創(chuàng)藥新聲

News

國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑 | 享
創(chuàng)新藥企國(guó)際多中心臨床研究(Multi-regional clinical trials,MRCT)中數(shù)據(jù)采集和傳遞、產(chǎn)品跨境申報(bào)和注冊(cè)中均可能涉及健康醫(yī)療數(shù)據(jù)跨境傳輸。重要數(shù)據(jù)和個(gè)人信息識(shí)別、跨境傳輸路徑選擇、出境標(biāo)準(zhǔn)合同中申辦者的履約義務(wù)以及創(chuàng)新藥企數(shù)據(jù)安全合規(guī)體系構(gòu)建等事項(xiàng)是常見(jiàn)困擾。尤其在《藥品注冊(cè)核查檢驗(yàn)啟動(dòng)工作程序(試行)》要求的研發(fā)生產(chǎn)主體合規(guī)背景下,臨床試驗(yàn)數(shù)據(jù)合規(guī)性將直接影響創(chuàng)新藥企合規(guī)風(fēng)險(xiǎn)等級(jí)的判定。本文將結(jié)合國(guó)家網(wǎng)信辦于2月24日公布的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》,梳理MRCT數(shù)據(jù)跨境傳輸路徑及醫(yī)藥研發(fā)企業(yè)數(shù)據(jù)合規(guī)管理要點(diǎn),以期為企業(yè)合規(guī)開(kāi)展數(shù)據(jù)跨境傳輸提供借鑒,促進(jìn)國(guó)際醫(yī)學(xué)研究合作。



01

MRCT數(shù)據(jù)跨境傳輸路徑

據(jù)北京網(wǎng)信辦消息,首都醫(yī)科大學(xué)附屬北京友誼醫(yī)院(“北京友誼醫(yī)院”)普外中心和阿姆斯特丹大學(xué)醫(yī)學(xué)中心普通外科作為全球牽頭中心發(fā)起的國(guó)際多中心臨床研究項(xiàng)目通過(guò)了數(shù)據(jù)出境安全評(píng)估,成為國(guó)內(nèi)首個(gè)數(shù)據(jù)合規(guī)出境案例。該案例引起熱議的話(huà)題之一是北京友誼醫(yī)院因何原因觸發(fā)了數(shù)據(jù)出境安全評(píng)估程序,系涉及百余例入組病例的健康醫(yī)療數(shù)據(jù)和遺傳信息/基因信息屬于重要數(shù)據(jù),還是大型三甲醫(yī)院構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(CIIO),亦或是因過(guò)百萬(wàn)的接診量構(gòu)成“100萬(wàn)人以上個(gè)人信息”的主體范疇?


1

主體身份識(shí)別:是否屬于CIIO或是非CIIO中100萬(wàn)人的個(gè)人信息處理規(guī)模企業(yè)

根據(jù)《數(shù)據(jù)安全法》和《數(shù)據(jù)出境安全評(píng)估辦法》的有關(guān)規(guī)定[1],企業(yè)向境外傳輸、共享臨床試驗(yàn)數(shù)據(jù)可能會(huì)觸發(fā)網(wǎng)信部門(mén)的事前安全評(píng)估程序。安全評(píng)估采取“一事一議”原則,評(píng)估周期較長(zhǎng),且容易觸發(fā)重新申報(bào)評(píng)估條件,無(wú)形中導(dǎo)致企業(yè)合規(guī)成本增加。在判斷是否涉及申報(bào)安全評(píng)估時(shí),區(qū)分?jǐn)?shù)據(jù)(個(gè)人信息)處理者的身份屬性至關(guān)重要。企業(yè)是否屬于CIIO,需要識(shí)別企業(yè)所涉業(yè)務(wù)是否涉及重要行業(yè)和領(lǐng)域、遭到破壞或者喪失功能的危害后果以及是否高度依賴(lài)信息化運(yùn)行方式。實(shí)踐中,企業(yè)是否屬于CIIO更多取決于行業(yè)主管機(jī)構(gòu)的認(rèn)定。而企業(yè)是否“處理個(gè)人信息達(dá)到100萬(wàn)人以上”,須認(rèn)定所處理的信息能識(shí)別或是關(guān)聯(lián)到的信息主體是否合計(jì)(包括員工、客戶(hù)、用戶(hù))達(dá)到100萬(wàn)人及以上。結(jié)合上述案例,北京友誼醫(yī)院可能同時(shí)被認(rèn)定是CIIO和處理100萬(wàn)人以上信息規(guī)模的機(jī)構(gòu),因而觸發(fā)安全評(píng)估申報(bào)。當(dāng)創(chuàng)新藥企未被認(rèn)為是CIIO或是處理個(gè)人信息達(dá)到100萬(wàn)人以上的實(shí)體時(shí),其基于數(shù)據(jù)出境主體身份而觸發(fā)安全評(píng)估的可能性便相對(duì)減小。


