引 
 言 

在全球产业链与数据链高度融合的背景下，中国企业“走出去”已成为不可逆转的趋势。然而，近年来美国将数据安全与国家安全深度绑定，通过立法与执法双轮驱动，显著提高了跨境传输的合规门槛。

尤其是对来自“外国对手”（foreign adversaries）的数据流动，美国监管机构采取了趋严的立场，中国（包括在境外注册但实际受中国控制的企业）被明确纳入重点关注范围。

值得注意的是，这类监管并非仅限于联邦层面。美国的公司治理与数据保护体系在州一级同样具有独立而严格的规制。例如，特拉华州公司法（Delaware
 General Corporation Law, 
“DGCL”）对董事会忠实义务和谨慎义务的要求极为严格，其影响力往往超出特拉华州内，成为全美国公司法领域的标杆。

因此，中国企业在美运营不仅要面对公司治理制度下的董事会责任，还需同时遵守联邦层面的数据保护、出口管制与经济制裁法规。如何在复杂多元的合规环境中构建系统性防御，成为企业管理层与法务部门亟需解答的问题。


01||  美国法律框架概述
=====-------------—


在美国，公司治理与数据合规问题不仅受联邦法律规制，还与各州公司法紧密相关。其中，特拉华州因其完善的公司立法与长期的司法实践，成为跨国企业（尤其是设立美国子公司的境外企业）最常见的注册地和法律适用地。学界甚至将这种现象称为“Delaware
 Effect”，即特拉华的公司治理模式对全美范围内具有示范和引领作用。

换言之，即便企业注册在其他州，特拉华州的法律与判例依然常常被作为衡量董事会义务和股东权利的重要参照标准。

本文以下部分即以特拉华州为例，分析公司治理与股东权利在数据合规背景下的法律边界。

1-1 
特拉华州公司法与董事会义务
Compliance Risk

根据《特拉华州公司法》（Delaware General Corporation Law,“DGCL”）第141条，董事会对公司及全体股东负有忠实义务（duty of loyalty）与谨慎义务（duty of care）。即便控股股东的持股比例超过90%，董事会的决策仍必须以公司整体及全体股东的利益为优先，而非单纯满足控股股东的要求[1]。

若董事会在明知跨境数据传输可能引发重大法律风险的情况下仍予批准，不仅可能违反忠实义务，还可能丧失商业判断规则（Business Judgment Rule）的保护，从而使董事个人面临衍生诉讼及赔偿责任。

1-2
股东知情权的边界
Compliance Risk

DGCL第220条赋予股东在“正当目的”（proper purpose）下查阅公司账簿、股东名册及子公司记录的权利。

然而，美国法院长期强调，该项权利并非无限。若查阅或使用目的违法，或与股东身份利益无关，例如将敏感商业数据传递给受外国政府控制或影响的境外实体，通常会被认定为滥用权利，从而不符合法律保护的范围[2]。

1-3
联邦层面的数据合规
Compliance Risk

在联邦层面，数据跨境传输的合规义务主要体现在以下几部法律与规则中：

行政命令14117及司法部最终规则（2025）：禁止或限制美国主体向“关注国家”传输大规模敏感个人数据，包括身份证号码、精准地理位置、金融数据等[3]。

《保护美国人数据免受外国对手侵害法》（Protecting
 Americans’Data from Foreign Adversaries 
Act,“PADFA”，2024）：明确将中国政府列为“外国对手政府”，禁止数据经纪人向其控制的实体转让敏感数据，违规者每日每项可处以最高50,120美元的罚款[4]。

《特拉华州个人数据隐私法》（Delaware
 Personal Data Privacy 
Act,“DPDPA”，2025）：对涉及特拉华州居民个人数据的跨境传输，要求企业事先进行数据保护影响评估（Data Protection 
Impact Assessment, DPIA），并由州司法部长直接负责执法。

1-4
出口管制与经济制裁
Compliance Risk

跨境传输技术性资料亦受出口管制及制裁法规的规制：

出口管理条例（Export
 Administration Regulations, EAR）与国际武器贸易条例（International Traffic in Arms
 Regulations, 
ITAR）：认定技术资料、设计文件、生产工艺等跨境传输行为均为“出口”，即便仅在集团内部流转也可能需要事先获得许可证[5]。

美国财政部外国资产控制办公室（Office of Foreign Assets Control, OFAC）制裁：一旦涉及受制裁实体，即使仅为间接交易，也可能被认定为“规避制裁”，单项违规的最高民事罚款可达377,700美元[6]。

