转自:中国医药报
□ 葛永彬 董剑平 邵亚光
近期,中美两国数据跨境传输监管政策呈现不同的变化趋势。
中国政府采取严中趋宽的政策导向,积极回应外资企业诉求,探索构建“审批后流动+自由流动”双模式。而美国方面,总统拜登于2月28日签署并发布了《防止受关注国家获取美国人士大量敏感个人数据和美国政府相关数据的行政命令》(以下简称《行政命令》);美国司法部于同日配套发布了关于该《行政命令》拟议规则制定的预先通知(ANPRM)的事实说明(以下简称《事实说明》)。未来,达到一定数量级别的人类基因组数据、个人健康数据等美国人士敏感个人数据将被禁止或限制在美国和中国等受关注国家之间交易。
对于中国药械出海企业、跨国生物医药公司、从事投资或商务拓展(BD)交易的创新药企而言,如何把握中美两国数据监管政策,提前规划数据出境业务,部署合规风险应对措施,都至关重要。
六类数据被规制
美国《行政命令》《事实说明》以及后续发布的实施细则,旨在对特定国家与美国之间进行的涉及大量敏感个人数据和政府数据(以下合称受规制数据)相关交易进行审查和限制。
受到规制的数据类型
《行政命令》和《事实说明》规定了六类敏感个人数据,即:限定类型的个人标识符;精确地理位置数据;生物识别标识符(例如指纹、面部识别、虹膜扫描等);人类生物学组学数据(例如人类基因组数据、表观基因组数据、蛋白质组数据等);个人健康数据;个人财务数据。以及前述不同数据的任何组合,并且这些数据需要与任何可识别的美国个人或群体相关联。此外,《行政命令》规制的数据范围还包括与美国政府相关的数据。具体的敏感个人数据类型还将在后续规定中进一步细化。
需要特别说明的是,只有当关于敏感个人数据的交易超过规定的阈值(即一定数量的美国人人数或美国设备数量)时,数据交易才会落入规制范畴,但目前尚未出台具体阈值规则。而与美国政府相关的数据不受阈值规则的影响。
受到规制的数据交易类别
根据《行政命令》和《事实说明》,对于禁止或限制的交易类别,可能既包括通过购买数据集实现对受规制数据的直接访问,也包括获取受规制数据的访问权限,以便可以对其进行阅读、复制、解密或以任何形式查看或接收。《事实说明》对此做了进一步细化:
可能被禁止的数据交易类别 包括数据经纪交易,例如通过数据经纪商直接购买包含美国人士个人健康数据的真实世界数据集;涉及批量人类基因组数据或可从中提取此类数据的生物样本的基因组数据交易。
可能被限制的数据交易类别 关注国家管辖、指导、拥有所有权或控制的实体或人员基于:涉及商品和服务提供的供应商协议(包括云服务协议),或雇佣协议,或投资协议直接或间接获取受规制数据。例如,一家注册于受关注国家的A公司为美国药械公司提供云服务,A公司存在利用其供应商的身份通过直接接收或在线访问等方式获取美国药械公司敏感个人数据的可能性。根据《行政命令》和《事实说明》的有关规定,被限制的数据交易类别项目可以正常开展,但其前提是满足一定的安全要求,例如,基本的网络安全要求、物理和逻辑访问控制、数据掩码和最小化以及隐私保护技术等。
临床试验、药物警戒等受影响
随着《行政命令》及其配套法规的实施,生物医药企业美国子公司或分公司、跨国公司在美总部或在美实体、美国药械公司、美国医疗机构或研究机构、数据经纪商等主体,取得、共享或跨境接收美国人士大量敏感个人数据的难度增加,可能影响药械研发、临床试验、药物警戒、产品经营等主营业务开展。
注册性临床试验(IST)/临床研究(IIT)场景
场景描述 例如,药企在中国申报临床试验申请或产品注册申请时,可能涉及美国药企向中国药品监管机构提交已有人体临床经验、临床数据、病例报告表等。在覆盖中美两地的国际多中心临床试验中,可能涉及美国药企向位于中国的中心实验室传输受试者临床试验数据情形。创新药研发公司在产品License-in项目中,也可能涉及美国许可方将包含大量去标识化的受试者个人信息和HCP(医疗卫生专业人士)个人信息跨境传输给境内被许可方和一系列供应商的情形。此外,研究者发起的临床研究也涉及收集和跨境传输与疾病的诊断、治疗、康复、预后、病因、预防及健康维护等活动有关的健康医疗数据。
数据类型 临床试验通常会收集受试者的个人健康数据,例如手术信息、病理信息、诊断信息、病历数据、处方信息、患者报告结局等;可能包含人类生物学组学数据的人类遗传资源材料,例如全血、血清、血浆等;涉及医疗服务支付记录的个人财务数据,例如保险索赔数据、账单信息等;个人生物特征数据,例如指纹、DNA信息等。上述数据均可能落入《行政命令》规制的敏感个人数据范畴。
影响评估 《行政命令》旨在禁止或限制美国人士大量的敏感个人数据在中美两国之间收集和传输。当临床研究或临床试验所收集的数据量小于法定的阈值要求时,则可能不会落入《行政命令》规制范畴。
