助中企出海 容诚在“路”上 | 聚焦“一带一路”之 IT 篇(五): 数据监管新要求——美第14117号行政内容及影响解读
作者:微信文章2025年4月8日,美国第14117 号行政令(E.O. 14117)正式生效,其主题为《防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据》,旨在有限管控数据跨境传输的风险,中国企业在处理数据跨境传输业务时面临全新的合规挑战。
行政令及核心内容
美国14117号行政令核心内容为限制涉及美国主体的敏感信息向受限制主体的跨境传输,行政令的内容主要包括以下几个主要方面:美国主体概念、受限制主体、受限制数据、受限制交易类型、执行与处罚措施。
美国主体概念
美国公民、国民或合法永久居民;任何被允许进入美国的难民或获得庇护者;任何仅根据美国法律设立或仅由美国管辖的实体以及任何身处美国境内的人士。
受限制主体
主要包括以下五类:
由特定受关注国家拥有、控制(直接或间接持有50%或以上股份)或受其管辖或指导的实体;
该实体的外籍雇员或承包商;
受特定关注国家的外籍雇员或承包商;
主要居住在特定受关注国家领土管辖区的外籍人士;
被美国司法部认定具有特定情形的任何主体。
受限制数据
受限制数据分为两大类:一是敏感个人数据,二是美国政府相关数据。具体而言,过去12个月的任一时间内, 无论单次还是累计, 满足或超过以下阈值的敏感个人数据总量,将触发监管,具体如下表所示:
数据类别
内容描述
触发监管阈值
(记录条数)
个人标识符类
特定个人识别符:如社会安全号码、驾驶执照号码或其他政府颁发的证件号码。
组合识别符:IP地址与设备标识符(如IMEI号或MAC地址)的组合,或者IP地址与邮箱地址、手机号等的组合,当达到一定数量标准时,也被视为敏感个人数据。
100,000
地理定位数据
全球定位系统(GPS)坐标、IP地址等,能精确定位到1公里以内个人位置的实时数据与历史数据。
1,000
生物特征类
用于识别或验证个人身份的可测量物理特征或行为,包括面部图像声纹及其模式、视网膜和虹膜扫描、掌纹和指纹、步态以及键盘使用模式等.
1,000
健康数据类
涉及个人的身心健康状况,如身高、体重、生命体征、症状、测试结果、诊断、数字牙科记录、心理诊断等历史数据、实时数据以及未来推测数据。
10,000
财务数据类
涉及个人信用卡、借记卡、银行账户相关的数据,如付款记录与购买记录等流水信息。
与个人相关的银行、信贷或企业的资产、负债、交易数据。
个人信用报告、个人征信数据等。
10,000
人类组学数据
人类基因组数据、表观基因组数据、蛋白质组数据和转录组数据等。
1,000
需要注意的是, 在计算敏感个人数据的规模时是否达到“大量”时,无需考虑此类数据是否经过匿名化、假名化、去标识化或者加密。而针对美国政府相关数据,无论规模和数量,均在被监管范围内。
受限制交易类型
美国司法部针对不同数据类型确定了具体交易类别,包括禁止交易、有条件限制的交易两类:
影响分析
综上,美国司法部发布的14117号行政令要求防止受关注国家获取美国主体的敏感个人数据和政府相关数据。美国主体相关企业现需根据自身风险设计与实施遵守行政令及其最终规则的应对计划,这些计划可以基于自身规模和复杂性、产品和服务、客户和交易方以及地理位置等因素而有所不同。同时,该行政令及实施规则,将对业务涉及受限制数据跨境传输的中国企业提出新的数据合规要求,如智能网联汽车、医疗健康、跨境电商、游戏等中国企业开展美国市场业务时,面临显著增加的数据合规风险,需要进一步调整数据管理策略。
