創(chuàng )新藥企國際多中心臨床研究（Multi-regional clinical trials，MRCT）中數據采集和傳遞、產(chǎn)品跨境申報和注冊中均可能涉及健康醫療數據跨境傳輸。重要數據和個(gè)人信息識別、跨境傳輸路徑選擇、出境標準合同中申辦者的履約義務(wù)以及創(chuàng )新藥企數據安全合規體系構建等事項是常見(jiàn)困擾。尤其在《藥品注冊核查檢驗啟動(dòng)工作程序（試行）》要求的研發(fā)生產(chǎn)主體合規背景下，臨床試驗數據合規性將直接影響創(chuàng )新藥企合規風(fēng)險等級的判定。本文將結合國家網(wǎng)信辦于2月24日公布的《個(gè)人信息出境標準合同辦法》，梳理MRCT數據跨境傳輸路徑及醫藥研發(fā)企業(yè)數據合規管理要點(diǎn)，以期為企業(yè)合規開(kāi)展數據跨境傳輸提供借鑒，促進(jìn)國際醫學(xué)研究合作。

       MRCT數據跨境傳輸路徑

       據北京網(wǎng)信辦消息，首都醫科大學(xué)附屬北京友誼醫院（“北京友誼醫院”）普外中心和阿姆斯特丹大學(xué)醫學(xué)中心普通外科作為全球牽頭中心發(fā)起的國際多中心臨床研究項目通過(guò)了數據出境安全評估，成為國內首 個(gè)數據合規出境案例。該案例引起熱議的話(huà)題之一是北京友誼醫院因何原因觸發(fā)了數據出境安全評估程序，系涉及百余例入組病例的健康醫療數據和遺傳信息/基因信息屬于重要數據，還是大型三甲醫院構成關(guān)鍵信息基礎設施運營(yíng)者（CIIO），亦或是因過(guò)百萬(wàn)的接診量構成“100萬(wàn)人以上個(gè)人信息”的主體范疇？

       主體身份識別：是否屬于CIIO或是非CIIO中100萬(wàn)人的個(gè)人信息處理規模企業(yè)

       根據《數據安全法》和《數據出境安全評估辦法》的有關(guān)規定[1]，企業(yè)向境外傳輸、共享臨床試驗數據可能會(huì )觸發(fā)網(wǎng)信部門(mén)的事前安全評估程序。安全評估采取“一事一議”原則，評估周期較長(cháng)，且容易觸發(fā)重新申報評估條件，無(wú)形中導致企業(yè)合規成本增加。在判斷是否涉及申報安全評估時(shí)，區分數據（個(gè)人信息）處理者的身份屬性至關(guān)重要。企業(yè)是否屬于CIIO，需要識別企業(yè)所涉業(yè)務(wù)是否涉及重要行業(yè)和領(lǐng)域、遭到破壞或者喪失功能的危害后果以及是否高度依賴(lài)信息化運行方式。實(shí)踐中，企業(yè)是否屬于CIIO更多取決于行業(yè)主管機構的認定。而企業(yè)是否“處理個(gè)人信息達到100萬(wàn)人以上”，須認定所處理的信息能識別或是關(guān)聯(lián)到的信息主體是否合計（包括員工、客戶(hù)、用戶(hù)）達到100萬(wàn)人及以上。結合上述案例，北京友誼醫院可能同時(shí)被認定是CIIO和處理100萬(wàn)人以上信息規模的機構，因而觸發(fā)安全評估申報。當創(chuàng )新藥企未被認為是CIIO或是處理個(gè)人信息達到100萬(wàn)人以上的實(shí)體時(shí)，其基于數據出境主體身份而觸發(fā)安全評估的可能性便相對減小。

       數據屬性判定：重要數據or個(gè)人信息

       《數據安全法》和《個(gè)人信息保護法》等法律法規相繼確立了數據和個(gè)人信息分級分類(lèi)保護制度。正確判斷數據屬性是數據合規跨境傳輸的基石。是否觸發(fā)安全評估申報，除了界定企業(yè)主體身份外，還要看擬跨境傳輸的臨床試驗數據是否落入受監管的重要數據和個(gè)人信息范疇。

