1. 首页
  2. 第三十四期
  3. 行业动态

临床数据出境合规

来源:法律安全管理总部,段吟天 | 发布时间:2022-07-27

一、背景和介绍

就在近日国家对滴滴对数据的违法收集、过度收集以及未告知收集乘客数据的数据和信息的行政处罚的靴子终于落下,对滴滴公司处以80.26亿的罚款,对滴滴公司董事长程维和总裁柳青各处以人民币100万的罚款。即便处罚的原因是因为滴滴公司对数据不合规的收集,但是业界仍然不失大量的人质疑其背后主要原因还是因为公司为了赴美上市,将其在国内收集的数据进行出境给了美国的监管部门。

无论是处于何种原因,这个处罚更是让大家更加熟悉了一个近几年经常听到的词语:数据合规。即便对于很多的非法律人士,在这几年也多多少对这个词语都有耳闻。但是又恰好对于大部分的人而言,即便是法律从业人士而言,又没有太多人了解过这块业务到底是怎么一回事,更遑论涉及到具体的医疗、医药行业的临床数据合规以及对应的医疗数据出境合规,即便这块的合规对于一个医药公司至关重要。

二、数据跨境传输

图示 描述已自动生成

图一 临床数据出境合规总览图

为了了解何为临床数据出境合规,首先得熟悉临床数据的流向以及哪一步才涉及所谓的出境。根据上面的临床数据流向图,数据产生的第一步是病人的自己填写或者检查报告中的数据,然后再被CRC录入到EDC系统里面,进而其他方(如医学人员、CRA等)可以进一步就数据进行使用和分析。最后形成报告再交置给申办方(如医药公司)。而医药公司基于自己的海外或者国际商业以及研发诉求,届时可能就会涉及医药公司和海外的各方进行数据的共享(如MRCT或者海外注册)。所以根据这个流向,至少我们能够识别出来医药公司的最后一步和海外各方共享数据肯定是涉及到临床数据出境,但是除此之外,是否还有别处也涉及到临床数据出境呢?比如说将信息上传至EDC?

根据《个人信息和重要数据出境安全评估办法》,数据出境,是指在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。但是需要注意的是以下情形属于数据出境:a) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;b) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);c) 集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。所以根据上述情形,我们可以很清晰的了解到如果讲数据上传至海外的EDC或者将存储在境内的EDC中但是向海外主体开放访问路径也都是属于数据出境。更有甚者,境内主体只是在境内将数据出示给境外主体也有可能涉及“出境”这个概念。

图二 数据跨境传输

  1. 重要数据和个人信息

在明确何为数据跨境传输之后,临床数据出境涉及的两个概念也有待了解清楚:重要数据和个人信息。根据《安全评估指南》以及其附件《重要数据识别指南》A18和《重要数据识别指南》A20:

  • 与国家安全、经济发展,以及社会公共利益密切相关的数据(包括原始数据和衍生数据)。注1:具体范围见附录A。注2:经政府信息公开渠道合法公开的,不再属于重要数据。
  • 重要数据包括但不限于:a) 在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;c) 医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;g) 个人和家族的遗传信息;
  • 重要数据包括但不限于:a) 涉及国家战略安全的药品在药品审批过程中提交的药品实验数据,例如在动物模型上进行的药理、毒理、稳定性、药代动力学等试验数据,在人体中进行的临床试验数据,以及与药品的生产流程、生产设施有关的试验数据;b) 第二类、第三类医疗器械临床试验数据/报告;

从上面的定义来看可以得出临床数据是属于重要数据这个概念的,因为无论是从“医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息”这个角度来看也好,还是从“例如在动物模型上进行的药理、毒理、稳定性、药代动力学等试验数据,在人体中进行的临床试验数据,以及与药品的生产流程、生产设施有关的试验数据”的角度来看,都是看得出立法者有意识的把范围扩大到包括大量的药物研发的数据。

