适用场景
适用于在华开展临床试验,涉及多方个人信息处理的医药、生物科技、医疗器械等出海企业。特别是在与研究机构、CRO(合同研究组织)、SMO(研究协助公司)等第三方合作时,需确保数据处理活动符合中国《个人信息保护法》(PIPL)要求。
核心要点
1. 多方角色认定与关系界定
在临床试验中,申办方、研究机构、CRO、SMO等各方在《个人信息保护法》(PIPL)下应明确其“个人信息处理者”或“受托人”的角色。在中国,申办方与研究机构通常被视为独立的个人信息处理者,而非处理者与受托人的关系,因研究机构(尤其大型公立医院)具有较强独立性。
2. 申办方与CRO/研究机构与SMO的关系
申办方与CRO之间通常构成典型的“个人信息处理者-受托人”关系,CRO按照申办方指示处理数据。研究机构与SMO之间,尽管SMO可能由申办方付费,但其在数据处理中更多接受研究机构指示,故通常被视为研究机构的受托人。
3. 个人信息处理的合法性基础
针对不同主体(患者、研究者、研究机构工作人员)的个人信息,需明确其处理的合法性基础。患者个人信息主要依赖“知情同意”(需符合PIPL要求);研究者个人信息可基于“订立履行合同所必需”;研究机构工作人员信息可依据内部劳动规章制度或其同意。
4. 协议条款的修订重点
临床试验协议需根据PIPL要求进行修订,明确各方在个人信息处理中的权利义务。这包括但不限于:确保知情同意符合PIPL标准、约定受托人审计权、以及清晰界定个人权利请求响应和安全事件处理的主导方与协助方责任。
实务建议
- 在所有涉及个人信息处理的合作协议中,明确各方在PIPL下的角色(处理者或受托人),避免模糊定义。
- 修订知情同意书,确保其内容和获取流程完全符合PIPL对个人信息处理“告知-同意”的严格要求。
- 对于委托处理关系(如申办方与CRO,研究机构与SMO),务必签署符合PIPL要求的委托处理协议,或在主协议中嵌入详细的委托处理条款,并明确审计权。
- 在合同中明确规定,当发生个人信息主体权利请求或安全事件时,由相关个人信息的“处理者”主导响应和处理,其他方提供必要的协助。
- 对于研究机构工作人员的个人信息处理,建议与研究机构沟通,确认其内部规章制度是否已涵盖此类业务合作中的数据使用,或考虑获取其同意。
风险提示
- 角色认定错误: 将强势的研究机构(如三甲医院)错误地认定为受托人,可能导致责任划分不清,难以有效监督。
- 知情同意不合规: 仅依据GCP(药物临床试验质量管理规范)标准获取知情同意,未充分考虑PIPL对告知内容、同意方式、撤回权利等方面的具体要求,可能导致合法性基础缺失。
- 责任混淆: 协议中对个人信息权利请求和安全事件处理的条款过于笼统,如仅表述“各方积极配合”,未明确主导方,可能在实际操作中引发推诿和延误。
- 缺乏监督机制: 委托处理协议中未明确处理者对受托人的审计权,导致处理者无法有效履行PIPL要求的监督义务。