美国数据保护立法历经数十年的发展与完善，其发展历程反映了其在全球范围内对于数据自由流动的高度重视。随着技术的进步和数据经济的扩展，美国的数据保护法律也不断演变，以应对新兴挑战和需求。从最初的分散立法到如今统一的法规框架，欧盟的数据保护制度经历了多个重要阶段。

演进过程主要可划分为以下几个关键阶段：

美国数据保护立法的历程可追溯到20世纪70年代。这一时期美国在数据隐私保护方面迈出了重要的第一步——《隐私法》。该法针对政府机构对个人信息的收集、使用和披露进行严格规范，明确规定政府机构在收集个人信息时必须遵循特定程序和原则。在未经本人书面同意的情况下，不得随意披露个人信息，切实保障了公民对其个人信息被政府处理的知情权和控制权，为后续的数据隐私保护立法奠定了坚实基础。

1978年，美国出台了《金融隐私权法》该法律主要聚焦于保护个人金融信息的隐私。其中规定，金融机构在向第三方披露客户的金融信息之前，必须通知客户并给予其反对的机会，这一规定有效限制了金融机构随意共享客户金融数据的行为，确保个人对自己的金融隐私拥有一定的掌控权，在金融领域树立了数据隐私保护的重要标杆。

1988 年的《视频隐私保护法》是为了防止视频租赁记录等个人视听资料的泄露。该法规定，未经本人书面同意或合法授权，任何人不得获取或披露他人的视频租赁记录等视听资料隐私，保护了个人在视频租赁等娱乐消费领域的隐私，体现了对特定类型个人数据隐私的重视。

1994 年美国颁布了《驾驶员隐私保护法》：主要保护由州机动车管理部门持有的个人信息，包括姓名、地址、社会安全号码、电话号码等，禁止未经授权使用或泄露这些个人信息，防止个人交通相关信息被滥用，进一步拓展了特定行业领域的数据隐私保护范围。

1996 年的《健康保险流通与责任法案》，是美国在医疗健康领域数据保护的重要立法。它要求医疗保健机构和相关业务合作伙伴采取适当的安全措施保护个人健康信息的隐私和安全，规范了健康信息在不同医疗服务提供者、保险公司等之间的流动和共享，确保个人健康数据在流转过程中的保密性、完整性和可用性，在医疗行业建立了较为完善的数据保护和流动规范体系。

1999 年《金融服务现代化法》，也称为《格雷姆 - 里奇 - 比利雷法》，该法要求金融机构向客户解释其信息共享的过程，并保障敏感信息的安全。金融机构需要制定隐私政策并向客户披露，同时客户有权选择是否允许金融机构将其个人信息共享给第三方，促进了金融行业数据流动的透明度和规范性，适应了当时金融行业混业经营的发展趋势和数据流动需求。

美欧跨境数据治理的第一次尝试是 2000 年 11 月正式出台的《安全港协议》。该协议以欧盟 1995 年《数据保护指令》设定的 “充分性认定” 原则为基础，再次强调数据传输第三国的数据保护水平必须与欧盟保护水平达到实质等同。该协议设定了知情、选择、转移、安全、数据完整、访问、执行 7 项隐私保护原则，有力调节了当时美欧之间的数据保护差异。美国共 4500 家企业参与了《安全港协议》，相关企业只需要每年向美国商务部提交一封自证信，承诺将会遵守协议所规定的原则，就可以自由地接收从欧盟方面传来的任何个人数据。美国联邦贸易委员会负责审查企业的违规行为，具体包括核查、纠纷解决和补救措施三部分，若企业持续违规则被吊销进入 “安全港” 的身份。然而，2013 年的斯诺登事件爆发，引发了欧盟对美国数据安全的担忧，2015 年欧洲法院判决该协议无效。

《安全港协议》被宣布无效后，为维持美欧企业与机构间日常的跨境数据流动，欧盟与美国政府着手制定新的数据传输隐私保护框架，并于 2016 年通过《隐私盾协议》。该协议基本沿袭了《安全港协议》的主要内容，细化了七项隐私保护原则，并额外增加了关于敏感数据、次要责任、数据保护机构的作用、人力资源数据、制药和医疗产品以及公开可用数据的规定。相较于《安全港协议》，《隐私盾协议》还附带了美国国家安全机构的承诺，并回应了欧洲法院提出的问题。但欧盟数据保护机构第 29 条工作组仍然对《隐私盾协议》的国家安全条款以及细则表达了担忧 。2020 年欧洲法院再次判决该协议无效。

