中美医药数据出境监管新规对生物医药企业国际化影响及合规建议
在医药行业全球化发展、国家间政治摩擦加剧及资本市场监管收紧等背景形势影响下,国内生物医药企业选择出海发展以及开展跨境合作已成为“活下去”和“寻发展”的趋势。在国际化发展过程中,不可避免地涉及到跨境处理医药数据;而医药行业的特殊性使得医药数据中通常会包含敏感个人信息、人类遗传资源信息等数据,此类特殊类型的数据一直是国内外监管机关进行国家安全保障和生物安全监管的重点对象,也是国内生物医药企业在设计业务模式以及洽谈跨国项目合作过程中的核心关注点。
本文以美国近期出台的数据出境新规《关于防止受关注国家获取美国人批量敏感个人数据和美国政府相关数据的行政命令》(“《行政命令》”)为切入点,分别对美国和中国对医药数据跨境传输的监管规定、监管措施和法律责任进行梳理总结,并对国内生物医药企业在涉及数据跨境传输的情形下需关注的合规要点提出建议,以供生物医药企业参考了解。
美国在联邦层面并未出台统一的数据监管法案,而在州及地方层面,美国各州及地方监管机关在其管辖范围内出台了相应数据监管法案。例如,美国华盛顿州于2023年4月27日出台了《我的健康我的数据法案》(“MHMDA”),自2024年3月31日起对受监管者全面生效,MHMDA适用于“消费者健康数据”,要求企业提供数据主体权利,并提供有关其处理活动的某些披露,在没有“既定必要性”的情况下,只有在消费者同意的情况下才能处理消费者健康数据。
《行政命令》于2024年2月28日由美国总统拜登基于宪法和《国际紧急经济权力法》等美国法律赋予的权力签署发布。根据白宫2024年2月28日发布的事实说明
[1]
,《行政命令》系美国总统为了保护美国人的数据安全而采取的最重要的行政行动,并授权美国司法部长防止美国人的个人数据大规模转移到受关注国家。《行政命令》侧重于美国人的个人和敏感信息,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人身份信息。此外,美国司法部于2024年2月29日发布《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》的拟议规则预通知 (“《预通知》”) ,将《行政命令》中的规则进一步细化,并向社会公开征求意见。
美国近年来采取了多种行政手段以加强对美国信息安全和跨境交易的监管,包括但不限于美国商务部于2021年1月19日发布的《<确保信息通信技术与服务供应链安全>最终暂行规定》(“IFR”)中规定了针对信息、通信技术及服务(“ICTS”)行业内的公司进行国家安全审查的程序,以及在《外国投资风险审查现代化法案》中扩大了受制于美国外国投资委员会(“CFIUS”)审查的外国投资范围,审查要求也趋于严格。《行政命令》从跨境信息传输的角度进一步限制了中国主体对美国敏感数据的访问。
根据《行政命令》第七条(l),“敏感个人数据”是指受保护的个人标识符、地理位置及相关传感器数据、生物识别符、人类“组学数据”、个人健康数据、个人财务数据或上述任何组合的数据,且这些数据如果被关联或可关联到任何可识别的美国个人或离散且可识别的美国个人群体,就可能被受关注国家利用来损害美国国家安全。“敏感个人数据”的具体定义则是授权司法部长根据《行政命令》第2条发布《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》进一步确定。
对于国内生物医药企业而言,在出海至美国的相关场景下,其通常会涉及已开展包括美国在内的多中心临床试验的情形,而在临床试验过程中所获取的美国受试者入组前的健康体检信息、病历表、给药记录、临床症状、体征、病程、影像学记录、不良反应记录、生物样本(如血液、尿液、唾液)等,将跨境传输回国内医药企业用于分析研究,而上述数据均可能构成敏感个人数据。
而在国内医药企业作为被许可方,引进美国许可产品或技术的license-in交易场景中,国内企业为尽调和评估许可产品或技术之目的,通常需要美国的许可方向国内医药企业提供许可产品或技术相关的临床前研究数据、临床试验数据等数据,前述数据也可能构成敏感个人数据。
