2024年2月底以来，美国又发布多部涉华法案，包括针对数据出境的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》（Preventing Access to Americans’Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern，Executive Order 14117，以下简称“EO”）系列文件、点名涉华4家CXO公司的《禁止与特定生物技术供应商签订合同的法案》（To prohibit contracting with certain biotechnology providers， and for other purposes）、针对TikTok的《保护美国人免受外国对手控制应用程序侵害法》（Protecting Americans From Foreign Adversary Controlled Applications Act）。

后两部法案仍在参众议院投票阶段，而数据EO作为总统行政令已经生效，且司法部也发布了相关实施细则的征求意见稿。中国药企可能涉及国际多中心临床试验、药物研发中美双报等科研活动中的数据访问，本次 EO系列文件相当广泛的限制范围、相对体系化的拟生效细则等，可能会对中国药企研发和经营活动产生重大影响。

本文将对EO系列文件中的要点进行解读，并探讨对中国药企目前的影响。

2024年2月28日，美国拜登政府及司法部同日发出上述行政命令EO及系列文件。EO是由美国总统签署的官方指令，本身并非法律，无需经过国会批准。本次EO已说明其权源为《宪法》和《国际紧急经济权利法》（International Emergency Economic Powers Act，IEEPA）等授予的总统权力。

美国早期出于商业利益导向、扩大其技术和市场方面的先发优势等考虑，对于数据流动持一个相对自由的态度。近年来，由于顾虑数据、技术等问题对国家安全的影响，相对开放态度逐渐收紧。美国商务部于2019年发布《确保信息通信技术与服务供应链安全》（第13873号行政命令），2021年发布《确保信息通信技术和服务供应链安全最终规则》（ICTS规则），宣布美国进入紧急状态，并以国家安全为由，禁止美国公司与任何“外国敌手”进行“信息通信技术产品和服务”（ICTS）交易。2021年，拜登政府又发布《关于防范外国对立方侵犯美国敏感数据的行政命令》（第14034号行政命令），表示为进一步解决前述第13873号行政命令宣布的国家紧急状态持续存在的问题，新规用于识别和评估某些涉及外国对立方软件应用程序的信息及通讯技术和服务交易，而这些软件应用程序可能对美国国家安全和美国人民构成不可接受的危险。

本次EO表示其进一步扩大前述规范宣布的美国国家紧急状态的范围。某些受关注国家在努力获取美国人的敏感个人数据和美国政府相关数据，这对美国的国家安全和外交政策构成了不同寻常的威胁，这些威胁的来源全部或大部分在美国境外。获取美国人的大量敏感个人数据或与美国政府相关的数据会增强相关国家从事各种恶意活动的能力。受关注国家可以依靠先进技术，包括人工智能（AI），分析和操纵大量敏感个人数据，以从事间谍或网络行动，或确定对美国的其他潜在战略优势。受关注国家还可以利用对批量数据集的访问来推动人工智能和其他先进技术的创造和完善，从而提高其利用基础数据的能力，加剧美国国家安全和外交政策威胁。

为应对这种国家紧急状态，EO的政策是限制受关注国家访问美国人的敏感个人数据和美国政府相关数据，如果这种访问会对美国的国家安全构成不可接受的风险。

EO对这种“访问”的定义是广义的：是指逻辑或物理访问，包括以任何形式，包括通过信息技术系统、云计算平台、网络、安全系统、设备或软件，获取、阅读、复制、解密、编辑、转移、释放、影响、改变其状态或以其他方式查看或接收的能力。

具体禁止和受限访问的方式是：司法部长应与国土安全部部长协调，并与相关机构负责人协商，在公告和征求意见的前提下，发布法规，禁止或以其他方式限制美国人从事国家或其国民拥有任何权益的任何财产的收购、持有、使用、转让、运输、出口或交易（统称为交易），并规定了禁止或受限交易的情形。

