一、人类遗传资源维度监管要求

人类遗传资源监管是医药行业在临床试验等诸多场景下可能涉及的监管维度之一。在涉及人类遗传资源的数据跨境传输场景中，都可能触发人类遗传资源维度的监管和申办手续。

早在1998年，科技部及原卫生部即联合制定了《人类遗传资源管理暂行办法》（“《暂行办法》”）。自《暂行办法》实施以来，人类遗传资源维度涉及数据出境的相关处罚亦有报道。比如，2015年，深圳华大基因科技服务有限公司（“华大科技”）与复旦大学附属华山医院在执行“中国女性单相抑郁症的大样本病例对照研究”国际科研合作中，未经许可与英国牛津大学开展中国人类遗传资源国际合作研究，且未经许可将部分人类遗传资源信息从网上传递出境。基于当时的《暂行办法》，华大科技受到科技部要求其立即停止该研究工作的执行、销毁该研究工作中所有未出境的遗传资源材料及相关研究数据的处罚，其涉及我国人类遗传资源的国际合作也被要求停止，并被要求在整改验收合格后，方可再行开展。

2019年，国务院颁布了《人类遗传资源管理条例》（“《人遗条例》”，2024年予以修订），科技部和原其下属的中国人类遗传资源管理办公室并相继发布了指南和问答等形式的文件。2023年，科技部又相应发布了《人类遗传资源管理条例实施细则》（“《实施细则》”）。2024年，经修订后的《人遗条例》将人类遗传资源的监管机构由科技部调整为国家卫健委。上述规则及配套文件历经演变，构筑了我国关于人类遗传资源管理的主要监管体系。

根据《人遗条例》《实施细则》及相关指南，人类遗传资源的定义如下：

人类遗传资源的一大管理要点是对于外方单位参与的监管。对于外方单位的认定，限于篇幅在此不做赘述[1]。设立于境外的主体及满足相关标准的境内主体亦可以构成外方单位。在人类遗传资源信息等相关数据需要跨境传输的背景下，通常会触发涉及外方单位的相关行政许可/备案手续。

首先，根据《人遗条例》，外方单位不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。

对于外方单位自身而言，较为常见的人类遗传资源出境途径则为国际科学研究合作行政许可或国际合作临床试验备案。这一情况主要发生在临床试验（如国际多中心临床试验）等场景下。如系满足如下条件，则仅需办理国际合作临床试验备案，反之，则需要办理国际科学研究合作行政许可：

1. 为取得相关药品和医疗器械在我国上市许可；
    
2. 在临床医疗卫生机构利用我国人类遗传资源开展国际合作临床试验；
    
3. 不涉及人类遗传资源材料出境；且
    
4. 满足(a)涉及的人类遗传资源采集、检测、分析和剩余人类遗传资源材料处理等在临床医疗卫生机构内进行；或(b)涉及的人类遗传资源在临床医疗卫生机构内采集，并由相关药品和医疗器械上市许可临床试验方案指定的境内单位进行检测、分析和剩余样本处理。

此外，对于相关临床试验涉及的探索性研究部分，仍应当申请国际科学研究合作行政许可。

如果系中方单位向外方单位对外提供或开放使用中国人类遗传资源信息，则应相应向国家卫健委事先报告并提交信息备份。需要注意的是，此种情况还有一种特殊情形，即如可能影响我国公众健康、国家安全和社会公共利益的，应当通过国家卫健委组织的安全审查。应当开展安全审查的情形包括：（一）重要遗传家系的人类遗传资源信息；（二）特定地区的人类遗传资源信息；（三）人数大于500例的外显子组测序、基因组测序信息资源；（四）可能影响我国公众健康、国家安全和社会公共利益的其他情形。

