尽管美国宣称支持数据自由跨境流动���,但近年来两党不断以国家安全为由���,加强对包括中国在内的非同盟国家的数据跨境传输监管。2024年12月26日���,限制中国等国家访问美国敏感个人数据( 包括基因组数据)及政府数据的规定最终出台���,对跨国医药企业的临床试验���、药品注册���、市场化推广���、跨国运营和我国医药企业开展国际合作���、搭建架构���、提供跨境服务等方面都影响深远。本文介绍了相关规则的出台背景���、主要内容���、合规建议���,希望与业内人士共同探讨。
2024年2月28日���,拜登政府签发第14117号《关于防止受关注国家获取美国人士批量敏感个人数据和美国政府相关数据的行政令》(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern���,下称“《数据行政令》”)[1]���,认为中国���、俄罗斯等所谓受关注国家���,在AI技术加持下访问美国人士的敏感个人信息达到一定数量规模���,或者访问与政府(军队)相关的数据���,可能会威胁美国的国家安全���,要求制定政策对此进行进一步限制。
根据《数据行政令》的要求���,美国司法部(DOJ)配套发布了关于该《数据行政令》的拟议规则制定预通知(即ANPRM)[2]���,并结合公众对预通知的意见���,于2024年10月底发布了拟议规则的制定通知(即NPRM)。NPRM在2024年11月29日停止征求社会意见���,最终版的《关于防止受关注国家或受限主体访问美国敏感个人数据及政府相关数据的规定》(Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons���,下称《最终规则》)由美国司法部赶在政府交接前于当地时间2024年12月26日定稿发布���,于2025年1月8日在《联邦公报》上公布���,并将在公布90日后���,即2025年4月8日生效;某些尽职调查���、报告和审计相关的要求则设置了过渡期���,将于公布后270天���,即2025年10月5日生效。
美国拥有活跃的医药研发和销售市场���,一直是药物创新领域国际合作和跨国药企经营的重点地域。诸多科研或商业数据库部署在美国���,此外如安客诚(Acxiom)[3]等专业的数据经纪商也十分活跃���,利用其所掌握的数据协助临床试验受试者招募���、帮助上市药品触达目标用户等���,数据要素对美国乃至全球医药行业及上下游产业的战略意义不言而喻。
尽管美国多次在国际社会公开宣称其“支持数据自由跨境流动”的立场���,但以“国家安全”为由���,美国近年来连续出台措施加强对非同盟国家的出口管制���、跨境交易���、信息传输的监管���,尤其针对中国严加防范。针对中国的数据隐私保护和国家安全措施属于美国两党的共识性内容���:2019年5月���,特朗普政府发布第13873号行政令[4]���,要求确保信息与通信技术与服务供应链的安全并宣布了相应的国家紧急状态。随后���,美国商务部根据行政令将中国等定义为“外国对手”。2021年6月���,拜登政府发布第14034号行政命令���,提出对紧急状态应采取的应对措施���,要求保护美国人的敏感数据免受外国对手的侵害。本次拜登政府发布的第14117号《数据行政令》���,也是对前述行政令的延续和额外措施。因此���,跨国生物医药企业在面对愈发严格的数据跨境传输监管环境时���,应当对美国的数据新规给予充分的重视。
《数据行政令》和《最终规则》旨在对包括中国在内的六个国家(“受关注国家”)与美国之间针对大量敏感个人数据以及政府数据(“受规制数据”)的交易(“受规制交易”)进行审查和限制���,禁止美国主体(U.S. person)进行受规制交易。除了遵守适用的信息安全要求外���,美国主体还需要对外国客户进行KYC���、保存相关记录���、委托审计���,并在涉及相关交易情况下向政府提交报告。
(一)受关注国家与受限主体
根据《最终规则》§202.601���,受关注国家(Countries of Concern)的范围限定为6家���,即中国(包括香港和澳门)���、俄罗斯���、古巴���、伊朗���、朝鲜和委内瑞拉。
