权限，可将任何被认定为受到受关注国家或受控主体的控制或管辖，或代表该实体行事、可能违反本法规或故意导致他人违反本法规的主体指定为受控主体。

另一方面，《最终规则》设置了从受控主体名单移除的程序，受控主体可提交书面请求，要求再次评估其被列入名单的理由，或说明原先指定条件已不适用，从而申请移除出受控主体名单。

3.1 批量敏感个人数据（bulk sensitive personal data）

《最终规则》定义了六大类敏感个人数据，但与其他法域下通常意义的敏感个人数据存在差异。

在《最终规则》中，敏感个人数据是指一旦与任一可识别的美国个人或美国人群体相关联，即可能被利用来损害美国国家安全的数据，例如与设备ID相关联的姓名或驾照编号等。

此外，《最终规则》还明确规定了敏感个人数据在数据量层面构成“大规模”的阈值，即规则中的对应表述——“批量”，指过去12个月中的任意时点，在单个受控数据交易中处理，或在同一美国主体与同一外国主体/受控主体之间的多个受控数据交易中累计处理的敏感个人数据的数据量，达到或超过至少一项阈值（无论是否匿名化、假名化、去标识化或加密处理）。具体如下表所示：

《最终规则》明确将某些类别的数据排除在“敏感个人数据”一词的定义之外，包括与个人无关的公开或非公开数据（如商业机密和专有信息）、已合法公开的政府记录或广泛传播的媒体中获取的数据、个人通信和某些信息材料以及协助这些信息传输的信息或元数据等。

3.2 政府相关数据（United States Government-related data）

《最终规则》从位置与人员两个维度，将政府相关数据分为两个类型，这些数据无论数据量大小，均会受到监管，分别是：

（1）【位置相关】关于敏感区域的精准地理位置数据，主要包括一些政府部门所在地、军事基地等的位置数据，《最终规则》的202.1401部分有一个持续更新的长清单；

（2）【人员相关】被认为与美国政府(包括军方和情报界)现任或近期前任雇员或承包商或前任高级官员有关联或可关联的任何敏感个人数据。

4.1 受禁交易（prohibited transactions）

《最终规则》中规定了两大类受禁交易，分别是数据经纪业务和涉及大规模人类组学数据或可从中获取此类数据的人体生物样本的交易。

数据经纪业务是指通过直接出售、许可访问等方式开展的数据商业交易活动，将数据从提供者转移到接收者，但不包括接收者从个人处直接采集的场景，亦不包括签订雇佣协议、投资协议或供应商协议的商业活动，后面三类属于受限交易。

《最终规则》要求从事数据经纪业务的美国主体应在与任何合作方（非受控主体）签署合同时，通过加入最终用户控制条款等方式，确保对方不得将数据转售或以其他方式让受关注国家或受控主体进行“后续受控数据交易”，且美国主体还应报告任何已知或疑似违反该合同约定的情况。这类似于芯片出口管制中的“最终用户”要求。

为防止规避行为，《最终规则》还设置了反规避条款，禁止美国主体“明确指示他人”从事某项若由美国主体直接实施即属受禁交易；也禁止任何意图规避、导致或试图导致他人违反，以及共谋违反《最终规则》的行为，否则仍可能会被揭开面纱，穿透认定为受禁交易活动。但是《最终规则》同时明确，仅提供第三方平台或者网络基础设施业务，并未直接参与交易，不承担民事或刑事责任。

4.2 受限交易（restricted transactions）

《最终规则》中规定了三大类受限交易，分别是供应商协议、雇佣协议和投资协议，具体如下：

（1）【供应商协议】指提供商品或服务（包括云计算服务）以换取对价的协议。

（2）【雇佣协议】指任何雇佣（不包括独立承包商）的协议或安排，包括董事会或委员会层面的雇佣协议。

（3）【非被动投资协议】指任何主体以支付或其它对价为交换，获得美国法律实体或美国境内的不动产（如数据中心）的直接或间接所有权的协议或安排，不包含部分被动投资协议，例如受控主体获得的投票权与股东权利不到10%，或者该交易是通过证券交易所进行的交易等。

