警惕美数据出口管制规则执法在即：美军位置数据泄露事件或成“首案”导火索

本文来自微信公众号： Internet Law Review ，作者：张颖

2026年5月28日，美国两党议员联名致信国防部，质询其为何在过去十年间未能有效阻止商业数据经纪商收集并出售美军人员的实时位置数据，致使“外国对手”在“史诗狂怒行动”中利用了这些地理位置数据，用于攻击战区内的美军。这一事件迅速被路透社、TechCrunch和CyberWire Daily等多家媒体报道，其意义远超一次普通的国会监督。

在美国司法部（DOJ）依据《第14117号行政命令》颁布的《数据安全计划》（Data Security Program,以下简称DSP）已全面生效并进入强制执法阶段的背景下，此事件不再仅仅是一个国家安全漏洞的曝光，更可能成为触发DOJ首次高调执法的关键催化剂。

对于在美经营或业务涉及美国数据流的中国企业而言，理解这一事件的连锁反应至关重要。

一、事件核心：从“潜在风险”到“已证实威胁”的质变

此次国会质询的关键在于，它获得了美国中央司令部（USCENTCOM）的官方确认：已收到多份关于“对手利用商业位置数据在战区定位或监视美国人员”的威胁报告。这一确认完成了从理论风险到实际危害的质变。

这封信进一步揭露，国防部内部自2016年起便知悉此威胁，却未采取禁用广告标识符等基础防护措施，直至2026年5月。这种“系统性失职”的叙事，将矛头从个别技术漏洞转向了整个数据经纪产业的监管缺失，为采取广泛的执法行动营造了舆论与政治氛围。

从执法逻辑看，此事件精准命中了DSP规则的核心管制对象：“批量敏感个人数据”（精确地理位置数据）和潜在的“美国政府相关数据”（现役军人信息）。数据从美国个人流向美国经纪商，最终可能被“受关注国家”获取的路径，正是DSP意图切断的链条。

二、规则背景：DSP——以国家安全为名的“数据出口管制”

要理解此事件的严重性，必须首先了解DSP规则的实质。该规则并非传统的隐私保护法，而是一项以国家安全为出发点的“数据出口管制”制度，旨在防止中国等“受关注国家”及其关联实体，获取美国人的“批量敏感个人数据”及“美国政府相关数据”。

DSP将向“受关注国家”或“受涵盖主体”（指由受关注国家拥有或控制50%以上的实体）提供此类数据访问的交易，分为禁止类和限制类。对于限制类交易，企业必须建立并执行一套严格的数据安全合规计划，包括尽职调查、审计、访问控制、年度报告等法定义务。

DSP规则于2025年4月8日正式生效，90天执法宽限期（2025年4月8日至7月8日）早已过期，其核心的合规计划、审计与报告义务已于2025年10月6日进入全面实施阶段。这意味着法律工具已就位，执法窗口已开启。尽管尚未有公开的重大执法案例，但DOJ已设立专门的“敏感数据与外国投资执法处”（FIRS）负责相关工作。

对于中国企业而言，DSP的影响是“供应链级”的。它不仅约束直接处理美国数据的企业，更通过合同义务和尽职调查要求，将合规压力传导至整个商业生态。中资背景本身就会在交易中引发更严格的审查，涉及数据共享、云服务、技术支持等环节都可能触发合规义务。

三、执法推演：为何此次事件可能成为“首案”导火索？

在DSP执法工具已备而“首案”未立的空窗期，此次国会质询为DOJ提供了理想的执法标的。

首先，案件要素高度符合执法立威的需求。质询信的核心内容，是美国军人的生命，因商业数据的无序交易而受到直接威胁。涉及美军生命安全，政治敏感度高、舆论关注度强，执法行动因此容易获得公众与国会支持。打击处于数据流转关键节点的大型数据经纪商，能产生最大的行业震慑效应，符合“擒贼先擒王”的执法策略。

其次，国会质询简化了执法论证。DOJ无需再费力论证抽象的“国家安全风险”，只需沿着国会已勾勒出的“数据供应链”——从应用开发商、到数据聚合商、再到可能的下游买家——进行溯源调查，寻找违反DSP中“禁止向受关注国家提供访问”或“未能履行合规计划”等条款的证据。而且当国防部自身也曾是这些数据的大买家这一矛盾被抛出时，被调查企业任何关于“行业惯例”或“技术中性”的辩护都将显得苍白无力。

对于中国企业而言，这种风险传导是立体且多路径的。直接使用美国数据经纪商服务的企业自不待言，其数据接口可能本身就是调查的起点。更为隐蔽的风险在于间接关联：为中国企业提供云服务、数据分析工具或广告流量的美国第三方供应商，如果其自身的数据源“不干净”，就可能成为风险的传导管道。在“国家安全”叙事下，中资背景企业更容易被预设存在风险。

要知道，违反DSP不仅面临民事处罚，且对“故意”违法行为，美国可对责任人判处最高20年监禁及100万美元罚款。

四、应对视角：在风暴眼中构建“可验证的合规”

在DOJ的执法利剑已经备好，但“首案”尚未公开宣布的此刻，企业的应对策略必须从“建立合规”转向“证明清白”。等待与观望是最大的风险，因为执法者正在寻找的，正是一个足以定性的典型案例。

在DOJ的一份《90天执法政策》文件中，列举了“善意努力”的证据，明确包含了“重新谈判供应商协议或与新供应商谈判协议”以及“对潜在的新供应商进行尽职调查”。即在DOJ的执法逻辑中，是否“明知故犯”是量刑关键。

因此，对现有商业合作的审查需要更具战略性地“做减法”。在此基础上，所有合规举动，必须被系统、严谨地文档化，形成一条完整的“善意努力”证据链。

结语

美军数据泄露事件，很可能意味着美国数据跨境管控正式进入“以执法立威”的新阶段。DSP规则及其潜在的严厉执法，意味着数据合规已从可计算的运营成本，演变为关乎市场准入的战略生存能力。

对于出海企业而言，真正的挑战不在于理解DSP的条文，而在于预见政治风向与执法优先级的变化，并将这种洞察转化为敏捷、扎实的组织行动。此次国会质询，正是风向转变最清晰的信号。