一、引言

我们在上一篇文(wén)章《美國(guó)立法动向：制定“生物(wù)技术公司"的黑名单"》中介绍了关于《A bill to prohibit contracting with certain biotechnology providers, and for other purposes》（又(yòu)称BIOSECURE Act，S.3558，以下简称“生物(wù)技术安全法案"）[1]的主要限制措施，此篇文(wén)章是其姊妹篇，重点分(fēn)析五个企业和投资人需要提前思考的问题。

美國(guó)对不少先进行业领域的限制，起初就像是一阵无害的微风，法案的立法进程可(kě)能(néng)冗長(cháng)甚至中途就搁浅，但同样也可(kě)能(néng)在进展中不断扩张和波及到整个领域，最好的例子就是美國(guó)针对半导體(tǐ)行业领域的限制规定。因此，已经提出的《生物(wù)技术安全法案》草(cǎo)案仍然需要被企业重视，已经有(yǒu)美國(guó)企业向合作的中國(guó)企业要求去除中方敏感股东因素，否则停止合作。直言不讳地说，美國(guó)管制相关的过往事件已经证明，企业保持“静观其变，事不关己"的态度稍显被动，应该在法规尚未成形之前充分(fēn)利用(yòng)窗口期，而非等到剑悬头顶之际，才意识到行动的必要性。

二、具體(tǐ)内容

问题一：《生物(wù)技术安全法案》重点关注和限制的生物(wù)数据的类型有(yǒu)哪些？

目前从法案规定本身而言，重点在于“多(duō)组學(xué)数据" [2]，关注企业通过生物(wù)技术设备或服務(wù)获取人类多(duō)组學(xué)，以及向政府提供多(duō)组學(xué)数据的情形。

但结合美國(guó)其他(tā)已经生效的敏感数据保护法令来说，美國(guó)关注和限制的与生物(wù)行业有(yǒu)关的敏感数据不止于此，其他(tā)法律规定中已经确定的关于敏感数据的限制规则已经可(kě)以作為(wèi)参考，例如已经生效的：《第14117号行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）和《2024年保护美國(guó)人数据免受外國(guó)敌对势力法》（Protecting American’s Data from Foreign Adversaries Act of 2024）[3]中均规定了包括生物(wù)数据在内的敏感数据，并限制该等敏感数据提供给中國(guó)：

上述法律法规对于敏感数据限制的侧重点不同：

《第14117号行政命令》强调受规制数据交易的量级，涉及前述敏感个人数据且达到一定量级（具體(tǐ)待司法部出台的规定确定），那么将受到规制。未来涉及批量人类基因组数据或可(kě)从中提取此类数据的生物(wù)样本转移的基因组数据的交易，可(kě)能(néng)就将因此受到限制。而如果出境数据為(wèi)美國(guó)政府相关数据，那么无论量级是多(duō)少，都将受到规制。而从《保护美國(guó)人数据免受外國(guó)敌对势力法》的上述规定可(kě)见，从法律客體(tǐ)而言，《保护美國(guó)人数据免受外國(guó)敌对势力法》的限制更有(yǒu)针对性，针对的是有(yǒu)偿转让数据的行為(wèi)。《生物(wù)技术安全法案》未对数据的获取和提供是否有(yǒu)偿做出规定，目前也未明确是否有(yǒu)一定的量级限制，可(kě)能(néng)将在未来立法规则中对于这些要点进行进一步完善。

以上针对数据的规则未来或将进一步细化，但如果从美國(guó)监管的角度思考，也未必会區(qū)分(fēn)得如此细致，监管方也可(kě)能(néng)考虑最稳妥的做法而从最大范围的进行限制。

问题二：《生物(wù)技术安全法案》限制的业務(wù)场景范围？

由于《生物(wù)技术安全法案》关注点之一是“数据"的获取和提供，业務(wù)实操中涉及数据的情形很(hěn)多(duō)。数据备份、数据共享等过程均可(kě)能(néng)涉及对外提供生物(wù)数据，在研究合作、产品销售等典型场景中均有(yǒu)體(tǐ)现。

如在临床研究中，為(wèi)高效完成诊断分(fēn)析等工作，研究机构对第三方共享和传输个人生物(wù)数据，且接收数据的服務(wù)器部署在美國(guó)所谓的外國(guó)敌对势力國(guó)家的，就可(kě)能(néng)落入法案关注的业務(wù)场景。

