首頁資訊國際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑

國際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑

來源：泰然健康網(wǎng) 時(shí)間：2025年06月21日 03:21

本文將結(jié)合國家網(wǎng)信辦于2月24日公布的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》，梳理MRCT數(shù)據(jù)跨境傳輸路徑及醫(yī)藥研發(fā)企業(yè)數(shù)據(jù)合規(guī)管理要點(diǎn)，以期為企業(yè)合規(guī)開展數(shù)據(jù)跨境傳輸提供借鑒，促進(jìn)國際醫(yī)學(xué)研究合作。

作者丨葛永彬董劍平邵亞光

創(chuàng)新藥企國際多中心臨床研究（Multi-regional clinical trials，MRCT）中數(shù)據(jù)采集和傳遞、產(chǎn)品跨境申報(bào)和注冊(cè)中均可能涉及健康醫(yī)療數(shù)據(jù)跨境傳輸。重要數(shù)據(jù)和個(gè)人信息識(shí)別、跨境傳輸路徑選擇、出境標(biāo)準(zhǔn)合同中申辦者的履約義務(wù)以及創(chuàng)新藥企數(shù)據(jù)安全合規(guī)體系構(gòu)建等事項(xiàng)是常見困擾。尤其在《藥品注冊(cè)核查檢驗(yàn)啟動(dòng)工作程序（試行）》要求的研發(fā)生產(chǎn)主體合規(guī)背景下，臨床試驗(yàn)數(shù)據(jù)合規(guī)性將直接影響創(chuàng)新藥企合規(guī)風(fēng)險(xiǎn)等級(jí)的判定。本文將結(jié)合國家網(wǎng)信辦于2月24日公布的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》，梳理MRCT數(shù)據(jù)跨境傳輸路徑及醫(yī)藥研發(fā)企業(yè)數(shù)據(jù)合規(guī)管理要點(diǎn)，以期為企業(yè)合規(guī)開展數(shù)據(jù)跨境傳輸提供借鑒，促進(jìn)國際醫(yī)學(xué)研究合作。

一、MRCT數(shù)據(jù)跨境傳輸路徑

據(jù)北京網(wǎng)信辦消息，首都醫(yī)科大學(xué)附屬北京友誼醫(yī)院（“北京友誼醫(yī)院”）普外中心和阿姆斯特丹大學(xué)醫(yī)學(xué)中心普通外科作為全球牽頭中心發(fā)起的國際多中心臨床研究項(xiàng)目通過了數(shù)據(jù)出境安全評(píng)估，成為國內(nèi)首個(gè)數(shù)據(jù)合規(guī)出境案例。該案例引起熱議的話題之一是北京友誼醫(yī)院因何原因觸發(fā)了數(shù)據(jù)出境安全評(píng)估程序，系涉及百余例入組病例的健康醫(yī)療數(shù)據(jù)和遺傳信息/基因信息屬于重要數(shù)據(jù)，還是大型三甲醫(yī)院構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（CIIO），亦或是因過百萬的接診量構(gòu)成“100萬人以上個(gè)人信息”的主體范疇？

（一）主體身份識(shí)別：是否屬于CIIO或是非CIIO中100萬人的個(gè)人信息處理規(guī)模企業(yè)

根據(jù)《數(shù)據(jù)安全法》和《數(shù)據(jù)出境安全評(píng)估辦法》的有關(guān)規(guī)定[1]，企業(yè)向境外傳輸、共享臨床試驗(yàn)數(shù)據(jù)可能會(huì)觸發(fā)網(wǎng)信部門的事前安全評(píng)估程序。安全評(píng)估采取“一事一議”原則，評(píng)估周期較長，且容易觸發(fā)重新申報(bào)評(píng)估條件，無形中導(dǎo)致企業(yè)合規(guī)成本增加。在判斷是否涉及申報(bào)安全評(píng)估時(shí)，區(qū)分?jǐn)?shù)據(jù)（個(gè)人信息）處理者的身份屬性至關(guān)重要。企業(yè)是否屬于CIIO，需要識(shí)別企業(yè)所涉業(yè)務(wù)是否涉及重要行業(yè)和領(lǐng)域、遭到破壞或者喪失功能的危害后果以及是否高度依賴信息化運(yùn)行方式。實(shí)踐中，企業(yè)是否屬于CIIO更多取決于行業(yè)主管機(jī)構(gòu)的認(rèn)定。而企業(yè)是否“處理個(gè)人信息達(dá)到100萬人以上”，須認(rèn)定所處理的信息能識(shí)別或是關(guān)聯(lián)到的信息主體是否合計(jì)（包括員工、客戶、用戶）達(dá)到100萬人及以上。結(jié)合上述案例，北京友誼醫(yī)院可能同時(shí)被認(rèn)定是CIIO和處理100萬人以上信息規(guī)模的機(jī)構(gòu)，因而觸發(fā)安全評(píng)估申報(bào)。當(dāng)創(chuàng)新藥企未被認(rèn)為是CIIO或是處理個(gè)人信息達(dá)到100萬人以上的實(shí)體時(shí)，其基于數(shù)據(jù)出境主體身份而觸發(fā)安全評(píng)估的可能性便相對(duì)減小。

