一年前的春天,Tiktok在聊剥离、贸易战刚开打,中美关系紧张。在这个情绪笼罩下,指向性强烈且覆盖面极大的EO14117配套司法部最终规则于2025年的4月8日正式生效,看到美企微软关闭外包中心、PayPal大幅裁撤上海办公室员工等新闻,出海中企处在同一个迷茫时刻,难道未来美国业务真的没法做了吗?

一年过去,贸易战无论是在最高法院层面还是谈判层面都已经有了实质性的进展,最可怕的事情并没有发生。EO14117也是同样,目前没有看到司法部实际的执法案例。接下来会怎么样?EO14117是不是雷声大雨点小?此前做的合规工作是不是白做了?后续还要不要继续投入合规资源?

站在一年后的2026年4月8日,让我们回顾一下过去一年围绕EO14117都发生了哪些事情,风平浪静的表面下,是否存在暗流涌动。

为便于后文表述,本文将拜登总统于 2024 年 2 月 28 日签署的第 14117 号行政命令——《防止相关国家获取美国人的大量敏感个人数据和与美国政府有关的数据》——以及司法部根据该命令于 2024 年 12 月 27 日发布的《最终规则》,统称为“EO 14117”。

一、官方层面:风平浪静

EO14117中的限制性和禁止性交易于 2025 年 4 月 8 日正式生效,之后美国司法部国家安全司(National Security Division,NSD)在合规指南中设立了 90 天的有限执法期,表示在此期间内对于“真诚努力”遵守 DSP 的公司和个人,将降低民事执法行动的优先级。

可是,一年之后,截至2026年4月8日,美国官方司法部层面未见任何公开的执法行动。

EO14117的执法主要落在NSD,更具体地说,是由其下的一个外国投资审查科(Foreign Investment Review Section,FIRS)负责。历史上,FIRS 由大约 10 至 20 名成员组成。

对于FIRS是否能够有效执行这项规则,一些学者在EO14117通过之初就已经提出质疑(具体请见此前的分析文章),因为FIRS传统上并不是一个诉讼部门,过去侧重于配合CFIUS/FCC/ICTS等团队做交易审查/合规监督,规模相对较小、调查资源有限,此次是第一次实际的有刑事及民事执法权。

我在去年的文章中提到,两位EO14117最终规则执法团队成员在播客中透露其计划在2024年底将团队规模扩张到17人。但任何发展都要考虑到历史的进程,24年底Trump上任后,美国司法部在2025年经历了剧烈的人事变化,无论是年初的DOGE计划,还是Bondi上任后的人员调整,根据《纽约时报》报道2025年司法部中有近五千名工作人员离开。

回到EO14117司法部最终规则上来,去年文章中提到的司法部最终规则起草工作的几位主要负责人目前均已离职:

FIRS的负责人---Devin A. DeBacker于2026年3月离职。

其副手,在2024年多次参加访谈透露司法部最终规则起草的FIRS Principal Deputy Chief---Eric S. Johnson,去年10月也离开司法部。

另外一位在FIRS专注于National Security Data Risks的Deputy Chief---Lee Licata于2026年1月离职,并透露过去一年经历了“创伤”。

此外,从更高层看,司法部最终规则当时的签署人,NSD的老大Matthew G. Olsen,早已于2025年1月就已离开。

内部团队的动荡必然会影响执法的力度,当然对企业来说这也算显著的利好。一是合规治理的缓冲期又拉长了,二是感谢旋转门如此顺滑,这些最懂执法规则的专家纷纷转到专业的律所执业后,企业在做相关法律咨询的时候也更有目标了。(如果真有企业看到这里去咨询了,请友情提示他们记得给大洋彼岸的自来水笔者打钱)

不过,2026年3月底,翻看NSD官网时仍然看到FIRS团队在招人,证明监管需求还是在的,2026年仍需要继续关注逐渐恢复元气的司法部后续可能采取的执法行动。

二、民间层面:暗流涌动

我们都知道EO14117中并未设置私人诉权,民间个人/组织可以向司法部举报,但并不能以此为由向法院起诉。但在有强大集体诉讼传统的律师国家来说,敏锐的律师团队怎么会轻易放弃这块市场。