受限交易并未被直接禁止，但美国主体需满足美国国土安全部网络安全和基础设施安全局（CISA）制定的《受限交易安全要求》方可实施，具体要求包括网络安全基本策略与管控、访问控制、数据掩蔽与最小化、加密以及隐私增强技术等。

此外，美国主体还需履行《最终规则》规定的合规义务，例如建立全面的合规计划、制定并实施书面化的数据安全及合规政策、实施年度审计、保存规定年限的记录、履行特定的报告义务等。

我们理解，区分“受禁交易”与“受限交易”的逻辑在于二者导致的国家安全风险程度不同：以数据本身为交易标的，直接在交易双方之间转移数据的行为，潜在风险较高，故被界定为“受禁交易”；而雇佣、投资、产品或服务贸易等行为，虽可能附带产生数据跨境传输或远程访问，但其本身并非数据交易，可通过要求相关主体采取安全措施予以有效管控，故被归类为“受限交易”。

但是，当雇佣、投资、产品或服务贸易等行为，涉及转移人类组学数据时，仍然存在较高的潜在风险，故也被列为“受禁交易”。

5. 豁免情形

《最终规则》豁免了某些特定数据交易类型。“数据交易”豁免清单包括：

（1）适用全文的豁免：

a)【个人通信】不涉及价值交换的个人通信相关的交易；

b)【信息或信息材料】进口或出口出版物等表达性材料信息相关的交易；

c)【旅行】通常附带且构成旅行一部分的活动，个人旅行使用的商品或服务，以及组织或协助此类旅行的活动等与旅行相关联的交易。

（2）适用于《最终规则》第C（受禁交易）、D（受限交易）、J（尽职调查与审计）、K（报告与记录保存）子部分的八项豁免：

a)【美国政府官方业务】美国政府的官方业务，或出于美国政府部门或机构的授权活动，或依据与美国政府所订立的拨款、合同或其他协议而开展的交易；

b)【金融服务】通常附带且构成提供金融服务的一部分的交易；

c)【集团内交易】美国主体与其位于受关注国家（或受关注国家所有、指示、管辖或控制）的子公司或关联方之间进行的，通常附带且构成行政或辅助性业务运营的一部分的交易；

d)【联邦法律或国际协定要求或授权，或为遵守联邦法律而进行的交易】美国联邦法律或美国参与缔结的国际协定所要求或授权的交易；

e)【适用CFIUS措施的投资协议】已受制于CFIUS措施的投资协议相关的交易；

f)【电信服务】通常附带且为提供电信服务所必需，作为提供电信服务的一部分的交易（数据经纪交易除外）；

g)【药品、生物制品及医疗器械审批】对获取或维持药品、生物制品、医疗器械或组合产品所需的监管审批或授权是必须的交易；

h)【其他临床试验及上市后监测】符合美国药监局的相关要求的交易。

6. 合规义务

（1）安全要求

美国主体开展受限交易，需要确保按照网络安全和基础设施安全局（CISA）制定的《受限交易安全要求》采取相应安全保护措施，主要包括：制定有关网络安全的政策和措施、数据隔离、数据掩码和最小化、数据加密、采用隐私增强技术等。上述安全保护措施旨在防止或最大限度减少受控主体对于受控数据的访问。

