得益于药品上市许可持有人制度确立、药品审评审批制度改革、专利链接制度建立、医保准入机制优化以及“三医(医保、医疗、医药)联动”等一系列制度改革,同时以港交所18A、科创板、北交所为代表的创新融资渠道的通畅,中国创新药产业在过去十年间获得了举世瞩目的成就,实现了从国内市场竞争到面向全球市场竞争的巨大跨越,产业总体实力显著提升,最终获批成药的药品数量大幅增加且药效良好,在研药物的研发质量与商业前景大幅提高,已经成为全球药物研发的主力军之一:
- 在研新药管线数量全球领先:截至2024年8月,中国研新药管线数量达5,380项,占全球36%,仅次于美国(5,397项) 1。2024年全球研发管线规模TOP25企业中,中国占据4席,恒瑞医药以147个管线药物跻身全球第八 2。
- 首创新药(FIC)突破:中国FIC新药管线数量达1,762项,全球排名第二,仅次于美国 3。2024年相比于2021年,中国FIC药物数量从418项增至836项,实现翻倍增长 4。
- License-out交易激增:2024年,中国创新药License-out交易总额达519亿美元,企业收到的首付款达41亿美元 5;2025年第一季度对外许可交易的总金额达369.29亿美元,接近2023年全年水平 6。
中国创新药企业正在以各种方式参与药物研发全球化浪潮、对全球实现研发产能输出,包括:CXO业务、跨境并购及合资(包括NewCo模式及JV模式)、MRCT、跨境License-out项目后续的临床研究、跨境新药上市申请、药物警戒、上市后销售等各类业务场景,其中不少场景内均有境内实施的药物临床试验数据需要进行跨境传输。为此,本文重点分析境内获得的临床试验数据如何向境外进行传输的合规路径。
一、脱敏临床试验数据无法自由传输,仍然需要遵循知情同意原则
由于许可交易的流行,中国药企往往需要将在国内实施的I期、II期临床试验的受试者有关数据移交境外MNC,供其在后续开展的临床试验与商业化活动中参考。在传输这些数据时,有企业认为把这些数据的部分信息字段进行一定程度的脱敏处理(例如使用患者代码并隐去姓名、身份证号等信息)后就可以得到可自由跨境传输的数据。这种做法实际上是错误的,其错误在于混淆了“匿名化”与“去标识化”的区别。《个人信息保护法》(“个保法”)对匿名化数据要求较高,要求其具备无法识别特定自然人且不可复原的特性;而个保法对于去标识化处理后的数据要求较低,该数据仍能保留与个体数据的关联性。
在临床试验场景中,一般的脱敏数据仍保留与患者身份的映射关系,以方便“揭盲”的实现,不属于匿名化数据。根据个保法的规定,个人信息处理者向中国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。因此,临床试验数据的传输(无论是传输脱敏数据还是传输非脱敏数据),均需要遵守个保法对于个人信息跨境传输的要求。常见的要求包括:
- 受试者首先应当签署一份涉及个人信息出境的知情同意书;
- 在上述知情同意书之外,受试着还要签署临床试验知情同意书,该文件是受试者自愿参加药物或医疗器械临床试验的法定文件证明,其核心在于确保受试者在充分理解试验性质、风险与获益后自主做出决定。
为糅合两份同意书的内容,在临床试验阶段,可以尝试更新临床试验知情同意书模板,在与新受试者签署的新版知情同意书中补充告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并通过单列事项、单独勾选等方式取得受试者的单独同意。
如果涉及一般临床试验以外的临床试验数据跨境传输场景,需对已经签署的临床试验知情同意书或者关于个人信息跨境传输的知情同意书中的境外接收方信息进行变更,则须通过重新签署知情同意书或签署知情同意书补充协议等方式另外取得受试者的单独同意。
二、各地自贸区对于医药企业数据出境的特别规定
《网络安全法》、《数据安全法》与个保法一道构成了中国数据治理的“三驾马车”,明确了数据分类分级、安全评估、个人信息保护等基本原则。《促进和规范数据跨境流动规定》则进一步细化了数据出境规则,豁免部分场景(如不含个人信息或重要数据的国际贸易、跨境运输等),并设立自贸区负面清单制度。
各地蓬勃建设的自由贸易试验区负责各地放松政府管制措施的先行先试的举措,其中针对医药行业数据出境的管制一般都会适度宽松,包括提高了部分个人信息出境启动备案程序的数据量阈值,简化了有关备案流程等等。
考虑到目前自贸区建设有市区化、多中心化的趋势,不少生物医药产业园也升级为自贸区的组成之一。自贸区内的落户企业一定要查询当地自贸区是否有特殊的便利化规则。
目前大量自贸区出具了各自的数据负面清单管理办法以及负面清单,例如北京自贸区、上海自贸区及临港新片区、浙江自贸区、天津自贸区、海南自贸区等。不同自贸区根据本区特色选取了不同的行业,细化了该不同行业的细分场景、调整了触发不同监管路径的数据量阈值。例如浙江自贸区负面清单涵盖电子商务(企业对企业)行业、清结算行业,天津自贸区负面清单涵盖战略物资、自然资源和环境、工业、金融、统计、通信传播、住房建设、交通运输、公共卫生、公共安全、互联网服务和电子商务、科学技术等行业。北京自贸区及上海自贸区(包括临港新片区)的负面清单或配套操作指引涵盖了医药行业。
