在當今全球科技與經濟競爭的版圖中，生物醫藥產業日漸成為大國戰略博弈的核心領域。隨著中國醫藥產業創新能力的快速崛起，美國正通過構建系統性監管框架實施戰略遏制。中美之間競爭與合作并存的態勢正在深刻重塑全球生物醫藥產業的格局。近年來，美國對生物醫藥領域的監管升級呈現出顯著的“技術主權”特征，其一系列立法與執法活動表明監管體系正朝著戰略性收緊與嚴控的方向發展。投資安全審查機制、《生物安全法案》的出臺以及數據跨境傳輸限制等一系列政策舉措，對中國生物醫藥企業的國際化布局和運營基礎構成了深遠影響，不僅提高了中國企業在美投資的門檻，還對其技術合作、研發活動以及全球供應鏈整合帶來了顯著制約。政策的疊加效應使得中國企業的國際化運營環境日趨復雜，亟需尋找新的應對策略。

在此背景下，“NewCo模式”作為醫藥資產交易和國際化開發相結合的商業策略應運而生，正在逐步成為中國藥企出海的新路徑。“NewCo模式”，也即“管線分拆項目”（Pipeline Spin-off Project），一般理解為藥企將其具有市場前景的藥物研發管線剝離出來，在海外成立新公司（NewCo）進行獨立運營，同時引入海外資本，以NewCo本地化運營完成市場進入和業務拓展。在“NewCo模式”下，中國企業可以有效利用海外資本提供的資金和國際化的管理團隊，推進藥物研發管線在海外的臨床開發和商業化，同時在一定程度上規避政策收緊帶來的風險。在強監管態勢下，可能為中國企業提供新的出路和破局優勢，幫助其在復雜的國際環境中尋找機遇和應對之道。

(一)CFIUS審查延伸至TID行業的少數股權投資

長期以來，美國海外投資委員會（The Committee on Foreign Investment in the United States，即“CFIUS”）對海外投資的審查主要集中在可能導致外國實體控制美國企業的交易上（例如通過兼并、收購或其他方式獲得控制權的交易），審查重點一般關注外國投資者是否能夠對美國企業施加實質性控制權，從而可能影響美國國家安全。2018年，《外國投資風險審查現代化法案》（Foreign Investment Risk Review Modernization Act of 2018，即“FIRRMA”）^[注1]的出臺，對原有的投資審查機制進行了重要延伸，擴大了審查范圍和監管力度。

一方面，FIRRMA重點關注涉及關鍵技術（critical technology）、關鍵基礎設施（critical infrastructure）和敏感個人數據（sensitive personal data）（以下統稱“TID行業”）的交易。另一方面，FIRRMA將投資者在TID行業進行投資并獲得“重大非公開信息”（material nonpublic information），或有權提名董事或董事會觀察員，或可通過行使投票權以外的方式參與企業的“實質性決策”（substantive decision-making）的投資活動認定為“受管轄的少數股權投資”；除非投資者屬于“例外投資者”（即符合要求的來自“例外境外國家”的投資者），否則“受管轄的少數股權投資”將面臨在某些情況下進行強制申報的要求^[注2]。

FIRRMA項下的“關鍵技術”通常是指“新型與基礎技術”（emerging and foundational technology）和受到出口管制的國防物品的生產、設計、測試、制造、組裝或開發^[注3]。“新型與基礎技術”由美國商務部工業安全署（BIS）依據《2018年出口管制改革法案》（Export Control Reform Act of 2018）進行定義，而生物技術（例如納米生物學、基因組和基因工程和神經技術等）在2018年首個“新興技術（emerging technologies）”清單發布時就位列其中。2025年1月，BIS發布特定實驗室設備及相關技術進行出口管制的《臨時最終規則》，以避免特定先進生物技術工具被用于不利于美國國家安全或外交政策利益的用途^[注4]，此類設備需獲得許可證方可出口至特定國家和地區，而出口至“國家組D:5”中的國家（包括中國）被默認拒絕^[注5]。

