临床试验数据跨境传输之法律规制——以中国及澳大利亚为例

doi:10.12677/ds.2024.104222

期刊菜单

临床试验数据跨境传输之法律规制——以中国及澳大利亚为例
Legal Regulation of Cross-Border Export of Clinical Trial Data—Taking China and Australia as Examples

DOI: 10.12677/ds.2024.104222, PDF, HTML, XML,
作者: 朱诗雨：华东政法大学经济法学院，上海
关键词: 数据跨境；临床试验数据；数据合规；个人信息保护；Data Cross-Border Transfer； Clinical Trail Data； Data Compliance； Protection of Personal Information

摘要: 在国民健康水平逐渐成为经济增长重要推手的时代，国家政策、资金均逐渐倾斜向医疗及创新药研发领域，这一领域中，药品注册及合作研发都需要大量临床试验数据作为基础支撑。在我国数据合规法律体系下，临床试验数据不能被简单地划分为某一类被完整定义的数据，而应当根据处理主体、信息内容的不同进行分类讨论；在与境外特定国家间的数据传输过程中，由于不同法域法律规定层面的差异，如何保证传输的双边合规也有待进一步讨论。本文尝试在厘清境内临床试验数据合规体系的基础上，通过与境外法规的对比，分析数据在跨境传输中能满足双边国家法律要求的方式，管窥未来立法趋势，为医药企业提供数据跨境合规的思路参考。

Abstract: In an era when national health has gradually become an important driver of economic growth, national policies and funds are gradually tilted towards the field of medical and innovative drug research and development, in which drug registration and cooperative research and development require a large number of clinical trial data as basic support. Under China’s data compliance legal system, clinical trial data cannot be simply divided into a certain type of data that is completely defined, but should be classified and discussed according to the different processing subjects and information content. In the process of data transfer with specific overseas countries, due to the differences in the legal requirements of different jurisdictions, how to ensure the bilateral compliance of the transfer also needs to be further discussed. On the basis of clarifying the compliance system of domestic clinical trial data, this paper attempts to analyze the ways in which data can meet the legal requirements of bilateral countries in cross-border transmission through comparison with overseas regulations, explore the future legislative trend, and provide a reference for pharmaceutical companies to achieve cross-border data compliance.

文章引用：朱诗雨. 临床试验数据跨境传输之法律规制——以中国及澳大利亚为例[J]. 争议解决, 2024, 10(4): 233-237. https://doi.org/10.12677/ds.2024.104222

1. 问题的提出

跨境传输临床实验数据涉及到各国的法律、监管和隐私保护等多个方面，如美国临床试验数据的跨境传输受到《健康保险可移植性和责任法》(HIPAA)的保护，HIPAA致力于确保医疗信息的安全和隐私，要求在将个人健康信息传输到国外的进程中对信息进行类似于美国水平的隐私保护；而欧盟则实施了《通用数据保护条例》(GDPR)，其适用于个人数据的跨境传输，其中就包括临床试验数据；其余大多数非欧盟国家，对于数据传输也提出了确保数据受到国内类似水平的保护的要求。我国目前已初步建成数据跨境合规法律体系，框架性法律文件分别为：《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，上述三法并称“三驾马车” [1] ，其所构成的数据安全保护体系依信息收集主体和信息类别进行分类，为不同信息进行跨境传输设定了不同的监管路径。其构成大致如下(见图1)：

Figure 1. Legal normative system for cross-border data transmission in China

图1. 我国数据跨境传输法律规范体系

在上述信息分类下，以中国作为数据输出方的合规路径已初具雏形。但当把视角限缩至临床试验数据领域，则不难发现：作为数据输出方而言，临床试验数据应当归为上述信息中的哪一类，从而采取何等传输路径能够保证合规，依据简单的法律规定无法给出准确详尽的结论。与此同时，由于数据跨境往往是双边来往行为，且各国监管态度及法律规定大相径庭，境外数据出境可能也存在法律或事实层面的输出难、接收成本高等问题。为便利医药企业顺利推进药品注册申请(NDA)、跨境申报新药临床试验申请(IND)、海外上市及其他国内外的合作，尽快从法律层面厘清双边国家法规的对接口径乃至在立法层面尽快制定推进数据低障碍传输的规则都日益显现出其紧迫性、重要性。

