试探与博弈：EO14117进入司法视野，首批案例释放了哪些信号？

【摘要】自2025年4月8日美国司法部《最终规则》正式生效至今已逾一年，联邦行政执法层面尚无任何公开记录。然而，沉默并不意味着静止——至少五起以EO14117为核心论证素材的集体诉讼已在美国法院立案，原告律师通过《电子通信隐私法》（ECPA）等现行法律的私诉渠道，创造性地将国家安全数据传输限制 “嵌入”私法诉因，实现对EO14117规则精神的间接执行。本文通过系统梳理五起案件，深入解析其法律构造，揭示美国监管生态的深层转型，并为中国出海企业提供可操作的合规应对建议。

一、引言

2025年4月8日，美国司法部（DOJ）依据第14117号行政令（EO14117）发布的《防止受关注国家或特定人员获取美国大量敏感个人数据及政府相关数据的规则》（简称“《最终规则》”）正式生效。这是美国迄今为止在数据跨境监管领域对外国对手最具穿透力的一次规则构建——将美国人的批量敏感个人数据与政府相关数据纳入国家安全保护框架，明确将中国（含港澳）列为受关注国家，并赋予司法部国家安全司（NSD）民事处罚与刑事追诉的双重执法权。

然而，规则生效逾一年，截至本文撰写之日，美国官方层面尚未公开任何行政执法案例。这一“执法真空”可能与NSD下属核心执法团队——外国投资审查科（FIRS）的大规模人员流失有关。由于主要起草者和执法负责人相继离职，团队重建尚需时日。

但执法未现并不等于规则沉睡，美国的强大集体诉讼已率先发力，以EO14117的规则精神为弹药，借道《电子通信隐私法》（ECPA）等现行联邦和州法的私人诉权，将中国背景企业及其美国业务合作方推上被告席。至少五起相关集体诉讼已公开立案，且几乎清一色聚焦于数字广告与在线追踪场景。这场“试探与博弈”，是美国司法生态对EO14117执法的一种创造性延伸，也是中国出海企业必须正视的合规风险。

二、执法真空的原因：FIRS核心团队大规模流失

要理解为何联邦层面尚无执法行动，需要了解《最终规则》执法机构的现实处境。《最终规则》的执法权主要由NSD下属的外国投资审查科（FIRS）负责，该团队的传统职能偏重配合CFIUS等机构开展交易审查、合规监督，其在《最终规则》的框架下，负责数据安全计划的管理和执行，包括调查违规行为和处理执法事宜。

特朗普二次执政后，美国司法部经历了前所未有的人事震荡，据媒体报道¹，2025年全年约有近5,000名工作人员离开司法部。也有公开信息[2]表明，FIRS核心团队亦大量离职，包括：

• FIRS负责人Devin A. DeBacker，于2026年3月离职；

  
  

• 副负责人Eric S. Johnson（曾多次公开介绍《最终规则》起草细节），于2025年10月离职；

  
  

• 专注国家安全数据风险的副科长Lee Licata，于2026年1月离职；

  
  

• 《最终规则》签署人、NSD前负责人Matthew G. Olsen，于2025年1月离任。

上述核心人员的集中流失，可能大幅削弱了FIRS的短期执法能力，也造成了机构知识的断层。值得关注的是，截至2026年3月底，NSD官网仍在持续发布FIRS的招聘信息，表明监管意志并未消退，只是执法能力正处于重建期。

对中国出海企业而言，这一窗口期绝非“合规假期”，而是用于夯实内部机制、降低系统性风险敞口的关键缓冲时间。随着FIRS团队逐渐恢复元气，2026年下半年至2027年间出现首批正式执法行动的概率正在上升，企业须在此前完成合规体系建设。

