EO 14117 的实施细则(Final Rule,2025年4月8日生效)已满一周年,DOJ 国家安全司(NSD)至今尚未公开采取重大民事执法行动、官方数据安全板块也停滞于2025年9月——但把这解读为“束之高阁”可能让企业错过合规窗口。真正的动向不在 NSD 的静默,而在另外两条已经开始产生实质影响的路径:财政部金融犯罪执法局(FinCEN)正通过制度化的举报奖励把公众举报变成执法与取证环节,私人原告和部分州检察长则已把 EO 14117 引入民事诉讼作为起诉跨国企业的法律基础之一。
TL;DR
2026年4月1日,FinCEN 发布举报人激励与保护拟议规则,意见征询期于2026年6月1日截止。FinCEN 此前已建立举报人项目网页,鼓励个人提供违反《银行保密法》(BSA)等法规的信息;本次拟议规则旨在将该项目正式化,详细说明举报人(包括合规专业人士)自愿向财政部或司法部提供原始信息、并成功促成执法行动时寻求赔偿的程序,并扩大财政激励,包括强制支付举报人最高30%的制裁金。
关键在于覆盖范围:除原项目涵盖的违反 BSA 等金融法案的行为外,司法部依据《国际紧急经济权力法》执行的违反 EO 14117 的行为也被囊括在内。拟议规则附录中的《举报、投诉或转办线索(TCR)表格》,明确将“违反数据安全计划(enacted at 28 CFR part 202 to implement Executive Order 14117)”列为举报选项之一,并进一步细化到可勾选的维度:

这一动向表明 EO 14117 找到了具体执法抓手:财政部把(金融)数据跨境违规与反洗钱及金融制裁并列,反映出美方各机构在一定程度上达成共识——敏感数据流动本质上也是一种影响国家安全的非法资产流动。更具威慑力的是高额分成机制:若企业违规导致1000万美元行政罚款,举报人最高可获300万美元现金奖励。这把合规压力从外部监管审查延伸到内部知情人士,跨国企业面对的已不只是监管抽查,还有重金诱惑下随时可能发生的内部举报。拟议规则原文见 https://www.federalregister.gov/documents/2026/04/01/2026-06271/whistleblower-incentives-and-protections 。
自2025年9月起,在针对科技巨头与跨境电商平台的集体诉讼中,原告开始频繁引用 EO 14117 及其 Final Rule 的标准,并结合《电子通信隐私法》(ECPA)、《马里兰州窃听法》、《德州欺骗性贸易行为法》(DTPA)、《加州侵犯隐私法》(CIPA)乃至不当得利衡平规则,把 EO 14117 的国家安全义务间接引入私法诉讼框架,要求跨国企业赔偿或缴纳罚金。例如 Temu 被德州总检察长依 DTPA § 17.46(b)(24) 指控隐瞒“按中国法律须向中国政府提供数据”构成消费者欺诈;又如原告主张联想的拦截行为违反具刑事处罚可能性的 EO 14117,以削弱其援引 ECPA 一方同意例外抗辩的空间(详见 Lenovo、Temu、Google 涉华数据传输诉讼解读)。可见即使 NSD 暂未执法,私人诉讼中法官和原告律师也会把企业对 EO 14117 的执行,视为衡量其是否尽到合理注意义务的标尺之一。
可参照拜登政府另一项行政令 EO 14144的演变来判断。EO 14144(2025年1月16日发布,《加强与促进国家网络安全创新》)侧重联邦内部的行政流程,如要求私营部门在向联邦出售 IT 时证明软件开发安全、要求联邦机构加强威胁搜索等。这些设想许多未启动或未被采纳;2025年6月6日特朗普政府发布 EO 14306,保留 EO 14144 文本但删除了不认同的政策,并特别指出制裁只能针对外国人(foreign persons)。
相比之下,EO 14117 属于典型的对抗型政策,核心逻辑是针对特定对手(Countries of Concern)的数据脱钩,与特朗普政府的“美国优先”及对华竞争策略高度契合;而数据主权与国家安全是当前美国政坛少数具有跨党派共识的领域。因此,对中国出海企业而言,EO 14117 设定的宽限期早已结束,NSD 虽未开启执法,但从其被纳入 FinCEN 举报表格到出现在私人集体诉讼起诉书,隐形执法的网正在收紧。企业应尽快完成数据安全合规项目、优化内部举报与合规反馈机制,以应对可能到来的执法。