圣诞假期后首日,中国六代战机亮相当天,美国司法部发布了“应对外国对手获取美国公民敏感个人数据”的最终规则。
通过该规则,美国政府针对美国个人敏感数据向中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉的跨境传输,设立了一个数据出境国家安全审查制度。
这也标志着拜登政府今年2月发起的限制美国个人数据向中国跨境流动的联邦法规,在本届政府即将谢幕之际最终落地。
2024年2月28日,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“关注国家”利用的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知,概述了实施该命令的想法,并公开征求意见。
10月21日,美国司法部在拟议规则制定的预通知基础上,公布了“应对美国敏感数据面临的国家安全风险拟议规则”,并再次公开征求意见。
本次最终规则在拟议规则基础上进一步修改完善后形成了最终版本,将在刊登于《联邦公报》之日起90天后生效,其中部分规定(对受限交易的尽职调查与审计的积极义务、年度报告和对被禁止交易的报告)于刊登之日起270天后生效。
与中国在数据领域逐渐脱钩,自特朗普1.0时起就已成为美国政府的既定方针。特朗普政府推动国会出台《外国投资风险审查现代化法案》,将外国投资委员会审查中国对美投资并购的重点也从国防、反恐转移到科技领域,聚焦数据安全。此后,众多涉及数据安全或敏感个人信息的中资并购被其否决或要求采取缓解措施,例如蚂蚁金服收购速汇金、昆仑万维收购Grindr等。特朗普任内还启动了针对中国信息通信技术与服务的国家安全审查,其核心目标之一也是防止中国经由和美国的信通技术与服务交易获取涉及美国人敏感个人数据。
但美国司法部发布的这个联邦法规,在美国历史上第一个建立起了一个全面的数据跨境流动审查制度,也使美国成为继中国之后第二个由政府从国家安全角度介入和审批数据出境的国家。自此,美国一直奉为圭臬的“数据跨境自由流动”主张加了个明确的限定:仅适用于不是“外国对手”的国家。如果美国数据出境到“外国对手”国家,则不再适用“数据跨境自由流动”的一般原则,需要司法部的许可。
特别值得警惕的是,该规则的影响可能超出数据跨境流动,波及中国企业的美国子公司在美国开展的交易。美国司法部一方面明确该规则不监管“美国人”之间在美国境内进行的“纯国内交易”(如“美国人”对数据的收集、维护、处理或使用),但又加了个限定:该“美国人”没有被明确且公开指定为“涵盖主体”(对涵盖主体,司法部禁止或限制美国公司与之进行涉美国人批量敏感数据的交易)。
最终规则对“涵盖主体”适用类似财政部外国资产控制办公室的50%规则向下穿透。这也就意味着,美国司法部至少理论上有可能把一些中国公司的美国子公司列入“涵盖主体”清单,限制甚至禁止其在美国从事数据收集和处理活动,这对大部分在美国有业务的中国公司来说都将是致命打击。通过埋进去这一条,美国司法部给自己制造了一个未来可以制裁中国在美公司的工具,而且裁量权很大。
对比拟议规则,最终规则的实质内容几乎没有什么变化,以下结合起来对关键内容做一梳理:
一、哪些类型的数据适用本规则?