司法部发布的该等法规，当前为Advance notice of proposed rulemaking（ANPRM），司法部Fact Sheet表示，EO和ANPRM不会立即施加任何新的法律义务。相反，将启动两轮正式征求意见，让公众在最终规则发布之前就规范提供反馈。2024年2月28日，ANPRM在联邦公报上发布，并在45天内征求公众意见。期满后，司法部会修订发布Notice of proposed rulemaking （NPRM）在联邦公报上公布，并征求第二轮意见。司法部会结合两轮征求意见结果发布《最终规则》。只有在《最终规则》生效后，公司和个人才必须遵守法规。

结合我们梳理的关系图，EO核心内容可以总结为，由于存在被认定为构成国家紧急状态的外国威胁，因此限制美国人与受关注国家、受限主体之间的数据交易，限制交易的数据类型主要为大量敏感个人数据和美国政府相关数据，限制交易情形区分为禁止交易和受限交易，并存在两种豁免制度。

下面我们结合EO和系列文件，讨论其规范要点：

（一）关于三个主体

1. “美国人”

EO规定，“美国人”一词是指任何美国公民、国民或合法永久居民；任何根据《美国法典》第8编第1157条作为难民进入美国或根据《美国法典》第8编第1158条获得庇护的个人；任何完全根据美国法律或美国境内任何司法管辖区（包括外国分支机构）组建的实体；或任何在美国境内的个人。

同时，系列文件规定了“美国人”的例外情形和非本地化储存要求：

• Fact Sheet显示：该规定不会监管美国人之间纯粹的国内交易——例如美国人在美国境内收集、维护、处理或使用数据——除非这些美国人被明确公开指定为代表受关注国家行事的受限主体。

因此，美国人可以被公开指定为受限主体，该情形下，其身份成为规范限制的主体而非“美国人”本身。

• EO规定：该命令并未授权实施通用数据的本地化要求，即不强制要求在美国境内存储美国人的大量敏感个人数据或美国政府相关数据；或不强制要求将用于处理美国人的大量敏感个人数据或美国政府数据的计算机设施部署在美国境内。

相比对中国强制性的重要数据本地化存储要求，EO在文件前言表达了这种“促进开放和安全的互联网，促进国际商业和贸易所需的跨境数据流”的相对开放态度，但在后文中详细规定了各类限制情形。

2. “受关注国家”

EO规定：美国司法部识别“受关注国家”的标准为：（1）“长期从事或从事会显著损害美国国家安全或美国主体的安全与保障的行为的”，并且（2）“存在利用大量敏感个人数据或美国政府相关的数据对美国的国家安全或美国主体的安全与保障造成损害的重大风险的”国家。

具体而言，ANPRM 将考虑确定六个受关注的国家：中国（包括香港和澳门）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。

ANPRM其中特别提及：中国“对其他国家公民个人数据的商业访问，以及人工智能驱动的分析”，可以“使其能够自动识别个人和群体”，“中国可以借鉴大量西方商业模型，以大规模算法驱动提供有针对性的内容和行为塑造微观因素”。美国国家反情报与安全中心曾于2021年2月4日发表《中国收集来自美国的基因组和其他医疗保健数据：隐私风险与美国经济和国家安全》。

3. “受限主体”

ANPRM提出，司法部正在考虑根据以下两种方式定义受限主体：（1）在未被司法部单独指定的情况下属于规定的类别，或（2）在司法部维护和更新的公开名单上被司法部单独指定。对此我们理解为一种“定义类别 + 个体负面清单”的方式。

EO定义的受限主体为：是指由受关注国家拥有、控制或受其管辖或指示的实体；作为此类实体的雇员或承包商的外国人；作为受关注国家的雇员或承包商的外国人；主要居住在受关注国家领土管辖范围内的外国人；或被司法部长指认为由某受关注国家拥有或控制，或受其管辖或指示，代表或声称代表某受关注国家或其他被保护人行事，或在知情的情况下直接或间接导致或指示违反EO或执行EO的任何法规的任何人。其中，ANPRM进一步将上述“规定的类别”定义细化为5种。

