编者按

2024年2月28日，美国发布《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》、旨在进一步加强对美国个人敏感数据和政府数据的保护，限制中国、俄罗斯、伊朗等六个“关注国家”以及与其有关的实体/人员访问和利用美国公民与政府的“敏感数据”。 美国最新行政令广泛影响中国企业的赴美投资及在美运营活动。本期热点话题将全面、深入解读该行政令，分析其潜在影响，帮助企业更好应对新挑战。

目录

一、美国在数据跨境领域内的新动向

2024年2月28日，美国总统签发行政令——《关于防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，下称“EO”），限制乃至禁止中国（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉（Countries of Concern，下称“受关注国家”）及符合条件的主体获取大量美国主体敏感个人数据及政府相关数据。相应地，美国司法部（the Department of Justice，下称“DOJ”）也已发布简报及非正式的法规制定提案预告（Advance Notice of Proposed Rulemaking，下称“ANPRM”），正式的规则尚未发布。

在EO、ANPRM、白宫和美国司法部分别发布的简报（Fact Sheet）（以下统称“美国数据安全新规”）中，美国政府多次强调了敏感个人数据跨境流动如不受任何规制而遭到滥用可能对国家安全造成的巨大威胁。因此，本次EO被普遍解读为“数据跨境新规”。但是，事实上，本次新规不仅管制数据跨境流动本身，还管制大量涉及“潜在的数据跨境流动”的行为，从而使得这份新规的管制范围不仅仅涉及受限主体（详见下文拆解）从美国向境外传输数据的活动，还广泛适用于这些主体对美国的投资活动、在美国的商务活动以及其在美国设立的主体在美国本土的经营活动，只要这些活动涉及满足特定条件的数据；因此，这次新规的影响范围非常之广泛。

显然，本次新规的出台标志着美国针对包括中国在内的受关注国家的国家安全管制措施的又一次重大升级。并且，从“影响广泛程度”的角度来说，本次新规有别于美国政府近一年来出台的一系列类似行政令及配套文件，例如2023年8月份出台的《关于解决美国在特定国家对某些国家安全技术和产品的投资问题的行政命令》（Executive Order on Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern，下称“投资安全审查行政令”）（参考文章：《风萧萧兮：美国启动对华投资安全审查机制和风险提示》）以及2024年2月出台的《关于寻求在美国使用中国技术的网联汽车安全方面信息的拟议规则制定预先通知》（The Advance Notice of Proposed Rulemaking Seeks Information Regarding the Security of Connected Vehicles with PRC Technology in the U.S.）。过去这些行政令的规制行业和范围相对来说比较限缩和确定；尤其是，在2023年8月出台的投资安全审查行政令中，美国政府专门说明其监管思路是“小院高墙”，有意控制监管范围，避免过度影响商务活动。然而，在本次数据新规中，我们看不到这种克制。甚至可以说，这次新规影响范围之广泛，给人“图穷匕见”之感。这一变化背后所代表的寒意，值得深入研究和琢磨。

当然，目前看来，新规覆盖的大部分数据交易将受制于“限制”性措施，而非“禁止”性措施，而限制性措施的内容还未最终确定，因此这次新规最终对有关企业影响程度有多深，仍有待观察；但其影响范围之广泛还是需要引起足够的关注。

聚焦本次新规，介绍其出台背景、核心要求、典型场景和其他需关注的拟出台监管措施。我们建议所有已经在美国开展业务、或者有计划在美国开展业务的中国公司，密切关注这份新规的后续动态以及最终出台规则，以准确判断美国的监管政策趋势，提前规划自身的商业部署和安排。

二、EO及配套文件出台的背景及政策趋势

近年来，美国网络安全与数据保护的立法和监管动态在联邦层面与州层面均非常活跃，但主要聚焦于消费者数据保护、儿童数据保护、网络安全攻击事件等领域。单就数据跨境流动领域而言，美国此前从未出台过数据跨境流动限制的专门法规，其基本主张是数据自由流动、维护开放网络环境。部分议员曾于2022年向国会提交《保护美国人数据免受外国监视法案》（Protecting Americans' Data From Foreign Surveillance Act），以期体系性规制数据跨境流动，但该法案目前也尚未通过。然而，随着地缘政治的变化、AI技术迅速发展等因素，美国对于数据跨境流动的政策与主张在逐渐变化并日益限缩。代表性的事件包括美国贸易代表戴琪明确表示美国正在撤回在世贸组织谈判中美国坚持的数据跨境自由流动主张。

与此同时，美国在安全审查领域一直以来就较为关注涉及数据的投资、交易等对于国家安全带来的影响，典型代表包括美国外商投资委员会的国家安全审查机制（CIFUS）和ICTS机制。就CIFUS机制，美国政府在2018年颁布《外国投资风险审查现代化法案》（Foreign Investment Risk Review Modernization Act of 2018，下称“FIRRMA”），扩大了受辖交易范围，将敏感个人数据的保护作为衡量国家安全的重要因素。在此基础之上，美国政府还于2022年通过总统行政令的方式，重申CFIUS应作为重要工具打击通过外国投资获取敏感数据，从而对国家安全造成威胁的行为。就ICTS机制，美国商务部在2021年发布的《确保信息和通信技术及服务（ICT）供应链安全》（Securing the Information and Communications Technology and Services Supply Chain）中也明确指出，其关注美国主体敏感数据是否会被外国敌手政府所掌握，但仅限定于ICT行业。