还是六类“美国人的批量敏感数据”和“美国政府相关数据”。最终规则排除了公开数据、表达性信息及普通个人通信,并明确“美国政府相关数据”如属于公开数据,也可以不受本规则管辖。
(一)“美国人的批量敏感数据”
1、涵盖的个人识别符:
公众就该部分提交的评论全部被司法部拒绝,维持了拟议规则的原状。涵盖的个人识别符分为两种情形:
(1)任意“列举的识别符”(listed identifiers)与另一列举识别符的组合;
(2)任意列举识别符与交易当事方基于交易而披露的其他数据组合后,使该列举识别符可以链接或可被链接到其他列举识别符或敏感个人数据。
存在两项例外:(1)只是和其他人口统计或联系方式相链接的人口统计或联系数据;(2)只是和为提供电信、网络或类似服务所必需的网络识别符、账号验证数据或通话详单数据相链接的情形。
有评论者提议排除“已做匿名化、去识别化、假名化、聚合处理或被各隐私法视为公共可用的数据”,但被司法部拒绝。司法部认为,即使是匿名化数据,如果它们规模庞大并且被聚合起来,中国仍能据此识别具体个人,并可能用来损害美国国家安全,这正是美国要防范的风险。
2、列举的识别符
“列举识别符”(listed identifier)是指以下数据字段(data fields)中的任一项:
(1)完整或截断的政府识别号码或账号号码(例如社会安全号码、驾照或州身份证号、护照号或外国人登记号);
(2)与金融机构或金融服务公司关联的完整金融账号或个人识别码;
(3)基于设备或硬件的识别符(如国际移动设备识别码 IMEI、媒体访问控制地址 MAC、用户识别模块 SIM 卡号码);
(4)人口统计或联系数据(例如姓名、出生日期、出生地、邮政编码、居住街道或邮寄地址、电话号码、电子邮箱地址或类似的公共账号标识符);
(5)广告识别符(例如谷歌广告 ID、苹果广告标识符,或其他移动广告 ID);
(6)账号验证数据(例如账号用户名、账号密码或答案安全问题);
(7)基于网络的识别符(如 IP 地址或 Cookie 数据);
(8)通话详单数据(如客户专有网络信息 CPNI)。
3、精确的地理位置数据:
相比拟议规则没有任何修改。“精确地理位置数据” 被定义为能够以 1000 米以内的精度确定个人或设备的物理位置的数据,包括历史数据和实时数据,例如GPS 坐标和IP地址。
3、生物识别标识符:
相比拟议规则没有任何修改。定义为:用于识别或验证个人身份的一种可测量的生理特征或行为方式,包括面部图像、声纹及其模式、视网膜与虹膜扫描、手掌纹和指纹、步态以及键盘输入模式等,这些特征被录入生物识别系统,并由该系统生成模板(templates)。
4、人类基因组数据:
从公众反馈看,针对该类数据的不同意见很多,不少评论担心以后人类基因数据会因为该规则被社会渲染为“特殊且危险”的数据,从而损害公众对科学家群体的信任,并对后续研究招募造成不利影响。
但司法部认为,美国情报部门已明确指出,中国能接触美国大规模人类基因组数据会带来严重的国家安全风险,这些安全风险的重要性远胜于上述对公共信任或科研招募的潜在、间接影响,因此仍有必要将人类基因组数据列管。
司法部采纳了一些反馈意见,对该定义作出一些修订:
(1)将“人类蛋白组数据(human proteomic data)”明确定义为不包含常规临床测量数据;
(2)对“人类表观基因组数据(human epigenomic data)”和“人类转录组数据(human transcriptomic data)”也作了类似补充,并明确其须源自对系统层面(systems-level)的分析。
(3)保持拟议规则对人类基因组数据的 100 名美国个人阈值不变,但对表观基因组、蛋白组和转录组数据的阈值提升为1000 名美国个人。
5、个人金融数据:
和拟议规则没有明显变化。有评论希望澄清“个人金融历史”是不是限于和金融机构发生的交易记录,购买和支付记录算不算。对此,司法部明确:“个人金融数据”包括支付记录,并不局限于金融机构掌握的支付与购买历史。
6、个人健康数据:
司法部在本规则中对“个人健康数据”的定义作了更清晰的解释,尤其是帮助不熟悉《健康保险携带与责任法》及其术语的行业主体理解:个人健康数据需要是“指示、揭示或描述”某个人过去、现在或未来的身体或心理健康状态、医疗服务过程或相关医疗付款。
有评论表示,《健康保险携带与责任法》关于去标识化的标准已不适应当下“数据丰富、计算能力强”的环境,建议对传统意义上已符合《健康保险携带与责任法》去标识化的数据(例如医疗记录、药房记录及生殖健康记录)也纳入本规则,司法部采纳了这个建议。
