CFIUS 五十一年：形式合规已死，迁址换壳不再保护你

我们假设，有一家美国 AI 公司搬到了新加坡，然后一家亚洲资本要 20 亿美元全资把它买下——结局会是什么样的？

答案是大概率连签字那一刻都到不了。

这要从一个九人委员会说起。它叫 CFIUS(读音 /ˈsɪfiəs/「西菲尔斯」，Committee on Foreign Investment in the United States)，美国财政部下面的一个跨部门审查机构。1975 年成立，每年要审 200 多笔交易，撤回的、加条件的、直接否的，一年到头不停。

今天创业圈在讨论的「迁个址、换个国别就能避开监管」这件事，CFIUS 在五十一年前就开始训练自己怎么应对——但真正进入肌肉记忆，是过去这十年。

我对这件事的兴趣不是从今天开始的。多年前我在 TikTok 案的视频里面就讲过 CFIUS，后来我又约一位在美国做 CFIUS 的律师聊过挺久。

它最早针对的，不是中国——是日本。

1986 年 10 月 23 日，日本富士通宣布以 2 亿美元收购仙童半导体(Fairchild Semiconductor)80% 股份。

仙童不是普通公司——它是硅谷半导体行业的「祖宗」。从这家公司里走出过英特尔的诺伊斯(Robert Noyce)和摩尔(Gordon Moore)、AMD 的桑德斯(Jerry Sanders)，整个硅谷的人脉树根都扎在这里。「卖给日本人」这件事在当时的美国，引发的是国家级反应。

国会一片喧哗，五角大楼和商务部联手反对——日本当时已经在汽车、消费电子全面碾压美国，半导体是美国仅剩的几个还没失守的领域。1987 年 3 月，富士通主动撤回了收购。

但事情没结束。

1988 年 8 月 23 日，里根签下《Exon-Florio 修正案》，附在那一年的综合贸易法里。这是 CFIUS 第一次拿到真正的牙齿——在此之前 13 年，它只是一个「跨部门研究委员会」，没有任何阻断权。

这部法律，是为日本人写的。

但日本到 1990 年代中期已经不再是收购威胁——经济泡沫破灭，富士通自己都在收缩。Exon-Florio 整个 90 年代几乎闲置，真正被频繁动用是 9/11 之后：2006 年迪拜港口世界想接管美国六个港口，国会爆炸，第二年 FINSA 扩权；到 2018 年的 FIRRMA 又一次大扩——加了一条反规避条款，「任何为规避审查而设计的交易」全部在管辖范围内。这一条，今天我们再来看，是整个故事的关键。

而那部为日本人写的法律，在 2025 年初被拿来挡了一次——日本制铁想买美国钢铁。三十七年前为日本人造的法律，三十七年后用来挡日本盟友。

普通读者只听过「TikTok 被强制剥离」「Broadcom 收购被川普否决」这种新闻，往往以为 CFIUS 只有一种动作——「不行」。

其实它的工具箱有四档火力，绝大多数交易甚至走不到第二档。

绝大多数交易就这么过了。2024 年 CFIUS 总共审了 325 笔交易——其中 116 笔走简版申报、209 笔走完整申报——绝大部分直接放行。多数情况下，CFIUS 不是来阻止你的，是来给你发一张「监管出清证明」的。

如果交易有风险但还想做，CFIUS 会要求买方签一份国家安全协议(NSA, National Security Agreement)，里面可能包括：

这些条款是有牙齿的——2024 年 8 月，T-Mobile 因为违反 2018 年与 Sprint 合并时签的一份 NSA，被罚了 6000 万美元。具体违约是 2020 年 8 月到 2021 年 6 月间未能阻止对敏感数据的未授权访问、且没有及时上报 CFIUS。这是迄今 CFIUS 单笔最大罚金，也是它历史上唯一公开点名的违约方。

「我们已经查到你了，给你 X 个月把这块业务卖出去」。Grindr 被昆仑万维买走那笔最初是走第二档，后来发现风险无法缓解，2019 年走到第三档。TikTok 案是另一个走到第三档的代表。

