一、引言

我们在上一篇文章《美国立法动向：制定“生物技术公司"的黑名单"》中介绍了关于《A bill to prohibit contracting with certain biotechnology providers, and for other purposes》（又称BIOSECURE Act，S.3558，以下简称“生物技术安全法案"）[1]的主要限制措施，此篇文章是其姊妹篇，重点分析五个企业和投资人需要提前思考的问题。

美国对不少先进行业领域的限制，起初就像是一阵无害的微风，法案的立法进程可能冗长甚至中途就搁浅，但同样也可能在进展中不断扩张和波及到整个领域，最好的例子就是美国针对半导体行业领域的限制规定。因此，已经提出的《生物技术安全法案》草案仍然需要被企业重视，已经有美国企业向合作的中国企业要求去除中方敏感股东因素，否则停止合作。直言不讳地说，美国管制相关的过往事件已经证明，企业保持“静观其变，事不关己"的态度稍显被动，应该在法规尚未成形之前充分利用窗口期，而非等到剑悬头顶之际，才意识到行动的必要性。

二、具体内容

问题一：《生物技术安全法案》重点关注和限制的生物数据的类型有哪些？

目前从法案规定本身而言，重点在于“多组学数据" [2]，关注企业通过生物技术设备或服务获取人类多组学，以及向政府提供多组学数据的情形。

但结合美国其他已经生效的敏感数据保护法令来说，美国关注和限制的与生物行业有关的敏感数据不止于此，其他法律规定中已经确定的关于敏感数据的限制规则已经可以作为参考，例如已经生效的：《第14117号行政命令》（Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern）和《2024年保护美国人数据免受外国敌对势力法》（Protecting American’s Data from Foreign Adversaries Act of 2024）[3]中均规定了包括生物数据在内的敏感数据，并限制该等敏感数据提供给中国：

上述法律法规对于敏感数据限制的侧重点不同：

《第14117号行政命令》强调受规制数据交易的量级，涉及前述敏感个人数据且达到一定量级（具体待司法部出台的规定确定），那么将受到规制。未来涉及批量人类基因组数据或可从中提取此类数据的生物样本转移的基因组数据的交易，可能就将因此受到限制。而如果出境数据为美国政府相关数据，那么无论量级是多少，都将受到规制。而从《保护美国人数据免受外国敌对势力法》的上述规定可见，从法律客体而言，《保护美国人数据免受外国敌对势力法》的限制更有针对性，针对的是有偿转让数据的行为。《生物技术安全法案》未对数据的获取和提供是否有偿做出规定，目前也未明确是否有一定的量级限制，可能将在未来立法规则中对于这些要点进行进一步完善。

以上针对数据的规则未来或将进一步细化，但如果从美国监管的角度思考，也未必会区分得如此细致，监管方也可能考虑最稳妥的做法而从最大范围的进行限制。

问题二：《生物技术安全法案》限制的业务场景范围？

由于《生物技术安全法案》关注点之一是“数据"的获取和提供，业务实操中涉及数据的情形很多。数据备份、数据共享等过程均可能涉及对外提供生物数据，在研究合作、产品销售等典型场景中均有体现。

如在临床研究中，为高效完成诊断分析等工作，研究机构对第三方共享和传输个人生物数据，且接收数据的服务器部署在美国所谓的外国敌对势力国家的，就可能落入法案关注的业务场景。

以产品销售为例，如下图所示：

如果某公司在美国销售可以收集生物数据的基因测序和检测产品，出于技术考虑等原因，通过产品获取的基因数据需要发送至母公司的实验室进行测序分析，因此需要将数据传输至母公司所在国。此时如果母公司本身就与军事机构和军事机构的医院有一定的与基因有关联的合作研究项目，多种因素作用下，该公司可能被质疑将境外基因数据提供给军事机构，从而可能导致该公司成为《生物技术安全法案》的重点观察对象。以上模式仅为虚构，具体还需以最终法案公布的内容为准。

需要提示的是，美国出口管制的特点之一是“受控物项的转移"而不仅仅是销售。所以关于转移的思路可能会被《生物技术安全法案》沿用。

问题三：涉军企业是否会被列入生物技术清单？

按照目前提出的规则，“涉军企业"是生物技术清单的主要目标之一。《生物技术安全法案》可能将把下列包括涉军企业在内的实体列入生物技术企业清单：

1. 受外国敌对势力国家（包括朝鲜、中国、俄罗斯和伊朗）管辖、控制、指挥或代表其开展活动的任何实体；

2. 涉及生物技术设备或者服务的制造、分销或者采购的实体；

3. 对美国国家安全造成威胁的实体，具体而言，按照不同理由又分为三类：

1）与外国敌对势力国家的军队、国内安全部队或者情报机构进行联合研究，得到其支持的，或者隶属于军队、国内安全部队或者情报机构的；

2）向外国敌对势力国家政府提供通过生物技术设备或者服务获得的多组学数据；

3）未经明示知情同意，通过生物技术设备或服务获取人类多组学。

其中，第3条第1）款所代指的企业即为涉军企业。按照目前逻辑，美国的生物技术清单不会将清单范围明确限缩在已经明确标明名称的企业，而是会将未明确列明名称的涉军企业也视为受到该清单的限制。即使某涉军企业未直接被列入生物技术清单，在开展业务时，仍可能因此被上下游合作商反复额外审查，从而导致供应链方面的风险。