根据《最终规则》§202.211���,在受关注国家成立或作为主要营业地的非美国实体���,或者在受关注国家主要居住的非美国人士���,都将成为禁止或限制进行数据交易的对象���,也就是“受限主体”(Covered Person)。此外���,受限主体的范围还包括前述受限主体直接或间接���、累计计算持有超50%所有权的主体(如控股的子���、孙公司等)���,以及其非美国雇员���、承包商等可能受到受关注国家所有或控制���,或由其管辖或指示的情况。相比此前征求意见的NPRM���,《最终规则》参照OFAC的规则修改了对控股的定义���,以实现类似法规逻辑和表述的统一。
“受限主体”仅适用于非美国实体���,不适用于美国实体。“美国主体”虽然不是交易限制对象���,但需要遵守相关数据交易的禁止或限制���,并在必要时履行报告义务等���,否则可能会面临罚款甚至刑事处罚。
根据《最终规则》§202.256对“美国主体”���、“受限主体”的定义及举例���,除非有其它情况或者被司法部长(Attorney General)单独指定为受限主体���,否则���:
-
-
-
美国公司(即仅根据美国法律成立的公司)及其分支机构(branch)都是美国主体;
-
美国公司根据中国法律设立的子公司(subsidiary)���,无论持股程度如何���,都是可能受限的非美国主体;
-
中国公司在美国设立的分支机构(branch)是可能受限的非美国主体;
-
中国公司根据美国法律成立的美国子公司(subsidiary)���,无论持股程度如何���,都是美国主体。
尽管有上述定义���,《最终规则》§202.304还列举了一系列将被认为是有意逃避法规的禁止行为。例如���,利用中国研究人员来美国期间暂时不受限的状态���,向其出售数据或者开放数据访问权限���,再由其返回中国时带回;或者向美国空壳公司出售数据���,而空壳公司主要是由中国人组成。因此���,企业在考虑如何适用《最终规则》时可能需要实质重于形式���,结合专业人士意见而非从文本层面简单理解。
此外���,为了限制通过其他国家进行数据中转的行为���,《最终规则》还规定美国实体与在涉及数据经纪业务等禁止交易时���,必须主动通过合同明确要求其交易对手不得通过后续数据交易将相同数据再出售给受关注国家和受限主体���,并向司法部报告任何已知或可疑违规行为。
(二)受规制的数据类型
1.六类达到数量规模的敏感个人数据
《最终规则》规定了六类敏感个人数据���:
|
数据类型
|
定义
|
规模要求(§202.205)
|
|
人类组学数据
Human‘ Omic Data
|
人类基因组数据(Human genomic data)
其它人类组学数据(相比NPRM新增)���:
-
人类表观基因组学数据(Human epigenomic data)
-
人类蛋白质组学数据(Human proteomic data)
-
人类转录组学数据(Human transcriptomic data)
|
>100 名美国人(人类基因组数据)
>1,000 名美国人(其它人类组学数据)
|
|
生物识别信息
Biometric Identifiers
|
用于识别或验证个人身份的可测量的身体特征或行为���,包括面部图像���、语音印记和模式���、视网膜和虹膜扫描���、掌纹和指纹���、步态以及在生物识别系统中注册的键盘使用模式���,以及该系统生成的模板。
|
>1,000 名美国人
|
|
个人健康数据
Personal Health Data
|
表明���、揭示或描述个人健康状况的信息
|
>10,000 名美国人
|
|
精确地理位置
|
实时或历史记录数据���,可用于识别个人或设备的物理位置���,精度在 1,000 米以内。
|
>1,000 台美国设备
|
|
个人财务数据
|
有关个人的信用卡���、签帐卡或借记卡或银行账户的数据���,包括购买和付款历史记录;银行���、信用或其他财务报表中的数据���,包括投资组合中的资产���、负债���、债务或交易;或信用报告 ���、“消费者报告”中的数据。
|
>10,000 名美国人
|
|
个人身份识别信息
|
与任何其他标识符结合使用���,或与根据交易披露的其他数据相结合���,能与其它标识符或其他敏感个人数据相关联或可链接。
不包括仅与其他人口统计或联系数据相关联的人口统计或联系数据(如姓名���、出生地���、住址���、电话等);和电信网络服务所必要的仅与其他网络标识符���、账户验证数据或呼叫详单数据相关联的基于网络的标识符���、账户验证数据或呼叫详单数据。