相比而言，可以看出，本次新规不应被看做美国针对数据跨境监管机制的的综合性调整；它属于美国利用数据这一要素和抓手，进一步加强和升级其国家安全监管机制的举措。如下文所介绍的，本次新规仅针对特定国家的主体，且其拟规制的活动范围远超数据跨境传输活动。

三、本次EO出台的具体文件以及接下来的落实步骤和时间表

本次出台文件是美国总统基于《国际紧急经济权利法》（International Emergency Economic Powers Act，下称“IEEPA”）制定的行政命令（EO）。依据美国立法的框架，总统签发的行政命令并非立法，但仍具有法律效力。行政命令通常仅会提出规制的框架及基本要点，并提出相关部门的工作目标，较难直接作为法律实施。美国司法部（DOJ）等相关部门如需发布行政法规，则需遵循启动规则制定、起草拟议规则和制定最终规则的步骤。ANPRM并非立法程序中强制需发布的文件，但一般用于提前征求意见，以了解相关主体及社会公众的态度，在正式发布行政法规之前，DOJ等相关部门还需发布规则制定通知（Notice of Proposed Rulemaking，NPRM），而后发布最终的行政法规。就本次新规而言，截至目前，白宫已发布了EO及简报；美国司法部则发布了相关新闻、简报及ANPRM。

依据上文介绍的立法流程，可以把目前发布的EO和ANPRM理解为《最终规则》的“征求意见稿”的“征求意见稿”。从目前已发布的EO和ANPRM到《最终规则》之间，尚需经历两轮征求意见：2月28日发布的ANPRM正处于第一轮征求意见阶段，并设有45天的公众评论期；在第一轮征求意见结束后，DOJ会在综合考虑公众意见的基础上发布NPRM，并进行第二轮征求意见。待两轮征求意见结束后，DOJ才会发布《最终规则》。

除《最终规则》外，EO指出新规的具体实施方式还有待相关机构进一步出台实施细则予以明确，主要包括：

（1）由美国国土安全部部长和/或司法部部长与相关机构负责人协调和协商，确定有关受限制数据交易需满足的安全要求和相关指南；
（2）由美国总检察长与国务卿、商务部长、国土安全部长和其他相关机构负责人协商，搭建有关受规制数据交易的许可签发机制；
（3）由美国司法部协同相关部门为相关主体建立就新规适用的咨询机制和发布一般解释性指南；
（4）……

图1 新规相关制度文件出台计划

四、EO及配套文件的关键内容

（一）新规所提出的核心要求是什么？换言之，它如何禁止和/或限制数据交易（“判断公式”）？

美国数据安全新规的核心机制可以归纳成下面这句话，其中包含7个关键词：

如果“美国主体（United States Person）”（关键词①）与“受关注国家（Country of Concern）”（关键词②）及“受关注主体（Covered Person）”（关键词③）开展涉及“受规制数据类型（Sensitive Personal Data and Government-related Data）”（关键词④）的“特定数据交易（Data Transactions）”（关键词⑤），将会受到禁止或限制（关键词⑥）。EO及配套文件明确了特定受到豁免的数据交易，此外，美国政府相关部门有权通过颁发许可等方式对于特定理应受到规制的数据交易进行豁免（统称“例外情形”，关键词⑦）。

美国数据安全新规虽采用“数据交易”这个词，但其所指代的商业行为比中国法律法规项下仅针对数据资产的交易而言广泛得多，可以初步理解为任何涉及数据的所有商业交易活动，甚至不一定发生数据跨境传输活动。如特定数据交易同时满足关键词①至关键词⑤中的要件，且不符合例外情形（关键词⑦）的，视乎数据交易类型所带来的风险及涉及的数据量级，不同的受规制数据交易可能会被禁止或限制。

基于上述对于特定数据交易是否落入新规核心要求规制的判断公式的初步总结，我们可以注意到，整体评估涉及多个关键词法律技术性的分析与理解，因此我们结合EO及配套文件将各个关键词的判断要点进行了总结，具体请见本章第2小节。

美国数据安全新规将不会采取个案审核的方式，而是采取依据IEPPA建立的其他监管机制的路径，制定通用性的系列规则。如相关企业违反美国数据安全新规，可能受到民事乃至刑事的处罚。

（二）判断公式中的7大关键词如何理解？

1．关键词①：什么是“美国主体（United States Person）”？

EO及ANPRM对于数据交易中的美方，也就是“美国主体”的定义十分广泛，包括：

（1）美国公民、国民或合法永久居民；
（2）在美国获准作为难民或被授予庇护的人；
（3）仅根据美国法或美国境内任何司法管辖区的法律组建的实体（包括外国分支机构）；以及
（4）在美国境内的任何主体。