以产品销售為(wèi)例，如下图所示：

如果某公司在美國(guó)销售可(kě)以收集生物(wù)数据的基因测序和检测产品，出于技术考虑等原因，通过产品获取的基因数据需要发送至母公司的实验室进行测序分(fēn)析，因此需要将数据传输至母公司所在國(guó)。此时如果母公司本身就与军事机构和军事机构的医院有(yǒu)一定的与基因有(yǒu)关联的合作研究项目，多(duō)种因素作用(yòng)下，该公司可(kě)能(néng)被质疑将境外基因数据提供给军事机构，从而可(kě)能(néng)导致该公司成為(wèi)《生物(wù)技术安全法案》的重点观察对象。以上模式仅為(wèi)虚构，具體(tǐ)还需以最终法案公布的内容為(wèi)准。

需要提示的是，美國(guó)出口管制的特点之一是“受控物(wù)项的转移"而不仅仅是销售。所以关于转移的思路可(kě)能(néng)会被《生物(wù)技术安全法案》沿用(yòng)。

问题三：涉军企业是否会被列入生物(wù)技术清单？

按照目前提出的规则，“涉军企业"是生物(wù)技术清单的主要目标之一。《生物(wù)技术安全法案》可(kě)能(néng)将把下列包括涉军企业在内的实體(tǐ)列入生物(wù)技术企业清单：

1. 受外國(guó)敌对势力國(guó)家（包括朝鲜、中國(guó)、俄罗斯和伊朗）管辖、控制、指挥或代表其开展活动的任何实體(tǐ)；

2. 涉及生物(wù)技术设备或者服務(wù)的制造、分(fēn)销或者采購(gòu)的实體(tǐ)；

3. 对美國(guó)國(guó)家安全造成威胁的实體(tǐ)，具體(tǐ)而言，按照不同理(lǐ)由又(yòu)分(fēn)為(wèi)三类：

1）与外國(guó)敌对势力國(guó)家的军队、國(guó)内安全部队或者情报机构进行联合研究，得到其支持的，或者隶属于军队、國(guó)内安全部队或者情报机构的；

2）向外國(guó)敌对势力國(guó)家政府提供通过生物(wù)技术设备或者服務(wù)获得的多(duō)组學(xué)数据；

3）未经明示知情同意，通过生物(wù)技术设备或服務(wù)获取人类多(duō)组學(xué)。

其中，第3条第1）款所代指的企业即為(wèi)涉军企业。按照目前逻辑，美國(guó)的生物(wù)技术清单不会将清单范围明确限缩在已经明确标明名称的企业，而是会将未明确列明名称的涉军企业也视為(wèi)受到该清单的限制。即使某涉军企业未直接被列入生物(wù)技术清单，在开展业務(wù)时，仍可(kě)能(néng)因此被上下游合作商(shāng)反复额外审查，从而导致供应链方面的风险。

问题四：生物(wù)技术清单与其他(tā)涉军类清单的关联是什么？其他(tā)涉军清单内的企业是否可(kě)能(néng)被列入生物(wù)技术清单？

在颁布后，生物(wù)技术清单可(kě)能(néng)与其他(tā)涉军清单联动。相较于其他(tā)普通企业，已经被列入其他(tā)涉军清单的企业后续被列入生物(wù)技术清单可(kě)能(néng)性更高。同时，企业被列在其中一种清单的事实可(kě)能(néng)会被相关交易方认定為(wèi)“危险信号"。

目前美國(guó)与涉军企业相关的主要清单分(fēn)别為(wèi)：MEU清单（Military End User List）、CMIC清单（Chinese Military-Industrial Complex Companies List）、CCMC清单（Communist Chinese Military Companies）以及CMC清单（Chinese Military Companies List）。各个清单的发布机构和限制措施不同，从列入标准来看简要总结如下：

• CMIC清单主要列入涉及在中國(guó)的國(guó)防/相关物(wù)资行业以及监控技术行业中开展经营活动的实體(tǐ)，包括该等实體(tǐ)的实际控制人，以及被其直接或者间接控制的企业；

• CCMC清单主要列入了在美國(guó)國(guó)防情报局报告中列明的实體(tǐ)，以及任何由中國(guó)人民(mín)解放军所拥有(yǒu)或控制的实體(tǐ)；

• CMC清单主要列入了直接或间接由中國(guó)人民(mín)解放军、中共中央军事委员会及其他(tā)下属机构所实际控制的实體(tǐ)，其代理(lǐ)机构，以及对中國(guó)國(guó)防工业基础的军民(mín)融合贡献者；

