EO 14117 已进入执法期,出海美国绕不开这道关
中国(含香港、澳门)被列为受关注国家:涉及美国人批量敏感数据的交易,对中国背景企业或被禁止,或附带严格条件。
美国司法部最终规则 2025 年 4 月 8 日生效,10 月 6 日合规缓冲期结束,随时可能执法。有美国主体的中国企业首当其冲;没有美国主体,也会被美国上下游要求切换签约主体、修改合同、配合尽调。
端云全链路分析 · 字段级敏感数据识别 · 近 100 家出海企业选择 Kaamel
EO 14117 管的是什么?
这项行政令禁止或限制美国主体与受关注国家及受限制主体之间,涉及美国人批量敏感个人数据和政府相关数据的特定数据交易。三个要素同时满足,交易就落入管辖:谁在交易、和谁交易、交易了什么数据。
受关注国家包括中国(含港澳)
名单为中国(含香港、澳门)、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉。由受关注国家持股 50% 以上、依其法律设立或主营地在境内的实体,及其控股实体、雇员和主要居住个人,都是受限制主体。
禁止类交易:碰不得
数据经纪(出售、许可访问等把数据转移给无直接关系接收方的商业交易)与人类基因组数据交易,达到阈值即完全禁止,没有整改空间。
受限类交易:带条件可做
供应商协议、雇佣协议、投资协议属于受限交易,必须满足 CISA 安全要求,并履行尽职调查、审计、报告与记录义务。
匿名化、加密不豁免
批量的认定看交易前 12 个月的累计量,无论数据是匿名、假名、去标识还是加密。只有符合 CISA 认可的有效防护方法才被接受。
批量敏感数据的认定阈值(12 个月累计)
| 数据类型 | 阈值 |
|---|---|
| 人类基因组数据 | 超过 100 名美国人 |
| 人类组学数据(表观基因组、蛋白质组、转录组) | 超过 1,000 名美国人 |
| 生物特征标识符(人脸、声纹、指纹等) | 超过 1,000 名美国人 |
| 精确地理位置数据(1,000 米内) | 超过 1,000 台设备 |
| 个人健康数据 | 超过 1 万名美国人 |
| 个人财务数据 | 超过 1 万名美国人 |
| 特定个人识别符组合 | 超过 10 万名美国人 |
为什么中国出海企业必须关注
这不是只有巨头才碰得到的法规。只要在美国有业务、有数据,两种典型架构都会被波及。
有美国主体的企业
美国公司或子公司的数据,禁止向位于中国的数据中心、母公司、关联公司跨境传输;位于中国的员工和第三方供应商的跨境访问同样受限,关键岗位雇佣也在受限交易之列。
没有美国主体的企业
上下游只要有美国公司,就会被要求切换美国主体签约、修改合同条款、反馈尽调、承担合规责任。不主动准备,就会在合同谈判中被动接受条件。
执法机构已经就位
司法部国家安全司(FIRS)有调查、听证、传唤权力。缓冲期已于 2025 年 10 月结束,违规将面临民事与刑事双重追责。
Kaamel 怎么帮你
以端云全链路分析和字段级敏感数据识别为引擎,把 14117 从法律条文变成一张可以逐项核对的清单。
- 01
数据交易全景梳理
扫描客户端、服务端与第三方链路,按字段识别敏感个人数据的采集、存储与流向,标出涉及受关注国家和受限制主体的每一笔数据交易。
- 02
适用性判定与交易分类
对照阈值和主体定义,把每笔交易归入禁止、受限或不适用,输出判定依据。禁止类给出替代架构方案,受限类列出放行条件。
- 03
整改与 CISA 要求落地
数据架构调整、访问隔离、合同条款修订,以及 CISA 安全要求对应的技术与组织措施;尽职调查、审计、报告与记录义务一并建立。
- 04
持续合规与执法应对
新业务、新供应商、新雇佣的事前评估机制,加上应对美国客户尽调与监管问询的证据包,让合规状态可维持、可证明。
为什么选择 Kaamel
14117 的难点在于它同时考验法律理解、数据工程和中美两边的沟通,这恰好是我们的组合。
技术引擎,不靠访谈
端云全链路分析与字段级敏感数据识别自动化完成数据梳理,比问卷访谈更快,也更接近监管认可的证据标准。
懂规则,也懂你的架构
硅谷与中国两地团队,中英双语交付。既能解读司法部规则,也理解中国企业真实的股权、雇佣与数据架构。
与现有合规复用
14117 的安全要求与 SOC 2、ISO 27001 的控制大量重叠,已建的控制直接折算,不重复建设。
行业经验现成
游戏、消费电子、制造、企业服务等行业的 14117 影响分析与应对方案,我们已在多个客户项目与行业分享中反复打磨。
服务包含
- 数据交易全景梳理与敏感数据地图
- 适用性判定报告与交易分类清单
- 禁止类交易的替代架构方案
- CISA 安全要求差距评估与落地
- 合同条款修订与供应商尽调支持
- 尽职调查、审计、报告与记录机制
- 美国客户尽调与监管问询应对
- 新业务事前评估流程
EO 14117 常见问题
我们没有美国子公司,也要管 14117 吗?
直接管辖落在美国主体身上,但影响会沿着合同传导:上下游的美国公司会要求你切换美国主体签约、修改条款、配合尽调、承担合规责任。提前把数据交易梳理清楚,谈判时才有主动权。
数据做了加密或匿名化,还受限制吗?
受。批量的认定不看数据形态,匿名、假名、去标识、加密都计入 12 个月累计量。只有符合 CISA 认可标准、能有效阻止还原和访问的方法才被接受,这需要逐项评估。
哪些交易是完全禁止、没有整改空间的?
两类:数据经纪(把数据出售、许可给无直接关系的接收方)和涉及人类基因组数据的交易。这两类只能调整业务或架构来规避,其余供应商、雇佣、投资协议属于受限类,满足条件可以继续。
缓冲期已经过了,现在开始还来得及吗?
越早越好。执法通常从最明显的违规开始,主动梳理并整改中的企业与放任不管的企业,在监管眼里完全不同。先做交易梳理和适用判定,高风险交易优先处理,通常几周内就能把最大的敞口收住。
违规的代价具体是什么?
民事罚款最高 368,136 美元或交易金额的两倍(取较高者);故意违规另有最高 100 万美元刑事罚款和最高 20 年监禁。执法由司法部国家安全司负责,有调查、听证与传唤权。