2．关键词②：“受关注国家（Country of Concern）”有哪些？

依据目前发布的材料，受关注国家包括中国（含香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。EO也授权DOJ可不时增删受关注国家清单以更好地实现保护美国实体敏感数据及国家安全的目标。

3．关键词③：如何判断是否企业自身为“受关注主体（Covered Person）”？

美国政府认为向与受关注国家相关个人和/或实体（即“受关注主体”）提供敏感个人数据也会直接和/或间接使得受关注国家能够掌握这些数据，从而造成类似的安全威胁，因此将其一并纳入受规制主体概念，并做出了清晰界定。依据目前发布的材料，受关注主体主要包括以下几类：

（1）由受关注国家直接或间接拥有50%或50%以上股份的实体，或根据受关注国家法律组建或特许的实体，或主要营业地位于受关注国家的实体；
（2）由第（1）类所述实体或第（3）、（4）或（5）类所述主体直接或间接拥有50%或以上股份的实体；
（3）是受关注国家或第（1）、（2）或（5）类所述实体的雇员或承包商的外国主体；
（4）主要居住在受关注国家领土管辖范围内的外国主体；
被总检察长指定的由受关注国家拥有、控制、受其管辖或指示的任何主体；或代表或声称代表受关注国家或受关注主体行事的任何主体；或在明知的情况下违反或指示违反规定的任何主体。

4．关键词④：“受规制数据类型”包含哪些

从目前发布的材料来看，美国数据安全新规主要规制敏感个人数据（Sensitive Personal Data）和政府相关数据（Government-related Data）。实际上，依据EO中的定义，政府相关数据是一类特殊的敏感个人数据，由于EO及配套文件将其分别描述，且其适用的监管要求不同，因此在本文中我们分别进行说明。

此外，并非一涉及受规制数据类型就能满足这一关键词所含要件，还需考虑涉及的数据量级。具体而言，如受规制数据交易涉及前述敏感个人数据且达到一定量级，那么将受到规制。如前述出境数据为美国政府相关数据，那么无论量级是多少，都将受到规制。

（1）敏感个人数据（Sensitive Personal Data）有哪些？

依据EO及ANPRM，目前明确被认定为敏感个人数据主要有以下6类数据

表格1 敏感个人数据的主要类别及说明

美国司法部发布的ANPRM在EO的基础上将以下数据类型排除在敏感个人数据之外，包括：

• 与个人无关的公开或非公开数据，包括符合《美国法典》相关规定对“商业秘密”或“专有信息”定义的数据；
• 公众可以从联邦、州或地方政府记录或其他不受限制、可广泛传播的媒介（如开庭记录等）中合法获取的数据；
• 《美国法典》定义的不转让任何有价值的个人通信消息；
• 《最终规则》中将进一步明确的信息或信息资料

（2）政府相关数据（Government-related Data

ANPRM在EO的基础上将政府相关数据的内涵做了进一步的细化，包括：

• 与军队、其他政府或其他敏感设施或地点相关的特定地理围栏区域清单中列举的任何区域内的任何位置的精确地理位置数据；
• 交易方认为其与美国政府（包括军队和情报机构）现任、近期前任雇员、承包商或前任高级官员关联或可关联的任何敏感个人数据

（3）不同受规制数据类型的阈值如何

如上文所述，受规制数据交易涉及前述敏感个人数据且达到一定量级，那么将受到规制。如涉及的数据为美国政府相关数据，那么无论量级是多少，都将受到规制。据ANPRM，司法部考虑在以下范围内确定敏感个人数据受规制量级的起始数量：

表格2 各类别敏感个人数据的监管起始数量的阈值范围

5．关键词⑤和⑥：针对“特定数据交易（Data Transactions）”的规制措施是哪些？

就目前已发布内容来看，受规制的数据交易分为（1）禁止的数据交易；和（2）受限制的数据交易两类，具体而言：

（1）禁止的数据交易

依据ANPRM，此类数据交易目前包括：（i）数据经纪交易；（ii）涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据交易。

（2）受限制的数据交易

此类数据交易目前包括：（i）涉及提供商品和服务的供应商协议；（ii）雇佣协议；（iii）投资协议。受限制的数据交易需满足美国相关政府部门制定的安全要求。

依据EO的安排，安全要求清单将由美国国土安全部（the Department of Homeland Security）及DOJ牵头其他相关部门和/或机构共同制定，目前尚未发布。ANPRM对拟定的安全要求进行了初步介绍，指出此类安全要求可能包括使用隐私保护技术、采取数据最小化和屏蔽、实施基本的组织网络安全态势要求、实施逻辑和物理访问控制、开展合规审计等。

6．关键词⑦：新规有哪些适用的“例外情形”？

整体来看，EO及ANPRM设置了两类豁免适用的情形：一方面，EO及ANPRM计划将一些情形明文列为豁免的数据交易；另一方面，EO也授权DOJ协同相关部门基于个案，针对某些本应落入规制的数据交易通过颁发许可的方式进行豁免，为数据跨境传输的监管提供了一些灵活性

