沖破國際化進程中數據流動障礙——淺議中美數據跨境新規對醫藥行業的影響及應對策略
- 2024-07-04 11:40
- 作者:葛永彬?董劍平?邵亞光
- 來源:中國醫藥報
近期,中美兩國數據跨境傳輸監管政策呈現不同的變化趨勢。
中國政府采取嚴中趨寬的政策導向,積極回應外資企業訴求,探索構建“審批后流動+自由流動”雙模式。而美國方面,總統拜登于2月28日簽署并發布了《防止受關注國家獲取美國人士大量敏感個人數據和美國政府相關數據的行政命令》(以下簡稱《行政命令》);美國司法部于同日配套發布了關于該《行政命令》擬議規則制定的預先通知(ANPRM)的事實說明(以下簡稱《事實說明》)。未來,達到一定數量級別的人類基因組數據、個人健康數據等美國人士敏感個人數據將被禁止或限制在美國和中國等受關注國家之間交易。
對于中國藥械出海企業、跨國生物醫藥公司、從事投資或商務拓展(BD)交易的創新藥企而言,如何把握中美兩國數據監管政策,提前規劃數據出境業務,部署合規風險應對措施,都至關重要。
六類數據被規制
美國《行政命令》《事實說明》以及后續發布的實施細則,旨在對特定國家與美國之間進行的涉及大量敏感個人數據和政府數據(以下合稱受規制數據)相關交易進行審查和限制。
受到規制的數據類型
《行政命令》和《事實說明》規定了六類敏感個人數據,即:限定類型的個人標識符;精確地理位置數據;生物識別標識符(例如指紋、面部識別、虹膜掃描等);人類生物學組學數據(例如人類基因組數據、表觀基因組數據、蛋白質組數據等);個人健康數據;個人財務數據。以及前述不同數據的任何組合,并且這些數據需要與任何可識別的美國個人或群體相關聯。此外,《行政命令》規制的數據范圍還包括與美國政府相關的數據。具體的敏感個人數據類型還將在后續規定中進一步細化。
需要特別說明的是,只有當關于敏感個人數據的交易超過規定的閾值(即一定數量的美國人人數或美國設備數量)時,數據交易才會落入規制范疇,但目前尚未出臺具體閾值規則。而與美國政府相關的數據不受閾值規則的影響。
受到規制的數據交易類別
根據《行政命令》和《事實說明》,對于禁止或限制的交易類別,可能既包括通過購買數據集實現對受規制數據的直接訪問,也包括獲取受規制數據的訪問權限,以便可以對其進行閱讀、復制、解密或以任何形式查看或接收。《事實說明》對此做了進一步細化:
可能被禁止的數據交易類別?包括數據經紀交易,例如通過數據經紀商直接購買包含美國人士個人健康數據的真實世界數據集;涉及批量人類基因組數據或可從中提取此類數據的生物樣本的基因組數據交易。
可能被限制的數據交易類別?關注國家管轄、指導、擁有所有權或控制的實體或人員基于:涉及商品和服務提供的供應商協議(包括云服務協議),或雇傭協議,或投資協議直接或間接獲取受規制數據。例如,一家注冊于受關注國家的A公司為美國藥械公司提供云服務,A公司存在利用其供應商的身份通過直接接收或在線訪問等方式獲取美國藥械公司敏感個人數據的可能性。根據《行政命令》和《事實說明》的有關規定,被限制的數據交易類別項目可以正常開展,但其前提是滿足一定的安全要求,例如,基本的網絡安全要求、物理和邏輯訪問控制、數據掩碼和最小化以及隱私保護技術等。
臨床試驗、藥物警戒等受影響
隨著《行政命令》及其配套法規的實施,生物醫藥企業美國子公司或分公司、跨國公司在美總部或在美實體、美國藥械公司、美國醫療機構或研究機構、數據經紀商等主體,取得、共享或跨境接收美國人士大量敏感個人數據的難度增加,可能影響藥械研發、臨床試驗、藥物警戒、產品經營等主營業務開展。
注冊性臨床試驗(IST)/臨床研究(IIT)場景