有鉴于上述情况，医药企业对于涉及人类遗传资源的信息、数据出境，也应相应完善其合规体系和制度，比如：

1. 强化专门负责人类遗传资源管理的部门/负责人员的职能，设置必要的制度与流程（SOPs），在临床试验等业务场景中放置人类遗传资源板块的审核和业务流程。比如，由其协助确认何时何种外方单位的参与时应触发人类遗传资源相关申报，以及申报的程序的种类。
    
2. 重视license-out（技术许可）等传统临床试验维度以外的数据跨境传输场景。在境内企业向境外被许可方提供处于上市前阶段的药品许可时，如涉及相应向被许可方提供临床试验阶段的各项数据，其可能触发人类遗传资源的对外提供机制。而如涉及的是临床前数据，则因未符合人类遗传资源的条件，相应可能不易触发人类遗传资源监管机制。
    
3. 做好跨部门、跨监管维度的协调统筹。如下文详述，除人类遗传资源维度外，在数据安全、个人信息保护等维度也可能涉及对数据/个人信息出境的监管和申报/备案等要求。在医药企业项目的审核及实施过程中，不同业务部门需要共享相关信息并做好联动，对项目未来时间线中的各个维度监管予以前瞻式的统筹安排。

二、数据安全维度监管要求

除前述人类遗传资源维度外，我国在数据安全领域对于包括可能涉及数据出境的相关环节也有相应监管要求。就基本大法而言，我国已经建立了以《网络安全法》《数据安全法》及《个人信息保护法》为基准的三架马车机制，并在此基础上延伸拓展出若干法律法规及规则，其规制的主体相互呼应也各有交叉。特别地，在数据/个人信息出境领域，相应设立了特殊的监管体系。除下文将详述的个人信息出境监管及程序要求外，在数据安全维度，也有相应的监管要求。

2024年上海市网信办即公布了一项处罚案例，被处罚企业为某民营医疗科技公司，其主要从事医疗领域教育培训的技术开发服务。该企业的内部生产测试系统部署于云服务平台，其中存储了大量境内的个人信息数据，包含姓名、单位名称、所属省市、所在乡镇/街道、手机号（已采取加密措施）等。上海市网信办披露[2]，这一系统没有采取有效网络安全防护措施，存在未授权访问漏洞，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏被境外窃取，违反了《数据安全法》第27条规定。需要注意的是，对于数据出境的形式，《数据出境安全评估申报指南（第二版）》即指出，属于数据出境行为的情况包括：数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。尽管这一案例并非“主动”性的数据出境行为，但同样提示了医药企业需要对数据治理问题，特别是对可能存在的“非主动”跨境传输/访问高度关注。

前述案例依据的《数据安全法》第27条要求：开展数据处理活动应当建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。《网络安全法》也对网络运营者提出相同方面的要求[3]。

从企业数据治理角度看，并非严守数据出境程序的通路即可“万事无忧”，医药企业也应该在前置环节做好各项管理制度，比如：

1. 建立企业的数据分类与分级制度。医药企业可以相应参考近年来发布的各项指导性文件，特别是全国信息安全标准化技术委员会于2021年发布的《网络安全标准实践指南 网络数据分类分级指引》（TC260-PG-20212A）以及全国网络安全标准化技术委员会于2024年公布的《数据安全技术 数据分类分级规则》（GB/T 43697-2024）。在数据分类上，可以根据业务需求，明确数据的类型予以区分（例如个人信息、商业秘密等）。在数据分级上，根据数据的重要性和敏感性进行分级管理，确保不同级别的数据采取不同的保护措施。遵循相关规则中的“点面结合”“动态更新”等原则，基于对应数据的特性和企业技术的实际情况，医药企业需要就此投入资源。总之，数据分类分级有助于确认数据的安全等级，并据此划分不同数据的访问权限，相应设置各项安全措施，避免违规的“主动”以及“非主动”的数据跨境传输事件。
    
2. 设置有效的技术防护措施。例如，医药企业可以：在数据传输和存储环节进行加密处理；实施严格的访问控制策略，确保只有获得授权的人员可以访问相关数据，比如实施多因素身份验证（MFA）并据此设立严格的用户权限；对内部网络进行分段隔离处理，在远程访问场景下使用安全的VPN连接；建立数据备份与恢复体系，定期安排重要数据的备份。
    