（1）明文豁免情形

ANPRM在EO的基础上拟将一些情形作为不受限制的数据交易，具体包括：

表格3 豁免的数据交易情形

（2）通过许可进行豁免的机制

EO还授权DOJ协同相关部门，通过发布一般许可和特别许可的方式豁免可能被限制或禁止的受规制交易。根据ANPRM对许可制度的初步介绍，相关部门拟对许可的主体提出特定要求。例如，就获得特定许可而言，相关要求包括持续提供关于授权交易的报告，或在可行的范围内，保证根据此类交易转移的任何数据可被恢复、不可逆转地删除或以其他方式使其失效等。目前，DOJ正在就颁发许可的考量要素、程序要求等征求公众意见。

（三）实战虚拟案例—新规提出的核心要求将如何广泛影响企业相关投资、运营等决策？

如我们在前文中所介绍的，从目前发布的框架及部分细节来看，美国数据安全新规不止将影响数据跨境流动，更会广泛地影响任何涉及美国主体及受关注国家或受关注主体的商业活动，贯穿于雇佣、投资、运营等各个商业环节。纷繁复杂的关键词设置实际上广泛地覆盖了受关注国家及受关注主体访问、或者可能访问敏感个人数据和/或政府相关数据的投资、商务合作及/或经营活动。

为便于可能受影响企业更好开展判断，我们结合EO、ANRPM等文件准备了三个虚拟案例，分别映射涉及跨境经营企业常见的商务合作、投资和当地运营场景。值得注意的是，我们所举的这三个虚拟案例均不直接涉及数据跨境传输活动，但仍大概率会落入新规管辖范围之内。具体如下：

1．虚拟案例①：

（1）案例情形——商业服务场景

A公司是美国的一家电商平台公司，A公司与总部位于受关注国家X的B公司签订合同，由B公司为A公司提供IT运维服务。A公司掌握美国千万级以上个人用户的大量精确地理位置信息和个人财务数据。根据双方签订的合同，B公司在提供IT服务时涉及访问A公司存有上述大量精确地理位置信息和个人财务数据信息系统。此类运维服务安排是否会落入新规的限制？

图2 虚拟案例①

（2）倾向性分析

依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明，A公司与B公司之间的IT服务协议大概率构成受限制的供应商协议，需要受制于上文第2.5条所述的“限制”措施。

2．虚拟案例②

（1）案例情形——当地运营场景（人员雇佣）

为进一步深化出海战略，一家总部位于受关注国家Y的游戏公司在美国建立了A公司以开展北美业务，A公司与总部和/或其旗下的分子公司无任何股权关系。A公司成功开发了多款手机游戏，在美国广受欢迎，拥有千万级以上的美国用户。A公司开发的手机游戏涉及收集使用美国用户的大量敏感个人数据，例如精准地理位置、人脸识别数据等。A公司的大部分雇员为美国主体，但新一任的CEO拟定为其总部海外业务线的负责人（长期居住于受关注国家的该国公民张三）。作为首席执行官，张三有权访问应用程序收集的所有数据，其中包括大量敏感个人数据。此类人事安排是否会落入新规的规制？

图3 虚拟案例②

（2）倾向性分析

依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明，作为首席执行官，X有权访问应用程序收集的所有数据，其中包括大量敏感个人数据。因此这种情况下，此类人事安排大概率构成受限制的雇佣协议，需要受制于上文第2.5条所述的“限制”措施。

3．虚拟案例③

（1）案例情形——股权投资场景

A公司是一家开发社交媒体应用程序的美国公司，其开发的社交平台涉及收集处理千万级以上美国用户的敏感个人数据，例如特定个人标识符等。B公司是总部位于受关注国家Z的科技公司，并经谈判与A公司达成协议，计划收购A公司5.6%的股权。双方签订的协议中明确规定B公司不参与业务的实际运营，也无权访问A公司所掌握的用户数据。此项投资活动是否落入新规的规制？

图4 虚拟案例③

（2）倾向性分析

依据DOJ在ANPRM中对于受限制数据交易的详细解释和类似案例的说明，即使投资协议中明确禁止B公司访问上述数据，该投资协议大概率仍然属于对国家安全构成不可接受风险的受限制的数据交易。因为该交易可能仍使得受关注主体（ B公司）有能力访问大量敏感个人数据。

五、除核心要求，企业还需关注EO及配套文件提出的哪些监管机制？

除了禁止或限制一系列数据交易（即上文详细说明的核心要求）外，EO还提出了一些有待美国政府相关部门进一步研究、磋商的议题。如这些议题后续进一步落实，那么会对于中美企业之间有关数据的商业安排产生更大的影响，因此我们在此也进行总结，以便相关企业密切追踪可能与自身商业形态有关的监管机制。依据EO的安排，美国政府还可能考虑在下述方面加强管制，以全面保护敏感个人数据及政府相关数据。