(二)反向CFIUS擴張到生物醫藥領域的潛在可能

2023年8月，時任美國總統拜登簽發第14105號行政命令，認為中國正試圖利用美國在中國的投資來開發對軍事、情報、監視及網絡能力等重要且敏感的技術和產品，而一些美國投資可能會無意間加快中國在上述領域的發展，對美國國家安全構成威脅^[注6]。2024年10月28日，美國財政部正式發布《關于美國在特定國家的某些國家安全技術和產品領域投資的規則》（以下簡稱“《最終規則》”）^[注7]，限制美國主體向中國關鍵行業進行投資，因此被稱為“反向CFIUS”（reverse CFIUS）。

《最終規則》主要針對半導體與微電子、量子信息技術和人工智能三大領域進行投資限制。然而，通過《最終規則》和早先發布的《擬議規則制定通知》進行比對，不難發現《最終規則》有意擴大在人工智能領域的監管范圍，選擇了較低的監管門檻，其中禁止性交易就包括“主要使用生物序列數據且超過1024次計算操作進行訓練的系統”。

雖然生物技術領域暫未納入反向CFIUS的審查范圍內，但在《生物安全法案》偃旗息鼓（詳見下文分析）的情況下，結合最近美國總統特朗普二次上任后簽署的《美國優先投資政策備忘錄》（National Security Presidential Memorandum）的鮮明態度^[注8]——即為了對抗中國的軍民兩用策略，后續有可能對美國在敏感技術領域的對外投資施加新的管控措施，或拓展現有限制措施的覆蓋范圍，而敏感技術領域正包括生物技術^[注9]——這一領域很有可能成為反向CFIUS審查的又一大新關注點。

(三)投資安全審查對中國生物醫藥企業的影響

CFIUS審查的延伸和反向CFIUS的提出使得中美之間在生物醫藥領域的投資合作變得困難重重。首先，在原有CFIUS審查已經阻礙中國企業收購兼并的基礎上，進一步限制了中國企業成為TID行業內美國企業少數股東的可能。其次，FIRRMA影響下的TID行業投資審查已經具有部分出口管制色彩，CFIUS對涉及關鍵技術的交易的審查，可能會阻礙中國企業獲取先進生物技術和設備；最后，CFIUS審查加劇了中美在生物醫藥領域的合作緊張態勢，反向CFIUS審查機制監管范圍是否會擴張仍有待觀察，加之美國各類長臂管轄執法工具，這種緊張局勢使得中國企業在尋求國際合作時需要在合規和風險管理方面投入更多資源，花費更多時間準備備選方案或應對審查，甚至調整現有發展規劃。

《生物安全法案》（Biosecurity Act）是美國2024年提出的針對中國生物技術公司的法案，將監管矛頭指向具體企業，通過“實體清單+采購禁令+資本阻斷”的三重機制，形成針對中國生物技術公司的立體封鎖。

美國參眾兩院以“保護基因數據和國家安全”為由提出該法案，旨在限制聯邦資助的醫療服務提供者使用外國對手生物技術公司的設備或服務，主要針對部分中國企業^[注10]。美國立法機構擔憂這些企業可能與中國的“軍民融合”策略有關，與這些企業的合作可能會使美國敏感的醫療信息被中國政府獲取，從而對美國的國家安全構成潛在風險^[注11]。《生物安全法案》出臺后，一度造成相關企業的股價下跌，業內恐慌情緒蔓延，中國生物技術企業進入美國市場的難度也無形中增加。

(一)禁止情形

《生物安全法案》禁止美國聯邦機構與特定與外國對手（“foreign adversaries”）有聯系的生物技術供應商簽訂或續簽合同（但有例外）。具體而言，該法案禁止聯邦機構：（1）采購或獲取由相關生物技術公司生產或提供的任何生物技術設備或服務；（2）簽訂使用此類設備或服務或需要直接使用此類設備或服務的合同或延長或續簽合同；（3）禁止美國聯邦機構將貸款或贈款用于上述用途^[注12]。

(二)受關注實體范圍

除法案中已被定義為受關注生物技術公司（biotechnology company of concern）的公司及其子公司、母公司關聯公司或繼承人外，《生物安全法案》還授權美國白宮管理和預算辦公室（Office of Management and Budget）持續制定“受關注生物技術公司清單”^[注13]，以識別“軍民融合”企業給美國國家安全帶來的威脅。

