文章导读
医药行业作为关系国计民生的重要行业,其合规性一直受到社会各界的高度关注。近年来,随着国家对医药行业的监管力度不断加大,医药企业也愈发认识到医药合规的重要性。海润天睿在医药企业的公司治理、知识产权、刑事预防等方面形成了全链条的服务模式,因此,特设《医药合规专题》把实务经验整理成专业文章,以为医药企业的合规提供参考。
生物医药企业在开展跨境合作以及出海发展等国际化发展过程中,将不可避免地涉及跨境数据处理问题。生物医药行业数据通常会包括敏感个人信息和重要数据,可能影响到国家安全、社会稳定、公共健康和安全以及个人信息权益,因此该类数据出境活动也自然成为国内外监管部门关注的重点。本文海润天睿合伙人褚轶律师将对我国数据出境监管体系下的生物医药企业数据合规重点问题进行简要评析。
文章关键词:医药合规、生物医药企业、跨境数据处理、数据合规
开始阅读
一、 我国当前数据跨境监管体系
(一) 规范数据出境行为的法律法规
数据出境既包括数据处理者将在境内运营中收集和产生的数据传输至境外(即主动出境),也包括数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出(即被动出境),以及符合《个人信息保护法》第三条第二款,在境外处理境内自然人个人信息等其他数据处理活动的情形。我国规范数据出境行为的法律法规主要包括:
点击查看大图
(二) 生物医药企业数据出境合规问题及路径选择
生物医药行业可能涉及处理敏感个人信息或重要数据,笔者建议企业根据跨境数据的具体类型和数量,选择合适的出境路径,并落实我国数据出境监管机制的各项合规要求。
1.识别敏感个人信息和重要数据
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、医疗健康、不满十四周岁未成年人的个人信息等。
重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
《网数条例》和《规定》建立了主动识别+被动认定的重要数据判断标准。一方面,若未被相关部门、地区告知或公开发布为重要数据的,数据处理者无需考虑重要数据出境申报安全评估事项;另一方面,企业也应当遵循本行业领域重要数据识别规则或参考《数据安全技术 数据分类分级规则》(GB/T 43697-2024)的通用规范界定重要数据。其附录G“重要数据识别指南”中重要数据考虑因素包括:n)反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖袭击,关系外来物种入侵和生物多样性,如重要生物资源数据、微生物耐药基础研究数据;p)反应国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全,如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据。
由群体性原始数据进行统计或分析后衍生出的统计数据有可能属于重要数据。笔者理解,即使企业作为数据处理者对个人健康医疗数据进行处理后得到经匿名化的个人信息并开展后续分析使用,也应当关注数据是否构成重要或核心数据。
在对数据进行全面梳理,结合行业领域数据分类分级标准规范和内部规则识别出敏感个人信息、重要数据或核心数据并对数据进行分类分级后,企业应履行相应法律合规要求。处理敏感个人信息需具有特定的目的和充分的必要性,取得单独同意,并在事前进行个人信息保护影响评估。重要数据处理者应明确数据安全负责人和管理机构,落实数据安全保护责任;采取重要数据备份和加密等安全保护措施;定期对数据处理活动开展风险评估,并向主管部门报送风险评估报告。
2.选择适用路径
在我国数据出境监管机制下,选择数据出境路径可通过以下步骤:
(1) 判断是否属于豁免场景
若出境活动属于《规定》中的豁免场景,则无需申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,包括:
🔹 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的;
🔹 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的;
🔹 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
🔹 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
🔹 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
