生命科学公司应如何遵守美国司法部数据新规

长期以来，生命科学公司一直不在美国国家安全法规的适用范围之内，并享有美国隐私法规下的重大豁免。但是，美国司法部（DOJ）于2025年4月8日生效的一项最终规则现在禁止或限制与中国或其他受关注国家（古巴、伊朗、朝鲜、俄罗斯和委内瑞拉）有关联的个人或实体访问批量美国敏感个人数据。（注：尽管“受关注国家”的定义除中国外还包括多个国家，但本警示重点聚焦中国，因为中国是美国生命科学行业最为关注的国家。此外，其他受关注国家已受到美国经济制裁，因此该规则在这些国家的适用影响较小，尤其是在由政府监管的生命科学行业）

该规则针对的是生命科学公司日常处理的各类数据，如人类基因组数据和其他组学数据（以及可衍生出此类数据的生物样本）、生物特征识别标志和个人健康信息。重要的是，与美国外国投资委员会（CFIUS）法规和许多隐私法不同，该规则并未豁免以密钥编码或其他方式匿名化、假名化、去标识化或加密的数据。

虽然该规则包含了对某些被动投资和为获得或维持监管审批所必需的数据分享的关键性豁免，但生命科学公司应根据以国家安全为重点的新框架，重新审视其跨境合作、全球临床研究、上市后监测以及跨司法辖区的临床或监管数据分享。违规行为可能导致民事和刑事处罚。

在简要介绍该规则后，我们将探讨该规则在七种生命科学领域常见情景下的具体应用。有关DOJ规则的更多信息，请参阅高赢在今年1月10日和4月4日发布的警示。（引文1;2）

DOJ于4月11日发布了指导意见和常见问题解答，同时还发布了一项政策（引文3;4;5），规定只要相关美国主体善意地努力遵守或达到该规则的要求，就可以延迟该规则的执行至2025年7月8日。

一、DOJ规则所涵盖的数据交易

该规则禁止或限制任何导致以下情形的受限数据交易：(1)受限实体;(2)通过数据经纪、供应商协议、劳动协议或投资协议;(3)访问批量美国敏感个人数据。

1.批量美国敏感个人数据的类别

生命科学公司最有可能遇到四类批量美国敏感个人数据，其中包括匿名化、假名化、去标识化或加密的数据，但数据量可能低于批量阈值：

术语“批量”是指在过去12个月内的任何时间点，无论是单个受限数据交易，还是涉及同一美国主体和同一交易方（即非美国实体或受限实体）的多个受限数据交易汇总的数据量超过所列阈值。

对于生命科学公司来说至关重要的是，在没有豁免的情况下，该规则禁止涉及批量人类基因组、表观基因组、蛋白质组或转录组数据或可从中提取此类数据的生物样本的受限数据交易。

该规则还适用于其他类型的数据，包括精确的地理位置数据、个人财务数据和受限个人标识，这些数据在其他行业更为普遍。在所有情况下，该规则不适用于公开可用的数据集。

2.受限实体

所谓“受限实体”是指与受关注国家有实质性关联的实体，包括：（1）在中国成设立或其主要营业地在中国的实体；（2）此类实体的雇员或承包商；（3）主要居住在中国的个人；（4）在即将公布的DOJ“受限实体清单”上所列出的实体。该术语还包括由上述受限实体之一或受关注国家政府持有50%或以上股份的实体。除非被列入“受限实体清单”，否则受限实体不包括实际居住在美国的个人。

3.受限数据交易类型

该规则针对生命科学公司感兴趣的四类交易——假设交易涉及受限实体（或在受关注国家）访问批量美国敏感个人数据。与生命科学公司相关的例子包括：

（1）数据经纪：出售、许可或提供非公开数据的访问权，且这些数据并非接收方直接从个人那里收集的；向非美国监管机构传输数据。

（2）供应商协议：聘请服务提供商准备监管文件；在第三方服务器上存储数据；聘请独立承包商。

（3）劳动协议：雇用员工；任命董事会成员。

（4）投资协议：向合作方发行股票。

除非符合豁免条件，否则这些因素一起会导致受限数据交易受到禁止或限制。

该规则禁止美国主体在知情的情况下从事以下活动：

（1）签订涉及受限实体获取批量人类基因组、表观基因组、蛋白质组或转录组数据（或可从中获得此类数据的人类生物样本）的供应商、劳动或投资协议；

（2）涉及向受限实体或受关注国家提供任何批量美国敏感个人数据的数据经纪活动；

（3）涉及向非美国实体（如加拿大实体）提供任何批量美国敏感个人数据的数据经纪活动，且合同条款未禁止向受限实体或受关注国家进一步传输数据。

该规则限制美国实体在知情的情况下签订涉及受限实体访问美国各类批量敏感个人数据（除人类组学数据外）的供应商、劳动或投资协议，但前提是该美国实体必须维持足够的数据合规计划，执行网络安全和基础设施安全局（CISA）发布的安全要求（引文6），并进行年度合规审计。