（一）Team Telecom将加强对于海底电缆许可的审查

作为承载几乎全球互联网数据跨境传输的基础设施，海底电缆的安全性、运营及控制情况对于数据跨境传输安全而言至关重要。美国电信安全审查小组（the Committee for the Assessment of Foreign Participation in the United States Telecommunications Services Sector），也就是Team Telecom被要求加强对于海底电缆相关许可的审查，包括已发布的许可及收到的新的许可申请，并持续关注受规制主体访问受规制数据可能带来的风险。由此可见，不止是涉及实际跨境数据传输的企业，涉及基础设施投资、建设及参与的企业也有可能受到进一步影响。

（二）考虑对个人健康数据和人类组学数据采取额外监管措施

医疗健康数据是EO及ANPRM中特别关注的数据类型，且美国政府目前采取比较审慎的态度，强调美国卫生与公共服务部等相关部门不得协助受规制主体访问批量个人健康数据和人类基因组数据。特别地，目前发布的材料仅将人类组学数据中的人类基因组数据（human genomic data）列为受规制的数据类型之一，但EO要求美国总统国家安全事务助理（Assistant to the President for National Security Affairs，下称“APNSA”）及其他相关部门评估规制其他人类组学数据（human omic data，如蛋白组数据、代谢组数据等）交易的风险及收益，并向总统提交评估报告。因此，未来可能有更多的监管要求与细则出台。

（三）加强数据经纪人的监管

美国数据交易机制由来已久，因此EO专门强调了数据经纪人长期频繁收集、交易受规制数据可能带来的风险。依据EO安排，美国消费者金融保护局（Consumer Financial Protection Bureau，下称“CFPB”）需考虑针对这一问题研究制定监管方案。

（四）对此前已开展的受规制数据交易进行评估

依据EO的要求，在《最终规则》生效后的120天内，美国总检察长、国土安全部部长、国家情报总监将联合其他部门研究如何评估已发生的受规制数据跨境传输活动所带来的风险，提出风险管控措施，并向APNSA提交方案。APNSA将在研究方案后，与其他部门共同决定是否及如何落实针对已开展的受规制数据交易的规制方案。因此，如企业经评估注意到此前的运营及业务中存在已发生的受规制数据交易，应特别关注本机制项下的监管方案。

六、美国对华数据新规对相关行业的影响

（一）美对华科技投资禁令解读与应对分析

1．核心问题

（1）受辖行业企业范围的推测

针对本次对外投资审查所影响的企业范围，需企业结合业务范围和“受辖国家安全技术和产品”的定义判断，该定义目前是由美商务部和财政部来确定，后续可能会有其他部门参与。结合我们对本领域的长期跟踪观察，目前美财政部公布的实施细中对于具体技术的规定与美商务部目前重点关注的半导体和微电子、人工智能和量子技术等领域的技术和产品有高度一致性。

对于半导体和微电子技术，根据实施细则，美国政府关注半导体和微电子技术、设备和能力的发展，这些技术、设备和能力将使集成电路的生产和某些用途成为可能，而集成电路将用于支持军事创新，提高军事决策、规划和后勤等方面的速度和准确性。审议中的禁令主要集中在三个方面：

（a）能够设计和生产先进集成电路或提高其性能的特定技术、设备和能力；

• 电子设计自动化软件（EDA）：开发或生产专门用于集成电路设计的EDA软件。
• 集成电路制造设备：开发或生产专门用于集成电路批量生产的前端半导体制造设备。

（b）先进集成电路的设计、制造和封装能力；

先进集成电路设计：设计超过《出口管制分类编号》ECCN 3A090 中所设技术阈值的集成电路，以及设计用于在 4.5 开尔文或低于 4.5 开尔文的温度下正常运行的集成电路。

• 先进集成电路制造（符合以下任何标准即可）；
  i. 使用非平面晶体管结构或技术节点为16/14纳米或更低的逻辑集成电路，包括但不限于全耗尽型绝缘体上硅（FDSOI）集成电路。
  ii. 128层或更多层的非并列（NAND）存储器集成电路。
  iii. 使用18纳米半间距或更小技术节点的动态随机存取存储器（DRAM）集成电路。
  iv. 使用镓基化合物半导体制造的集成电路。
  v. 使用石墨烯晶体管或碳纳米管的集成电路。
  vi. 为在或低于4.5开尔文温度下工作的集成电路。
• 先进集成电路封装：使用硅通孔或通模通孔的集成电路封装，支持集成电路的三维集成。

（c）安装或向第三方客户销售某些超级计算机，这些超级计算机由先进集成电路驱动，可以在41，600立方英尺或更小的尺寸范围内提供100个或更多的双精度（64位）拍千万次/秒或200个或更多的单精度（32位）拍千万次/秒的处理能力。