另外，需要特别注意的是，系列文件明确限制数据“再出口”，对于美国人与非“受关注国家”的合作也存在一个新增要求：为了应对数据被外国第三方再出口到相关国家的风险，该计划将允许美国人与非有关人的外国人士进行数据经纪交易，条件是该外国人士同意不向相关国家或受保人转售或提供访问权。对此我们理解，进一步限制了受关注国家和受限主体访问相关数据的途径。

（二）关于“大量敏感个人数据”

 “大量敏感个人数据”可分为“敏感个人数据”和“大量”两个要点：

1. 关于“敏感个人数据”

EO规定“敏感个人数据”一词是指6类数据及其组合：特定的个人标识符，地理定位和相关传感器数据，生物识别符，人类组学数据，个人健康数据，个人财务数据；或根据EO第2节由司法部长发布的法规中进一步定义的，如果该数据是与任何可识别的美国个人或离散的可识别的美国个人群体相关联或可链接，可能被有关国家利用以损害美国国家安全的。

根据当前的EO和ANPRM，我们简单探讨前述6类数据：

（1）特定的个人标识符：由司法部长在根据EO第2节发布的法规中确定的，具体列出的与个人有合理联系的个人可识别数据类别，并且无论是相互结合，还是与其他敏感个人数据相结合，或者与交易方根据交易披露的其他数据相结合，使相关国家可以利用个人身份识别数据——可以用于从数据集中识别个人，或将多个数据集的数据链接到个人。即司法部最终规则会明确列出“与个人有合理联系的个人可识别数据类别”。

（2）地理定位和相关传感器数据：目前仅限于精确地理定位数据。精确地理定位数据是指根据电子信号或惯性传感装置，以特定精度范围内可以确定个人或设备实际位置的数据，包括实时数据和历史数据。ANPRM正在对具体的精度征求意见。

（3）生物标识符：用于识别或验证个人身份的可测量的身体特征或行为，包括面部图像、声纹和声纹模式、视网膜和虹膜扫描、掌纹和指纹、步态，以及在生物识别系统中注册的键盘使用模式或创建的模板。

（4）人类组学数据：由人类产生的表征或量化人类生物分子的数据，如人类基因组数据、表观基因组数据、蛋白质组数据、转录物组数据、微生物组数据或代谢组数据，由司法部长根据EO第2节发布的条例进一步定义。

根据EO及ANPRM，后续司法部首个规则计划仅监管人类基因组数据交易，在此之外的人类组学数据类型的交易，后续由相关部门提交报告评估监管该等数据类型交易的风险和收益。

（5）个人健康数据：指《健康保险便携性和责任法案》（Health Insurance Portability and Accountability Act，HIPAA）下的个人可识别健康信息（即任何与个人的过去、现在或未来的身体或精神健康状况、医疗服务的提供或为医疗支付的费用相关的个人可识别健康信息，包括人口统计数据）。不论此类信息，是由HIPAA 项下的受管辖的实体，还是商业伙伴所收集。

（6）个人财务数据：关于个人信用卡、借记卡或银行账户的数据，包括购买和支付历史；银行、信用或其他财务报表中的数据，包括资产、负债和债务以及交易；或者在信用或“消费者报告”中的数据。

2. 关于“大量”的数据阈值要求

ANPRM规定：“大量美国敏感个人数据”一词是指与美国人有关的数据集或一组数据，无论以任何格式，无论这些数据是匿名的、假名化的、去标识化的还是加密的，在过去12个月的任何时候，无论是通过单个受限数据交易，还是通过涉及同一外国人或受限人的受限数据交易进行汇总：

