【弼兴法谈】临床试验数据出境适用 《个人信息出境标准合同》的合规空间及相关要件
2023-04-03 16:38:38
临床试验数据出境适用
《个人信息出境标准合同》的合规空间及相关要件
弼兴法律服务团队出品
作者:刘才 李梦园
一、引言
数据出境一直以来是数据合规的难点和风险所在,相比于一般数据,临床试验数据因其内容的广泛性、属性的复杂性,在出境中受到不同领域、多重法律的约束,数据出境应用与数据合规保护之间的紧张关系尤为突出,相关监管机制及合规路径亟需明晰。
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》及《个人信息出境标准合同》(以下简称“《标准合同》”),为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本与中国方案。
在此背景下,本文拟从临床试验数据的内涵出发,结合临床试验数据出境不同场景,总结临床试验数据出境之时受到的规制内容,厘清临床试验数据出境之时适用《标准合同》的合规空间及相关要件,以期医药行业从业者在正确的路径下合规适用《标准合同》。
二、临床试验数据的内涵
临床试验是以人体(患者或健康受试者)为对象确定试验药物疗效与安全性的系统性研究[1],涉及受试者、申办者、研究者、伦理委员会、临床研究机构、合同研究组织(CRO)、临床试验现场管理组织(SMO)等多方主体参与,临床试验过程中的所有纸质或电子资料均会被妥善地记录、处理和保存,由此产生内容广泛、属性复杂的临床试验数据[2],包括受试者个人信息、病历信息、检查信息、检验信息、处方信息、费用信息、遗传数据、基因测序或转录产物测序信息以及其它临床科研相关数据等。
根据《民法典》第一千零三十四条、《个人信息保护法》第四条、第二十一条和第二十八条、《网络安全法》第三十一条、《数据安全法》第三条、《人类遗传资源管理条例》第二条及《数据出境安全评估办法》第十九条等规定,临床试验数据可依据具体属性被进一步划分为个人信息、个人信息中的敏感信息、重要数据以及人类遗传资源信息。
| 法律依据 | 法律条款 |
| 《中华人民共和国数据安全法》 (2021年9月1日 施行) |
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。 |
| 《中华人民共和国个人信息保护法》 (2021年11月1日 实施) |
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 |
| 第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 | |
| 第七十六条 本法下列用语的含义: …… (五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 |
|
| 《中华人民共和国民法典》 (2021年1月1日 施行) |
第一千零三十四条 自然人的个人信息受法律保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 |
| 《中华人民共和国网络安全法》 (2017年6月1日施行 ) |
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 |
| 《中华人民共和国人类遗传资源管理条例》 (2019年7月1日施行) |
第二条 本条例所称人类遗传资源包括人类遗传资源材料和人类遗传资源信息。 人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。 人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。 |
| 《数据出境安全评估办法》 (2022年9月1日施行 ) |
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 |
三、临床试验数据出境的场景
根据国家互联网信息办公室有关负责人就《数据出境安全评估办法》相关问题答记者问,数据出境活动主要包括:
1. 数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
2. 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
结合临床试验实践,常见的临床试验数据出境场景主要包括:
1. 国际多中心的临床试验中,境内主体需要向境外合作方跨境传输境内临床试验中产生的数据;
2. 境内主体向境外药品监管机构申报新药临床试验审批(“IND”)和新药注册申请(“NDA”)时,需要向境外药品监管机构提供临床试验数据;
3. 境内主体所使用电子数据采集系统(“EDC”)的服务器和运维部署在境外,或者其需要向境外主体开放访问权限等,构成临床试验数据出境。
四、临床试验数据出境的法律规制
(一)关于临床试验数据出境的法定路径
《中华人民共和国个人信息保护法》第三十八条明确规定了个人信息出境的三条路径,包括:“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”以及“按照国家网信部门制定的标准合同与境外接收方订立合同”,《数据出境安全评估办法》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(TC260-PG-20222A)以及刚颁布的《个人信息出境标准合同办法》这三部法规即是对上述三条路径的具体细化。结合三部法规中关于适用情形的具体规定,上述三条路径适用的逻辑关系为:数据在出境之时若达到“安全评估”要求的,则应当进行“安全评估”;若未达到“安全评估”要求的,则可依据具体情形适用“个人信息保护认证”或“订立标准合同”。
在现行法律暂无特殊规定的情形下,临床试验数据在出境之时应基于实际情况选择适用上述三条路径之一。
(二)关于人类遗传资源出境的特殊规定
人类遗传资源包括人类遗传资源材料和人类遗传资源信息,《人类遗传资源管理条例》第二十二条、第二十七条和第二十八条就人类遗传资源材料和人类遗传资源信息出境作出了规定。在常见临床试验数据出境场景中,通常仅会涉及人类遗传资源信息的出境,即在国际合作临床试验经国务院科学技术行政部门备案以及对我国公众健康、国家安全和社会公共利益没有危害的前提下,临床试验数据出境需就对外提供或开放使用人类遗传资源信息向国务院科学技术行政部门备案并提交信息备份。此外,若出境可能影响我国公众健康、国家安全和社会公共利益的,则应通过国务院科学技术行政部门组织的安全审查。
