企业出海美国，Kaamel应对EO 14117数据安全计划的指南-CSDN博客

本文链接：https://blog.csdn.net/kaamelai/article/details/147294175

本文的目的：帮助我国企业顺利出海参与全球竞争，帮助我国企业走出去。内容和社区的规定……

一、概述：EO 14117数据安全计划的背景与基础

2024年2月28日，美国发布行政命令14117（EO 14117），旨在防止特定国家（"关注国家"）获取美国政府相关数据和美国人的大量敏感个人数据。该命令授权美国司法部（DOJ）制定实施条例，网络安全和基础设施安全局（CISA）制定相应安全要求。2025年1月8日，DOJ发布了最终规则（28 CFR Part 202），建立了"数据安全计划"（Data Security Program，DSP）。

尽管拜登政府发布此行政命令，但特朗普政府于2025年1月上台后并未撤销该命令，因此该规则将继续生效，这表明该规则超越了党派分歧，反映了美国跨党派对数据安全的关注。

法规的关键实施日期：

2025年4月8日：禁止和限制条款正式生效
2025年10月6日：尽职调查、审计、报告和记录保存等合规义务生效

美国司法部将在首个90天（2025年4月8日至7月8日）内采取宽容执法态度，不会优先对善意努力遵守或即将遵守DSP的人员采取民事执法行动。然而，这不代表免于执法。恶意、蓄意违规仍将面临惩罚，包括严重的民事和刑事处罚：

民事罚款：高达368,136美元或违规交易价值的两倍（以较高者为准）
刑事处罚：最高20年监禁和100万美元罚款

二、我国企业面临的挑战：我国被列为"关注国家"

EO 14117将六个国家指定为"关注国家"，我国（包括香港和澳门）被明确列入其中。这意味着我国企业及与我国有关联的实体在处理数据方面将面临严格限制。

"受管制人"（Covered Persons）明确范围：

在我国注册或总部位于我国的外国实体
被我国或其他受管制人直接或间接拥有50%或以上股份的外国实体（注意股权聚合规则）
我国或受管制人的雇员或承包商（即使临时访问美国）
主要居住在我国的外国个人
被美国司法部指定为受管制人的其他个人或实体（可包括美国实体）

重要说明：美国司法部将维护一份"受管制人名单"，但该名单并非详尽无遗。即使未被明确列入该名单，符合上述类别的实体或个人仍被视为"受管制人"。

关键点：作为我国企业，您或您在美国的子公司几乎必然会被归类为"受管制人"或与"关注国家"有关联。

三、受影响的交易类型：禁止性与限制性交易详解

DSP主要监管两类交易：

1. 禁止性交易

a. 数据经纪交易

"数据经纪"指交易类型，不限于特定业务类型，包括：

数据销售
数据访问许可
类似商业交易，涉及从提供者向接收者转移数据（接收者未直接从相关个人处收集或处理该数据）

重要说明：美国人禁止与我国企业（作为受管制人）进行涉及美国敏感个人数据或政府相关数据的数据经纪交易。此禁令适用于第一方（原始）数据经纪和第三方数据经纪。

b. 人类基因组数据与生物样本

美国人禁止与我国企业进行涉及以下内容的交易：

大量人类基因组数据
可提取此类数据的人类生物样本（血液、组织、尿液等人体衍生物质）

2. 限制性交易

美国人可以与我国企业进行以下交易，但必须遵守严格的安全要求和合规措施：

a. 供应商协议

任何一方为另一方提供商品或服务以换取报酬或其他对价的协议或安排，例如：

云服务提供协议
软件开发外包
数据处理服务
IT管理和支持服务
人工智能和机器学习服务

b. 雇佣协议

个人作为非独立承包商直接为一方工作以换取报酬或其他对价的协议或安排，包括：

常规就业关系
董事会职位
顾问角色（非独立承包商）

c. 投资协议

任何人通过支付或其他对价，获取美国房地产或美国法律实体的直接或间接所有权或相关权利的协议或安排。

某些被动投资可能被排除
受CFIUS审查的投资协议可能获得豁免

四、重点关注的数据类型：详细分类

DSP监管两大类数据：

1. 政府相关数据（任何数量，无大量阈值限制）

精确地理位置数据：任何位于政府相关位置数据清单（§202.1401）中列出区域内，精确度在1000米以内的位置数据，包括：
- 美国政府雇员或承包商占据国家安全职位的工作地点
- 军事设施和基地
- 支持美国政府国家安全、国防、情报、执法或外交政策的设施或地点
与政府人员关联的敏感个人数据：被交易方标记为与以下人员相关联的敏感个人数据：
- 美国政府现任雇员或承包商
- 近期前任雇员或承包商（过去2年内为美国政府工作或提供服务）
- 前任高级官员（包括军方和情报机构）