对于量子信息技术，根据实施细则，美国政府对量子信息技术和产品的开发和生产表示担忧，因为这些技术和产品所具备的能力可能会破坏加密和其他网络安全控制措施，并危及军事通信等。因此财政部正在考虑针对特定和先进的量子信息技术和产品（包括量子计算机、量子传感器、量子网络系统、量子通信系统），或针对最终用途实施禁令。就量子传感器而言，最终用途相关规定或将试图与医学和地质学等民用领域的用例区分开来；就量子网络系统而言，最终用途相关规定试图避免限制与安全通信无关的量子系统或与经典加密有关的系统。财政部目前没有考虑为量子信息技术制定单独的申报要求。

对于人工智能，根据实施细则，美国政府关注人工智能系统的发展，因为人工智能系统使相关国家的军事现代化成为可能——包括军事、情报和监视能力——并应用于网络安全和机器人等领域。新规或针对最终用途实施禁令，将把对开发具有重大国家安全风险，增加受关注国家军事、情报和监事能力的应用的人工智能系统的实体的美方投资纳入管辖范围，而不会广泛将开发仅用于消费者应用或不具有国家安全后果的其他民用终端用途的人工智能系统的实体纳入管辖范围。财政部考虑将“人工智能系统”定义为一种基于工程或机器的系统，该系统可以针对一组给定的目标，生成影响真实或虚拟环境的预测、建议或决策等输出结果。人工智能系统在设计上具有不同程度的自主性。

（2）审查措施的追溯效力和后果

根据行政令规定，行政令所提出的对外投资审查并不具备溯及力，需由美财政部依据行政令发布的实施细则生效后，开始针对受限交易进行审查。届时，若美国人开展受限交易的，可能会被宣告交易无效或被要求强制撤资，但在具体条例生效之前开展的投资交易将不会受到影响

此外，实施细则中提及，不建议对受限交易的审查设置追溯条款，但对于行政令发布之后交割或达成的交易，财政部可能要求美国主体提供相关的交易信息。

2．对中国企业的影响及相关应对建议

（1）美资投资人中长期战略调整的影响及建议

据公开数据观察显示，美对华FDI占比不高（约为1.5%），美国投资者当前尽管尚未大规模主导中国的人工智能等市场，但美国投资者更多通过与中国投资者以及其他在中国科技领域寻找机会的外国投资者交织在一起共同开展投融资业务。因此上述行政令的出台，可能在短期内出现美资或外资含美资的领投机构在上述重点敏感领域出现撤资等现象。

对此涉及上述法令禁止美资涉足的重点行业领域的投资人、特定基金等主体，需谨慎评估了解其投资标的企业是否涉及上述敏感行业领域、是否涉及该等领域的先进部分（如14纳米或更小的逻辑集成电路、128层及以上NAND等）以及该等投资标的的军事关联性等因素，及时对当前投资项目及拟投资标的开展合规尽职调查，避免相关管制与制裁风险。同理，中国国内实体如涉及此前由美资等参与投资、或非美资牵投但含美资成分的均要做好相应评估，避免因撤资等影响企业的正常运营及战略规划。

（2）新规的不稳定性影响美资投资人及企业的战略决策

尽管该等对外投资禁令系美方酝酿已久的长臂管辖手段，但其在“靴子落地”后仍存在不稳定性。具体而言，例如行政令第3条赋予了财政部在实施细则生效后1年内，会同商务部等评估是否修订实施细则，包括调整“受辖国家安全技术和产品”的定义，包括将半导体和微电子、量子信息技术、人工智能行业的某些技术加入或移出该定义范围的权利；又例如行政令第4条赋予了财政部在实施细则生效后1年内，会同商务部等向总统提交报告修改行政令的建议等（如是否增加或减少行政令所涵盖的行业）等权利。

该等不稳定的，可“打补丁”的法规，将极大增加投资风险的不确定性，从而美资投资人不敢轻易对“高危”行业领域的企业进行投资，亦使得“高危”行业领域的企业在制定其业务战略方向时畏手畏脚，生怕触碰未知的红线。

对此，涉及上述重点行业领域的投资人、特定基金及企业应密切关注及跟进对外投资禁令相关动态，以便及时调整投资策略或业务战略，尽早启动应对措施，减小因被禁令“卡脖子”而产生的损失。与此同时，上述重点行业领域处于投资风口，企业引投过程也需综合对中国本土投资、美国投资者以外的外国投资者综合评估。

（3）限制美方投资对拟上市及上市公司的影响

尽管实施细则明确，本禁令将不会适用于在其生效之前已经实施的交易，但对于行政令发布之后交割或达成的交易，财政部有权要求美国主体提供投资相关信息。而不少美方投资人基于自身严于法律要求的合规审查，加之考虑到该对外投资禁令的不确定性，可能将考虑退出“高危”行业领域的中国企业。而尚未实施对外投资的美资基金，可能亦会先行观察，不敢贸然出手。

而该等境况会使得上市企业的股价产生波动，极端情况下甚至可能产生退市风险；对于拟上市公司而言，少了美方投资人的支持，其估值可能亦会产生影响。

此前，中国某人工智能头部企业因被美国财政部列入投资限制清单（OFAC - Non-SDN CMIC Identifiers List），从而导致大量美国投资者撤出，最终使其IPO计划延迟。