三、五起案件的案情回顾

（一） 直接针对中国企业在美实体的诉讼

1.案例一

案例一中的被告是一家中国背景的计算机系统及周边产品制造商在美国设立的子公司，原告一加州居民Christy在起诉书中提到，其在被告官网浏览产品并购买电脑期间，认为被告借助第三方追踪技术，截取了原告与网站之间的通信数据，包括完整页面的浏览信息（包括可显示浏览页面和产品的完整统一资源定位符），以及持久性识别信息（包括IP地址、广告ID、Cookie数据），并将上述数据传输至依据中国法律设立、主要经营地位于中国的集团内实体——即《最终规则》中的“特定人员”。原告认为该行为已违反《最终规则》。

原告的论证核心在于：中国的《国家情报法》《网络安全法》《数据安全法》赋予中国政府对于本国企业掌握的数据几乎无限制的数据调取权力，以及被告与中国政府之间紧密的联系，意味着一旦数据传输至位于中国境内的集团内实体，即等同于可能被中国政府获取，由此对美国国家安全构成实质威胁。原告据此认为被告的追踪行为违反了《最终规则》，并借助ECPA的私诉渠道提起诉讼。

2. 案例二

案例二的被告是一中国背景的跨境电商服务平台，原告得克萨斯州总检察长代表州政府提起诉讼。原告在起诉书中指控被告通过追踪用户的使用行为，监控和采集美国公民的敏感数据并通过其中国母公司向中国政府进行传输，对美国的国家安全构成严重影响，且认为在促销活动和商品定价等方面存在虚假、欺诈、误导性行为。

案例二的重要意义在于：州总检察长层面已将EO14117的国家安全叙事与本州执法体系深度整合，形成联邦与州双重压力。肯塔基州、内布拉斯加州、阿肯色州、亚利桑那州等多个州也已就类似问题对该跨境电商服务平台提起诉讼，反映出州级检察机关对中国背景应用程序的执法趋势已呈现多州协同趋势。

（二） 针对广告分析或交易平台提起的诉讼

除了直接针对中国企业在美实体提起的集体诉讼外，在美国还有一类涉及EO14117的司法诉讼案例，这些案例中，被告通常是非中国背景的境外大型广告分析或交易服务平台公司，虽然起诉没有直接针对中国企业在美国设立的公司，但是这些被告公司通常和中国企业存在业务合作关系，即中国企业是这些广告分析或交易服务平台公司的下游合作企业。在以下案件中，原告通过论证这些平台的数据最终流向中国背景企业，间接将EO14117的合规风险传导至更广泛的数字生态，同时绕过了直接起诉中国企业时面临的诸多程序障碍。

3. 案例三³

案例三中，被告是微软旗下的数字广告技术平台，提供程序化广告交易（RTB）服务。原告Porcuna等代表其他受害用户指控被告在第三方网站部署JavaScript追踪代码，实时截取用户的浏览行为数据（设备信息、广告ID、IP地址、访问URL及页面内容），并通过RTB管道将含持久性标识符的竞价流数据广播至下游广告合作方，其中包括具有中国背景的企业。

原告援引ECPA § 2511(2)(d)的“独立违法目的”例外条款，论证被告拦截并分发用户通信数据的真实目的，是为《最终规则》规定的“特定人员”创设获取美国人批量敏感个人数据的渠道，违反了《最终规则》，因此不能援引ECPA的“当事方豁免”。本案是已知最早将EO14117明确嵌入ECPA私诉框架的案件之一。

4. 案例四⁴

案例四中，被告是一家加拿大注册的广告技术和交易平台。此案与案例三的法律框架高度相似。原告Baker等美国居民指控被告会在第三方网站上部署跟踪技术，以拦截用户与第三方网站之间通信的内容，随后平台将通信相关的标识符进一步共享至下游合作方，用于行为定向和广告竞价。

具体来说，这些被拦截的用户数据可以与分配给每个消费者的持久标识符绑定的行为画像合并，此类持久标识符可跨时间、设备、场景识别同一人，实现持续追踪与定向；且收集的数据可以推断健康状况、财务状况、职业、位置、性取向等高度敏感信息，并通过实时竞价将竞价流数据（持久标识符、浏览页面、设备信息、敏感推断结果）传播给第三方；此类数据接收方不限单一公司，遍布全球，可再次转售，不排除可能存在中国背景的数据接收方，因此对美国的国家安全和公众隐私带来威胁。