截至 2026 年初已经累积到 11 次——前 22 年只用过 1 次，从 2012 年开始密集起来，过去十年集中爆发。

11 次里 9 次直接关联中国资本:1990 年中航技术(CATIC)被命令剥离 MAMCO 航空部件——这是这部法律第一次发动；2012 年三一重工的 Ralls 风电场；2016 年福建宏芯基金通过德国 Grand Chip 买 Aixtron;2017 年 Canyon Bridge 买 Lattice 半导体；2020 年北京石基(Shiji)被命令剥离酒店技术公司 StayNTouch；同年字节跳动被追溯命令剥离 Musical.ly;2024 年拜登挡掉 MineOne 在导弹基地附近的加密矿场和地产；2025 年 7 月命令 Suirui(中资香港公司)剥离加州视频处理技术公司 Jupiter Systems;2026 年 1 月命令 HieFo(中资控制的 Delaware 公司)剥离 EMCORE 数字芯片业务。

剩下 2 次更值得提一下，因为它们说明 CFIUS 已经超出「防中国」的边界——

2018 年 3 月，特朗普否决 Broadcom 对 Qualcomm 的收购。Broadcom 注册地是新加坡——这是 CFIUS 第一次用总统令拦下美国盟友发起的跨境收购，而不是中资。

2025 年 1 月，拜登在任期最后两周否决日本制铁收购美国钢铁。从富士通到日本制铁，这部为日本人写的法律，绕了三十七年又用回去挡日本人。

讲三个最值得细看的案例——分别对应三种穿透姿态。

2016 年 11 月，一家叫 Canyon Bridge Capital Partners 的私募基金宣布以 13 亿美元收购美国上市半导体公司 Lattice。

Canyon Bridge 注册在 Delaware(美国境内最常见的公司注册州)，办公室在硅谷，团队是从英特尔出来的美国人。从形式上看，这就是一笔「美国基金买美国公司」的交易，按理说不在 CFIUS 重点审查范围内。

但 CFIUS 看穿了。

Canyon Bridge 和 Lattice 在 2016 年 12 月联合提交 CFIUS 自愿申报，接下来几个月里两次撤回重提——这种「自愿撤回」是律师界常用的「给 CFIUS 多争取几个月审查时间」的合规手法，但这次没救。CFIUS 越查问题越大：资金一路追溯回去——Yitai Capital(香港)→ China Venture Capital Fund(国新创投)→ 中国国新控股(China Reform Holdings)。这只「美国基金」的钱，穿透到底是中国国资。整个架构本质上是为了让中国国资以美国基金的名义进入美国半导体业。

2017 年 9 月 13 日，特朗普签下总统令，原文措辞极简：「依据可信证据，本次交易将损害美国国家安全。」

注意这句话：「可信证据」(credible evidence)四个字，从来不展开论证。CFIUS 五十年来的判决书都是这个味道——它不需要向你证明，它只需要这么说。

2016 年昆仑万维以 9300 万美元买入 Grindr 60% 股份，2018 年增持到 100% 全资控股。

按 2018 年之前的规则，Grindr 这种「消费 app」不是 CFIUS 必审项目。昆仑万维当时甚至没主动去 CFIUS 申报。但 FIRRMA 在 2018 年通过后，CFIUS 把「敏感个人数据」(sensitive personal data)正式纳入管辖——而 Grindr 的核心数据是用户的性取向、HIV 状态、地理位置。

CFIUS 反向调查启动，结论是：这是一个国家安全风险，不是因为 Grindr 是干嘛的，是因为它持有什么。

2019 年初，CFIUS 给昆仑发了一份强制剥离令。2020 年 6 月，昆仑把 Grindr 以 6.08 亿美元卖给一个新的美国财团。

这条逻辑后来被全套搬到了 TikTok 案上——监管机构关心的不是 TikTok 的算法本身，是「中国《国家情报法》之下任何中资公司都可被强制配合」这个结构性风险。这套逻辑一旦成立，就把所有持有大量美国用户数据的中资公司都扫进了射程。

2023 年 12 月，日本制铁宣布以 149 亿美元收购美国钢铁。日本是美国最铁的盟友之一，日本制铁是世界第四大钢铁公司，这笔交易在商业逻辑上几乎无可挑剔。

但「美国钢铁」是个政治符号——这家公司从 1901 年成立，从摩根(J.P. Morgan)和卡内基(Andrew Carnegie)那个年代延续到现在，是「美国制造业」的象征。拜登任期最后两周(2025 年 1 月)签下行政令，否决了这笔收购。