根据观察,目前至少有6起将EO14117作为违法事由,借用其他具有私人诉权的法律条款,迂回实现诉讼的案子。值得注意的是,这些案件迄今几乎不约而同地集中在广告营销场景,这一点也与我去年在文章中的判断基本一致。

数据经纪、数字广告是监管重点。司法部在规则的背景介绍部分引用了多份第三方研究报告,强调通过APP/SDK/Cookie/GPS等数字技术收集到的大量数据(订单/通讯记录/位置数据/设备标识符等),在数字广告市场中被不受控制地广泛访问、出售后,危害到了美国国家安全。

陆天渊,公众号:置身数外EO14117今起正式生效,4条管制主线、5个尚未解决的问题和6个关键概念

近几年围绕着Pixel / Beacon / Cookie等在线跟踪技术的“窃听”指控持续增长,关注美国隐私集体诉讼朋友一定很熟悉其中惯用的起诉套路,由于其中涉及content/等争议,美国不同地区的法院在不同案例中体现出不同的裁决倾向,虽然单个违规行为的处罚金额不高,但一旦被认定违法,由于这种诉讼往往都是集体诉讼,再小的金额乘上百万以上的人数也是个难以承受的天文数字。

复杂的监管态度已经让人很头痛了,在EO14117生效之后,敏锐的原告律师创造性的将这一出于国家安全考虑的数据跨境传输限制,作为佐证其“窃听”行为其实是为了非法创设给受管制国家组织/个人访问美国个人数据渠道的非法目的,进而迂回实现EO14117违规可诉。

以常见的《电子通信隐私法案》(Electronic Communications Privacy Act)为例,可以更清楚地看到这一路径是如何被搭建出来的。

ECPA第2511条,原则上禁止任何人“故意拦截、企图拦截,或唆使他人拦截或企图拦截任何有线、口头或电子通信。”

一个典型场景是:网站嵌入广告追踪工具(如Cookie/Pixel),收集用户数据(设备信息/广告ID/IP地址/访问URL/页面内容等)并通过自动化广告系统(如RTB)向下游广告合作商传输,而这些下游广告合作商与中国公司相关。

在这类案件中,原告通常会分几步完成论证:

第一步,它先把用户访问网站时产生的传输,定性为受 ECPA 保护的 “通信内容”。

用户与网站之间传输的是 signals/data等,属于电子通信,之后进一步把 full-page URLs/search queries/page titles说成是通信的内容(content)。

第二步,它要证明技术工具属于“device”,并且发生了“拦截”。

原告论证Cookie/Pixel等在线追踪工具都是 ECPA 意义上的电子/机械装置。同时强调。这些代码嵌在网页源代码中,在页面加载和浏览器渲染过程中实时拦截获取用户与网站之间的通信内容,而不是事后访问已存储数据。

第三步,证明这是“故意拦截”,且不存在有效同意。

在线追踪的代码会自动执行、自动把用户和网站之间的第一方通信重定向给广告商及其广告伙伴,用户既无法察觉,也无法真正阻止。而广告商往往是第三方,没有提供清晰、显著的通知,不存在明示或默示同意。这一段的目标很明确:堵住被告以后可能提出的 consent defense(同意抗辩)。

而真正关键的转折,发生在对 ECPA “当事方豁免”规则的处理上。

在传统路径下

广告商长期依赖ECPA在第2511(2)(d)条明确的“当事方豁免”(Party Exception),即如果通讯的一方当事人参与了拦截,或事先征得了一方同意,那么该拦截行为本身通常不被视为违法。

广告平台公司通常以其和网站之间已经存在商业安排,将自己定义为网站技术服务的一部分,或者通信链条中的一方,因此不构成非法拦截。

但在引入 EO 14117 之后,原告试图改变这一抗辩结构。

因为 ECPA第2511条同时也规定:如果拦截行为的主要目的,是为了实施另一项独立的犯罪或侵权行为,那么即便行为人本身属于通信一方,也仍可能构成违法。

原告试图将 EO 14117 所禁止的数据传输行为嵌入这一例外之中,其大致逻辑是:

第一,广告商通过广告技术拦截并获取通信内容;

第二,这种拦截的真实目的,是将美国人的批量敏感个人数据传输给 covered persons;

第三,该类传输在 2025 年 4 月 8 日之后,可能构成被禁止的数据经纪交易;

