多年来，美国总统和立法人员一直担心中国利用其金融影响力来获取高度敏感或与国家安全相关的美国技术和数据。2018年，唐纳德·特朗普总统正式签署《外国投资风险审查现代化法案》（FIRRMA），该法案通过两党合作，扩大了美国外国投资委员会（CFIUS，跨部门组织）的权力，审查外国投资是否会造成美国国家安全风险。这项新的法案还授权商务部加强对技术出口的管控。2019年10月，美国财政部提出了实施CFIUS的部分新权力的详细规定，目的是在不压制合法和有利交易的前提下保护投资，又不会因为无数的小型调查而导致政府机构不堪重负。2019年10月10日，彼得森国际经济研究所研究员马永哲（Martin Chorzempa）发布专栏评论文章，对美国最新的外国投资委员会（CFIUS）法规的最新变动进行了点评。以下是该评论文章全文编译，供参考。
    总体而言，这份新规则的制定过程比许多人预期的更为谨慎，这反映出财政部对过于广泛的权力的担忧，担心“对有利的外国投资产生寒蝉效应”。但新规则也存在意想不到的副作用，那就是遵守保护美国安全的规则将变得更为复杂。过去CFIUS不会审查缺乏管控意义的投资。但未来潜在的外国投资企业将会考虑他们的交易是否属于CFIUS管辖范围，因为CFIUS将决定投资者需要在商务部和财政部履行哪些监管程序，而目前这些程序尚未最终敲定。之后这些投资者和他们的律师必须确定其投资计划是否通过了各部门的审查。这些问题导致经济观察员甚至美国财政部都难以预测即将颁布的新规则将会在多大范围内产生何种影响。
    新的规定将限制对盟国和“例外国家”企业的投资进行审查，并且缩小了“关键基础设施”的定义范围。这些做法有助于将新的CFIUS权力限制在最为紧迫的安全审查之内，但是有关敏感数据的规则仍然既复杂又宽泛。风险资本（VC）投资和战略投资可以帮助初创企业利用其技术和数据使自身受益，但在目前的草案当中，上述规则可能会导致这些投资降温。根据获得“例外国家”身份所排除的审查数量，拟议的数据规则可能会导致与国家安全无关的审查数量超过CFIUS的能力限度，而降低其处理严重案件的能力。下文将深入探讨这些问题。
    一 弥补关键技术、基础设施和数据的少数股权投资漏洞
    自20世纪70年代成立以来，CFIUS在美国财政部的管理下，已逐步成为强大的秘密机构，有权审查任何可能导致外国人控制美国企业的投资。CFIUS有权更改或拒绝交易，甚至强制撤资。特朗普政府并不是第一个使用CFIUS来阻止外国投资或针对外国投资（尤其是中国投资）提出警告的政府，但在特朗普的领导下，CFIUS比过去更加活跃。
    由于担心将CFIUS的权利限制在投资者具有高水平控制权的交易范围内将会导致审查漏洞的出现，因此CFIUS在去年获得了新的权利。这些担心主要与中国投资者有关，尤其是与军方相关的投资者，因为他们可能会通过少数股权投资，在CFIUS的监督下，进入拥有“敏感关键技术”（T）、基础设施（I）和数据（D）的美国企业并对其施加影响，进而损害美国国家安全（新法规将这类企业归为“TID企业”）。新法规涵盖了对TID企业的外国投资，这类投资介于投资者取得控制权（CFIUS可以随时对其进行审查）和纯粹的被动投资之间（如购买少量股票，但这类投资不属于CFIUS的审查范围）。
    重要的是，指定“例外国家”能够大大缩减对来自美国盟友的新投资的审查数量，但财政部尚未提供具体信息说明这份白名单将包括哪些国家。因此很难知晓是否只有法国、英国和德国等国家能够成为“例外国家”，还是说日本、韩国、以色列和印度也包含在内。扩大后的投资规则将允许最初获得审查豁免权的国家拥有两年的时间采用自己的CFIUS规则，同时满足以下要求：“具有完善的程序来评估外国投资对国家安全造成的风险，并促进与美国在投资安全方面相协调”。为了从中受益，企业必须确定他们是否符合苛刻的条件，成为“审查例外投资人”。
    这些规则对“TID”企业给出了部分定义，但在关键层面仍然缺乏明确性而且过于宽泛。在商务部完成全部定义之前一定会出现混乱的局面。财政部将把完整的定义纳入其关键技术计划当中（包括试点项目在内）。
