国际多中心临床数据跨境传输合规路径
国际多中心临床数据跨境传输合规路径
创新药企国际多中心临床研究(Multi-regional clinical trials,MRCT)中数据采集和传递、产品跨境申报和注册中均可能涉及健康医疗数据跨境传输。重要数据和个人信息识别、跨境传输路径选择、出境标准合同中申办者的履约义务以及创新药企数据安全合规体系构建等事项是常见困扰。尤其在《药品注册核查检验启动工作程序(试行)》要求的研发生产主体合规背景下,临床试验数据合规性将直接影响创新药企合规风险等级的判定。本文将结合国家网信办于2月24日公布的《个人信息出境标准合同办法》,梳理MRCT数据跨境传输路径及医药研发企业数据合规管理要点,以期为企业合规开展数据跨境传输提供借鉴,促进国际医学研究合作。
一、MRCT数据跨境传输路径
据北京网信办消息,首都医科大学附属北京友谊医院(“北京友谊医院”)普外中心和阿姆斯特丹大学医学中心普通外科作为全球牵头中心发起的国际多中心临床研究项目通过了数据出境安全评估,成为国内首个数据合规出境案例。该案例引起热议的话题之一是北京友谊医院因何原因触发了数据出境安全评估程序,系涉及百余例入组病例的健康医疗数据和遗传信息/基因信息属于重要数据,还是大型三甲医院构成关键信息基础设施运营者(CIIO),亦或是因过百万的接诊量构成“100万人以上个人信息”的主体范畴?
(一)主体身份识别:是否属于CIIO或是非CIIO中100万人的个人信息处理规模企业
根据《数据安全法》和《数据出境安全评估办法》的有关规定[1],企业向境外传输、共享临床试验数据可能会触发网信部门的事前安全评估程序。安全评估采取“一事一议”原则,评估周期较长,且容易触发重新申报评估条件,无形中导致企业合规成本增加。在判断是否涉及申报安全评估时,区分数据(个人信息)处理者的身份属性至关重要。企业是否属于CIIO,需要识别企业所涉业务是否涉及重要行业和领域、遭到破坏或者丧失功能的危害后果以及是否高度依赖信息化运行方式。实践中,企业是否属于CIIO更多取决于行业主管机构的认定。而企业是否“处理个人信息达到100万人以上”,须认定所处理的信息能识别或是关联到的信息主体是否合计(包括员工、客户、用户)达到100万人及以上。结合上述案例,北京友谊医院可能同时被认定是CIIO和处理100万人以上信息规模的机构,因而触发安全评估申报。当创新药企未被认为是CIIO或是处理个人信息达到100万人以上的实体时,其基于数据出境主体身份而触发安全评估的可能性便相对减小。
(二)数据属性判定:重要数据or个人信息
点击可查看大图
《数据安全法》和《个人信息保护法》等法律法规相继确立了数据和个人信息分级分类保护制度。正确判断数据属性是数据合规跨境传输的基石。是否触发安全评估申报,除了界定企业主体身份外,还要看拟跨境传输的临床试验数据是否落入受监管的重要数据和个人信息范畴。
申办者若向境外提供重要数据,出境前必须要向网信部门申报并通过数据出境安全评估。上述案例中,北京友谊医院特别提及在申报准备初期,该院建立了“重要数据出境的审核、评估和监督机制”。2022年发布的《信息安全技术 重要数据识别指南(征求意见稿)》提出“反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据”。申办者可重点从两个维度综合判断临床试验数据是否构成重要数据。“群体性”,是否包含达到一定规模或精度的基因数据或是重要遗传家系和特定地区的人类遗传资源信息;“生物安全性”,是否涉及人类遗传资源信息。触及任一维度时,申办者须按“就高原则”考虑适用申报安全评估,通过后再向境外提供临床试验数据。若临床试验涉及利用我国人类遗传资源材料或信息,还应同时履行国际合作科学研究审批、国际合作临床试验备案、对外提供或开放使用的安全审查及信息备份、人类遗传资源材料出境证明等要求。