根据美国司法部发布的关于预先通知的要点列举
[2]
,美国司法部考虑将中国(包括香港特别行政区和澳门特别行政区)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉在内的六个国家识别为“受关注国家”。根据《行政命令》第七条(c)和(d),被识别为“受关注国家”的法律后果主要体现在由受关注国家拥有、控制或受其管辖或指导的实体将会受到相应限制,而且受相应限制的对象范围还包括:该实体的外国雇员或承包商;受关注国家的外国雇员或承包商;主要居住在受关注国家领土管辖范围内的外国公民;或由司法部长指定为属于受关注国家拥有、控制或受其管辖或指导,代表关切国家或其他受限制人员行事,或故意直接或间接导致违反本命令或执行本命令的任何规定的个人。
因此,无论是在国内设立和运营的企业,还是国内企业在美国的子公司或承包商,都可能属于受关注国家的受限制人员,开展美国个人数据相关交易将受到监管。
根据《预通知》,是否构成大量数据可能采用以下阈值范围进行认定,目前《预通知》在公开征求意见过程中,未来最终的阈值范围不排除会发生变化:
实践中,从临床试验I期到临床试验IV期,受试者的人数会逐步增长,累计受试者人数很通常超过百人,进而很有可能会因超过上表阈值范围而落入监管范围。
根据《行政命令》第二条(a),若交易涉及大量敏感个人数据的,或对美国国家安全构成不可接受的风险的,或不符合豁免条件且未获得许可证授权的,可能被禁止或被限制。美国司法部和美国国土安全部正在制定受限制的交易下相关方必须采取的安全措施,根据《预通知》,安全措施包括:落实基本组织网络安全态势要求;在受限制数据交易中采取包括数据最小化和屏蔽、使用隐私保护技术、开发信息技术系统以防止未授权披露,以及实施逻辑和物理访问控制在内的技术措施;和满足特定合规要求,例如通过独立审计师对上述措施进行年度审计。
在国内生物医药企业出海至美国以及作为被许可方从美国引进许可产品或技术等BD交易场景下,会涉及从美国向中国传输临床数据和人体相关数据的情形,由于可能涉及大量敏感个人数据,可能被禁止或限制,因此,国内医药企业需要按照国土安全部制定的后续规则采取相应安全措施,满足豁免条件或取得许可证。
具体到数据跨境传输领域,第一,美国对于个人信息的跨境传输监管主要通过亚太经济合作组织(APEC)确立的《跨境隐私规则体系》(Cross-Border Privacy Rules System, “CBPR系统”)完成。CBPR系统旨在建立消费者、企业和监管机构对个人信息跨境流动的信任,其要求参与企业实施与APEC隐私框架一致的数据隐私政策
[3]
。第二,美国对于关键领域数据的跨境传输监管主要通过《外国投资风险评估现代化法案》(The Foreign Investment Risk Review Modernization Act of 2018, “FIRRMA”)、《出口管制条例》(Export Administration Regulations, “EAR”)等法案以外商投资安全审查、出口管制等手段进行相应规制。
具体而言:(1)当交易涉及到敏感个人数据(Sensitive Personal Data)时,美国外国投资委员会(“CFIUS”)将有权进行外商投资安全审查,交易参与方必须履行强制申报义务
[4]
;以及(2)当特定类型出口产品的技术数据进行跨境传输时,需要事先取得出口许可证。
[5]
相对应地,若国内生物医药企业在将医药数据从美国出境到国内的过程中未履行上述义务,将依法承担相应责任。具体而言:(1)对于未提交强制申报的,将根据违法行为的性质,处以不超过25万美元或交易价值的民事罚款(以较高者为准)
[6]
;(2)对于违反EAR等法案的出口行为,将面临民事罚款(Civil Monetary Penalties)、拒绝出口特权(Denial of export privileges)、吊销参与资格(Exclusion from practice)、监禁、刑事罚款等制裁或处罚
