数据出境新规下,企业如何应对临床试验数据出境新局面?
数据出境新规下,企业如何应对临床试验数据出境新局面?
在临床试验数据的安全问题开始逐渐被关注之前,我国在临床试验数据方面的监管主要依靠《药物临床试验质量管理规范》(“GCP”)等临床试验相关管理要求进行规范和保护,其中体现的主要是国家药品监督管理局(“药监局”)和国家卫生健康委员会(“卫健委”)对于临床试验过程中收集到的数据的监管要求,尤其是针对受试者的个人信息的保护。
对于临床试验数据的出境,作为申办方的医药企业此前的主要考量是围绕《中华人民共和国人类遗传资源管理条例》(“《人遗条例》”)中规制人类遗传资源信息对外提供行为的要求而展开的。然而,自《中华人民共和国个人信息保护法》(“《个保法》”)出台,以及2022年7月7日国家互联网信息办公室(“网信办”)颁布《数据出境安全评估办法》以来,网信办对于数据出境的监管思路日益明晰并不断细化。在此背景下,临床试验数据出境场景将涉及多部门多维度的监管,企业应当如何准备与应对?其中千头万绪,本文试做梳理,以期抛砖引玉。
一、哪些常见业务场景会涉及临床试验数据的出境?
1. 跨境申报新药临床试验审批(“IND”)和新药注册申请(“NDA”)
境内企业向境外药品监管机构申请IND时,一般需要就该临床试验申请向境外药品监管机构提交总体研究计划、研究员手册、临床研究方案、化学、生产和质量控制信息、药理和毒理信息、已有人体临床经验、额外信息等。
在NDA阶段,通常需要向境外监管机构(如FDA)提供药品生产信息、非临床药理和毒理数据、临床试验中产生的人体药代动力学和生物利用度数据、微生物数据、临床数据、安全性数据更新报告、统计学数据、病例报告表、有关专利情况、样品、包装及标签等。
2. 国际合作研究涉及的临床试验数据出境
外方单位与中国合作方共同开展国家合作研究,涉及临床试验的,可能会伴随相关临床试验数据的出境。在该场景下,企业方除了需根据《人遗条例》就国际合作中涉及的人类遗传资源材料及人类遗传资源信息的出境向科学技术行政部门申请相关审批或备案外,其他不属于人类遗传资源信息的临床数据也可能随着研究项目的开展需要向境外提供。
3. 使用EDC系统或管理系统服务器将临床数据向境外提供或对外开放
电子数据采集(Electronic Data Capture, EDC)是一种基于计算机网络的用于临床试验数据采集的技术,通过软件、硬件、标准操作程序和人员配置的有机结合,以电子化的形式直接采集和传递临床数据。近年来电子数据采集技术在临床试验中越来越多地被采用,由于其具有数据及时录入、实时发现数据错误、加快研究进度、提高数据质量等优势,各国药品监管部门都鼓励临床试验中采用电子数据采集技术以保证数据质量。若该等采集系统或管理系统的数据传输设置需要将数据传输出境,或将数据向境外主体开放访问权限,或其服务器和运维部署在境外,都可能构成临床试验数据出境。
4. 基于科研目的向境外发布临床试验结果
开展临床试验的研究机构对于其研究发现可能会向境外机构或刊物投稿发布研究成果,在投稿或审稿等过程中可能涉及相关临床试验数据向境外机构提供的情形。
二、个人信息和数据保护法规对临床试验数据出境合规提出了哪些要求?