申办者向境外提供的临床试验数据是否会包含个人信息,甚至是敏感个人信息?通过比对《信息安全技术 个人信息安全规范》和《药物临床试验质量管理规范》对“敏感个人信息”和“源文件”的定义[2],不难发现临床试验的源文件涵盖受试者的敏感个人信息。虽然申办者接触到的临床试验数据是以受试者鉴认代码信息进行标记的,但该等信息尚未达到“匿名化处理”的程度,毕竟临床试验机构了解鉴认代码与受试者身份的对应关系,必要时,临床试验机构可以对相关数据进行揭盲,从而建立数据与某一具体受试者的对应关系。因此,可将临床试验数据视为“去标识化”的个人信息,并需要遵守《个人信息保护法》中有关个人信息跨境处理的规定,即向境外提供个人信息可通过安全评估、标准合同及个人信息保护认证三种法定途径实现。若将包含敏感个人信息的临床试验数据未经脱敏处理直接向境外传输,一旦自上年1月1日起已经累计向境外提供1万人敏感个人信息的,再向境外提供哪怕1条个人信息,也须向网信部门进行出境安全评估申报。对于管线研发能力活跃的创新药企而言,这一门槛数量较为常见。企业需要提前谋划应对方案,并判断是否可以避免或减少敏感个人信息的跨境传输,以降低触及安全评估申报的可能性。
(三)最优传输路径选择:订立标准合同
在MRCT场景下,若申办者同时符合下列情形,则可以选择订立国家网信办制定的个人信息出境标准合同(“标准合同”)向境外提供临床试验数据,免除申报数据出境安全评估程序:一是非CIIO;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。其中,“10万”和“1万”是指向境外提供个人信息所能识别或是关联到的个人信息主体数量,包括任何目的、形式下的跨境传输。此外,监管部门严禁申办者采取数量拆分等手段规避安全评估的法定要求。可以预见,通过订立标准合同的方式实现多中心临床数据跨境处理,将成为申办者最常采用以及合规成本较小的一种合法路径。
以笔者近期服务的一项MRCT项目为例。该试验采用的EDC系统及eCOA应用软件(App)供应商的母公司为境外主体,且EDC系统的服务器部署在境外,属于典型的数据出境情形。笔者对该供应商进行深入尽调,一方面了解该等供应商作为境外接收方的数据保护水平是否达到我国法律、行政法规的规定和强制性国家标准的要求,例如涉及向其他境外第三方再传输时的权责方案。另一方面核查eCOA App的合规性,例如eCOA App的隐私政策是否详述个人信息出境的安排;受试者登陆eCOA App时是否取得其同意个人信息出境的单独同意等。实践中,有时并非申办者作为数据处理者与境外接收方直接签署数据出境合同,而是由CRO与该等供应商签署。我们需要根据项目实际情况评估申办方、CRO及相关供应商之间的法律关系,例如哪一方是个人信息处理者,哪一方是受委托处理个人信息的,是否存在两个以上个人信息处理者共同决定个人信息的处理目的和方式的情形。
二、标准合同中申办者涉及哪些履约义务
面对强监管下的行政指导合同,申办者作为标准合同中的数据处理者,需承担哪些强制性义务?
(一)标准合同主要内容
合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,以及个人信息出境说明、双方约定的其他条款等两个附录。
(二)申办者作为个人信息处理者的义务
点击可查看大图
(三)标准合同适用的其他要点
点击可查看大图
(四)申办者如何证明自身妥善履约
标准合同规定由个人信息处理者承担标准合同条款的履约举证责任。根据该规定,如果个人信息处理者举证不能,就可能要面临被约谈或是被处罚的不利后果。这一制度安排,要求个人信息处理者作为合同一方必须做到全面履约、工作留痕,确保合规可见。
具体而言,申办者须依法开展个人信息保护影响评估,记录履行告知和取得同意等法定义务的过程。同时,申办者须监督境外接收方采取必要的技术和管理措施,定期查阅境外接收方的数据文件和文档,适时对其数据处理活动开展合规审计,并要求境外接收方对个人信息处理活动进行记录并保存至少3年。
(五)个人数据保护协议(PDPA)如何与标准合同互补
笔者曾在协助中国客户处理其与境外合作伙伴的数据跨境传输合规事项时,参与个人数据保护协议(Personal Data Protection Agreement,“PDPA”)的起草与谈判,以完善双方在数据跨境传输方面的义务。在PDPA中,除签署标准合同之外,在不构成内容冲突的情况下,双方还可以就境外合作伙伴法域的数据传输合规、数据安全合规培训及保密义务、境外合作伙伴向其所在其他法域的集团公司传输数据时应履行的义务等事项上作出进一步约定。
点击可查看大图
三、数据出境风险自评估/个人信息保护影响评估要点
(一)在申报数据出境安全评估前如何开展数据出境风险自评估
