观韬视点│EO 14117下物联网设备的合规概览——以智能眼镜类产品为例

一、简介

近年来，中国智能制造浪潮涌动，中国的物联网（Internet of Things, “IoT”）[1]及人工智能物联网（Artificial Intelligence of Things, AIoT）[2]设备厂商逐渐在国际市场上占据越来越重要的地位，以智能眼镜为先锋的AIoT设备厂商凭借卓越的硬件创新与算法优势，已具备参与国际市场竞争的核心优势，正加速向全球价值链高端攀升。对于这类企业而言，出海美国这一全球科技消费的风向标和重要市场不仅是拓展商业版图的关键举措，更是实现全球化发展的核心战略选择。

站在2026年回望，EO 14117（即《防止受关注国家/地区或相关人员访问美国敏感个人数据和政府相关数据》行政令）全面落地无疑是中美数字贸易史上的分水岭。该行政令进一步完善了美国数据安全监管框架，填补了特定场景下跨境数据交易管控的制度缺口，将美国数据监管从“隐私保护”的维度跃升至了“国家安全”维度。EO 14117的核心内容是限制并在特定情况下禁止美国实体[3]获取、持有、使用、转让、运输、出口或交易（以下统称为“交易”）海量敏感个人数据或美国政府相关数据，若该交易行为可能导致“受关注的国家或地区（包括中国及港澳地区）”或“受管辖人员”访问或获取此类数据，并对违反者施加了严厉的处罚措施。

这一监管范式的转变，对于智能眼镜及其他IoT厂商的影响尤为深远。鉴于智能设备天然依赖传感器对环境与用户行为进行高频感知，且往往涉及云端数据等必然的跨境传输场景，加上配镜这一特殊数据处理场景，中国企业面临的合规挑战空前严峻。若无法建立合规的数据跨境传输体系，中国企业不仅面临严重的法律风险，更重要的是在商业市场上的损失和打击。

本文旨在基于EO 14117的监管框架，深度解析该行政令下的核心内容，并以智能眼镜类产品为例，分析IoT设备厂商在该行政令下可能面临的核心法律风险，并针对此类风险设计合规路径，助力中国IoT企业在风浪中构筑坚实的合规防线，实现海外业务的行稳致远。

二、EO 14117的核心内容

美国作为数字经济的先驱，长期引领着全球信息技术的发展。然而，随着数字化生存方式的普及，美国社会积累了海量的“数字化痕迹”。这些数据涵盖了生活方式、消费习惯、生物识别特征、金融状况以及精确的地理位置轨迹。[4]从个体维度看，这些数据的泄露可能侵犯公民的人格尊严与财产安全，属于传统个人信息保护或GDPR视阈下的基本人权风险；但当这些敏感数据被聚合至特定量级时，其性质便发生了质的飞跃——从个人隐私风险升维至国家安全风险，成为可能被利用的战略情报资源。

长期以来，美国数据立法遵循“鼓励数据流动”的自由主义传统，侧重于特定行业的消费者保护（如医疗、金融），而在联邦层面缺乏一部能够有效阻断敏感数据流向地缘政治竞争对手的“防火墙”。正是在此背景下，EO 14117应运而生并被赋予了“重要的使命”，填补这一国家安全漏洞，防止“受关注国家”（Countries of Concern）获取并利用美国人的海量敏感数据及政府相关数据。

简而概之，EO 14117限制并在特定情况下禁止美国实体与“受关注的国家或地区”受管辖的实体就特定类型的数据开展交易。EO 14117通过设定明确的合规红线，直接干预美国实体的数据交易。其核心机制在于利用《国际紧急经济权力法》（The International Emergency Economic Powers Act，简称IEEPA）下的高额罚款与刑事处罚作为强有力的司法制裁“威胁”，这种高压威慑迫使美国实体将外部的国家安全风险内化为企业内部的合规生存成本，从而不得不主动阻断敏感数据向受关注国家流动，并最终实现“国家安全”这一上位目标。

1. “知情（Knowingly）”标准

“知情”是EO 14117下的美国实体构成违规数据交易的必要条件。这意味着美国实体只有在知道或应当知道的情况下参与了该行政令所禁止或限制的数据交易才会触发该规则。[5]

根据行政令的规定，“知情”是指对数据交易的行为、情况或结果具有实际知情，或理应知情。[6]具体而言，“知情”标准并没有采用严格责任标准，也不意味着美国实体在进行数据交易前需要对外国实体的劳动雇佣情况进行尽职调查，以确认该外国实体是否与受管辖的实体建立了劳动雇佣关系。[7]

根据EO 14117中给出的例子，需要对数据交易、数据类型、数据量级、涉及受管辖实体等多个要件均构成知情的情况下，才会触发该规则下的责任。由于目前缺乏与EO 14117相关的执法案例和判决，需要根据后续的实践进一步明晰这一概念的内涵和外延。