案例四的特殊警示意义在于：即便被告是加拿大企业，仅因其下游合作方与中国企业存在数据流动，便已足以被列为被告。这对所有在全球广告供应链中处于中间层的企业均有重要警示——无论其国籍或注册地，只要在数据链路上与中国背景企业相连，均可能面临诉讼风险。

5. 案例五⁵

案例五是迄今为止涉及被告体量最大的一起。本案中，原告Jenkins等美国居民认为被告提供的广告营销分析服务中的广告代码几乎覆盖互联网上的所有网站。当用户访问这些网站时，被告的Cookie会在用户的浏览器中自动执行，持续收集有关用户在该网站上活动的信息，并在广告销售过程中将这些数据共享给第三方，其中包括具有中国背景的企业。

更为敏感的是，被告传输的数据包含敏感性极高的类别，包括破产、心理健康、药物滥用、性状况、癌症、离婚和特定宗教领域的敏感数据，且可能包括“政府行业的决策者，特别是国家安全和国际事务”、“在航空航天制造公司工作的人员”、“现役军人”以及“可能是法官的人”等涉及政府相关数据的用户类别。

案例五将EO14117的风险辐射范围扩展至整个互联网广告生态。任何接入被告构建的广告体系的网站经营者、任何将被告的营销分析工具集成至其数字产品的企业，在理论上都已被置于这一叙事框架的覆盖之下。

四、案件释放的信号

信号一：EO14117正在被“私法化”，且速度远超预期

目前已公开的司法案例呈现出EO14117及《最终规则》“私法化”的路径：原告并不直接援引EO14117及《最终规则》提起诉讼，而是将其作为证明论证工具，嵌入ECPA、州隐私法、消费者保护法等现有私诉框架。各司法案例的具体法律依据可参见下表：

这意味着EO14117的实际约束力，不再仅仅取决于联邦司法部何时启动行政执法，还将通过私人集体诉讼的方式持续施压。后者的启动门槛低于联邦执法，赔偿金额在集体诉讼框架下可因人数效应达天文数字，且每起案件都会附带声誉损伤、运营干扰和管理层精力消耗。更值得关注的是，从Porcuna案（2025年9月）到Jenkins案（2026年2月），不到半年已有至少三起广告技术平台案件相继立案，表明这一诉讼模板已被原告律师群体视为成熟工具，预计未来案件数量还将持续增长。

信号二：美国针对中国背景企业的监管逻辑正在经历结构性转变

将上述案件置于更宏观的视角审视，可以发现美国对中国背景数字科技主体的监管逻辑，正在经历三个结构性转变，每一个都将深刻影响中国出海企业的长期合规策略。

转变一：从“行为中立”到“主体差异化”

传统隐私规范的核心是行为中立。即，监管者关注的是数据处理行为是否符合规则，而不预先区分主体身份。但EO14117及其引发的诉讼浪潮表明，美国监管已经明确转向主体差异化：同样的Cookie追踪行为，如果下游数据接收方与中国存在任何关联，就面临完全不同的法律风险。德克萨斯州等多州总检察长对具有中国背景的应用程序的集中执法，更是直接将主体背景纳入了执法的判断前提。

转变二：从“隐私保护”到“国家安全”

EO14117的监管起点是国家安全，而非侧重个人隐私权。在这一框架下，即便是完全符合CCPA/CPRA等美国国内具有代表性的涉及数据隐私保护的现行州法要求，只要数据可能流向受关注国家，仍可能受到限制/禁止，或被作为诉讼依据。

美国社会对中国政府调取数据的权力存在强烈的不安全感，这在一定程度上造成上述案件的起诉。透过起诉书的陈述可以发现，目前无论是普通消费者还是政府层面，都认为一旦美国境内的敏感个人数据或政府相关数据会被中国企业在美国设立的子公司采集，或美国公司和中国企业之间有业务合作关系，则此类数据就有可能进一步被中国政府调取。

国家安全叙事一旦与集体诉讼的赔偿激励机制结合，会产生显著的乘数效应，大幅提升合规违规的实际成本。

转变三：从“可预期规则”到“行政裁量扩张”

EO14117及《最终规则》引入了大量抽象性条款（受控主体的宽泛认定、反规避兜底条款、数据处理规模阈值的边界模糊等），使得合规边界难以精确测量。在对国家安全方面，法院又传统地倾向于接受行政机关的判断，进一步压缩了企业在程序性抗辩和司法救济方面的空间，一旦监管议题被纳入国家安全框架，企业的程序性回旋空间将显著收窄。

信号三：在线广告营销成为被诉高频领域

从目前已经披露的公开案例Porcuna案、Baker案以及Jenkins案来看，用户在线追踪和及相关广告分析活动容易被起诉，且此类案件中的被告都并非中国企业在美国设立的公司，而是和中国企业可能存在商业合作关系的美国广告分析或交易平台服务商。

同时，在目前的案件中，原告的起诉书中其实并无直接证据证明美国境内大量敏感个人数据存在向中国传输的情况，只是认为被告广告分析和交易服务商存在向网站提供Cookie或类似追踪技术的情况，便直接推定，相关下游的有中国背景的公司有机会获取此类数据，则进一步来说，其中国总部基于股权和财务方面的控制关系便会获取美国境内的个人数据，因此落入EO14117及《最终规则》的禁止交易范围。这意味着，中国企业即使并未在美国直接展业，只要有使用美国广告分析和交易服务商的情况，就可能受到EO14117及《最终规则》的影响，需要采取必要的合规措施。

五、中国企业的合规应对策略

面对上述多维度风险，中国出海企业需要根据自身在美业务的具体形态，制定有针对性的合规方案。整体上，需要区分两类基础情形，并在此基础上识别各自的高风险业务场景。

（一） 在美设有公司实体的企业

如果企业本身在美国境内设有公司实体，则该实体本身即属于EO14117项下需要承担合规义务的“美国人（U.S. Person）”，此时需要谨慎全面评估该实体和国内母公司之间的数据跨境活动，并评估相关交易是否落入EO14117项下的限制性交易或禁止性交易，有无可能落入豁免交易，根据评估结果采取相应的合规措施。核心的工作包括：

1. 数据跨境活动摸排：系统梳理该实体与国内母公司及其他受控主体之间的数据流情况，明确数据系统、数据类型、数据流、数据跨境传输目的、数据量等，逐一判断是否落入禁止性交易或限制性交易，评估豁免交易的具体适用条件。

2. 数字营销技术审查：对在美国运营的网站/APP中使用的Cookie及其他类似追踪工具进行评估。如涉及第三方Cookie，则需要审查相关的服务提供商，评估使用此类Cookie有无可能落入EO14117的限制性交易，甚至禁止性交易。

3. 建立书面合规计划：建立涵盖风险评估、数据流图、供应商管理、年度审计、10年记录保存及报告机制的书面数据安全计划，留存完整合规痕迹，为应对未来可能的联邦执法调查或集体诉讼取证做好准备。

4. 采取技术安全措施：采取必要的技术安全措施，落实美国网络安全和基础设施安全局要求的技术安全标准，尽可能确保在美国获取的敏感个人数据和政府相关数据与特定人员完全隔离。

5. 强化合同约束体系：在与第三方广告平台及数据服务商签署的合同中，加入EO14117合规陈述条款、禁止向受控主体传输数据的约定，以及配合审计、赔偿责任分配等条款，通过合同层面实现风险转移和分配。

（二） 未在美设有实体但存在业务联系的企业

即使企业本身未在美国境内设有公司实体，也仍然需要注意是否可能会因为和“美国人”的合作导致可能获取美国境内的敏感个人数据或政府相关数据，而间接受到EO14117的影响。