故事到这里没结束。

2025 年 4 月，特朗普命令 CFIUS 对拜登已经否决的交易重新从头审查一遍——这是行政当局第一次反推前任的否决。2025 年 6 月，特朗普反转批准了交易，但加上了一个史无前例的条件：「金股」(golden share)。

「金股」是 1980 年代英国私有化时发明的工具——政府只持有一股，但这一股写进章程时附带了特殊条款：对几类关键决策(管理层换届、产能调整、海外搬迁、合并、分拆)拥有一票否决权。换句话说，股权上是 0.0001%，但治理权上美国政府在董事会里坐了一个永久否决席。三十多年来，西方国家很少在私人交易里用这个工具——直到 2025 年的美国。

外交关系委员会(CFR)评论这件事的时候用了一个标题：「金股与魔豆」。文章里有一句话我反复看了几遍：

US Steel 案的教训有两层：第一，CFIUS 已经从国家安全审查升级为产业政策工具；第二，连日本盟友都不再被默认信任的时候，「亲美」这个标签的含金量正在贬值。

阿联酋的 G42 案是同一逻辑的另一个例子——这家阿联酋的「亲美 AI 选项」，在 2024 年接受 Microsoft 15 亿美元投资时，被要求签一份史无前例的 IGAA(Intergovernmental Assurance Agreement，政府间保证协议)，把网络安全、数据保护、出口管制、负责任 AI、KYC 这一整套美国标准全部纳入合规框架，同时彻底剥离华为相关设备。

亲美不亲美，不是一个静态身份，是一笔笔交易里跟美国政府重新谈出来的。

CFIUS 五十一年的演化里，最重要的概念是穿透(look-through)。

什么叫穿透？监管认你的实质控制人是谁，不认你形式上挂在开曼还是 Delaware 的壳。这是 FIRRMA 反规避条款的精神。

穿透有三个方向，都已经在实践里试过：

Lattice 案——Delaware 基金的资金来源穿透到中国国资，CFIUS 直接穿透到 LP 层。

Musical.ly 案——形式上是两家开曼公司之间的交易(字节跳动 Cayman → Musical.ly Cayman)，但 CFIUS 仍然追溯审查。它看的不是「你注册在哪」，而是「你跟美国有什么连接」——美国用户、美国数据、美国员工、美国客户合同、美国 IP，任意一个挂上钩，CFIUS 就能管。这套连接在法律语境里有个统一的名字叫 U.S. nexus。Musical.ly 当时已经积累了大量美国未成年人用户和数据，关联完整成立。

2025 年 1 月 2 日生效的「反向 CFIUS」——正式名字是 Outbound Investment Security Program——把美国主体及其控制的境外实体一并纳入规则。关键点是「美国主体」的定义：不只是注册在美国的公司或美国基金，还包括美国 LP 控制或实质参与的离岸子基金。它不是一刀切禁止所有投资，而是对涉及中国 / 港澳的特定 AI、半导体、量子交易要求禁止或通知；纯被动 LP 在特定条件下有例外。

但即便有例外，过去十年美元基金通过开曼、英属维京群岛(BVI)等离岸地壳公司投中国敏感技术这条主流路径，已经基本走不通。一个美国母基金 → 开曼子基金 → 投中国 AI——以前这是标准操作，现在这条链条上的每一个环节都可能被穿透。

数据上看：中国对美 FDI 从 2016 年的 460 亿美元峰值，跌到 2024 年的不到 40 亿美元——九成跌幅。中国相关的 CFIUS 申报数从 2023 年的 33 笔降至 2024 年的 26 笔，仍居首位但领先幅度明显收窄。

这不是 CFIUS 变忙了，是「知道会被卡所以根本不申报」的交易越来越多。

如果你以为这种「监管穿透」只是美国独有，那 2018 到 2024 年这六年里发生的事会让你重新校准。

入境方向(挡外资进入)上，欧盟、英国、澳大利亚、印度都在 2020 到 2024 年间立了类似法律——欧盟先建立 FDI 筛查合作机制并推动 27 国普遍设立国家审查，英国 NSI Act 列了 17 个强制申报行业，印度 Press Note 3 事实上专挡中资。