（2）内部机制

《最终规则》要求美国主体基于自身情况建立基于风险的内部合规机制，并对合规机制应包含的内容予以了明确，具体包括：

a)【尽职调查】从事受限交易的美国主体应当建立基于风险的数据合规计划，该合规计划应当至少包括可以用于调查受限交易涉及的数据流、数据类型、交易相对方、数据的最终用途、供应商信息等的尽职调查流程；并应制定书面政策来规范该合规计划的执行；

b)【年度审计】从事受限交易的美国主体应当每年对遵循《最终规则》的情况开展审计，可由外部审计机构或者可以确保独立性的内部审计部门完成；

c)【记录保存】从事《最终规则》所规定交易的美国主体应当在交易后保留每一项交易的完整准确记录至少10年。此外，从事受限交易的美国主体还需保留关于其合规项目的书面政策、采取安全措施的政策、年度审计结果、尽职调查开展情况等相关合规记录和交易信息；

d)【按要求报告】任何主体均有义务根据司法部的要求宣誓提交与《最终规则》规定事项相关的报告、数据或文件（纸质或电子）；

e)【年度报告】受关注国家或受控主体直接或间接持有25%以上的股份，且从事“云服务”相关业务的受限交易的美国主体，应当提交年度报告。该报告可由美国主体的律师或代理人代为递交，针对上年12月31日进行的交易，应不晚于次年3月1日前完成报告；

f)【被拒绝的受禁交易报告】任何美国主体如果拒绝了其他主体提出的涉及“受禁交易”的合作意向，应当提交报告；

g)【疑似违规报告】美国主体在与任何合作方（非受控主体）的数据经纪交易中，若知悉或者怀疑合作方违反合同约定与受关注国家或受控主体从事《最终规则》所规定的交易，应当提交报告；

h)【豁免情况报告】为在受关注国家获得或维持药品、生物制品、器械或组合产品的上市许可，美国主体援引豁免条款，进行必要的数据交易时，应当提交报告。

7. 许可机制

《最终规则》授权司法部在特定情况下，签发两类许可，分别是：

（1）【一般许可证（general licenses）】由司法部主动颁发，在联邦公报公布，对所有相关方适用。该类许可允许原本被禁止或受限的某些交易类型继续进行，但司法部可能设定额外要求，如向监管机构提交报告、声明等，满足要求的交易无需另行申请授权，但每笔交易仍需备案；

（2）【特定许可证（specific licenses）】由美国主体为特定交易主动申请，司法部个案审查后决定颁发。该类许可仅适用于特定交易，可同时授权多项交易，司法部可能设定额外要求，如持续提交报告、删除交易数据等。

8. 处罚措施

美国主体违反《最终规则》可能导致被处以民事或刑事处罚。

民事处罚金额最高可达368,136美元或交易金额的两倍（以较高者为准）。针对故意违规行为，刑事处罚包括最高可达1,000,000美元的刑事罚款，以及最高20年的监禁。

三、《最终规则》配套文件要点

1. 《实施与执法政策》要点

美国司法部发布《实施与执法政策》，用于规定自《最终规则》生效的2025年4月8日起至2025年7月8日止的90天过渡期（以下简称“过渡期”）内的执法政策。

根据《实施与执法政策》规定，司法部将在过渡期内加强执法力度，使美国主体有更多时间完成必要的变更，以符合《最终规则》，同时为公众提供更多机会就《最终规则》相关调查与监管机构进行互动。

需要特别指出的是，在过渡期内，司法部不会优先对违反《最终规则》的任何主体采取民事执法行动，只要该主体在此期间真诚努力遵守或将遵守《最终规则》。《实施与执法政策》提供了一些真诚遵守政策的例子，具体包括：

（1）对敏感个人数据的访问进行内部审查，包括涉及访问此类数据流的交易是否构成数据经纪交易；

（2）审查内部数据集和数据类型，以确定它们是否可能受《最终规则》的约束；

（3）重新谈判供应商协议或与新供应商谈判；

（4）将产品和服务移交给新供应商；

（5）对潜在的新供应商进行尽职调查；

（6）与数据经纪交易对手方的外国主体协商合同的后续转移条款；

（7）调整员工工作地点、角色或职责；

（8）评估受关注国家或受控主体的投资；

（9）与受关注国家或受控主体重新谈判投资协议；

（10）实施网络安全和基础设施安全局（CISA）的《受限交易安全要求》，采取必要的技术和组织措施，防止受控主体访问受控数据。

司法部国家安全司（NSD）鼓励公众在过渡期内通过邮件等渠道提出非正式咨询，但不建议公众在过渡期内提出正式咨询申请或特别许可申请。NSD在过渡期内原则上不会处理任何特别许可申请或正式咨询申请，除非有危及公共安全或国家安全等紧急情况。

