如前所述,从网信部门的监管角度来看,医药企业需要根据自身及相关数据的具体属性,结合数量等其他信息判断医药企业需要履行何种合规路径(申报并通过数据出境安全评估、订立并备案个人信息出境标准合同或通过个人信息保护认证)。
如前述,在判断其是否构成 CIIO 的基础上(目前实操中大多数企业并未被认定为 CIIO),医药企业需要进一步从数量及数据性质等角度考察,并据此判断其履行的合规路径。鉴于《跨境流动规定》 第二条的规定,医药企业在“重要数据”角度已经得到了较大程度的“松绑”。而在处理个人信息数量和敏感个人信息的“门槛”上,医药企业仍需要基于《跨境流动规定》作出判断,进而选择合适的合规路径。一些研发能力较强的企业结合其临床试验等场景的情况,可能需要综合判断其是否达到数据出境安全评估的门槛。而对于一部分规模有限,尚未全面“铺开”管线的医药企业而言,其可能需要选择订立并备案个人信息出境标准合同。
除此以外,基于《个人信息保护法》等法规的有关规定,境内医药企业还需要完善其他的合规措施,如
(1)根据《个人信息保护法》的规定向受试者等有关个人告知跨境传输的有关事项,并取得个人的单独同意(据此更新其知情同意书等文件);
(2)进一步加强数据流转和处理的分类分级管理工作,包括将企业内部数据与外部供应商的数据的分别管理,将普通数据与敏感个人信息予以分类管理等;
(3)进一步加强对境外接收方的数据合规监督和管理,比如建立集团内统一的个人信息和数据管理制度,采取广泛的去标识化和加密等技术措施,要求境外接收方与相关再传输方(第三方)签署协议,确保其个人信息处理活动达到中国相关法律法规规定的个人信息保护标准等。
从人类遗传资源的监管角度,医药企业向境外传输人类遗传资源信息时也需履行有关法定义务。根据《人遗条例》等法规的要求,外国组织及外国组织、个人设立或者实际控制的机构(即其规定的外方单位)需要利用我国人类遗传资源开展科学研究活动(包括临床试验)的,应当采取与中方单位合作的方式进行,并需要报 中国人类遗传资源管理办公室(“人遗办”,自 2024 年 5 月 1 日起其由科学技术部下设调整为由国家卫健委负责)审批/备案。在外方单位的参与过程中,不论是由外国组织直接参与,还是由其设立/控制的境内机构参与,都可能涉及直接 或间接与境外主体分享人类遗传资源。
在开展国际合作临床试验的过程中,存在国际合作科学研究审批以及国际合作临床试验备案的两种途径。具体而言,采取国际合作临床试验备案途径时,一般需要满足以下条件:
(1)系为获得相关药品和医疗器械在我国上市许可而开展的临床试验(一般包括Ⅰ、Ⅱ、Ⅲ期临床试验与生物等效性试验(BE);
(2)不涉及人类遗传资源材料出境。
(3)在临床机构内利用我国人类遗传资源开展((a)涉及的人类遗传资源采集、检测、分析和剩余人类遗传资源材料处理等在临床医疗卫生机构内进行,(b) 涉及的人类遗传资源在临床医疗卫生机构内采集,并由相关药品和医疗器械上市许可临床试验方案指定的境内单位进行检测、分析和剩余样本处理;
在满足前述条件的情况下,国际合作临床试验不需要获得审批,仅需要事前向人遗办备案。如不能满足前述三个条件,则应选择国际合作科学研究审批的路径。此外,合作双方还应当在国际合作临床试验结束后 6 个月内共同向人遗办提交合作研究情况报告。
除此以外,将人类遗传资源信息向前述外方单位提供或者开放使用的,中方信息所有者还应当向科技部事先报告并提交信息备份。已取得前述许可/备案的临床试验过程中,如国际合作协议中已约定产生的人类遗传资源信息由合作双方使用,则不需要单独再事先报告和提交信息备份。另外,该种情况下,可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院科学技术行政部门组织的安全审查。
除上述规定以外,亦存在健康医疗大数据等角度的单行法规和规范、规则, 医药企业在数据跨境传输的过程中也应予以关注。
来源:环球律师事务所
扫一扫
489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