《生物安全法案》中提出的評估標準為^[注14]：（1）受外國對手政府的管轄、指揮、控制或代表其政府運作；（2）在任何程度上參與生物技術設備或服務的制造、分銷、供應或采購；并且（3）對美國國家安全構成以下情況的威脅：（a）與外國對手的軍隊、內部安全部隊或情報機構進行聯合研究，獲得其支持，或與其有關聯；（b）向外國對手政府提供通過生物技術設備或服務獲得的多組學數據；或（c）未經明確知情同意，通過生物技術設備或服務獲取人類多組學數據。

(三)立法程序暫緩，現實緊迫性不高，但仍埋下隱患

自2024年年初《生物安全法案》被提出后，并未被納入《國防授權法案》在12月的關鍵立法會議上進行討論。2024年底的換屆大選后，上屆美國國會在任期內未通過的法案將歸于無效。因此，我們理解，《生物安全法案》從來勢洶洶到偃旗息鼓，虎頭蛇尾的立法過程使其本身已不再對中國企業構成現實的緊迫威脅。

然而，即使《生物安全法案》不作為獨立的法案出臺，其實際功能和作用也可能通過雙向CFIUS審查、出口管制、經濟制裁等執法工具實現。生物技術領域作為半導體、超算、人工智能等高科技領域外的又一大博弈焦點，高壓監管的態勢或將持續或愈發嚴峻，中國企業仍需對監管趨勢保持敏感和警惕。

美國的數據使用和傳輸政策對中國生物醫藥企業也產生了現實影響，其中主要包括《健康保險流通與責任法案》（Health Insurance Portability and Accountability Act，即“HIPAA”）^[注15]和《防止受關注國家或涵蓋主體獲取美國敏感個人數據和政府相關數據的規定》（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，即“PPPAUS”）^[注16]。HIPAA通過對受保護健康信息的嚴格管理，確保個人健康數據的隱私和安全；而最近出臺的PPPAUS則進一步限制了向中國等“受關注國家”傳輸大量敏感個人數據（如基因組數據和個人健康信息），將對中國醫藥企業與美國在數據合作方面的業務產生顯著影響，包括臨床試驗數據的交流與分析等工作流程都可能受到不同程度的限制。

(一)HIPAA對美國境內機構的隱私保護要求

HIPAA誕生于1996年，當時美國國會認為電子技術的進步可能會侵蝕健康信息的隱私，因此要求相關主體對個人身份健康信息采取隱私保護^[注17]。HIPAA要求涵蓋實體（covered entities，一般為醫療保健提供者、健康計劃、健康保健信息交換中心）甚至其商業伙伴（business associates）采取具體行動來保護可識別患者個人的健康信息。

在HIPAA的覆蓋范圍和監管要求下，醫藥企業在臨床階段中需格外重視試驗數據的實時追蹤和管理，避免招致HIPAA下的處罰甚至影響后續FDA藥品申報。

(二)美國對“敏感個人數據”的傳輸限制已初具出口管制色彩

PPPAUS是美國司法部制定的數據安全審查機制，旨在防止中國、俄羅斯等“受關注國家”及其關聯實體獲取美國敏感個人數據及政府相關數據，以應對國家安全風險。

在前文介紹的CFIUS審查中，“敏感個人數據”已經被列入“受管轄的少數股權投資”的行業。相比CFIUS的個案審查，PPPAUS對敏感數據傳輸采取了類似出口管制的監管框架，從管控對象、管控數據類型和管控交易等方面提供了系統性管控。

(1) 管控對象。PPPAUS管控的主要對象為“受關注國家”（countries of concern）^[注18]的“涵蓋主體”（covered persons）^[注19]。“受關注國家”包括中國（含港澳）、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉；“涵蓋主體”包括（a）實體：直接或間接由受關注國家擁有50%或以上所有權的外國實體；根據受關注國家法律組織或注冊的外國實體；其主要營業地位于受關注國家的外國實體；直接或間接由某一涵蓋主體擁有50%或以上所有權的外國實體；（b）個人：任何作為此類實體或受關注國家本身的員工或合同工的外國個人；任何主要居住地位于受關注國家領土范圍內的外國個人；（c）被司法部長指定為涵蓋主體的個人或實體。

