前言
近年来,美国出台了一系列政策举措,试图与中国在经济、科技、贸易等多个领域进行“脱钩”,包括由美国外国投资委员会(CFIUS)牵头的外商投资审查、美国商务部牵头的对包括中国在内的外国对手在信息通讯技术与服务(ICTS)领域的交易审查、美国商务部产业安全局(BIS)等部门牵头的出口管制体系等。
在已有的一系列“脱钩”政策举措中,敏感个人数据保护是被关注的问题之一,例如,CFIUS有权以国家安全为由禁止或中止外资对美国公司的并购交易,其中对敏感个人数据的保护是衡量国家安全的重要因素[1];美国商务部对外国对手在ICTS领域交易审查的审查要点包括美国人的敏感数据是否会被外国对手政府掌握[2]。
2024年2月28日,美国前总统拜登签署第14117号行政命令,即《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(Executive Order on Preventing Access to Americans" Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern)(“《14117行政令》”)。除了美国政府相关数据外,《14117行政令》拟系统性地防范敏感个人数据流动带来的国家安全风险。这一政策改变了美国长期以来奉行的“数据跨境自由流动”原则。
《14117行政令》要求美国司法部颁布实施此行政令的具体规则[3]。美国司法部分别在2024年3月5日发布第一次征求意见稿的预通知(Advance Notice of Proposed Rulemaking,“ANPRM”)[4],在10月21日发布第二次征求意见稿的通知(Notice of Proposed Rulemaking,“NPRM”)[5],向公众征求意见。
2024年12月27日,美国司法部发布了《防止受关注国家或受保护人员获取美国敏感个人数据和与政府有关的数据》(Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons)的最终规则(“《14117最终规则》”)。《14117最终规则》于2025年1月8日在美国《联邦公报》上发布[6]。
01
《14117最终规则》何时生效?
根据《14117最终规则》,其将在美国《联邦公报》上公布后90日,即2025年4月8日生效,其中部分尽职调查、审计、报告义务将于公布后270日,即2025年10月6日起实施。
值得注意的是,根据美国法律,现任总统有权撤销前任总统发布的行政令,新一届政府亦有权通过特定程序撤销《联邦公报》发布的行政法规。特朗普于2025年1月20日就职美国现任总统,并于上任首日就废除了拜登政府颁布的多项行政命令[7]。目前被废除的行政命令中不包括《14117行政令》,但不排除特朗普政府后续可能进一步调整《14117行政令》及《14117最终规则》。因此该等规定是否以及在何种程度能落地实施仍存在不确定性。
02
《14117最终规则》将对哪些企业产生影响?
《14117最终规则》将对开展海外(尤其是美国)业务的中国企业产生较大影响,其影响面非常广泛。
中国企业在美国的关联公司与中国企业的业务往来将受到不同程度的禁止或限制。一些美国企业也可能要求与中国有关联的企业未来在合同中承诺不会从事导致违反《14117最终规则》的活动,因此即便对于在美国没有业务或关联公司的中国企业,其在其他海外国家的业务依然可能受到影响。例如,中国企业有一名新加坡的客户,由于新加坡客户的上游客户是美国公司,那么新加坡客户可能会在美国公司的要求下,终止或限制可能导致中国企业间接获取美国数据的业务。
除了中国企业外,境外跨国公司(尤其是总部在美国的跨国公司)与在中国的关联公司的业务往来也可能受到不同程度的禁止或限制。
其中,部分行业可能受到更为明显的冲击:
一是大量依赖数据经纪人出售的数据以进行广告投放与营销的行业,包括跨境电商、社交媒体、流媒体、保险、医疗与养老等行业。在《14117最终规则》正式实施后,除非获得了相关许可,中国公司从美国数据经纪人处获取大量潜在美国客户敏感个人数据的交易将被禁止。
二是需要大量数据用于训练算法和开发产品的AI行业。对于AI行业,首先需要大量底层数据用于训练算法,继而再开发通用型或垂直型的AI产品。《14117最终规则》明确,如果算法不会导致使用者可以访问用于算法训练的底层数据,则可以向受关注国家和受规制主体提供使用受规制数据训练的算法[8]。反之,如果提供的算法或AI产品可以导致受关注国家或受规制主体获取受规制数据,则提供算法或AI产品的行为构成数据经纪交易,从而被禁止[9]。
三是可能获取地理位置数据的汽车、出行、地图、工业机械等行业。能够以1000米以内的精度确定个人或设备物理位置的历史数据和实时数据属于敏感个人数据。结合美国商务部于2024年12月6日发布的对中国国家的信息与通信技术和服务(Information and Communications Technology and Services)的供应链审查规则[10],美国正在对中国网联汽车和相关组件供应商在美国的业务实施全面审查。
03
《14117最终规则》重点规制什么?
