中美生物医药博弈：监管升级与“NewCo模式”的突围

在当今全球科技与经济竞争的版图中，生物医药产业日渐成为大国战略博弈的核心领域。随着中国医药产业创新能力的快速崛起，美国正通过构建系统性监管框架实施战略遏制。中美之间竞争与合作并存的态势正在深刻重塑全球生物医药产业的格局。近年来，美国对生物医药领域的监管升级呈现出显著的“技术主权”特征，其一系列立法与执法活动表明监管体系正朝着战略性收紧与严控的方向发展。投资安全审查机制、《生物安全法案》的出台以及数据跨境传输限制等一系列政策举措，对中国生物医药企业的国际化布局和运营基础构成了深远影响，不仅提高了中国企业在美投资的门槛，还对其技术合作、研发活动以及全球供应链整合带来了显著制约。政策的叠加效应使得中国企业的国际化运营环境日趋复杂，亟需寻找新的应对策略。

在此背景下，“NewCo模式”作为医药资产交易和国际化开发相结合的商业策略应运而生，正在逐步成为中国药企出海的新路径。“NewCo模式”，也即“管线分拆项目”（Pipeline Spin-off Project），一般理解为药企将其具有市场前景的药物研发管线剥离出来，在海外成立新公司（NewCo）进行独立运营，同时引入海外资本，以NewCo本地化运营完成市场进入和业务拓展。在“NewCo模式”下，中国企业可以有效利用海外资本提供的资金和国际化的管理团队，推进药物研发管线在海外的临床开发和商业化，同时在一定程度上规避政策收紧带来的风险。在强监管态势下，可能为中国企业提供新的出路和破局优势，帮助其在复杂的国际环境中寻找机遇和应对之道。

(一)CFIUS审查延伸至TID行业的少数股权投资

长期以来，美国海外投资委员会（The Committee on Foreign Investment in the United States，即“CFIUS”）对海外投资的审查主要集中在可能导致外国实体控制美国企业的交易上（例如通过兼并、收购或其他方式获得控制权的交易），审查重点一般关注外国投资者是否能够对美国企业施加实质性控制权，从而可能影响美国国家安全。2018年，《外国投资风险审查现代化法案》（Foreign Investment Risk Review Modernization Act of 2018，即“FIRRMA”）^[注1]的出台，对原有的投资审查机制进行了重要延伸，扩大了审查范围和监管力度。

一方面，FIRRMA重点关注涉及关键技术（critical technology）、关键基础设施（critical infrastructure）和敏感个人数据（sensitive personal data）（以下统称“TID行业”）的交易。另一方面，FIRRMA将投资者在TID行业进行投资并获得“重大非公开信息”（material nonpublic information），或有权提名董事或董事会观察员，或可通过行使投票权以外的方式参与企业的“实质性决策”（substantive decision-making）的投资活动认定为“受管辖的少数股权投资”；除非投资者属于“例外投资者”（即符合要求的来自“例外境外国家”的投资者），否则“受管辖的少数股权投资”将面临在某些情况下进行强制申报的要求^[注2]。

FIRRMA项下的“关键技术”通常是指“新型与基础技术”（emerging and foundational technology）和受到出口管制的国防物品的生产、设计、测试、制造、组装或开发^[注3]。“新型与基础技术”由美国商务部工业安全署（BIS）依据《2018年出口管制改革法案》（Export Control Reform Act of 2018）进行定义，而生物技术（例如纳米生物学、基因组和基因工程和神经技术等）在2018年首个“新兴技术（emerging technologies）”清单发布时就位列其中。2025年1月，BIS发布特定实验室设备及相关技术进行出口管制的《临时最终规则》，以避免特定先进生物技术工具被用于不利于美国国家安全或外交政策利益的用途^[注4]，此类设备需获得许可证方可出口至特定国家和地区，而出口至“国家组D:5”中的国家（包括中国）被默认拒绝^[注5]。