但最值得专门提的是新加坡。

新加坡 2024 年生效 SIRA(Significant Investments Review Act)：投资者只要跨过指定关键实体 5% 控制权，就要 7 天内向部长申报；跨过 12% / 25% / 50% 须事前批准。避风港自己也立了法——而它正是过去三年最多创业者迁址的目的地。

更值得注意的是另一个方向。

出境方向(挡本国技术 / 资本流出)上，过去三年扩权几乎对称——美国 2025 年初生效反向 CFIUS，禁止美国主体投资中国 AI / 半导体 / 量子，而且「美国主体」的定义穿透到美国 LP 投的离岸子基金；欧盟 dual-use 出口管制清单 2024 年扩展，把先进半导体设备纳入受控；中国 2020 年立《出口管制法》，2025 年又升级了一轮。

入境看「外资能不能进来」，出境看「本国资产能不能出去」。表面是两个方向，本质是同一件事——监管者拒绝看形式，只看实质。

公司注册地、护照、壳公司架构、LP 国籍、技术类目——这些「形式合规」工具在 2018 年之前几乎可以解决所有跨境监管问题。从 2018 年开始，穿透变成了 21 世纪监管的元能力——不分意识形态、不分阵营、不分大小经济体。

回到开篇那个假设。

一家美国 AI 公司，2022 年在硅谷成立，做 agent 类产品。2025 年关闭加州办公室，把总部迁到新加坡，重新注册了一家新加坡公司，把美国的 LLC 注销，把核心团队办了新加坡工作准证。形式上看，这家公司已经完全脱离了美国。

但 CFIUS 看的从来不是「现在注册在哪」。它会问的是：这家公司到底有没有保留来自美国的关联——核心 IP 是不是当年在美国开发的、早期研发和融资是不是发生在美国、创始团队或关键技术负责人是不是仍长期在美国活动、主要客户和数据流是不是仍指向美国、产品数据是不是仍存放在美国本土云节点。

只要其中几条对得上，这家「新加坡公司」在 CFIUS 眼里就还是一个承载美国技术、数据、人才和商业关系的实体——形式合规解除不了这层关系。

2026 年，一家中东主权基金提出 20 亿美元全资收购。

这笔交易在美国会怎么走？

买方名义上是中东主权基金，但 CFIUS 不会只看买方护照。它会一路追溯最终资金来源、共同投资人、side letter、信息权、董事权、否决权和退出安排。如果交易结构里出现中国国资、受中国影响的资本，或者看似被动但实际拥有特殊权利的 LP，这笔交易就会进入高风险区间。Lattice 案的教训不是「有中国 LP 就一定死」，而是资金链和控制权链条不能只看第一层。

注册地在新加坡不等于脱离美国。只要这家公司仍有美国用户、美国客户合同、美国数据中心、美国研发人员、美国来源 IP，或者关键管理层长期在美国工作，CFIUS 就可能认定它仍涉及美国业务。真正危险的不是「搬家」，而是「形式上搬走、实质资产还留在美国」。 这正是 Musical.ly 案的精神——形式上是两家开曼公司之间的交易，但因为有大量美国用户和美国数据，CFIUS 还是追溯审查。

如果交易结构中有美国主体直接或间接参与(美国基金、美国管理人、美国 GP、美国投资顾问，或者美国高管在境外基金里担任控制或决策角色)，还要额外考虑 2025 年生效的美国出境投资规则。它不是全面禁投 AI，也不是「只要有美国 LP 就自动违法」——但如果交易实质上把资本、管理帮助、技术网络或敏感能力导向中国 / 港澳相关的 AI 活动，就可能触发禁止或通知义务。纯被动 LP 在特定条件下有例外，但整条链不能依赖这条例外做主路径。