若美国主体在过渡期内没有达到完全合规，但能够提供证据证明已实行上述真诚遵守政策的行为的，不太可能被处罚，建议相关主体做好工作留痕工作。

2. 《合规指南》要点

《合规指南》是对《最终规则》的官方浓缩版，但仍提出了不少新内容，例如：

（1）针对受禁交易，给出与外国主体进行数据经纪交易的合同条款示例，包含限制数据再转移条款，以及要求外国主体非受控实体（合同方）定期证明遵守合同约定的条款；

（2）详细说明制定和实施数据合规计划的方法，计划要素包括风险评估、供应商管理和验证、书面数据合规计划政策、书面安全要求政策等，并对各要素的具体流程或内容提出建议；

（3）针对受限交易，要求美国主体每年至少进行一次有关数据安全计划（DSP），以及网络安全和基础设施安全局（CISA）《受限交易安全要求》的员工培训，并给出有效培训的具体建议；

（4）明确数据安全计划（DSP）不要求遵循特定审计规则，同时就开展全面、独立、客观的审计给出具体建议，涉及审计人员和审计内容等方面。

需要特别注意的是，《合规指南》仅为实践指引文件，符合该文件不代表符合数据安全计划（DSP），相关主体还需严格遵守《最终规则》。

3. 《常见问题解答》要点

《常见问题解答》围绕《最终规则》相关规定内容，通过108个问答的形式，对数据安全计划（DSP）框架进行了全面阐释。本文仅截取部分涉及监管框架、关键概念的问题进行简要介绍。

数据安全计划（DSP）主要禁止或限制美国主体的行为，但若非美国主体参与规避、违反《最终规则》的交易，同样会受到约束。

在数据流层面，数据安全计划（DSP）只监管美国主体向受关注国家或受控主体传输，或允许其访问美国批量敏感个人数据或美国政府相关数据的行为，不限制反向数据流动。

数据安全计划（DSP）与美国外国投资委员会（CFIUS）、信息与通信技术与服务监管机制（ICTS）、经济制裁和出口管制等相关监管框架，在监管重点和范围上存在部分的重叠与差异。

美国外国投资委员会（CFIUS）审查特定投资交易时，若达成含数据安全措施的协议并指定为“CFIUS行动”，则可取代数据安全计划（DSP）的要求；信息与通信技术与服务监管机制（ICTS）下，监管机构有权审查特定信息与通信技术或服务交易，可在数据安全计划（DSP）相关安全要求的基础上提出更加严格的措施；经济制裁和出口管制主要规制资金、物资等的跨国转移，与数据安全计划（DSP）规制敏感个人数据或美国政府相关数据的流动在侧重点上存在显著不同。

此外，EO14117及其配套文件与《2024年保护美国人数据免受外国对手侵害法》（PADFAA）分属总统行政令与国会立法，二者在立法目的与规制对象上高度重叠，但在执法方式、管辖数据类型、适用交易范围、受关注国家、基于个人同意的豁免以及救济途径等方面均存在差异，适用时应当兼顾二者的要求。

四、两则实例分析

根据EO14117及其配套文件，结合上面的理解，我们对两则实例分析如下：

1. 某中国企业处理美国员工个人数据

某中国企业A公司未在美国设立法律实体，但在美国有80名员工，包括美籍员工和中国外派员工。为开展用工管理，A公司需要收集并处理在美员工的身份证号、社会保险IC号、家庭地址、健康状况、伤残人员信息等个人数据。A公司希望评估其在EO14117下是否存在合规风险。

（1）美国主体判断：

在美员工（包括美籍员工和中国外派员工）属于美国主体。

（2）受控主体判断：

A公司属于受控主体。

（3）敏感个人数据识别：

根据该企业提供的个人数据字段，可能落入《最终规则》下的特定个人标识符（如身份证号、社会保险IC号）、精确地理位置数据（如家庭地址）、个人健康数据（如健康状况、伤残人员信息）等类别。