二、生命科学产业的关键豁免

该规则豁免了几类原本将受到禁止或限制的生命科学交易：

1.监管审批数据豁免允许涉及去标识化或假标识化（即密钥编码）数据的交易，且此类数据为获得或维持在受关注国家内外研究或销售药品、生物制品、器械或组合产品的监管授权或批准所必需的数据。该豁免不适用于分享并非监管机构评估药物、生物制品、器械或组合产品的安全性和有效性所合理必需的敏感个人数据。依赖该豁免的公司仍必须遵守某些记录保存和报告义务。

2.临床研究数据豁免允许

（1）通常附带于，或是属于美国食品药品管理局（FDA）监管的临床研究、为支持向FDA申请药物、生物制剂、器械、组合产品或婴儿配方奶粉的研究和上市许可的临床研究的一部分的交易；

（2）涉及去标识化或假名化数据的交易，且这些数据是通常附带于，或是属于收集或处理表明产品真实世界性能或安全性的临床护理数据、产品上市后监测数据的一部分的数据，但在每种情况下，这些数据都是获得FDA批准所必需的。

3.联邦资金豁免适用于根据与美国联邦政府签订的拨款、合同或其他协议进行的交易

4.被动投资豁免适用于受限实体作为投资者时：

（1）在美国实体中取得10%以下的投票权和股权；

（2）除标准的少数股东保护外，未获得其他权利，例如董事会席位、观察员权利，或除表决权之外在美国实体的重大商业决策、管理或战略中参与的权利；并且

（3）该投资为对上市证券、受美国SEC监管的投资公司发行的证券，或以有限合伙人身份对基金或私营实体的投资。

美国主体可向DOJ申请许可，以授权不符合豁免条件的受限数据交易。

三、生命科学行业中遇到的情形

1.我的公司正与一家中国公司签署合作协议，共同开发一项药物候选物。

与中国合作伙伴合作的美国公司应评估该安排是否会使对方获得前述超过批量阈值的美国人的人类组学数据、生物特征识别标志或个人健康数据。如果会，则该安排可能构成被禁止或受限的受限数据交易。

例如，合作可能包括美国公司将其药物候选物授权给中国合作伙伴，以在中国开发和商业化，并向中国合作伙伴提供临床数据；或者美国公司从中国合作伙伴处获得药物候选物授权，在美国开发和商业化，并将临床数据回授给中国合作伙伴。此类合作可能涉及数据经纪活动（即将数据出售或授权给未收集或处理这些数据的第三方），或构成中国合作伙伴为美国公司开发药物候选物的供应商协议。合作协议甚至可能伴随对美国公司的股权收购或属于投资协议范围的可转换债务安排。如果美国公司收集或持有批量美国敏感个人数据，则上述任何一种交易都可能受到禁止或限制。

2.我的公司正在中国申请一项候选疗法的监管批准，该过程需要向监管机构提交临床数据。我们计划聘请一家本地公司协助完成该流程。

监管审批豁免允许向监管机构提交去标识化的数据，前提是该数据（1）为获得或维持研究或销售药品、生物制品、器械或组合产品的监管批准所必需，且（2）对于评估产品的安全性和有效性具有合理必要性。虽然该豁免交易不受该规则的禁止或限制，但仍需遵守该规则规定的记录保存和报告要求。

值得注意的是，当中国法律要求由本地供应商或员工准备提交给中国监管机构的数据时，该豁免允许与中国供应商或驻中国员工签订供应商协议或劳动合同。

3.我的公司正在进行包括中美在内的跨国临床试验，DOJ新规如何限制我对数据的共享或整合？

DOJ新规并未全面禁止在中国或其他受关注国家进行临床试验，但可能会禁止美国主体向受限实体提供访问批量美国敏感个人数据的权限，具体取决于是否符合相应的豁免条件。

该规则豁免与FDA监管的临床研究相关的交易，或为支持向FDA申请研究和销售许可的交易。该规则还豁免涉及去标识化的临床护理数据（表明产品真实世界表现或安全性）或上市后监测数据的收集或处理的交易，前提是该数据对获得或维持FDA批准是必要的。该豁免可能使某些涉及中国或中国交易方的数据交易得以进行。