（二）數(shù)據(jù)屬性判定：重要數(shù)據(jù)or個(gè)人信息

《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)相繼確立了數(shù)據(jù)和個(gè)人信息分級(jí)分類保護(hù)制度。正確判斷數(shù)據(jù)屬性是數(shù)據(jù)合規(guī)跨境傳輸?shù)幕?。是否觸發(fā)安全評(píng)估申報(bào)，除了界定企業(yè)主體身份外，還要看擬跨境傳輸?shù)呐R床試驗(yàn)數(shù)據(jù)是否落入受監(jiān)管的重要數(shù)據(jù)和個(gè)人信息范疇。

申辦者若向境外提供重要數(shù)據(jù)，出境前必須要向網(wǎng)信部門申報(bào)并通過數(shù)據(jù)出境安全評(píng)估。上述案例中，北京友誼醫(yī)院特別提及在申報(bào)準(zhǔn)備初期，該院建立了“重要數(shù)據(jù)出境的審核、評(píng)估和監(jiān)督機(jī)制”。2022年發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南（征求意見稿）》提出“反映群體健康生理狀況、族群特征、遺傳信息等的基礎(chǔ)數(shù)據(jù)，如人口普查資料、人類遺傳資源信息、基因測序原始數(shù)據(jù)屬于重要數(shù)據(jù)”。申辦者可重點(diǎn)從兩個(gè)維度綜合判斷臨床試驗(yàn)數(shù)據(jù)是否構(gòu)成重要數(shù)據(jù)?！叭后w性”，是否包含達(dá)到一定規(guī)?；蚓鹊幕驍?shù)據(jù)或是重要遺傳家系和特定地區(qū)的人類遺傳資源信息；“生物安全性”，是否涉及人類遺傳資源信息。觸及任一維度時(shí)，申辦者須按“就高原則”考慮適用申報(bào)安全評(píng)估，通過后再向境外提供臨床試驗(yàn)數(shù)據(jù)。若臨床試驗(yàn)涉及利用我國人類遺傳資源材料或信息，還應(yīng)同時(shí)履行國際合作科學(xué)研究審批、國際合作臨床試驗(yàn)備案、對(duì)外提供或開放使用的安全審查及信息備份、人類遺傳資源材料出境證明等要求。

申辦者向境外提供的臨床試驗(yàn)數(shù)據(jù)是否會(huì)包含個(gè)人信息，甚至是敏感個(gè)人信息？通過比對(duì)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和《藥物臨床試驗(yàn)質(zhì)量管理規(guī)范》對(duì)“敏感個(gè)人信息”和“源文件”的定義[2]，不難發(fā)現(xiàn)臨床試驗(yàn)的源文件涵蓋受試者的敏感個(gè)人信息。雖然申辦者接觸到的臨床試驗(yàn)數(shù)據(jù)是以受試者鑒認(rèn)代碼信息進(jìn)行標(biāo)記的，但該等信息尚未達(dá)到“匿名化處理”的程度，畢竟臨床試驗(yàn)機(jī)構(gòu)了解鑒認(rèn)代碼與受試者身份的對(duì)應(yīng)關(guān)系，必要時(shí)，臨床試驗(yàn)機(jī)構(gòu)可以對(duì)相關(guān)數(shù)據(jù)進(jìn)行揭盲，從而建立數(shù)據(jù)與某一具體受試者的對(duì)應(yīng)關(guān)系。因此，可將臨床試驗(yàn)數(shù)據(jù)視為“去標(biāo)識(shí)化”的個(gè)人信息，并需要遵守《個(gè)人信息保護(hù)法》中有關(guān)個(gè)人信息跨境處理的規(guī)定，即向境外提供個(gè)人信息可通過安全評(píng)估、標(biāo)準(zhǔn)合同及個(gè)人信息保護(hù)認(rèn)證三種法定途徑實(shí)現(xiàn)。若將包含敏感個(gè)人信息的臨床試驗(yàn)數(shù)據(jù)未經(jīng)脫敏處理直接向境外傳輸，一旦自上年1月1日起已經(jīng)累計(jì)向境外提供1萬人敏感個(gè)人信息的，再向境外提供哪怕1條個(gè)人信息，也須向網(wǎng)信部門進(jìn)行出境安全評(píng)估申報(bào)。對(duì)于管線研發(fā)能力活躍的創(chuàng)新藥企而言，這一門檻數(shù)量較為常見。企業(yè)需要提前謀劃應(yīng)對(duì)方案，并判斷是否可以避免或減少敏感個(gè)人信息的跨境傳輸，以降低觸及安全評(píng)估申報(bào)的可能性。