2. 美国实体（U.S. Persons）、外国实体（Foreign Persons）与受管辖的实体（Covered Persons）

“美国实体”是EO 14117项下合规义务以及责任的承担主体。根据定义，美国实体是指：1）美国公民、国民、合法永久居民、受庇护者或难民；2）任何仅依据美国法律或美国境内任何司法管辖区法律设立的实体（包括其在外国的分支机构）；3）任何位于美国的人。

“外国实体”则用来描述任何不属于“美国实体”的自然人或组织。满足下列条件的“外国实体”系“受管辖的实体”，也即EO 14117规制的数据传输的对象：1）在“受关注的国家或地区”设立，或依据“受关注的国家或地区”法律设立，或主要营业地在“受关注的国家或地区”；2）由“受关注的国家或地区”或“受管辖的实体”拥有50%或以上股份；3）主要居住在“受关注国家或地区”的外国个人；4）系“受关注的国家或地区”或“受管辖的实体”的雇员或承包商。[8]

除此之外，司法部国家安全司（National Security Division，下称“NSD”）还可以指定任何个人（包括美国实体）为“受管辖的实体”，被指定的实体即使位于美国境内仍然是“受管辖的实体”。[9]被指定的实体名单可在《联邦公报》上查询。

3. 受管辖的数据交易（Covered Data Transactions）

受管辖数据交易是指任何涉及“受关注的国家或地区”或“受管辖的实体”获取任何政府相关数据或大量美国敏感个人数据的交易，并且涉及：（1）数据经纪交易；（2）供应商协议；（3）雇佣协议；或（4）投资协议。

A. 数据范围

EO 14117所管辖的数据包括两类：与政府相关的数据，以及大量美国敏感个人数据。

（1）与政府相关的数据包括两类[10]：第一类是《政府相关位置数据列表（Government-Related Location Data List）》中所枚举区域的任何地点相关的任何精准地理位置数据，无论其数量。此类数据可能包括：联邦政府雇员或承包商的工作场所或工作地点、军事设施以及其他支持联邦政府国家安全、国防、情报、执法或外交政策任务的设施或地点。第二类是任何与美国联邦政府（包括军事和情报机构）现任或近期（2年内[11]）离职的雇员、承包商或前高级官员相关或可关联的敏感个人数据，不论其数量。需要注意的是，此处判断是否存在联系应当从“实质联系”的视角出发，即便该数据的字段名或描述并未明示其属此列数据，只要实质上可以产生联系即属此列。[12]

（2）大量美国敏感个人数据：指涉及美国公民的敏感个人数据集合或数据集，无论采用何种格式，亦无论该数据是否经过匿名化、假名化、去标识化或加密处理，只要该数据的数量在过去12个月内的任一时间节点达到或超过适用的阈值。[13]具体可见下表。

B. 禁止的数据交易：数据经纪（Data Brokerage）交易、人类组学数据及生物样本交易

（1）数据经纪业务，指数据销售、数据访问许可或类似商业交易（不包括雇佣协议、投资协议或供应商协议），涉及将数据从提供方转移至接收方，且接收方未直接从与所收集或处理数据相关联或可关联的个人处收集或处理该数据。[14]数据经纪业务既包括第一方数据经纪（收集并出售其自有的客户信息），也包括第三方数据经纪（购买数据并再销售）。 值得注意的是这里“商业交易”性质的要求，根据官方给出的例子，若双方之间就受管辖数据的交易不涉及有价对价，如在未获资助的情况下与受管辖实体进行数据交易以进行科研，此时则不属于数据经纪交易。

根据行政命令，除非获得许可，任何美国实体不得明知故犯地（Knowingly）与受关注的国家或地区，或受管辖实体在上述数据范围内进行数据经纪交易。[15]此处的“明知故犯”与前文“知情”相同，即美国实体在知道或应当知道的情况下参与了数据经纪交易。

此外，与其他外国实体（即除了“受关注国家或地区”及“受管辖实体”外的外国实体）进行数据经纪交易也会受到该行政令的限制：不得明知故犯地参与涉及外国实体获取政府相关数据或大量美国敏感个人数据访问权限的交易，亦不得参与任何其他外国实体进行数据中介的交易，除非该美国实体在合同中要求该外国实体不得与受关注国家或地区或受管辖实体就同一数据开展后续涉及数据经纪的受管辖的数据交易，并报告任何已知或可疑的违反此合同要求的行为。[16]

（2）与人类组学数据及生物样本相关的数据交易也被禁止。根据规定，除非获得豁免或许可，或仅用于诊疗、疾病预防，否则美国主体不得明知故犯地从事涉及外国敌对国家或受管辖主体获取大量人类“组学”数据或可从中衍生大量人类“组学”数据的人类生物样本的受管辖数据交易。[17]