2. 大量美国敏感个人数据（超过特定阈值）

a. 个人身份标识符（10万美国人）

个人身份标识符包括两类组合：

列出标识符之间的组合：如社会安全号码+姓名、驾照号码+地址等
列出标识符与其他数据的组合：如姓名+健康记录、地址+财务数据等

具体列出标识符包括：

政府ID号码（社会安全号码、驾照号码、护照号码、外国人登记号码等）
金融账户号码或与金融机构关联的PIN码
设备和硬件标识符（IMEI、MAC地址、SIM卡号）
人口统计或联系数据（姓名、出生日期、出生地点、邮政编码、居住地址、电话号码、电子邮件等）
广告标识符（Google广告ID、Apple广告ID、移动广告标识符等）
账户认证数据（用户名、密码、安全问题答案）
网络标识符（IP地址、Cookie数据）
通话详情数据（客户专有网络信息）

b. 精确地理位置数据（1千美国设备）

能够精确到1000米范围内识别个人或设备物理位置的实时或历史数据。注意：IP地址在本规则中被归类为个人身份标识符，而非地理位置数据。

c. 生物特征识别数据（1千美国人）

用于识别或验证个人身份的可测量的物理特征或行为，包括：

面部图像和面部识别数据
声纹和语音模式
视网膜和虹膜扫描
手掌印和指纹
步态识别数据
键盘使用模式
从社交媒体平台抓取的公开照片中派生的生物特征数据（如用于训练面部识别软件）

d. 人类"基因组"数据

人类基因组数据（100美国人）：代表人类细胞内遗传指令的核酸序列数据，包括基因测试结果和相关人类基因测序数据
人类表观基因组数据（1千美国人）：对人类表观遗传修饰的系统级分析数据
人类蛋白质组数据（1千美国人）：对人类基因组、细胞、组织或生物体表达的蛋白质的系统级分析数据
人类转录组数据（1千美国人）：对人类基因组在特定条件下或特定细胞类型中产生的RNA转录本的系统级分析数据

e. 个人健康数据（1万美国人）

表明、揭示或描述个人过去、现在或未来身体或心理健康状况的健康信息，包括：

基本身体测量和健康属性（身体功能、身高体重、生命体征、症状、过敏等）
社会、心理、行为和医疗诊断、干预和治疗历史
测试结果和医疗记录
锻炼习惯日志
免疫接种数据
生殖和性健康数据
处方药使用或购买数据

重要提示：个人健康数据定义不限于医疗和医护专业人员及机构收集或持有的数据，也包括健身应用程序等消费类产品收集的数据。

f. 个人财务数据（1万美国人）

有关个人信用、收费或借记卡或银行账户的数据，包括：

购买和支付历史
银行、信用或其他财务报表中的数据（包括资产、负债、债务或证券组合交易）
信用报告中的数据或"消费者报告"中的数据

关键点：

即使数据已加密、匿名化、去标识化或聚合，规则仍然适用
多类别数据组合时，适用最低阈值
阈值计算基于过去12个月内任何时点符合条件的数据量

3. 数据排除范围

以下类型的数据不属于"敏感个人数据"：

不涉及个人的数据，如商业秘密或专有信息
合法公开可用的数据
个人通信内容
信息或信息材料及其相关元数据（仅限表达性材料，不包括技术性、功能性或非表达性数据）

五、安全要求与技术措施详细规范

1. CISA安全要求核心框架

为确保与我国企业的受限交易合规，美国公司必须实施CISA制定的安全要求，分为三个层面：

A. 组织层面要求

资产管理：
- 维护覆盖系统资产的最新清单，包括IP地址（IPv6）
- 至少每月更新IT资产清单
安全责任分配：
- 在组织层面指定负责网络安全和治理、风险与合规功能的人员
漏洞管理：
- 在45天内修复互联网面向系统中的已知被利用漏洞
- 实施补偿要求（当无法打补丁时）
- 建立评估过程，确定打补丁前系统是否已被入侵
供应商管理：
- 记录并维护所有供应商/供应商协议，包括合同IT和网络安全要求
网络拓扑：
- 开发并维护准确的系统网络拓扑
- 识别资产间连接，帮助及时识别和响应事件
变更控制：
- 实施要求在新硬件或软件部署前获得批准的管理政策
- 维护经风险评估的批准硬件和软件允许清单
事件响应：
- 制定并维护事件响应计划，每年审查并适时更新