(二)反向CFIUS扩张到生物医药领域的潜在可能

2023年8月，时任美国总统拜登签发第14105号行政命令，认为中国正试图利用美国在中国的投资来开发对军事、情报、监视及网络能力等重要且敏感的技术和产品，而一些美国投资可能会无意间加快中国在上述领域的发展，对美国国家安全构成威胁^[注6]。2024年10月28日，美国财政部正式发布《关于美国在特定国家的某些国家安全技术和产品领域投资的规则》（以下简称“《最终规则》”）^[注7]，限制美国主体向中国关键行业进行投资，因此被称为“反向CFIUS”（reverse CFIUS）。

《最终规则》主要针对半导体与微电子、量子信息技术和人工智能三大领域进行投资限制。然而，通过《最终规则》和早先发布的《拟议规则制定通知》进行比对，不难发现《最终规则》有意扩大在人工智能领域的监管范围，选择了较低的监管门槛，其中禁止性交易就包括“主要使用生物序列数据且超过1024次计算操作进行训练的系统”。

虽然生物技术领域暂未纳入反向CFIUS的审查范围内，但在《生物安全法案》偃旗息鼓（详见下文分析）的情况下，结合最近美国总统特朗普二次上任后签署的《美国优先投资政策备忘录》（National Security Presidential Memorandum）的鲜明态度^[注8]——即为了对抗中国的军民两用策略，后续有可能对美国在敏感技术领域的对外投资施加新的管控措施，或拓展现有限制措施的覆盖范围，而敏感技术领域正包括生物技术^[注9]——这一领域很有可能成为反向CFIUS审查的又一大新关注点。

(三)投资安全审查对中国生物医药企业的影响

CFIUS审查的延伸和反向CFIUS的提出使得中美之间在生物医药领域的投资合作变得困难重重。首先，在原有CFIUS审查已经阻碍中国企业收购兼并的基础上，进一步限制了中国企业成为TID行业内美国企业少数股东的可能。其次，FIRRMA影响下的TID行业投资审查已经具有部分出口管制色彩，CFIUS对涉及关键技术的交易的审查，可能会阻碍中国企业获取先进生物技术和设备；最后，CFIUS审查加剧了中美在生物医药领域的合作紧张态势，反向CFIUS审查机制监管范围是否会扩张仍有待观察，加之美国各类长臂管辖执法工具，这种紧张局势使得中国企业在寻求国际合作时需要在合规和风险管理方面投入更多资源，花费更多时间准备备选方案或应对审查，甚至调整现有发展规划。

《生物安全法案》（Biosecurity Act）是美国2024年提出的针对中国生物技术公司的法案，将监管矛头指向具体企业，通过“实体清单+采购禁令+资本阻断”的三重机制，形成针对中国生物技术公司的立体封锁。

美国参众两院以“保护基因数据和国家安全”为由提出该法案，旨在限制联邦资助的医疗服务提供者使用外国对手生物技术公司的设备或服务，主要针对部分中国企业^[注10]。美国立法机构担忧这些企业可能与中国的“军民融合”策略有关，与这些企业的合作可能会使美国敏感的医疗信息被中国政府获取，从而对美国的国家安全构成潜在风险^[注11]。《生物安全法案》出台后，一度造成相关企业的股价下跌，业内恐慌情绪蔓延，中国生物技术企业进入美国市场的难度也无形中增加。

(一)禁止情形

《生物安全法案》禁止美国联邦机构与特定与外国对手（“foreign adversaries”）有联系的生物技术供应商签订或续签合同（但有例外）。具体而言，该法案禁止联邦机构：（1）采购或获取由相关生物技术公司生产或提供的任何生物技术设备或服务；（2）签订使用此类设备或服务或需要直接使用此类设备或服务的合同或延长或续签合同；（3）禁止美国联邦机构将贷款或赠款用于上述用途^[注12]。

(二)受关注实体范围

除法案中已被定义为受关注生物技术公司（biotechnology company of concern）的公司及其子公司、母公司关联公司或继承人外，《生物安全法案》还授权美国白宫管理和预算办公室（Office of Management and Budget）持续制定“受关注生物技术公司清单”^[注13]，以识别“军民融合”企业给美国国家安全带来的威胁。