|
>100,000名美国人
|
达到“大量”的规模���,是指在过去12个月通过单一受规制交易���,或者涉及同一美国主体���、外国主体或受限主体累计超过表格最右列的阈值。即使敏感数据是匿名���、假名���、去识别或加密的���,《最终规则》仍然适用并将根据数据的性质和数量对交易进行监管。
2.政府数据
除敏感个人数据外���,《数据行政令》和《最终规则》规制的数据范围还包括与美国政府相关的数据。对于涉及政府敏感数据的交易���,无论数量���,一律纳入受限范畴。
(三)受规制的数据相关交易
相比于直接限制“数据传输行为”���,《数据行政令》和《最终规则》从“交易”的角度出发进行立法���,限制任何可能导致数据传输或泄露的相关交易。“受规制的数据交易”定义非常广泛���,不仅仅是买卖数据���,而是涵盖了直接出售数据���、将数据提供给供应商(例如云服务vendor)���、提供给雇员���、出售数据中心的股权等多种情况���,并将受规制交易分为禁止类和限制类���,其中限制类交易在符合美国国土安全部网络安全和基础设施安全局 (CISA)设置的安全要求后即可进行���,而禁止类交易(除取得许可外)则不能与受关注国家或受限主体进行。
具体而言���:
1. 禁止类交易
(1)§202.301数据经纪业务(Data brokerage)���:除非属于豁免情形���,任何美国人不得在明知的情况下与受关注国家或受限人员进行数据经纪业务交易。
根据定义���,数据经纪业务是指通过经纪或中介(broker)将数据从提供者(provider)传输给数据接受者(receiver)���,而数据接受者不直接从个人处收集或处理数据。这种传输包括出售数据���、许可数据访问或涉及将数据传输给第三方等情形。数据经纪商通常指向专业的数据服务商���,但即使主营业务并非数据经纪���,但只要从事了相关的中介或经纪业务���,任何主体都可以被定义为数据经纪。
数据经纪的交易需要有相关经纪对价。根据《最终规则》提供的示例���,如果美国研究人员与中国研究人员共同为学术期刊撰写论文���,并交换美国人的大量“组学”数据以分析���、描述研究发现���,而美国研究人员没有与中国研究人员或者其雇主进行任何金钱或其他有价给付���,那么该美国研究人员不涉及被禁止的数据经纪业务。但是���,如果美国研究人员接受了来自中国大学的资助���,并按资助要求将大量美国敏感个人数据与中国大学共享���,那么该交易属于被禁止的数据中介交易。
根据§202.302���,为了限制通过其他国家进行数据中转的行为���,美国主体需要主动通过合同明确要求其交易对手不得通过后续数据交易将相同数据再出售给受关注国家和受限主体���,并向司法部报告任何已知或可疑违规行为。
(2)§202.303涉及批量人类组学数据和人类生物样本的交易���:除非属于豁免情形���,任何美国人不得在明知的情况下与受关注国家或受限人员进行任何涉及批量人类组学的敏感个人数据���,或者能够提取前述数据的生物样本载体的交易。
2. 限制类交易
在美国司法部发布《最终规则》的同时���,CISA制定并发布了最终的《安全要求》[5]���,从事受限制交易的美国主体必须遵守这些《安全要求》。CISA的安全要求旨在降低受关注国家或受限主体访问大量美国敏感个人数据或政府相关数据的风险���:
(1)§202.258供应商协议 (Vendor Agreement)���:即向他人提供有偿商品或服务(雇佣协议除外)���,包括云计算服务等。例如���:①美国公司通过中国CRO处理大量临床试验数据(其中包括大量的个人健康数据和个人身份信息等)的情况���,可能就属于受限的供应商协议;②美国的一家医疗机构与总部位于中国的供应商签订IT服务相关的合同���,该医疗机构拥有其美国患者的大量个人健康数据���,根据合同提供的IT服务涉及访问该医疗机构系统���,系统中包含大量个人健康数据���,这种供应商协议属于受限制交易。
(2)§202.217雇佣协议 (Employment Agreement)���:即个人(独立承包商除外)直接为他人工作或执行工作职能以获报酬的协议���,例如中国研究员或顾问���、中国董事及高管等的雇佣协议。例如���,美国一家商业化基因检测公司收集并保存来自美国消费者的大量人类基因组数据。作为全球IT运营团队的一部分���,该公司雇佣了一支中国团队提供后端服务���,允许访问公司系统中包含的大量人类基因组数据���,这种雇佣协议是禁止的交易(因为涉及访问大量人类基因组数据)。