那么如果你是这家公司的创始人，你的选择只有两条：撤回交易换买方，或者签一份缓解协议(也就是前面说的 mitigation agreement)。

缓解协议听起来温和，实际上是慢性失血——美国政府派一个常驻监督员、设立董事会代理席(关键投票权交给美国人)、数据分仓、限制员工跨国流动、列出口管制设备清单。等那笔 20 亿到账时，你已经不再是原来那家公司了——你只是这家公司剩下的那 20%。

这是 CFIUS 还能给你的「最好结局」。

但事情还可以更糟——如果你的「迁址 + 卖出去」被判定为故意规避，CFIUS 就不只是撤交易，法律会盯上你个人。

美国法律对个人责任的几档火力，从轻到重大概是这样：

IEEPA(国际紧急经济权力法)下，2024 年通胀调整后的民事罚款是每项违规 37.77 万美元——或者交易金额双倍，取较高者。如果你的交易额是 20 亿美元，那一项就是 40 亿罚款上限。FIRRMA 反规避条款下还另有罚款——交易金额 100% 或 25 万美元，择高。

如果你的 AI 模型权重、训练数据或源代码被定性为受控技术，把它们「转移」到境外子公司就构成「出口」。这条线的刑事条款下，故意违反最高 20 年联邦监狱——这不是吓唬人，过去十年判过不止一次。

这是真正的核武器：

OFAC SDN 名单——列入即资产冻结、禁止与所有美国主体交易、禁止使用美元金融系统。如果有外籍，可被吊销签证、列入入境黑名单。这一条对企业家是终身废墟——你这辈子不能再做任何跨境生意。

这些不是抽象法条。过去十几年，真有人按这套被一档一档判过，2014 和 2019 年的两个案子我不便展开，但这些案子有一个共同点：每一笔都有一个「想让交易看起来合法」的中间结构——学者身份、美国 LLC、远程协作、自愿撤回重提。每一笔，最终都被穿透。

写到这里，我想做一个澄清。

我列这些处罚和案例，完全不是说这次的创业者该被这样对待。

之前提到的那两个美国案件，§ 1831 在条文里已经躺了十几年，IEEPA 和 EAR 的边界也早被无数法庭判例划清楚——他们事先就知道自己面对的是什么。这才是美国法律有底气重判他们的真正理由。

中国创业者面对的是同样的「穿透」逻辑——但规则刚开始长出来。他们当年签 term sheet 的时候，很可能是踩在规则正在长出来的那一刻。从这个角度来说，以及念及当时行业的现状，我同情故事的创业者和投资人。

很多创业者都特别关心海外架构等问题。我的看法是：

Lattice 的资金穿透、Musical.ly 的运营地穿透、反向 CFIUS 的子基金穿透——所有「以为找到漏洞」最终都被堵死。监管比创业者熟悉壳公司这件事，熟悉得多。

用户数据从数据库设计的第一天就分区，而不是部署层面才分仓——美国用户存美国数据中心、欧洲走欧盟、东南亚走新加坡，从底层 schema 就分，哪怕成本翻倍。这条做对的代表是字节跳动的 Project Texas——虽然最终也没救得了字节跳动，但至少为剥离争取了五年时间。

核心 IP 的所有权从一开始就放在独立的控股公司里(理想情况是不同法域的不同实体)，跟运营实体之间用授权协议连接，而不是用股权连接。这一条最难做，大多数创始人到 B 轮才意识到要分离，但那时候已经晚了。

这三件事互相独立，而且晚期再改成本极高。

我想专门讲一个观察。

这一代创业者大多懂技术、懂产品、懂增长，但是对法律和国际政治考虑得很少。 TikTok 案之前，我认识的出海创业者里几乎没人主动了解过 CFIUS;TikTok 案之后情况稍微好了一点，但绝大多数人停留在「听说过这个名字」的层面——它具体能做什么、什么样的交易会被盯上、过去十年判过谁，没人去查。

我能理解——法律和地缘是慢变量，做产品是小步快跑，创业者每天的注意力都被后者占满。但等到你的公司做大、跨境交易出现的那一天，这部分知识必须补上；而且不能等到要做的时候再补——那时候已经晚了。

37 年前为日本人写的那部法律，今天还在用，其实它从来没中断过，只是每个时代有不同的主角。

你今天做 AI 产品，监管不是来追你的。它只是终于走到了你这条赛道的门口。