2

數(shù)據(jù)屬性判定:重要數(shù)據(jù)or個(gè)人信息


國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑 | 享


《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)相繼確立了數(shù)據(jù)和個(gè)人信息分級(jí)分類(lèi)保護(hù)制度。正確判斷數(shù)據(jù)屬性是數(shù)據(jù)合規(guī)跨境傳輸?shù)幕J欠裼|發(fā)安全評(píng)估申報(bào),除了界定企業(yè)主體身份外,還要看擬跨境傳輸?shù)呐R床試驗(yàn)數(shù)據(jù)是否落入受監(jiān)管的重要數(shù)據(jù)和個(gè)人信息范疇。

申辦者若向境外提供重要數(shù)據(jù),出境前必須要向網(wǎng)信部門(mén)申報(bào)并通過(guò)數(shù)據(jù)出境安全評(píng)估。上述案例中,北京友誼醫(yī)院特別提及在申報(bào)準(zhǔn)備初期,該院建立了“重要數(shù)據(jù)出境的審核、評(píng)估和監(jiān)督機(jī)制”。2022年發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南(征求意見(jiàn)稿)》提出“反映群體健康生理狀況、族群特征、遺傳信息等的基礎(chǔ)數(shù)據(jù),如人口普查資料、人類(lèi)遺傳資源信息、基因測(cè)序原始數(shù)據(jù)屬于重要數(shù)據(jù)”。申辦者可重點(diǎn)從兩個(gè)維度綜合判斷臨床試驗(yàn)數(shù)據(jù)是否構(gòu)成重要數(shù)據(jù)?!叭后w性”,是否包含達(dá)到一定規(guī)?;蚓鹊幕驍?shù)據(jù)或是重要遺傳家系和特定地區(qū)的人類(lèi)遺傳資源信息;“生物安全性”,是否涉及人類(lèi)遺傳資源信息。觸及任一維度時(shí),申辦者須按“就高原則”考慮適用申報(bào)安全評(píng)估,通過(guò)后再向境外提供臨床試驗(yàn)數(shù)據(jù)。若臨床試驗(yàn)涉及利用我國(guó)人類(lèi)遺傳資源材料或信息,還應(yīng)同時(shí)履行國(guó)際合作科學(xué)研究審批、國(guó)際合作臨床試驗(yàn)備案、對(duì)外提供或開(kāi)放使用的安全審查及信息備份、人類(lèi)遺傳資源材料出境證明等要求。