《个保法》颁布后,其中关于个人信息跨境传输的具体合规路径和门槛要求未同时落地,这导致跨国药企在开展跨国药物研究业务时一直面对着较大的合规不确定性。自2022年6月以来,我国出台了一系列与数据出境相关的法规和征求意见稿,数据出境法规框架正在不断地明确,监管对于实践落地的细节也给出了大幅细化的方向,其中包括2022年6月24日全国信息安全标准化技术委员会(“信标委”)发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》(“《认证规范》”),2022年6月30日网信办发布的《个人信息出境标准合同规定(征求意见稿)》(“《标准合同规定》”,《标准合同规定》附件《个人信息出境标准合同》下称“中国SCC”)和2022年7月7日网信办颁布并将于今年9月1日正式生效的《数据出境安全评估办法》。
对于有临床试验数据出境需求的药企来说,这些法规和征求意见稿解答了数据出境活动中的一些基础性问题,明晰了企业数据出境的合规路径,便于药企判断自己是否需要进行安全评估的申报,并且促使药企开始思考其在处理和向境外提供临床数据的实践中,如何履行有关充分同意、单独同意、自评估等合规要求。
《个保法》提供了三条主要的向境外提供个人信息的合规路径,分别为通过国家网信部门组织的数据安全评估(安全评估),按照国家网信部门的规定经专业机构进行个人信息保护认证(机构认证),或者按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务(标准合同)[1]。三者的关系是,如果达到安全评估的门槛的,则必须进行安全评估,如果没有达到的,可以选择机构认证或者签署标准合同。下面对这三条路径在临床试验数据出境的场景下可能面临的问题做一个简单的探讨。
(一)临床试验数据安全评估
数据安全评估的门槛要求在《数据出境安全评估办法》[2]中明确为:
1) 数据处理者向境外提供重要数据;
2) 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
3) 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
4) 国家网信部门规定的其他需要申报数据出境安全评估的情形。
上述第1)条涉及重要数据,第2)和第3)条涉及个人信息。
1. 重要数据出境需安全评估
申办者应当考虑受试者个人信息构成重要数据的客观可能性。《中华人民共和国数据安全法》(“《数安法》”)、《数据出境安全评估办法》等法律法规判断重要数据的指标是其遭到篡改、破坏、泄露或者非法获取、非法利用后对于国家安全、经济运行、社会稳定、公共健康和安全的危害[3]。虽然《数安法》要求各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,但数据主管部门及医疗行业主管部门尚未对医药领域的重要数据制定具体目录。
2022年版本的《信息安全技术重要数据识别指南》(征求意见稿)在重要数据的识别因素中列明:“h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据”[4]。该版《信息安全技术重要数据识别指南》(征求意见稿)由信标委发布。
而网信办也在2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中对重要数据进行了定义和列举,其中包括“5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据”[5]。
由以上不同文件中对于重要数据的内涵和外延的解释可以看出,监管部门对于涉及一定量人口基数的,与人口总体健康特征、遗传、基因等方面有关的信息是倾向于加强监管并将其作为较高风险级别的数据进行处理的。同时,上述文件中不尽相同的表述似乎也体现了各监管部门对于重要数据不同角度的理解。