《14117最终规则》通过禁止或限制“美国人”与“受关注国家”或“受规制人士”之间涉及大量“敏感个人数据”或任何“美国政府相关数据”且不属于可豁免范围的交易,以防止“受关注国家”或“受规制主体”获取大量“美国人的敏感个人数据”或与“美国政府相关的数据”。
根据《14117最终规则》,美国人不得开展同时满足以下五项条件的交易:
《14117最终规则》并不是直接一刀切地禁止或限制美国人向受关注国家或受规制主体传输敏感个人数据或美国政府相关数据,而是以“交易”为抓手,以美国人为监管对象,禁止或限制美国人开展涉及大量美国人的敏感个人数据或任何政府相关数据的特定交易,防止受关注国家或受规制主体获取相关数据。
《14117最终规则》强调,任何以规避为目的导致违反《14117最终规则》的交易都是被禁止的,例如通过将相关数据先传输至非受关注国家或非受规制主体,再从该等国家或主体传输至受关注国家或受规制主体来规避《14117最终规则》监管的行为[11]。
04
如何理解美国人、受关注国家和受规制主体的范围?
美国人(United States person或U.S. person)
《14117最终规则》对“美国人”(United States person或U.S. person)的定义与NPRM一致,其中“人”包括自然人和法人主体;[12]“美国”包括美国的领土和属地,以及美国拥有管辖权的所有地区。[13]据此,“美国人”涵盖了:
1)任何美国公民、国民,或拥有美国合法永久居留权的自然人;
2)任何根据美国法典以难民身份进入美国或受美国庇护的人;
3)仅根据美国法律或在任何美国的司法管辖区成立的任何实体(包括外国分支机构);
4)任何在美国的人[14]。
根据《14117最终规则》提供的示例,以下个人或实体属于《14117最终规则》下的“美国人”:
1)总部在中国的企业的美国子公司(无论中国母公司所持股比)[15];
2)在美国生活或工作的中国公民[16];
3)美国公民,无论其所在地,也无论是否是双重国籍[17];
4)设立在美国的公司及其在受关注国家的分公司[18]。
需要注意,美国公司在受关注国家的子公司,以及总部在中国企业的美国分公司,不是美国人,而是外国人[19]。
受关注国家(country of concern)
根据《14117最终规则》,识别受关注国家的标准为:
1)
长期从事会显著损害美国国家安全或美国人的安全与保障的行为;并且
2)
存在利用大量美国人敏感个人数据或政府相关的数据对美国的国家安全或美国人的安全与保障造成损害的重大风险[20]。
从ANPRM到NPRM,再到《14117最终规则》,受关注国家的范围始终保持一致,均为中国(包括中国香港和中国澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉[21]。受关注国家清单可被不时修改,并且该等修改将适用于修改生效之日或之后启动的、待定的、或完成的任何受监管数据交易[22]。
受规制主体(covered person)
与ANPRM和NPRM相比,《14117最终规则》对受规制主体的定义进行了调整。美国司法部认为ANPRM和NPRM只考虑了直接或间接持有50%及以上股权的问题,但并未考虑多个受关注国家或受规制主体合计持有50%及以上股权同样可能带来法规所定义的美国国家安全风险[23]。因此,《14117最终规则》修改了受规制主体的定义和表述,使其“50%及以上”的股权标准与美国OFAC制裁的“50%规则”一致,统计多个受关注国家和受规制主体合计持有的股权比例[24]。这一修改使某些具有复杂股权结构的主体能够被穿透统计股权比例,从而将使更多主体被认定为受规制主体。
具体而言,受规制主体是指满足以下任一情形的主体:
1)由一个或多个受关注国家或2)所述主体直接或间接、单独或合计拥有50%或以上股权的实体,以及在受关注国家注册或其主要经营地在受关注国家的实体;
2)由1), 3), 4), 5)中所述一个或多个主体直接或间接、单独或合计拥有50%或以上股权的实体;
3)受关注国家或1), 2), 5)中所述主体的雇员或承包商;
4)主要居住在受关注国家领土管辖范围内的外国人(即非美国人,包括自然人和实体);或
5)无论其位于何处,由美国司法部部长认定的:(i)将要、已经、或未来可能被受关注国家或受规制主体拥有或控制,或受其管辖或指导的主体;或(ii)代表、意图代表、或可能代表受关注国家或相关人员行事的主体;或(iii)故意导致或指示违反,或可能故意导致或指示违反《14117最终规则》的主体[25]。
即使受关注国家或受规制主体直接或间接,单独或合计持有相关实体的股权不超过50%,但如果可以实际控制相关实体,相关实体受其管辖或指导,或相关实体可能代表其行事,仍有可能被认定为“受规制实体”。美国司法部提示,美国人在与未达到50%股权标准的主体开展受规制的数据交易时,应谨慎行事,因为这些主体可能通过股权以外的方式被受关注国家或受规制主体控制;股权比例可能波动从而达到50%,且该等实体可能由美国司法部根据重大控制权益指定[26]。
05
《14117最终规则》涉及哪些数据类型?
