临床试验数据出境适用
《个人信息出境标准合同》的合规空间及相关要件
弼兴法律服务团队出品
作者:刘才 李梦园
一、引言
数据出境一直以来是数据合规的难点和风险所在,相比于一般数据,临床试验数据因其内容的广泛性、属性的复杂性,在出境中受到不同领域、多重法律的约束,数据出境应用与数据合规保护之间的紧张关系尤为突出,相关监管机制及合规路径亟需明晰。
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》及《个人信息出境标准合同》(以下简称“标准合同”),为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本与中国方案。
在此背景下,本文拟从临床试验数据的内涵出发,结合临床试验数据出境不同场景,总结临床试验数据出境之时受到的规制内容,厘清临床试验数据出境之时适用“标准合同”的合规空间及相关要件,以期医药行业从业者在正确的路径下合规适用“标准合同”。
二、临床试验数据的内涵
临床试验是以人体(患者或健康受试者)为对象确定试验药物疗效与安全性的系统性研究[1],涉及受试者、申办者、研究者、伦理委员会、临床研究机构、合同研究组织(CRO)、临床试验现场管理组织(SMO)等多方主体参与,临床试验过程中的所有纸质或电子资料均会被妥善地记录、处理和保存,由此产生内容广泛、属性复杂的临床试验数据[2],包括受试者个人信息、病历信息、检查信息、检验信息、处方信息、费用信息、遗传数据、基因测序或转录产物测序信息以及其它临床科研相关数据等。
根据《民法典》第一千零三十四条、《个人信息保护法》第四条、第二十一条和第二十八条、《网络安全法》第三十一条、《数据安全法》第三条、《人类遗传资源管理条例》第二条及《数据出境安全评估办法》第十九条等规定,临床试验数据可依据具体属性被进一步划分为个人信息、个人信息中的敏感信息、重要数据以及人类遗传资源信息。
[1]《药物临床试验质量管理规范》第十一条 本规范下列用语的含义是:
(一)临床试验,指以人体(患者或健康受试者)为对象的试验,意在发现或验证某种试验药物的临床医学、药理学以及其他药效学作用、不良反应,或者试验药物的吸收、分布、代谢和排泄,以确定药物的疗效与安全性的系统性试验。
[2]《药物临床试验质量管理规范》第七条 所有临床试验的纸质或电子资料应当被妥善地记录、处理和保存,能够准确地报告、解释和确认。应当保护受试者的隐私和其相关信息的保密性。
三、临床试验数据出境的场景
根据国家互联网信息办公室有关负责人就《数据出境安全评估办法》相关问题答记者问,数据出境活动主要包括:
1. 数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
2. 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
结合临床试验实践,常见的临床试验数据出境场景主要包括:
1. 国际多中心的临床试验中,境内主体需要向境外合作方跨境传输境内临床试验中产生的数据;
2. 境内主体向境外药品监管机构申报新药临床试验审批(“IND”)和新药注册申请(“NDA”)时,需要向境外药品监管机构提供临床试验数据;
3. 境内主体所使用电子数据采集系统(“EDC”)的服务器和运维部署在境外,或者其需要向境外主体开放访问权限等,构成临床试验数据出境。
四、临床试验数据出境的法律规制
(一)关于临床试验数据出境的法定路径
《中华人民共和国个人信息保护法》第三十八条明确规定了个人信息出境的三条路径,包括:“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”以及“按照国家网信部门制定的标准合同与境外接收方订立合同”,《数据出境安全评估办法》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(TC260-PG-20222A)以及刚颁布的《个人信息出境标准合同办法》这三部法规即是对上述三条路径的具体细化。结合三部法规中关于适用情形的具体规定,上述三条路径适用的逻辑关系为:数据在出境之时若达到“安全评估”要求的,则应当进行“安全评估”;若未达到“安全评估”要求的,则可依据具体情形适用“个人信息保护认证”或“订立标准合同”。
在现行法律暂无特殊规定的情形下,临床试验数据在出境之时应基于实际情况选择适用上述三条路径之一。
(二)关于人类遗传资源出境的特殊规定
人类遗传资源包括人类遗传资源材料和人类遗传资源信息,《人类遗传资源管理条例》第二十二条、第二十七条和第二十八条就人类遗传资源材料和人类遗传资源信息出境作出了规定。在常见临床试验数据出境场景中,通常仅会涉及人类遗传资源信息的出境,即在国际合作临床试验经国务院科学技术行政部门备案以及对我国公众健康、国家安全和社会公共利益没有危害的前提下,临床试验数据出境需就对外提供或开放使用人类遗传资源信息向国务院科学技术行政部门备案并提交信息备份。此外,若出境可能影响我国公众健康、国家安全和社会公共利益的,则应通过国务院科学技术行政部门组织的安全审查。