在政策监管、技术难题、网络威胁等多重风险交织的背景下,中国企业若要出海,就必须做好周全准备,结合数据跨境在国内外合规管控方面的重点,搭建可持续的数据跨境合规体系,建立全周期的数据合规管理框架。
容诚提出的跨境数据合规应对方案主要涵盖以下三个领域:对数据进行全方位的梳理、实施数据合规整改,以及开展信息和网络安全提升。
对数据进行全方位的梳理
企业在涉及数据跨境场景时,首先需要梳理和识别所跨境传输的数据范围,具体分为国外主体的数据跨境传入境内和国内数据跨境传输至境外两大不同场景,综合判断其适应何种数据管理要求。在数据全方位梳理过程中,首要任务是识别敏感数据资产清单,对每一项数据资产的类别、存储位置、涉及业务范围等关键信息都进行详尽记录。同时,深入评估相关业务风险,从数据泄露可能性、业务受影响程度等多个维度考量,借此明确企业在数据合规方面的具体义务,以美国14117 号行政令为例,可将所有数据进行四级分类:
禁止传输类(如用户精确地理位置数据与用户财务数据等)
受限传输类(单类生物识别标识符数据)
需申报传输类(匿名化行为数据)
自由传输类(完全匿名统计数据)
实施数据合规整改
随后,基于国内外严格的监管要求,对公司当前的数据系统架构、数据管理政策细则以及实际操作实践进行全面且深入的差距分析。通过这种全方位的审视,精准识别出公司当前在数据合规管理和使用环节中存在的不合规问题,为后续制定针对性的整改策略提供依据。
数据最小化策略
基于评估数据收集必要性,明确"最小必要"范围,取消非必要权限,制定数据采集负面清单,如禁止收集宗教信仰、基因数据等非必要信息,将位置精度从米级降至千米级,用设备ID替代实名信息等。
动态去标识化处理
精准采集系统设计。协助部署智能表单系统,采用动态字段技术,仅当触发业务核心字段功能时才进行数据收集;同时采用去标识化处理技术,确保分析数据无法关联特定个体。
数据访问管理机制重构
最小化数据流转机制。开发部门间数据共享沙箱环境,如银行风控部门仅能访问脱敏后的交易模式数据,原始数据保留在加密存储区。同时,自动化数据生命周期管理,配置数据自动归档规则(如用户画像数明细数据保留一段时间后自动删除),结合系统日志确保处置过程可审计。
开展信息和网络安全提升
涉及数据跨境合规管理的企业开展信息及网络安全评估,可从以下多方面着手:
评估数据存储安全
No.1
盘点存储架构
对企业内部数据存储系统进行全面梳理,明确本地存储设备、云存储服务的分布与使用情况。例如,若企业部分数据存储于公有云平台,需核查云服务提供商的安全资质、数据加密能力及数据备份策略。
No.2
审查访问权限
不同部门职能人员可访问数据的权限进行全量核查与定期清理。依据“最小权限原则”,确保员工仅能访问其工作必需的数据。以跨国企业为例,销售部门员工不应具备访问研发数据存储区域的权限。及时清理离职或岗位变动人员的多余权限,防止权限滥用带来的数据安全风险。
保障网络传输安全
No.1
应用加密技术
确认企业在数据跨境传输过程中使用的加密协议,测试加密强度是否符合行业标准与监管要求。例如,金融机构在跨境传输客户交易数据时,需采用高强度加密,保障数据在传输途中不被窃取或篡改。
No.2
部署网络边界防护
强化企业网络边界的安全防护措施,部署防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)。防火墙可阻挡未经授权的外部网络访问,IDS 实时监测网络流量中的可疑行为,IPS 则能主动防御已知攻击。企业要定期更新这些设备的规则库与特征库,确保对新型网络威胁具备防护能力。
强化漏洞与补丁管理
No.1
定期漏洞扫描
