• 美国数据跨境新规的潜在影响几乎覆盖新药业务全链条;

• 没有直接美国业务或关联公司的中国药企也可能受到影响;

• 短期看有条件豁免制度可基本确保业务模式不会受到实质性干扰，但豁免条件本身即意味着繁重的合规义务，及在配合美国监管要求时可能产生与中国法律的潜在冲突;

• 中美两国在数据和信息跨境传输方面的监管政策呈现不同的变化趋势。

近日，研发客从一位业内人士处获悉，出于对美国数据跨境传输新规的考虑，已有MNC内部在梳理包含美国受试者的临床研究，根据潜在的合规风险等级评估是否让中国研究人员参与研究。例如，对于尚未开始入组、包含美国受试者的研究，若无中国受试者，将不考虑让中国研究人员参与。

该数据跨境传输新规，即2025年4月8日开始生效的《防止受关注国家获取美国人士大量敏感个人数据和美国政府相关数据的行政命令》(《14117行政令》)的实施规则(下称《最终规则》)。针对受限交易，该规则还要求相关公司在今年10月6日前实施额外的合规措施，包括尽职调查、审计、报告义务等。

该实施规则源自美国前总统拜登在去年2月28日签署的《14117行政令》，去年该实施规则曾经历2次征求意见，最终版本于今年1月8日敲定。

《最终规则》波及的领域广泛，“目前政策压力已传导到制药行业，我了解到相关公司正在研判新规对业务的影响，考虑或实施相应的战略调整和变化。”北京市立方律师事务所的反垄断与数据合规律师薛颖博士告诉研发客，《最终规则》的潜在影响面几乎覆盖所有新药业务场景。

可能踩雷的业务

“在当前中美关系急剧动荡的背景下，影响将是多维、深远且动态发展的。”薛颖表示。

具体而言，《最终规则》对其关注的重点国家和重点数据将进行严格管制，因此对涉及中国元素的数据跨境流转将可能产生巨大而深远的影响。重点国家即《14117行政令》定义的“受关注国家”，如中国(包括大陆地区、香港和澳门)、古巴和俄罗斯等;重点数据包括人类组学数据、健康数据、生物识别数据等。

研发客：《最终规则》可能影响MNC和中国药企的哪些业务?

薛颖

薛颖：

对于医药行业，尽管有部分豁免情形，但《最终规则》的出台意味着包括美国药企在内的美国公司(包括中国公司在美子公司和美国公司在华分公司)，将可能被禁止或者限制从事一些类型的交易。这不仅会阻碍涉及敏感个人信息的数据经纪交易(如CXO业务)、上市后销售和真实世界研究数据交易等，也会影响涉及敏感个人信息流转的供应、投资和雇佣协议，而这些协议几乎囊括跨境CXO业务、跨境并购、MRCT、跨境license-in(out)项目后续的临床研究、新药上市申请、药物警戒、上市后销售等所有新药业务场景。

分析对中国企业和中国员工的影响，首先要明确何为“受规制的主体”(covered person)。《最终规则》用举例的方式对“受规制的主体”进行了界定(见下图)。

来源|北京立方律师事务所根据《最终规则》整理

根据以上界定标准，只要是中资企业的雇员且其所处地理位置在美国境外，无论其实际国籍如何，该雇员就会被认定为“受规制的主体”，也就是说中资企业的德国或英国籍员工也可能被认定为“受规制的主体”。

因此，医药企业在排查可能接触被《14117行政令》保护的美国敏感个人信息和政府相关数据的员工时，不能仅以国籍为线索，还应考虑其实际所处的国家或地区。有人可能会想到，在实施《14117行政令》所禁止或限制的交易时，可以让上述例子中的德国或英国籍员工到美国进行工作，但这样的安排可能会被认定为为规避法律而进行设计、实施，因而也会被认定为禁止的对象。

另一个典型例子是，中国企业的美国子公司和生活在美国的中国公民均被视为《14117行政令》项下的“美国人”，他们与美国本土公司或美国公民一样需遵循禁止性交易和限制性交易的相关规定。假如该美国子公司雇佣生活在美国的中国公民为员工，则该等雇佣关系和伴随产生的数据交换由于发生在两个“美国人”之间，则不在《14117行政令》及《最终规则》的监管范围之内。

进一步分析，如果该中国公民回到中国定居，将由于地理位置的转换被《14117行政令》认定为“受规制主体”，上述美国子公司作为“美国人”对位于中国的中国人(即“受规制主体”)的雇佣则为受限制交易，应满足安全要求、合规记录、监管报告等合规要求。