(三)关于“少量”临床试验数据出境的特殊规定
《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)第七条“使用披露要求”中第o、p项明确了少量健康医疗数据出境的具体要求,第o项适用于因学术研讨需要而出境的场景,第p项适用于一般场景,具体条件为:(1)经主体授权同意;(2)经数据安全委员会讨论审批同意;(3)不涉及国家秘密且不属于重要数据;(4)累计数据量应控制在250条以内。其中,数据安全委员会系数据流通所涉主体设立的管理组织,下设数据安全工作办公室执行具体工作。在常见场景下,临床试验数据出境存在适用第p项要求的可能。
五、临床试验数据出境适用《个人信息出境标准合同》的合规要件
(一)临床试验数据出境适用《个人信息出境标准合同》的一般要件
根据《个人信息出境标准合同》第四条规定可知,在常规场景下,临床试验数据出境应当符合以下要件:
(1)境内主体非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
此外,适用《个人信息出境标准合同》之前需要排除适用《数据出境安全评估办法》的情形,即除了满足上述四个要件之外,出境的临床试验数据不应为重要数据。
针对上述五个要件,境内主体在适用“标准合同”之前需要重点厘清以下问题:
1
所涉主体是否构成“关键信息基础设施运营者”
《关键信息基础设施安全保护条例》中未将卫生医疗行业领域明确列入关键信息基础设施的范围,卫生医疗行业领域的网络设施、信息系统运营者是否构成“关键信息基础设施运营”,尚需保护工作部门制定关键信息基础设施认定规则予以明确。
考虑到《关键信息基础设施安全保护条例(征求意见稿)》第十八条及国家互联网信息办公室有关负责人就《网络安全审查办法》(已废止)相关问题答记者问中分别将“卫生医疗”、“卫生健康”行业领域纳入关键信息基础设施的范围,而《国家健康医疗大数据标准、安全和服务管理办法(试行)》第十九条也对医疗卫生机构明确提出“提升关键信息基础设施和重要信息系统的安全防护能力”的要求,在现有数据安全监管体系下,临床试验所涉主体,尤其是医疗机构,存在被认定为“关键信息基础设施运营者”的较大可能。
基于此,境内主体在临床试验数据出境之时应当紧密关注有关主管部门出具的关键信息基础设施认定规则,一旦确定构成“关键信息基础设施运营者”,则应当适用《网络安全法》第三十七条及《个人信息保护法》第四十条规定,积极做好临床试验数据的本地储存以及数据出境安全评估,并在必要时进行网络安全审查。
2
如何界定临床试验中的重要数据
《数据安全法》第二十一条要求对重要数据进行重点保护,并由相关部门制定重要数据目录,但至今,相关主管部门尚未对医药领域的重要数据制定具体目录。在界定临床试验中的重要数据之时主要依据以下规定:
综合分析上述重要数据的定义、识别因素以及列举情形,我们认为境内主体在界定临床试验中的重要数据之时可着重从以下两个指标考量:(1)是否涉及人类遗传资源信息;(2)是否可反映一定规模群体总体健康状况或族群特征。鉴于监管部门对重要数据的保护加强,建议境内主体从严把控上述两个指标,一旦触及或涉嫌触及任一指标,则应考虑适用数据出境安全评估。
3
使用鉴认代码标记是否符合“匿名化”的要求
鉴认代码指临床试验中分配给受试者以辩识其身份的唯一代码。研究者在报告受试者出现的不良事件和其他与试验有关的数据时,用该代码代替受试者姓名以保护其隐私[1]。使用鉴认代码符合《个人信息保护法》中第七十三条[2]关于“去标识化”的要求,即在不借助其他信息情况下无法通过相应数据识别受试者,但是在临床试验中,研究者通常掌握了受试者大量其他信息,如:病历病史、生理体征、检查信息等,并且在有必要的情况下,临床试验机构可以对相关数据进行揭盲,从而建立数据与某一具体受试者的对应关系。因此,使用鉴认代码标记临床试验数据仅能达到“去标识化”,而无法实现“匿名化”,相关临床试验数据在出境之时仍应当遵守《个人信息保护法》中关于个人信息出境的规定。
[1]《药物临床试验质量管理规范》第十一条……
(三十)受试者鉴认代码,指临床试验中分配给受试者以辩识其身份的唯一代码。研究者在报告受试者出现的不良事件和其他与试验有关的数据时,用该代码代替受试者姓名以保护其隐私。
[2]《个人信息保护法》第七十三条 本法下列用语的含义:
……
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
(二)临床试验数据出境适用《个人信息出境标准合同》的其他要件
1
关于人类遗传资源信息的出境
如前文所述,人类遗传资源信息通常被界定为重要数据,其出境不具有适用《个人信息出境标准合同》的法律空间,仅能适用数据出境安全评估。同时,依据《人类遗传资源管理条例》第二十八条规定,境内主体还应当就对外提供或开放使用人类遗传资源信息向国务院科学技术行政部门备案并提交信息备份。
值得注意的是,在人类遗传资源信息出境可能影响我国公众健康、国家安全和社会公共利益的情形下,依据该条规定,境内主体需通过国务院科学技术行政部门组织的安全审查。在此情形下,境内主体是否还需要另行进行数据出境安全评估?