4.是否存在适用于联邦资助研究的特别豁免？

是的。该规则豁免根据美国联邦政府拨款、合同或其他协议开展的交易。这包括美国主体与受限实体（如实验室或研究人员）之间签订的医学研究合同——若非通过联邦资助授权，此类交易可能会受到禁止。

5.与我的公司合作的多家中国供应商可能会接触公司不同类型的数据。例如，一家供应商提供通用的云端数据存储服务，另一家提供生物医学数据分析服务。

如果供应商协议使中国人员能够存储或处理批量美国敏感个人数据，则该协议可能会被禁止或受到限制，具体取决于所涉数据的类型。例如，涉及人类组学数据的供应商协议通常是被禁止的；而涉及生物特征识别标志或个人健康数据的协议则可能会受到限制，前提是必须实施数据合规计划，符合CISA安全要求，并进行年度审计。

6.我的生命科学公司正考虑接受来自香港投资者的投资。

该规则将香港和澳门纳入中国的定义范围内。接受来自香港投资者（包括基于上游股权结构）的投资的美国公司应考虑该交易是否受该规则禁止或限制。美国公司还应考虑是否存在其他相关交易可能构成受限交易，例如前述情景1中的合作协议。

某些被动投资可获豁免——例如，投资导致的投票权和股权比例低于10%，且未授予投资方超出标准少数股东保护范围的任何权利。此外，投资应为对上市证券、SEC监管的投资公司发行的证券，或以有限合伙人身份对基金或私人实体的投资。尽管有限合伙人的要求存在一定模糊性，但该规则似乎允许那些与有限合伙人类似的投资者直接投资私人公司，即使目标公司并非以合伙制形式设立。DOJ未来可能会对该被动投资豁免条款进行澄清。

交易各方还应考虑拟议交易是否属于CFIUS的管辖范围，包括是否存在必须申报的义务（尽管生命科学公司接受外国投资的情形较少需要进行CFIUS申报）。

7.我的生命科学公司计划将包括人类基因组数据或符合批量阈值的个人健康数据在内的资产出售给非美国买方。

如果非美国买方是受限实体（例如中国公司的英国子公司），出售此类资产可能构成被禁止的数据经纪活动。如果非美国买方不是受限实体，出售方生命科学公司则必须取得合同承诺，限制其将相同数据传输至受关注国家或受限实体。

例如，某生命科学公司可能希望在交易或合作背景下将一个新药研究（IND）申请转让给另一家公司。所收集用于IND申请的临床数据的转移是否被禁止或受限，取决于受让方的性质以及该临床数据是否包含批量美国敏感个人数据。

结语

生命科学公司应根据DOJ规则，评估其当前及未来的业务实践，具体包括：

1.评估其收集的敏感个人数据的种类和数量是否构成批量敏感个人数据；

2.识别与中国（或其他受关注国家）或受限实体的关联点；

3.判断公司是否会与此类实体进行受限数据交易，如是，是否适用豁免条款；

4.确保合作协议、授权条款及其他相关合同包含与适用豁免范围一致的条款，并在需要时加入对后续数据传输的限制。

涉及相关活动的企业可能需执行该规则所规定的安全要求，包括网络安全与基础设施安全局（CISA）发布的标准，或调整其业务操作方式，以避免构成受限数据交易。该规则还要求美国公司针对受限交易，在2025年10月6日前实施额外的合规措施，包括尽职调查和审计义务。

引文：

1.https://www.goodwinlaw.com/en/insights/publications/2025/01/alerts-otherindustries-access-restricted-doj-prohibits-or-restricts

2.https://www.goodwinlaw.com/en/insights/publications/2025/04/alerts-practices-dpc-doj-data-export-rule-in-force

3.https://www.justice.gov/opa/media/1396356/dl

4.https://www.justice.gov/opa/media/1396351/dl

5.https://www.justice.gov/opa/media/1396346/dl?inline

6.https://www.cisa.gov/sites/default/files/2025-01/Security_Requirements_for_Restricted_Transaction-EO_14117_Implementation508.pdf

供稿：医保商会法律专家团队高赢国际律师事务所

联系方式：潘文森（Wendy Pan）

合伙人，纽约 / 香港

+1 212 813 8887 / +852 3658 5362

wpan@goodwinlaw.com