（3）记录留存要求：美国实体取得许可进行数据经济交易或人类组学数据及生物样本交易的，应当保存每一笔此类交易的完整准确记录，并且该记录在交易发生后至少 10 年内应当可供检查。

（4）报告义务[18]：除联邦法律禁止外，任何美国实体必须在收到并积极拒绝（包括使用软件、技术或自动化工具自动拒绝）另一实体提出的涉及数据经纪的禁止交易要约后的14天内提交报告。该报告应包括在交易被拒绝时，在已知且可获得的范围内的下列内容：(i) 美国实体的姓名和地址，以及可获取更多信息的联系人的姓名、电话号码和电子邮件地址；(ii) 对被拒绝交易的描述，包括交易被拒绝的日期，交易中涉及的政府相关数据类型和数量，或大量美国敏感个人信息类型和数量，数据传输方式，任何试图参与交易的人员及其各自所在地，包括每个数据接收者的姓名和所在地、实体的所有权或个人的国籍或主要住所、涉及交易的受管辖实体的名字和位置，以及涉及交易的相关国家的名字，交易相关过程中收到的或创建的任何相关文件副本，司法部可能要求的任何其他信息。

C. 受限制的数据交易: 供应商（Vendor）协议、雇佣（Employment）协议、投资（Investment）协议

美国实体不得明知故犯地与受关注的国家或地区或受管辖实体在上述数据范围内从事涉及供应商协议、雇佣协议或投资协议的数据交易，除非满足“安全要求（Security Requirements）”——美国网络安全与基础设施安全局（“CISA”）于2025年1月颁布的《限制性交易安全要求——总统令14117号实施细则》[19]——和记录保存要求，并实施基于风险的合规计划等要求。

根据定义，供应商协议是指除雇佣协议外的任何协议或安排，其中任何一方为另一方提供货物或服务（包括云计算服务），以换取付款或其他对价[20]；雇佣协议是指任何协议或安排，其中个人（非作为独立承包商）直接为某人为获取报酬或其他对价而工作或履行工作职能，包括在董事会或委员会上的任职、高管级别安排或服务，以及操作层面的就业服务[21]；投资协议是指任何人在支付或其他对价的情况下，获得位于美国的房地产或美国法律实体直接或间接所有权权益或相关权利的协议或安排（不包括被动投资）[22]。

受限交易并非指此类交易行为完全不能进行，而是必须在满足CISA的安全要求，实施了基于风险的合规计划，并履行记录保存和报告义务的前提下方可合法开展。

（1）数据合规计划[23]

从事开展受限交易的美国实体应当制定并实施数据合规计划。数据合规计划应当至少包括以下内容：

• 针对任何受限交易的涉及数据流的风险评估程序（尽职调查），包括验证和以可审计方式记录的程序，具体包括：(i) 交易中涉及的政府相关数据或大量美国敏感个人数据的类型和数量；(ii) 交易各方的身份，包括任何实体的所有权或个人的国籍或主要居住地；以及(iii) 数据的最终用途和数据传输方法。

•  对于涉及供应商的受限交易，应采用基于风险的供应商身份验证程序；

•  一项书面政策，描述数据合规计划，并由负责合规的官员、高管或其他员工每年认证；

• 一份书面政策，描述了§ 202.248 中定义的安全要求的实施情况，并由负责合规的官员、高管或其他员工每年认证；

• 总检察长可能要求的任何其他信息。

（2）审计要求[24]

从事开展受限交易的美国实体应当按如下要求开展合规审计：

• 审计方要求：(i) 必须具备资格和能力，能够审查、核实并证明美国实体遵守了CISA的安全要求，以及为限制性交易实施了§ 202.401 中定义的所有其他适用要求；(ii) 必须具备独立性；(iii) 不能是受关注的国家或地区，或受管辖的实体。

• 启动时间：该审计必须在美国实体参与任何受限制交易的每个日历年度内进行一次。

• 时间范围：审计必须涵盖过去的12个月。

• 范围：审计必须（i）调查美国实体的受限交易；（ii）调查美国实体根据第 202.1001 条要求制定的数据合规计划及其执行情况；（iii）调查第 202.1101 条要求的相关记录；（iv）调查美国实体的CISA安全要求；（v）采用可靠的方法进行审计。

• 审计师必须在审计完成后 60 天内向美国实体提交书面报告，并至少保留10年。 审计报告必须：(i) 描述美国实体所从事的任何受限交易的性质；(ii) 描述所采取的方法论，包括审查的相关政策和其他文件、访谈的相关人员，以及检查的任何相关设施、设备、网络或系统；(iii) 描述美国实体的数据合规计划及其实施效果；(iv) 描述安全要求实施中的任何漏洞或缺陷，这些漏洞或缺陷已影响或可能影响有关国家或受覆盖人员访问政府相关数据或大量美国敏感个人数据的风险；(v) 描述任何安全要求未能生效或以其他方式未能有效减轻有关国家或受覆盖人获取政府相关数据或大量美国敏感个人数据的风险的实例；(vi) 建议对政策、做法或美国实体的其他业务方面进行任何改进或变更，以确保符合安全要求。