(三)关于少量临床试验数据出境的特殊规定
《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)第七条“使用披露要求”中第o、p项明确了少量健康医疗数据出境的具体要求,第o项适用于因学术研讨需要而出境的场景,第p项适用于一般场景,具体条件为:(1)经主体授权同意;(2)经数据安全委员会讨论审批同意;(3)不涉及国家秘密且不属于重要数据;(4)累计数据量应控制在250条以内。其中,数据安全委员会系数据流通所涉主体设立的管理组织,下设数据安全工作办公室执行具体工作。在常见场景下,临床试验数据出境存在适用第p项要求的可能。
| 法律依据 | 法律条款 |
| 《中华人民共和国数据安全法》 (2021年9月1日 施行) |
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 |
| 《中华人民共和国个人信息保护法》 (2021年11月1日 实施) |
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一: (一)依照本法第四十条的规定通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务; (四)法律、行政法规或者国家网信部门规定的其他条件。 |
| 第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。 | |
| 《中华人民共和国网络安全法》 (2017年6月1日施行 ) |
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 |
| 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 | |
| 《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(TC260-PG-20222A) (2022年12月16日施行) |
本文件作为认证机构对个人信息跨境处理活动进行个人信息保护认证的认证依据,也为个人信息处理者规范个人信息跨境处理活动提供参考。 …… 《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者,可由其在境内设置的专门机构或指定代表申请认证,并承担法律责任。 |
| 《数据出境安全评估办法》 (2022年9月1日施行 ) |
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 |
| 第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 | |
| 第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 |
|
| 第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估…… | |
| 《个人信息出境标准合同办法》 (2023年6月1日施行) |
第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: (一)非关键信息基础设施运营者; (二)处理个人信息不满100万人的; (三)自上年1月1日起累计向境外提供个人信息不满10万人的; (四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 法律、行政法规或者国家网信部门另有规定的,从其规定。 个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 |
| 《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020) (2021年7月1日施行) |
o)控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则应提请相关部门审批。 p)经主体授权同意,并经数据安全委员会讨论审批同意,不涉及国家秘密且不属于重要数据的,控制者可向境外目的地传送个人健康医疗数据,累计数据量应控制在250条以内,否则应提请相关部门审批。 |
| 《中华人民共和国人类遗传资源管理条例》 (2019年7月1日施行) |
第二十二条 利用我国人类遗传资源开展国际合作科学研究的,应当符合下列条件,并由合作双方共同提出申请,经国务院科学技术行政部门批准: (一)对我国公众健康、国家安全和社会公共利益没有危害; …… 为获得相关药品和医疗器械在我国上市许可,在临床机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,不需要审批。但是,合作双方在开展临床试验前应当将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案。国务院科学技术行政部门和省、自治区、直辖市人民政府科学技术行政部门加强对备案事项的监管。 |
| 第二十七条 利用我国人类遗传资源开展国际合作科学研究,或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的,应当符合下列条件,并取得国务院科学技术行政部门出具的人类遗传资源材料出境证明: (一)对我国公众健康、国家安全和社会公共利益没有危害; (二)具有法人资格; (三)有明确的境外合作方和合理的出境用途; (四)人类遗传资源材料采集合法或者来自合法的保藏单位; (五)通过伦理审查。 |
|
| 第二十八条 将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,不得危害我国公众健康、国家安全和社会公共利益;可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。 将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术行政部门备案并提交信息备份。 |
五、临床试验数据出境适用《个人信息出境标准合同》的合规要件
(一)临床试验数据出境适用《个人信息出境标准合同》的一般要件
根据《个人信息出境标准合同》第四条规定可知,在常规场景下,临床试验数据出境应当符合以下要件:
(1)境内主体非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