申辦者向境外提供的臨床試驗(yàn)數(shù)據(jù)是否會(huì)包含個(gè)人信息,甚至是敏感個(gè)人信息?通過(guò)比對(duì)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和《藥物臨床試驗(yàn)質(zhì)量管理規(guī)范》對(duì)“敏感個(gè)人信息”和“源文件”的定義[2],不難發(fā)現(xiàn)臨床試驗(yàn)的源文件涵蓋受試者的敏感個(gè)人信息。雖然申辦者接觸到的臨床試驗(yàn)數(shù)據(jù)是以受試者鑒認(rèn)代碼信息進(jìn)行標(biāo)記的,但該等信息尚未達(dá)到“匿名化處理”的程度,畢竟臨床試驗(yàn)機(jī)構(gòu)了解鑒認(rèn)代碼與受試者身份的對(duì)應(yīng)關(guān)系,必要時(shí),臨床試驗(yàn)機(jī)構(gòu)可以對(duì)相關(guān)數(shù)據(jù)進(jìn)行揭盲,從而建立數(shù)據(jù)與某一具體受試者的對(duì)應(yīng)關(guān)系。因此,可將臨床試驗(yàn)數(shù)據(jù)視為“去標(biāo)識(shí)化”的個(gè)人信息,并需要遵守《個(gè)人信息保護(hù)法》中有關(guān)個(gè)人信息跨境處理的規(guī)定,即向境外提供個(gè)人信息可通過(guò)安全評(píng)估、標(biāo)準(zhǔn)合同及個(gè)人信息保護(hù)認(rèn)證三種法定途徑實(shí)現(xiàn)。若將包含敏感個(gè)人信息的臨床試驗(yàn)數(shù)據(jù)未經(jīng)脫敏處理直接向境外傳輸,一旦自上年1月1日起已經(jīng)累計(jì)向境外提供1萬(wàn)人敏感個(gè)人信息的,再向境外提供哪怕1條個(gè)人信息,也須向網(wǎng)信部門(mén)進(jìn)行出境安全評(píng)估申報(bào)。對(duì)于管線研發(fā)能力活躍的創(chuàng)新藥企而言,這一門(mén)檻數(shù)量較為常見(jiàn)。企業(yè)需要提前謀劃應(yīng)對(duì)方案,并判斷是否可以避免或減少敏感個(gè)人信息的跨境傳輸,以降低觸及安全評(píng)估申報(bào)的可能性。


3

最優(yōu)傳輸路徑選擇:訂立標(biāo)準(zhǔn)合同


在MRCT場(chǎng)景下,若申辦者同時(shí)符合下列情形,則可以選擇訂立國(guó)家網(wǎng)信辦制定的個(gè)人信息出境標(biāo)準(zhǔn)合同(“標(biāo)準(zhǔn)合同”)向境外提供臨床試驗(yàn)數(shù)據(jù),免除申報(bào)數(shù)據(jù)出境安全評(píng)估程序:一是非CIIO;二是處理個(gè)人信息不滿(mǎn)100萬(wàn)人的;三是自上年1月1日起累計(jì)向境外提供個(gè)人信息不滿(mǎn)10萬(wàn)人的;四是自上年1月1日起累計(jì)向境外提供敏感個(gè)人信息不滿(mǎn)1萬(wàn)人的。其中,“10萬(wàn)”和“1萬(wàn)”是指向境外提供個(gè)人信息所能識(shí)別或是關(guān)聯(lián)到的個(gè)人信息主體數(shù)量,包括任何目的、形式下的跨境傳輸。此外,監(jiān)管部門(mén)嚴(yán)禁申辦者采取數(shù)量拆分等手段規(guī)避安全評(píng)估的法定要求。可以預(yù)見(jiàn),通過(guò)訂立標(biāo)準(zhǔn)合同的方式實(shí)現(xiàn)多中心臨床數(shù)據(jù)跨境處理,將成為申辦者最常采用以及合規(guī)成本最小的一種合法路徑。

以筆者近期服務(wù)的一項(xiàng)MRCT項(xiàng)目為例。該試驗(yàn)采用的EDC系統(tǒng)及eCOA應(yīng)用軟件(App)供應(yīng)商的母公司為境外主體且EDC系統(tǒng)的服務(wù)器部署在境外,屬于典型的數(shù)據(jù)出境情形。筆者對(duì)該供應(yīng)商進(jìn)行深入盡調(diào),一方面了解該等供應(yīng)商作為境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到我國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求,例如涉及向其他境外第三方再傳輸時(shí)的權(quán)責(zé)方案。另一方面核查eCOA App的合規(guī)性,例如eCOA App的隱私政策是否詳述個(gè)人信息出境的安排;受試者登陸eCOA App時(shí)是否取得其同意個(gè)人信息出境的單獨(dú)同意等。實(shí)踐中,有時(shí)并非申辦者作為數(shù)據(jù)處理者與境外接收方直接簽署數(shù)據(jù)出境合同,而是由CRO與該等供應(yīng)商簽署。我們需要根據(jù)項(xiàng)目實(shí)際情況評(píng)估申辦方、CRO及相關(guān)供應(yīng)商之間的法律關(guān)系,例如哪一方是個(gè)人信息處理者,哪一方是受委托處理個(gè)人信息的,是否存在兩個(gè)以上個(gè)人信息處理者共同決定個(gè)人信息的處理目的和方式的情形。