3. 建立数据访问以及传输的监控与内部/外部审计机制，并可参照2025年2月公布的《个人信息保护合规审计管理办法》等相关法规，据此及时发现和处置异常行为；此外，医药企业还可以设置安全事件的响应机制。
    
4. 在数据处理和存储过程中进行数据的脱敏处理，并尽可能地采用去标识化/匿名化技术；在数据出境环节设立相应的审批机制和流程，明确数据出境的标准以及对应的负责人及其权限。
    
5. 加强员工的安全培训和宣传，使不同岗位的员工了解数据安全的重要性，并严守其岗位对应的红线。

此外，如前述，在数据/个人信息出境环节，应当根据实际情况履行现有监管体系下的数据出境程序相关义务。

三、个人信息保护维度监管要求

2024年3月，国家网信办发布了《促进和规范数据跨境流动规定》（“《数据流动规定》”）及更新的《个人信息出境标准合同备案指南（第二版）》《数据出境安全评估申报指南（第二版）》等配套指南文件，在此前监管实践的基础上进一步为个人信息（数据）的出境程序提供了更详细的指引。目前，数据和个人信息出境，需要通过国家网信部门组织的安全评估（“出境安全评估”）、专业机构进行的个人信息保护认证（“认证”）、按照国家网信部门制定的标准合同与境外接收方订立合同（“标准合同”，本文中与出境安全评估及认证合称“数据出境程序”）或满足法律、行政法规或者国家网信部门规定的其他条件。

对于医药行业而言，其涉及的个人信息的情况较为特殊。医药企业又存在国际合作（临床试验）、license-out等多种数据/个人信息出境场景，厘清其数据/个人信息出境状况并办理对应的合适的数据出境程序就尤为重要。鉴于已有诸多公开途径可以查阅对数据/个人信息出境通路的详述，在此不再赘述，仅以下图予以总结：

图一：个人信息跨境传输

图二：（除个人信息外的）数据跨境传输

在此，我们就几个个人信息（数据）出境领域的常见问题予以浅析：

（一）人类遗传资源与个人信息（数据）出境的平行适用

结合医药企业的实际情况，我们会注意到，部分出境的数据/个人信息与人类遗传资源可能存在竞合，也可能存在不同。一般认为，除特定例外情形外，二者需要平行适用，即在办理人类遗传资源相关申报手续的同时，亦须考查办理数据/个人信息领域的数据出境程序的情况。比如，基于既往的人类遗传资源管理的有关指南，基因、基因组、转录组、表观组及ctDNA等核酸类生物标志物等数据信息，以及与此数据相关的疾病、人种等关联信息被视为构成人类遗传资源信息；而如不包含上述信息，虽然可能不构成人类遗传资源信息，但仍可能因对个人的“可识别性”的关联而构成个人信息，从而触发对个人信息出境通路的考虑。[4]

（二）重要数据的认定

对“重要数据”的讨论由来已久。《数据安全法》第21条指出，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护；各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。笔者目前尚未从公开途径了解到任何医药行业的重要数据目录。《数据流动规定》就现阶段的重要数据认定作出了明确确认，即：未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估[5]。

我们也注意到，在2020年发布的《信息安全技术-健康医疗数据安全指南》（GB/T 39725-2020》等文件中，确曾提及涉及人类遗传资源数据（是指利用人类遗传资源材料产生的数据，人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料）等重要数据的，按照相关部门要求执行。有观点认为，这一文件的法律位阶较低，且其早于《数据安全法》发布，可能无法直接对应《数据安全法》及《数据流动规定》所述的认定重要数据的标准。部分观点认为，从审慎角度出发，建议医药企业仍将人类遗传资源信息作为重要数据对待，并相应向网信部门申报出境安全评估。目前，笔者尚未从公开渠道了解到对于这一问题的官方解读。不过，鉴于人类遗传资源的特殊性质，不论医药企业是否决定申报出境安全评估，其仍旧应当在内部数据治理中重视人类遗传资源信息，并以较高的安全级别对其予以管理；而在申报相关数据出境程序的过程中，也建议医药企业据实与网信主管部门沟通，了解其相应的监管态度。此外，在下文详述的一些自贸区发布的负面清单中，也将医药行业的部分数据认定为重要数据，自贸区内的医药企业据此仍应相应办理出境安全评估。