《最终规则》对被禁止和受限制的交易也进行了界定(见下图)。

来源|北京立方律师事务所根据《最终规则》及其配套文件整理解读(上下滑动查看)

《最终规则》对被禁止的交易提供了豁免的出口，共列举了11种豁免情形。其中，后两种情形直指医药行业(10. 交易涉及为了获得或维持在受关注国家批准药品、生物制品、医疗设备或前述产品组合所必需的监管审批数据;11. 其他涉及临床研究和上市后监测数据的交易)，基本可涵盖研发、监管审批、临床、生产、销售、上市后监测等产业链大部分场景。但值得注意的是，该豁免并非无条件豁免，仍需满足相关条件(见下图)。

来源|北京立方律师事务所根据《最终规则》及其配套文件整理解读

总体来说，对于即便在美国没有直接业务或关联公司的中国企业，其在其他海外国家的业务依然可能受到影响。因为与美国药企合作的公司如果与中国有关联，可能会被要求在合同中承诺不从事导致违反《最终规则》的活动，特别是不将受规制数据提供给受关注国家和受规制主体。

此外，《最终规则》还特别提到了美国有AI相关布局的公司(如药企、医疗器械企业和医药/医疗科技公司)，这类公司可能会需要用到大量受规制数据来训练算法和开发产品。他们在向受关注国家和受规制主体提供算法或AI产品时，如果对方无法访问用于算法训练的底层受规制的数据，则不会违反《最终规则》。反之，相关行为会构成数据经纪交易，从而被禁止。

如何应对合规挑战?

《14117行政令》及美国司法部陆续颁布的实施细则(包括《最终规则》、FAQ、合规指引、前90天的执法政策等)，共同构筑了较为全面而复杂的美国敏感数据和政府数据跨境监管框架。

《14117行政令》与此前涉及面向特定国家的数据流动管制的规定相比，其法律责任更加严格。其法律责任既包括行政责任(在美国法律体系下以civil penalty的形式体现)也包括刑事责任。行政责任为368,136美元或交易金额两倍的罚款(以其中高者为准);刑事责任则包括最高100万美元的刑事罚金或最高20年的自由刑。

研发客：对于中国的跨国生物医药公司和从事跨境投资或BD交易的创新药企，当前该如何把握美国数据监管新政策，提前规划数据出境业务并部署合规风险应对措施?

薛颖：

在更加严格的法律责任背景下，不仅作为最主要问责主体的美国企业应高度重视数据跨境新规，部分中资企业，如在供应链、合作、人力资源配置等角度涉及受规制交易、数据及美国元素，亦应关注该新规对业务模式的中长期影响。因为哪怕短期看有条件豁免制度可基本确保业务模式不会受到实质性干扰，但豁免条件本身即意味着繁重的合规义务，及在配合美国监管要求时可能产生与中国法律的潜在冲突。

美国企业(包括美国企业在华分公司、中国企业在美国的子公司)和其他涉及与美国人交易的中国企业等需对业务活动进行全面梳理，排查是否和中国公司或个人开展受禁止或限制的交易，以及排查其涉美业务的供应商是否属于受规制主体。如经评估可能涉及受禁止或限制的交易，则应进一步检视能否使用豁免规则，再视具体情况采取相应合规措施。

对于虽受限制但可享受法定豁免的交易，应确保满足豁免条件，并持续履行合规记录、合规报告的义务。对于仅受限制而不被完全禁止的交易，应确保自身并促使相关方满足美国网络安全与基础设施安全局(CISA)的安全要求和其他合规要求，如数据合规计划、审计等。

对于受禁止或限制的交易而言，如业务可行，美国企业应考虑将相关敏感个人数据和政府相关数据本地化存储，并避免让包括中国企业在内的受规制主体远程访问。相应的，为美国企业提供服务的中国企业可以考虑在美国设立子公司，或将服务器部署在美国并在本地存储、处理相关数据。此外，企业还需就相关受禁止或限制的交易进行详细记录，并妥善保存该等记录。同时，加强公司内部合规体系的搭建以及对员工的培训。

即使经评估现阶段可能还不涉及受禁止或限制交易，但涉及开展美国业务的中国企业和涉及开展中国业务的美国企业仍需加强数据分类分级管理，以方便排查是否开展涉及大量敏感个人数据或政府相关数据的受禁止或限制交易。同时，定期排查其业务活动是否可能落入受禁止或限制交易，而受到“最终规则”的规制。

美国企业(特别是中国企业在美分支机构)与非受规制主体开展业务涉及受规制数据的，需通过合同要求后者不得后续开展涉及数据经纪业务和人类组学数据的受监管数据交易，将数据转售或提供给受关注国家或受规制主体。