1-5
商业秘密与经济间谍风险
Compliance Risk

跨境数据传输若涉及商业秘密，还可能触发民事与刑事双重风险：

《保护商业秘密法》（Defend
 Trade Secrets Act, DTSA, 2016）与特拉华州《统一商业秘密法》（Delaware Uniform Trade 
Secrets Act, DUTSA）：均对商业秘密的不当披露提供救济，包括禁令、损害赔偿及惩罚性赔偿。

《经济间谍法》（Economic Espionage Act, EEA, 1996）：若商业秘密的转移被认定为有利于外国政府或其代理人，则构成刑事犯罪，个人最高可判处15年监禁，企业罚款最高可达1,000万美元[7]。

02||  合规风险分析
=====-------------—
2-1
股东诉讼与董事会责任风险
Compliance Risk

在美国公司治理体系下，董事会成员必须履行忠实义务（duty of loyalty）与勤勉义务（duty of care）。

根据《特拉华州公司法》（Delaware General Corporation Law, “DGCL”）第141条，公司董事应当服务于公司整体及全体股东的利益，而非仅满足控股股东的指令[8]。

实践中，如果控股股东要求子公司披露涉及客户、供应商、技术或财务的敏感信息，而该行为可能损害公司整体利益或导致重大法律风险，董事会若仍予批准，可能触发少数股东的衍生诉讼。

特拉华衡平法院在 Kahn v. M&F Worldwide Corp. 一案中明确指出，在控股股东主导的交易中，若未满足独立董事审查或独立股东批准等条件，董事将无法依赖商业判断规则（Business Judgment Rule）进行抗辩[9]。

因此，中国企业在美子公司的董事会应特别注意：即便控股比例接近或超过 100%，披露敏感信息若缺乏正当商业理由与合规程序，仍可能构成对忠实义务的违反，从而导致董事个人赔偿责任。

2-2
数据跨境传输的双重法律风险
Compliance Risk

美国对敏感数据跨境传输的规制日益趋严，并形成了联邦与州两级的双重监管：

联邦层面：根据《保护美国人数据免受外国对手侵害法》（Protecting
 Americans’ Data from Foreign Adversaries Act, “PADFA”），数据经纪人（data 
brokers）被禁止向“外国对手”或其控制的实体转让美国居民的敏感数据，中国被明确列为“外国对手国家”。违法者每日每项可处以最高 50,120
 美元的民事罚款；若情节严重，还可能面临刑事责任[10]。

州层面：根据《特拉华州个人数据隐私法》（Delaware
 Personal Data Privacy Act, 
“DPDPA”，自2025年1月1日起生效），企业在跨境传输涉及特拉华州居民的个人数据之前，必须进行数据保护影响评估（Data 
Protection Impact Assessment, DPIA）。如违反该法，州总检察长可发出整改令、处以罚款，并公开违规行为[11]。

两部法律并行适用，意味着一次未经授权的数据传输可能同时触发联邦与州执法，形成叠加风险。

2-3
出口管制与“视为出口”规则
Compliance Risk

根据《出口管理条例》（Export
 Administration Regulations, “EAR”）和《国际武器贸易条例》（International Traffic in 
Arms Regulations, “ITAR”），技术数据、设计文件、生产工艺等资料的跨境传输均可能构成“出口”。

需要特别关注的是“视为出口”（Deemed Export）规则：即便在美国境内，如果外国籍员工（如中方派驻人员）能够接触到受控技术，也可能被视为出口行为[12]。例如，2023年美国商务部工业与安全局（Bureau
 of Industry and Security, 
BIS）曾对一家在硅谷设有研发中心的中资背景芯片公司展开调查，理由正是“未经许可的技术传输”。

因此，中国企业在美子公司若未建立完善的数据访问控制与权限管理机制，即便是内部数据流转，也可能无意间触发出口管制责任。

2-4
商业秘密与经济间谍风险
Compliance Risk

商业秘密的跨境传输还可能引发民事与刑事双重风险：

民事责任：根据《保护商业秘密法》（Defend Trade Secrets Act, DTSA），权利人可因商业秘密被不当披露而提起民事诉讼，寻求禁令、损害赔偿、惩罚性赔偿及律师费[13]。

刑事责任：根据《经济间谍法》（Economic Espionage Act, EEA），若商业秘密的转移被认定为有利于外国政府或其代理人，则可能构成刑事犯罪。个人最高可判处 15 年监禁，公司罚款最高可达 1000 万美元[14]。