基于《数安法》要求,各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录,我们认为,后续不同地区以及不同监管方对于临床试验业务场景下的重要数据也可能会有不同的定义,且该等不同部门对于数据内涵理解不统一的状态可能会长期持续。在相关的要求被正式明确之前,企业可以(1)从重要数据的定义入手,尝试分析其手中临床试验项目数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用对于国家安全、经济运行、社会稳定、公共健康和安全可能产生的影响,或者寻求专业法律意见;(2)注意药监局和卫健委对于医疗行业重要数据划分的监管动态,结合现有的《人遗条例》的监管体系,除履行利用人类遗传资源开展国际合作研究的备案/审批程序、对外提供人遗信息备案、人遗材料出境审批等要求外,对于涉及人类遗传资源信息和基因信息的临床试验数据进行不低于法定的重要数据保护和出境要求的合规处理;(3)结合自身临床试验项目涉及的个人数量,如自判有临床试验项目涉及受试者数量众多的,则需要提供更高的安全保护措施。
2. 敏感个人信息的出境门槛
除了普通的个人信息,药物临床试验中还涉及大量受试者的敏感个人信息。《个保法》将医疗健康信息规定为敏感个人信息,但并未就其外延给出进一步的详细列举。此前,国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》中将“个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等”列为敏感个人信息[6]。
而根据GCP,临床试验阶段所产生的源数据包括如医院病历、医学图像、实验室记录、备忘录、受试者日记或者评估表、发药记录、仪器自动记录的数据、缩微胶片、照相底片、磁介质、X光片、受试者文件,药房、实验室和医技部门保存的临床试验相关的文件和记录,包括核证副本等[7]。可以看出,临床试验数据中天然地含有各类敏感个人信息。因此,如果将包含敏感个人信息的临床试验数据不加处理地向境外传输,一旦涉及传输超过一万人的敏感个人信息,即需要向网信部门进行出境安全评估的申报。在实践中,临床试验为了保证其结果的准确性和科学性,达到一万人的门槛数量是较为常见的。相关企业需要提前制定应对策略,并判断是否可以避免或减少敏感个人信息的跨境传输,或者如何提高通过安全评估的可能性。
(二)安全评估以外的合规路径:标准合同与机构认证
在未触发安全评估门槛的情况下,企业可以选择标准合同或机构认证的方式确保向境外传输数据的行为符合中国法律的要求。无论是信标委发布的《认证规范》,还是网信办发布的《标准合同规定》,其均要求传输方和境外接收方签署有法律约束力的协议,其中提出了较多具体要求。尤其是《标准合同规定》,除要求境外接收方处理个人信息的目的、范围、方式须具有合法性、正当性、必要性,评估出境个人信息的数量、范围、类型、敏感程度以及个人信息出境可能对个人信息权益带来的风险外,亦要求明确境外接收方承诺承担的责任义务,其履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全,需要评估个人信息出境后泄露、损毁、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅,还需要评估境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响。该等境外接收方国家或地区的信息保护程度可能需要寻求当地专业律师的意见。
《标准合同规定》亦要求境外接收方允许境内个人信息处理者对数据文件和文档进行查阅,或对其涵盖的处理活动进行审计。“中国SCC”附录二部分专门提供了合同当事双方约定的其他条款部分,据此,合同双方可以在附录二中自行协商约定适合自身业务安排的条款。但是,《标准合同规定》第2条第二款规定,境内个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同,不得与标准合同相冲突。
如临床试验数据境内传输方和境外接收方并非属同一集团公司(譬如直接向境外科研杂志机构提供信息等情况),如要求境外接收方签署“中国SCC”,境外接收方可能会因为标准条款对其施加了较重的义务以及必须接受中国法管辖等原因而有所抵触。目前《标准合同规定》的正式版还有待出台,同时认证工作的实际开展和认可也有待网信办等监管部门一同推动落实,在此之前,相关申报方和科研机构应就跨境方案(包括跨境传输的内容和传输路径的设计等)和跨境合规途径的选择进行消化和充分的探讨,包括与境外接收方进行沟通。
(三)其他合规要求
1. 使用鉴认代码的要求与个人信息的匿名化