場景描述?例如,藥企在中國申報臨床試驗申請或產品注冊申請時,可能涉及美國藥企向中國藥品監管機構提交已有人體臨床經驗、臨床數據、病例報告表等。在覆蓋中美兩地的國際多中心臨床試驗中,可能涉及美國藥企向位于中國的中心實驗室傳輸受試者臨床試驗數據情形。創新藥研發公司在產品License-in項目中,也可能涉及美國許可方將包含大量去標識化的受試者個人信息和HCP(醫療衛生專業人士)個人信息跨境傳輸給境內被許可方和一系列供應商的情形。此外,研究者發起的臨床研究也涉及收集和跨境傳輸與疾病的診斷、治療、康復、預后、病因、預防及健康維護等活動有關的健康醫療數據。
數據類型?臨床試驗通常會收集受試者的個人健康數據,例如手術信息、病理信息、診斷信息、病歷數據、處方信息、患者報告結局等;可能包含人類生物學組學數據的人類遺傳資源材料,例如全血、血清、血漿等;涉及醫療服務支付記錄的個人財務數據,例如保險索賠數據、賬單信息等;個人生物特征數據,例如指紋、DNA信息等。上述數據均可能落入《行政命令》規制的敏感個人數據范疇。
影響評估?《行政命令》旨在禁止或限制美國人士大量的敏感個人數據在中美兩國之間收集和傳輸。當臨床研究或臨床試驗所收集的數據量小于法定的閾值要求時,則可能不會落入《行政命令》規制范疇。
此外,待《行政命令》具體實施細則出臺后,生物醫藥企業可以在專業人士的協助下積極論證臨床研究或臨床試驗數據收集和傳輸的必要性,探索將前述場景中的數據跨境傳輸行為納入數據交易豁免清單、或是取得有權部門頒發的交易許可證的可能性。
藥物警戒場景
場景描述?藥物警戒是生物醫藥公司履行《中華人民共和國藥品管理法》以及ICH相關國際指南的法定義務。根據《藥物警戒質量管理規范》第三十八條和第五十一條的有關規定,對于境內外均已上市的藥品,藥品上市許可持有人應當收集在境外發生的疑似藥品不良反應信息。
因此,對于在全球多個國家和地區上市的藥品而言,跨國藥企通常會利用所建立的全球藥物警戒體系,將來自境外(例如美國)的安全性信息分享給中國。
數據類型?包括使用藥品并發生不良反應患者的個人生理狀況信息,例如身高、體重、既往藥品不良反應、過敏史、病史;用藥記錄,例如用法用量、用藥時間、治療適應證等;不良反應信息,例如不良反應事件、相關實驗室檢查信息等。上述數據可能屬于《行政命令》規制的敏感個人數據范疇。
影響評估?與《行政命令》對臨床試驗場景的影響相同,當藥物警戒所收集的數據量大于法定的閾值要求時,才有可能落入《行政命令》規制范疇。當然,藥物警戒場景的特殊性在于跨國藥企所建立的全球藥物警戒體系會通過信息系統對藥品不良反應展開持續性收集。未來如何認定數據收集數量,尚需根據后續出臺的實施細則進一步判定。
藥械上市后銷售場景
跨國藥企在美國運營期間可能產生和收集的數據包括:錄入在CRM客戶關系管理系統中的HCP個人信息;藥械銷售的經營數據;電子病歷、電子處方、購藥記錄等信息;適應證地域分布信息、專病數據庫;罕見病(慢性病)患者數據、人類遺傳資源信息;醫保信息、醫保或商保中的患者個人信息等。上述數據可能包含《行政命令》規制的敏感個人數據類別。
一方面,需要根據美國司法部等部門后續出臺的敏感個人數據判定規則進一步厘清藥械經營環節是否涉及獲取受規制數據;另一方面,僅當所收集的數據量大于法定的閾值要求時,才有可能落入《行政命令》規制范疇。
真實世界研究中的數據交易場景
在真實世界研究中,企業為了收集海量的相關健康數據集,可能涉及從CRO公司或數據經紀商那里購買美國患者的電子健康記錄(EHR)數據并跨境傳輸至境內的真實世界數據平臺,其中包括病人的醫療記錄、治療歷史、檢驗結果等。上述數據可能包含《行政命令》規制的敏感個人數據類別。真實世界場景中的敏感個人數據集的交易行為落入《行政命令》規制范疇的可能性較大,因為其交易的數據數量可能會超過閾值規則規定的量級。
其他場景