此外,适用《个人信息出境标准合同》之前需要排除适用《数据出境安全评估办法》的情形,即除了满足上述四个要件之外,出境的临床试验数据不应为重要数据。
针对上述五个要件,境内主体在适用“标准合同”之前需要重点厘清以下问题:
1. 临床试验所涉主体是否构成“关键信息基础设施运营者”
《关键信息基础设施安全保护条例》中未将卫生医疗行业领域明确列入关键信息基础设施的范围,卫生医疗行业领域的网络设施、信息系统运营者是否构成“关键信息基础设施运营”,尚需保护工作部门制定关键信息基础设施认定规则予以明确。
考虑到《关键信息基础设施安全保护条例(征求意见稿)》第十八条及国家互联网信息办公室有关负责人就《网络安全审查办法》(已废止)相关问题答记者问中分别将“卫生医疗”、“卫生健康”行业领域纳入关键信息基础设施的范围,而《国家健康医疗大数据标准、安全和服务管理办法(试行)》第十九条也对医疗卫生机构明确提出“提升关键信息基础设施和重要信息系统的安全防护能力”的要求,在现有数据安全监管体系下,临床试验所涉主体,尤其是医疗机构,存在被认定为“关键信息基础设施运营者”的较大可能。
基于此,境内主体在临床试验数据出境之时应当紧密关注有关主管部门出具的关键信息基础设施认定规则,一旦确定构成“关键信息基础设施运营者”,则应当适用《网络安全法》第三十七条及《个人信息保护法》第四十条规定,积极做好临床试验数据的本地储存以及数据出境安全评估,并在必要时进行网络安全审查。
| 法律依据 | 法律条款 |
| 《关键信息基础设施安全保护条例》 (2021年9月1日施行) |
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 |
| 第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。 制定认定规则应当主要考虑下列因素: (一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度; (二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度; (三)对其他行业和领域的关联性影响。 |
|
| 《关键信息基础设施安全保护条例(征求意见稿)》 (2017年7月10日公开) |
第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围: (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; …… |
| 《网络安全审查办法》 (2022年2月15日施行) |
第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。 |
| 第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 | |
| 国家互联网信息办公室有关负责人就《网络安全审查办法》(已废止,2020年6月1日施行)相关问题答记者问 | 问:哪些网络运营者采购产品和服务需要考虑申报网络安全审查? 答:……根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,……卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。 |
| 《国家健康医疗大数据标准、安全和服务管理办法(试行)》 (2018年7月12日施行) |
第五条 本办法适用于县级以上卫生健康行政部门(含中医药主管部门,下同)、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理。 |
| 第十九条 责任单位应当按照国家网络安全等级保护制度要求……提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。 |
《数据安全法》第二十一条要求对重要数据进行重点保护,并由相关部门制定重要数据目录,但至今,相关主管部门尚未对医药领域的重要数据制定具体目录。在界定临床试验中的重要数据之时主要依据以下规定:
| 法律依据 | 法律条款 |
| 《数据出境安全评估办法》 (2022年9月1日施行 ) |
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 |
| 《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020) (2021年7月1日施行) |
在引言中提出:“涉及人类遗传资源数据(是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料的信息资料)等重要数据的,按照相关部门要求执行”。 |
| 《信息安全技术 重要数据识别指南》(征求意见稿) (2022年1月13日发布) |
…… (h)项明确“反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据” …… 具备以上因素之一的,是重要数据。 |
3. 使用鉴认代码标记临床试验数据是否符合“匿名化”的要求
鉴认代码指临床试验中分配给受试者以辩识其身份的唯一代码。研究者在报告受试者出现的不良事件和其他与试验有关的数据时,用该代码代替受试者姓名以保护其隐私[3]。使用鉴认代码符合《个人信息保护法》中第七十三条[4]关于“去标识化”的要求,即在不借助其他信息情况下无法通过相应数据识别受试者,但是在临床试验中,研究者通常掌握了受试者大量其他信息,如:病历病史、生理体征、检查信息等,并且在有必要的情况下,临床试验机构可以对相关数据进行揭盲,从而建立数据与某一具体受试者的对应关系。因此,使用鉴认代码标记临床试验数据仅能达到“去标识化”,而无法实现“匿名化”,相关临床试验数据在出境之时仍应当遵守《个人信息保护法》中关于个人信息出境的规定。
(二)临床试验数据出境适用《个人信息出境标准合同》的其他要件
1. 关于人类遗传资源信息的出境
如前文所述,人类遗传资源信息通常被界定为重要数据,其出境不具有适用《个人信息出境标准合同》的法律空间,仅能适用数据出境安全评估。同时,依据《人类遗传资源管理条例》第二十八条规定,境内主体还应当就对外提供或开放使用人类遗传资源信息向国务院科学技术行政部门备案并提交信息备份。
值得注意的是,在人类遗传资源信息出境可能影响我国公众健康、国家安全和社会公共利益的情形下,依据该条规定,境内主体需通过国务院科学技术行政部门组织的安全审查。在此情形下,境内主体是否还需要另行进行数据出境安全评估?