    新的法规列出了28种关键基础设施，如港口、大容量输油管道、电网、具有系统重要性的金融市场公用设施、互联网基础设施的关键点以及几乎没有替代供应商的军事供应链关键产品，对这些基础设施的非控制性投资将受到更为严格的审查。事实证明，担心政府会将所有重要的基础设施都考虑在内是没有根据的。财政部所提出的每一类关键基础设施都与国家安全有着明确联系，并且这些基础设施的审查门槛都是根据潜在风险精心制定的。
    二 敏感数据的定义影响广泛
    附加规则也对新的CFIUS权力是否应用于在美国企业持有非控股股权，收集“敏感个人数据”的外国投资人做出了规定。“敏感个人数据”包括生物识别标记（例如通过扫描能够进入安全位置的指纹或视网膜信息）、安全检查状态、健康和遗传数据、财务状况、保险申请、地理位置，以及聊天和电子邮件应用程序所持有的个人通讯信息。如果一家美国企业收集或拥有这些“敏感”数据并将其产品瞄准“美国政府人员或承包商这类敏感人员”（即军事、情报或国土安全人员），那么将利用新的审查权利对其进行审查。已经或打算收集或存储100万或更多个人敏感数据的企业也包含在新的审查规则之内。这两类企业被包含在新的规则之内是由于即便是无意行为，大型数据集也很有可能捕获某些敏感人群的数据信息。
    这些规定的目的在于缩减审查任务，避免在对国家安全并不重要的行业给企业造成不必要的负担。只有当数据能够“识别”特定人员时，才被定义为“敏感数据”，这就排除了真正的匿名数据。值得注意的是，公司员工的敏感数据不包括在内，而且像云存储供应商这样的公司，如果其数据经过加密且公司没有解密密钥，则也不受新的法规限制。偶尔进行信用检查的公司也不在新的法规限制之内。尽管对于敏感数据的定义十分狭窄，但其影响仍将十分广泛。“100万人的个人数据”这一门槛已经足以在“敏感”数据空间内涵盖所有雄心勃勃的消费者导向型科技公司，而那些更加关注国际市场的公司将更快满足这一标准，因为美国本土以外的用户已经接近100万大关。
    三 新法规对于资本投资的影响
    风险投资（VC）和私募股权（PE）投资最有可能受到新规则的影响。这类投资即使在不获得企业控制权的情况下进行少数股权投资，也往往会获得董事会席位并影响所投资公司的战略方向。初创企业往往会从这些投资者那里分几轮筹集股本，投资者必须抓紧时间，才能竞争加入热门企业融资。2017年，外国投资者参与了价值389亿美元的风险资本融资，占当年美国公司筹集的全部风险资本的近25％；外国投资者参与的融资中，有87％不包含来自中国或俄罗斯的投资者，但其中一些也将面临更为严格的审查。
    新的法规豁免了风险投资基金中的大多数合伙人，这些合伙人出资但不做投资决定，但不确定的是，如果接受投资的企业拥有“敏感”数据，而且投资人国籍不在“例外国家”白名单之内，那么这类风险投资基金是否在新规则的管理范围之内。因此从事金融技术和保险、健康与生物技术、地图乃至天气应用程序这样收集用户位置信息的大多数初创公司都可能受到新规则的约束。
    如果风险投资人是美国或“例外国家”的公民（双重国籍公民不算在内除非两个国籍均属于例外国家），那么这些法规可能会成为风险投资普通合伙人（GPs）（指管理风险投资基金，做出投资决策并通常出任董事会成员的人）的竞争优势。由美国人管理的基金通常不会受到CFIUS的审查，但是外国风险投资和拥有外国普通合伙人的国内风险投资将受到审查。国籍不属于“例外国家”的普通合伙人能可能需要离开美国，并将其专业知识带到其他地方，因为其雇主可能会认为遵守CFIUS规则更为重要。另一个潜在的副作用是，为避免CFIUS审查，更多的投资可能变得完全“被动”，这将使创业企业家无法从其投资人的建议和专业知识中受益，但这却本该是风险资本的核心功能之一。
    为了避免这些副作用，并且更好地将注意力集中在数据规则上，财政部可以考虑对敏感数据采取与关键基础设施类似的方法。根据每个企业对国家安全的重要性来设置具体的标准，规定各类企业必须发挥的作用，而不是将新法规应用于所有属于关键基础设施领域的企业。对于敏感数据也可以采取相同的办法。为了使风险威胁与审查标准相匹配，可以将“超过100万人”这一标准与数据类别联系起来。用户数量的计算可以仅限于美国居民或公民，避免给位于美国但收集国外人员数据的公司造成负担。
（文章来源：WTO快讯）