🔹 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
此外,《规定》设立自由贸易试验区负面清单制度,自由贸易试验区内数据处理者向境外提供负面清单外数据,也可免于适用三条路径。
基于前述分析,由于生物医药行业极有可能涉及处理敏感个人信息或重要数据,笔者建议审慎判断是否适用豁免场景。
(2) 识别法定触发场景
点击查看大图
(3) 选择出境机制
建议企业结合业务开展实际情况充分论证数据出境正当、必要性,并进行去标识化或匿名化处理。但应当注意,个人信息采用加密、脱敏等措施处理属于去标识化,去标识化处理后的个人信息仍属于《个人信息保护法》规定下的个人信息。
另外,如企业作为受托人处理个人信息,应按照与委托人的约定处理个人信息,不得超出约定的处理目的和处理方式等范围处理。
3.其他合规要求
(1) 如涉及个人信息
个人信息处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项,并取得个人单独同意(当处理个人信息的合法基础为同意时);事前开展个人信息保护影响评估或数据出境风险自评估;与境外接收方签订协议,明确约定各自的数据安全保护义务,确保境外接收方处理个人信息的活动具有同等保护水平。
(2) 数据安全保护
根据《数据安全法》和《规定》,向境外提供数据的,数据处理者应当履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向有关主管部门报告。
(3) 出口管制
数据处理者应关注拟出境数据是否属于纳入出口管制或技术出口管理事项的数据,需履行《中华人民共和国出口管制法》等出口管制规定。参考现行《中国禁止出口限制出口技术目录》,医药行业在临床试验、药物研发等场景下可能涉及医药制造业(中药材资源及生产技术、中药饮片炮制技术、中国珍贵濒危植物药用成分提取加工技术、生物技术药物生产技术、中药的配方和生产技术、组织工程医疗器械产品的制备和加工技术)、研究和试验发展(用于人的细胞克隆和基因编辑技术)等事项相关的数据。
(4) 国家安全审查
网络数据处理者开展数据处理活动,影响或者可能影响国家安全的,应当进行国家安全审查。
(5) 特殊监管机制
例如,《中华人民共和国人类遗传资源管理条例》《人类遗传资源管理条例实施细则》以及相关国家标准《信息安全技术 基因识别数据安全要求》(GB/T 41806-2022)等对人类遗传资源信息的采集、保藏、利用、对外提供或开放使用进行了特殊规定。如跨境传输人类遗传资源信息,在数据跨境监管一般机制之外,应当向国务院卫生健康主管部门事先报告并提交信息备份,可能影响我国公众健康、国家安全和社会公共利益的,应当通过安全审查。
二、自由贸易试验区清单和建议
《规定》实施后已有北京、天津、上海和福建出台了自由贸易试验区(以下简称“自贸区”)数据出境管理清单,便于企业执行。各清单及数据分类分级标准适用于自贸区内企业。具体来说,北京、福建要求满足自贸区内登记注册并开展数据跨境流动等相关活动两个并列的条件;上海的分类分级管理办法适用于在自贸区内登记注册,或在自贸区开展数据跨境流动相关活动的数据处理者,但生物医药一般数据清单适用范围则要求同时满足上述两个条件;而天津则将适用范围笼统限定为自贸区内企业。
笔者建议自贸区内企业持续关注各自贸区数据跨境流动清单的出台进展和相应的重要数据目录,按照国家有关规定识别、申报重要数据,并参考负面清单或一般数据清单选择数据出境路径。当数据规模、应用场景、加工处理方式等发生变化,或因国家或行业主管部门要求,导致原定的数据级别和类型不再适用,企业也需对数据安全级别进行动态更新。
(一) 北京
2024年8月发布的《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》明确了重要数据识别规则,即优先按照本行业领域规定识别,行业主管部门未明确判定标准的,按照该办法附件《中国(北京)自由贸易试验区数据分类分级参考规则》识别重要数据。自贸区内数据处理者按照提交申请、提交备案、合规出境的流程使用负面清单出境数据。
《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》分别列明医药行业需要通过数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证出境的重要数据和个人信息清单,并描述了各子类数据的具体业务场景和字段。