我们认为可不再进行数据出境安全评估。《个人信息保护法》第三十八条虽仅明确了“安全评估”、“个人信息保护认证”以及“订立标准合同”这三条路径,但第(四)项中明确了“法律、行政法规或者国家网信部门规定的其他条件”这一兜底性条款。“安全审查”作为行政法规《人类遗传资源管理条例》特别规定的由国务院科学技术行政部门组织的独立行政程序, 一方面足已完成数据出境的安全性审查目的,另一方面,也符合《个人信息保护法》第三十八条中第(四)项规定的“其他路径”,因此可不再另行进行数据出境安全评估。
2
关于“少量”临床试验数据的出境
如前文所述,依据《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)第七条“使用披露要求”中第p项要求,在临床试验数据“不涉及商业秘密且不属于重要数据”、“累计数量在250条以内”的情形下,境内主体在经过“主体同意”以及“数据安全委员会讨论审批同意”之后,可向境外提供相应数据。上述情形同样存在适用《个人信息出境标准合同》的合规空间,在此情形下,境内主体除了满足第p项要求之外,是否还需要适用“标准合同”?
我们认为仍应当适用“标准合同”。《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)虽系全国信息安全标准化技术委员会提出并归口,但在性质上属于推荐性国家标准,而非强制性法律规定。《个人信息出境标准合同办法》系部门规章,不仅法律位阶高于“指南”,而且具有一定法律强制力。因此,在以上情形下,境内主体仍应当适用“标准合同”。
3
关于适用“标准合同”之前的相关义务
依据《个人信息保保护法》及《个人信息出境标准合同办法》相关规定,临床试验数据出境在适用“标准合同”之前,境内主体需要履行以下义务:
(1)最小化原则:确保向境外提供的个人信息仅限于实现处理目的所需的最小范围。
(2)告知义务:向受试者告知境外接受方的基本信息、处理目的、处理方式等事项,涉及敏感信息的,还需告知提供信息的必要性以及对个人权益的影响。
(3)单独同意:就向境外提供个人信息取得受试者的单独同意。
(4)个人信息保护影响评估:境内主体在向境外提供个人信息之前,应当开展个人信息保护影响评估,相关评估报告和处理情况记录应当至少保存三年。
六、结语
随着《个人信息出境标准合同办法》的公布,“订立标准合同”的数据跨境路径得以明确和清晰,医药企业在临床试验数据的出境方式上也多了一种更加经济高效的选择。但值得注意的是,在当前数据安全监管体系下,临床试验数据不仅受到不同领域、多重法律的约束,而且还因其特殊性、敏感性和高价值性,而受到力度更大、尺度更严的监管。加之临床试验数据出境在适用“标准合同”之时仍在一定程度上面临着体系不协调、规定不明确、标准不健全的障碍,这就导致临床试验数据在出境之时适用“标准合同”的合规空间极为狭窄、合规要件更为苛刻,进而面临巨大的合规风险。为有效化解数据便捷出境与巨大违规风险之间的现实冲突,医药企业在临床试验数据出境中选择适用“标准合同”之时,除了严格遵循本文所述相关要件并持续关注立法和监管相关动态变化之外,也可寻求专业人士提供法律意见或合规方案。
作者介绍
刘才
律师
刘才律师具有医学学士、法律硕士双重专业知识背景,曾为多家大型医院、医药公司、政府机构提供常年法律顾问以及专项法律服务,包括商事合规、数据合规、合规、尽职调查、技术许可与交易以及医药合作投资纠纷等。
李梦园
合伙人、法律部部长、律师、商标代理人
李梦园律师能熟练地用中英双语为国内外客户提供民商事争议解决服务及日常咨询服务,擅长知识产权、公司法。李梦园律师曾负责医药领域、新能源汽车领域、计算机软件领域内多起以知识产权为核心资产的并购项目,多次成功地为客户建立知识产权法律保护系统。
自2016年起至今,李梦园律师在上海市知识产权服务中心担任特聘讲师讲授商标法、著作权法、民诉法、民法、行政法,2018年被聘为徐汇区专业人民调解中心知识产权纠纷特邀调解员,2020年被选为上海律师协会知识产权业务研究委员会干事,2021年及2022年受邀至同济大学上海国际知识产权学院为研究生授课,曾参与编写最高人民法院司法案例研究院《知识产权司法案例状态研究报告》、上海市律师协会特邀会员工作委员会主编的《公司法务业务操作指引》。
弼兴法律服务团队
负责人:薛琦 李梦园
成 员:杨东明 王卫彬 仲伟昆 王梦婷 刘晓燕 刘才 全晓雯 姜秀妍 李晓东 李心雨
声明:本文仅代表作者观点,不视为弼兴律师事务所正式法律意见或建议。如需转载或引用,请注明出处。如有任何问题,欢迎与本所联系。
往期推荐
10周年快乐
Beshining 10th Anniversary
2023.03.13
为了您
保护您
成就您
弼兴核心价值观
专业 负责 简单 阳光 奋进
弼兴修炼观
一改:改变自己;
二不:不比较、不计较;
三好:说好话、做好事、存好心;
四给:给人方便,给人欢喜、给人信心,给人希望;
五心:慈悲之心、感恩之心、分享之心、进取之心、平和之心。