图示, 示意图 描述已自动生成

图三 重要数据

其次根据《个人信息保护法》的第二十八条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。里面特意提到的医疗健康和生物识别,所以不难看出临床数据属于“敏感个人信息”,这个“个人信息”的下位子概念中。

文本 中度可信度描述已自动生成

图四 个人信息

四、合规措施

既然临床数据已经被认定为政府监管的对象(重要数据和个人信息)了,那医药公司为了满足其海外合作或者商业化注册的需求,如何才能合法合规将这些数据进行出境?首先医药公司所需要进行两道门的审核和评估:风险自评估和主管部门评估。

风险自评估是企业在将数据进行出境之外自行开展对该行为所可能面临的风险的评估,其有几个点需要特别关注:启动条件、工作要求、评估要点和评估报告。基本上企业一旦涉及临床数据出境即会触发启动条件。而工作要点则包括数据出境安全自评估工作组:工作组主要包含法务、政策、安全、技术、管理相关专业人员; 数据出境安全自评估工作组应负责审查业务部门提交的数据出境计划,并定期对数据出境情况开展检查、抽查。甚至还包括应制定数据出境计划,计划的内容包括但不限于: a) 涉及个人信息情况,包括个人信息的类型、数量、范围和敏感程度等; b) 涉及重要数据情况,包括重要数据的类型、数量和范围等; c) 涉及的信息系统情况; d) 数据发送方安全保护能力; e) 数据接收方安全保护能力及其所在的国家或地区的基本情况。再下一个环节就是评估要点,如对个人权益产生的影响、对国家安全、社会公共利益产生的影响、评估发送方的安全保障能力登记以及接收方所在国家的政治法律环境。最后即形成一份评估报告。

文本 描述已自动生成

图五 风险自评估一

文本 描述已自动生成

图六 风险自评估二

在企业完成风险自评估之后,则需要通过省级的网信部门向国家级的网信部门申请开展安全评估:

  • 启动条件:具有下列情形之一的,国家网信部门、行业主管部门可启动主管部门评估: b) 包含核设施、生物化学、国防军工、人口健康等领域数据,大型工程活动、海洋环境、敏感地理信息数据,以及其他重要数据的; d) 关键基础设施运营者数据出境的; h) 其他经国家网信部门、行业主管部门认定有必要启动主管部门评估的。
  • 制定评估方案:确定评估对象;成立评估工作组;制定评估程序和方法
  • 评估报告:数据出境主管部门评估结果及理由; 数据出境重大风险点;数据出境计划检查修正建议
  • 专家委员会审议:国家网信部门、行业主管部门组织成立包括网络安全专家、数据安全专家以及所在行业专家等的专家委员会,专家委员会负责对主管部门评估报告进行研讨分析,给出是否同意数据出境的建议
图片包含 QR 代码 描述已自动生成

图七 安全自评估

除了上述两项评估之外,医药企业可以考虑开展其他几项合规措施以减少其违规风险,如国际数据传输协议、知情同意书和保存期限。

  • 国际数据传输协议:数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
  • 知情同意书:在受试者签署知情同意书中列明出境行为、出境目的、境外接收方相关信息等重要相关信息。应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
  • 保存期限:个人信息保护影响评估报告和处理情况记录应当至少保存三年。
文本 描述已自动生成

图八 其他合规措施

  1. 人类遗传资源管理条例

最后医药企业在临床数据出境时还需充分衡量其数据是否还涉及“人类遗传资源”,如果涉及,则需要考虑以下几个点:

  • 外方单位不得在境内采集、保藏以及对外提供我国人类遗传资源。
  • 出境前,中方单位需要去科技部事先备份;
  • 如果出境会影响到(i)我国公众健康、(ii)国家安全和(iii)社会公共利益,以及重要遗传家系的人类遗传资源信息、特定地区人遗信息、500人以上的外显子测序、基因组测序信息资源,则:需通过科技部的事先安全审查。
  • 电子数据采集系统/EDC为外方单位,也需要进行备案。
图片包含 日程表 描述已自动生成

Market Trend

行业动态

 专题研究 临床数据出境合规