数据交易：司法部最终规则对设有临床研究项目的学术医疗中心的影响

美国司法部（DOJ）于2025年1月8日发布了执行第14117号行政令的 最终规则，并于2025年4月18日发布了修正案。 2024年2月28日颁布的第14117号行政命令题为《防止受关注国家获取美国公民敏感个人数据及美国政府相关数据》，要求司法部长制定法规，禁止或限制美国公民参与涉及外国或其国民权益的财产交易。 若交易涉及美国政府相关数据或批量敏感个人数据（具体定义见最终实施细则），且被司法部长认定属于构成国家安全风险的类别（该风险源于特定关注国家或相关个人可能获取数据），同时满足行政命令中列明的其他标准，则该交易将被禁止或限制。

最终规则明确了被禁止或受限的交易类别；指定了涉及政府相关或批量美国敏感个人数据的交易受限对象，包括特定国家及个人或实体类型；建立了针对受限活动的许可审批、变更及撤销机制，并设立了咨询意见发布体系；同时规定了交易记录保存与报告要求，以支持司法部根据行政命令开展的调查、执法及监管行动。 

从事临床研究和国际合作的学术医疗中心（AMCs）及类似机构，需知悉并确定最终规则所规定的监管要求是否适用。若涉及生物特征标识、个人健康信息或基因组数据的研究合作包含来自特定关注国家的实体，此类合作可能被视为受限或禁止交易。

摘要

该最终规则旨在防止某些美国外部对手——包括中国、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉——获取敏感的美国个人数据和政府相关信息。 

关键定义。 最终规则授权司法部对与指定的"关注国家"和"受限人员"之间的数据交易实施监管并执行限制措施。 

• “关注国”的定义为： 

任何外国政府，经司法部长与国务卿及商务部长共同认定， (1) 长期存在或多次实施严重危害美国国家安全或美国公民安全的行为模式，且 (2) 存在重大风险可能利用政府相关数据或美国敏感个人数据，从而损害美国国家安全或美国公民安全。 

• “受制裁对象”定义包括：(1) 符合以下任一条件的外国实体：(a) 由受关注国家或另一受制裁对象直接或间接持有百分之五十或以上股权；或 (b) 依据受关注国家法律设立或在该国设有主要营业场所；(2) 由受制裁对象（个人或实体）直接或间接持有百分之五十或以上股权的外国实体； (3) 作为关切国雇员或承包商工作的非美国居民外国个人；(4) 主要居住于关切国的外国个人；(5) 司法部长依据特定标准合理确定的其他实体或个人。 

受保护数据的类别。 最终规则针对八类"受保护数据"，包括生物特征标识符、基因组数据、健康与财务数据、精确地理位置信息，以及可与其他敏感数据关联的个人标识符。还涵盖特定政府相关信息，例如与美国政府人员相关的数据或敏感设施的地理位置信息。值得注意的是，当涉及政府相关信息时，无论数据处理量大小，该法规均适用。 

受限交易的主要类型。 美国司法部将受限交易主要分为三类：雇佣协议、投资协议及供应商协议。美国企业必须确保外国雇员、投资者及服务提供商——尤其是与重点关注国家有关联者——在未满足严格安全协议的前提下不得接触受保护数据。这将影响从雇佣、企业交易到云服务及软件订阅等广泛商业活动，当数据与特定员工共享时，可能对参与临床研究的资产管理公司产生影响。 研究赞助方、投资者及服务提供商。 但需注意，最终规则的禁止与限制条款仅适用于涉及"关注国家"或"受限人员"的受限数据交易，且该交易须包含"关注国家"或"受限人员"获取政府相关数据或美国敏感个人数据批量访问的情形。若交易不涉及"关注国家"或"受限人员"获取政府相关数据或美国敏感个人数据批量访问，则不受最终规则约束。

禁止交易。 值得注意的是，根据最终规则，某些交易被绝对禁止，例如在数据经纪安排中向外国实体出售或许可受保护数据的交易，或涉及生物识别数据或生物样本的交易。 

违规处罚违反最终规则将面临巨额罚款及处罚。民事罚款可达368,136美元或交易金额两倍（以较高者为准）。故意违规者可能面临最高100万美元罚款及20年监禁的刑事处罚。

临床研究的底线。 为遵守最终规则，医疗中心必须对拟议及现有研究活动、合作项目和运营流程（包括其合作伙伴、客户、雇员/承包商及数据接收方）开展严格而全面的尽职调查，以判定拟议或现有交易是否属于最终规则的适用范围。  该最终规则的违规范围及处罚力度明确表明：对于涉及个人或政府相关数据的活动与交易，建立确保合规的流程对AMC乃至各行业企业至关重要。

对设有临床研究项目的学术医疗中心的影响

最终规则为从事临床研究和国际合作的AMC及类似实体增添了新的监管合规复杂性。 

• 涉及生物特征识别信息、个人健康信息或基因组数据的研究项目及活动（包括研究合作与伙伴关系），若合作方包含来自指定关注国家及/或受限人员的实体，则可能被视为受限或禁止交易。 
• 必须审查现有及拟议的多国研究和数据共享计划，以确定最终规则是否适用于该研究或活动，若适用，则确保其合规性。 
• 此外，资产管理公司还必须确保供应商（包括云服务和人工智能服务提供商）与受关注国家无关联，且所有数据处理活动均符合严格的新安全与合规标准。如上所述，为确保最终规则的合规性，资产管理公司需对供应商合同进行全面审查。 
• 此外，最终规则要求资产管理公司重新评估其数据共享政策和多站点协议，并可能需要在特定数据共享协议（如数据使用协议）中纳入以国家安全为重点的合规条款，同时加强机构数据治理框架。这些框架的设计应旨在规避和减轻任何法律及监管风险，确保机构能够维持获得联邦资金的资格。

下一步行动

本最终规则规定了重要类别规则，禁止美国人士向受关注国家或受管制人员提供政府相关数据或美国公民的大规模敏感个人数据，包括通过商业数据中介交易进行的提供。 遵守最终规则要求资产管理公司及金融机构在涉及政府相关数据或大规模敏感个人数据（如健康记录、生物特征识别信息或财务信息）的投资交易、雇佣协议及供应商合约中，必须实施安全防护措施。 

最终规则的要求旨在防止外国对手通过商业关系间接获取这些数据。通过明确界定这些特定交易类型，该规则力图弥补国家安全领域的潜在漏洞，并制定了清晰可执行的标准，以界定何时及如何限制与外国主体进行数据相关交易。

未能遵守这些新要求可能导致罚款、处罚、监管审查、联邦资金损失及执法行动，因此对于资产管理公司及处理大量敏感个人数据的机构而言，在适用时严格遵守最终规则已成为关键合规要务。

福里律师事务所致力于协助您应对监管变革带来的短期与长期影响。我们拥有丰富的资源，可助您应对这些挑战以及与业务运营和行业特定问题相关的其他重要法律考量。请联系本文作者、您的福里客户关系合伙人，或我们的 医疗保健业务组 及 医疗保健与生命科学部门 。