您的位置 : 环球研究 / 环球评论 / 新闻详情
药物上市前数据合规概述(下):国际合作与跨境传输
2021年12月31日刘展 | 张桐 | 吴骏坤 | 汪阳 | 王鸿雁

近年来,越来越多医药企业(以下称“药企”)着力开展临床试验国际合作,并就跨境数据传输提出不少法律法规适用的疑问。

 

就药企而言,在国际合作与跨境数据传输中除应遵守《人类遗传资源管理条例》(以下称“《管理条例》”)外,还需符合《个人信息保护法》《数据安全法》等法规的规定。药企所获得的临床试验受试者个人信息和临床试验数据保护已经受到日趋严格的监管,因而在此方面应相应履行其数据保护义务,构建符合法规要求的合规体系。有鉴于此,我们就该领域的法律法规中相关重要规定做如下梳理:

 

一、国际合作临床试验中的个人信息保护及跨境数据传输

 

(一)《管理条例》的监管要求

 

国务院于2019年5月28日颁布了现行的《管理条例》,其全面覆盖了我国对于人类遗传资源的各项保护要求。药企作为申办者在境内开展临床试验可能涉及到《管理条例》中所述的我国人类遗传资源的采集、保藏、利用、对外提供。《管理条例》对于人类遗传资源作出了如下定义:

 

 

根据《管理条例》的要求,外资药企作为外国组织及外国组织、个人设立或者实际控制的机构(以下称“外方单位”)需要利用我国人类遗传资源开展科学研究活动(包括临床试验)的,应当采取与中方单位合作的方式进行,并需要国务院科学技术行政部门(目前实践中为科技部中国人类遗传资源管理办公室,以下称“人遗办”)审批/备案。[1]

 

在国际合作开展临床试验的过程中,以下几点值得特别关注:

 

1. 国际合作临床试验须事先备案(或获得审批)并在事后报告

 

在开展国际合作临床试验的过程中,存在国际合作科学研究审批以及(满足一定条件的)国际合作临床试验备案的两种途径。

 

具体而言,在同时满足下述条件的情况时,国际合作临床试验不需要获得审批,仅需要向人遗办备案:

 

(1)系为获得相关药品和医疗器械在我国上市许可而开展的临床试验,一般为Ⅰ、Ⅱ、Ⅲ期临床试验与生物等效性试验(bioequivalence experiment);

 

(2)在临床机构内利用我国人类遗传资源开展,即(a)所涉及的人类遗传资源仅在临床机构内采集、检测、分析和剩余样本处理等,(b)所涉及的人类遗传资源由临床机构委托的单位进行检测、分析和剩余样本处理等,且临床机构应与其委托的单位签署正式协议,明确委托检测和分析的人类遗传资源材料的种类、数量、检测内容、转运方式、剩余样本和数据信息处理方式等,并对其委托的活动负责[2];

 

(3)不涉及人类遗传资源材料出境。

 

如不能满足前述三个条件,则只能选择国际合作科学研究审批的路径,实践中如药品上市后的临床研究一般采取办理国际合作科学研究审批的形式。

 

上述审批及备案均应向人遗办提交申请。此外,合作双方应当在国际合作临床试验结束后6个月内共同向人遗办提交合作研究情况报告。

 

2. 中方单位的实质性参与和数据备份

 

《管理条例》对临床机构等中方单位的参与权利作出了明确规定,要求保证中方单位及其研究人员在合作期间全过程、实质性地参与研究,并且要求研究过程中的所有记录以及数据信息等完全向中方单位开放并向中方单位提供备份。

 

3. 国际合作临床试验产生的成果分配

 

根据《管理条例》第24条规定,利用我国人类遗传资源开展国际合作科学研究产生的成果申请专利的,应当由合作双方共同提出申请,专利权归合作双方共有。

 

针对研究产生的其他科技成果,其使用权、转让权和利益分享办法由合作双方通过合作协议约定;协议没有约定的,合作双方都有使用的权利,但向第三方转让须经合作双方同意,所获利益按合作双方贡献大小分享。

 

在实践中,药企一般会将临床试验区别为注册性临床试验(以获得批准上市为目的)和探索性临床试验(以探索有效性为目的),并视情况逐一向人遗办申报国际合作科学研究审批/国际合作临床试验备案。根据我们的项目经验,针对探索性临床试验,人遗办一般会要求各方在合作协议中明确约定临床试验研究产生的专利权归合作双方共有,而针对注册性临床试验研究成果人遗办则采取较为宽松的态度。

 

基于前述情况,我们进一步整理了实践中的操作,并就探索性临床试验研究成果的专利权归属条款的常见约定情况总结如下:

 

 

在实际操作中,药企需要在不同的个案中与研究机构以及人遗办充分沟通,确定合适的知识产权归属条款。

 