B. 系统层面要求

访问控制：
- 对所有系统实施多因素认证（MFA），或在技术上不可行时要求密码强度足够（15个或更多字符）
- 在员工离职或角色变更时迅速撤销凭证和访问权限
日志管理：
- 收集访问和安全事件日志（入侵检测/防御系统、防火墙、数据泄露防护、VPN和登录失败事件）
- 将日志安全存储在中央系统中，至少保存12个月
- 确保只有授权和认证用户才能访问或修改日志
连接控制：
- 默认拒绝所有对系统的连接，除非明确允许特定系统功能
身份管理：
- 在组织层面发布和管理授权用户、服务和硬件的身份和凭证
- 限制系统访问仅允许授权用户执行的交易和功能类型

C. 数据层面要求

根据内部数据风险评估，实施以下技术措施组合，防止我国企业访问未经处理的敏感数据：

1. 数据最小化和数据掩蔽

数据保留与删除：
- 维护并实施书面数据保留和删除政策，每年审查并更新
数据处理技术：
- 使数据不再成为涵盖数据，或在我国企业可访问前最小化与美国个人的关联性
- 应用聚合、假名化、去标识化或匿名化等技术
- 最小化数据的可观察性和关联性，确保无法从数据集推断或推断美国人身份
- 数据聚合必须基于至少达到"大量"阈值的记录数量

2. 加密技术

全面加密：
- 在传输和存储过程中加密所有涵盖数据（使用TLS 1.2或更高版本）
密钥管理：
- 生成并安全管理用于加密的密钥
- 不将加密密钥与涵盖数据共存
- 不在我国存储加密密钥（物理或虚拟方式）
- 确保我国实体无权访问加密密钥
- 将负责存储和访问加密密钥的系统视为受管制系统

3. 隐私增强技术

计算隐私保护：
- 应用同态加密等隐私保护计算技术
- 使用差分隐私技术（如在数据处理中注入足够噪声，防止从处理数据重建原始数据）
技术限制：
- 确保隐私增强技术应用不向我国实体泄露涵盖数据或可用于重建涵盖数据的信息
- 将实施此类处理的信息系统视为受管制系统

4. 身份和访问管理

配置身份和访问管理技术，拒绝我国企业在所有受管制系统中对涵盖数据的授权访问

2. 数据合规计划要求（2025年10月6日生效）

美国公司与我国企业进行限制性交易时，必须建立包含以下要素的数据合规计划：

a. 尽职调查程序

基于风险的数据流验证程序
供应商身份验证程序（特别是确认是否为受管制人）
书面数据合规计划政策（需由高管年度认证）
书面安全要求政策（需由高管年度认证）

b. 审计要求

每年进行全面、独立、客观的审计
审计必须由合格、胜任且独立的审计员执行
审计报告必须在完成后60天内提交给公司高管
审计报告保留至少10年

c. 记录保存要求

保存完整、准确的交易记录，可供检查至少10年
记录包括交易类型、涉及的数据类型和数量、交易方身份、数据的预期用途等

3. 报告要求

报告与非受管制外国人的数据经纪交易中发现的违反合同限制的情况（14天内）
报告拒绝的禁止性交易（14天内）
若参与云计算服务的限制性交易且有25%或以上股权由我国企业持有，需提交年度报告

六、我国企业出海美国的实用应对策略

1. 业务结构和法律安排

设立符合条件的美国实体：
- 在美国完全注册的子公司（非分支机构）
- 实施确保我国母公司持股比例低于50%的股权结构（考虑与美国合作伙伴合资）
- 为美国子公司建立独立的治理结构和决策机制
雇佣策略调整：
- 招聘美国本地员工处理敏感数据相关工作
- 明确定义我国员工职责，避免接触敏感数据
- 实施基于角色的访问控制，限制数据访问范围
- 为必须访问某些数据的我国员工创建隔离的访问环境
CFIUS考量：
- 对涉及美国公司的投资主动寻求CFIUS审查
- 在投资结构中纳入数据访问限制和安全保障

2. 技术架构与数据措施

数据分离架构：
- 在美国建立独立的IT基础设施和数据处理系统
- 实施物理和逻辑数据分离，确保我国业务无法访问美国敏感数据
- 使用分离的云实例或区域部署服务
强化数据保护：
- 实施CISA安全要求中规定的所有技术措施
- 使用FIPS 140-2/3认证的加密解决方案
- 在美国本地管理加密密钥，确保我国员工无法访问
- 实施数据失效机制，确保存储的数据在规定时间后自动删除
数据处理技术：
- 应用聚合和匿名化技术处理必须与我国团队共享的数据
- 实施同态加密等隐私增强技术，允许在不解密的情况下处理数据
- 开发符合CISA要求的去标识化流程