《14117最终规则》所涉及的数据类型包括美国人的大量敏感个人数据(bulk U.S. sensitive personal data)和政府相关数据(government-related data)。相较于NPRM,《14117最终规则》扩充了敏感个人数据的类型,将NPRM中的人类基因组数据扩大为人类组学数据,其中包括人类基因组数据、人类表观基因组数据、人类蛋白质组数据和人类转录组数据[27];并且,除人类基因组数据外,这一类型“大量”(bulk)的标准也由100提升至1,000[28]。政府相关数据的定义则并无变化。
根据《14117最终规则》,匿名化、假名化、去标识化或加密后的敏感个人数据依旧属于《14117最终规则》所定义的敏感个人数据[29]。美国司法部认为,匿名化数据依旧有可能被恢复可识别性,且大量匿名化数据本身依旧包含国家安全风险。例如大量匿名化的美国人敏感个人数据可以反映这个群体的弱点,可能被用于军事打击,如生化武器;即使少量美国敏感的个人数据,也可以用来对更大的群体进行统计推断或得出结论[30]。
《14117最终规则》规制的具体数据类别和“大量”的具体标准详见下方表格:
06
哪些交易被禁止或限制?
《14117最终规则》明确了受规制的交易类型包括被禁止的交易(prohibited transaction)和被限制的交易(restricted transaction)。
被禁止的交易
被禁止的交易包括:
1)在明知的情况下与受关注国家或受规制主体开展数据经纪交易[42]。数据经纪交易是指数据接收方不直接从与数据相关联的个人处收集数据,而是从数据提供方处购买数据、被许可访问数据或其他类似的商业交易,不包括雇佣协议、投资协议或供应商协议[43]。从法律规定文本来看,数据经纪交易的范围比较广,只要数据接收方没有直接从与数据相关联的个人处直接收集相关数据,而是间接从其它提供方购买、获取许可访问或者通过其它商业交易获取相关数据,均可能会落入数据经纪交易的范畴。
2)在明知的情况下与非美国人的外国人开展数据经纪交易,除非通过合同要求外国人不得后续开展涉及数据经纪业务的受监管数据交易,将数据转售或提供给受关注国家或受规制主体,并向美国司法部报告任何外国人对相关合同的违反[44]。
3)在明知的情况下与受关注国家或受规制主体开展涉及大量人类组学数据或可能衍生出大量人类组学数据的人类生物样本交易[45]。
4)在明知的情况下指示旨在规避被禁止或被限制交易类型的交易[46]。例如,一位受雇于总部在中国公司的中国人到美国出差,与这家中国公司在美国的子公司开展业务(该情况下,美国子公司属于美国人,在美国出差的过程中该中国人被视为美国人,而该中国人不在美国的时候属于受规制主体)。如果美国子公司明知该中国人是临时出差并后续会回中国仍然将受规制数据提供至该中国人,属于规避《14117最终规则》的交易,因而被禁止[47]。
5)在明知的情况下指示任何不符合关于被禁止的交易或被限制的交易的规则的交易[48]。例如,若几个美国人在美国境外创办、拥有并经营一家外国公司,并指示该外国公司开展受监管数据交易,该等交易如果直接由美国人开展是被禁止的,这属于美国人在明知的情况下指示被禁止的交易[49]。
被限制的交易
被限制的交易包括在明知的情况下与受关注国家或受规制主体开展涉及供应协议、雇佣协议或投资协议的受监管数据交易,除非满足相关安全要求[50]。具体来说:
1)供应协议指除了雇佣协议以外,一方向另一方提供产品或服务(包括云计算服务)以获取金钱或其他形式对价的协议[51]。