[7]
;以及(3)司法部未来出台的《受关注国家获取美国人大量敏感个人数据和美国政府相关数据规则》将进一步明确违反《行政命令》的法律后果及罚则。
中国的数据跨境传输监管以《民法典》《刑法》《网络安全法》《数据安全法》《个人信息保护法》等为基础法律,并相继出台《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息出境标准合同备案指南》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》等配套规则为数据出境的提供实操指引,同时辅以《人类遗传资源管理条例》《关键信息基础设施安全保护条例》《电子病历应用管理规范(试行)》等细分领域规范,构建了一套全方位、多层次的法律法规体系。
此外,国家互联网信息办公室于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》,拟对数据跨境传输监管制度进行优化调整。国内生物医药企业在跨境数据传输场景下针对涉及到的不同数据类型,需遵守不同的对应监管要求。具体而言,以药物临床试验阶段不可避免会涉及到的临床试验数据、健康医疗数据
[8]
为例,相关主体还需对应遵守《国家健康医疗大数据标准、安全和服务管理办法(试行)》《药物临床试验质量管理规范(2020修订)》等法规政策。
特别地,对于国内生物医药企业而言,需要格外注意的是,在跨境技术交易、多中心临床试验等跨境数据传输场景中:(1)如涉及到了人类遗传资源
[9]
出境,需取得相应监管部门的批准;以及(2)如涉及到了重要数据和/或个人信息出境,则可能需申报数据出境安全评估并进行数据出境风险自评估
[10]
,或通过订立标准合同的方式向境外提供并完成备案[11]。其中,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
[12]
个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
[13]
基于以上监管要求,若中国生物医药企业在跨境数据传输场景项下涉及受监管的数据类型,而未履行对应审批、申报等义务的,则根据所涉数据类型的不同,将面临不同的民事责任、行政责任乃至刑事责任。
1.在民事责任层面,以侵犯个人信息为例,将依法承担民事侵权责任
[14]
。
2.在行政责任层面,以违规跨境传输重要数据为例,有关主管部门将责令改正,给予警告和/或对医药企业以及直接负责的主管人员、其他直接责任人员处以相应金额的罚款,乃至责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照
[15]
。
3.在刑事责任层面,以违反国家有关规定,非法运送、邮寄、携带中国人类遗传资源材料出境为例,危害公众健康或者社会公共利益的,将根据情节严重程度,依法被处以对应期限的有期徒刑、拘役、管制和/或对应金额的罚金
[16]
。
中美医药数据出境监管新规对生物医药企业国际化影响及合规建议
由于不同的数据类型的监管要求有所区别,因此,建议各生物医药企业在开展多中心临床试验或跨境技术交易等项目前,参考中美各监管要求的监管范围以及对各类数据的定义,辨别该项目涉及的数据类型以及是否属于受到监管的数据,从而,有针对性的了解与遵循法律明确的监管要求。
若跨境技术交易的内容为临床前阶段的化学药技术,则一般仅涉及临床前研究数据,例如药理毒理研究数据、动物试验研究数据等,因此受到对应监管的可能性也较小。相反,若跨境技术交易的内容已处于临床试验阶段或拟开展包括美国在内的多中心临床试验,由于临床试验是以人体(患者或健康受试者)为对象的试验
[17]
,其必然涉及个人信息、敏感个人信息、健康医疗数据、人类遗传资源等,因此,该项目的跨境数据传输将受到中美监管机关的对应监管。有鉴于此,国内生物医药企业应在项目开展前对涉及到的数据的情况进行合理预判,以确保项目的合规顺利进行。
