适用场景
从事生命科学、生物技术、医疗健康、跨境药械研发/合作/临床试验,以及涉及人类基因组、个人健康数据跨境传输的中国出海企业,在开展对美业务或涉及美国数据时需重点关注。
核心要点
1. 美国新规核心:限制“关注国家”获取敏感数据
美国近期行政命令旨在防止包括中国在内的“关注国家”获取美国公民的批量敏感个人数据。明确将人类基因组数据和个人健康数据列为“敏感数据”,并可能禁止或限制相关数据交易。这并非单纯的数据跨境传输规则,而是以国家安全为核心的数据安全审查措施。
2. 监管范围聚焦:基因组数据与个人健康数据
人类基因组数据(如DNA序列)已被明确纳入严格监管,传输达到“批量阈值”的交易可能被禁止。个人健康数据范围较广,定义留有解释空间,可能涵盖临床研究数据、可穿戴设备数据等,即便匿名化数据也可能因“重新识别”风险而受规制。其他组学数据(如蛋白质组、代谢组数据)的监管细则尚在评估中。
3. 中美监管思路对比:促进流通 vs. 限制访问
中国对人类遗传资源信息(含基因组数据)的监管,主要通过审批/备案等程序在框架内促进合规跨境流动。美国新规则是从负面清单角度,重点限制特定国家访问批量敏感数据,思路存在根本差异。企业需同时满足中美两套监管要求。
4. 对生命科学跨境合作的具体影响
新规可能影响跨境License-in/out、合作研发、国际多中心临床试验等业务场景。涉及人类基因组数据、个人健康数据或相关生物样本跨境提供给美国实体或从美国获取时,交易可能受阻或需满足新条件。即便数据已匿名化,风险依然存在。
5. 监管细节待明确,中小企业也需警惕
关键概念如“批量阈值”的具体标准、同一项目多次传输是否累计计算等尚未明确。相关细则将在未来一年内陆续出台。虽然监管可能主要针对大规模数据传输,但中小企业及小规模交易并非绝对安全,需密切关注后续规则。
实务建议
- 立即审查现有及计划中的对美合作项目,识别是否涉及人类基因组数据、个人健康数据(包括临床数据)或相关生物样本的传输。
- 在涉及敏感数据的跨境合作协议中,增加灵活性条款,如约定因新规导致成本增加、履行受阻或需调整传输方式时的责任分担与合同调整机制。
- 建立数据分类与映射流程,清晰区分受美国新规管制的敏感数据与其他业务数据,并评估数据传输的“批量”规模。
- 密切关注美国司法部、卫生与公共服务部等部门在未来一年内发布的实施细则、豁免机制(如一般许可)及“批量阈值”等具体标准。
- 同时确保业务活动符合中国《人类遗传资源管理条例》等相关规定,完成必要的审批、备案或审查,实现中美合规的双重覆盖。
- 考虑在交易中约定,数据提供方应在适用法律允许的最大限度内,尽合理努力完成数据传输义务,以降低违约风险。
风险提示
- 误区:认为只有大规模数据传输才会受影响。警告:关键标准“批量阈值”尚未明确,中小企业及小规模交易需保持警惕,避免误判。
- 误区:认为数据经过匿名化或去标识化处理即可安全跨境。警告:美国新规明确指出,此类数据仍可能被“重新识别”,风险依然存在。
- 误区:只关注美国新规,忽视中国人类遗传资源出境监管。警告:必须同时遵守中美两套监管体系,任何一方的违规都将带来重大风险。
- 注意事项:新规细则处于动态制定期,监管口径可能变化,需建立持续跟踪机制,不可依赖初期解读作为最终判断。
- 注意事项:在协议中避免做出绝对化的数据跨境传输保证,应为因法律法规变化导致的履行调整预留空间。