问题四：生物技术清单与其他涉军类清单的关联是什么？其他涉军清单内的企业是否可能被列入生物技术清单？

在颁布后，生物技术清单可能与其他涉军清单联动。相较于其他普通企业，已经被列入其他涉军清单的企业后续被列入生物技术清单可能性更高。同时，企业被列在其中一种清单的事实可能会被相关交易方认定为“危险信号"。

目前美国与涉军企业相关的主要清单分别为：MEU清单（Military End User List）、CMIC清单（Chinese Military-Industrial Complex Companies List）、CCMC清单（Communist Chinese Military Companies）以及CMC清单（Chinese Military Companies List）。各个清单的发布机构和限制措施不同，从列入标准来看简要总结如下：

• CMIC清单主要列入涉及在中国的国防/相关物资行业以及监控技术行业中开展经营活动的实体，包括该等实体的实际控制人，以及被其直接或者间接控制的企业；

• CCMC清单主要列入了在美国国防情报局报告中列明的实体，以及任何由中国人民解放军所拥有或控制的实体；

• CMC清单主要列入了直接或间接由中国人民解放军、中共中央军事委员会及其他下属机构所实际控制的实体，其代理机构，以及对中国国防工业基础的军民融合贡献者；

• MEU清单主要列入了传统的外国军事相关组织，例如国家武装部队(陆军、海军、空军或海岸警卫队) ，以及国家警察、政府情报或侦察组织等，以及任何支持军事最终用途的实体。

虽然上述几种清单之间没有直接关联，各清单的限制措施也不同，但是不排除企业被列在其中一种清单的事实可能会被相关交易方认定为“危险信号"，即认为如果企业属于涉军企业，同样属于生物技术清单的控制范畴，受到其限制。

其次，相较于其他普通企业，已经被列入一种涉军清单的企业后续被列入其他涉军清单可能性更高。例如：2024年1月31日美国新增CMC清单实体，将17家中国企业新增加入CMC清单。这17家中超过半数的企业此前已经被列入了CCMC清单和MEU清单等涉军类清单。所以，我们认为美国政府必然会按照相同的思路来准备生物技术黑名单。

问题五：《生物技术安全法案》是否会穿透至子公司？

按照目前逻辑，法案会将明确被列入清单内企业的任何子公司、附属公司和承继公司都视同列入黑名单进行一网打尽。但参考已经公布的涉及生物数据的《第14117号行政命令》和《2024年保护美国人数据免受外国敌对势力法》 ，可能未来《生物技术安全法案》也会对于具体的穿透规则进行进一步的修订和明确，例如明确到具体的股权或控制权百分比：

从美国以往的政策和规定来看，在涉军企业方面的归纳总体来说没有特别强调会直接适用于子公司或是其关联公司。但我们理解，美国至少仍然会把关联关系作为重要参考因素而要求美国企业特别关注和判断，就像美国针对实体清单问答中解释的，关于实体清单限制是否适用于其它关联公司的问题，会按照类似的考虑标准来处理。

三、总结和提示

可以说在当前的《生物技术安全法案》框架下，是否涉及受限制的生物数据、业务场景是否涉及对外提供特别是对军政机构提供该等生物数据、以及企业是否存在涉军业务等因素相互作用，共同塑造了对生物技术行业监管的复杂局面。

对于重点敏感数据类型，法案重点关注企业通过生物技术设备或服务获取人类多组学，以及向政府提供多组学数据的情形。关于《生物技术安全法案》，目前未明确数据的量级大小，以及数据对外提供是否有偿等具体规定；对于限制的业务场景，可能及于对外提供生物数据的各种场景，包括但不限于临床研究、产品销售等生物技术行业的典型场景；对于涉军企业与生物技术清单的联系，涉军企业本身可能不会当然被列入生物技术清单，但仍然是清单的主要目标之一，与其开展业务往来也就存在一定的敏感性。前文列明的这些因素并非独立存在，而是交织作用，为企业带来了更多的不确定性。同样，《生物技术安全法案》也并非独立存在，在未来将与其他有关的法律法规有机地组合在一起，共同对生物技术行业进行监管。

因此，无论是投资人还是生物技术企业本身，需要考虑好自身存量和增量业务是否存在风险，并利用窗口期做好风险防范方案，以便业务健康发展。

[注] 

[1] 参见：https://www.congress.gov/bill/118th-congress/senate-bill/3558/text；最新进展参见：https://www.congress.gov/bill/118th-congress/house-bill/8333

[2] 多组学是指包括基因组学、转基因组学、蛋白质组学和代谢组学在内的数据类型。

[3] 参见：https://www.govtrack.us/congress/bills/118/hr815/text