《数据安全法》和《个人信息保护法》在2021年相继生效,加之此前的《网络安全法》,以及陆续出台的《关键信息基础设施安全保护条例》 《数据出境安全评估办法(征求意见稿)》和《网络数据安全管理条例(征求意见稿)》。至此,中国的数据安全监管框架已然成型,也对从事数据处理的相关主体提出了全面的合规性要求。
作为医事法领域的执业律师,笔者结合中国药企在跨国申报新药临床研究审批(Investigational New Drug,简称IND)和新药注册申请(New Drug Application,简称NDA)过程中所涉及的跨境数据传输需求,结合最新数据安全监管趋势,就医疗数据跨境传输的问题略做初步探讨。
跨境数据传输
IND和NDA中的医疗数据跨境数据传输主要发生在(1)向境外药品监管机构申请IND及药物临床试验和(2)向境外药品监管机构提交NDA之时。
在申请IND时,药企通常需提交药品的临床前试验数据(如动物药理/毒理学研究数据)、药物成分及生产信息、临床研究方案和研究者信息等。如果以国际多中心方式开展药物临床试验,出于对试验数据的统计、分析、监察的统一性要求,需要将各中心采集和生成的数据进行汇总处理,而若试验申办者将统一的数据处理中心设置在境外,就涉及将中国境内临床试验的数据传输至境外的情形。又如,试验中使用了部署在境外服务器上的EDC(Electronic Data Capture)系统的,也会涉及将国内的临床试验数据传输至境外的情形。
在NDA阶段,通常需要向境外监管机构提供药品生产信息、非临床药理和毒理数据、临床试验中产生的人体药代动力学和生物利用度数据、微生物数据、临床数据、安全性数据更新报告、统计学数据、病例报告表、有关专利情况、样品、包装及标签等。
需否申报安全评估?
从个人信息角度:在中国开展新药临床试验,会涉及受试者的基本信息、生理指标、检测结果等医疗健康数据的收集和处理。但按照中国《药物临床试验质量管理规范》《临床试验数据管理工作技术指南》等规范的要求,对受试者个人信息的保护举措在临床试验方案及数据库的设计时就被纳入,包括以受试者鉴认代码代替其姓名(反映不良事件和其他试验数据时均同)。因此,在递交IND和NDA申请时所提交的试验报告和资料中,通常并不包括能够直接识别受试者的个人信息,所涉及的受试者数量也相对有限。
申请资料中也会包含少量申办者、研究者、CRO工作人员的姓名、邮件等普通个人信息,但总体规模十分有限,难以触及《出境评估办法》规定的传输规模(累计传输10万人以上个人信息);就新药研发企业而言,其在境内处理的个人信息规模通常也不会超过100万人的门槛。因此,除非相关方被认定为关键信息基础设施运营者,否则也不会触发申报数据出境安全评估的义务。
另外,在临床试验数据中还可能包括受试者的人类遗传资源信息。《生物安全法》和《人类遗传资源管理条例》对中国人类遗传资源信息的出境,分不同场景规定了相应的审批或备案备份要求。按特别法优于一般法原则,根据《出境评估办法》第二条“法律、行政法规另有规定的,依照其规定”的安排,笔者理解,此等场景的传输宜以科技部的要求为准。
从重要数据角度:根据《出境评估办法》和《网络数安条例》征求意见稿,只要出境数据包括重要数据,就需申报数据出境安全评估。但重要数据目录及其识别仍有待于地区和行业主管部门判明。
我们注意到,虽有网传某国标征求意见稿在对重要数据进行特征描述时,提及“国家战略安全的药品在药品审批中提交的药品实验数据”系重要数据,但其中也规定了将由各地区各部门明确其行业/领域内重要数据的类别/特征,因此仍然有待主管部门(国家药监局和国家卫健委)所制订的重要数据目录的澄清和指引。
其他合规义务
值得重视的是,根据上述新规,新药研发流程中相关方还需要就数据出境活动遵从其他义务,例如(1)除在受试者的知情同意书中需披露数据出境情形并征得其明确同意之外,如有参与试验的工作人员的个人信息,也需以书面方式披露并获明示同意;(2)机构内部建立一套自评估制度,对所涉跨境数据传输活动进行梳理,根据《个保法》《出境评估办法》等规定要求开展风险自评估,并留存评估报告;(3)完善与IND、临床试验、NDA申报过程中的境外合作方(如临床试验中的外方机构、代理注册的境外中介、境外技术服务机构等)之间的合同约定,对其接收来自中国的数据的安全保护责任义务进行约定;及(4)对相关场景中所涉及的跨境数据传输的日志和记录,留存至少三年以上。
竞天公诚律师事务所合伙人周晗烁
上海市徐汇区淮海中路1010号
嘉华中心45层
邮编:200031
电话: +86 21 5404 9930
传真: +86 21 5404 9931
电子信箱: