转自:中国医药报
今年上半年,中美先后发布数据跨境传输监管新规。国内由于此前的数据传输安全评估要求过于保守,新规将相关要求适度放宽,鼓励跨国药企的数据流动。美国监管趋严,触发审查机制的门槛有待进一步明确。
新规对于生命科学和医疗服务领域的潜在影响尤为突出,不少跨国药企和有跨国业务的本土生物制药企业普遍存在担忧,担心数据流动受限将给公司项目或管线的统一管理、全球运营和国际合作带来阻碍。
这些担忧不无道理,两国当前采取的管制措施对于医药行业的临床试验、正常的药物警戒安全性数据的交换、上市许可申报、真实世界研究等常规业务均有影响,许多跨境业务要注意的合规要求增加。
过去,中美双报是许多本土药企国际化的重要策略,但现在相关公司需密切关注监管新规的动向,在行动前规划好数据出境业务、评估公司是否有能力应对合规要求及部署好应对措施。
体现不同监管趋向
在今年2月美国发布的《防止受关注国家获取美国人士大量敏感个人数据和美国政府相关数据的行政命令》(以下简称《行政命令》)中,中国被列入受关注国家清单,未来达到一定数量级别的人类基因组数据、个人健康数据等美国敏感个人数据将被禁止或限制在美国和列入清单的国家之间交易。
此前美国管制的重点是技术和资金,对于数据的跨境传输和流动,较中国的管制相对更宽松。《行政命令》反映了美国新的立法趋势。
值得一提的是,美国此次出台的《行政命令》将透过美国司法部以联邦法规的形式落实,即敏感个人信息的出境的规定对美国各个州都适用。中国则有所不同,给予了自由贸易试验区一定的灵活度和裁量权。
中国方面,国家互联网信息办公室于今年3月28日发布了《促进和规范数据跨境流动规定》(以下简称《规定》),并于当日起施行。相较去年9月公开的《规范和促进数据跨境流动规定(征求意见稿)》,“促进”二字被前置,释放了积极信号。
《规定》发布后,国内数据跨境传输的监管路径已比较明确。相较此前的程序,《规定》的实施细则一定程度上为数据出境减负。例如,在原有《数据出境安全评估办法》与《个人信息出境标准合同办法》的基础上,《规定》新增了“豁免”数据跨境流动应符合的前提要件的情形,重新界定了此前触发安全评估、标准合同以及认证条件,这一定程度上降低了企业的合规成本。当然,这些调整是在充分保障国家数据安全的前提下进行。
“减负”的趋向源于最新的政策指向:今年3月,国务院办公厅发布的《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》中明确指出“支持外商投资企业与总部数据流动”。
除了大的政策背景,具体来看,原来的数据传输的安全评估要求过于保守。例如,在实践中可以发现此前的安全评估触发门槛过低(2年内向境外提供敏感个人信息数量超过1万),如果药企在持续销售某个药品,其药物警戒工作所涉及的数据量很容易就会超过门槛,导致企业需要频繁地申报安全审查,合规工作量相当大,也严重增加了药品监管机构的工作量,然而数据本身风险并没有这么高。基于类似问题,《规定》进行了优化,将门槛设置为一年小于1万的敏感个人信息。
整体来看,新《规定》调整了安全评估、标准合同与认证的适用条件,并在此基础上引入了“豁免”机制。美国的《行政命令》则未明确触发审查机制的门槛。如关于“大量数据”的定义,这些数据是指一次性出境还是在某一时间段内的总量,传输主体为单一企业还是所有关联企业都算在内,都需要在未来法案正式出台后进一步详细,明确。现阶段《行政命令》只能体现其立法思路和趋势,还未能给企业提供明确的应对指引,需要持续关注后续出台的法案具体内容。
不同主体各有侧重
关于如何应对新的政策环境,药企首先需要关注的是个人信息主要来自哪些国家、个人信息的种类和数量以及个人信息处理者位于哪个国家。这决定了该企业究竟需要重点考虑和适应哪个国家的合规要求。
举例说明,一家总部在美国的跨国公司直接受美国管辖,而中国又被列入受关注国家清单,该公司的产品如果在中国申报上市时需要将美国受试者信息汇总到中国,则需要重点关注美国的法规。
当然,药企在做国际多中心临床试验数据分析时,如果要将中国受试者的信息传输到美国总部,同样需要满足中国的合规要求。目前来看,中国的新规没有增加更多额外审查的规定,这对美国公司今后在美国申报产品上市较为有利。
而中国药企的处境与之相反,需重点关注国内的法规,同时又因其会被美国贴上潜在影响国家安全的标签,所以如果中国药企在美国开展临床研究,要将数据传回中国的挑战则更大了。
一些国际化布局已经较为深入的中国药企,不论是出于主动还是被动,都需要在不同程度上调整公司结构,以应对当前的监管趋势。例如,一家中国药企和其美国子公司是关联企业但不相对持股,控股总公司作为最终新药申报的主体,可设置在其他更易满足合规要求的国家,或者将数据分析中心设置在满足类似要求的第三方国家或地区。
策略的转换取决于公司业务的侧重点和市场销售的重心,及其公司本身的结构有多大弹性。但无论如何,现在的监管趋势会导向药企更多地采取分割的业务结构。未来我们可能会看到越来越多的中国药企选择将产品的中国之外的权益授权给海外公司,由他们主导海外开发。
中国药企如果要进军全球市场,让自己的产品在美国上市,就需要汇总全世界各个国家受试者的信息。以前把美国受试者数据传回中国,没有额外的法律法规限制要求,中国药企也不会在美国被贴上特别关注的标签,《行政命令》的发布无疑给中国药企增加了新门槛,药企需承担新的合规责任。
《行政命令》中把人类基因数据和其他类型的个人信息区分开来,除非另外取得美国司法部的许可,否则基因数据的出境时原则上将被禁止。其他类型的个人信息数据则只要数量没有达到限制上限,理论上可以出境。
对于个体化精准医疗产品,难以避免会涉及到基因数据。中国药企如果想把这些数据从美国传输到中国来,未来面临的不确定性将提高。
(本文观点来自美国瑞格律所合伙人王凯玲,由程龙整理,研发客供稿)