(3)§202.228投资协议 (Investment Agreement)���:包括投资购买位于美国的房地产���,或美国法人实体的直接或间接所有权权益(如股权)���,但该定义排除被动投资。例如���,中国的私募股权基金与美国公司合资建设一个数据中心���,约定中国基金将提供资金并持有数据中心的股权���,而数据中心将存储大量美国人的个人健康数据���,那么这种安排就属于受限的投资协议。被动投资在定义中被明确排除���,也就是说投资于公开交易的或基金等产品���,担任私募基金或风投基金的LP且不参与管理决策���、不影响经营���,或受限主体持有的投票权和股权少于10%且不享有超出少数股东合理标准的特殊权利���,则不受限制。
对于受限交易���,CISA的安全要求包括���,从事受限交易的美国主体需要对全部供应商协议进行记录���,并按月更新资产清单���、存储超过12个月的系统日志���,在规定时限内修补系统漏洞���,以及采用加密密钥等方式进行系统管理等。此外���,数据库还需要实行逻辑和物理上的访问控制���,限制受限主体访问数据���,跨国药企可能需要针对不同的雇员级别和供应商类型等���,进行系统数据权限管理设计。
此外���,根据《最终规则》���,从事受限交易的主体还必须对交易方进行尽职调查和KYC���,制定相关的书面政策和合规计划���,以及每年进行限制交易相关的独立年度审计���、编制年度合规证明���,并保留相关记录至少10年。
3.豁免的交易
《最终规则》吸收社会意见���,增加了诸多豁免情形���,豁免情形下不需要适用有关禁止性和限制性交易的规定���,无需履行尽职调查义务���,但仍然需要遵守§ 202.1101(a)和202.1102相关的记录保存和报告要求。豁免情形包括个人通信���、随身旅行���、政府公务或联邦法律要求���、特定金融服务���、电信服务���、跨国公司企业集团内部的行政管理数据(如人力资源���、工资报销等)以及已落入CFUIUS规制的交易不适用《最终规则》的限制。特别地���,针对生物医药行业���,下列数据交易属于豁免范围���:
(1)§ 202.510药品���、生物制品和医疗器械许可申请或维持���:
-
数据已去标识化或匿名化
-
为获得或维持药物���、生物制品���、器械或组合产品的研究或上市授权或许可以及上市后研究���、上市后药物监管活动���、药品其他用途补充申请
-
数据需提交给当地监管机构(如中国药监局)或根据监管机构的要求提交给其它主体
-
数据对于评估此类产品的安全性和有效性是合理必要的
上述条件同时满足才能适用豁免。对于豁免的具体适用尺度���,《最终规则》对于“必要”的举例与此前征求意见稿相比略有修改���,整体仍然强调必要和合理性���,例如���:
(2)§ 202.511其他临床研究和上市后监测数据���:目前���,《最终规则》规定豁免的其他临床研究和上市后监测数据包括1)美国食品药品管理局 (FDA) 监管下或拟向FDA递交的临床研究或上市许可相关研究���,或2)已去标识化的临床护理数据(通常用于证明真实性���、安全性)或上市后监测数据(包括药物警戒和上市后安全监测)���,并且是获得或维持FDA许可所必需的数据。
这种豁免是因为���,尽管不是从国家安全的角度出发���,但美国FDA已经根据《联邦食品���、药品和化妆品法案》(FD&C Act) 第 505(i) 和 520(g) 条等法规���,对相关临床研究和上市后监测的受试者隐私保护和知情同意等数据保护有所规定。《最终规则》无意限制外国数据向美国传输���,仅限制美国人数据向受关注国家传输。
4.许可证机制
对于不符合任何豁免条件的交易���,《最终规则》还授权司法部颁发一般许可证以及特定许可证���,允许交易方按照许可证要求进行数据相关交易。许可证需要交易方事前申请���,并且需要在申请中披露交易的详细信息。针对征求意见稿阶段拟议的例如针对血浆出口���、必要的国际临床研究等进一步设置豁免情形的建议���,《最终规则》以存在许可证机制为由均未采纳���,后续业内可以进一步关注许可证的申请和批准难度���、颁布情况。