       申辦者若向境外提供重要數據，出境前必須要向網(wǎng)信部門(mén)申報并通過(guò)數據出境安全評估。上述案例中，北京友誼醫院特別提及在申報準備初期，該院建立了“重要數據出境的審核、評估和監督機制”。2022年發(fā)布的《信息安全技術(shù) 重要數據識別指南（征求意見(jiàn)稿）》提出“反映群體健康生理狀況、族群特征、遺傳信息等的基礎數據，如人口普查資料、人類(lèi)遺傳資源信息、基因測序原始數據屬于重要數據”。申辦者可重點(diǎn)從兩個(gè)維度綜合判斷臨床試驗數據是否構成重要數據。“群體性”，是否包含達到一定規模或精度的基因數據或是重要遺傳家系和特定地區的人類(lèi)遺傳資源信息；“生物安全性”，是否涉及人類(lèi)遺傳資源信息。觸及任一維度時(shí)，申辦者須按“就高原則”考慮適用申報安全評估，通過(guò)后再向境外提供臨床試驗數據。若臨床試驗涉及利用我國人類(lèi)遺傳資源材料或信息，還應同時(shí)履行國際合作科學(xué)研究審批、國際合作臨床試驗備案、對外提供或開(kāi)放使用的安全審查及信息備份、人類(lèi)遺傳資源材料出境證明等要求。

       申辦者向境外提供的臨床試驗數據是否會(huì )包含個(gè)人信息，甚至是敏感個(gè)人信息？通過(guò)比對《信息安全技術(shù) 個(gè)人信息安全規范》和《藥物臨床試驗質(zhì)量管理規范》對“敏感個(gè)人信息”和“源文件”的定義[2]，不難發(fā)現臨床試驗的源文件涵蓋受試者的敏感個(gè)人信息。雖然申辦者接觸到的臨床試驗數據是以受試者鑒認代碼信息進(jìn)行標記的，但該等信息尚未達到“匿名化處理”的程度，畢竟臨床試驗機構了解鑒認代碼與受試者身份的對應關(guān)系，必要時(shí)，臨床試驗機構可以對相關(guān)數據進(jìn)行揭盲，從而建立數據與某一具體受試者的對應關(guān)系。因此，可將臨床試驗數據視為“去標識化”的個(gè)人信息，并需要遵守《個(gè)人信息保護法》中有關(guān)個(gè)人信息跨境處理的規定，即向境外提供個(gè)人信息可通過(guò)安全評估、標準合同及個(gè)人信息保護認證三種法定途徑實(shí)現。若將包含敏感個(gè)人信息的臨床試驗數據未經(jīng)脫敏處理直接向境外傳輸，一旦自上年1月1日起已經(jīng)累計向境外提供1萬(wàn)人敏感個(gè)人信息的，再向境外提供哪怕1條個(gè)人信息，也須向網(wǎng)信部門(mén)進(jìn)行出境安全評估申報。對于管線(xiàn)研發(fā)能力活躍的創(chuàng )新藥企而言，這一門(mén)檻數量較為常見(jiàn)。企業(yè)需要提前謀劃應對方案，并判斷是否可以避免或減少敏感個(gè)人信息的跨境傳輸，以降低觸及安全評估申報的可能性。

       最優(yōu)傳輸路徑選擇：訂立標準合同

       在MRCT場(chǎng)景下，若申辦者同時(shí)符合下列情形，則可以選擇訂立國家網(wǎng)信辦制定的個(gè)人信息出境標準合同（“標準合同”）向境外提供臨床試驗數據，免除申報數據出境安全評估程序：一是非CIIO；二是處理個(gè)人信息不滿(mǎn)100萬(wàn)人的；三是自上年1月1日起累計向境外提供個(gè)人信息不滿(mǎn)10萬(wàn)人的；四是自上年1月1日起累計向境外提供敏感個(gè)人信息不滿(mǎn)1萬(wàn)人的。其中，“10萬(wàn)”和“1萬(wàn)”是指向境外提供個(gè)人信息所能識別或是關(guān)聯(lián)到的個(gè)人信息主體數量，包括任何目的、形式下的跨境傳輸。此外，監管部門(mén)嚴禁申辦者采取數量拆分等手段規避安全評估的法定要求。可以預見(jiàn)，通過(guò)訂立標準合同的方式實(shí)現多中心臨床數據跨境處理，將成為申辦者最常采用以及合規成本最小的一種合法路徑。