（三）最優(yōu)傳輸路徑選擇：訂立標(biāo)準(zhǔn)合同

在MRCT場景下，若申辦者同時(shí)符合下列情形，則可以選擇訂立國家網(wǎng)信辦制定的個(gè)人信息出境標(biāo)準(zhǔn)合同（“標(biāo)準(zhǔn)合同”）向境外提供臨床試驗(yàn)數(shù)據(jù)，免除申報(bào)數(shù)據(jù)出境安全評(píng)估程序：一是非CIIO；二是處理個(gè)人信息不滿100萬人的；三是自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿10萬人的；四是自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿1萬人的。其中，“10萬”和“1萬”是指向境外提供個(gè)人信息所能識(shí)別或是關(guān)聯(lián)到的個(gè)人信息主體數(shù)量，包括任何目的、形式下的跨境傳輸。此外，監(jiān)管部門嚴(yán)禁申辦者采取數(shù)量拆分等手段規(guī)避安全評(píng)估的法定要求?？梢灶A(yù)見，通過訂立標(biāo)準(zhǔn)合同的方式實(shí)現(xiàn)多中心臨床數(shù)據(jù)跨境處理，將成為申辦者最常采用以及合規(guī)成本較小的一種合法路徑。

以筆者近期服務(wù)的一項(xiàng)MRCT項(xiàng)目為例。該試驗(yàn)采用的EDC系統(tǒng)及eCOA應(yīng)用軟件（App）供應(yīng)商的母公司為境外主體，且EDC系統(tǒng)的服務(wù)器部署在境外，屬于典型的數(shù)據(jù)出境情形。筆者對(duì)該供應(yīng)商進(jìn)行深入盡調(diào)，一方面了解該等供應(yīng)商作為境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到我國法律、行政法規(guī)的規(guī)定和強(qiáng)制性國家標(biāo)準(zhǔn)的要求，例如涉及向其他境外第三方再傳輸時(shí)的權(quán)責(zé)方案。另一方面核查eCOA App的合規(guī)性，例如eCOA App的隱私政策是否詳述個(gè)人信息出境的安排；受試者登陸eCOA App時(shí)是否取得其同意個(gè)人信息出境的單獨(dú)同意等。實(shí)踐中，有時(shí)并非申辦者作為數(shù)據(jù)處理者與境外接收方直接簽署數(shù)據(jù)出境合同，而是由CRO與該等供應(yīng)商簽署。我們需要根據(jù)項(xiàng)目實(shí)際情況評(píng)估申辦方、CRO及相關(guān)供應(yīng)商之間的法律關(guān)系，例如哪一方是個(gè)人信息處理者，哪一方是受委托處理個(gè)人信息的，是否存在兩個(gè)以上個(gè)人信息處理者共同決定個(gè)人信息的處理目的和方式的情形。

二、標(biāo)準(zhǔn)合同中申辦者涉及哪些履約義務(wù)

面對(duì)強(qiáng)監(jiān)管下的行政指導(dǎo)合同，申辦者作為標(biāo)準(zhǔn)合同中的數(shù)據(jù)處理者，需承擔(dān)哪些強(qiáng)制性義務(wù)？

（一）標(biāo)準(zhǔn)合同主要內(nèi)容

合同相關(guān)定義和基本要素、個(gè)人信息處理者和境外接收方的合同義務(wù)、境外接收方所在國家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響、個(gè)人信息主體的權(quán)利和相關(guān)救濟(jì)，以及合同解除、違約責(zé)任、爭議解決等事項(xiàng)，以及個(gè)人信息出境說明、雙方約定的其他條款等兩個(gè)附錄。