对此，我们建议“高危”行业领域的企业提早梳理具有美国背景的投资人，一方面就后续投资人可能面临的申报做好配合应对准备；另一方面就美国投资者撤出的情形做好应对战略准备。

综合上述，在国际风云变幻莫测的环境下，投资人及企业均需保持对美方“长臂管辖”相关规则的实时关注及谨慎应对。而中国商务部已在行政令签署当日发声，称希望美方尊重市场经济规律和公平竞争原则，不要人为阻碍全球经贸交流与合作，对影响企业正常经营决策，破坏国际经贸秩序，严重扰乱全球产业链供应链安全的行为，中方表示严重关切并将保留采取措施的权利。此外，必要时，中国企业亦应当及时寻求专业机构的帮助，提早确认战略方向、制定应对措施。

（二）美中数据跨境新政对医药行业的影响及应对

近期，中美两国数据跨境传输监管政策呈现不同的变化趋势。中国政府采取严中趋宽的政策导向，积极回应外资企业诉求，探索构建“审批后流动+自由流动”双模式。而美国方面，总统拜登于2月28日签署并发布了《防止受关注国家获取美国人士大量敏感个人数据和美国政府相关数据的行政命令》（“《行政命令》”）；美国司法部于同日配套发布了关于该《行政命令》拟议规则制定的预先通知（ANPRM）的事实说明（“《事实说明》”）。未来，达到一定数量级别的人类基因组数据、个人健康数据等美国人士敏感个人数据将被禁止或限制在美国和中国等受关注国家之间交易。对于中国药械出海企业、跨国生物医药公司、从事投资或BD交易的创新药企而言，如何把握中美两国数据监管政策、提前规划数据出境业务、部署合规风险应对措施至关重要。

1．《行政命令》对生物医药公司主要业务场景的影响分析

随着《行政命令》及其配套法规的实施，生物医药企业从美国子公司或分公司、跨国公司在美总部或在美实体、美国药械公司、美国医疗机构或研究机构、数据经纪商等主体取得、共享或跨境接收美国人士大量敏感个人数据的难度增加，可能影响药械研发、临床试验、药物警戒、产品经营等主营业务。

（1）注册临床试验（IST）/临床研究（IIT）场景

a. 场景描述

为了在中国申报临床试验审批（IND）或药械注册申请（NDA），可能涉及美国药企向中国药品监管机构提交已有人体临床经验、临床数据、病例报告表等。在覆盖中美两地的国际多中心临床试验中，也可能涉及美国药企向位于中国的中心实验室传输受试者临床试验数据。新药研发公司产品License in项目中，可能涉及美国许可方将包含大量去标识化的受试者个人信息和HCP个人信息跨境传输给境内被许可方和一系列供应商的情形。此外，研究者发起的临床研究也涉及收集和跨境传输与疾病的诊断、治疗、康复、预后、病因、预防及健康维护等活动有关的健康医疗数据。

b. 数据类型

临床试验通常会收集受试者的个人健康数据（例如，手术信息、病理信息、诊断信息、病历数据、处方信息、患者报告结局等）；可能包含人类生物学组学数据的人类遗传资源材料（例如，全血、血清、血浆等）；涉及医疗服务支付记录的个人财务数据（例如，保险索赔数据、账单信息等）；个人生物特征数据（例如，指纹、DNA信息等）。上述数据均可能落入《行政命令》规制的敏感个人数据范畴。

c. 影响评估

《行政命令》旨在禁止或限制美国人士大量的敏感个人数据在中美两国之间收集和传输。当临床研究或临床试验所收集的数据量小于法定的阈值要求时，则可能不会落入《行政命令》规制范畴。此外，待《行政命令》具体实施细则出台后，生物医药企业可以在专业人士的协助下积极论证临床研究或临床试验数据收集和传输的必要性，探索将前述场景中的数据跨境传输行为纳入数据交易豁免清单或是取得有权部门颁发的交易许可证的可能性。

（2）药物警戒场景

a. 场景描述

药物警戒是生物医药公司履行《药品管理法》以及ICH相关国际指南的法定义务。根据《药物警戒质量管理规范》第38条和第51条的有关规定，对于境内外均上市的药品，药品上市许可持有人应当收集在境外发生的疑似药品不良反应信息。因此，对于在全球多个国家和地区上市的药品而言，跨国药企通常会利用所建立的全球药物警戒体系，将来自境外（例如，美国）的安全性信息分享给中国。

b. 数据类型

使用药品并发生不良反应患者的个人生理状况信息（例如，身高、体重、既往药品不良反应、过敏史、病史）；用药记录（例如，用法用量、用药时间、治疗适应症等）；不良反应信息（例如，不良反应事件、相关实验室检查信息等）。上述数据可能属于《行政命令》规制的敏感个人数据范畴。

c. 影响评估

与《行政命令》对临床试验场景的影响相同，当药物警戒所收集的数据量大于法定的阈值要求时，才有可能落入《行政命令》规制范畴。当然，药物警戒场景的特殊性在于跨国药企所建立的全球药物警戒体系会通过信息系统对药品不良反应展开持续性收集。未来如何认定数据收集数量，尚需根据后续出台的实施细则进一步判定。

