适用场景
适用于在中国境内开展临床试验,并需将相关数据传输至境外的医药企业、生物科技公司、合同研究组织(CRO)及科研机构。无论处于新药临床试验申请(IND)、新药上市申请(NDA)阶段,国际合作研究,或使用境外数据管理系统,均需关注。
核心要点
1. 多部门协同监管体系
临床试验数据出境不再仅受国家药监局(NMPA)和国家卫健委(NHC)的《药物临床试验质量管理规范》(GCP)等规定约束,还需遵循国家网信办(CAC)主导的《个人信息保护法》(PIPL)、《数据安全法》及《数据出境安全评估办法》等数据安全和个人信息保护法规。此外,涉及人类遗传资源的,仍需符合科技部《人类遗传资源管理条例》的要求。
2. 数据出境合规三大路径
根据《个人信息保护法》,个人信息出境主要有三种合规路径:通过国家网信办组织的数据出境安全评估;获得专业机构的个人信息保护认证;或与境外接收方签订国家网信办制定的标准合同(SCC)。企业需根据自身情况和数据量选择适用路径。
3. 数据出境安全评估触发门槛
需进行数据出境安全评估的情形包括:数据处理者出境重要数据;关键信息基础设施运营者或处理100万人以上个人信息的处理者出境个人信息;自上年1月1日起累计出境10万人个人信息或1万人敏感个人信息的数据处理者。其他网信办规定的情形也可能触发评估。
4. “重要数据”与“敏感个人信息”的识别
临床试验数据可能包含对国家安全、经济运行、社会稳定、公共健康和安全有影响的“重要数据”(如人口健康、遗传信息、基因测序原始数据等),以及《个人信息保护法》明确的“医疗健康信息”等“敏感个人信息”(如病史、诊断、用药记录等)。对这些数据的识别和分类是合规的前提。
实务建议
- 全面评估数据类型与风险:详细梳理临床试验数据内容,识别是否包含人类遗传资源信息、重要数据或敏感个人信息,并评估其出境可能带来的国家安全、公共健康等风险。
- 遵循多重合规要求:在满足《人类遗传资源管理条例》的审批/备案要求(如国际合作研究、人类遗传信息对外提供、人类遗传资源材料出境审批)的同时,同步落实《个人信息保护法》和《数据安全法》的数据出境合规义务。
- 提前规划出境路径:根据数据量、数据敏感程度及企业自身情况,提前判断是否触发安全评估门槛,或选择机构认证、标准合同路径,并着手准备相关材料。
- 加强内部合规管理:建立健全数据分类分级管理制度,完善数据出境内部审批流程,确保在数据收集、存储、传输、使用全生命周期中符合合规要求。
- 获取充分授权同意:在收集和处理个人信息时,特别是敏感个人信息,应依法取得受试者的充分、单独同意,并告知其数据出境的目的、范围、接收方等信息。
- 关注行业重要数据目录动态:密切关注国家网信办、国家药监局、国家卫健委等部门发布的医疗健康领域重要数据识别目录和指南,及时调整合规策略。
风险提示
- 多部门监管交叉与不确定性:临床试验数据出境涉及多个监管部门,各部门对“重要数据”的理解和具体目录可能存在差异,企业需应对复杂的监管环境。
- 忽视人类遗传资源合规:仅关注数据安全和个人信息保护,而忽略《人类遗传资源管理条例》的审批/备案要求,可能导致严重违规。
- 敏感个人信息处理不当:临床试验数据几乎必然包含敏感个人信息,若未能依法取得单独同意或采取充分保护措施,将面临高额罚款和法律责任。
- 未及时进行安全评估或选择错误路径:未能准确判断是否触发安全评估门槛,或未按规定选择合规路径,可能导致数据出境受阻或被处罚。
- 境外系统使用风险:使用服务器部署在境外或数据访问权限开放给境外实体的EDC系统等,可能在不知不觉中构成数据出境,需进行合规性审查。