第四,因此,这一拦截行为并非中性的广告技术行为,而是带有独立违法目的的行为;

第五,由此触发 ECPA 中对 party exception 的“独立犯罪或侵权行为”例外。

在这一路径中,EO 14117 规则本身并不是被当作独立诉因直接起诉的,它更像是被嵌入“窃听”诉因中的一个违法目的证明工具。也正是在这个意义上,一个原本服务于国家安全的数据限制规则,被创造性地转化为私法诉讼中支撑构成要件的关键材料。

除了ECPA之外,还有其他一些可能会被拿来借用的私人诉权,我选择了四个典型案件,做了一个统计:

此外,企业还需警惕的,并不只有民间诉讼力量。对于赴美上市公司而言,EO 14117 相关风险同样可能通过舆情、做空报告和投资者预期管理等路径传导至资本市场。今年年初,CapitalWatch 曾针对当红 AI 广告股 AppLovin 发布做空报告。尽管该报告最终被撤回,但在当时的报告中,EO 14117 违规风险被明确列为公司刻意隐瞒、未及时向投资者披露的重大事项之一。由此可见,即便相关规则尚未进入实质执法阶段,其也完全可能先以市场叙事和舆论压力的形式,对企业估值、声誉及投资者关系造成冲击。

三、美国对华数字科技领域监管的转向

在去年的文章中,我提到EO14117的出发点是国家安全,而非个人信息保护,这将导致之前很多合规的逻辑发生改变。EO14117是美国对华数字科技领域监管的一个关键面向,恰好最近看到张欣老师的一篇文章同样提到了“国家安全转向”,结合Tiktok案、人工智能进出口管制等监管动态,目前个人认为美国对华数字科技领域监管已经发生了三个明显的变化。

挑战一:行政裁量扩张带来不确定性

在传统的隐私规范中,规制设计通常设定明确的行为规范以保障可预测性,但在泛安全化导向下,昔日明确具体的规则被抽象性、原则性的条款所取代,规范解释、事实认定及风险评估等裁量让渡于行政监督机关。

EO14117中就体现出这种变化。它不仅拓宽了敏感个人数据的类别,还引入了数据处理规模标准,比如此前文章中提到的消费者直采场景阈值的计算问题、美国子公司和中国母公司之间行政性辅助性数据传输是否落入豁免等问题都使企业在合规判断上面临更高的不确定性。

挑战二:依据主体背景采取差别化监管

此前隐私保护的核心规制逻辑是行为中立,泛安全化后则转向主体差异化。在安全化语境中,美国不仅审查行为是否合规,也重点审查主体与“外国对手”或“受关注国家”的地缘政治联系。

传统隐私保护的核心规制逻辑,通常强调对行为本身的中立审查,即重点关注某一数据处理行为是否合规,而不以主体身份作为首要区分标准。但在泛安全化语境下,监管者关注的已不再只是行为是否违法,更聚焦于行为主体是否与“外国对手”或“受关注国家”存在地缘政治上的关联。

近两年,各州总检察长加大了对中国公司旗下应用程序的执法力度。例如,德州总检察长已对CapCut在内的多家公司提起诉讼,指控其侵犯德州居民的隐私权;肯塔基州、内布拉斯加州和阿肯色州也分别对 Temu 提起诉讼,声称其APP非法收集敏感个人数据。至少从执法趋势上看,主体背景已经越来越深地嵌入美国数字科技监管的判断结构之中。

挑战三:安全例外主义占据主导

当国家安全考量占据优位,针对被认定为“外国对手国家”的科技主体时,其正当程序权利经常遭到实质性限缩,获取有效司法救济的途径亦随之收窄。

具体而言,行政主管机构在启动可能导致业务关停、强制剥离等严重后果的措施时,往往剥夺目标企业获得预先通知与实质性申辩的机会;更关键的是,法院在此类案件中通常采取司法尊让态度,极大削弱了对行政行为展开实质审查的能力。比如Tiktok案中,最高法院指出虽然政府提出的国家安全风险仅仅是推测性的,但在国家安全事务上法院尊重政府的判断,不会以自己的判断取代政府的判断。也正因为如此,一旦监管问题被纳入国家安全框架,企业在程序性抗辩和司法救济层面的回旋空间往往会明显缩小。

四、未来还可以做些什么?