关于美国个人敏感数据的“批量”阈值
不是只要属于上述数据才会落入新规管辖。在2月份的拟议规则预通知中,司法部就确立了一个基于“阈值”的风险分析框架,为各类敏感个人数据设置了不同的数量门槛,涵盖的数据交易发生前的12个月内的任何时间点,同一涵盖人员在所有交易中涉及的数据累计达到一定数量才能算。在预通知中,司法部为每个类别的数据的批量阈值设定了潜在的上限和下限,分别对应高风险和低风险,依靠数量级差异来初步判断风险。
在10月份发布拟议规则的时候,司法部抱怨说,收到的评论对“批量”阈值的观点五花八门,但没有一个提供了可操作的数据点、用例或证据来支持替代的分析框架,或支持采用这个特定阈值而不是哪一个。司法部甚至还连同商务部分别去一对一请教了对这个问题发表了评论意见的人,但一无所获,也就是大家都不知道应该怎么来定这个阈值。最后,司法部采取的办法是折中,除人类基因组数据因为高度敏感以及能带来的超出反情报风险的重大额外国家安全风险,所以保持低阈值外,其他敏感个人数据类别的批量阈值大约是预通知中确定的初步范围的中间数量级(例如,生物识别标识符的批量阈值是1000 名美国人,对应预通知里100到10000的中间数)。这样,几类数据的批量阈值分别是:
・人类基因组数据:超过 100 名美国人。
・生物识别标识符和精确地理位置数据:超过 1000 名美国人。
・个人健康数据和个人财务数据:超过 10000 名美国人。
・涵盖的个人标识符:超过 100000 名美国人。
本次最终规则里,司法部说,没有评论反对上面基于“阈值”的风险分析框架,也没有人提出其他的替代方法,大部分评论都只是表达对阈值的政策倾向。因此,最终规则基本维持了上述阈值,只对人类基因组数据中的三类数据(表观基因组、蛋白组和转录组数据)阈值从100名美国人提升到1000名。同时,司法部也强调,打算持续关注技术和威胁演变,如果有必要的话可以修改本规则调整阈值。
可以看到,最终规则上述基于“阈值”的风险分析框架和中国的“重要数据”相关规定很像。在美国公众和专家提交的评论中,果然也有人指出来了,说司法部这是在抄中国的作业,咱们美国不能学中国那一套。但司法部说,咱们和中国不一样,美国秉持跨境数据自由流动的基本立场,只有当特定商业交易场景涉及“国家安全风险”才加以禁限。而中国的模式是一般情况下默认限制数据出境,本质上和本规则“只限制特定敏感数据交易”不同;即使都采用了某个数值门槛,也不能把两者同日而语。
(二)政府相关数据
相比NPRM没有变化,两类政府相关数据(对这类数据没有阈值限制,不管多少都算):
1、关于政府活动地点的数据,司法部和其他政府部门协商,制定了一个《政府相关位置数据列表》的格式,并且表上列出了一些地理区域内的“精确地理位置数据”,统一将其划入“政府相关数据”。主要包括一些政府部门、军事基地、大使馆等。
2、关于美国政府人员的数据,即与美国政府(包括军队和情报机构)的现任或近期前任雇员或承包商,或前任高级官员相关联或可关联的数据。“近期前任雇员或承包商” 是指在涵盖的数据交易之前的 2 年内,有偿或无偿为美国政府工作或向美国政府提供服务的雇员或承包商。
二、受管辖的人员或实体
(一)关注国家
相比NPRM没有变化,还是中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
(二)涵盖主体(美国主体涉上述数据的交易的中国合作方):
具体来说,以下情况属于“涵盖主体”:
由关注国家直接或间接、单独或合计拥有50%或以上股权的实体,以及在关注国家注册或其主要业务地在关注国家的实体(A);
由A、C或E涵盖主体直接或间接、单独或合计拥有50%或以上股权的实体(B);
作为关注国家、A、B或E涵盖主体的员工或合同工的外国主体(C);
主要居住在关注国家领土管辖范围内的外国主体(D);
美国司法部部长指定为:1)现在、曾经或可能被关注国家拥有或控制,或受关注国家管辖或指示的主体;2)现在、曾经或可能代表或声称代表受关注国家或相关人员行事的主体;3)“故意”(知道或应知)导致或“引起”(决定、批准)违反相关规定行为的主体(E)
在拟议规则中,司法部曾提到若某实体由关注国家或已被认定的涵盖主体直接或间接持股 50% 以上,或其注册地、主要营业地在关注国家,或其对该实体有控制力的母公司或利益持有人为关注国家,即可被自动视为“涵盖主体”。
