美中数据跨境新政对医药行业的影响及应对

近期，中美两国数据跨境传输监管政策呈现不同的变化趋势。中国政府采取严中趋宽的政策导向，积极回应外资企业诉求，探索构建“审批后流动+自由流动”双模式。而美国方面，总统拜登于2月28日签署并发布了《防止受关注国家获取美国人士大量敏感个人数据和美国政府相关数据的行政命令》（“《行政命令》”）；美国司法部于同日配套发布了关于该《行政命令》拟议规则制定的预先通知（ANPRM）的事实说明（“《事实说明》”）。未来，达到一定数量级别的人类基因组数据、个人健康数据等美国人士敏感个人数据将被禁止或限制在美国和中国等受关注国家之间交易。对于中国药械出海企业、跨国生物医药公司、从事投资或BD交易的创新药企而言，如何把握中美两国数据监管政策、提前规划数据出境业务、部署合规风险应对措施至关重要。

《行政命令》《事实说明》以及后续发布的实施细则[1]旨在对特定国家与美国之间进行的涉及大量敏感个人数据和政府数据（“受规制数据”）相关交易进行审查和限制。

（一）受到规制的数据类型

《行政命令》和《事实说明》规定了六类敏感个人数据，即（1）限定类型的个人标识符；（2）精确地理位置数据；（3）生物识别标识符（例如，指纹、面部识别、虹膜扫描等）；（4）人类生物学组学数据（human ‘omic data，例如，人类基因组数据、表观基因组数据、蛋白质组数据等）[2]；（5）个人健康数据；和（6）个人财务数据，以及前述不同数据的任何组合，并且这些数据需要与任何可识别的美国个人或群体相关联。此外，《行政命令》规制的数据范围还包括与美国政府相关的数据。但跨国公司内部人力资源管理产生的数据、公共卫生监测数据、已合法公开的法院记录或其他政府记录等不在其列。具体的敏感个人数据类型还将在后续的规定中进一步细化。

需要特别说明的是，只有当关于敏感个人数据的交易超过规定的阈值（即一定数量的美国人人数或美国设备数量）时，数据交易才会落入规制范畴。但目前尚未出台具体阈值规则。而与美国政府相关的数据不受阈值规则的影响。

（二）受到规制的数据交易类别

根据《行政命令》和《事实说明》的现有内容，对于禁止或限制的交易类别，可能既包括通过购买数据集实现对受规制数据的直接访问，也包括获取受规制数据的访问权限，以便可以对其进行阅读、复制、解密或以任何形式查看或接收。《事实说明》对此做了进一步细化：

1. 可能被禁止的数据交易类别

（1）数据经纪交易，例如，通过数据经纪商直接购买包含美国人士个人健康数据的真实世界数据集。（2）涉及批量人类基因组数据或可从中提取此类数据的生物样本的基因组数据交易。

2. 可能被限制的数据交易类别

受关注国家管辖、指导、拥有所有权或控制的实体或人员基于（1）涉及商品和服务提供的供应商协议（包括云服务协议）；或（2）雇佣协议；或（3）投资协议直接或间接获取受规制数据。例如，一家注册于受关注国家的A公司为美国药械公司提供云服务，A公司存在利用其供应商的身份通过直接接收或在线访问等方式获取美国药械公司敏感个人数据的可能性。根据《行政命令》和《事实说明》的有关规定，被限制的数据交易类别可以正常开展，但其前提是满足一定的安全要求，例如，基本的网络安全要求、物理和逻辑访问控制、数据掩码和最小化以及隐私保护技术等。

随着《行政命令》及其配套法规的实施，生物医药企业从美国子公司或分公司、跨国公司在美总部或在美实体、美国药械公司、美国医疗机构或研究机构、数据经纪商等主体取得、共享或跨境接收美国人士大量敏感个人数据的难度增加，可能影响药械研发、临床试验、药物警戒、产品经营等主营业务。

（一）注册临床试验（IST）/临床研究（IIT）场景

1. 场景描述

为了在中国申报临床试验审批（IND）或药械注册申请（NDA），可能涉及美国药企向中国药品监管机构提交已有人体临床经验、临床数据、病例报告表等。在覆盖中美两地的国际多中心临床试验中，也可能涉及美国药企向位于中国的中心实验室传输受试者临床试验数据。新药研发公司产品License in项目中，可能涉及美国许可方将包含大量去标识化的受试者个人信息和HCP个人信息跨境传输给境内被许可方和一系列供应商的情形。此外，研究者发起的临床研究也涉及收集和跨境传输与疾病的诊断、治疗、康复、预后、病因、预防及健康维护等活动有关的健康医疗数据。

2. 数据类型

临床试验通常会收集受试者的个人健康数据（例如，手术信息、病理信息、诊断信息、病历数据、处方信息、患者报告结局等）；可能包含人类生物学组学数据的人类遗传资源材料（例如，全血、血清、血浆等）；涉及医疗服务支付记录的个人财务数据（例如，保险索赔数据、账单信息等）；个人生物特征数据（例如，指纹、DNA信息等）。上述数据均可能落入《行政命令》规制的敏感个人数据范畴。