一是在美國使用具有聯網或存儲功能的醫療器械場景。例如,使用可穿戴式設備等健康傳感器收集美國被采集者的監測診療數據(血氧飽和度、血壓、血糖心率、睡眠)或是行為情緒數據(跑步距離、行走軌跡、步數、消耗能量、鍛煉時長);影像系統可能收集美國患者的影像和影像診斷報告;檢驗系統可能收集美國患者的檢查報告和檢驗結果。
二是人工智能醫療器械軟件研發場景。例如,人工智能醫療器械軟件持續學習真實世界中海量的美國患者個人健康數據來完善功能、改進性能并增強適應性。
我國數據跨境傳輸監管政策日趨靈活
今年3月,國家互聯網信息辦公室發布《促進和規范數據跨境流動規定》,其中第六條明確,“自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(以下簡稱負面清單),經省級網絡安全和信息化委員會批準后,報國家網信部門、國家數據管理部門備案。自由貿易試驗區內數據處理者向境外提供負面清單外的數據,可以免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。”
在此之前,《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》已于今年1月發布。該辦法將跨境數據從高到低依次分為核心數據、重要數據、一般數據三個級別,一般數據在滿足相關管理要求下可自由流動。
5月份,臨港新片區生物醫藥領域數據跨境場景化一般數據清單發布。清單分為臨床試驗和研發、藥物警戒和醫療器械不良事件監測、醫學問詢、產品投訴、商業合作伙伴管理五個典型場景,30個數據類別。主要包括:去標識化受試者的個人基本資料、生理健康信息,以及研究者的個人基本資料、教育工作信息等有關數據;去標識化患者的個人基本資料、基礎生理狀況信息、用藥記錄和不良反應信息等有關數據等等。
合規應對數據跨境傳輸
數據和信息的跨境交換是醫藥行業生存發展的基石。限制數據流動將給跨國藥企的統一管理、全球運營帶來障礙,也威脅到藥物創新領域正常的國際合作。當前,中美兩國紛紛瞄準數據安全和隱私保護,監管法律日趨復雜多變,對跨國業務的開展形成挑戰。
跨國藥企、中國藥械出海企業應及早部署合規應對措施,在風險預防上打好“提前量”,實現“擁抱監管”的積極效果。例如,盡快判斷跨境往來是否涉及訪問美國個人敏感數據或美國政府相關數據;是否可以歸入中國法規下擬豁免前置審批、備案或認證程序的數據清單;在合規律師的協助下持續與網信部門溝通數據出境程序。與此同時,提早開展個人信息保護影響評估,目的在于論證數據出境必要性,為適用不同法域下數據出境監管的豁免規則提供支撐,并證明已依法采取充分的數據安全保障措施,從而應對政府部門的事前事中事后監管。
(中倫律師事務所 葛永彬?董劍平?邵亞光)
本文僅代表作者觀點,不代表本站立場。
《中國醫藥報》社版權所有,未經許可不得轉載使用。
(責任編輯:陸悅)
右鍵點擊另存二維碼!
-
為你推薦
-
執法實務|建立稽查執法五維坐標系,提升執法精準度
?藥品稽查辦案專業性強、程序復雜,如何從紛繁復雜的法律和事實中抓住核心、理清脈絡?筆者認為,關鍵在于堅持系統思維,構建涵蓋程序、文書、評查、法律、裁量五個維度的稽查執法坐標體系。 2025-09-26 10:49 -
執法實務|厘清證明責任?推進依法行政 ——淺談藥品行政處罰中的證明責任
在藥品行政處罰過程中,藥品監督管理部門應當以行政訴訟中的證明責任分配為主要指引,厘清其在處罰程序、處罰職權、處罰裁量等方面應承擔的證明責任,充分收集證據,并合理應用證據,保證行政處... 2025-09-24 08:49
互聯網新聞信息服務許可證10120170033
網絡出版服務許可證(京)字082號
?京公網安備 11010802023089號 京ICP備17013160號-1
《中國醫藥報》社有限公司 中國食品藥品網版權所有