《生物安全法案》中提出的评估标准为^[注14]：（1）受外国对手政府的管辖、指挥、控制或代表其政府运作；（2）在任何程度上参与生物技术设备或服务的制造、分销、供应或采购；并且（3）对美国国家安全构成以下情况的威胁：（a）与外国对手的军队、内部安全部队或情报机构进行联合研究，获得其支持，或与其有关联；（b）向外国对手政府提供通过生物技术设备或服务获得的多组学数据；或（c）未经明确知情同意，通过生物技术设备或服务获取人类多组学数据。

(三)立法程序暂缓，现实紧迫性不高，但仍埋下隐患

自2024年年初《生物安全法案》被提出后，并未被纳入《国防授权法案》在12月的关键立法会议上进行讨论。2024年底的换届大选后，上届美国国会在任期内未通过的法案将归于无效。因此，我们理解，《生物安全法案》从来势汹汹到偃旗息鼓，虎头蛇尾的立法过程使其本身已不再对中国企业构成现实的紧迫威胁。

然而，即使《生物安全法案》不作为独立的法案出台，其实际功能和作用也可能通过双向CFIUS审查、出口管制、经济制裁等执法工具实现。生物技术领域作为半导体、超算、人工智能等高科技领域外的又一大博弈焦点，高压监管的态势或将持续或愈发严峻，中国企业仍需对监管趋势保持敏感和警惕。

美国的数据使用和传输政策对中国生物医药企业也产生了现实影响，其中主要包括《健康保险流通与责任法案》（Health Insurance Portability and Accountability Act，即“HIPAA”）^[注15]和《防止受关注国家或涵盖主体获取美国敏感个人数据和政府相关数据的规定》（Provisions Pertaining to Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons，即“PPPAUS”）^[注16]。HIPAA通过对受保护健康信息的严格管理，确保个人健康数据的隐私和安全；而最近出台的PPPAUS则进一步限制了向中国等“受关注国家”传输大量敏感个人数据（如基因组数据和个人健康信息），将对中国医药企业与美国在数据合作方面的业务产生显著影响，包括临床试验数据的交流与分析等工作流程都可能受到不同程度的限制。

(一)HIPAA对美国境内机构的隐私保护要求

HIPAA诞生于1996年，当时美国国会认为电子技术的进步可能会侵蚀健康信息的隐私，因此要求相关主体对个人身份健康信息采取隐私保护^[注17]。HIPAA要求涵盖实体（covered entities，一般为医疗保健提供者、健康计划、健康保健信息交换中心）甚至其商业伙伴（business associates）采取具体行动来保护可识别患者个人的健康信息。

在HIPAA的覆盖范围和监管要求下，医药企业在临床阶段中需格外重视试验数据的实时追踪和管理，避免招致HIPAA下的处罚甚至影响后续FDA药品申报。

(二)美国对“敏感个人数据”的传输限制已初具出口管制色彩

PPPAUS是美国司法部制定的数据安全审查机制，旨在防止中国、俄罗斯等“受关注国家”及其关联实体获取美国敏感个人数据及政府相关数据，以应对国家安全风险。

在前文介绍的CFIUS审查中，“敏感个人数据”已经被列入“受管辖的少数股权投资”的行业。相比CFIUS的个案审查，PPPAUS对敏感数据传输采取了类似出口管制的监管框架，从管控对象、管控数据类型和管控交易等方面提供了系统性管控。

(1) 管控对象。PPPAUS管控的主要对象为“受关注国家”（countries of concern）^[注18]的“涵盖主体”（covered persons）^[注19]。“受关注国家”包括中国（含港澳）、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉；“涵盖主体”包括（a）实体：直接或间接由受关注国家拥有50%或以上所有权的外国实体；根据受关注国家法律组织或注册的外国实体；其主要营业地位于受关注国家的外国实体；直接或间接由某一涵盖主体拥有50%或以上所有权的外国实体；（b）个人：任何作为此类实体或受关注国家本身的员工或合同工的外国个人；任何主要居住地位于受关注国家领土范围内的外国个人；（c）被司法部长指定为涵盖主体的个人或实体。