3. 影响评估

《行政命令》旨在禁止或限制美国人士大量的敏感个人数据在中美两国之间收集和传输。当临床研究或临床试验所收集的数据量小于法定的阈值要求时，则可能不会落入《行政命令》规制范畴。此外，待《行政命令》具体实施细则出台后，生物医药企业可以在专业人士的协助下积极论证临床研究或临床试验数据收集和传输的必要性，探索将前述场景中的数据跨境传输行为纳入数据交易豁免清单或是取得有权部门颁发的交易许可证的可能性。

（二）药物警戒场景

1. 场景描述

药物警戒是生物医药公司履行《药品管理法》以及ICH相关国际指南的法定义务。根据《药物警戒质量管理规范》第38条和第51条的有关规定[3]，对于境内外均上市的药品，药品上市许可持有人应当收集在境外发生的疑似药品不良反应信息。因此，对于在全球多个国家和地区上市的药品而言，跨国药企通常会利用所建立的全球药物警戒体系，将来自境外（例如，美国）的安全性信息分享给中国。

2. 数据类型

使用药品并发生不良反应患者的个人生理状况信息（例如，身高、体重、既往药品不良反应、过敏史、病史）；用药记录（例如，用法用量、用药时间、治疗适应症等）；不良反应信息（例如，不良反应事件、相关实验室检查信息等）。上述数据可能属于《行政命令》规制的敏感个人数据范畴。

3. 影响评估

与《行政命令》对临床试验场景的影响相同，当药物警戒所收集的数据量大于法定的阈值要求时，才有可能落入《行政命令》规制范畴。当然，药物警戒场景的特殊性在于跨国药企所建立的全球药物警戒体系会通过信息系统对药品不良反应展开持续性收集。未来如何认定数据收集数量，尚需根据后续出台的实施细则进一步判定。

（三）药械上市后销售场景

跨国药企在美国运营期间可能产生和收集的数据包括：录入在CRM系统中的HCP个人信息；药械销售的经营数据；电子病历、电子处方、购药记录等信息；适应症地域分布信息、专病数据库；罕见病（慢性病）患者数据、人类遗传资源信息；医保信息、医保或商保中的患者个人信息等。上述数据可能包含《行政命令》规制的敏感个人数据类别。

一方面，需要根据美国司法部等部门后续出台的敏感个人数据判定规则进一步厘清药械经营环节是否涉及获取受规制数据；另一方面，仅当所收集的数据量大于法定的阈值要求时，才有可能落入《行政命令》规制范畴。

（四）真实世界研究中的数据交易场景

RWS场景中为了收集海量的相关健康数据集，可能涉及从CRO公司或数据经纪商那里购买美国患者的电子健康记录（EHR）数据并跨境传输至境内的RWD平台，其中包括病人的医疗记录、治疗历史、检验结果等。上述数据可能包含《行政命令》规制的敏感个人数据类别。RWD场景中的敏感个人数据集的交易行为落入《行政命令》规制范畴的可能性较大，因为其交易的数据数量可能会超过阈值规则规定的量级。

（五）其他场景

在美国使用具有联网或存储功能的医疗器械场景，例如，使用可穿戴式设备等健康传感器收集美国被采集者的监测诊疗数据（血氧饱和度、血压、血糖心率、睡眠）或是行为情绪数据（跑步距离、行走轨迹、步数、消耗能量、锻炼时长）；影像系统可能收集美国患者的影像和影像诊断报告；检验系统可能收集美国患者的检验检查报告和检验结果。人工智能医疗器械软件研发场景，例如，人工智能医疗器械软件持续学习真实世界中海量的美国患者个人健康数据来完善功能、改进性能并增强适应性。上述场景中，一旦收集的数据数量超过阈值规则规定的量级，则交易行为落入《行政命令》规制范畴的可能性较大。

中央财办有关负责同志详解2023年中央经济工作会议精神时明确提出，要积极回应外资企业诉求，认真解决数据跨境流动问题。2023年9月28日国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》，其中第7条规定，“自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（“负面清单”），报经省级网络安全和信息化委员会批准后，报国家网信部门备案。负面清单外数据出境，可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”

随后，上海自贸区[4]以及临港新片区[5]均陆续释放对不同类型数据跨境传输实施灵活监管的信号。据了解，对于隶属于临港新片区的生物医药企业而言，如果涉及临床试验或药物警戒数据出境，可以一事一议具体与网信部门沟通，如果经主管部门判断属于一般数据的，备案后就可以自由流动。

我们在与跨国生物医药公司合作时总能感受到MNC对于限制数据跨境自由流动规则的普遍担忧，因为数据和信息的跨境交换是医药行业生存发展的基石。限制数据流动将给跨国医药公司的统一管理、全球运营带来障碍，也威胁到药物创新领域正常的国际合作。当前，中美两国纷纷瞄准数据安全和隐私保护，监管法律日趋复杂多变，对跨国业务的正常开展造成冲击。

我们建议跨国生物医药公司、中国药械出海企业及早部署合规应对措施，在风险预防上打好“提前量”，实现“拥抱监管”的积极效果。例如，尽快判断跨境往来是否涉及访问美国个人敏感数据或美国政府相关数据，是否可以归入中国法规下拟豁免前置审批、备案或认证程序的数据清单。在合规律师的协助下持续与网信部门沟通数据出境程序。与此同时，提早开展个人信息保护影响评估，其目的在于论证数据出境必要性，为适用不同法域下数据出境监管的豁免规则提供支撑，并证明已依法采取充分的数据安全保障措施，从而应对政府部门的事前事中事后监管。