（i） 收集或保存的超过[数量]美国人的人类基因组数据；

（ii）收集或保存在[人数]以上美国人身上的生物识别码；

（iii）在超过[数量]的美国设备上收集或维护的精确地理定位数据；

（iv）收集或保存的超过[人数]美国人的个人健康数据；

（v） 收集或维护的超过[人数]美国人的个人财务数据；

（vi）为超过[人数]的美国人收集或保存的相关个人识别码；或

（vii）组合数据，是指包含（i）至（vi）类中一个以上的数据集或一组数据，或包含与（i）到（v）类相关的任何规范列出的标识符的数据集，其符合任何类别数据中收集或维护的最低数量的美国人或美国设备的阈值人数。

该等阈值为：

3. 药企关注重点——EO特别强调对个人健康数据和人类基因组数据的限制

EO特别强调了对个人健康数据和人类基因组数据的限制。首先，不同于联邦层面个人健康数据规范《健康保险流通和责任法案》（HIPAA）“受保护的健康信息”的定义——“可识别个人的健康信息”，EO改变了HIPAA的“可识别要求”，描述了一个限制程度相当高的态度：美国医疗保健市场的实体可以通过与美国医疗保健提供商和研究机构的合作和协议，访问大量敏感个人数据，包括个人健康数据和人类基因组数据。即使这些数据是匿名、假名化或去标识的，技术的进步，加上相关国家对大型数据集的访问，也越来越多地使访问这些数据的国家能够重新识别或去识别数据，从而可能揭示可利用的美国人的健康信息。

其次，EO描述的具体监管要求为：虽然美国支持开放的科学数据和样本共享，以通过国际合作和协作加快研究和发展，但必须采取以下额外步骤，以保护美国人的敏感个人健康数据和人类基因组数据免受EO中描述的威胁：

国防部长、卫生与公众服务部长、退伍军人事务部长和国家科学基金会主任应考虑采取措施，包括酌情发布法规、指导意见或命令，并与授权相关联邦援助计划的法律机构保持一致，禁止提供使受关注国家或受影响人员能够访问美国人的大量敏感个人数据（包括个人健康数据和人类基因组数据）的援助，或对接受联邦援助的人实施与此类援助有关的缓解措施，这些措施可能符合EO通过的“安全措施”。国防部长、卫生与公众服务部长、退伍军人事务部长和国家科学基金会主任应相互协商，制定并发布指导意见，以协助美国研究实体确保其大量敏感个人数据得到保护。

（三）限制交易的情形

EO限制何种交易？EO将其描述为禁止交易和受限交易，相关交易均被定义为对美国国家安全构成不可接受风险的受限制数据交易，但如果可以通过实施一定安全措施缓释此类风险，则属于受限交易，无法缓释的，则属于禁止交易。

ANPRM暂时列示2类禁止交易、3类受限交易征求意见中：

禁止交易：（1）数据经纪交易；（2）任何向受关注国或受限人员提供大量人类基因组数据或人类生物标本的交易，人类基因组数据可以从中获得。

受限交易：（1）供应商协议（包括协议等）技术服务和云服务协议，（2）雇佣协议，以及（3）投资协议。这些类别的受限交易是有关国家可以访问大量美国敏感个人数据或政府相关数据的重要手段，但与这些交易相关的国家安全风险，可以通过适当的安全措施来缓释。

这时，何为“安全措施”就变得非常重要，系列文件暂未明确。Fact Sheet表示，这些安全要求将旨在降低受关注国家或受保护人员的访问风险，并可能包括网络安全措施，如基本组织网络安全态势要求、物理和逻辑访问控制、数据屏蔽和最小化以及隐私保护技术的使用。

（四）两种豁免方式

系列文件列示了基于数据本身和授权许可证这两种豁免方式。基于数据本身的豁免详见Fact Sheet“Exempt data transactions”部分，我们理解，中国药企较难适用。基于授权许可证的豁免包括一般和特定许可证：一般许可证将使司法部能够灵活地豁免、改变某些类别的交易条件或允许这些交易在其他方面受到监管。特定许可证将使公司和个人有机会申请规则例外，以从事特定的数据交易，该部将在国务院、商务部和国土安全部的同意下做出许可决定。