(四)违法后果
根据《最终规则》§202.1301���,违反《最终规则》可能导致民事和刑事处罚。此外���,根据《最终规则》§202.1302���,其设置了提前通知程序���,在司法部发出处罚前提供给当事方回应的机会。
对于民事处罚���,结合《联邦民事处罚通胀法》规定���,最高可达368,136美元或交易金额的两倍���,以较高者为准[6]。对于刑事处罚���,故意���、故意串谋���、协助���、或教唆违反《最终规则》的行为���,一经定罪���,可导致最高100万美元的刑事罚款���,对于自然人���,可并处最长20年的监禁。
根据《最终规则》中处罚条款的表述���,其中并未限定处罚对象仅为“美国主体”���,而是用了“A person”等描述���,因此我们认为不排除美国司法部可能裁量并处罚涉及受监管数据交易的对手方���,如受限主体的可能性。
根据我们的研究���,《最终规则》中的部分条款如“受限主体(Covered person)的定义”等���,都为美国司法部实施自由裁量权留下了较大空间���,也无形中扩大了企业可能需要事先报告或申请许可的负担。我们建议行业内相关人士关注最终规则的实施情况以及许可证的发放情况。
对于国内的药械企业���、研究机构或人员���,在搭建境外架构���、开展国际合作���、进行国际多中心临床研究或提供跨境服务等方面���,尤其注意《最终规则》对交易架构���、合作方式���、业务模式的影响。例如根据《最终规则》���,如美国公司通过设立在中国境内的CRO或其非美国的子公司处理大量临床试验数据(其中包括大量的个人健康数据和个人身份信息等)���,可能属于受限的供应商协议���,而如果该美国公司与该CRO的美国子公司签署供应商协议���,就可能不受限。又例如中国企业开展国际多中心临床研究���,如中国企业通过美国子公司在美国进行临床研究���,涉及大量的受规制的基因组数据从美国子公司传输到中国母公司或中国在其他国家设立的子公司���,则可能属于被禁止的交易。我们建议在开展相关业务前与专业人士合作���,进行方案设计和加强对敏感数据范围的判断���,同时对于已经执行中的项目���,进行相关风险评估和采取相应措施���,以保证业务连续性和满足合规要求。
[1] https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related
[2] https://www.federalregister.gov/documents/2024/03/05/2024-04594/national-security-division-provisions-regarding-access-to-americans-bulk-sensitive-personal-data-and
[3] https://www.acxiom.com/healthcare/pharma/
[4] https://www.federalregister.gov/documents/2019/05/17/2019-10538/securing-the-information-and-communications-technology-and-services-supply-chain
[5] Notice of Availability of Security Requirements for Restricted Transactions Under Executive Order 14117, see https://public-inspection.federalregister.gov/2024-31479.pdf
[6] FACT SHEET: Justice Department Issues Final Rule to Address Urgent National Security Risks Posed by Access to U.S. Sensitive Personal and Government-Related Data from Countries of Concern and Covered Persons, see https://www.justice.gov/opa/media/1382526/dl