02

標(biāo)準(zhǔn)合同中申辦者涉及哪些履約義務(wù)

面對(duì)強(qiáng)監(jiān)管下的行政指導(dǎo)合同,申辦者作為標(biāo)準(zhǔn)合同中的數(shù)據(jù)處理者,需承擔(dān)哪些強(qiáng)制性義務(wù)?
面對(duì)強(qiáng)監(jiān)管下的行政指導(dǎo)合同,申辦者作為標(biāo)準(zhǔn)合同中的數(shù)據(jù)處理者,需承擔(dān)哪些強(qiáng)制性義務(wù)?


1

標(biāo)準(zhǔn)合同主要內(nèi)容


合同相關(guān)定義和基本要素、個(gè)人信息處理者和境外接收方的合同義務(wù)、境外接收方所在國(guó)家或者地區(qū)個(gè)人信息保護(hù)政策和法規(guī)對(duì)合同履行的影響、個(gè)人信息主體的權(quán)利和相關(guān)救濟(jì),以及合同解除、違約責(zé)任、爭(zhēng)議解決等事項(xiàng),以及個(gè)人信息出境說(shuō)明、雙方約定的其他條款等兩個(gè)附錄。


2

申辦者作為個(gè)人信息處理者的義務(wù)


國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑 | 享


3

標(biāo)準(zhǔn)合同適用的其他要點(diǎn)


國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑 | 享


4

申辦者如何證明自身妥善履約


標(biāo)準(zhǔn)合同規(guī)定由個(gè)人信息處理者承擔(dān)標(biāo)準(zhǔn)合同條款的履約舉證責(zé)任。根據(jù)該規(guī)定,如果個(gè)人信息處理者舉證不能,就可能要面臨被約談或是被處罰的不利后果。這一制度安排,要求個(gè)人信息處理者作為合同一方必須做到全面履約、工作留痕,確保合規(guī)可見(jiàn)。

具體而言,申辦者須依法開(kāi)展個(gè)人信息保護(hù)影響評(píng)估,記錄履行告知和取得同意等法定義務(wù)的過(guò)程。同時(shí),申辦者須監(jiān)督境外接收方采取必要的技術(shù)和管理措施,定期查閱境外接收方的數(shù)據(jù)文件和文檔,適時(shí)對(duì)其數(shù)據(jù)處理活動(dòng)開(kāi)展合規(guī)審計(jì),并要求境外接收方對(duì)個(gè)人信息處理活動(dòng)進(jìn)行記錄并保存至少3年。


5

個(gè)人數(shù)據(jù)保護(hù)協(xié)議(PDPA)如何與標(biāo)準(zhǔn)合同互補(bǔ)


筆者曾在協(xié)助中國(guó)客戶(hù)處理其與境外合作伙伴的數(shù)據(jù)跨境傳輸合規(guī)事項(xiàng)時(shí),參與個(gè)人數(shù)據(jù)保護(hù)協(xié)議(PDPA,Personal Data Protection Agreement)的起草與談判,以完善雙方在數(shù)據(jù)跨境傳輸方面的義務(wù)。在PDPA中,除簽署標(biāo)準(zhǔn)合同之外,在不構(gòu)成內(nèi)容沖突的情況下,雙方還可以就境外合作伙伴法域的數(shù)據(jù)傳輸合規(guī)、數(shù)據(jù)安全合規(guī)培訓(xùn)及保密義務(wù)、境外合作伙伴向其所在其他法域的集團(tuán)公司傳輸數(shù)據(jù)時(shí)應(yīng)履行的義務(wù)等事項(xiàng)上作出進(jìn)一步約定。