根据北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局发布的《北京市数据跨境流动便利化服务管理若干措施》,北京制定数据出境“绿色通道”申请指南,建立医药等重点领域“绿色通道”企业目录,对进入“绿色通道”的企业,提供一对一数据出境安全评估问题咨询解答,打造企业数据出境“直通车”。8月30日,北京市网信办发布《北京市数据跨境流动便利化服务指南》(以下简称《服务指南》)并上线北京市数据跨境流动便利化服务平台(https://sjcj.bjcert.org.cn)。《服务指南》提供了负面清单实施指南和数据跨境便利化服务流程图,企业可参照其中的负面清单使用申请流程及材料开展数据跨境。
(二) 天津
2024年2月5日发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》将自贸区内企业数据按照所属行业性质分类,依次分为三层,每个层级又分成若干类目管理。其中卫生健康和食品药品类下细分为遗传资源、健康医疗、食品、药品、生物安全、疾控数据六个子类别。在数据分级机制方面,该规范明确重要数据判定步骤,即优先按照行业规范识别重要数据,行业主管部门未明确判定标准时,按照该规范标准识别。该规范标准包括统一识别规则和各类别数据识别规则。其中,反映种族整体情况或关系生物安全的遗传资源数据,关系国家安全、生命安全、人类自身安全的食品、药品、生物安全和疾控数据属于重要数据。《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》进一步列明需要通过数据出境安全评估的重要数据清单,企业可参考清单中数据基本特征与描述判断公共卫生类相关数据是否属于重要数据。
(三) 上海
2024年2月8日发布的《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》规定围绕生物医药等重点领域对跨境数据进行分类管理。在数据跨境分级管理方面,规定核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。
2024年5月发布的《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》为数据处理者提供了生物医药领域五个跨境场景(临床试验和研发、药物警戒和医疗器械不良事件监测、医学问询、产品投诉、商业合作伙伴管理)中的一般数据清单。该清单适用于在中国(上海)自由贸易试验区及临港新片区范围内登记注册的,且在临港新片区开展数据跨境流动相关活动的从事研发、生产和销售与生物医学、医药学相关的药品、医疗器械、诊断试剂、生物制剂和相关服务的企业、事业单位、机构协会和组织等数据处理者,但不适用于生物医药领域关键信息基础设施运营者。
该一般数据清单明确了去标识化处理可降低数据敏感性,数据处理者对一般数据清单内的去标识化的个人医疗健康数据可向临港新片区管委会申请登记备案,并在满足一般数据管理要求下自由流动。
(四) 福建
2024年8月26日发布的《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》适用于在平潭自贸片区范围内登记注册的,且在平潭自贸片区内开展数据跨境流动活动的数据处理者,但不适用于关键信息基础设施运营者。数据处理者向境外提供该清单内数据,并且数据出境行为符合该清单传输要求的,在平潭自贸片区通过风险评估备案后即可提供出境。该清单按照行业领域划分,包括跨境旅游领域、跨境电商领域、国际航运领域、跨境直播领域场景化一般数据清单。
根据该清单说明的要求,向境外提供清单内数据,涉及个人信息的,需采取加密、去标识化等安全技术措施;与《规定》和前述临港新片区生物医药领域一般数据清单一致,应满足数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)或其他免予通过安全评估、标准合同、认证三条路径出境的条件。
小结
自贸区清单针对不同行业在一定程度上细化了数据出境标准。例如,北京的自贸区负面清单根据不同场景、字段,按照出境个人信息的不同量级分别对出境路径进行规定。各自贸区重要数据识别规则也为自贸区外的本行业企业提供了一定的参考。
因此,建议生物医药企业针对数据跨境活动积极开展数据盘点、分类分级,明确作为出境主体的数据处理者,必要时在数据合规律师的协助下部署相应合规措施,尽早开展个人信息保护影响评估,并与网信部门和其他有关主管部门保持沟通,以确认是否落入豁免情形、适用负面清单,并选择合适的出境方案。
