跨境数据 / DOJ 国安——EO 14117「数据安全计划」(DSP) 全面执法满 7 个月：$36.8 万/笔 + 20 年监禁 + 10 年记录保留——中资企业跨境数据流必须立即重构的五项合规动作

2026 年 5 月，美国司法部国家安全司（NSD）领导的"数据安全计划"（Data Security Program，"DSP"，依据 Executive Order 14117 与 28 CFR Part 202）已正式步入全面执法的第八个月。自 2025 年 10 月 6 日"善意努力"宽限期结束以来，所有受规制的"涵盖数据交易"（covered data transactions）已无任何过渡缓冲——单笔违规民事罚款最高 $368,136 或交易金额两倍（择高），刑事最高 100 万美元罚金 + 20 年监禁；与此同时，2026 年 3 月 1 日已完成首份云计算"涵盖数据交易"年报申报（针对被"重点关注国家"持股 25% 以上的美方实体）。中国（PRC，含香港、澳门）被列为六个"重点关注国家"之首，所有在美中资企业、被中国主体持股 ≥50% 的"涵盖人"（covered persons），以及与之有数据合作的美国对手方，都已直接进入 NSD 的执法雷达。

一、法规背景：从 EO 14117 到 28 CFR Part 202 的双轨架构

DSP 的母法是 2024 年 2 月 28 日拜登政府签署的 Executive Order 14117《Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern》。司法部据此于 2025 年 1 月 8 日发布最终规则（Final Rule），编入 28 CFR Part 202，于 2025 年 4 月 8 日生效；2025 年 4 月 11 日至 7 月 8 日为执法宽限期；2025 年 7 月 8 日"善意努力"窗口关闭；2025 年 10 月 6 日合规计划、尽职调查、审计、报告等运营性要求全部启动。Trump 第二任期的 NSD 已多次公开声明"DSP 是国家安全资产，将持续从严执法"，并通过 2025 年 4 月 11 日与 7 月间发布的 FAQ、Implementation & Enforcement Policy、Compliance Guide 三份指南，逐步收紧解释口径。

二、核心合规架构：6 类敏感数据 + 2 大交易类型 + 6 国 + 4 类涵盖人

DSP 规制对象为面向"重点关注国家"或"涵盖人"开展、涉及"美国人批量敏感个人数据"或"政府相关数据"的"涵盖数据交易"。

重点关注国家（Countries of Concern）：中国（含香港、澳门）、俄罗斯、伊朗、朝鲜、古巴、委内瑞拉。

涵盖人（Covered Persons）四大类：① 50% 以上由重点关注国家或其他涵盖人所有/控制的实体；② 居住地在重点关注国家或为其雇员/承包商的个人；③ 主要营业地位于重点关注国家的实体；④ 司法部长公开指定的"具名涵盖人"（Specially Designated Covered Persons）。

批量门槛（28 CFR § 202.205）——以下任一即触发：人类基因组数据 ≥ 100 个美国人；生物识别 ≥ 1,000；精确地理位置 ≥ 1,000 个设备；个人健康 / 财务 ≥ 10,000；涵盖个人标识符 ≥ 100,000；政府相关数据：无门槛（哪怕 1 条记录也受规制）。

6 类涵盖交易分两档：

绝对禁止（Prohibited）：① 数据经纪（data brokerage）与"涵盖人"——任何与 PRC 涵盖人的数据销售 / 许可均自动违法；② 涉及人类基因组数据与生物样本的交易，无任何例外。

限制性（Restricted）——需满足 CISA 安全要求、合规计划、年报：③ 雇佣协议；④ 投资协议；⑤ 厂商协议（含云服务、IT 外包、SDK 嵌入、数据标注等）。

三、对中资企业的合规要点（5 项立即行动）

1. 绘制数据流图谱（Data Flow Mapping）：识别美国子公司、合资方、被投企业向中国母公司、关联方、雇员、承包商传输的批量敏感个人数据；按 28 CFR § 202.205 门槛逐项核对，确定是否触发"涵盖数据交易"。重点关注 SaaS 后台日志、CRM 同步、人力 HRIS、运营数据仓库等"看似无害"的回传管道。

2. 审查股权结构（Beneficial Ownership Audit）：核查所有美国对手方是否被中国实体持股 ≥50%——这是"涵盖人"的硬性门槛；任何 25–49% 中资持股的美国实体也需特别注意"控制"要件与云计算年报义务。VIE 结构、间接持股、家族信托、私募基金持有等情形均需穿透核查。

3. 重审 SDK / 数据共享 / 厂商合同：PRC 云服务、PRC 总部分析 SDK、PRC 数据标注外包、PRC 客服中台均可能落入限制类厂商协议；需嵌入 CISA 安全条款（加密、访问日志、人员审查、零信任架构）、合规审计权与 14 日违规通知条款；对人类基因组、生物识别样本采集与传输实行"零接触"红线。

4. 建立 DSP 合规计划与年报机制：依 28 CFR § 202.1001 设立书面合规计划，含 KYC 程序、年度风险评估、内部审计、培训记录；CEO 或同级高管须每年签署 § 202.1006 合规认证。2026 年 3 月 1 日首份云计算年报已是基线，下一年报窗口已在准备期，记录保存须达 10 年。

5. 建立 14 日"已拒绝交易"报告与吹哨人风险预案：依 § 202.1101，企业拒绝进入禁止交易后 14 日内须向 NSD 报告；同时，DOJ "Corporate Whistleblower Awards Pilot Program" 设有举报奖励——违规线索导致 ≥100 万美元处罚的，举报人可获最高 30% 奖金。内部员工、离职员工、商业对手的吹哨风险显著上升，须配套保密协议、内部举报渠道与"上墙"培训。

四、格知律所如何协助

作为长期服务中资企业赴美投资、跨境数据合作与合规重构的中国法律事务所，格知律所提供 EO 14117 / DSP 全链条法律服务：从初步"涵盖人"与"涵盖数据交易"自评、数据流与股权穿透图谱搭建，到限制类交易的 CISA 安全要求差距评估、年报与吹哨人风险预案；并就 SDK 嵌入、云服务采购、跨境员工调动、雇员远程访问、人类基因组与生物识别样本采集等红线场景，协助起草厂商 DPA、SCC 替代条款与董事会层面的 DSP 合规章程。对于已收到 NSD 信息请求、CISA 安全核查或内部吹哨预警的客户，格知协调与 DOJ 国家安全司、CISA 的合规答复，并衔接 IEEPA 民事 / 刑事辩护资源，最大化降低个人董事 / 高管责任与企业声誉风险。

五、结语 / Outlook

DOJ 数据安全计划已从"草案 / 宽限"阶段进入纯执法阶段，且首批与中国相关的执法行动正在 NSD 雷达上酝酿。在 2026 年 5 月这一时间窗口，DSP 与商务部 BIS 实体清单、财政部 OFAC 制裁、CFIUS 反向投资规则、SEC 网络安全披露规则正在形成一张针对"中资涉数据敏感行业"的全方位监管网络。中资企业不能再以"等到第一案出来再说"作为延迟合规的理由——一旦被认定违反禁止性交易，IEEPA 刑事责任与个人董事 / 高管责任都会被同步激活。在 2026 年下半年和 2027 财年内启动企业级 DSP 合规重构，已不再是法务部的选项题，而是 CEO / CISO / CCO 同担的必答题。