國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑 | 享



03

數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估/個(gè)人信息保護(hù)影響評(píng)估要點(diǎn)



1

在申報(bào)數(shù)據(jù)出境安全評(píng)估前如何開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估


數(shù)據(jù)處理者在申報(bào)數(shù)據(jù)出境安全評(píng)估前,應(yīng)當(dāng)開(kāi)展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估,重點(diǎn)評(píng)估以下事項(xiàng):一是數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性;二是出境數(shù)據(jù)的規(guī)模、范圍、種類(lèi)、敏感程度,數(shù)據(jù)出境可能對(duì)國(guó)家安全、公共利益、個(gè)人或者組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn);三是境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全;四是數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等;五是與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);六是其他可能影響數(shù)據(jù)出境安全的事項(xiàng)。

結(jié)合北京友誼醫(yī)院的案例,該院著重論證了數(shù)據(jù)出境的必要性。作為借鑒,申辦者可以重點(diǎn)對(duì)MRCT項(xiàng)目的科學(xué)意義和產(chǎn)出價(jià)值進(jìn)行深入評(píng)估,尤其對(duì)數(shù)據(jù)出境與項(xiàng)目實(shí)施和產(chǎn)出之間的關(guān)系進(jìn)行分析,從而得出數(shù)據(jù)出境具有必要性的結(jié)論。


2

在簽署標(biāo)準(zhǔn)合同的同時(shí)如何開(kāi)展個(gè)人信息保護(hù)影響評(píng)估


個(gè)人信息處理者向境外提供個(gè)人信息前,應(yīng)當(dāng)開(kāi)展個(gè)人信息保護(hù)影響評(píng)估,重點(diǎn)評(píng)估以下內(nèi)容:一是個(gè)人信息處理者和境外接收方處理個(gè)人信息的目的、范圍、方式等的合法性、正當(dāng)性、必要性;二是出境個(gè)人信息的規(guī)模、范圍、種類(lèi)、敏感程度,個(gè)人信息出境可能對(duì)個(gè)人信息權(quán)益帶來(lái)的風(fēng)險(xiǎn);三是境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施、能力等能否保障出境個(gè)人信息的安全;四是個(gè)人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風(fēng)險(xiǎn),個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等;五是境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響;六是其他可能影響個(gè)人信息出境安全的事項(xiàng)。

如何評(píng)估境外接收方所在國(guó)家或者地區(qū)的個(gè)人信息保護(hù)政策和法規(guī)對(duì)標(biāo)準(zhǔn)合同履行的影響呢?參考?xì)W盟數(shù)據(jù)保護(hù)委員會(huì)(EDPB)相關(guān)建議及其生效后部分實(shí)踐,至少需要考慮以下因素:(1)當(dāng)?shù)噩F(xiàn)行的個(gè)人信息保護(hù)法律法規(guī);(2)加入?yún)^(qū)域或全球個(gè)人信息保護(hù)組織或做出相關(guān)國(guó)際承諾的情況;(3)當(dāng)?shù)芈鋵?shí)個(gè)人信息保護(hù)的機(jī)制;(4)當(dāng)?shù)匦姓?、監(jiān)管或司法程序等要求調(diào)取個(gè)人信息的情況;(5)個(gè)人信息主體在當(dāng)?shù)貙で笏痉ň葷?jì)的可行性等[3]