（五）潜在溯及力机制

需要特别提醒相关企业注意的是，EO第4节规定了一个细则的潜在溯及力机制——评估事先转移美国人大量敏感个人数据所带来的国家安全风险：在后续细则生效之日起120天内，司法部长、国土安全部部长和国家情报局局长应与相关机构负责人协商，向APNSA采取适当行动，以检测、评估和减轻因先前向受关注国家传输美国人大量敏感个人数据而产生的国家安全风险。在后续细则发布的条例生效之日起 150天内，APNSA 应审查这些建议，并酌情与司法部长、国土安全部部长和相关机构负责人协商，根据适用法律执行这些建议。

上述规定可以理解为，EO要求相关部门对后续细则生效前的、受监管的数据传输行为保持关注，并且，存在潜在的可能，溯及既往地对细则生效前的行为适用生效细则来规范。

2024年3月22日，中国国家网信办发布《促进和规范数据跨境流动规定》，对数据跨境流动，甚至展现了较之前更为开放的态度，包括但不限于更为宽松的数据量级、更为明确的免申报情形等。反观美国EO系列文件和近期其他涉华网络、科技相关法案，可以理解为是一种较为严格的、来源于政治层面的限制态度。

生效的EO本身并非法律，后续细则即《最终规范》尚待一段时间生效，但基于美国严格的限制态度、已经相对完善的ANPRM、明确的“潜在的溯及力机制”、限制数据“再出口”要求等，我们倾向于认为，中国药企可尽快根据相关文件自查和考虑应对政策。当然，由于实施细则仍待两轮征求意见，故公众和舆论也可能在一定程度上，对于这些过于严苛的规定产生影响。

我们认为，中国药企可能涉及国际多中心临床试验、药物研发中美双报、设立外国子公司、选择境外供应商、聘用外国专家等各类活动中的数据访问，当前可通过以下几个方面评估数据交易情况：

1. 评估企业相关数据类型：我们理解，中国药企在美访问的相关数据可能包括个人健康数据（如去标识化的患者数据个人健康数据，但当前EO规定与HIPAA规定互相矛盾，后续需持续关注该问题），人类基因组数据（当前系列文件对该类信息限制程度较高），个人标识符（如境外专家的姓名、ID），个人财务数据等。

2. 评估数据数量：根据当前ANPRM判断相关数据的数量过去12个月的任何时候是否达到阈值而受限。但需要注意的是，“通过涉及同一外国人或受限人的受限数据交易进行汇总”等相当宽泛的规定是否会被理解为“通过同一中国的受限CRO为各个医药企业传输的数据，以CRO为统计口径”等问题，后续需持续关注。

3. 评估是否属于禁止 / 限制交易，可否适用相关安全措施、豁免情形：该等问题只能由《最终规则》和美国政府态度决定，相关企业暂时可参考市场分析和预期态度。

EO 系列文件的发布意味着美国在数据跨境传输方面将采取更为严格和审慎的态度。随着全球数据治理格局的演变，中国医药企业要重视境外的数据合规应对，积极适应这种不断变化的国际法律环境，通过加强数据合规风险评估和积极采取应对措施，以确保在全球市场中保持竞争优势。我们也将随时关注《NPRM》的进一步明晰，以确定中国医药企业的应对策略。

[1]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/02/28/executive-order-on-preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related-data-by-countries-of-concern/

[2]https://www.whitehouse.gov/briefing-room/statements-releases/2024/02/28/fact-sheet-president-biden-issues-sweeping-executive-order-to-protect-americans-sensitive-personal-data/ 

[3]https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and 

[4]https://www.justice.gov/opa/media/1340216/dl