通过上述分析不难发现,EO 14117 并没有沉睡,而是在持续被引用、被转化、被嵌入美国现有的执法与诉讼框架之中。即便联邦层面尚未展开明确而密集的执法行动,企业也绝不能因此低估其现实影响。在美国市场,强势的州检察长执法体系,加上活跃的民间集体诉讼机制,足以让 EO 14117 以另一种方式持续发挥约束力。

注意“表面工作”

  • 对外声明:企业需要更加重视自身对外公开的信息,如隐私政策、Cookie清单、第三方合作清单,避免被直接认定与受管制主体开展合作。例如:在隐私政策中,对跨境数据的表述要更加审慎,以及注意海外运营的网站/APP是否使用中国广告供应商提供的服务。

  • 告知同意:企业还应根据不同司法管辖区的要求,评估是否需要在启用 Cookie 或其他在线追踪技术之前取得用户同意,并在获得有效授权后再允许相关追踪功能运行。对于高风险场景,仅依赖笼统披露往往已不足够,更需要关注告知内容的完整性、同意机制的有效性,以及用户选择权是否真正落地。

持续修炼“内功”

  • 定期更新数据链路图:企业应持续梳理数据在内部系统、外部供应商及关联公司之间的流动路径,明确数据从何处产生、流向何处、由谁处理、谁能够访问,从而建立对整体数据流动的动态认知。

  • 评估追踪工具的必要性:对网站和 App 中使用的 Cookie、SDK 等追踪工具,应开展定期审查,评估其使用是否可能构成 EO 14117 项下的限制性或禁止性交易,以及其是否确属业务所必需。尤其需要警惕所谓“免费”的分析、归因或营销工具,因为这类工具背后的商业模式往往依赖于对数据的二次开发和再利用。

  • 加强第三方管理:建议企业对所有合作伙伴及其最终母公司开展更严格的筛查,核实其是否属于 EO 14117 项下的“受关注个人或实体”,并建立动态更新的名单管理机制。审查重点不应仅停留在合同相对方本身,还应延伸至数据存储和处理地点、子处理者安排,以及是否存在进一步对外共享的可能。

  • 强化协议约束:在必要范围内,企业应在供应商合同中纳入 EO 14117 相关概念和合规要求,确保不会向受关注国家中的受关注个人或实体提供访问美国敏感个人数据的权限。与此同时,还应加入明确的合规陈述与保证条款、审计配合义务以及具有实效性的赔偿机制,以便在合作链条中更清晰地分配并转移法律风险。

  • 落实技术隔离:一旦业务场景落入受限交易范围,企业应确保数据处理措施达到或超过 CISA 所要求的安全标准,包括加密、掩码、数据最小化等,以防止敏感数据通过任何形式被传输给相关实体,或被其实际访问。尤其需要关注那些最容易被忽视、但在实践中风险极高的环节,例如 SDK、Cookie、客服支持、远程运维等场景。

当越来越多原本属于商业、数据治理和合规层面的问题被纳入国家安全叙事之后,随之而来的必然是更高的不确定性与更强的不安全感。对于深度嵌入全球化体系的企业来说,这种不确定性已不再是例外,而是必须直面的新常态。

旧的逻辑正在被改写,新的规则尚待建立,在这样的过渡期里,更现实的应对方式是尽早躬身入局,在变化中的监管环境里主动校准自身位置,并争取对未来规则形成施加影响。

锻炼身体,穿越周期,保持观察。

【参考资料】

Baker v. Index Exchange:https://dockets.justia.com/search?query=Baker+v.+Index+Exchange

Porcuna v. Xandr, Inc:https://dockets.justia.com/docket/california/candce/3:2025cv07385/455618

Jenkins v. Google LLC:https://dockets.justia.com/docket/california/candce/4:2026cv01481/464545

Christy v. Lenovo (United States) Inc:https://www.law360.com/articles/2438892

NDS招聘:https://www.justice.gov/nsd/employment

纽约时报司法部人员流失报道:https://www.nytimes.com/2026/01/07/us/justice-department-threats-cyberattacks-terrorism.html

张欣-美国隐私保护的泛安全化及我国涉外法治建设的体系回应:https://mp.weixin.qq.com/s/rutD0U2Odwv6IH9N9JcZGA

声明:本文来自置身数外,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。