最终规则中,司法部对上面做了一些文字上的技术性修订,使之更符合美国财政部外国资产管理办公室(OFAC)的“50%规则”表述:明确“直接或间接”以及“单独或合计达 50%”的持股方式,引入“多个受关注国家或多个涵盖的人员或实体”合计持股情形。这些修订不改变原本意图和范围,只是帮助企业和机构在实际执行时与过去熟悉的OFAC规则接轨。
有评论指出:49% 的所有权与 50% 其实相差不多,是否意味着 49% 也应被纳入涵盖的人员或实体的范围?司法部回应说,目前仍坚持以“50%或以上”作为客观明晰的指标(brightline rule);少数股权虽然可能带来控制权或实质影响,但如果存在“控制”或可被外国法律强制,则可以通过“指定程序”将其列为涵盖的人员或实体,而不是自动认定。
总的来说,最终规则维持了“所有权 ≥ 50%”和“主要营业地或受在关注国家法律设立”等客观标准,以便企业自主识别和合规。对少数股权(<50%)但存在实质控制的情况,司法部可以通过“指定程序”将其认定为涵盖的人员或实体。
根据最终规则,司法部需要维护一个公开的“涵盖人员清单”(“Covered Persons List”),有评论希望该清单更加全面、实时更新,并包含别名、技术识别码等,以便自动化合规。但司法部回应称:该清单和OFAC的制裁清单一样,不是“穷尽列举”,只是把经司法部正式“指定”为“涵盖人员”的主体纳入。美国公司如果在和合作伙伴做生意时发现对方可能符合 “涵盖人员”标准,仍需自行基于风险情况筛查。
三、受管辖的交易
和拟议规则相比没有变化,还是分成了“被禁止的交易”和“受限制的交易”。
(一)禁止的交易
数据经纪交易:数据接收方不直接从个人处收集数据,而是从数据提供方(即数据经纪人)处购买、被许可访问数据。从事数据经纪业务的美国人要跟相关交易的外国主体签署合同,确保对方不得将数据转售或以其他方式让中国或中国公司进行获取和交易这些数据。
在“明知地(knowingly)”情况下从事的相关交易,导致中国等外国对手及其公司能访问以下类型的数据:(1)批量美国敏感个人数据,且该数据包含“人类基因组数据;(2)能推导出“人类基因组数据”的人类生物样本。前提是此类数据在前 12 个月内达到或超过相应的阈值。
(二)受限制的交易
和拟议规则相比没有变化,三类受限制的交易是:供应商协议、雇佣协议和被动投资协议。这类交易需要按照国土安全部网络和基础设施保护局(CISA)已经发布的网络安全要求采取保护措施,才能放行。具体的安全要求包括网络安全措施,如基本的组织网络安全政策和实践、物理和逻辑访问控制、数据掩码和最小化、加密和使用隐私增强技术。
有一些评论质疑说,这些交易不会威胁美国的国家安全,根本不用限制。司法部举了今年3月谷歌软件工程师丁林伟(Leon Ding)在谷歌就职期间拷贝数百份内部文件并发送给中国科技企业的例子,证明中国这样的“外国对手”会利用商业投资、雇佣关系或供应商角色获取美国关键技术和数据信息。如果不管的话,美国的国家安全会受到威胁。司法部还说,别说限制了,都考虑过全面禁止这些交易,但国土安全部已经发了网络安全要求,遵守这些要求可以有效降低风险,所以我们不把它们全部禁止。
有评论者提出,“明知”的尺度太不好把握了,特别是给云服务商的合规负担太重,会影响美国的人工智能产业发展,应该把“明知”改成“实际知悉”,免除“数据经纪人”和云服务商”的主动尽调义务。对此,司法部没有同意,强调如果云服务商只对客户提供通用技术,并且确实不知情且没法合理推定是知情的,不用承担严格责任。本规则也不是要求云服务商对每一笔客户数据使用都承担责任,而只是让云服务商在和中国客户达成协议,并且可能导致对方能获取大规模美国敏感个人数据时,必须得遵守最终规则的限制性要求。
为了解决潜在的规避问题,最终规则禁止美国人故意指导规避法规的交易,以及违反法规的共谋,但明确,如果美国人员只是提供第三方平台或基础设施,没有直接参与被禁止或受限制的交易,不用承担民事或刑事责任。
(三)豁免的交易
1. 不涉及价值交换的个人通信;涉及言论或出版物的进出口信息材料;个人旅行信息(行李、生活费、旅行安排);
2. 美国政府官方活动;
3. 只是提供金融服务(如银行业、资本市场或金融保险活动;其他监管机构监管范围内的金融活动;提供或处理涉及个人财务数据或涵盖个人身份标识转移的支付,用于购买和销售商品和服务;以及法律和监管合规);
4. 美国跨国公司内部业务运营产生的数据交易(如用于人力资源管理、工资支付、税费支付、外部审计、差旅、合规、风险管理等目的的交易);
