ARTICLE
25 June 2025

E.O. 14117合规: 战略考量和与实施指南

AC
Ankura Consulting Group LLC

Contributor

Ankura Consulting Group LLC logo
Ankura Consulting Group, LLC is an independent global expert services and advisory firm that delivers end-to-end solutions to help clients at critical inflection points related to conflict, crisis, performance, risk, strategy, and transformation. Ankura consists of more than 1,800 professionals and has served 3,000+ clients across 55 countries. Collaborative lateral thinking, hard-earned experience, and multidisciplinary capabilities drive results and Ankura is unrivalled in its ability to assist clients to Protect, Create, and Recover Value. For more information, please visit, ankura.com.
Explore Firm Details
2024年2月28日,美国总统拜登签署了第14117号行政命令,题为《防止国家关注对象获取美国人的大量敏感个人数据和美国政府相关数据》。
United States Privacy
Terence Zhu

2024年2月28日,美国总统拜登签署了第14117号行政命令,题为《防止国家关注对象获取美国人的大量敏感个人数据和美国政府相关数据》。

该行政命令是为美国应对国家安全担忧,尤其是针对来自 中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉等“国家关注对象”通过数字供应链和全球数据体系,以非授权的方式获取美国敏感数据。

为降低上述风险,E.O. 14117限制与这些国家相关的某些特定数据交易行为。

2024年12月27日,美国司法部(DOJ)发布了该命令的最终实施规则,并于2025年4月8日生效,正式设立“数据安全计划”(Data Security Program,简称DSP),这是美国首次以国家安全为导向系统性地限制跨境数据流动。

该计划禁止或限制某些“受限数据交易”,以防美国敏感数据落入对手国家。

为帮助组织理解并遵守这些规定,司法部国家安全司(NSD)于2025年4月11日发布了三份重要参考文件:

  1. 实施与执法政策
    • 明确了执法策略,包括为期90天(至2025年7月8日)的过渡期,期间将以指导为主,对主动善意配合合规(good-faith compliance efforts)的实体给予宽限。
  2. 合规指南
    • 提供风险评估、治理框架和技术控制的实施步骤,帮助组织建立符合DSP要求的合规体系。
  3. 常见问题解答
    • 澄清核心术语、涵盖交易的定义及对于合规工作的预期。

主要的合规挑战

根据我们为跨国企业提供咨询的经验,企业在落实E.O. 14117要求时普遍遇到以下挑战:

  1. 定义与适用范围不清晰
    • 很多企业对于“受限数据交易”和“大量敏感个人数据”等宽泛概念难以准确判断,如匿名化或聚合后的数据是否属于监管范围,存在较大困惑。
  2. 数据类型被低估
    • 企业常误以为去标识化或汇总后的数据不在管控范围内,但该命令明确指出,间接暴露(如可被重新识别的数据)同样在监管之列。
  3. 各部门执行脱节
    • 法务、IT与业务部门之间若缺乏联动,可能导致执行脱节。比如IT虽已部署技术控制,但供应商尽职调查机制未同步更新,形成合规漏洞。
  4. 供应商管理与豁免理解不足
    • 对于某些豁免条件(如被动投资)及供应商审查频率的理解不足,尤其当供应商与“国家关注对象”有关联时。

建议的四阶段合规方法论

为系统性、可审计地推进E.O. 14117合规工作,Ankura建议采用以下四阶段合规方案:

  1. 第1阶段:数据梳理
    1. 明确所有数据采集、存储、传输和第三方共享节点,重点关注跨境处理和外籍服务商。
    2. 制作数据流图及系统清单,标注符合EO监管范围的数据类型。
    3. 警惕“影子IT”、开发者工具和遗留系统,这些容易造成数据外泄隐患。
  2. 第2阶段:风险与安全评估
    1. 通过受法律保护的评估进行风险识别评估。
    2. 利用技术框架, 例如CISA安全表现目标(CPG)来评估现有控制措施。
    3. 审查供应商协议、SLA和隐私条款,识别潜在违规行为。
    4. 将所有识别的风险登记入统一的合规风险台账中。
  3. 第3阶段:实施控制措施
    1. 落实治理机制、技术与数据控制措施,例如:
    2. 组织层面:设立负责人,建立敏感交易审批流程。
    3. 技术层面:多因素认证、终端加固、日志审计、加密控制。
    4. 数据层面:数据最小化、匿名化、隐私增强技术。
    5. 第三方管理:供应商合同条款审阅,更新,定期审查等。
  4. 第4阶段:再评估与治理成熟度提升
    1. 定期审查数据流向、供应链风险与监管变化。
    2. 组织模拟演练,检验对于检查的应对准备情况。
    3. 引入法律顾问,确保内部评估结果具备法律豁免保护。

推进E.O. 14117合规的关键成功要素

  • 中美协同合规支持
    • 中美团队协作有助于结合本地实际与全球要求,更准确识别跨境数据流向与风险节点。
  • 法律顾问深度参与
    • 与法律顾问合作,不仅帮助正确解读法律规则,还确保所有内部评估在法律上受到保护。

结语

E.O. 14117标志着美国数据治理模式的根本转变,国家安全正式成为企业合规的重要组成部分。跨境运营企业应以系统性方法、有组织地应对合规挑战。

合规工作的可持续性,依赖于不断迭代、完善的治理体系与法务/网络安全专家团队合作机制。

案例分析:中国物联网企业在美运营合规实践

背景情况:

一家中国智能设备厂商通过电商与移动应用服务美国市场,尽管数据托管在AWS,但中国团队能访问系统后端。

风险识别:

监控日志、客服互动、升级机制等被发现具有敏感数据外泄风险,可能违反EO规定。

应对措施:

  1. 第1-2阶段: 完成数据识别与法律风险评估,识别数据类型和绘制访流转路径。
  2. 第3阶段: 限制中国团队访问权限,加密高敏感数据,实施访问隔离。
  3. 第4阶段: 建立内部审计机制,配合法律顾问完成审查并保留法律豁免。

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Terence Zhu
Terence Zhu
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More