       以筆者近期服務(wù)的一項MRCT項目為例。該試驗采用的EDC系統及eCOA應用軟件（App）供應商的母公司為境外主體且EDC系統的服務(wù)器部署在境外，屬于典型的數據出境情形。筆者對該供應商進(jìn)行深入盡調，一方面了解該等供應商作為境外接收方的數據保護水平是否達到我國法律、行政法規的規定和強制性國家標準的要求，例如涉及向其他境外第三方再傳輸時(shí)的權責方案。另一方面核查eCOA App的合規性，例如eCOA App的隱私政策是否詳述個(gè)人信息出境的安排；受試者登陸eCOA App時(shí)是否取得其同意個(gè)人信息出境的單獨同意等。實(shí)踐中，有時(shí)并非申辦者作為數據處理者與境外接收方直接簽署數據出境合同，而是由CRO與該等供應商簽署。我們需要根據項目實(shí)際情況評估申辦方、CRO及相關(guān)供應商之間的法律關(guān)系，例如哪一方是個(gè)人信息處理者，哪一方是受委托處理個(gè)人信息的，是否存在兩個(gè)以上個(gè)人信息處理者共同決定個(gè)人信息的處理目的和方式的情形。

       標準合同中申辦者涉及哪些履約義務(wù)

       面對強監管下的行政指導合同，申辦者作為標準合同中的數據處理者，需承擔哪些強制性義務(wù)？

       標準合同主要內容

       合同相關(guān)定義和基本要素、個(gè)人信息處理者和境外接收方的合同義務(wù)、境外接收方所在國家或者地區個(gè)人信息保護政策和法規對合同履行的影響、個(gè)人信息主體的權利和相關(guān)救濟，以及合同解除、違約責任、爭議解決等事項，以及個(gè)人信息出境說(shuō)明、雙方約定的其他條款等兩個(gè)附錄。

       申辦者作為個(gè)人信息處理者的義務(wù)

       標準合同適用的其他要點(diǎn)

       申辦者如何證明自身妥善履約

       標準合同規定由個(gè)人信息處理者承擔標準合同條款的履約舉證責任。根據該規定，如果個(gè)人信息處理者舉證不能，就可能要面臨被約談或是被處罰的不利后果。這一制度安排，要求個(gè)人信息處理者作為合同一方必須做到全面履約、工作留痕，確保合規可見(jiàn)。

       具體而言，申辦者須依法開(kāi)展個(gè)人信息保護影響評估，記錄履行告知和取得同意等法定義務(wù)的過(guò)程。同時(shí)，申辦者須監督境外接收方采取必要的技術(shù)和管理措施，定期查閱境外接收方的數據文件和文檔，適時(shí)對其數據處理活動(dòng)開(kāi)展合規審計，并要求境外接收方對個(gè)人信息處理活動(dòng)進(jìn)行記錄并保存至少3年。

       個(gè)人數據保護協(xié)議（PDPA）如何與標準合同互補

       筆者曾在協(xié)助中國客戶(hù)處理其與境外合作伙伴的數據跨境傳輸合規事項時(shí)，參與個(gè)人數據保護協(xié)議（PDPA，Personal Data Protection Agreement）的起草與談判，以完善雙方在數據跨境傳輸方面的義務(wù)。在PDPA中，除簽署標準合同之外，在不構成內容沖突的情況下，雙方還可以就境外合作伙伴法域的數據傳輸合規、數據安全合規培訓及保密義務(wù)、境外合作伙伴向其所在其他法域的集團公司傳輸數據時(shí)應履行的義務(wù)等事項上作出進(jìn)一步約定。

       數據出境風(fēng)險自評估/個(gè)人信息保護影響評估要點(diǎn)

       在申報數據出境安全評估前如何開(kāi)展數據出境風(fēng)險自評估

       數據處理者在申報數據出境安全評估前，應當開(kāi)展數據出境風(fēng)險自評估，重點(diǎn)評估以下事項：一是數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；二是出境數據的規模、范圍、種類(lèi)、敏感程度，數據出境可能對國家安全、公共利益、個(gè)人或者組織合法權益帶來(lái)的風(fēng)險；三是境外接收方承諾承擔的責任義務(wù)，以及履行責任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數據的安全；四是數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風(fēng)險，個(gè)人信息權益維護的渠道是否通暢等；五是與境外接收方擬訂立的數據出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務(wù)；六是其他可能影響數據出境安全的事項。