（3）记录要求及应要求提交报告[25]：

参与任何受限交易的美国人应至少以可审计的方式，完整并准确地创建和保存以下记录，并至少保存10年：

• 一项书面政策，描述数据合规计划，并由负责合规的官员、高管或其他员工每年认证；

•  一项书面政策，描述CISA安全要求的实施情况，并由负责合规的官员、高管或其他员工每年认证；

• 验证美国实体遵守安全要求及许可相关条件的任何年度审计结果；

• 为验证任何受限交易中涉及的数据流所进行的尽职调查文件，包括：(i) 交易中涉及的政府相关数据或大量美国敏感个人数据的类型和数量；(ii) 交易各方的身份，包括实体或个人的直接和间接所有权、国籍或主要居所；以及(iii) 数据最终用途的描述；

• 数据传输方法说明文档；

• 交易开始和结束日期说明文档；

• 与交易相关的任何协议副本；

• 任何相关许可证或咨询意见副本；

•  由总检察长签发的任何原始文件的文档参考编号，例如许可证或咨询意见；

• 与交易相关的任何相关文件的副本；

• 由负责合规的官员、高管或其他员工对记录尽职调查完整性和准确性的年度证明。

各实体均负有应司法部要求以报告或其他形式提供与任何行为、交易或受管辖数据交易相关的完整信息的义务。

（4）年度报告义务[26]

• 任何美国实体如果从事涉及云计算服务的限制性交易，并且其 25%或更多的股权利益（直接或间接通过任何合同、安排、理解、关系或其他方式）被受关注国家/地区或受管辖实体拥有，则必须提交年度报告，除非联邦法律另有禁止。

• 主要报告责任：该报告可由律师、代理人或其他实体代表上述美国实体提交。然而，主要报告责任在于实际从事数据交易的美国实体。除非美国实体实际知道另一美国实体已提交报告，否则不得因此免除提交报告的责任。

• 报告提交时间：关于在上一年 12 月 31 日前进行的数据交易的报告，应于次年 3 月 1 日前提交。

• 年度报告应包括如下内容：(i)进行受管辖数据交易的美国实体的名称和地址，以及可获取更多信息的联系人的姓名、电话号码和电子邮件地址；(ii)对受管辖数据交易的描述，包括交易日期，交易中涉及的政府相关数据类型和数量，或大量美国敏感个人信息类型和数量，数据传输方式，以及参与数据交易的人员及其各自位置，包括每个数据接收者的姓名和位置、实体的所有权或个人的公民身份或主要居所、涉及交易的所有相关人员的姓名和位置，以及涉及交易的相关国家名称；(iii)交易相关收到的或创建的任何相关文件的副本；(iv)司法部可能要求的任何其他信息。

D. 豁免的交易[27]

（1）个人通信：本规则不适用于涉及任何邮政、电报、电话或其他不涉及价值转移的个人通信的数据交易。

（2）信息及信息材料：本规则不适用于涉及从任何国家进口或向任何国家出口任何信息或信息材料的数据交易，无论商业或其他，也无论格式或传输媒介如何。

（3）旅游：本规则不适用于与往返任何国家旅行相关的数据交易，包括个人使用的随身行李进口；在任何国家内的维持，包括支付生活费和购买个人使用的商品或服务；以及安排或协助此类旅行，包括非定期空运、海运或陆路旅行。

（4）美国政府官方业务：本规则不适用于美国联邦政府、州政府或地方政府的雇员、承包商或受托人，以及任何受联邦政府委托执行官方业务（包括联邦资助的科研活动）的人员，在开展上述官方业务过程中所涉及的数据交易。此豁免适用于政府层面的官方数据共享行为，但不延伸至私营部门与政府之间的一般商业数据交易。

（5）金融服务：本规则不适用于银行业、资本市场（包括投资管理服务及证券、商品、衍生品的交易与承销）或金融保险服务，受OCC或美联储监管的法定金融活动，电商等商品交易中的必要数据传输，支付处理、资金划转及相关的欺诈检测、身份核验等配套服务。适用本豁免须满足的关键条件是，相关数据交易须为提供上述金融服务所“通常附带发生”的数据处理行为，而非独立于核心金融服务之外的单独数据交易。

（6）企业集团内部交易：本规则不适用于美国实体与其关联实体之间，基于行政性或辅助性业务运营需要而开展的数据交易。本豁免旨在保障跨国企业集团内部的正常运营数据流转，但须注意：数据交易须以关联实体（母公司、子公司、分支机构等）之间的行政或辅助性业务为限，不涵盖商业性质的跨境数据销售或授权行为。对于中国企业在美国的子公司与中国母公司之间存在的涉及受管辖数据的数据交易，须审慎评估是否满足本豁免的具体适用条件。