而对于探索性及注册性临床试验产生的非专利的其他知识产权、数据等试验成果,从《管理条例》的要求及现有的监管情况来看,一般可以自行约定权属,药企可以在与研究机构协商一致的前提下对此自由约定。

 

不论如何约定,在向人遗办提交的材料中有一项为“协议中知识产权归属和分享的安排”,其中填写的内容均应与合作各方最终签署的协议文本相关条款一致。

 

4. 取得人类遗传资源材料出境证明

 

确需将我国人类遗传资源材料运送、邮寄、携带出境的,应当符合《管理条例》规定的各项条件,并取得人遗办出具的人类遗传资源材料出境证明。

 

5. 向人遗办提交信息备份以及安全审查

 

将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或开放使用,应当向人遗办备案并提交信息备份;如该行为可能危害我国公众健康、国家安全和社会公共利益,应通过人遗办组织的安全审查。

 

实践中,若药企因国际合作临床试验以外的目的须向境外提供人类遗传资源信息的,还会就该等情况提交中国人类遗传资源信息对外提供或开放使用备案。

 

不论是否涉及临床试验相关的数据跨境传播,临床试验的开展过程中均应遵守《管理条例》的各项要求。实践中,药企需结合其自身以及临床试验的具体情况来具体考量相关的合规安排。

 

(二)临床试验数据跨境传输的相关监管要求

 

除《管理条例》的规定外,《个人信息保护法》《数据安全法》《数据安全管理办法(征求意见稿)》《数据出境安全评估办法(征求意见稿)》(以下称“《评估办法(征求意见稿)》”)及《信息安全技术 数据出境安全评估指南(征求意见稿)》形成了我国对数据安全及个人信息保护的法律规制的初探。临床试验数据在我国数据安全保护的体系下将作为相关受保护的信息,列入这些法律体系及框架的保护范围,在未来日益加强监管的数据跨境传输形势下,临床试验数据的拥有者及处理者须提起更高的合规意识及执行合适的保护措施。

 

2021年9月1日生效的《数据安全法》指出,向境外提供重要数据应遵守国家网信部门制定的数据出境安全管理办法。《评估办法(征求意见稿)》结合了该项要求,指出重要数据出境需履行数据出境安全评估的义务(下文将详述)。尽管《数据安全法》未对“重要数据”明确定义,但在已发布的部分国家标准的征求意见稿[3]中,已明确将临床试验数据列为重要数据。因此,药企应做好准备,如该等规定正式实施,则无论出境重要数据的数量、重要性,企业均应履行数据出境安全评估的要求。

 

另一方面,2021年11月1日生效的《个人信息保护法》将临床试验涉及的生物识别、医疗健康信息纳入了其监管的“敏感个人信息”[4]范围,且该等个人信息的跨境传输也应遵守相关的评估要求(下文将详述)。

 

2021年10月29日,国家互联网信息办公室(“网信办”)颁布了《评估办法(征求意见稿)》。根据《评估办法(征求意见稿)》的规定,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,如属于下述《评估办法(征求意见稿)》第4条规定的情况的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。尽管《评估办法(征求意见稿)》尚未生效,但药企仍然可以参照其规定对跨境临床试验涉及的个人信息及数据传输提前开展合规体系的调整。以下我们就该等法规对跨境数据传输的要求进行了梳理:

 

1. 《个人信息保护法》就跨境个人信息传输进行了以下规定:

 

 

2. 《评估办法(征求意见稿)》进一步列出以下标准,明确了需要申报数据出境安全评估的情况:

 

 

我们理解,对于药企而言,其开展临床试验最有可能达到的标准是“出境数据中包含重要数据”(如相关国家标准正式实施)以及“累计向境外提供一万人以上敏感个人信息”。因此,企业可以据此开展自查,了解目前涉及向境外提供的个人信息数量及相应的流转情况以适时调整其合规体系。

 

二、常见重要数据或个人信息出境场景及合规建议

 

药企在日常经营中可能遇到重要数据或个人信息跨境传输行为,在现有的数据安全保护体系下,药企向境外传输数据的行为属于《数据安全法》规制的数据处理行为;如该等数据涉及个人信息,则也将受到《个人信息保护法》的规制;《评估办法(征求意见稿)》将其规制对象确定为数据处理者,药企在向境外传输数据的过程中亦应参照适用《评估办法(征求意见稿)》。[5]

 

在下列具体场景中,药企需要满足《管理条例》及前述提及的《个人信息保护法》《数据安全法》等法规的相关规定;同时,药企可参照《评估办法(征求意见稿)》开展未雨绸缪的合规体系建设。

 

 

三、安全评估具体操作参考

 

根据《评估办法(征求意见稿)》,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。

 

此外,若传输的数据届时被认定为重要数据或者传输出境的个人信息的数量达到《评估办法(征求意见稿)》列明的标准,药企应当履行数据出境安全评估义务,通过所在地省级网信部门向国家网信部门申报数据出境安全评估。为便于读者了解,我们在此列出了《评估办法(征求意见稿)》要求的主要评估事项:

 

 

需要注意的是,根据《个人信息保护法》第56条的规定,药企应当将其个人信息保护影响评估报告及其处理情况记录至少留存3年。

 

此外,在订立前表中提及的数据出境相关合同时,药企可参照《评估办法(征求意见稿)》第9条的规定约定具体的数据安全保护责任义务。[6]

 

根据上表所述内容我们不难发现,尽管数据出境风险自评估与数据出境安全评估二者之间有一定的重合,但数据出境安全评估的审查内容是大于前者的;并且根据《评估办法(征求意见稿)》第6条的规定,数据出境风险自评估的报告也将作为申报数据出境安全评估需要提交的一项材料。网信部门的安全评估会更为全面地审查数据出境对于国家的整体风险、全面地考察数据安全的保护措施以及是否违反任何法律法规的要求,药企也应相应做好更为全面的准备工作。

 

数据出境评估结果的有效期为2年,有效期届满需要重新申报评估,若此前评估的事项发生了变化,也需要重新申报评估。

 

针对上述要求,我们建议药企在日常运营中可以参照以下措施完善其合规体系,避免相关的合规风险:

 

  1. 不论药企目前的数据处理情况是否明确属于安全评估的范围,在开展临床试验或其他数据收集的工作中,其应通过建立数据出境安全小组、制定安全评估办法等措施完善数据出境风险的自评估制度,为将来可能发生的监管部门的安全评估要求做好准备。
  2. 就企业的数据进行分类分级管理,明确药企内部的数据管理制度,涉及临床试验数据的部分应格外谨慎,并单独划分可能涉及/禁止出境的数据。
  3. 如经初步判断,药企的确属于安全评估的范围,则需注意评估跨境传输目的国家/地区的数据安全保护情况,并在与境外接收方订立的合同中充分约定数据安全保护责任义务(参照《评估办法(征求意见稿)》第9条)。
  4. 在完成相关评估后,确保出境数据按照评估材料中已经确定的处理目的、范围、方式等各项内容执行,并不时关注数据出境的目的、范围、方式或数据接收方所在地的法律法规要求发生的任何变化,如有可能,要求数据接收方对前述内容的变更负有告知义务及承担相应补正及违约责任。
     

四、结语

 

从靶点发现到药品上市常规情况下可能需要数年甚至十余年及以上的时间,推进到临床试验阶段意味着新药研发已克服重重困难并迈入最重要阶段,药企尤其需要在这一阶段慎重开展相应的合规工作。国家对医疗数据合规的监管已日趋严格,对该类数据的保护更应落实在药企临床试验的各项流程之中。

 

注释:

[1] 在实践中,目前人遗办就外方单位的认定采取较为严格的标准,我们的经验中:不论外资股东持股比例如何,股权结构穿透后含有外资成分的企业均可能被认定为外方单位;甚有传闻称人遗办有将VIE架构下被控制的内资实体认定为外方单位的趋势。

[2] 科技部政务服务平台—中国人类遗传管理办公室关于近期办理人类遗传资源行政审批和备案事项的申报提示,

https://fuwu.most.gov.cn/html/jcxtml/20181201/2837.html?tab=cjwt

[3] 《信息安全技术数据出境安全评估指南(征求意见稿)》附件A及《信息安全技术重要数据识别指南(征求意见稿)》

[4] 《个人信息保护法》第28条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

[5] 在当前的数据合规监管架构下,《网络安全法》《数据安全法》及《个人信息保护法》均为全国人大常委会颁布的上位法,就三部法律的监管内容而言:《网络安全法》主要强调了对于网络运营者(尤其是关键信息基础设施运营者)的监管;《数据安全法》强调对数据安全保护的规定;《个人信息保护法》重点规制了个人信息处理者。就三部法律对个人信息与重要数据出境的监管对象来看:《网络安全法》第37条提出了关键信息基础设施运营者在个人信息和重要数据跨境传输时须按照国家网信部门会同国务院有关部门制定的办法进行安全评估的要求;《数据安全法》第31条提出的数据出境监管对象为关键信息基础设施运营者及其他数据处理者;《个人信息保护法》第40条指出的个人信息出境主体为及个人信息处理者(包括关键信息基础设施运营者)。作为前述三部法律的下位法,《评估办法(征求意见稿)》是国家网信部门制定的具体的实施细则,其规制主体为数据处理者(包括关键信息基础设施运营者)。尽管该等法规对监管对象的表述略有不同,且尚未对数据处理者作出明确定义,但药企仍可以具体适用《个人信息保护法》和《数据安全法》,并参照《评估办法(征求意见稿)》的具体细则建立其评估体系。

[6] 《征求意见稿》第九条,数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务,应当包括但不限于以下内容:

(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;

(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;

(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;

(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;

(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。