（三）敏感个人信息的认定

基于前述《数据流动规定》的规定，对于敏感个人信息的量化判断也将决定医药企业采取何种数据出境程序。众所周知的是，《个人信息保护法》对处理敏感个人信息提出了诸多法定要求，其确定了敏感个人信息指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”全国网络安全标准化技术委员会于2024年9月发布的《网络安全标准实践指南——敏感个人信息识别指南》(TC260-PG-20244A)是目前较为广泛适用的确认敏感个人信息的参考文件。基于其所述的“敏感个人信息识别规则”，医药企业可以较全面评估其所处理/传输的个人信息的敏感属性。更为重要的是，其《附录A 常见敏感个人信息类别示例》中列举了部分医药领域可能涉及的敏感个人信息[6]，包括：

该指南还指出，法律法规规定为敏感个人信息的，从其规定。当涉及到部分该表批注类别的敏感个人信息时，还可参照相应的国家标准等文件进一步判断。医药企业可以据此更为准确地判断敏感个人信息的类别，并基于前述数据分类分级体系对相关数据进行管理，在涉及需要出境的场景时基于对应的标准选择其适用的数据出境程序。

（四）自贸区负面清单的适用

根据《数据流动规定》第6条，自贸区可以自行制定区内需要纳入数据出境程序管理范围的数据清单（“负面清单”），自贸区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境程序。天津、江苏、北京、上海等地均发布了其对应的负面清单。

比如2024年8月发布的《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》，其中列举了医药行业的负面清单，包括：将(i)一定规模以上的群体诊疗、健康生理状况、医疗救援保障数据、特定药品实验数据等、(ii)一定规模以上特定领域、特定群体、特定区域的生物特征数据、医疗资源数据及(iii)纳入出口管制或技术出口管理事项的数据列为重要数据，并提供了对应的数据基本特征与描述；以及就其罗列的不同场景的个人信息出境设置了采用出境安全评估和标准合同/认证的不同“门槛”；此外，遗传信息、达到国家有关部门规定的规模或者精度的基因数据构成“重要数据”，但该负面清单仅要求相应履行《实施细则》中第四章规定的“行政许可与备案”义务。

而近期发布的《中国（上海）自由贸易试验区及临港新片区数据出境管理清单（负面清单）（2024版）》甚至未将医药行业数据放入负面清单。医药企业关注自贸区相关政策，选择合适的自贸区主体开展个人信息/数据跨境，有助于减轻其个人信息/数据出境合规负担，提高其数据跨境传输效率。

四、结语

除上述讨论的维度外，在国家秘密、健康医疗大数据[8]等领域也有散见的关于数据出境的相关要求。由于我国数据安全及个人信息等领域法规的变化发展，上述法规也可能进一步在未来的实践中与现有监管体制融合更新，医药企业也应持续保持关注。总之，由于医药行业接触和处理的数据/信息的特性，医药企业广泛地受到人类遗传资源、数据安全、个人信息保护等多个领域的监管。在医药企业的业务发展中，典型的如临床试验、license-out等场景下都可能涉及相关数据/信息的出境，医药企业也应对此有清晰的认识并据此设立完善的规章制度和流程。医药企业需要不断学习立法和监管的最新发展，并跟随监管的最新趋势，不断完善其内控体系，按要求办理各项监管所需申报程序，以期更为合规高效地开展其相关业务。