（7）联邦法律要求或授权的交易：本规则不适用于联邦法律或国际协议所要求、授权，或为遵守联邦法律所必要的数据交易。

（8）受CFIUS审查的投资协议：本规则不适用于已受到美国外国投资委员会（CFIUS）正式裁定的投资协议所涉及的数据交易。

（9）电信服务：本规则不适用于在正常提供电信服务（包括美国境内的宽带互联网接入、固定电话及移动通信服务）过程中通常附带发生且属于此类服务组成部分的数据交易。

（10）药品、生物制品与医疗器械监管审批数据：本规则的数据交易管控条款不适用于涉及“监管审批数据”的数据交易，条件是：（i）该数据系为在受关注国家或地区（包括中国）获得或维持药品、生物制品、器械或组合产品的研究或上市监管授权所必需；且（ii）美国实体须同时履行相应的记录保存与报告义务。此外，也不适用于受FDA监管的临床调查，以及上市后的监测和护理数据。

4. 法律风险及责任

EO 14117依托IEEPA的制度框架构建了严格的法律责任体系，对违规数据交易形成强力威慑。在执法路径上，司法部国家安全司（NSD）作为该行政令的主要执法机构，依据IEEPA享有对违规行为提起民事执法行动和刑事起诉的双重权力。

（1）民事处罚[28]

根据IEEPA §1705(b)授权，每一笔违规数据交易对应的民事处罚金额，以下列两者中较高者为准：（a）财政部根据通胀系数定期调整的金额；（b）违规交易金额的两倍。

（2）刑事处罚[29]

对于故意违反EO 14117的行为，依据IEEPA §1705(c)，除民事处罚外还可面临刑事追诉，最高可处以100万美元罚款及20年有期徒刑。

（3）执法现状及诉讼情况

目前EO 14117的执法宽限期已经结束，该行政令已于2025年10月起全面生效。截至本文撰写之时，与EO 14117直接相关的正式执法案例尚处于积累阶段，但NSD已多次公开表达对违规行为“零容忍”的执法立场[30]，且现有IEEPA执法实践（尤其是出口管制和制裁领域）表明[31]，NSD的执法能力和意愿均不容低估。

在私人诉讼层面，自EO 14117全面生效以来，已有多起引用该行政令及其配套规则的民事集体诉讼被提起，反映出该行政令正在成为数据隐私诉讼的新型法律依据。

具体而言，主要案例包括：2025年9月，Porcuna v. Xandr, Inc.案和Baker v. Index Exchange, Inc.案相继提起，指控被告利用追踪技术将美国用户数据传输至Temu，违反了《电子通信隐私法》、EO 14117及配套规则。2026年2月，Christy v. Lenovo (United States) Inc.案被提起，指控联想美国公司通过其网站追踪技术将用户数据传输至其中国母公司。同月，McGrath v. Google LLC等三起平行集体诉讼被提起，指控Google将数以百万计的美国用户浏览数据传输至Pangle（字节跳动旗下）、MediaGo（百度旗下）和Temu等中国关联广告实体。上述案件表明，虽然联邦政府的执法行动尚处于积累阶段，但私人诉讼已率先将EO 14117转化为具有实际诉讼效力的法律工具。

（4）法律风险缓释机制

面对上述严峻的法律风险，EO 14117框架下存在若干重要的风险缓释机制，主要包括以下三类：

第一，主动自愿披露（Voluntary Self-Disclosure，VSD）[32]。NSD设有适用于国家安全违规事项的自愿披露政策，根据该政策，若实体主动、完整地披露刑事违规行为，并充分配合调查、及时修复违规，且不存在加重情节，NSD 可能不会寻求认罪协议，并推定给予不起诉协议（Non-Prosecution Agreement），且通常不处以罚款。

第二，许可申请（Licenses）[33]。行政令框架下设有两类许可机制：一般许可（General License）和特定许可（Specific License）。一般许可由NSD主动颁发、无需个别申请，适用于特定类别群体从事特定类型的交易；特定许可则需由美国实体就具体交易向NSD单独提出申请。需要特别注意的是，根据NSD于2025年4月发布的《合规指引》，NSD对特定许可申请采取“推定拒绝”标准（presumption of denial）[34]，这意味着在实践中获得特定许可的难度极高，企业不应将特定许可视为常规合规路径。

第三，咨询意见（Advisory Opinions）[35]。美国实体可就特定交易向总检察长申请咨询意见，司法部（DOJ）应在收到咨询意见请求及所有必要的补充资料或文件后三十（30）日内，尽力作出答复。提交请求后，司法部可行使自由裁量权，就拟议行为阐明其当前的执法意图，或拒绝阐明此类意图；此外，司法部亦可视具体情形采取其认为适当的其他立场或启动相关程序。