（二）申辦者作為個(gè)人信息處理者的義務(wù)

（三）標(biāo)準(zhǔn)合同適用的其他要點(diǎn)

（四）申辦者如何證明自身妥善履約

標(biāo)準(zhǔn)合同規(guī)定由個(gè)人信息處理者承擔(dān)標(biāo)準(zhǔn)合同條款的履約舉證責(zé)任。根據(jù)該規(guī)定，如果個(gè)人信息處理者舉證不能，就可能要面臨被約談或是被處罰的不利后果。這一制度安排，要求個(gè)人信息處理者作為合同一方必須做到全面履約、工作留痕，確保合規(guī)可見。

具體而言，申辦者須依法開展個(gè)人信息保護(hù)影響評(píng)估，記錄履行告知和取得同意等法定義務(wù)的過程。同時(shí)，申辦者須監(jiān)督境外接收方采取必要的技術(shù)和管理措施，定期查閱境外接收方的數(shù)據(jù)文件和文檔，適時(shí)對(duì)其數(shù)據(jù)處理活動(dòng)開展合規(guī)審計(jì)，并要求境外接收方對(duì)個(gè)人信息處理活動(dòng)進(jìn)行記錄并保存至少3年。

（五）個(gè)人數(shù)據(jù)保護(hù)協(xié)議（PDPA）如何與標(biāo)準(zhǔn)合同互補(bǔ)

筆者曾在協(xié)助中國客戶處理其與境外合作伙伴的數(shù)據(jù)跨境傳輸合規(guī)事項(xiàng)時(shí)，參與個(gè)人數(shù)據(jù)保護(hù)協(xié)議（Personal Data Protection Agreement，“PDPA”）的起草與談判，以完善雙方在數(shù)據(jù)跨境傳輸方面的義務(wù)。在PDPA中，除簽署標(biāo)準(zhǔn)合同之外，在不構(gòu)成內(nèi)容沖突的情況下，雙方還可以就境外合作伙伴法域的數(shù)據(jù)傳輸合規(guī)、數(shù)據(jù)安全合規(guī)培訓(xùn)及保密義務(wù)、境外合作伙伴向其所在其他法域的集團(tuán)公司傳輸數(shù)據(jù)時(shí)應(yīng)履行的義務(wù)等事項(xiàng)上作出進(jìn)一步約定。

三、數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估/個(gè)人信息保護(hù)影響評(píng)估要點(diǎn)

（一）在申報(bào)數(shù)據(jù)出境安全評(píng)估前如何開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估

數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前，應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，重點(diǎn)評(píng)估以下事項(xiàng)：一是數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性；二是出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度，數(shù)據(jù)出境可能對(duì)國家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來的風(fēng)險(xiǎn)；三是境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；四是數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；五是與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)；六是其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。

結(jié)合北京友誼醫(yī)院的案例，該院著重論證了數(shù)據(jù)出境的必要性。作為借鑒，申辦者可以重點(diǎn)對(duì)MRCT項(xiàng)目的科學(xué)意義和產(chǎn)出價(jià)值進(jìn)行深入評(píng)估，尤其對(duì)數(shù)據(jù)出境與項(xiàng)目實(shí)施和產(chǎn)出之間的關(guān)系進(jìn)行分析，從而得出數(shù)據(jù)出境具有必要性的結(jié)論。

（二）在簽署標(biāo)準(zhǔn)合同的同時(shí)如何開展個(gè)人信息保護(hù)影響評(píng)估

個(gè)人信息處理者向境外提供個(gè)人信息前，應(yīng)當(dāng)開展個(gè)人信息保護(hù)影響評(píng)估，重點(diǎn)評(píng)估以下內(nèi)容：一是個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性；二是出境個(gè)人信息的規(guī)模、范圍、種類、敏感程度，個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來的風(fēng)險(xiǎn)；三是境外接收方承諾承擔(dān)的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全；四是個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等；五是境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響；六是其他可能影響個(gè)人信息出境安全的事項(xiàng)。

如何評(píng)估境外接收方所在國家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響呢？參考?xì)W盟數(shù)據(jù)保護(hù)委員會(huì)（EDPB）相關(guān)建議及其生效后部分實(shí)踐，至少需要考慮以下因素：（1）當(dāng)?shù)噩F(xiàn)行的個(gè)人信息保護(hù)法律法規(guī)；（2）加入?yún)^(qū)域或全球個(gè)人信息保護(hù)組織或做出相關(guān)國際承諾的情況；（3）當(dāng)?shù)芈鋵?shí)個(gè)人信息保護(hù)的機(jī)制；（4）當(dāng)?shù)匦姓?、監(jiān)管或司法程序等要求調(diào)取個(gè)人信息的情況；（5）個(gè)人信息主體在當(dāng)?shù)貙で笏痉ň葷?jì)的可行性等[3]。