• MEU清单主要列入了传统的外國(guó)军事相关组织，例如國(guó)家武装部队(陆军、海军、空军或海岸警卫队) ，以及國(guó)家警察、政府情报或侦察组织等，以及任何支持军事最终用(yòng)途的实體(tǐ)。

虽然上述几种清单之间没有(yǒu)直接关联，各清单的限制措施也不同，但是不排除企业被列在其中一种清单的事实可(kě)能(néng)会被相关交易方认定為(wèi)“危险信号"，即认為(wèi)如果企业属于涉军企业，同样属于生物(wù)技术清单的控制范畴，受到其限制。

其次，相较于其他(tā)普通企业，已经被列入一种涉军清单的企业后续被列入其他(tā)涉军清单可(kě)能(néng)性更高。例如：2024年1月31日美國(guó)新(xīn)增CMC清单实體(tǐ)，将17家中國(guó)企业新(xīn)增加入CMC清单。这17家中超过半数的企业此前已经被列入了CCMC清单和MEU清单等涉军类清单。所以，我们认為(wèi)美國(guó)政府必然会按照相同的思路来准备生物(wù)技术黑名单。

问题五：《生物(wù)技术安全法案》是否会穿透至子公司？

按照目前逻辑，法案会将明确被列入清单内企业的任何子公司、附属公司和承继公司都视同列入黑名单进行一网打尽。但参考已经公布的涉及生物(wù)数据的《第14117号行政命令》和《2024年保护美國(guó)人数据免受外國(guó)敌对势力法》 ，可(kě)能(néng)未来《生物(wù)技术安全法案》也会对于具體(tǐ)的穿透规则进行进一步的修订和明确，例如明确到具體(tǐ)的股权或控制权百分(fēn)比：

从美國(guó)以往的政策和规定来看，在涉军企业方面的归纳总體(tǐ)来说没有(yǒu)特别强调会直接适用(yòng)于子公司或是其关联公司。但我们理(lǐ)解，美國(guó)至少仍然会把关联关系作為(wèi)重要参考因素而要求美國(guó)企业特别关注和判断，就像美國(guó)针对实體(tǐ)清单问答(dá)中解释的，关于实體(tǐ)清单限制是否适用(yòng)于其它关联公司的问题，会按照类似的考虑标准来处理(lǐ)。

三、总结和提示

可(kě)以说在当前的《生物(wù)技术安全法案》框架下，是否涉及受限制的生物(wù)数据、业務(wù)场景是否涉及对外提供特别是对军政机构提供该等生物(wù)数据、以及企业是否存在涉军业務(wù)等因素相互作用(yòng)，共同塑造了对生物(wù)技术行业监管的复杂局面。

对于重点敏感数据类型，法案重点关注企业通过生物(wù)技术设备或服務(wù)获取人类多(duō)组學(xué)，以及向政府提供多(duō)组學(xué)数据的情形。关于《生物(wù)技术安全法案》，目前未明确数据的量级大小(xiǎo)，以及数据对外提供是否有(yǒu)偿等具體(tǐ)规定；对于限制的业務(wù)场景，可(kě)能(néng)及于对外提供生物(wù)数据的各种场景，包括但不限于临床研究、产品销售等生物(wù)技术行业的典型场景；对于涉军企业与生物(wù)技术清单的联系，涉军企业本身可(kě)能(néng)不会当然被列入生物(wù)技术清单，但仍然是清单的主要目标之一，与其开展业務(wù)往来也就存在一定的敏感性。前文(wén)列明的这些因素并非独立存在，而是交织作用(yòng)，為(wèi)企业带来了更多(duō)的不确定性。同样，《生物(wù)技术安全法案》也并非独立存在，在未来将与其他(tā)有(yǒu)关的法律法规有(yǒu)机地组合在一起，共同对生物(wù)技术行业进行监管。

因此，无论是投资人还是生物(wù)技术企业本身，需要考虑好自身存量和增量业務(wù)是否存在风险，并利用(yòng)窗口期做好风险防范方案，以便业務(wù)健康发展。

[注] 

[1] 参见：https://www.congress.gov/bill/118th-congress/senate-bill/3558/text；最新(xīn)进展参见：https://www.congress.gov/bill/118th-congress/house-bill/8333

[2] 多(duō)组學(xué)是指包括基因组學(xué)、转基因组學(xué)、蛋白质组學(xué)和代謝(xiè)组學(xué)在内的数据类型。

[3] 参见：https://www.govtrack.us/congress/bills/118/hr815/text