（5）间接法律与商业风险

除上述直接法律责任外，违反EO 14117还可能引发一系列间接法律和商业风险，包括：被NSD主动指定为“受管辖的实体”，导致与美国实体的各类商业往来受阻；触发美国客户的合同终止权；引发CFIUS对相关投资协议的追溯审查；以及严重损害品牌声誉，导致美国市场份额流失。对于中国出海企业而言，在当前中美科技博弈深化的地缘政治背景下，合规瑕疵所造成的市场与商业损失，往往远超法律处罚本身。

三、EO14117下智能眼镜类产品面临的核心法律风险及合规路径

智能眼镜集成了多类传感器，集成了摄像头、麦克风、IMU、GPS等多类传感器，使其成为EO 14117框架下数据合规风险较高的消费电子品类之一。相较于智能手机等传统移动终端，智能眼镜因其持续性工作的特性，在用户无明显感知的状态下持续采集多维度数据，数据敏感性和监管风险均呈现出量级跃升的特征。以下从EO 14117规定的受管辖数据类型视角，逐一梳理智能眼镜场景下的典型高风险敏感数据。

（1）生物特征识别符（Biometric Identifiers，§202.204，阈值：1,000人）

根据§202.204，“生物特征识别符”是指用于识别或验证个人身份的可测量生理特征或行为特征，包括面部图像、语音指纹与模式、视网膜与虹膜扫描、掌纹与指纹等，以及在生物识别系统中注册的信息和系统生成的模板。生物特征识别符的阈值仅为1,000人，是EO 14117下阈值最低、最容易被触发的受管辖数据类型之一。

在智能眼镜场景中，生物特征识别符的采集覆盖多个传感器维度：第一，面部图像：智能眼镜内置的摄像头（含广角及深度摄像头）在正常使用过程中会持续拍摄用户所处环境，其中不可避免地包含大量路人及交易对象的面部图像数据。第二，语音数据：智能语音助手在收集用户指令的同时，形成具有个人识别属性的语音特征（Voiceprint）。

（2）精准地理位置数据（Precise Geolocation Data，§202.242，阈值：1,000人）

根据§202.242，精准地理位置数据是指能够以1,000米精度确定个人或设备物理位置的数据（无论实时或历史数据），阈值同为1,000人，极易触发。智能眼镜因需提供AR导航、场景识别等核心功能，通常集成了高精度GPS芯片，并结合WiFi、蓝牙实现室内外无缝定位。值得特别警惕的是，若用户佩戴智能眼镜进入国防设施、政府建筑或军事基地附近区域，其位置数据将自动升级为受管辖的“政府相关数据”（§202.222），不受任何数量阈值限制。这对主要消费者群体中包含美国政府雇员或军事人员的场景，构成额外的合规高压风险。

（3）个人健康数据（Personal Health Data，§202.241，阈值：10,000人）

根据§202.241，个人健康数据包括揭示、表明或描述个人过去、现在或未来身体或心理健康状况的信息，以及向个人提供医疗保健服务的信息和个人为获得医疗保健服务所支付费用的信息，阈值为10,000人。

在智能眼镜的特殊应用场景中，配镜（即配制处方眼镜）所涉及的健康数据尤为值得关注。智能眼镜的配镜流程与普通眼镜基本一致，均需要用户提供验光处方数据，包括球镜度数（SPH）、柱镜度数（CYL）、轴向（Axis）等屈光参数，以及角膜曲率、瞳距（PD）等测量数据。上述数据均属于描述个人视觉健康状况的医疗信息，毫无疑问落入“个人健康数据”的定义范围之内。需要特别指出的是，配镜过程中若需采集用户面部参数（如用于镜架适配的面部尺寸测量），则可能同时触发生物特征识别符（§202.204）的认定，形成健康数据与生物特征数据的双重合规压力。

（4）数据聚合与身份再识别

EO 14117明确规定，受管辖数据“无论是否经过匿名化、假名化、去标识化或加密处理”均受管辖[36]。这意味着智能眼镜企业无法依赖传统的匿名化手段来规避合规义务，这是EO 14117超越传统隐私保护框架的核心制度特征之一。更为关键的是，个别数据类型在单独传输时可能未达到数量阈值，但当生物特征识别符、精准位置数据、健康数据通过供应商协议（如云端AI服务）汇聚于同一数据管道时，将触发“组合数据”认定，数量阈值自动降至各类别中的最低阈值。

由此可见，智能眼镜类产品的固有特性决定了其有极大概率会落入EO 14117的监管范围。基于此，我们就该类产品在美国市场涉EO14117下的多类高风险合规场景进行了分析，并梳理形成了可参考的合规应对路径。

（一）供应商协议下的云端数据传输风险

智能眼镜的各项核心功能在运行过程中通常需要依赖云端服务的支持。中国硬件企业往往将相关云端服务部署于中国大陆的服务器，或采购中国云服务商的境外节点。上述架构意味着，美国用户在使用智能眼镜过程中实时产生的生物特征数据（面部图像、声纹、眼动）和位置数据，将通过供应商协议（Vendor Agreement）的形式被传输至受管辖的实体，从而构成受限制的数据交易，须满足CISA安全要求方可合法开展。