04

創(chuàng)新藥企如何建設(shè)數(shù)據(jù)合規(guī)管理體系



縱觀《藥物臨床試驗(yàn)質(zhì)量管理規(guī)范》的有關(guān)規(guī)定,申辦者作為臨床試驗(yàn)的發(fā)起組織者、經(jīng)費(fèi)提供者和數(shù)據(jù)質(zhì)量的最終責(zé)任人,是臨床試驗(yàn)的重要主體。一旦因?yàn)樯贽k者建立的質(zhì)量管理體系不完善導(dǎo)致臨床數(shù)據(jù)缺失、錯(cuò)誤、泄漏等,將無(wú)法保證數(shù)據(jù)質(zhì)量,進(jìn)而影響藥物臨床試驗(yàn)全局。與此同時(shí),根據(jù)《藥品注冊(cè)核查檢驗(yàn)啟動(dòng)工作程序(試行)》的有關(guān)規(guī)定,臨床試驗(yàn)數(shù)據(jù)真實(shí)性、可靠性和完整性方面的瑕疵,將使得監(jiān)管機(jī)構(gòu)啟動(dòng)藥品注冊(cè)核查,并基于藥物臨床試驗(yàn)現(xiàn)場(chǎng)啟動(dòng)注冊(cè)核查的風(fēng)險(xiǎn)等級(jí)判定結(jié)果進(jìn)行風(fēng)險(xiǎn)等級(jí)標(biāo)注?!端幤纷?cè)核查要點(diǎn)與判定原則(藥物臨床試驗(yàn))(試行)》中明確規(guī)定經(jīng)核查確認(rèn)的下述情形認(rèn)定為“不通過(guò)”:隱瞞試驗(yàn)數(shù)據(jù),無(wú)合理解釋地棄用試驗(yàn)數(shù)據(jù),以其他方式違反試驗(yàn)方案選擇性使用試驗(yàn)數(shù)據(jù);故意損毀、隱匿臨床試驗(yàn)數(shù)據(jù)或者數(shù)據(jù)存儲(chǔ)介質(zhì)等。此外,越來(lái)越多的企業(yè)在上市審核過(guò)程中收到數(shù)據(jù)合規(guī)相關(guān)問(wèn)題的詢(xún)問(wèn),包括既有數(shù)據(jù)及新增數(shù)據(jù)獲取來(lái)源的合法合規(guī)性,以及企業(yè)數(shù)據(jù)合規(guī)管理制度建設(shè)及技術(shù)保障措施落實(shí)情況等。為此,創(chuàng)新藥企可著力在以下方面實(shí)施數(shù)據(jù)安全合規(guī)建設(shè):

一是在外部專(zhuān)業(yè)機(jī)構(gòu)的幫助下開(kāi)展數(shù)據(jù)合規(guī)盡調(diào)和風(fēng)險(xiǎn)排查,就業(yè)務(wù)場(chǎng)景、數(shù)據(jù)類(lèi)別、安全技術(shù)措施和等保級(jí)別等信息進(jìn)行梳理。在此基礎(chǔ)上搭建數(shù)據(jù)合規(guī)內(nèi)控體系,包括(1)各部門(mén)數(shù)據(jù)合規(guī)管理職責(zé),尤其是健康醫(yī)療數(shù)據(jù)安全負(fù)責(zé)人及其管理部門(mén)制度;(2)數(shù)據(jù)合規(guī)內(nèi)控管理制度體系,例如數(shù)據(jù)分類(lèi)分級(jí)、網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制、數(shù)據(jù)安全事件應(yīng)急預(yù)案、醫(yī)療數(shù)據(jù)及個(gè)人信息出境等制度;(3)各類(lèi)數(shù)據(jù)合規(guī)文本,例如各具體應(yīng)用場(chǎng)景的數(shù)據(jù)清單、內(nèi)部數(shù)據(jù)處理記錄模板、隱私聲明模板、跨境傳輸自評(píng)估報(bào)告、數(shù)據(jù)跨境傳輸協(xié)議模板等,以期能從業(yè)務(wù)合同簽訂到實(shí)際業(yè)務(wù)操作給予企業(yè)人員明確的指引,降低企業(yè)違規(guī)的風(fēng)險(xiǎn)。