2)雇佣协议指自然人(不包括独立承包商)为一方工作或履行工作职责以获取金钱或其他形式对价的协议,包括在董事会或委员会的聘用、管理层的安排或服务,以及运营层面的聘用服务[52]。
3)投资协议指即一方以金钱或其他形式对价获取与位于美国的房产、或美国法人实体相关的直接或间接的所有权权益或权利,但不包括某些被动投资交易,例如通过证券交易所进行的交易,仅使受规制主体获得总共少于10%的投票权和股权的交易,或受规制主体未获得标准的小股东保护性权利(如在董事会任观察员)以外权利的交易[53]。
4)安全要求指国土安全部下属网络安全与基础设施安全局(Cybersecurity Infrastructure Security Agency,“CISA”)公布的安全措施要求[54]。这些安全措施要求包括采取组织网络安全政策和实践、使用数据掩码和最小化、加密、使用隐私增强技术等[55]。
被豁免的交易
除了被禁止的交易类型和被限制的交易类型,《14117最终规则》还规定了11种被豁免的交易类型(Exempt transactions),不受上述禁止或限制,包括:
1)不转移任何有价值物品的个人通信;
2)信息或信息材料(表达性材料,如出版物、电影、海报、磁带、艺术作品等,不包括具有功能性和技术性的信息[56])的进出口,无论是否商用;
3)通常附属于、并且是旅行的一部分的数据交换,包括有关个人行李、旅行生活费用和行程安排的数据;
4)美国政府的公共事务活动;
5)通常附属于、并且是金融服务的一部分的交易,例如银行与证券业的金融服务、购物所产生的个人财务数据和个人标识符的数据交换等;
6)美国公司与其位于受关注国家的境外子公司或境外关联公司(或另行受限于所有权、指示、管辖权或控制的公司)之间通常附属于行政事务或辅助性业务的集团间交易,包括人力资源管理、工资支付、费用监控和报销、税费缴纳、取得营业执照、出于监管合规要求与会计师和律师事务所分享数据、风险管理、差旅、客户支持、员工福利和员工的内部和外部沟通等;美国司法部明确指出,这些被列举出的辅助性业务活动不是穷尽列举[57]。因此,对于集团内部的活动,仍需以个案判断为原则分析该活动是否符合被豁免的条件;
例如,一家美国公司的中国子公司经营一家工厂,为美国公司生产产品。中国子公司属于受规制主体。中国子公司使用员工指纹验证进行厂区和车间的访问控制和身份验证。美国公司的员工为了履行工作职责,有时也需要进入中国工厂。为此,美国公司向中国子公司提供了大量美国员工的指纹。这一交易是被豁免的集团间交易,因为向中国子公司提供指纹的交易是公司业务活动的辅助性部分[58]。
又例如,一家跨国集团在中国和美国均有公司。其中中国公司的主要业务是为美国公司提供研究与产品开发功能。现在美国公司将大量美国人的个人财务数据传输给中国公司,用于使中国公司开发财务软件。这一交易不属于被豁免的集团间交易,因为这一项交易不附属于美国公司的行政事务或辅助性业务[59]。
7)美国联邦法律或国际协议所要求或授权的交易(如国际刑警组织发出的搜查令等);
8)受限于CFIUS措施的投资协议;
9)通常附属于、并且是电信服务一部分的交易,不包括数据经纪交易;
10)交易涉及为了获得或维持在受关注国家批准药品、生物制品、医疗设备或前述产品组合所必需的监管审批数据;监管审批数据是去标识化或假名化的,为获取或维持药品、生物制品、医疗器械或前述产品组合所需的审批或授权需要提交给监管部门或受规制主体的数据;
11)其他涉及临床研究和上市后监测数据的交易[60]。
07
有哪些开展交易的合规路径与要求?