（1）合规路径一：替换为美国本土云服务商

将服务美国用户的全部云端服务与数据存储迁移至美国本土云服务商，并确保该云服务商与中国母公司之间不存在技术层面的数据访问通道，从而切断受管辖实体对受管辖数据的访问可能性，彻底规避受限制的供应商协议数据交易的触发。

（2）合规路径二：满足CISA安全要求并建立完整合规体系

若企业因商业原因需保留中国后端服务美国用户的架构，则须在建立完整合规体系的前提下方可开展此类受限制的数据交易。该合规体系须涵盖以下核心要素：第一，满足CISA《限制性交易安全要求》，包括对传输至受管辖实体的数据实施数据级安全控制（data-level security controls），建立访问控制机制，部署持续监控和完整的审计日志系统。第二，制定并实施符合§202.1001要求的数据合规计划，包括针对受限交易涉及数据流的风险评估程序（尽职调查），验证交易中涉及的数据类型和数量、交易各方身份（含实体所有权结构及个人国籍）以及数据最终用途和传输方式，并建立基于风险的供应商身份验证程序。第三，每年开展符合§202.1002要求的独立合规审计，审计范围须涵盖受限交易、数据合规计划执行情况及CISA安全要求的实施状况，审计师须在完成后60天内提交书面报告。第四，建立符合§202.1101和§202.1102要求的记录保存体系，所有与受限交易相关的尽职调查文件、协议副本、数据传输方法说明等须以可审计方式保存至少10年。第五，若符合§202.1103要求的年度报告条件，还须按时提交年度报告。

（二）配镜数据的合规挑战与应对方案

配镜（处方眼镜配制）是智能眼镜产品特有且合规风险较为集中的应用场景。智能眼镜的配镜流程与普通眼镜基本一致，用户需提供由专业验光师出具的验光处方（包括球镜度数、柱镜度数、轴向、瞳距等参数），随后由制镜厂商根据处方参数生产配套镜片。该流程中涉及的核心合规风险在于：验光处方数据属于§202.241项下的个人健康数据；若配镜过程中还需采集用户面部尺寸参数用于镜架适配，则可能同时触发生物特征识别符的认定。此外，若配镜订单处理系统部署于中国境内或由中国母公司运营，则上述数据的跨境传输将构成受限制的供应商协议数据交易。

（1）合规路径一：构建美国本土供应链

一方面，将配镜订单处理系统全面部署于美国境内，确保配镜处方及测量数据全程在美存储与处理，并从物理与逻辑层面彻底阻断受管辖实体对上述数据的任何访问权限；另一方面，指定由美国本土制镜供应商完成配镜生产与交付。通过上述方案，打造数据存储与订单履约的美国本土化闭环，确保业务流转全面合规。

（2）合规路径二：数据转化与参数脱敏传输

考虑到配镜数据回传中国的主要商业目的是供中国制镜厂商根据相应参数生产配套镜片，一种可行的合规路径是将个人健康数据转化为不具有个人可识别性的镜片生产参数后再行传输。具体而言：（i）在美国境内完成验光处方数据的采集与处理；（ii）将个人验光处方（球镜度数、柱镜度数、轴向、瞳距等）转化为标准化的镜片生产工艺参数（如曲率半径、中心厚度、折射率等纯技术参数）；（iii）在转化过程中剥离所有个人标识符，使传输至中国制镜厂商的数据仅为不可逆向关联至特定个人的生产参数。若经转化后的数据确已不构成§202.241项下的“个人健康数据”或§202.212项下的“个人标识符”，则该数据传输可能不再落入受管辖数据交易的范畴。但需特别注意，EO 14117明确规定受管辖数据“无论是否经过匿名化、假名化、去标识化或加密处理”均受管辖，因此上述转化方案须确保传输的是全新生成的技术参数而非原始健康数据的变体形式，且是否能够作为有效的合规路径仍需进一步检验和研究。

四、结尾

EO 14117及其配套实施规则的全面落地，标志着美国数据安全监管框架完成了从“以隐私保护为核心”向“以国家安全为优先”的历史性范式迁移。对于中国IoT设备厂商而言，这一监管转变绝非简单意义上的合规负担叠加，而是出海战略底层逻辑的根本性重构：在中美科技博弈持续深化的地缘政治背景下，数据合规能力已成为决定中国企业能否在美国市场长期立足的核心战略要素。

在诸多IoT设备中，智能眼镜这一品类的特殊性在于其天然的“数据密集型”属性——传感器矩阵的高度集成使其在单一设备上同时具备采集生物特征识别符、精准位置数据和健康数据的能力，叠加基于云服务的商业化路径，使得几乎任何规模化的美国市场运营都将不可避免地触发EO 14117下的受管辖数据交易。配镜这一兼具医疗属性和生物特征数据属性的特殊场景，进一步加剧了合规架构的复杂性。