       結合北京友誼醫院的案例，該院著(zhù)重論證了數據出境的必要性。作為借鑒，申辦者可以重點(diǎn)對MRCT項目的科學(xué)意義和產(chǎn)出價(jià)值進(jìn)行深入評估，尤其對數據出境與項目實(shí)施和產(chǎn)出之間的關(guān)系進(jìn)行分析，從而得出數據出境具有必要性的結論。

       在簽署標準合同的同時(shí)如何開(kāi)展個(gè)人信息保護影響評估

       個(gè)人信息處理者向境外提供個(gè)人信息前，應當開(kāi)展個(gè)人信息保護影響評估，重點(diǎn)評估以下內容：一是個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當性、必要性；二是出境個(gè)人信息的規模、范圍、種類(lèi)、敏感程度，個(gè)人信息出境可能對個(gè)人信息權益帶來(lái)的風(fēng)險；三是境外接收方承諾承擔的義務(wù)，以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全；四是個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險，個(gè)人信息權益維護的渠道是否通暢等；五是境外接收方所在國家或者地區的個(gè)人信息保護政策和法規對標準合同履行的影響；六是其他可能影響個(gè)人信息出境安全的事項。

       如何評估境外接收方所在國家或者地區的個(gè)人信息保護政策和法規對標準合同履行的影響呢？參考歐盟數據保護委員會(huì )（EDPB）相關(guān)建議及其生效后部分實(shí)踐，至少需要考慮以下因素：（1）當地現行的個(gè)人信息保護法律法規；（2）加入區域或全球個(gè)人信息保護組織或做出相關(guān)國際承諾的情況；（3）當地落實(shí)個(gè)人信息保護的機制；（4）當地行政、監管或司法程序等要求調取個(gè)人信息的情況；（5）個(gè)人信息主體在當地尋求司法救濟的可行性等[3]

       創(chuàng )新藥企如何建設數據合規管理體系

       縱觀(guān)《藥物臨床試驗質(zhì)量管理規范》的有關(guān)規定，申辦者作為臨床試驗的發(fā)起組織者、經(jīng)費提供者和數據質(zhì)量的最終責任人，是臨床試驗的重要主體。一旦因為申辦者建立的質(zhì)量管理體系不完善導致臨床數據缺失、錯誤、泄漏等，將無(wú)法保證數據質(zhì)量，進(jìn)而影響藥物臨床試驗全局。與此同時(shí)，根據《藥品注冊核查檢驗啟動(dòng)工作程序（試行）》的有關(guān)規定，臨床試驗數據真實(shí)性、可靠性和完整性方面的瑕疵，將使得監管機構啟動(dòng)藥品注冊核查，并基于藥物臨床試驗現場(chǎng)啟動(dòng)注冊核查的風(fēng)險等級判定結果進(jìn)行風(fēng)險等級標注。《藥品注冊核查要點(diǎn)與判定原則（藥物臨床試驗）（試行）》中明確規定經(jīng)核查確認的下述情形認定為“不通過(guò)”：隱瞞試驗數據，無(wú)合理解釋地棄用試驗數據，以其他方式違反試驗方案選擇性使用試驗數據；故意損毀、隱匿臨床試驗數據或者數據存儲介質(zhì)等。此外，越來(lái)越多的企業(yè)在上市審核過(guò)程中收到數據合規相關(guān)問(wèn)題的詢(xún)問(wèn)，包括既有數據及新增數據獲取來(lái)源的合法合規性，以及企業(yè)數據合規管理制度建設及技術(shù)保障措施落實(shí)情況等。為此，創(chuàng )新藥企可著(zhù)力在以下方面實(shí)施數據安全合規建設：