1. 一般许可与特别许可
《14117最终规则》明确,无论是被禁止的交易还是被限制的交易,若获得美国司法部发放的许可,则可以继续开展。许可分为两类。一是一般许可,适用于某一类型交易且不限定于特定主体[61];二是特别许可,只向特定的一个或多个主体颁发,或仅针对特定的一项或多项交易[62]。一般许可由美国司法部决定是否颁发,不允许主体自行申请;特定许可需要主体自行申请,并经美国司法部审核批准。[63]
为获得并适用一般许可或特别许可,相关美国人可能需要满足特定报告义务,若未满足相关报告义务,可能会使相关许可下赋予的授权无效[64]。
就受限制的交易而言,如果可以满足CISA的相关安全要求,则可能被解除相关限制,而无需再获得一般或特别许可。
2. 数据合规计划
自2025年10月6日起,开展受限制交易的美国人应制定并实施数据合规计划,用于对被限制的交易开展尽职调查[65]。该计划应至少包括以下内容:
1)用于核实被限制的交易中涉及的数据流的基于风险的程序;
2)用于核实供应商身份的基于风险的程序(若涉及供应商);
3)描述数据合规计划的书面政策,需由负责合规的公司管理人员或员工每年确认;
4)描述履行CISA规定的安全要求的书面政策,需由负责合规的公司管理人员或员工每年确认;
5)其他美国司法部部长要求的信息[66]。
3. 审计
自2025年10月6日起,开展受限制交易的美国人应进行符合《14117最终规则》要求的审计。具体要求涵盖审计师资质、最低频率要求(每日历年一次)、审计范围、审计报告内容要求等。审计报告及相关记录应保存至少10年[67]。
4. 记录留存
开展被禁止或被限制的交易的美国人,应在开展交易之日起至少10年内保存每笔交易的准确记录[68]。对于开展被限制交易的美国人,还需另外保存数据合规计划、审计、尽职调查文件、每笔交易的详细记录等材料[69]。
5. 报告
《14117最终规则》要求,任何美国人都有义务配合美国司法部要求提供关于任何行为或交易的报告,或提供美国司法部要求的其他形式的材料,无论相关交易是否经许可开展[70]。
自2025年10月6日起,除了应美国司法部要求进行报告,部分美国人还应主动进行年度报告。任何开展涉及云计算服务的被限制交易并且由受关注国家或受规制主体拥有(直接或间接、通过任何合同、安排、谅解、关系或任何其他方式)25%及以上股权的美国人,应当最迟在交易发生次年的3月1日提交上一年度参与的该交易的年度报告,报告内容包括对交易的描述,以及与形成交易相关或在交易中收到的文件等[71]。尽管如此,《14117最终规则》尚未明确云计算服务的含义和范围。
另外,《14117最终规则》还要求,自2025年10月6日起,任何收到并拒绝(包括通过使用软件或其他数字工具自动拒绝)他人从事被禁止的数据经纪交易要约的美国人,必须在拒绝该交易要约后的14天内提交报告,报告内容包括对被拒绝交易的描述,以及与该交易相关的文件等[72]。
08
违反《14117最终规则》的法律后果是什么?
《14117行政令》源于美国《国际紧急经济权力法》(The International Emergency Economic Powers Act)的授权。因此,违反《14117行政令》及《14117最终规则》的后果也引致该法[73]。
根据《14117最终规则》,对于一般的违规,违规者将被处以不超过368,136美元或违规交易金额的两倍的民事罚款,两者取其高。对于蓄意违规、协助或教唆违规的行为,对违规主体处以不超过100万美元的刑事罚款,或监禁20年(对自然人而言),或两者并处[74]。
09
相关企业可以采取哪些应对措施?