(2) 管控数据类型。PPPAUS主要管控两种类型的数据，一是敏感个人数据，包括特定个人标识符（covered personal identifiers）、精确地理位置数据（precise geolocation data）、生物识别标识符（biometric identifiers）、人类组学数据（human’omic data）、个人健康数据（personal health data）及个人财务数据（personal financial data）^[注20]；二是政府数据，主要涉及美国政府人员（如现役或近两年离职的雇员）及政府活动地点（如军事基地）的精确位置。

(3) 管控交易。PPPAUS主要管控两种类型的交易：一是禁止性交易，包括数据经济交易和人类组学数据交易两类，后者与生物医药企业更为相关，是指人类基因组数据、人类表观基因组数据、人类蛋白质组数据和人类转录组数据^[注21]；二是限制性交易，主要为供应商协议、雇佣协议及投资协议，此类交易并不直接限制生物医药企业，而是对数据服务供应商（如云计算服务）进行直接监管。

(三)数据使用和传输限制对中国生物医药企业的影响

在HIPAA和PPPAUS构建的数据监管体系下，中国医药企业在美国进行临床试验或处理受保护健康信息时，一方面需要遵守HIPAA的严格规定，包括采取数据加密、访问控制、安全审计等措施，确保个人健康信息的隐私和安全；另一方面，需要根据PPPAUS对敏感数据传输的限制进行网络安全保护、尽职调查和审计等。这些要求和措施，对于并不熟悉美国监管体系的不少中国企业而言，极大地增加了其境外和跨境合规的成本，包括人员培训、系统升级和持续监控等方面的开支。其次，HIPAA和PPPAUS的监管要求使得企业的数据管理变得更加复杂，企业需要实时追踪和管理试验数据，确保数据的安全和隐私保护，尤其对于跨境交易而言，这可能会降低数据处理和分析的效率。最后，PPPAUS对敏感数据传输的限制可能会阻碍中国企业与美国或其他“受关注国家”的合作和数据共享，不仅影响了企业获取先进技术和数据的机会，也可能导致其在全球市场上的反应速度和灵活性下降。

综上可见，在传统的收购兼并、绿地投资或跨境贸易模式下，中国企业往往会因单一股权或多数股权直接触发CFIUS审查，或因与中国母公司的必要业务联系而负担较大的数据合规成本，而“NewCo模式”以其创新的资产交易方式、优化的资本结构成为一种高压监管下的解决方案。

“NewCo模式”是资产交易和权益交易的结合，通过将核心产品的海外权益授权给在海外新成立的公司（“NewCo”）来实现资产的增值和商业化。目前已有的案例中，Newco往往以美元基金为主导，设立在美国本土并投入运营。在商业上，通过“NewCo模式”，中国企业不仅可以获得管线许可费，还可以通过持有NewCo少部分股权分享未来资本市场的增值收益；而在法律上，“NewCo模式”一定程度上也可有效应对前述投资准入、数据传输等方面的监管痛点。

(一)优化资本结构和法律实体身份以应对投资安全审查

在传统模式下，中国企业对美国企业进行收购或以其全资子公司进行投资基本均会触发CFIUS审查。美国法律对中国实体的认定往往也采用“以中国法律成立”或“主要营业地位于中国”等多重认定标准，满足其一则可认定为中国实体。“NewCo模式”下的新公司往往直接在美国本土设立，通过转变法律实体身份降低地缘政治敏感度，从而减少触发CFIUS审查的可能性。