我们认为可不再进行数据出境安全评估。《个人信息保护法》第三十八条虽仅明确了“安全评估”、“个人信息保护认证”以及“订立标准合同”这三条路径,但第(四)项中明确了“法律、行政法规或者国家网信部门规定的其他条件”这一兜底性条款。“安全审查”作为行政法规《人类遗传资源管理条例》特别规定的由国务院科学技术行政部门组织的独立行政程序, 一方面足已完成数据出境的安全性审查目的,另一方面,也符合《个人信息保护法》第三十八条中第(四)项规定的“其他路径”,因此可不再另行进行数据出境安全评估。
2. 关于少量临床试验数据的出境
如前文所述,依据《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)第七条“使用披露要求”中第p项要求,在临床试验数据“不涉及商业秘密且不属于重要数据”、“累计数量在250条以内”的情形下,境内主体在经过“主体同意”以及“数据安全委员会讨论审批同意”之后,可向境外提供相应数据。上述情形同样存在适用《个人信息出境标准合同》的合规空间,在此情形下,境内主体除了满足第p项要求之外,是否还需要适用“标准合同”?
我们认为仍应当适用“标准合同”。《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)虽系全国信息安全标准化技术委员会提出并归口,但在性质上属于推荐性国家标准,而非强制性法律规定。《个人信息出境标准合同办法》系部门规章,不仅法律位阶高于“指南”,而且具有一定法律强制力。因此,在以上情形下,境内主体仍应当适用“标准合同”。
3. 关于适用“标准合同”之前的相关义务
依据《个人信息保保护法》及《个人信息出境标准合同办法》相关规定,临床试验数据出境在适用“标准合同”之前,境内主体需要履行以下义务:
(1)最小化原则:确保向境外提供的个人信息仅限于实现处理目的所需的最小范围。
(2)告知义务:向受试者告知境外接受方的基本信息、处理目的、处理方式等事项,涉及敏感信息的,还需告知提供信息的必要性以及对个人权益的影响。
(3)单独同意:就向境外提供个人信息取得受试者的单独同意。
(4)个人信息保护影响评估:境内主体在向境外提供个人信息之前,应当开展个人信息保护影响评估,相关评估报告和处理情况记录应当至少保存三年。
| 法律依据 | 法律条款 |
| 《中华人民共和国个人信息保护法》 (2021年11月1日 实施) |
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。 |
| 第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录: …… (四)向境外提供个人信息; (五)其他对个人权益有重大影响的个人信息处理活动。 |
|
| 第五十六条 个人信息保护影响评估应当包括下列内容: (一)个人信息的处理目的、处理方式等是否合法、正当、必要; (二)对个人权益的影响及安全风险; (三)所采取的保护措施是否合法、有效并与风险程度相适应。 个人信息保护影响评估报告和处理情况记录应当至少保存三年。 |
|
| 《个人信息出境标准合同办法》 (2023年6月1日施行) |
《个人信息出境标准合同》 第二条 个人信息处理者的义务 个人信息处理者应当履行下列义务: (一)按照相关法律法规规定处理个人信息,向境外提供的个人信息仅限于实现处理目的所需的最小范围。 (二)向个人信息主体告知境外接收方的名称或者姓名、联系方式、附录一“个人信息出境说明”中处理目的、处理方式、个人信息的种类、保存期限,以及行使个人信息主体权利的方式和程序等事项。向境外提供敏感个人信息的,还应当向个人信息主体告知提供敏感个人信息的必要性以及对个人权益的影响。但是法律、行政法规规定不需要告知的除外。 …… |