（4）数据规模判断：

由于涉及的在美员工数量为80人，若在过去12个月员工人员数量未发生显著变化，则低于各类敏感个人数据的阈值。

（5）交易类型判断：

A公司与在美员工的雇佣关系落入受限交易（雇佣）的范围。A公司收集和处理在美员工个人数据的行为符合雇佣协议的目的，附属于雇佣协议，不是数据经纪业务，且为从个人处直接采集，故不属于受禁交易。

综上，该案属于美国主体与受控主体之间就敏感个人数据进行的受限交易，但未达到大规模阈值，故不受EO14117约束。

2. 某中国企业处理美国消费者个人数据

某中国企业B公司在美国境内设有负责智能产品销售的实体C公司，C公司为B公司非50%以上控股的子公司。C公司收集大量美国用户的姓名、电子邮箱、电话号码、送货地址、账单地址、交易信息、浏览访问数据等个人数据。该等数据被C公司用于辅助运营人员与售后人员开展相关工作，其中部分数据（如姓名、电子邮箱等）还被提供给B公司，用于辅助在第三方广告平台定向投放广告。B公司和C公司希望评估其在EO14117下是否存在合规风险。

（1）美国主体判断：

C公司属于美国主体。

（2）受控主体判断：

B公司属于受控主体。

（3）敏感个人数据识别：

C公司收集的美国用户数据可能落入《最终规则》下的特定个人标识符（如关联的姓名、电子邮箱、电话号码、浏览访问数据）、精确地理位置数据（如送货地址、账单地址）、个人财务数据（如交易信息）等类别。

（4）数据规模判断：

C公司收集的美国用户数据规模已达到阈值，属于批量敏感个人数据。

（5）交易类型判断：

C公司向B公司传输美国用户的部分敏感个人数据，不是附属于投资、雇佣或供应商协议下的行为，构成数据经纪交易，属于受禁交易。

（6）豁免适用判断：

该业务场景下，可能适用的豁免机制为“集团内交易”，即美国主体与其位于受关注国家（或受关注国家所有、指示、管辖或控制）的子公司或关联方之间进行的，通常附带且构成行政或辅助性业务运营的一部分的交易。C公司与B公司存在关联关系，但该案中的数据传输行为不是“通常附带且构成行政或辅助性业务运营的一部分的交易”，故难以适用该豁免情形。

综上，该案下C公司向B公司传输美国用户个人数据的行为属于EO14117下的“受禁交易”，需履行《最终规则》规定的相关义务，如申请许可等。

五、企业应对建议

EO14117及其配套文件对中美之间的数据流动产生了实质性干扰，尤其是人工智能与大数据、智能汽车、生物医药与医疗健康、跨境电商与金融科技、云计算及供应链等行业，冲击比较明显。

结合实践经验，为避免相关法律风险，我们建议企业从以下几个方面展开应对工作：

（1）梳理企业现有协议及相关数据流情况，识别企业处理美国批量敏感个人数据的业务场景（包括去标识化、匿名化和假名化数据）；

（2）识别与受关注国家或受控主体进行的受控数据交易，评估现有协议和数据流风险；

（3）分析受控数据交易的完成时间、影响范围、业务重要度，评估可能产生的监管与法律风险；

（4）评估受控数据交易是否可适用豁免机制，或是可通过满足安全要求及其他要求，而获得相关许可；

（5）对于任何禁止或受限，且不符合豁免机制适用条件、无法取得相关许可的受控数据交易，制定终止、变更方案，或设计对应的风险缓解措施；

（6）建立相应机制以确保公司持续符合尽职调查、审计、记录保存、报告及其他《最终规则》规定的义务；

（7）针对《最终规则》规定的受控数据交易，应采用适当的合规政策；若为受限交易，则还需制定受限交易所需的额外机制和程序。