药物警戒场景
场景描述 药物警戒是生物医药公司履行《中华人民共和国药品管理法》以及ICH相关国际指南的法定义务。根据《药物警戒质量管理规范》第三十八条和第五十一条的有关规定,对于境内外均已上市的药品,药品上市许可持有人应当收集在境外发生的疑似药品不良反应信息。
因此,对于在全球多个国家和地区上市的药品而言,跨国药企通常会利用所建立的全球药物警戒体系,将来自境外(例如美国)的安全性信息分享给中国。
数据类型 包括使用药品并发生不良反应患者的个人生理状况信息,例如身高、体重、既往药品不良反应、过敏史、病史;用药记录,例如用法用量、用药时间、治疗适应证等;不良反应信息,例如不良反应事件、相关实验室检查信息等。上述数据可能属于《行政命令》规制的敏感个人数据范畴。
影响评估 与《行政命令》对临床试验场景的影响相同,当药物警戒所收集的数据量大于法定的阈值要求时,才有可能落入《行政命令》规制范畴。当然,药物警戒场景的特殊性在于跨国药企所建立的全球药物警戒体系会通过信息系统对药品不良反应展开持续性收集。未来如何认定数据收集数量,尚需根据后续出台的实施细则进一步判定。
药械上市后销售场景
跨国药企在美国运营期间可能产生和收集的数据包括:录入在CRM客户关系管理系统中的HCP个人信息;药械销售的经营数据;电子病历、电子处方、购药记录等信息;适应证地域分布信息、专病数据库;罕见病(慢性病)患者数据、人类遗传资源信息;医保信息、医保或商保中的患者个人信息等。上述数据可能包含《行政命令》规制的敏感个人数据类别。
一方面,需要根据美国司法部等部门后续出台的敏感个人数据判定规则进一步厘清药械经营环节是否涉及获取受规制数据;另一方面,仅当所收集的数据量大于法定的阈值要求时,才有可能落入《行政命令》规制范畴。
真实世界研究中的数据交易场景
在真实世界研究中,企业为了收集海量的相关健康数据集,可能涉及从CRO公司或数据经纪商那里购买美国患者的电子健康记录(EHR)数据并跨境传输至境内的真实世界数据平台,其中包括病人的医疗记录、治疗历史、检验结果等。上述数据可能包含《行政命令》规制的敏感个人数据类别。真实世界场景中的敏感个人数据集的交易行为落入《行政命令》规制范畴的可能性较大,因为其交易的数据数量可能会超过阈值规则规定的量级。
其他场景
一是在美国使用具有联网或存储功能的医疗器械场景。例如,使用可穿戴式设备等健康传感器收集美国被采集者的监测诊疗数据(血氧饱和度、血压、血糖心率、睡眠)或是行为情绪数据(跑步距离、行走轨迹、步数、消耗能量、锻炼时长);影像系统可能收集美国患者的影像和影像诊断报告;检验系统可能收集美国患者的检查报告和检验结果。
二是人工智能医疗器械软件研发场景。例如,人工智能医疗器械软件持续学习真实世界中海量的美国患者个人健康数据来完善功能、改进性能并增强适应性。
我国数据跨境传输监管政策日趋灵活
今年3月,国家互联网信息办公室发布《促进和规范数据跨境流动规定》,其中第六条明确,“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”
在此之前,《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》已于今年1月发布。该办法将跨境数据从高到低依次分为核心数据、重要数据、一般数据三个级别,一般数据在满足相关管理要求下可自由流动。
5月份,临港新片区生物医药领域数据跨境场景化一般数据清单发布。清单分为临床试验和研发、药物警戒和医疗器械不良事件监测、医学问询、产品投诉、商业合作伙伴管理五个典型场景,30个数据类别。主要包括:去标识化受试者的个人基本资料、生理健康信息,以及研究者的个人基本资料、教育工作信息等有关数据;去标识化患者的个人基本资料、基础生理状况信息、用药记录和不良反应信息等有关数据等等。
合规应对数据跨境传输
数据和信息的跨境交换是医药行业生存发展的基石。限制数据流动将给跨国药企的统一管理、全球运营带来障碍,也威胁到药物创新领域正常的国际合作。当前,中美两国纷纷瞄准数据安全和隐私保护,监管法律日趋复杂多变,对跨国业务的开展形成挑战。
跨国药企、中国药械出海企业应及早部署合规应对措施,在风险预防上打好“提前量”,实现“拥抱监管”的积极效果。例如,尽快判断跨境往来是否涉及访问美国个人敏感数据或美国政府相关数据;是否可以归入中国法规下拟豁免前置审批、备案或认证程序的数据清单;在合规律师的协助下持续与网信部门沟通数据出境程序。与此同时,提早开展个人信息保护影响评估,目的在于论证数据出境必要性,为适用不同法域下数据出境监管的豁免规则提供支撑,并证明已依法采取充分的数据安全保障措施,从而应对政府部门的事前事中事后监管。
(作者单位:中伦律师事务所)