5. 美国联邦法律或国际协议所要求或授权的交易(如旅客名单信息、国际刑警组织发出的搜查令等);
6. 和美国外国投资委员会(CFIUS)达成缓解措施协议后的投资协议,并且CFIUS明确要求将他们豁免;
7. 通常属于提供电信服务所必需和从属的所有语音和数据通信服务(包括国际呼叫、移动语音和数据漫游);
8. 涉及药品、生物制品、器械或组合产品的审批或授权的数据交易,且该等“监管审批数据”已按美国药监局规定去标识或化名处理,仅限于评估安全性与有效性所必需的信息;
9. 其他临床研究和上市后监测数据。如果这些交易符合美国药监局的相关要求,也可豁免。
四、合规机制
(一)许可程序
最终规则授权司法部在特定条件下签发一般许可证(general licenses),允许原本被禁止或受限制的交易继续进行。满足条件的交易无需另外申请授权,例如,在特定领域或行业场景下可授权有序结束(wind-down)的数据交易。
最终规则也授权司法部签发特定许可证(specific licenses),供各方在提交交易细节后进行申请。
最终规则明确了签发一般许可证和特定许可证的要求与程序,包括如何申请特定许可证或在新的信息基础上申请复议。司法部计划另行发布申请特定许可证的操作说明。
(二)指导和咨询意见
允许司法部发布面向公众的常见问答和普适性指导,以解答常见问题和针对常见场景提供说明,同时也允许为特定交易签发咨询意见(advisory opinion),说明法规对特定实际交易(而非假设情形)的适用范围或解释。
允许受监管对象就其“实际且具体”的交易向司法部提交咨询意见请求,但对于“假设场景”则不予受理。
(三)内部合规项目
最终规则没有在整个美国经济或所有数据交易层面统一规定尽职调查、记录保存、报告或其他合规要求,而是借鉴了美国财政部外国资产管制办公室的经济制裁项目,要求美国企业和个人基于自身风控需求,设立并实施合规项目。
具体合规项目可能视企业规模、产品和服务类型、客户与交易对手所在区域等多个因素而有所差异。如果发生违规行为,司法部在执法时会考虑合规项目的合理充分性。
只有当美国人员从事“受限制交易”时,才需履行强制合规要求(affirmative compliance obligations),具体包括:
建立全面的合规计划:例如风险评估流程、数据流动核查、识别数据类型及规模、识别交易双方及供应商、确认数据用途及传输方式等。
制定并实施书面化的数据安全及合规政策,由负责人或员工每年进行认证。
年度审计:由内外部独立审计员对合规情况进行年度审计,并保留审计报告,以验证其是否满足国土安全部网络安全和基础设施安全局(CISA)制定的安全要求。
记录保存:需将记录保存至少10年,包括数据传输方式、交易日期、协议、许可证、咨询意见以及与交易相关的任何资料,并对其准确性进行年度认证。
(四)报告义务
为确保合规与国家安全设置了若干报告义务,包括:
年度报告:对于从事“云计算服务”相关的受限制交易,并由中国等外国对手国家及其公司直接或间接持股25%或以上的美国主体,应提交年度报告。
被拒交易报告:任何美国主体如果拒绝了他人提出的“涉及数据经纪业务、原本被禁止交易”的合作意向,需要报告。
疑似违规报告:若美国主体与外国主体在数据经纪业务中合作,却知悉或怀疑对方违反了不得向中国等外国对手国家及其公司转售或提供数据的限制,需要报告。
豁免情况报告:当美国主体援引豁免条款,为在中国等外国对手国家获得或维持药品、生物制品、器械或组合产品的上市许可而进行必要数据交易时,需要报告。
最终规则允许公司使用现有审计、报告或其他合规实践,只要符合要求,无需额外建立单独系统或报表,也允许使用内部或外部独立审计,前提是满足独立性和其他规定。
对受限制交易的审计仅需针对“受限制交易”进行,并仅需审查相关政策、人员和系统(而非所有数据交易)。
五、执行
最终规则采取基于IEEPA的执行机制,赋予司法部广泛的调查权力,包括调查、召开听证会、检查证据、询问证人,并发出相关的传票来获取证人或文件。如果发生违规行为,可能会面临民事和刑事处罚。
民事处罚受《联邦民事处罚通货膨胀调整法》的约束,最高可达368,136美元或交易金额的两倍,取金额较高者为准。NPRM还规定了司法部处理违规行为和发布民事处罚的程序,允许相关各方在处罚发布前有机会进行回应。故意违规的后果更严重,可能导致高达100万美元的刑事罚款,甚至最高20年的监禁。
六、其他一些重要澄清(通过问答形式发布)
1. 该最终规则何时生效?