（3）药械上市后销售场景

跨国药企在美国运营期间可能产生和收集的数据包括：录入在CRM系统中的HCP个人信息；药械销售的经营数据；电子病历、电子处方、购药记录等信息；适应症地域分布信息、专病数据库；罕见病（慢性病）患者数据、人类遗传资源信息；医保信息、医保或商保中的患者个人信息等。上述数据可能包含《行政命令》规制的敏感个人数据类别。

一方面，需要根据美国司法部等部门后续出台的敏感个人数据判定规则进一步厘清药械经营环节是否涉及获取受规制数据；另一方面，仅当所收集的数据量大于法定的阈值要求时，才有可能落入《行政命令》规制范畴。

（4）真实世界研究中的数据交易场景

RWS场景中为了收集海量的相关健康数据集，可能涉及从CRO公司或数据经纪商那里购买美国患者的电子健康记录（EHR）数据并跨境传输至境内的RWD平台，其中包括病人的医疗记录、治疗历史、检验结果等。上述数据可能包含《行政命令》规制的敏感个人数据类别。RWD场景中的敏感个人数据集的交易行为落入《行政命令》规制范畴的可能性较大，因为其交易的数据数量可能会超过阈值规则规定的量级。

（5）其他场景

在美国使用具有联网或存储功能的医疗器械场景，例如，使用可穿戴式设备等健康传感器收集美国被采集者的监测诊疗数据（血氧饱和度、血压、血糖心率、睡眠）或是行为情绪数据（跑步距离、行走轨迹、步数、消耗能量、锻炼时长）；影像系统可能收集美国患者的影像和影像诊断报告；检验系统可能收集美国患者的检验检查报告和检验结果。人工智能医疗器械软件研发场景，例如，人工智能医疗器械软件持续学习真实世界中海量的美国患者个人健康数据来完善功能、改进性能并增强适应性。上述场景中，一旦收集的数据数量超过阈值规则规定的量级，则交易行为落入《行政命令》规制范畴的可能性较大。

2．中国数据跨境传输监管政策新发展

中央财办有关负责同志详解2023年中央经济工作会议精神时明确提出，要积极回应外资企业诉求，认真解决数据跨境流动问题。2023年9月28日国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》，其中第7条规定，“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（“负面清单”），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”

随后，上海自贸区以及临港新片区均陆续释放对不同类型数据跨境传输实施灵活监管的信号。据了解，对于隶属于临港新片区的生物医药企业而言，如果涉及临床试验或药物警戒数据出境，可以一事一议具体与网信部门沟通，如果经主管部门判断属于一般数据的，备案后就可以自由流动。

3．生物医药行业数据跨境传输合规应对

我们在与跨国生物医药公司合作时总能感受到MNC对于限制数据跨境自由流动规则的普遍担忧，因为数据和信息的跨境交换是医药行业生存发展的基石。限制数据流动将给跨国医药公司的统一管理、全球运营带来障碍，也威胁到药物创新领域正常的国际合作。当前，中美两国纷纷瞄准数据安全和隐私保护，监管法律日趋复杂多变，对跨国业务的正常开展造成冲击。

我们建议跨国生物医药公司、中国药械出海企业及早部署合规应对措施，在风险预防上打好“提前量”，实现“拥抱监管”的积极效果。例如，尽快判断跨境往来是否涉及访问美国个人敏感数据或美国政府相关数据，是否可以归入中国法规下拟豁免前置审批、备案或认证程序的数据清单。在合规律师的协助下持续与网信部门沟通数据出境程序。与此同时，提早开展个人信息保护影响评估，其目的在于论证数据出境必要性，为适用不同法域下数据出境监管的豁免规则提供支撑，并证明已依法采取充分的数据安全保障措施，从而应对政府部门的事前事中事后监管。

七、内容来源

• 《深度解读美国数据安全监管机制重大变化：判断公式、关键要点、模拟案例及影响分析》　[李瑞、贾申、徐晨、马悦，北京市中伦律师事务所]
• 《美对华科技投资禁令解读与应对分析》　[刘新宇、郭欢、陈起超、潘静怡、董梦、刘学朋、王丹、陈琳，金杜律师事务所]
• 《美中数据跨境新政对医药行业的影响及应对》　[葛永彬、董剑平、邵亚光，北京市中伦律师事务所]

八、内容推荐

• 《美国行政命令限制敏感数据流入中国的变化和挑战》 　[董亮、赵璐瑶，国浩律师事务所]
• 《拜登政府签署行政令，限制中俄等国访问美国“敏感数据”》　[辛小天、江智茹，北京德和衡律师事务所]
• 《美国限制访问敏感数据行政令对在美投资交易的影响初步分析》　[解石坡、陈华屹，汉坤律师事务所]