四、創(chuàng)新藥企如何建設(shè)數(shù)據(jù)合規(guī)管理體系

縱觀《藥物臨床試驗(yàn)質(zhì)量管理規(guī)范》的有關(guān)規(guī)定，申辦者作為臨床試驗(yàn)的發(fā)起組織者、經(jīng)費(fèi)提供者和數(shù)據(jù)質(zhì)量的最終責(zé)任人，是臨床試驗(yàn)的重要主體。一旦因?yàn)樯贽k者建立的質(zhì)量管理體系不完善導(dǎo)致臨床數(shù)據(jù)缺失、錯(cuò)誤、泄漏等，將無法保證數(shù)據(jù)質(zhì)量，進(jìn)而影響藥物臨床試驗(yàn)全局。與此同時(shí)，根據(jù)《藥品注冊(cè)核查檢驗(yàn)啟動(dòng)工作程序（試行）》的有關(guān)規(guī)定，臨床試驗(yàn)數(shù)據(jù)真實(shí)性、可靠性和完整性方面的瑕疵，將使得監(jiān)管機(jī)構(gòu)啟動(dòng)藥品注冊(cè)核查，并基于藥物臨床試驗(yàn)現(xiàn)場啟動(dòng)注冊(cè)核查的風(fēng)險(xiǎn)等級(jí)判定結(jié)果進(jìn)行風(fēng)險(xiǎn)等級(jí)標(biāo)注。《藥品注冊(cè)核查要點(diǎn)與判定原則（藥物臨床試驗(yàn)）（試行）》中明確規(guī)定經(jīng)核查確認(rèn)的下述情形認(rèn)定為“不通過”：隱瞞試驗(yàn)數(shù)據(jù)，無合理解釋地棄用試驗(yàn)數(shù)據(jù)，以其他方式違反試驗(yàn)方案選擇性使用試驗(yàn)數(shù)據(jù)；故意損毀、隱匿臨床試驗(yàn)數(shù)據(jù)或者數(shù)據(jù)存儲(chǔ)介質(zhì)等。此外，越來越多的企業(yè)在上市審核過程中收到數(shù)據(jù)合規(guī)相關(guān)問題的詢問，包括既有數(shù)據(jù)及新增數(shù)據(jù)獲取來源的合法合規(guī)性，以及企業(yè)數(shù)據(jù)合規(guī)管理制度建設(shè)及技術(shù)保障措施落實(shí)情況等。為此，創(chuàng)新藥企可著力在以下方面實(shí)施數(shù)據(jù)安全合規(guī)建設(shè)：

一是在外部專業(yè)機(jī)構(gòu)的幫助下開展數(shù)據(jù)合規(guī)盡調(diào)和風(fēng)險(xiǎn)排查，就業(yè)務(wù)場景、數(shù)據(jù)類別、安全技術(shù)措施和等保級(jí)別等信息進(jìn)行梳理。在此基礎(chǔ)上搭建數(shù)據(jù)合規(guī)內(nèi)控體系，包括（1）各部門數(shù)據(jù)合規(guī)管理職責(zé)，尤其是健康醫(yī)療數(shù)據(jù)安全負(fù)責(zé)人及其管理部門制度；（2）數(shù)據(jù)合規(guī)內(nèi)控管理制度體系，例如數(shù)據(jù)分類分級(jí)、網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制、數(shù)據(jù)安全事件應(yīng)急預(yù)案、醫(yī)療數(shù)據(jù)及個(gè)人信息出境等制度；（3）各類數(shù)據(jù)合規(guī)文本，例如各具體應(yīng)用場景的數(shù)據(jù)清單、內(nèi)部數(shù)據(jù)處理記錄模板、隱私聲明模板、跨境傳輸自評(píng)估報(bào)告、數(shù)據(jù)跨境傳輸協(xié)議模板等，以期能從業(yè)務(wù)合同簽訂到實(shí)際業(yè)務(wù)操作給予企業(yè)人員明確的指引，降低企業(yè)違規(guī)的風(fēng)險(xiǎn)。