北京自贸区医药行业数据出境特殊规则
- 监管框架:负面清单较为详细地列明医药行业的需要通过数据出境安全评估或要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单。
- 细分场景:在医疗行业细分了临床试验、药物研发、诊疗服务、医疗卫生专业人士管理、药物警戒、产品投诉、医学问询、商业合作伙伴管理、不良反应报告等场景。
- 阈值调整:就医疗行业,需要通过数据出境安全评估的个人信息累计数值,有所提高(自当年1月1日起累计向境外提供5万人以上的受试者个人基本资料、诊疗和健康生理信息的,需通过数据出境安全评估);需要通过个人信息出境标准合同备案、个人信息保护认证出境的个人信息累计数值,与《促进和规范数据跨境流动规定》保持一致,未做突破。
上海自贸区及临港片区医药行业数据出境特殊规则
- 监管框架:构建“负面清单+操作指引” 7相结合的数据跨境流动新机制。操作指引会规定特定重点行业数据出境的操作推荐方案。
- 监管尺度:与北京规则体例类似,但大幅提高了类似场景的阈值。
- 上海自贸区临港片有意发布《生物医药领域数据出境操作指引(试行)》,目前已官宣了政策,但截止本文发布时,尚未发布政策正文。
虽然其他自贸区暂未出台医药行业数据出境的特殊规则,但可以尝试参照京沪自贸区试点规则的监管尺度尝试与这些自贸区进行沟通执行。
三、自贸区外医药企业进行数据出境的最佳实践
对于大多数企业而言,由于其并不位于自贸区内,因此需要按照全国统一实施的规则进行数据出境的评估或者备案程序。目前,业内已经形成了一套医药企业常规个人信息(如临床试验数据、影像数据)出境的最佳实践,包括:
- 与境外接收方签署《个人信息出境标准合同》(SCC),国家网信部门制定了该合同的样式;以及
- 完成个人信息保护影响评估(PIA)。
个人信息出境标准合同(SCC)
根据2024年3月新出台的《促进和规范数据跨境流动规定》,关键信息基础设施运营者 8以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。对于敏感个人信息而言,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
若新药研发的企业未被认定为关键信息基础设施运营者,不属于关键信息基础设施运营者,则无需据此承担数据出境安全评估义务。新药研发阶段的临床试验数据一般天然带有敏感个人信息,比如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏记录、生育信息、过往病史、诊治情况、家族病史、现病史、传染病史等信息等可能构成敏感个人信息中的医疗健康信息9;但临床试验涉及的个人信息一般难以超过一万人的数据量,因此订立个人信息出境标准合同或通过个人信息保护认证是临床试验数据出境的可选路径。
个人信息保护影响评估(PIA)
依据个保法规定,当个人信息处理者向境外提供个人信息时,必须事先进行个人信息保护影响评估,并对处理过程进行记录。此外,个人信息保护影响评估报告及处理过程的记录应至少保存三年。
从事新药研发的企业,为了确保数据出境活动的合规性,必须完成对个人信息保护影响的全面评估。这项评估工作至关重要,它有助于识别和减轻数据传输过程中可能对个人信息权益造成的风险。企业可以将个人信息出境标准合同与PIA报告一起提交给当地的网络信息办公室进行审查备案。备案工作是企业数据出境合规流程中的一个关键步骤,它有助于监管机构跟踪和监督数据的流动情况。此外,企业还需要对数据处理活动进行详细的记录,这些记录应包括数据传输的具体情况、时间、目的以及接收方的相关信息。为了确保在监管机构进行合规检查时能够提供充分的信息,企业应保存这些报告和记录至少三年。这样的保存期限可以确保企业有足够的时间应对可能的合规性审查,并且能够提供必要的历史数据以证明其数据处理活动的合法性。
四、红线规则——人类遗传资源法规特殊规定
人类遗传资源是生命科学领域的国家级“战略矿产”,包含种族特异性基因序列、疾病易感性等核心生物信息,若发生规模性泄露给境外国家特别是不友好国家,将威胁国家安全。如果对外传输的相关临床试验数据包含使用人类遗传资源信息(即利用人类遗传资源材料(含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料)产生的数据等信息资料,例如包括基因、基因组、转录组、表观组及ctDNA等核酸类生物标志物等数据信息,以及与此数据相关的疾病、人种信息等关联信息,相关企业需要评估是否需要提交向境外提供人类遗传资源信息的有关报告。
人类遗传资源相关法规要求向境外提供人类遗传资源信息时,需要进行事先报告并备份信息,并在备案有效期届满后六个月内由中外双方向卫健委提交合作研究情况报告。为鼓励国际临床试验,人类遗传资源法规为特定满足要求的国际临床试验 10提供了一定的便利通道,不再要求事先报告,仅要求在开展临床试验前将拟使用的人类遗传资源种类、数量及其用途向卫健委备案;已完成备案的国际合作临床试验实施过程中,如合作协议中已约定信息由合作双方使用,不需要单独事先报告和备份信息。