(2) 管控數據類型。PPPAUS主要管控兩種類型的數據，一是敏感個人數據，包括特定個人標識符（covered personal identifiers）、精確地理位置數據（precise geolocation data）、生物識別標識符（biometric identifiers）、人類組學數據（human’omic data）、個人健康數據（personal health data）及個人財務數據（personal financial data）^[注20]；二是政府數據，主要涉及美國政府人員（如現役或近兩年離職的雇員）及政府活動地點（如軍事基地）的精確位置。

(3) 管控交易。PPPAUS主要管控兩種類型的交易：一是禁止性交易，包括數據經濟交易和人類組學數據交易兩類，后者與生物醫藥企業更為相關，是指人類基因組數據、人類表觀基因組數據、人類蛋白質組數據和人類轉錄組數據^[注21]；二是限制性交易，主要為供應商協議、雇傭協議及投資協議，此類交易并不直接限制生物醫藥企業，而是對數據服務供應商（如云計算服務）進行直接監管。

(三)數據使用和傳輸限制對中國生物醫藥企業的影響

在HIPAA和PPPAUS構建的數據監管體系下，中國醫藥企業在美國進行臨床試驗或處理受保護健康信息時，一方面需要遵守HIPAA的嚴格規定，包括采取數據加密、訪問控制、安全審計等措施，確保個人健康信息的隱私和安全；另一方面，需要根據PPPAUS對敏感數據傳輸的限制進行網絡安全保護、盡職調查和審計等。這些要求和措施，對于并不熟悉美國監管體系的不少中國企業而言，極大地增加了其境外和跨境合規的成本，包括人員培訓、系統升級和持續監控等方面的開支。其次，HIPAA和PPPAUS的監管要求使得企業的數據管理變得更加復雜，企業需要實時追蹤和管理試驗數據，確保數據的安全和隱私保護，尤其對于跨境交易而言，這可能會降低數據處理和分析的效率。最后，PPPAUS對敏感數據傳輸的限制可能會阻礙中國企業與美國或其他“受關注國家”的合作和數據共享，不僅影響了企業獲取先進技術和數據的機會，也可能導致其在全球市場上的反應速度和靈活性下降。

綜上可見，在傳統的收購兼并、綠地投資或跨境貿易模式下，中國企業往往會因單一股權或多數股權直接觸發CFIUS審查，或因與中國母公司的必要業務聯系而負擔較大的數據合規成本，而“NewCo模式”以其創新的資產交易方式、優化的資本結構成為一種高壓監管下的解決方案。

“NewCo模式”是資產交易和權益交易的結合，通過將核心產品的海外權益授權給在海外新成立的公司（“NewCo”）來實現資產的增值和商業化。目前已有的案例中，Newco往往以美元基金為主導，設立在美國本土并投入運營。在商業上，通過“NewCo模式”，中國企業不僅可以獲得管線許可費，還可以通過持有NewCo少部分股權分享未來資本市場的增值收益；而在法律上，“NewCo模式”一定程度上也可有效應對前述投資準入、數據傳輸等方面的監管痛點。

(一)優化資本結構和法律實體身份以應對投資安全審查

在傳統模式下，中國企業對美國企業進行收購或以其全資子公司進行投資基本均會觸發CFIUS審查。美國法律對中國實體的認定往往也采用“以中國法律成立”或“主要營業地位于中國”等多重認定標準，滿足其一則可認定為中國實體。“NewCo模式”下的新公司往往直接在美國本土設立，通過轉變法律實體身份降低地緣政治敏感度，從而減少觸發CFIUS審查的可能性。