六、结语
随着《个人信息出境标准合同办法》的公布,“订立标准合同”的数据跨境路径得以明确和清晰,医药企业在临床试验数据的出境方式上也多了一种更加经济高效的选择。但值得注意的是,在当前数据安全监管体系下,临床试验数据不仅受到不同领域、多重法律的约束,而且还因其特殊性、敏感性和高价值性,而受到力度更大、尺度更严的监管。加之临床试验数据出境在适用“标准合同”之时仍在一定程度上面临着体系不协调、规定不明确、标准不健全的障碍,这就导致临床试验数据在出境之时适用“标准合同”的合规空间极为狭窄、合规要件更为苛刻,进而面临巨大的合规风险。为有效化解数据便捷出境与巨大违规风险之间的现实冲突,医药企业在临床试验数据出境中选择适用“标准合同”之时,除了严格遵循本文所述相关要件并持续关注立法和监管相关动态变化之外,也可寻求专业人士提供法律意见或合规方案。
作者介绍
刘才 律师
刘才律师具有医学学士、法律硕士双重专业知识背景,曾为多家大型医院、医药公司、政府机构提供常年法律顾问以及专项法律服务,包括商事合规、数据合规、广告合规、尽职调查、技术许可与交易以及医药合作投资纠纷等。
李梦园 合伙人、法律部部长、律师、商标代理人
李梦园律师能熟练地用中英双语为国内外客户提供民商事争议解决服务及日常咨询服务,擅长知识产权、公司法。李梦园律师曾负责医药领域、新能源汽车领域、计算机软件领域内多起以知识产权为核心资产的并购项目,多次成功地为客户建立知识产权法律保护系统。
自2016年起至今,李梦园律师在上海市知识产权服务中心担任特聘讲师讲授商标法、著作权法、民诉法、民法、行政法,2018年被聘为徐汇区专业人民调解中心知识产权纠纷特邀调解员,2020年被选为上海律师协会知识产权业务研究委员会干事,2021年及2022年均受邀至同济大学上海国际知识产权学院为研究生授课,曾参与编写最高人民法院司法案例研究院《知识产权司法案例状态研究报告》、上海市律师协会特邀会员工作委员会主编的《公司法务业务操作指引》。
弼兴法律服务团队
负责人:薛琦 李梦园
成 员:杨东明 王卫彬 仲伟昆 王梦婷 刘晓燕 刘才 全晓雯 姜秀妍 李晓东 李心雨
[1]《药物临床试验质量管理规范》第十一条 本规范下列用语的含义是:
(一)临床试验,指以人体(患者或健康受试者)为对象的试验,意在发现或验证某种试验药物的临床医学、药理学以及其他药效学作用、不良反应,或者试验药物的吸收、分布、代谢和排泄,以确定药物的疗效与安全性的系统性试验。
(一)临床试验,指以人体(患者或健康受试者)为对象的试验,意在发现或验证某种试验药物的临床医学、药理学以及其他药效学作用、不良反应,或者试验药物的吸收、分布、代谢和排泄,以确定药物的疗效与安全性的系统性试验。
[2]《药物临床试验质量管理规范》第七条 所有临床试验的纸质或电子资料应当被妥善地记录、处理和保存,能够准确地报告、解释和确认。应当保护受试者的隐私和其相关信息的保密性。
[3]《药物临床试验质量管理规范》第十一条……
(三十)受试者鉴认代码,指临床试验中分配给受试者以辩识其身份的唯一代码。研究者在报告受试者出现的不良事件和其他与试验有关的数据时,用该代码代替受试者姓名以保护其隐私。
(三十)受试者鉴认代码,指临床试验中分配给受试者以辩识其身份的唯一代码。研究者在报告受试者出现的不良事件和其他与试验有关的数据时,用该代码代替受试者姓名以保护其隐私。
[4]《个人信息保护法》第七十三条 本法下列用语的含义:
……
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
……
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