然而，合规挑战并非不可逾越。EO 14117并非“一刀切”的数据禁令，而是构建了一套以“知情”为责任认定前提、以“禁止-限制-豁免”为三级管控层次、以CISA安全要求为技术底线的精细化监管框架。对于智能眼镜企业而言，将技术合规路径与法律合规路径有机结合，可以在相当程度上实现合规目标与商业价值的协同兼顾。

[1] IoT，指通过各种信息传感器、射频识别技术等装置，将任何物理物体连接到互联网，实现数据采集、通信和远程管理的网络。

[2] AIoT，指将人工智能（AI）技术融入物联网的基础设施和终端设备中，设备不仅能收集和传输数据，更能通过内置的AI算法对数据进行实时分析、学习并做出智能决策。

[3] 指美国公民、国民、合法永久居民、受庇护者或难民，任何仅依据美国法律或美国境内任何司法管辖区法律设立的实体（包括其在外国的分支机构），以及任何位于美国的人。

[4] The White House, FACT SHEET: President Biden Issues Executive Order to Protect Americans’ Sensitive Personal Data, https://bidenwhitehouse.archives.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/

[5] Perkins Coie, User’s Guide to DOJ & CISA Rules Implementing Executive Order 14117, https://perkinscoie.com/insights/blog/users-guide-doj-cisa-rules-implementing-executive-order-14117, Last visit：2026/04/07

[6] 28 C.F.R. §202.230 (a) (2025).

[7] U.S. Department of Justice, National Security Division, Data Security Program:  Compliance Guide, https://www.justice.gov/opa/media/1396356/dl, page. 8-9

[8] 28 C.F.R. §202.211 (a)(1)-(4) (2025) ; U.S. Department of Justice, National Security Division, Data Security Program: Frequently Asked Questions, https://www.justice.gov/nsd/media/1415006/dl  (Q14) ; U.S. Department of Justice, National Security Division, Data Security Program:  Compliance Guide, https://www.justice.gov/opa/media/1396356/dl, page. 4

[9] 28 C.F.R. §202.211 (a)(5) (2025).

[10] 28 C.F.R. §202.222 (a) (2025).

[11] U.S. Department of Justice, National Security Division, Data Security Program:  Compliance Guide, https://www.justice.gov/opa/media/1396356/dl, page. 3

[12] U.S. Department of Justice, National Security Division, Data Security Program: Frequently Asked Questions, https://www.justice.gov/nsd/media/1415006/dl  (Q14).

[13] 28 C.F.R. §202.206 (2025)..

[14] 28 C.F.R. §202.214 (a) (2025).

[15] 28 C.F.R. §202.301 (a) (2025).

[16] 28 C.F.R. §202.302 (a) (2025).

[17] 28 C.F.R. §202.303 (2025).

[18] 28 C.F.R. §202.1104 (2025).

[19] 28 C.F.R. §202.248 (2025).

[20] 28 C.F.R. §202.258 (a) (2025).

[21] 28 C.F.R. §202.217 (a) (2025).

[22] 28 C.F.R. §202.217 (a) (2025).

[23] 28 C.F.R. §202.1001 (2025).

[24] 28 C.F.R. §202.1002 (2025).

[25] 28 C.F.R. §202.1101 (2025) ; 28 C.F.R. §202.1102 (2025).

[26] 28 C.F.R. §202.1103 (2025).

[27] 28 C.F.R. §202.501- 510 (2025).

[28] U.S. Department of Justice, National Security Division, Data Security Program:  Compliance Guide, https://www.justice.gov/opa/media/1396356/dl, page. 8

[29] U.S. Department of Justice, National Security Division, Data Security Program:  Compliance Guide, https://www.justice.gov/opa/media/1396356/dl, page. 8

[30] “individuals and entities should expect NSD to pursue appropriate enforcement with respect to any violations”, U.S. Department of Justice, National Security Division, Data Security Program: Implementation and Enforcement Policy Through July 8, 2025, https://www.justice.gov/opa/media/1396346/dl, page. 3

[31] U.S. Department of Justice, National Security Division, Export Control and Sanctions Enforcement, available at https://www.justice.gov/nsd/export-control-and-sanctions

[32] U.S. Department of Justice, National Security Division, Export Control and Sanctions Enforcement Policy for Business Organizations, Justice Manual § 9-90.625.

[33] 28 C.F.R. §202.801- 802 (2025).

[34] U.S. Department of Justice, National Security Division, Data Security Program:  Compliance Guide, https://www.justice.gov/opa/media/1396356/dl, page. 20

[35] 28 C.F.R. §202.901 (2025).

[36] 28 C.F.R. §202.206 (2025).