（三） 有赴美上市或融资计划的企业

对于有赴美上市或融资计划的企业，需要评估自身的业务是否落入EO14117的监管，提前做好上市前的合规审查和预案。具体而言，建议企业组织内部评估，确认是否落入EO14117的相关监管范畴；如果存在相关风险，评估是否构成相关披露文件中须载明的重大风险因素；在公司治理层面建立EO14117专项工作机制，确保合规状态能够及时、准确地向管理层报告。

（四） 优先关注高风险业务场景

结合上述案件及《最终规则》的规制重点，以下业务场景属于高优先级合规审查对象，建议优先启动专项评估：

• 跨境电商平台的数据采集和跨境传输场景；以及使用美国广告技术服务商进行用户获取及再营销的场景；

  
  

• 智能设备（智能汽车、穿戴设备等）采集美国用户精确地理位置数据并回传中国分析平台的场景；

  
  

• 生物医疗领域涉及跨境临床合作研究、医疗器械和医药在美国市场投放导致美国境内的个人健康数据甚至基因组数据被采集和跨境传输的场景；

  
  

• 金融科技领域涉及跨境支付、保险等各类金融服务导致采集美国用户的个人财务数据并跨境传输的场景；

  
  

• 社交媒体和数字游戏内容服务领域涉及大量用户在线数据采集和跨境传输的场景；

  
  

• 中国科技公司在美运营涉及美国用户行为数据的模型训练或推理服务场景；

  
  

• 中国企业作为供应商，向美国公司提供远程IT运维、客服外包、云计算等服务，并由此取得访问美国用户数据权限的场景。

需要提醒中国企业注意的是，即使在上述业务场景中，跨境电商、金融服务以及企业集团内部员工管理等场景按照《最终规则》有可能落入特定的豁免交易范围，但是仍然是需要经过评估才能确认是否可以豁免，以及即使落入豁免，也并不当然等于企业可以完全不受EO14117及《最终规则》影响而不需采取任何合规措施。所以，包含上述高风险业务场景的企业预留必要的合规成本是非常现实且必要的。

结语：不确定性是新常态，主动合规是护城河

站在2026年中期回望，EO14117及《最终规则》自生效以来走出了一条与预期不同的轨迹：联邦行政执法迟未落地，却在民间诉讼层面催生了全新的私法化压力；规则的直接义务承担者是美国主体，却通过集体诉讼的传导机制，让中国企业及其全球供应链合作方感受到真实的法律冲击。

这场变局的核心逻辑：EO14117不是一部会随执法团队更替而消退的过渡性规则，而是美国两党共识下数据主权博弈的制度性安排。特朗普政府并未废除这一由拜登签署的行政令，已充分说明这一问题的本质是国家战略竞争。

在这一新常态下，合规本身就是一道护城河：审慎的评估、完善的合规计划、严格的供应商管理，不仅能够降低直接执法和集体诉讼的风险，也是向监管机构、合作伙伴和资本市场传递专业信号的重要方式。对于已经在美国深度经营的中国企业，现在正是用联邦执法缓冲期夯实合规根基的最佳窗口。

本团队将持续追踪EO14117相关执法及诉讼动态。如您有具体合规咨询需求，欢迎联系我们。

1.参见纽约时报新闻：https://www.nytimes.com/2026/01/07/us/justice-department-threats-cyberattacks-terrorism.html

2.参见安全内参文章：https://www.secrss.com/articles/89197

3.起诉书原文参见：https://storage.courtlistener.com/recap/gov.uscourts.cand.455618/gov.uscourts.cand.455618.1.0.pdf

4.起诉书原文参见：https://storage.courtlistener.com/recap/gov.uscourts.ilnd.485477/gov.uscourts.ilnd.485477.1.0_1.pdf

5.起诉书原文参见：https://www.classaction.org/media/jenkins-v-google-llc-complaint.pdf

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。