二是定期對(duì)重要的或新發(fā)的數(shù)據(jù)處理活動(dòng)實(shí)施風(fēng)險(xiǎn)評(píng)估。借鑒《個(gè)人信息保護(hù)法》項(xiàng)下規(guī)定的個(gè)人信息安全影響評(píng)估（Personal Information Security Impact Assessment，“PIA”），根據(jù)與業(yè)務(wù)相關(guān)的數(shù)據(jù)應(yīng)用場景及流轉(zhuǎn)鏈路，模擬處理流程和潛在安全風(fēng)險(xiǎn)，主動(dòng)出擊設(shè)計(jì)應(yīng)對(duì)措施。同時(shí)，須做好服務(wù)供應(yīng)商管理，確保其符合國家和行業(yè)規(guī)定及要求，建立起各方相互匹配的數(shù)據(jù)安全管理、個(gè)人信息保護(hù)和應(yīng)急響應(yīng)管理機(jī)制。

三是重點(diǎn)夯實(shí)與企業(yè)主營業(yè)務(wù)相關(guān)的數(shù)據(jù)合規(guī)基礎(chǔ)。如針對(duì)健康醫(yī)療數(shù)據(jù)跨境傳輸與共享，對(duì)于必須本地化處理的數(shù)據(jù)，應(yīng)當(dāng)做好相應(yīng)的技術(shù)準(zhǔn)備。提前了解境外接收方所在地區(qū)的數(shù)據(jù)保護(hù)政策，并在標(biāo)準(zhǔn)合同的基礎(chǔ)上，起草更為完善和定制化的個(gè)人數(shù)據(jù)保護(hù)協(xié)議，對(duì)雙方義務(wù)進(jìn)行更詳盡明晰的約定，從而降低合規(guī)成本以及項(xiàng)目延期的風(fēng)險(xiǎn)。與此同時(shí)，及時(shí)關(guān)注主管部門后續(xù)發(fā)布的監(jiān)管細(xì)則，有效、快速、隨時(shí)應(yīng)對(duì)監(jiān)管舉措。必要時(shí)，企業(yè)也可咨詢相關(guān)法域的法律專業(yè)人士。

在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等通用領(lǐng)域數(shù)據(jù)合規(guī)立法、健康醫(yī)療數(shù)據(jù)行業(yè)立規(guī)的大背景下，生物醫(yī)藥企業(yè)面臨的合規(guī)監(jiān)管態(tài)勢日趨嚴(yán)峻，應(yīng)當(dāng)盡早謀劃，做好數(shù)據(jù)合規(guī)應(yīng)對(duì)。

[注]

[1]《數(shù)據(jù)安全法》第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定?！稊?shù)據(jù)出境安全評(píng)估辦法》第四條規(guī)定，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估：（一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（三）自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；（四）國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。

[2] GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》附錄B中表B.1列示個(gè)人健康生理信息指個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等?！端幬锱R床試驗(yàn)質(zhì)量管理規(guī)范》第十一條第（三十一）項(xiàng)源文件，指臨床試驗(yàn)中產(chǎn)生的原始記錄、文件和數(shù)據(jù)，如醫(yī)院病歷、醫(yī)學(xué)圖像、實(shí)驗(yàn)室記錄、備忘錄、受試者日記或者評(píng)估表、發(fā)藥記錄、儀器自動(dòng)記錄的數(shù)據(jù)、縮微膠片、照相底片、磁介質(zhì)、X光片、受試者文件，藥房、實(shí)驗(yàn)室和醫(yī)技部門保存的臨床試驗(yàn)相關(guān)的文件和記錄，包括核證副本等。源文件包括了源數(shù)據(jù)，可以以紙質(zhì)或者電子等形式的載體存在。

[3] 詳見《中國版標(biāo)準(zhǔn)合同條款揭開面紗，能否成為個(gè)人信息出境的通途（二）？》

作者簡介

葛永彬律師

上海辦公室合伙人

業(yè)務(wù)領(lǐng)域：中國內(nèi)地資本市場, 香港和境外資本市場, 合規(guī)和反腐敗

特色行業(yè)類別：健康與生命科學(xué)

董劍平律師

上海辦公室合伙人

業(yè)務(wù)領(lǐng)域：中國內(nèi)地資本市場, 香港和境外資本市場, 私募股權(quán)和投資基金

邵亞光律師

上海辦公室資本市場部

聲明：本文來自中倫視界，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表安全內(nèi)參立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系 anquanneican@163.com。