适用场景
中国出海的生物医药企业、跨国生物制药公司、以及从事投资或BD交易的创新药企,在涉及美国和中国的数据处理与跨境传输时,需要关注本指南。
核心要点
1. 美国数据政策趋严:行政令限制敏感数据跨境
美国总统行政令旨在限制或禁止“受关注国家”(包括中国)获取大量美国公民的敏感个人数据和政府相关数据。这标志着美国在数据安全领域的监管立场日益收紧,对相关跨境数据流动构成直接影响。
2. 受规制数据类型与交易行为
受规制数据涵盖个人标识符、精确地理位置、生物识别、人类组学、个人健康及金融数据等。禁止的交易包括数据经纪和批量人类组学数据传输;通过服务、雇佣或投资协议获取数据则受限,但若满足特定安全要求(如网络安全、访问控制、数据脱敏),仍可进行。
3. 对生物医药关键业务场景的影响
临床试验、药物警戒、上市后销售、真实世界研究以及联网医疗设备等生物医药核心业务场景,若涉及大量美国敏感个人数据的跨境传输,将面临合规挑战。企业需评估数据量是否触及规制阈值,并探索豁免或许可的可能性。
4. 中国跨境数据政策的灵活演变
中国政府在跨境数据流动方面正探索“审批流+自由流”的双模式,政策趋向在严格管理的同时兼顾企业需求。特别是自贸区被赋予制定数据跨境负面清单的权限,清单外数据有望免于安全评估、标准合同或认证。
5. 自贸区为生物医药数据出境提供新机遇
上海自贸区和临港新片区已释放信号,对生物医药企业在临床试验或药物警戒等场景的数据出境,可进行个案沟通。若被认定为一般数据,有望获得更灵活的处理方式,为企业合规提供了新的路径。
实务建议
- 全面梳理企业在美国和中国运营中涉及的数据资产,特别是敏感个人数据和人类组学数据,进行分类和风险评估。
- 密切关注美国行政令的实施细则,特别是关于“敏感数据”的具体定义和“数据量阈值”的规定,及时调整合规策略。
- 对于可能受美国行政令限制的交易,务必建立并落实高级别的网络安全协议、物理和逻辑访问控制、数据脱敏与最小化以及隐私保护技术。
- 积极研究并利用中国自贸区(如上海、临港)的负面清单政策,与当地网信部门沟通,争取将符合条件的数据传输纳入“自由流”范畴。
- 定期审查与美国合作伙伴(如CRO、数据经纪商、云服务商)的现有协议,确保数据处理条款符合最新的监管要求。
- 鉴于中美政策的复杂性和动态性,建议寻求专业的法律和合规咨询,以确保数据跨境策略的有效性和合规性。
风险提示
- 中美两国在跨境数据流动政策上存在显著差异和潜在冲突,企业需平衡两国合规要求,避免顾此失彼。
- 美国行政令中关于“敏感数据”的具体范围和“数据量阈值”的细则尚未完全明确,可能带来合规不确定性。
- 未能满足美国行政令要求的交易可能面临被禁止或严格限制的风险,严重影响业务连续性和市场拓展。
- 忽视数据跨境合规可能导致高额罚款、业务中断、声誉受损甚至法律诉讼等严重后果。