适用场景
面向从事国际科研合作、临床试验、药物许可授权(License-out)等业务的中国出海药企,以及任何涉及数据处理和潜在跨境传输的阶段。
核心要点
1. 人体遗传资源(HGR)的特殊监管
药企在临床试验、国际科研合作等场景中,涉及人体遗传资源材料或信息跨境传输时,需遵循严格的行政审批或备案要求。需特别注意HGR信息与一般临床数据(如影像、蛋白数据)的区别,后者通常不属于HGR信息。
2. 数据安全法律体系的全面覆盖
中国《网络安全法》、《数据安全法》和《个人信息保护法》共同构筑了数据安全监管框架,对数据处理活动及跨境传输提出全面要求,是药企出海合规的基础。企业需建立覆盖全流程的数据安全管理体系。
3. “被动”跨境传输风险不容忽视
即使未主动发起数据出境,若境内系统安全防护不足导致境外实体未经授权访问、窃取数据,也构成跨境传输并可能面临处罚。药企需高度警惕此类因安全漏洞引发的“被动”数据出境风险。
4. 多维度合规要求与协同管理
药企需同时应对HGR管理、数据安全和个人信息保护等多重监管维度。这要求企业内部各部门间进行信息共享和前瞻性协同安排,以避免合规盲区和重复工作。
5. HGR信息出境的报告与安全审查
向境外实体提供HGR信息,中国实体需提前向国家卫健委报告并提交备份。若涉及重要遗传谱系、特定区域HGR或大规模测序信息等可能影响公共健康、国家安全或社会公共利益的情况,还需通过安全审查。
实务建议
- 建立健全人体遗传资源管理体系,明确责任部门/人员,制定标准操作流程(SOPs),并协助识别涉外实体触发HGR合规程序的场景。
- 关注传统临床试验之外的HGR跨境传输场景,如药物许可授权(License-out)中涉及的临床试验数据提供,并准确区分临床与非临床数据,以确定是否触发HGR监管。
- 加强跨部门协同,确保HGR管理、数据安全和个人信息保护等不同维度合规要求在项目全生命周期中得到统一规划和执行。
- 建立企业内部数据分类分级制度,参照国家标准指南,对不同敏感度数据采取差异化保护措施,并明确重要数据的安全责任人。
- 强化网络安全防护,堵塞系统漏洞,防止未经授权的境外访问或数据窃取,避免因系统缺陷导致的“被动”数据跨境传输风险。
风险提示
- 忽视HGR信息与一般临床数据的关键区别,可能导致合规路径选择错误或遗漏审批/备案,引发处罚。
- 未能准确识别“外国实体”的定义,导致在国际合作中未履行HGR相关合规义务。
- 仅关注主动数据出境,而忽视因系统安全漏洞导致的“被动”数据泄露和境外访问风险,可能面临严重处罚。
- 缺乏跨部门协同,导致不同合规维度要求相互脱节,形成合规盲区或重复工作,增加整体合规成本和风险。
- 未对涉及公共健康、国家安全或社会公共利益的HGR信息进行安全审查,可能面临暂停研究、销毁数据等严重后果。