数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:一是数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;二是出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;三是境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;四是数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;六是其他可能影响数据出境安全的事项。
结合北京友谊医院的案例,该院着重论证了数据出境的必要性。作为借鉴,申办者可以重点对MRCT项目的科学意义和产出价值进行深入评估,尤其对数据出境与项目实施和产出之间的关系进行分析,从而得出数据出境具有必要性的结论。
(二)在签署标准合同的同时如何开展个人信息保护影响评估
个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。
如何评估境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响呢?参考欧盟数据保护委员会(EDPB)相关建议及其生效后部分实践,至少需要考虑以下因素:(1)当地现行的个人信息保护法律法规;(2)加入区域或全球个人信息保护组织或做出相关国际承诺的情况;(3)当地落实个人信息保护的机制;(4)当地行政、监管或司法程序等要求调取个人信息的情况;(5)个人信息主体在当地寻求司法救济的可行性等[3]。
四、创新药企如何建设数据合规管理体系
纵观《药物临床试验质量管理规范》的有关规定,申办者作为临床试验的发起组织者、经费提供者和数据质量的最终责任人,是临床试验的重要主体。一旦因为申办者建立的质量管理体系不完善导致临床数据缺失、错误、泄漏等,将无法保证数据质量,进而影响药物临床试验全局。与此同时,根据《药品注册核查检验启动工作程序(试行)》的有关规定,临床试验数据真实性、可靠性和完整性方面的瑕疵,将使得监管机构启动药品注册核查,并基于药物临床试验现场启动注册核查的风险等级判定结果进行风险等级标注。《药品注册核查要点与判定原则(药物临床试验)(试行)》中明确规定经核查确认的下述情形认定为“不通过”:隐瞒试验数据,无合理解释地弃用试验数据,以其他方式违反试验方案选择性使用试验数据;故意损毁、隐匿临床试验数据或者数据存储介质等。此外,越来越多的企业在上市审核过程中收到数据合规相关问题的询问,包括既有数据及新增数据获取来源的合法合规性,以及企业数据合规管理制度建设及技术保障措施落实情况等。为此,创新药企可着力在以下方面实施数据安全合规建设:
一是在外部专业机构的帮助下开展数据合规尽调和风险排查,就业务场景、数据类别、安全技术措施和等保级别等信息进行梳理。在此基础上搭建数据合规内控体系,包括(1)各部门数据合规管理职责,尤其是健康医疗数据安全负责人及其管理部门制度;(2)数据合规内控管理制度体系,例如数据分类分级、网络及数据安全风险评估机制、数据安全事件应急预案、医疗数据及个人信息出境等制度;(3)各类数据合规文本,例如各具体应用场景的数据清单、内部数据处理记录模板、隐私声明模板、跨境传输自评估报告、数据跨境传输协议模板等,以期能从业务合同签订到实际业务操作给予企业人员明确的指引,降低企业违规的风险。
二是定期对重要的或新发的数据处理活动实施风险评估。借鉴《个人信息保护法》项下规定的个人信息安全影响评估(Personal Information Security Impact Assessment,“PIA”),根据与业务相关的数据应用场景及流转链路,模拟处理流程和潜在安全风险,主动出击设计应对措施。同时,须做好服务供应商管理,确保其符合国家和行业规定及要求,建立起各方相互匹配的数据安全管理、个人信息保护和应急响应管理机制。
三是重点夯实与企业主营业务相关的数据合规基础。如针对健康医疗数据跨境传输与共享,对于必须本地化处理的数据,应当做好相应的技术准备。提前了解境外接收方所在地区的数据保护政策,并在标准合同的基础上,起草更为完善和定制化的个人数据保护协议,对双方义务进行更详尽明晰的约定,从而降低合规成本以及项目延期的风险。与此同时,及时关注主管部门后续发布的监管细则,有效、快速、随时应对监管举措。必要时,企业也可咨询相关法域的法律专业人士。
在《网络安全法》《数据安全法》《个人信息保护法》等通用领域数据合规立法、健康医疗数据行业立规的大背景下,生物医药企业面临的合规监管态势日趋严峻,应当尽早谋划,做好数据合规应对。
[注]