或许有些申办方会希望GCP要求下的鉴认代码指代方式可以同时满足《个保法》项下对于匿名化的要求,从而使得该等向境外传输的行为不需要被纳入计算安全评估的门槛数量内。虽然GCP要求研究者应在记录不良事件和其他与试验有关的数据时以受试者鉴认代码来代表受试者,但是,由于临床试验中出于研究需要会采集大量特定受试者的生理医疗特征以及病历病史信息,该等临床试验数据若与其他信息结合,未必不能识别出个人信息背后的特定个人。因此,使用鉴认代码或许可以满足《个保法》中的“去标识化”,但很可能不能满足“匿名化”的要求。
敏感个人信息跨境传输安全评估的较低门槛、临床试验数据的出境需求以及《个保法》下匿名化的高标准,使得临床试验数据出境的合规难度有所提高。医药行业亟待有关部门对于包含临床试验数据在内的医疗健康个人信息的分级分类、匿名化或脱敏、出境合规等内容做出具体的指引,以期实现数据的安全共享和达到科研应用的目的。
2. 知情同意、单独同意、另行获取同意
《个保法》下,除明确列出的豁免情形外,对于个人信息的处理要以获取个人在充分知情的前提下自愿、明确的同意为前提[8]。由于临床试验数据涉及数据主体的诊疗记录、用药记录等敏感个人信息,因此,需要向受试者告知有关处理其敏感个人信息的必要性以及对个人权益的影响[9]。
此外,《个保法》更要求将个人信息提供给其他个人信息处理者以及向境外提供时都需要获取个人信息主体的单独同意[10]。GCP项下亦要求获取受试者的知情同意,受试者被告知可影响其做出参加临床试验决定的各方面情况,确认同意自愿参加临床试验后[11],研究者方可采集其临床数据进行研究活动。
现阶段,监管部门并未对《个保法》和GCP下的知情同意之间的关系进行释明。我们倾向于认为,《个保法》和GCP保护的法益在临床试验场景下有所交叉,都需要受试者自愿同意;但是,《个保法》和GCP的立法目的和监管范围事实上绝大部分有所不同,因此单纯期望以满足GCP要求的知情同意函来覆盖《个保法》下对于个人信息的种种保护要求,是不充分的。
我们理解,如在已经开始的临床试验项目里为了满足《个保法》的要求而修改知情同意函并另行获取受试者的同意,可能会面临一系列实践中的困难。一方面,可能不是全部受试者都一定会愿意签署,获取全部受试者的签名的可能性较低且成本可能较高。另一方面,《个保法》要求向个人信息主体告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类,当接收方超越已告知的处理目的、处理方式和个人信息的种类等范围处理个人信息时,需要再次重新取得个人同意。但境内实体在实践中可能难以确保境外接收方在收到临床数据后仅按照其承诺的范围和方式进行处理。
针对以上实践难点,行业的共识亟待达成,目前我们建议申报方或者研究机构至少在同意函中披露当下已知的境外接收方全部的处理目的、范围以及全部可能的后续境外接收方,并尽可能地定期提供境外接收方是否再传输和将临床数据用于其他目的的更新,供受试者自行查阅,并提供便捷的联系方式供受试者撤回或修改同意等。
3. 自评估
无论是《个保法》,还是《认证规范》《标准合同规定》或《数据出境安全评估办法》,都要求进行个人信息保护影响评估(“自评估”)。鉴于自评估需要全面了解被评估主体的数据流和个人信息保护活动的全貌,并且也涉及对于境外接收方个人信息保护环境的评估,我们建议有出境需求的临床试验参与方应尽早开始进行自评估的工作。
三、小结
在个人信息和数据保护法律法规不断完善、细化的大背景下,临床试验数据的出境面临着新的合规挑战。以往以知情同意函获取受试者同意、使用人遗资源信息对外提供规则约束数据出境的方式已经不能完全满足现有的数据出境法规的要求。《个保法》已于2021年11月1日生效,《数据出境安全评估办法》也将于2022年9月1日正式生效,相关企业宜尽早(1)根据《个保法》的要求开始知情同意函的更新和受试者签署的收集;(2) 启动自评估,对所涉重要数据、个人信息和敏感个人信息进行梳理,讨论各类数据出境的必要性;(3)就临床试验数据出境的三条合规路径进行考察,判断是否达到了触发申报安全评估的门槛数量,以及签署标准合同或进行机构认证的可行性。在立法与实践不断接轨的进程中,企业可以根据其自身临床试验项目的特点和业务实际需求,寻求专业的法律意见,把握和落实个人信息和数据保护法律法规提出的新要求,并将其转化为现实可操作的合规建议。
[注]