将在刊登于《联邦公报》后90天生效。对于“受限制交易”(法规第J分部分)中的尽职调查与审计要求,以及在 §§ 202.1103 和 202.1104 中的部分报告义务,则将在刊登后270天分阶段生效。司法部计划继续与各方沟通,以决定是否需要签发任何过渡或一般性许可证。
一旦生效,本法规的禁止和限制适用于在相关生效日期发起、进行或完成的所有“涵盖数据交易”。除非豁免或得到授权,自生效日起,美国人员在明知情况下进行被禁止或受限制的数据交易,即须遵守本法规,即便在生效前已签署合同或已获许可证/许可。
2. 一旦生效,谁需遵守该规则?
所有本规则定义的“美国人”在本规则生效后都必须遵守。
非美国人员也需遵守法规中的部分禁止,如:不得导致或共谋导致美国人员违反法规,不得从事规避法规之目的的交易等。
司法部计划在法规生效前发布关于合规、执法及其他方面的进一步指导。
3. 由司法部哪个部门负责执行这些职权?
该项目在司法部国家安全司(National Security Division)内,由其外资审查处(Foreign Investment Review Section, FIRS)负责日常执行,并在必要时与司法部其他部门、国土安全部及其他机构协同。
4. 最终规则是否会禁止来自外国对手的应用程序或社交媒体平台?
不会。本法规并未禁止任何特定应用程序或社交媒体平台,也不针对任何单一应用或技术。该法规仅针对最严重的数据安全风险(而非所有国家安全风险,如应用安全或虚假信息)且只针对一定范围内的数据(敏感个人数据,而非所有数据),并且仅适用于一小部分已明确指定的关注国家。此外,本法规只处理向涵盖主体或关注国家提供此类数据的国家安全风险,不涉及社交媒体在国内隐私方面可能带来的更广泛挑战。根据 50 U.S.C. § 1702(b)(3),该法规排除对表达性信息(如视频、艺术作品、出版物)所涉交易的监管。
5. 最终规则是否会监管在美国境内进行的纯国内数据收集、处理或使用?
不会。该法规并不监管美国人员在美国境内之间进行的纯国内交易(如美国人员对数据的收集、维护、处理或使用),除非该美国人员已被明确且公开指定为涵盖主体。
6. 最终规则是否赋予司法部新的监控权限或追踪美国人数据的能力?
不会。 最终法规与美国政府在执法及国家安全领域依法开展情报收集的权限无关。该规则本身并未、也不会要求美国企业监控其员工、客户或其他私人实体。从个人通信到表达性信息,以及与表达性材料通常相关的元数据(或为传输或传播表达性材料而合理必要的元数据),都被排除在该规则的适用范围之外。此外,法规不监管美国人员在美国境内之间进行的纯国内交易(例如美国人员对数据的收集、维护、处理或使用),除非其中一方被明确指定为“涵盖主体”。
最终规则是否会阻碍医药、健康或科学研究,或阻止新药的研发与市场推广?
不会。 最终规则仅禁止或限制在满足特定条件时涉及商业交易(包括支付或其他对价交换)的某些类别数据交易,并不会禁止或限制在关注国家开展的美国科研活动,也不会限制美国研究机构与这些国家或涵盖主体之间在不涉及商业交易(不包含支付或其他对价)的科研合作。此外,本规则还包含专门的豁免条款,以确保关键的医疗健康研究活动不被影响,其中包括:对联邦资助研究的豁免、根据国际协议(包括某些与流行病及全球卫生监测相关的协议)进行数据共享的豁免,为药品、器械、生物制品的监管审批提交数据的豁免,以及某些临床研究数据和上市后监测数据的豁免。
本文仅供业内人士学习研究使用,不构成投资建议,转载请注明出处。最终规则的全文、司法部公告、Fact Sheet等文件的中英文版本,参见知识星球。