由于CFIUS审查采取实质大于形式的穿透式审查，往往通过持股比例来判断实质性利益归属方。因此，若由中国企业发起设立NewCo且持有大部分股权，CFIUS可能会担忧该企业的决策受中国主体过度影响，进而对美国国家安全带来潜在风险。在“NewCo模式”下，中国公司对NewCo的直接控制权通常被弱化，减少了地缘政治敏感度，降低了触发CFIUS审查中推定母公司100%持有子公司规则适用的概率。NewCo的资本结构设计常见的策略是采用美元基金主导（股权占比通常大于60%）搭配中方少数股权，甚至是限制性股权。例如恒瑞医药通过参股美国Hercules公司（持股19.9%）推进GLP-1药物出海，既保留部分权益又避免完全控制权带来的争议。美元基金在NewCo中占据主导地位，不仅能为NewCo带来充足的资金支持，还因其广泛的美国市场资源和深厚的投资、医疗网络，助力NewCo在美国市场的业务拓展、技术合作以及与当地监管机构的沟通协调。高比例的美元基金股权向CFIUS传递出企业运营决策更契合美国市场规则与利益的信号，从而降低监管机构对外国控制的忧虑。

需要注意的是，出于对中方股东权益的必要保护，其在NewCo中的持股比例并不总能控制在10%以下，因而无法适用CFIUS审查中的“被动投资”例外。此外，CFIUS对TID行业的投资审查要求十分严格，若NewCo所涉业务被认定属于TID行业，即使中方占股低于10%，则也可能无法适用该例外，仍需面临CFIUS审查。

总之，在“NewCo模式”下优化资本结构和法律实体身份是中国生物医药企业在应对CFIUS审查中的关键策略。通过设立NewCo并合理设计其股东结构，不仅能够有效降低地缘政治风险，还能增强与美国市场的适应性。然而，企业在实施这一模式时仍需谨慎评估持股比例与监管要求之间的平衡，以确保在保护自身权益的同时，最大限度地降低监管审查的风险。

(二)数据随管线（pipeline）分拆本地化以隔绝合规风险

美国对临床数据的管理严格，涉及患者数据的保存处理和跨境传输需符合从隐私保护角度出发的HIPAA和出口管制性质的PPPAUS等要求。在“NewCo模式”下，中国生物医药企业对选定管线做整体分拆转移，将实验数据等相关资产转移至NewCo独立运作，后续临床阶段的实验数据则可由海外团队在当地进行收集、处理和使用，减少直接跨境传输的需求。这不仅有助于遵循美国本土对个人健康数据使用的规定，还能降低因跨境传输而引发的数据安全风险。

尽管如此，NewCo作为美国实体，仍需高度重视本土数据治理问题。NewCo可以通过在特定国家或地区设立数据中心来实现数据本地化，从而避免跨境数据传输的限制。具体而言，NewCo需建立美国本土的数据治理框架，涵盖数据的收集、存储、访问和共享等各个方面，以确保数据的安全性和合规性。

通过前期设计中的管线分拆和后期运营中的合规措施，Newco可以在现有监管体系下更好地控制数据流动，确保符合当地法律法规要求，同时避免因国际传输而可能产生的数据泄露或合规性问题。但随着数据安全问题愈发突出，中美双方都需要意识到，“NewCo模式”并非一劳永逸地解决方案，还需在数据治理框架搭建时为将来的监管变动打出提前量，灵活拆分或调整数据存储结构，以应对后续监管变化。

“NewCo模式”下法律实体和管线的分拆可以将核心资产与潜在风险进行一定程度地隔离，资本结构的设计则可以优化融资渠道和投资者关系，而数据本地化措施则确保了敏感信息的处理符合当地监管要求，使得中国企业能够灵活应对复杂的国际监管环境。

然而，随着CFIUS和PPPAUS等监管体系的不断扩张，反规避条款的实施变得愈加严格，企业在合规框架下拓展发展空间面临更为严峻的挑战。尽管“NewCo模式”提供了一定的灵活性，但并不能在美国日益强化的技术出口管制的背景下完全摆脱监管审查和供应链限制或应对未来的一切合规问题。

在出海过程中，中国生物医药企业亟须重视多方面趋严的监管问题，密切关注立法执法动态，不断适应国际合规监管体系调整并结合专业法律建议制定综合性的可持续发展战略，以确保在复杂的国际环境中顺利开展业务。