由于CFIUS審查采取實質大于形式的穿透式審查，往往通過持股比例來判斷實質性利益歸屬方。因此，若由中國企業發起設立NewCo且持有大部分股權，CFIUS可能會擔憂該企業的決策受中國主體過度影響，進而對美國國家安全帶來潛在風險。在“NewCo模式”下，中國公司對NewCo的直接控制權通常被弱化，減少了地緣政治敏感度，降低了觸發CFIUS審查中推定母公司100%持有子公司規則適用的概率。NewCo的資本結構設計常見的策略是采用美元基金主導（股權占比通常大于60%）搭配中方少數股權，甚至是限制性股權。例如恒瑞醫藥通過參股美國Hercules公司（持股19.9%）推進GLP-1藥物出海，既保留部分權益又避免完全控制權帶來的爭議。美元基金在NewCo中占據主導地位，不僅能為NewCo帶來充足的資金支持，還因其廣泛的美國市場資源和深厚的投資、醫療網絡，助力NewCo在美國市場的業務拓展、技術合作以及與當地監管機構的溝通協調。高比例的美元基金股權向CFIUS傳遞出企業運營決策更契合美國市場規則與利益的信號，從而降低監管機構對外國控制的憂慮。

需要注意的是，出于對中方股東權益的必要保護，其在NewCo中的持股比例并不總能控制在10%以下，因而無法適用CFIUS審查中的“被動投資”例外。此外，CFIUS對TID行業的投資審查要求十分嚴格，若NewCo所涉業務被認定屬于TID行業，即使中方占股低于10%，則也可能無法適用該例外，仍需面臨CFIUS審查。

總之，在“NewCo模式”下優化資本結構和法律實體身份是中國生物醫藥企業在應對CFIUS審查中的關鍵策略。通過設立NewCo并合理設計其股東結構，不僅能夠有效降低地緣政治風險，還能增強與美國市場的適應性。然而，企業在實施這一模式時仍需謹慎評估持股比例與監管要求之間的平衡，以確保在保護自身權益的同時，最大限度地降低監管審查的風險。

(二)數據隨管線（pipeline）分拆本地化以隔絕合規風險

美國對臨床數據的管理嚴格，涉及患者數據的保存處理和跨境傳輸需符合從隱私保護角度出發的HIPAA和出口管制性質的PPPAUS等要求。在“NewCo模式”下，中國生物醫藥企業對選定管線做整體分拆轉移，將實驗數據等相關資產轉移至NewCo獨立運作，后續臨床階段的實驗數據則可由海外團隊在當地進行收集、處理和使用，減少直接跨境傳輸的需求。這不僅有助于遵循美國本土對個人健康數據使用的規定，還能降低因跨境傳輸而引發的數據安全風險。

盡管如此，NewCo作為美國實體，仍需高度重視本土數據治理問題。NewCo可以通過在特定國家或地區設立數據中心來實現數據本地化，從而避免跨境數據傳輸的限制。具體而言，NewCo需建立美國本土的數據治理框架，涵蓋數據的收集、存儲、訪問和共享等各個方面，以確保數據的安全性和合規性。

通過前期設計中的管線分拆和后期運營中的合規措施，Newco可以在現有監管體系下更好地控制數據流動，確保符合當地法律法規要求，同時避免因國際傳輸而可能產生的數據泄露或合規性問題。但隨著數據安全問題愈發突出，中美雙方都需要意識到，“NewCo模式”并非一勞永逸地解決方案，還需在數據治理框架搭建時為將來的監管變動打出提前量，靈活拆分或調整數據存儲結構，以應對后續監管變化。

“NewCo模式”下法律實體和管線的分拆可以將核心資產與潛在風險進行一定程度地隔離，資本結構的設計則可以優化融資渠道和投資者關系，而數據本地化措施則確保了敏感信息的處理符合當地監管要求，使得中國企業能夠靈活應對復雜的國際監管環境。

然而，隨著CFIUS和PPPAUS等監管體系的不斷擴張，反規避條款的實施變得愈加嚴格，企業在合規框架下拓展發展空間面臨更為嚴峻的挑戰。盡管“NewCo模式”提供了一定的靈活性，但并不能在美國日益強化的技術出口管制的背景下完全擺脫監管審查和供應鏈限制或應對未來的一切合規問題。

在出海過程中，中國生物醫藥企業亟須重視多方面趨嚴的監管問題，密切關注立法執法動態，不斷適應國際合規監管體系調整并結合專業法律建議制定綜合性的可持續發展戰略，以確保在復雜的國際環境中順利開展業務。

【 特別聲明：本篇文章所闡述和說明的觀點僅代表作者本人意見，僅供參考和交流，不代表本所或其律師出具的任何形式之法律意見或建議。】