例如，若美国子公司将 ERP 系统配置、客户清单、定价算法等信息传输至境外控股方，而该行为被认定为缺乏正当商业必要性，则既可能被竞争对手或少数股东依据 DTSA 起诉，也可能引发美国司法部（DOJ）在国家安全框架下的刑事调查。

03||  执法趋势与案例
=====-------------—
3-1
联邦层面的执法趋势
Compliance Risk

近年来，美国联邦层面对数据跨境传输和技术出口的执法持续收紧，主要体现在以下两个方面：

（1）国家安全视角的强化

美国司法部（DOJ）愈发倾向于将跨境数据传输案件置于国家安全框架下处理，而不仅仅将其视为隐私或商业合规问题。

国家安全分部（National Security Division, NSD）的介入，意味着案件可能伴随资产冻结、公司高管被传唤、甚至刑事调查。

例如，2024年DOJ即对一家中资背景的美国子公司立案调查，理由是该公司将批量客户数据库备份传输回境外母公司服务器，触发了《行政命令14117》所涵盖的“敏感数据”范围[15]。

（1）跨部门联合执法

美国商务部工业与安全局（Bureau
 of Industry and Security, BIS）与财政部外国资产控制办公室（Office of Foreign Assets 
Control, 
OFAC）在多个案件中与DOJ联合行动：一方面查处未经许可的技术传输（EAR/ITAR），另一方面以“规避制裁”为由冻结相关企业的美元账户。这种“双重打击”显著提高了企业的合规成本与经营风险[16]。

3-2
州层面的新型执法
Compliance Risk

联邦法律之外，州一级的隐私与数据保护法也日益成为重要补充：

特拉华州先例：2025年初，特拉华州总检察长办公室首次援引《特拉华州个人数据隐私法》（DPDPA），对一家金融服务公司因未进行数据保护影响评估（DPIA）即将客户数据交付境外母公司而展开调查，并处以高额罚款[^17]。这一案例显示，州级执法并非象征性，而是与联邦执法形成叠加效应。

加州消费者隐私法（CCPA/CPRA）应用：2023–2024年间，加州隐私保护局（California
 Privacy Protection Agency, 
CPPA）对多家企业启动调查，原因是其在未经充分披露的情况下向亚洲母公司传输加州居民的个人数据，涉案行业包括医疗器械与金融科技。处罚措施包括罚款、公开通报及强制整改计划[18]。

3-3
典型案例回顾
Compliance Risk

（1）TikTok / ByteDance 案件

尽管尚未形成最终司法判例，但美国政府针对TikTok的多轮调查与拟议禁令，反映出其对“中国背景企业收集美国用户数据”的高度敏感。该案展示了行政命令、国会立法与外国投资委员会（CFIUS）审查多管齐下的监管路径[19]。

（2）华为及其子公司案

在出口管制领域，华为案例是最典型的警示。美国商务部将其列入实体清单（Entity List），导致其全球供应链受到严重冲击。对于在美子公司而言，一旦母公司被列入SDN或实体清单，任何数据、技术乃至资金的流动都可能被视为“协助规避制裁”[20]。

（3）硅谷中资背景初创企业调查

自2023年起，DOJ对多家在硅谷设有研发中心的中资背景初创企业立案调查，理由包括“未经许可向中国工程师开放源代码库”以及“允许境外母公司远程访问美国服务器”。这些案件虽然多数以行政和解方式收尾，但相关企业的合规成本和声誉损害极为严重[21]。