二是定期對(duì)重要的或新發(fā)的數(shù)據(jù)處理活動(dòng)實(shí)施風(fēng)險(xiǎn)評(píng)估。借鑒《個(gè)人信息保護(hù)法》項(xiàng)下規(guī)定的個(gè)人信息安全影響評(píng)估(Personal Information Security Impact Assessment,“PIA”),根據(jù)與業(yè)務(wù)相關(guān)的數(shù)據(jù)應(yīng)用場(chǎng)景及流轉(zhuǎn)鏈路,模擬處理流程和潛在安全風(fēng)險(xiǎn),主動(dòng)出擊設(shè)計(jì)應(yīng)對(duì)措施。同時(shí),須做好服務(wù)供應(yīng)商管理,確保其符合國(guó)家和行業(yè)規(guī)定及要求,建立起各方相互匹配的數(shù)據(jù)安全管理、個(gè)人信息保護(hù)和應(yīng)急響應(yīng)管理機(jī)制。

三是重點(diǎn)夯實(shí)與企業(yè)主營(yíng)業(yè)務(wù)相關(guān)的數(shù)據(jù)合規(guī)基礎(chǔ)。如針對(duì)健康醫(yī)療數(shù)據(jù)跨境傳輸與共享,對(duì)于必須本地化處理的數(shù)據(jù),應(yīng)當(dāng)做好相應(yīng)的技術(shù)準(zhǔn)備。提前了解境外接收方所在地區(qū)的數(shù)據(jù)保護(hù)政策,并在標(biāo)準(zhǔn)合同的基礎(chǔ)上,起草更為完善和定制化的個(gè)人數(shù)據(jù)保護(hù)協(xié)議,對(duì)雙方義務(wù)進(jìn)行更詳盡明晰的約定,從而降低合規(guī)成本以及項(xiàng)目延期的風(fēng)險(xiǎn)。與此同時(shí),及時(shí)關(guān)注主管部門(mén)后續(xù)發(fā)布的監(jiān)管細(xì)則,有效、快速、隨時(shí)應(yīng)對(duì)監(jiān)管舉措。必要時(shí),企業(yè)也可咨詢(xún)相關(guān)法域的法律專(zhuān)業(yè)人士。

在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等通用領(lǐng)域數(shù)據(jù)合規(guī)立法、健康醫(yī)療數(shù)據(jù)行業(yè)立規(guī)的大背景下,生物醫(yī)藥企業(yè)面臨的合規(guī)監(jiān)管態(tài)勢(shì)日趨嚴(yán)峻,應(yīng)當(dāng)盡早謀劃,做好數(shù)據(jù)合規(guī)應(yīng)對(duì)。


國(guó)際多中心臨床數(shù)據(jù)跨境傳輸合規(guī)路徑 | 享

本文由葛永彬律師團(tuán)隊(duì):葛永彬、董劍平、邵亞光共同完成


?[1]《數(shù)據(jù)安全法》第三十一條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。《數(shù)據(jù)出境安全評(píng)估辦法》第四條規(guī)定,數(shù)據(jù)處理者向境外提供數(shù)據(jù),有下列情形之一的,應(yīng)當(dāng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估:(一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);(二)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;(三)自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;(四)國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。
[2]GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》附錄B中表B.1列示個(gè)人健康生理信息指?jìng)€(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄,如病癥、住院志、醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過(guò)敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等?!端幬锱R床試驗(yàn)質(zhì)量管理規(guī)范》 第十一條第(三十一)項(xiàng)源文件,指臨床試驗(yàn)中產(chǎn)生的原始記錄、文件和數(shù)據(jù),如醫(yī)院病歷、醫(yī)學(xué)圖像、實(shí)驗(yàn)室記錄、備忘錄、受試者日記或者評(píng)估表、發(fā)藥記錄、儀器自動(dòng)記錄的數(shù)據(jù)、縮微膠片、照相底片、磁介質(zhì)、X光片、受試者文件,藥房、實(shí)驗(yàn)室和醫(yī)技部門(mén)保存的臨床試驗(yàn)相關(guān)的文件和記錄,包括核證副本等。源文件包括了源數(shù)據(jù),可以以紙質(zhì)或者電子等形式的載體存在。
[3]詳見(jiàn)《中國(guó)版標(biāo)準(zhǔn)合同條款揭開(kāi)面紗,能否成為個(gè)人信息出境的通途(二)?》https://www.zhonglun.com/Content/2022/07-07/1500551415.html