为了应对《14117最终规则》,相关企业可以考虑采取以下应对措施:
1)美国企业(包括在中国设有实体的美国企业、中国企业在美国的子公司等)需对业务活动进行全面梳理,排查是否和中国公司或个人开展受禁止或限制的交易;在美国设有子公司的中国企业,或其他涉及与美国人交易的中国企业,亦需对业务活动进行全面梳理,排查是否和美国公司或个人开展受禁止或限制的交易,还需排查其涉美业务的供应商是否属于受规制主体;
2)若经判断可能涉及受禁止或限制的交易,则应视情况采取相应合规措施:i) 就受限制的交易而言,可自行并促使相关方满足CISA的安全要求,及其他合规要求,如数据合规计划、审计等;ii) 就受禁止或限制的交易而言,美国企业可考虑将相关敏感个人数据和政府相关数据本地化存储,并避免让包括中国企业在内的受规制主体远程访问;相应的,为美国企业提供服务的中国企业可以考虑在美国设立子公司,或将服务器部署在美国并在本地存储、处理相关数据;iii) 就相关受禁止或限制的交易进行详细记录,并妥善保存该等记录;iv) 加强公司内部合规体系的搭建以及对员工的培训;
3)即使现阶段可能还不涉及受禁止或限制交易,但涉及开展美国业务的中国企业和涉及开展中国业务的美国企业仍需:i) 加强数据分类分级管理,方便排查是否开展涉及大量敏感个人数据或政府相关数据的受禁止或限制交易;ii) 定期排查其业务活动是否可能落入受禁止或限制交易,从而受《14117最终规则》的规制;iii) 涉及开展中国业务的美国企业需通过合同要求不得后续开展涉及数据经纪业务的受监管数据交易,将数据转售或提供给受关注国家或受规制主体;
4)尽管《14117最终规则》是“最终规则”,但特朗普政府上台后仍可能对该规定进行调整,美国司法部后续也可能继续发布具体的解释与实施细则。相关企业应持续关注法规更新和监管动态,并不断视情况相应调整企业内部合规制度与措施。
10
中国企业应对《14117最终规则》是否可能有中国法下的合规风险?
如问题7所述,为了满足《14117最终规则》,美国人可能需要向美国司法部履行一定报告义务。为了满足该等报告义务,美国人可能会要求其在中国的交易方提供配合,包括但不限于提供履行报告义务所需的相关数据。
根据中国《数据安全法》第36条规定,非经我国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据(含个人信息)。中国企业如果明知向美国人提供相关数据是为了向美国司法部履行报告义务,可能属于间接向外国司法或者执法机构提供存储于中国境内的数据,从而可能触发《数据安全法》第36条。中国企业需尽可能避免为满足《14117最终规则》之目的而违反中国数据保护相关法律法规的要求。
此外,针对数据出境,中国企业也需视情况履行数据出境安全评估、个人信息标准合同备案或个人信息保护认证等前置程序(如适用)。
结语
如果《14117最终规则》按现有内容正式实施,将对已在美国运营或将要出海美国的中国企业,以及已在中国运营的美国企业产生较大影响,并带来较大的合规挑战。距离《14117最终规则》正式生效已不足三个月,企业需密切关注《14117行政令》及《14117最终规则》的进展动态,并利用法规生效前的窗口期梳理和排查现有业务,对照识别被禁止或限制的交易类型,提前准备合规方案,从而确保业务的稳定和持续发展。
脚注:
[1] Foreign Investment Risk Review Modernization Act of 2018, SEC. 308 (13), (15)
[2] Securing the Information and Communications Technology and Services Supply Chain, § 791.103
[3] 《14117行政令》,Sec.2
[4] Advance notice of proposed rulemaking. https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and
[5] Notice of proposed rulemaking. https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks
[6] Final Rule. https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-us-sensitive-personal-data-and-government-related-data-by-countries-of-concern
[7] Initial Rescissions of Harmful Executive Orders and Actions: https://www.whitehouse.gov/presidential-actions/2025/01/initial-rescissions-of-harmful-executive-orders-and-actions/
[8] 《14117最终规则》,IV. B. 17
[9] 《14117最终规则》,§202.301(b)
[10] Securing the Information and Communications Technology and Services Supply Chain. https://www.federalregister.gov/documents/2024/12/06/2024-28335/securing-the-information-and-communications-technology-and-services-supply-chain
[11] 《14117最终规则》§ 202.304;案例3:一家总部设在受关注国家的公司的美国子公司从美国人那里收集大量精确的地理定位数据。该美国子公司是美国人,母公司是受规定主体。为了规避监管,该美国子公司与一家不是受规定主体的外国公司签订了一份供应商协议。该供应商协议向该外国公司提供了对数据的访问权限。美国子公司明知(或合理应当知道)该外国公司为壳公司,且知悉该外国公司随后将供应商协议外包给美国子公司的母公司(受规定主体)。此交易行为具有规避监管的目的,是被禁止的
[12] 《14117最终规则》,§ 202.238
[13] 《14117最终规则》,§202.255
[14] 《14117最终规则》,§202.256
[15] 《14117最终规则》,§202.256 (b), Example 8
[16] 《14117最终规则》,§202.256 (b), Example 1
[17] 《14117最终规则》,§202.256 (b), Example 2, 3
[18] 《14117最终规则》,§202.256 (b), Example 5
[19] 《14117最终规则》,§202.256 (b), Example 6, 7
[20] 《14117最终规则》,§202.209
[21] ANPRM,E. Countries of Concern;NPRM,§202.601;《14117最终规则》,§202.601(a).