《欧美隐私数据框架协议》是在《隐私盾协议》失效后，美欧历经两年谈判达成的。2022 年 3 月双方原则上达成共识，10 月拜登签署行政令限制美情报部门对欧盟公民数据的访问，之后欧盟跟进并进行相关评估。2023 年 7 月，美欧相关部门发表声明、通过决议并公开协议，恢复了美欧数据自由传输。该协议细化强化隐私保护规则，建立完善监管机制，在经济上助力美欧数字经济合作，政治上修复双方分歧，数据安全上提升保障水平，但也面临执行有效性及特殊情况下美国情报部门是否遵守限制等争议。

近年来，美国的数据流动政策发生了显著变化，更加重视国家安全和数据保护。2013年“棱镜”计划曝光后，美国的数据安全问题受到广泛关注。2018年，美国通过了《澄清域外数据合法使用法案》（CLOUD Act），确立了以数据控制者为标准的域外数据管辖权，突破了数据存储地理位置

2024年2月28日，拜登政府依据《国际紧急经济权力法》（IEEPA）发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令。该命令针对美国个人敏感数据向中国（包括香港和澳门）、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输，设立了一个数据出境国家安全审查制度。 

2024年12月26日，美国国务院国家安全司发布了执行第14117号行政命令的最终规则，正式确认《关于防止有关国家访问美国人大量敏感个人数据和美国政府相关数据的行政命令》的最终执行规则。这一规则的实施标志着中美之间的数据断流可能拉开历史性的篇章节点，众多企业的经贸交往也可能面临重大方向性调整。

从数据类型来看，新规定涵盖了六类敏感信息，包括个人识别信息、地理位置数据、生物识别信息、基因数据、金融信息和健康信息。这些数据的界定非常细致，例如，个人识别信息可以是政府颁发的完整或部分号码与金融账户的组合。尽管基因数据存在争议，但美国认为其对国家安全构成风险，因此受到严格监管，并且根据不同数据类型设定了批量阈值。这与中国的“重要数据”规定有相似之处，但在限制原则上有所不同。

在受管辖的主体方面，虽然“关注国家”的范围已确定，但“涵盖主体”的定义至关重要。从股权结构、注册地和雇佣关系等多个维度来界定主体范围，例如，由关注国家持股超过50%的实体都被视为涵盖主体，司法部将维护这一清单。

这一规则的实际应用可能会给许多在中国经营的美国企业带来困难，因为其判断标准具有较强的穿透性和广泛性。受管辖的交易被分为禁止、限制和豁免三类。在数据经纪交易中，对数据流向中国等国的限制非常严格；受限制的交易，如供应商、雇佣和被动投资协议，需要遵守网络安全要求；豁免交易则包括个人通信、政府活动和金融服务等多种特定场景，目的是在安全与正常经济活动之间取得平衡。

在合规机制方面，司法部拥有发放许可证、提供指导咨询、要求企业建立内部合规项目和设定报告义务等权力，以确保规则的执行。在执行层面，依靠强大的法律调查权力，对违规行为处以高额的民事和刑事处罚，显示了维护规则的决心。

这一规则的影响是广泛的。对于中美之间的数据交流来说，这是一个沉重的打击，企业之间的数据合作面临重大障碍，数据供应链可能需要重新构建。在全球范围内，这将加剧数据领域的“冷战”氛围，促使各国重新审视其数据战略和国际合作。

对于中国企业，特别是那些在美国有业务的企业，需要保持高度警惕，及时评估风险，并调整业务布局和数据管理策略，例如加强内部合规建设、梳理数据跨境流程、探索数据本地化存储和处理方案等，以应对这场数据领域的风暴，并在复杂多变的国际数据环境中寻找生存和发展的机会。

美国的数据流动立法从早期的自由流动导向，逐渐转向重视国家安全和数据保护。近年来，美国通过一系列立法和行政命令，加强了对数据流动的监管，特别是在涉及“受关注国家”的数据传输方面，设立了严格的数据出境审查制度。这些变化反映了美国在处理跨境数据流动问题上的多维度考量，以及其在不同历史时期对数据流动的不同态度和政策调整。