       一是在外部專(zhuān)業(yè)機構的幫助下開(kāi)展數據合規盡調和風(fēng)險排查，就業(yè)務(wù)場(chǎng)景、數據類(lèi)別、安全技術(shù)措施和等保級別等信息進(jìn)行梳理。在此基礎上搭建數據合規內控體系，包括（1）各部門(mén)數據合規管理職責，尤其是健康醫療數據安全負責人及其管理部門(mén)制度；（2）數據合規內控管理制度體系，例如數據分類(lèi)分級、網(wǎng)絡(luò )及數據安全風(fēng)險評估機制、數據安全事件應急預案、醫療數據及個(gè)人信息出境等制度；（3）各類(lèi)數據合規文本，例如各具體應用場(chǎng)景的數據清單、內部數據處理記錄模板、隱私聲明模板、跨境傳輸自評估報告、數據跨境傳輸協(xié)議模板等，以期能從業(yè)務(wù)合同簽訂到實(shí)際業(yè)務(wù)操作給予企業(yè)人員明確的指引，降低企業(yè)違規的風(fēng)險。

       二是定期對重要的或新發(fā)的數據處理活動(dòng)實(shí)施風(fēng)險評估。借鑒《個(gè)人信息保護法》項下規定的個(gè)人信息安全影響評估（Personal Information Security Impact Assessment，“PIA”），根據與業(yè)務(wù)相關(guān)的數據應用場(chǎng)景及流轉鏈路，模擬處理流程和潛在安全風(fēng)險，主動(dòng)出擊設計應對措施。同時(shí)，須做好服務(wù)供應商管理，確保其符合國家和行業(yè)規定及要求，建立起各方相互匹配的數據安全管理、個(gè)人信息保護和應急響應管理機制。

       三是重點(diǎn)夯實(shí)與企業(yè)主營(yíng)業(yè)務(wù)相關(guān)的數據合規基礎。如針對健康醫療數據跨境傳輸與共享，對于必須本地化處理的數據，應當做好相應的技術(shù)準備。提前了解境外接收方所在地區的數據保護政策，并在標準合同的基礎上，起草更為完善和定制化的個(gè)人數據保護協(xié)議，對雙方義務(wù)進(jìn)行更詳盡明晰的約定，從而降低合規成本以及項目延期的風(fēng)險。與此同時(shí)，及時(shí)關(guān)注主管部門(mén)后續發(fā)布的監管細則，有效、快速、隨時(shí)應對監管舉措。必要時(shí)，企業(yè)也可咨詢(xún)相關(guān)法域的法律專(zhuān)業(yè)人士。

       在《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》等通用領(lǐng)域數據合規立法、健康醫療數據行業(yè)立規的大背景下，生物醫藥企業(yè)面臨的合規監管態(tài)勢日趨嚴峻，應當盡早謀劃，做好數據合規應對。

       本文由葛永彬律師團隊：葛永彬、董劍平、邵亞光共同完成

       [1]《數據安全法》第三十一條規定，關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定；其他數據處理者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理辦法，由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定。《數據出境安全評估辦法》第四條規定，數據處理者向境外提供數據，有下列情形之一的，應當通過(guò)所在地省級網(wǎng)信部門(mén)向國家網(wǎng)信部門(mén)申報數據出境安全評估：（一）數據處理者向境外提供重要數據；（二）關(guān)鍵信息基礎設施運營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數據處理者向境外提供個(gè)人信息；（三）自上年1月1日起累計向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數據處理者向境外提供個(gè)人信息；（四）國家網(wǎng)信部門(mén)規定的其他需要申報數據出境安全評估的情形。

       [2]GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規范》附錄B中表B.1列示個(gè)人健康生理信息指個(gè)人因生病醫治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫囑單、檢驗報告、手術(shù)及麻 醉記錄、護理記錄、用藥記錄、藥物食物過(guò)敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等。《藥物臨床試驗質(zhì)量管理規范》 第十一條第（三十一）項源文件，指臨床試驗中產(chǎn)生的原始記錄、文件和數據，如醫院病歷、醫學(xué)圖像、實(shí)驗室記錄、備忘錄、受試者日記或者評估表、發(fā)藥記錄、儀器自動(dòng)記錄的數據、縮微膠片、照相底片、磁介質(zhì)、X光片、受試者文件，藥房、實(shí)驗室和醫技部門(mén)保存的臨床試驗相關(guān)的文件和記錄，包括核證副本等。源文件包括了源數據，可以以紙質(zhì)或者電子等形式的載體存在。

       [3]詳見(jiàn)《中國版標準合同條款揭開(kāi)面紗，能否成為個(gè)人信息出境的通途（二）？》https://www.zhonglun.com/Content/2022/07-07/1500551415.html