如果涉及到以下特殊情况的,卫健委还会进一步开展安全审查:(一)重要遗传家系的人类遗传资源信息;(二)特定地区的人类遗传资源信息;(三)人数大于500例的外显子组测序、基因组测序信息资源;(四)可能影响我国公众健康、国家安全和社会公共利益的其他情形 11。
五、结语
美国将中国视为最可能挑战其在全球医药领域领导者地位的主要竞争对手,采取了封锁部分核心数据库、审查对华部分医药投资、增加关税等各个维度的措施。其中,拜登政府签署的14117号行政命令将基因组数据、个人健康数据、生物识别数据等列为“敏感个人数据”,禁止或限制向“受关注国家”传输。而中国目前对临床试验数据跨境传输采取了更开放包容的态度,在受制于一定的监控措施下,临床试验数据即可向境外传输。
本文旨在为如何合规地安排临床试验数据进行出境提供一份框架性指引。鉴于临床研究项目的数据类型、传输目的、接收方所在地、境内主体所在地等具体情况千差万别,本文并未穷尽数据出境的全部内容。企业在规划自身临床试验数据出境具体方案时,应结合自身项目的具体特征进行客观评估。
Footnotes
1. 数据来源:财信证券研究报告《医药生物行业深度研究报告:聚焦创新药产业链,静待消费医疗改善》,访问链接:https://pdf.dfcfw.com/pdf/H3_AP202501211642409465_1.pdf?1737482862000.pdf,访问日期:2025年5月15日。
2. 数据来源:Citeline《2024年医药研发趋势年度回顾白皮书》,访问链接:https://runwise.oss-accelerate.aliyuncs.com/sites/15/2024/06/%E5%88%9B%E6%96%B0%E7%A0%94%E6%8A%A5%EF%BD%9C2024%E5%8C%BB%E8%8D%AF%E7%A0%94%E5%8F%91%E8%B6%8B%E5%8A%BF%E5%B9%B4%E5%BA%A6%E5%9B%9E%E9%A1%BE%E7%99%BD%E7%9A%AE%E4%B9%A6_Citeline.pdf,访问日期:2025年5月15日。
3. 数据来源:同上。
4. 数据来源:东吴证券研究报告《国产创新药颇具全球竞争力,出海为大方向》,访问链接:https://pdf.dfcfw.com/pdf/H3_AP202409141639886161_1.pdf?1726330863000.pdf,访问日期:2025年5月15日。
5. 数据来源:环球网财经综合报道“从EASL2025看中国创新药的全球影响力”,访问链接:https://finance.sina.com.cn/jjxw/2025-05-10/doc-inevzyqy3406506.shtml?froms=ggmp,访问日期:2025年5月15日。
6. 数据来源:医药魔方《2025年Q1医药交易趋势分析》,访问链接:https://www.163.com/dy/article/JU2E39590534Q32Z.htm,访问日期:2025年5月15日。
7. 《中国(上海)自由贸易试验区临港新片区生物医药领域数据出境操作指引(试行)》、《中国(上海)自由贸易试验区临港新片区再保险领域数据出境操作指引(试行)》、《中国(上海)自由贸易试验区临港新片区国际航运领域数据出境操作指引(试行)》。
8. 根据《关键信息基础设施安全保护条例》,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
9. 根据《个人信息保护法》,敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。敏感个人信息的具体类型及判定参见《GB/T 35273-2020信息安全技术 个人信息安全规范》。
10. 根据《人类遗传资源管理条例(2024修订)》及《人类遗传资源管理条例实施细则》,为取得相关药品和医疗器械在我国上市许可,在临床医疗卫生机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,不需要批准,但应当符合下列情况之一,并在开展临床试验前将拟使用的人类遗传资源种类、数量及其用途向国务院卫生健康主管部门备案:(一)涉及的人类遗传资源采集、检测、分析和剩余人类遗传资源材料处理等在临床医疗卫生机构内进行;(二)涉及的人类遗传资源在临床医疗卫生机构内采集,并由相关药品和医疗器械上市许可临床试验方案指定的境内单位进行检测、分析和剩余样本处理。
11. 根据《人类遗传资源管理条例(2024修订)》及《人类遗传资源管理条例实施细则》,将人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用,可能影响我国公众健康、国家安全和社会公共利益的,应当通过国务院卫生健康主管部门组织的安全审查。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