3. 合同策略与供应链考量

合同条款精确制定：
- 在与美国合作伙伴的合同中明确说明您的受管制人身份
- 提供详细的数据保护承诺和安全措施描述
- 包含数据访问和使用限制的明确条款
- 定义数据泄露通知流程和响应机制
供应商管理：
- 审慎选择美国本地供应商，避免间接数据转移风险
- 对供应商实施严格的安全评估和持续监控
- 要求供应商遵守与您相同的数据保护标准
第三方认证：
- 获取与CISA安全要求相关的安全认证（如SOC 2、ISO 27001）
- 进行独立安全评估，验证合规状态
- 建立持续监控机制，确保安全措施有效实施

4. 治理与合规框架

专门合规团队：
- 建立专门负责EO 14117合规的团队
- 指定美国本地合规官员，负责监督合规活动
- 确保高管层面的支持和问责
文档与证据收集：
- 详细记录所有合规措施和决策
- 保存安全控制实施证据
- 定期审查和更新合规文档
培训与意识提升：
- 为所有员工提供EO 14117合规培训
- 为处理敏感数据的员工提供专门培训
- 建立明确的违规报告程序
持续监控与改进：
- 实施持续合规监控机制
- 定期审查安全措施有效性
- 根据法规变化和执法实践调整合规策略

七、具体行业应用与实例

1. 技术与SaaS公司

挑战：处理大量用户数据，可能包含敏感个人信息 应对策略：

在美国建立独立的数据处理基础设施，专门服务美国用户
实施数据本地化架构，确保美国用户数据保留在美国
使用以下技术语言在隐私政策中明确表述：

"我们实施严格的数据分区策略，通过加密、访问控制和数据本地化，确保您的数据受到保护。所有美国用户数据仅在美国境内处理和存储，并遵循最严格的安全标准，包括[列出具体标准]。"

2. 医疗和生命科学企业

挑战：处理极其敏感的健康和基因数据，阈值较低 应对策略：

利用临床研究豁免开展必要的科学合作
对共享数据实施严格的去标识化处理
使用以下技术语言描述数据处理：

"所有生物医学研究数据均采用符合HHS条例的去标识化处理，并通过高级加密保护（AES-256）。我们实施K-匿名技术确保任何分析结果都无法重新识别个人，并部署差分隐私技术添加噪声以进一步保护个人隐私。"

3. 金融科技企业

挑战：处理大量个人财务数据，需确保符合金融服务豁免 应对策略：

明确区分属于金融服务豁免范围的核心业务和其他活动
实施强化的安全措施保护超出豁免范围的数据处理
在合规声明中使用以下技术语言：

"我们的系统实施多层次安全架构，包括TLS 1.3加密、实时异常检测、HSM保护的加密密钥管理，以及完全分离的数据处理环境。所有交易数据采用端到端加密，并通过银行级别的身份验证系统保护。"

4. 在美设立研发中心的场景

挑战：我国员工需要访问产品数据进行研发 应对策略：

为研发活动建立数据最小化流程，使用去标识化或聚合数据
实施符合CISA要求的安全控制
将涉及敏感数据的核心研发工作交由美国当地员工完成

5. 收购美国企业的场景

挑战：投资可能使美国目标公司成为限制性交易的主体 应对策略：

主动寻求CFIUS审查，获得豁免
设计合规的公司治理结构，限制对美国敏感数据的访问
在收购前进行全面的数据尽职调查，评估合规成本

八、合规声明与技术文档范例

1. 数据处理声明模板

[公司名称]承诺遵守美国EO 14117数据安全计划要求。我们实施以下技术措施保护敏感个人数据：

1. 数据分离：美国用户数据存储在物理和逻辑隔离的环境中，与全球其他运营完全分离
2. 加密保护：所有敏感数据使用AES-256加密算法在传输和存储中加密
3. 密钥管理：加密密钥存储在美国境内的FIPS 140-2认证HSM中，受多因素验证保护
4. 访问控制：实施基于零信任架构的严格访问控制，要求多因素认证和最小权限原则
5. 数据最小化：我们仅收集必要数据，并应用先进的聚合和去标识化技术

2. 安全控制技术规范示例

数据安全控制措施技术实施细则：

1. 网络安全：
   - 实施合理的网络安全区域划分，将包含敏感数据的系统与其他系统隔离
   - 部署下一代防火墙，基于应用层协议检测和阻止未授权访问
   - 实施异常流量检测和自动响应机制

2. 身份验证：
   - 要求所有用户使用FIDO2兼容的硬件安全密钥进行MFA
   - 实施条件访问策略，评估设备健康状况、地理位置和用户行为
   - 针对特权访问实施实时会话监控和记录

3. 数据保护：
   - 使用高强度字段级加密保护敏感数据元素
   - 实施动态数据掩蔽，根据用户角色自动隐藏敏感字段
   - 应用形态保持加密技术，保留数据格式同时加密内容