适用场景
适用于进行药物研发、临床试验的中国出海医药企业、生物科技公司,以及任何处理敏感去标识化数据并涉及跨境传输的企业。尤其是在产品上市审批阶段,需要关注临床试验数据的合规处理。
核心要点
1. PIPL对数据处理的分类界定
中国《个人信息保护法》(PIPL)区分“匿名化”和“去标识化”。匿名化处理后的数据不再被视为个人信息,无需遵守PIPL;而去标识化数据仍属个人信息,需全面遵守PIPL规定。
2. 临床试验脱敏数据的合规挑战
鉴于临床试验机构通常保留脱敏数据与患者直接识别信息之间的关联,根据PIPL的严格解释,此类数据被归类为“去标识化”信息,而非“匿名化”,因此申办者需全面履行PIPL下的各项合规义务。
3. PIPL下的核心合规义务
处理去标识化临床试验数据,申办者需明确各方数据处理身份,签订数据处理合同,向患者充分告知并获取单独同意(涉及敏感信息、数据共享、数据出境),并进行个人信息保护影响评估。
4. 国际比较与合规差异
相较于欧盟GDPR对假名化数据处理提供更灵活的合法性基础和跨境传输途径,以及美国HIPAA对“受限制数据集”的豁免规定,PIPL对去标识化数据的严格要求可能给中国药企带来更重的合规负担。
5. 政策优化与豁免探索
为平衡数据利用与个人权益保护,建议监管机构和行业共同探索解决方案,如设立科研豁免制度,或制定针对临床试验数据的匿名化标准及具体指引,以减轻合规压力,促进创新药物研发。
实务建议
- 明确数据处理各方身份与责任:在临床试验中,清晰界定申办者、临床试验机构、CRO在PIPL下的角色(如个人信息处理者、受托人、共同处理者),并据此签订符合法规要求的数据处理协议或在临床试验协议中纳入数据保护条款。
- 完善知情同意与单独同意机制:除了常规临床试验知情同意书,还需根据PIPL要求,针对敏感个人信息处理、数据共享(如临床试验机构向申办者提供数据)、以及数据出境等特定事项,获取患者的“单独同意”。
- 常态化开展个人信息保护影响评估(PIA):在处理敏感临床试验数据、数据共享、委托处理以及数据出境前,务必进行PIA,识别并评估潜在风险,采取必要的保护措施。
- 严格遵守数据跨境传输规定:若临床试验数据涉及出境,需评估是否符合PIPL下的数据出境要求,如签订标准合同条款(SCC)或通过国家网信部门的安全评估。
- 积极关注并参与行业政策讨论:密切关注中国监管部门关于临床试验数据合规的最新指引和政策动向,并考虑通过行业协会等渠道,积极参与推动建立科研豁免制度或更明确的匿名化标准。
- 加强内部数据安全管理:即使数据已脱敏,仍需建立健全内部数据安全管理制度,采取技术和管理措施保护数据安全,防止数据泄露、滥用。
风险提示
- 误将“去标识化”等同于“匿名化”:错误地认为脱敏数据已匿名化,从而忽视PIPL下的合规义务,可能导致严重违规。
- 合规义务繁重导致研发延误:严格遵守PIPL下的告知、同意、评估、出境等一系列义务,可能显著增加临床试验的时间和经济成本,延缓新药上市进程。
- 敏感个人信息处理不当风险:临床试验数据常包含敏感个人信息,若未按PIPL要求获取单独同意或进行PIA,将面临高额罚款和声誉损害。
- 数据跨境传输违规风险:未能满足PIPL对数据出境的严格要求,可能导致数据传输受阻,影响国际合作,甚至面临监管处罚。
- 法律框架不确定性风险:当前对脱敏数据在PIPL下的具体适用存在争议,企业需密切关注法律解释和实践发展,避免因理解偏差而产生合规漏洞。