[22] 《14117最终规则》,§202.601(b)
[23] ANPRM,F. Covered Persons;NPRM,§202.211
[24] 《14117最终规则》,IV. F. 1
[25] 《14117最终规则》,§202.211
[26] 《14117最终规则》,IV. F. 1
[27] NPRM,§202.224, 249;《14117最终规则》,§202.224, 249
[28] NPRM,§202.205;《14117最终规则》,§202.205
[29] 《14117最终规则》,§202.206
[30] 《14117最终规则》,IV., p25-26
[31] 《14117最终规则》,§202.249
[32] 《14117最终规则》,§202.205
[33] 《14117最终规则》,§202.212
[34] 《14117最终规则》,§202.234
[35]《14117最终规则》,§202.242
[36]《14117最终规则》,§202.204
[37] 《14117最终规则》,§202.224
[38] 《14117最终规则》,§202.241
[39] 《14117最终规则》,§202.240
[40] 《14117最终规则》,§202.222
[41] 《14117最终规则》,§202.245
[42] 《14117最终规则》,§202. 301
[43] 《14117最终规则》,§202.214
[44] 《14117最终规则》,§202. 302
[45] 《14117最终规则》,§202.303
[46] 《14117最终规则》,§202.304
[47] 参考《14117最终规则》,§202.304, Example 2
[48] 《14117最终规则》,§202.305
[49] 《14117最终规则》,§202.305, Example 2
[50] 《14117最终规则》,§202.401
[51] 《14117最终规则》,§202.258
[52] 《14117最终规则》,§202.217
[53] 《14117最终规则》,§202.228
[54] 《14117最终规则》§202.248
[55] Notice of Availability of Security Requirements for Restricted Transactions Under Executive Order 14117. https://www.federalregister.gov/documents/2025/01/08/2024-31479/notice-of-availability-of-security-requirements-for-restricted-transactions-under-executive-order
[56] 《14117最终规则》,§202.226
[57] 《14117最终规则》,IV. D. 4, p170.
[58] 《14117最终规则》,§202.506, Example 3
[59] 《14117最终规则》,§202.506, Example 4
[60] 《14117最终规则》,§202.501-§202.511
[61] 《14117最终规则》,§202.801
[62] 《14117最终规则》,§202.802
[63] 《14117最终规则》,IV. G. Subpart H; §202.802
[64] 《14117最终规则》,§202.801, 802
[65] 《14117最终规则》,§202.1001
[66] 《14117最终规则》,§202.1001
[67] 《14117最终规则》,§202.1002
[68] 《14117最终规则》,§202.1101(a)
[69] 《14117最终规则》,§202.1101(b)
[70] 《14117最终规则》,§202.1102
[71] 《14117最终规则》,§202.1103
[72] 《14117最终规则》,§202.1104
[73] 《14117最终规则》,§202.1301
[74] 《14117最终规则》,§202.1301
本文作者
赵新华
合伙人
公司业务部
atticus.zhao@cn.kwm.com
业务领域:公司并购、外商直接投资、公司重组、数据及隐私保护
赵新华律师拥有十多年的法律从业经验,曾为多家知名国内外企业提供法律服务,包括股权或资产收购、转让、公司重组、设立合资公司、特许经营、数据及隐私保护等,涉及的行业包括汽车、人工智能、物联网、高科技、零售、教育、现代农业、工业制造、船舶和医药等。赵新华律师对智能汽车、车联网领域的法律问题有着深入的研究,并为国内外众多客户提供并购、市场准入及合规方面的法律服务。
王哲峰
顾问
公司业务部
单文钰
主办律师
公司业务部
米华林
律师助理
公司业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。