利用专业漏洞扫描工具,对企业内部信息系统进行周期性扫描,包括操作系统、应用程序、数据库等,及时发现并修复常见漏洞。扫描结果需详细记录,形成漏洞清单,明确漏洞等级与修复建议。
No.2
安全补丁管理
建立严格的安全补丁管理流程,及时跟踪软件供应商发布的安全补丁信息。在测试环境中验证补丁对企业信息系统的兼容性后,尽快在生产环境中部署,降低因未打补丁导致的安全风险。
做好人员培训
No.1
开展安全培训
定期组织信息及网络安全培训,向员工普及数据跨境安全知识、企业安全政策以及常见网络攻击防范方法。培训形式可多样化,如线上课程、线下讲座、模拟演练等。例如,通过模拟钓鱼邮件攻击演练,让员工识别钓鱼邮件特征,提高防范意识。
No.2
制定行为准则
制定员工在数据跨境操作中的行为准则,明确规定数据处理流程、禁止行为等。如禁止员工私自将敏感数据通过个人邮箱跨境传输。对违反准则的行为制定相应处罚措施,加强员工对数据安全规范的遵守意识。
中国企业若想在海外市场扎根并实现长远布局,数据合规绝非仅是企业出海的准入门槛,更是企业锻造核心竞争优势、收获国际市场认可,在全球舞台上脱颖而出的关键支撑。
容诚将持续关注,助力中国企业顺应国际与国内监管变化趋势,长远谋划数据合规路径,为出海业务的长远发展奠定基础。
RSM GCPG ·往期分享
①
助中企出海 容诚在“路”上 | 聚焦“一带一路”之服务篇
②
助中企出海 容诚在“路”上 | 聚焦“一带一路”之税务篇(一)税务考量
③
助中企出海 容诚在“路”上 | 聚焦“一带一路”沿线国家之哈萨克斯坦
④
助中企出海 容诚在“路”上 | 聚焦“一带一路”之咨询篇(一)海外绿地投资挑战及应对
⑤
助中企出海 容诚在“路”上 | 聚焦“一带一路”之 IT 篇(一)中企出海 数智为锚
⑥
助中企出海 容诚在“路”上 | 聚焦“一带一路”沿线国家之泰国(一)
⑦
助中企出海 容诚在“路”上 | 聚焦“一带一路”沿线国家之泰国(二)
⑧
助中企出海 容诚在“路”上 | 聚焦“一带一路”沿线国家之俄罗斯
⑨
助中企出海 容诚在“路”上 | 聚焦“一带一路”之咨询篇(二)海外并购的挑战与解决之道
⑩
助中企出海 容诚在“路”上 | 聚焦“一带一路”之 IT 篇(二)数据出境 合规为基(上)
⑪
助中企出海 容诚在“路”上 | 聚焦“一带一路”之 IT 篇(三)数据出境 合规为基(下)
⑫
助中企出海 容诚在“路”上 | 聚焦“一带一路”之税务篇(二)投资架构
⑬
助中企出海 容诚在“路”上 | 聚焦“一带一路”沿线国家之土耳其
⑭
助中企出海 容诚在“路”上 | 聚焦“一带一路”之税务篇(三)转让定价
⑮
助中企出海 容诚在“路”上 | 破局境外审计之困(一)详解五大挑战
⑯
助中企出海 容诚在“路”上 | 聚焦“一带一路”之咨询篇(三)海外并购常见的“锁箱机制”挑战及应对
⑰
助中企出海 容诚在“路”上 | 聚焦“一带一路”之 IT 篇(四)出海企业内控体系建设
⑱
助中企出海 容诚在“路”上 | 破局境外审计之困:海外核查(一)境外客户走访实务解析
⑲
助中企出海 容诚在“路”上 | 聚焦“一带一路”之税务篇(四)“9810”离境即退税新政解读
⑳
助中企出海 容诚在“路”上 | 聚焦“一带一路”沿线国家之越南
㉑
助中企出海 容诚在“路”上 | 破局境外审计之困:海外银行函证实务解析
免责及版权声明
本文内容仅供一般参考,不可视为容诚审计、税务、咨询及其他专业建议或服务,更不形成投资建议。容诚及各相关机构不对任何主体因使用本文内容而导致的任何损失承担责任。文章版权归容诚会计师事务所(特殊普通合伙)所有,如需转载及在转载时对内容进行任何修改,请务必在发布前获得容诚书面同意。
页:
[1]