尽管《最终规则》的命名中有“最终(final)”字眼，但这是相对于征求意见稿而言的出台稿，接下来特朗普政府仍可能对该规定进行调整，美国司法部跟进发布修订的具体解释与实施细则。建议医药产业链的企业持续关注法规更新和监管动态，并视情况动态调整企业内部合规制度与举措。

中国趋宽，美国趋严

除了美国，中国近年也陆续发布数据跨境监管新规。中国的数据跨境监管框架主要由《网络安全法》《个人信息保护法》和《数据安全法》奠定法律基础，在此之上，《数据出境安全评估办法》与《个人信息出境标准合同办法》细化监管要求、提供合规指引，2024年3月22还出台了《促进和规范数据跨境流动规定》，在现行法律框架下明确对部分跨境流动频发、敏感程度低、数量少的跨境数据传输在监管要求上予以简化。今年3月公布的《国务院关于涉外知识产权纠纷处理的规定》，也提到了重点关注涉外知识产权中数据跨境和技术管制。

研发客：两国数据和信息跨境传输监管政策变化趋势有何特点?

薛颖：

历史上，美国为了鼓励数字经济的发展，加之轻政府监管干预的传统，个人信息保护立法推动较慢，至今尚无一部类似欧盟GDPR(General Data Protection Regulation)和中国《个人信息保护法》的联邦层面的个人信息保护大法，对数据跨境传输的监管主要局限于特定高风险领域，如儿童信息、健康信息、消费者金融信息、外商投资等。

但近年来，随着数字技术，特别是算法、AI的迅速发展，美国越来越多的州开始制定个人信息保护相关的法律。更为明显的是，随着美国贸易保护主义抬头和国家安全意识的增强，以国家安全为核心保护法益的、对数据跨境传输规制的规定陆续出台。

除《最终规则》外，CFIUS有权以国家安全为由禁止或中止外资对美国公司的并购交易，其中对敏感个人数据的保护是衡量国家安全的重要因素。此外，美国商务部对外国对手在信息通信技术和服务(ICTS)领域交易的审查要点也包括美国人的敏感数据是否会被敌对国政府掌握。

中国整体政策走势则与美国的日趋保守相反。中国的数据跨境规则的起点虽然较为严格，但历经几年实践反思后，特别是在疫情后经济复苏的强烈需求和不断改善营商环境的大基调下，反而通过《促进和规范数据跨境流动规定》、自贸区数据跨境负面清单、捋顺的政府审查和备案流程，以及人遗办比较成熟通畅的审查程序，给经过评估不会对国家安全、公共利益和数据主体个人权益带来损害的敏感健康信息和生物信息出境留出了更大的空间，呈现整体趋宽的态势。

但趋宽的趋势仍不能突破现有的监管大框架，这也是为何《国务院关于涉外知识产权纠纷处理的规定》提到了即使是为了境外知识产权维权，也应当遵守数据安全、个人信息保护等法律、行政法规。依法须经主管机关准许的，应当履行相关法律程序。

而且，在当前的大规模个人敏感信息的数据安全评估过程中，数据跨境目的国对来自中国大规模个人敏感信息的保护程度，以及可能被目的国不良利用的可能性是重要的考量因素。接下来，一旦中美对抗升级、风险外溢，在极端情况下(特别是美国先行做出严格禁止或限制性措施的情况下)，不排除中国数据监管部门会对中国流向美国的特定个人敏感信息实施严格管控甚至禁止。

潜在最严峻情形：数据脱钩

研发客：在当前国际关系的背景下，您如何看待数据和信息跨境传输政策对于医药行业发展的重要性和影响。

薛颖：

在地缘政治、大国博弈日益白热化的背景下，随着各国对数据作为产业石油、核心资产及国家安全保障意识的增强，主流国家基本均已建立以管控个人信息和重要数据为主要抓手的数据跨境传输监管体系，甚至在意识形态的加持下已有监管军备竞赛的意味。

在医药行业，特别是生物医药领域，数据的特殊性在于其既关乎个人的敏感信息，又与国家安全、公共利益和产业竞争息息相关。因此，合理的数据跨境传输监管体系既有利于保护数据主体的个人合法权益，也有利于保障国家安全和公共利益。

但与此同时，如果监管力度没有严格遵循民主、科学评估下的必要性和成比例原则，而且还将意识形态纳入其中，数据跨境传输监管极有可能通过“数据脱钩”阻滞医药行业资本、技术、产品、人员等关键生产要素在全球的有效配置，从而对医药行业的可持续性健康发展产生不利影响。