3-4
执法趋势总结
Compliance Risk

通过以上趋势与案例，可以得出几点结论：

执法门槛降低：不必等到实际发生数据泄露，单纯的“未经许可传输敏感数据”即可触发调查。

处罚方式复合化：民事罚款、刑事责任、资产冻结、银行账户关闭与供应链中断可能同时发生。

母子公司风险传导：一旦境外母公司或股东被列入清单，美国子公司与其之间的任何数据流动均可能被认定为“高风险交易”。

因此，中国企业在美子公司必须将数据合规与出口管制合规提升至与财务合规同等的战略高度，而不能依赖历史惯例或“低调处理”的思路。


04||  合规应对路径
=====-------------—
4-1
董事会治理
Compliance Risk

（1）通过一致书面决议，确立对美国法律合规的高度重视；

（2）评估非美国籍董事履行忠实义务的可行性；

（3）引入独立董事或特别委员会审查数据请求。

4-2
内部控制机制
Compliance Risk

（1）建立“数据分级与访问授权制度”；

（2）引入监测防火墙，防范敏感数据外泄；

（3）制定集团内部数据共享协议，确保责任链条清晰。

4-3
数据本地化与安全传输
Compliance Risk

（1）所有ERP系统与财务数据在美本地存储；

（2）涉及敏感个人信息的跨境传输前，必须完成DPIA；

（3）禁止使用境外邮箱（尤其是受控股东控制的域名）传递敏感信息。

4-4
外部法律与合规支持
Compliance Risk

（1）定期聘请美国本地律师出具“出口管制与数据合规”意见书；

（2）在重大数据传输前申请出口许可证或合规豁免；

（3）与外部审计、合规顾问协作，保持与DOJ、OFAC的合规对话。
结  论



美国对数据与技术跨境传输的监管正快速演进，中国企业在美运营必须将其视为“核心合规议题”。

合规不仅是法律义务，更是企业稳健经营与声誉管理的重要保障。通过完善公司治理、建立内部控制、强化数据本地化以及及时引入法律顾问，中国企业能够在复杂的美国监管环境下实现风险可控、合规运营。



【 脚 注】

[1] Delaware General Corporation Law, 8 Del. C. §141 (2023).

[2] Delaware General Corporation Law, 8 Del. C. §220; Seinfeld v. Verizon Communications, Inc., 909 A.2d 117 (Del. 2006).

[3] Executive Order No. 14117, 89 Fed. Reg. 14245 (Feb. 28, 2024); 31 C.F.R. Part 7 (U.S. Dept. of Justice, Final Rule, 2025).

[4] Protecting Americans’ Data from Foreign Adversaries Act of 2024, Pub. L. No. 118-42, 138 Stat. 1162 (2024).

[5]
 Export Administration Regulations (EAR), 15 C.F.R. Parts 730–774 
(2023); International Traffic in Arms Regulations (ITAR), 22 C.F.R. 
Parts 120–130 (2023).

[6] U.S. Department of the Treasury, Economic Sanctions Enforcement Guidelines, 74 Fed. Reg. 57593 (Nov. 9, 2009).

[7]
 Defend Trade Secrets Act of 2016, 18 U.S.C. §1836 et seq.; Delaware 
Uniform Trade Secrets Act, 6 Del. C. §§2001–2009; Economic Espionage Act
 of 1996, 18 U.S.C. §§1831–1839.

[8] Delaware General Corporation Law, 8 Del. C. §141.

[9] Kahn v. M&F Worldwide Corp., 88 A.3d 635 (Del. 2014).

[10] Protecting Americans’ Data from Foreign Adversaries Act of 2024, Pub. L. No. 118-42, 138 Stat. 1162 (2024).

[11] Delaware Personal Data Privacy Act, 6 Del. C. §§12D-101–12D-501 (effective Jan. 1, 2025).

[12]
 Export Administration Regulations, 15 C.F.R. §734.13(b) (2023); 
International Traffic in Arms Regulations, 22 C.F.R. §120.17 (2023).

[13] Defend Trade Secrets Act of 2016, 18 U.S.C. §1836(b).

[14] Economic Espionage Act of 1996, 18 U.S.C. §§1831–1839.

[15] Executive Order No. 14117, 89 Fed. Reg. 14245 (Feb. 28, 2024).

[16]
 Bureau of Industry and Security (BIS), U.S. Department of Commerce; 
Office of Foreign Assets Control (OFAC), U.S. Department of the 
Treasury, Enforcement Guidelines (latest version 2023).

[17] Delaware Personal Data Privacy Act, 6 Del. C. §§12D-101–12D-501 (effective Jan. 1, 2025).

[18]
 California Consumer Privacy Act (CCPA), Cal. Civ. Code 
§§1798.100–1798.199.100 (West 2023); California Privacy Rights Act 
(CPRA), Cal. Civ. Code §1798.100 note (enacted by Ballot Proposition 24,
 2020).

[19]
 Committee on Foreign Investment in the United States (CFIUS), U.S. 
Department of the Treasury, Annual Report to Congress (2023–2024).

[20]
 Bureau of Industry and Security, U.S. Department of Commerce, Addition 
of Entities to the Entity List, 84 Fed. Reg. 22961 (May 21, 2019) 
(Huawei case).

[21] U.S. Department of Justice, National Security Division, China Initiative Enforcement Cases (Press Releases 2023–2024).

律 师 简 介