在确定项目所涉及的数据类型后,各生物医药企业应进一步明确所欲开展的项目是否涉及数据出境,包括从中国出境到美国以及从美国出境到中国。例如,在国内生物医药企业拟将已进行到临床试验阶段的药品license out至美国的情形下,作为许可内容的一部分,其临床试验数据等将出境至美国;而对于在美国成立了研发中心,在美国开展产品临床试验,且产品未来拟在美国市场注册上市的国内生物医药企业来说,临床试验数据可能不涉及出境到中国。如若涉及,则建议对应了解此种数据类型在中国或美国的跨境传输监管要求,确认是否符合豁免的情形,以办理相应审批、备案手续或履行安全评估等行政程序,建立相应的数据安全体系以及采取必要数据安全措施等。
是否根据监管要求履行数据跨境传输所需的审批或备案程序关涉到项目整体的合法合规。如项目涉及个人信息从中国出境到美国,根据《个人信息保护法》的相关规定,确需向中国境外提供个人信息的,应具备下列条件之一:(1)依规通过国家网信部门组织的安全评估;(2)依规经专业机构进行个人信息保护认证;(3)按国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件
[18]
。如项目涉及人类遗传资源材料运送、邮寄、携带从中国出境到美国,则需取得国务院卫生健康主管部门出具的人类遗传资源材料出境证明
[19]
方可进行。
如未依法办理上述审批手续或程序,则各技术交易相关主体将受到对应制裁和/或处罚,阻碍交易的正常进行甚至导致交易失败。当项目涉及敏感个人数据从美国出境到中国时,则需通过CFIUS的外商投资安全审查,履行强制申报义务,并根据《行政命令》采取数据安全措施,取得许可证等。
在项目交易文件中明确数据跨境传输的合规要求及各方需履行的义务
为了确保数据跨境项目的平稳顺利进行,建议各生物医药企业建立内部数据跨境传输合规管理制度和管理机制,以及完善内部数据安全体系建设;如涉及跨境技术交易项目的,则在交易文件中明确交易所涉数据跨境传输的具体合规要求,并以此进一步明确交易各方所需履行的义务内容,从而保证交易的整体合规性。否则,生物医药企业将可能面临不同程度的法律风险,乃至面临数据被销毁等制裁和/或处罚措施。
以国内生物医药企业引进美国的医药技术为例,若涉及大量敏感个人数据的,一方面,建议Licensee在交易文件中明确要求Licensor履行美国对于敏感个人信息出境到中国的监管要求,包括行政程序和内部数据安全体系建设,保证交易不存在数据跨境传输方面的障碍。另一方面,建议要求Licensor应对取得数据权利主体的知情同意,以及通过伦理审查等作出相应的陈述与保证。
近年来中国和美国对于数据跨境传输及个人信息的监管力度不断加大,数据跨境及个人信息保护领域的新规出台较为频繁,中国在2022年和2023年在数据跨境传输领域陆续实施了《数据出境安全评估办法》《人类遗传资源管理条例实施细则》《个人信息出境标准合同办法》等多项法律法规,美国此次行政命令的出台以及未来实施细则的发布对国内生物医药企业的出海规划也造成了不小的影响。为减少因数据跨境传输问题导致项目开展受到阻碍或失败的情形发生,笔者倾向于建议国内生物医药企业持续关注中美数据跨境传输领域的监管动态以及执法动态,对应完善自身及项目所涉的政府监管程序和/或审批、备案手续,调整商业模式和策略,以保证项目的最终成就和合规长效执行。
生物医药企业在面对中美愈发严格的医药数据出境监管时,应对数据跨境传输的合规问题给予充分的重视,在开展出海或跨境技术交易项目前对数据跨境传输监管要求进行充分了解与掌握,建立完善的数据安全管理体系和管理制度,积极履行监管程序和监管义务,同时,及时和企业内部数据合规人员或外部医药合规律师进行沟通确认数据出境合规要求,保障医药数据的安全性和隐私保护,以减少可能发生的中美医药数据监管的不利法律后果,在合规的基础上实现企业的国际化或出海发展的重要目标。
撰稿人 | 刘婷婷、黄冠鸿 同写意
责任编辑 | 邵丽竹
审核人 | 何发
评论
加载更多