2. 向境外输出：临床试验数据跨境在我国法律语境下的定位与合规路径

(一) 临床试验数据的定义

为了给临床实验数据寻找到最合适的传输路径，首先应对其进行合理且详尽的分类；而要进行详细分类，首先需要树立对临床试验数据最清晰权威的定义。根据国家药品监督管理局与国家卫生健康委员会联合发布的《药物临床试验质量管理规范》，临床试验数据是源文件的组成部分，主要包括“医院病历……受试者文件，药房、实验室和医技部门保存的临床试验相关的文件和记录”，也包括“临床试验中的原始记录或者核证副本上记载的所有信息”。¹

(二) 临床试验数据的境外传输应如何适用我国法律

从定义来看，临床试验数据并不能被完全包含于数据保护体系中的某一种类当中，应当依照具体内容进行区分，笔者在综合研究各法律规定的集合关系后，提出分类观点如下：

(1) 国家机关处理的临床试验数据：等同于重要数据

在我国数据分级分类的保护制度下，作为介于核心数据和一般数据之间的重要数据成为需要重点关注的法律概念 [2] ，并不严格限制输出，但由于数据本身的特殊性故对于输出设定了严格的门槛——此即安全评估。

2023年，我国新颁布的《人类遗传资源管理条例实施细则》第二条²明确将临床数据排除在需要通过严格的安全评估才能跨境传输的遗传资源信息之外，但这并不意味着临床试验数据的跨境完全不可能适用安全评估路径——根据《个人信息保护法》，由国家机关所处理的特定数据(包括个人信息数据)跨境均需适用安全评估，而临床试验数据则是典型的个人信息数据，这一数据类型中由国家机关处理的，需要通过统一安全评估才能进行跨境传输。

(2) 个人因生病医治等产生的记录：个人敏感信息

根据《信息安全技术–个人信息安全规范》，个人因生病医治等产生的记录(主要包括病症、检验报告、药物食物过敏信息以往病史等)，构成个人敏感信息。个人敏感信息依处理数量是否在自上年1月1日至今满1万人被分为两类，其中：满一万人的同重要数据一样强制适用安全评估以跨境传输，不满一万人的则在具体操作情景中由数据处理者自行选择个人保护信息认证或订立标准合同进行。

个人信息保护认证是针对不适用安全评估的个人信息(包括一般信息和敏感信息)所设计的跨境路径，申请跨境传输数据的主体需要与境外接收方约定并共同遵守同一个人信息跨境处理之规则，并向适格的认证机构申请认证。临床实验数据中，受试者的性别、姓名、病例、检验报告、食药物过敏信息及以往病史等都可以采用这一合规手段实现跨境传输。

标准合同系平行于个人信息保护认证的跨境方式，其主要是针对限定数量下的个人信息及个人敏感信息设定的跨境路径。所谓标准合同路径，即由信息处理者和接收方按照《个人信息出境标准合同办法》附件订立标准合同，并在合同生效之日起10个工作日内向省级网信部门备案的跨境方式。

(3) 其他临床试验数据：个人信息

没有落入上述范围的其他临床实验数据也可能可以被归入个人信息的范畴，具体到临床试验数据领域涉及面较窄，主要包括姓名、性别等，此类别的数据跨境传输路径选择与未达一定数量的个人信息或个人敏感信息的选择大致相同，其中，仅有处理“由处理100万人以上个人信息的数据处理者提供”的数据的需要强制适用安全评估，其余同样是在个人信息保护认证和标准合同中二选其一。

3. 向境内输入：澳大利亚临床试验数据跨境流动规则

(一) 澳大利亚数据合规法律体系

澳大利亚现行数据跨境治理的基本法律制度架构主要由《澳大利亚隐私法》(Privacy Act1988，下称“隐私法”)和《澳大利亚隐私原则指南》(the Australian privacy principles，下称“指南”)组成。上述法律并未涉及对临床试验数据的专门性规定，而采取的是对“个人信息”(已识别个人或可合理识别的个人的信息或意见)统一规定的立法模式。其中，仅《隐私法》具有正式立法地位，《指南》作为“原则”其并不具备上述地位，但作为隐私专员对《澳大利亚隐私法》关键条款的解读，加之《隐私法》在Schedule 1的第三部分——处理个人信息当中，正式采用了“披露”(disclosure)的概念，规定当数据处理方向海外接收方进行个人信息披露前，必须要采取合理措施确定数据接收方不会违反《澳大利亚隐私原则指南》(“指南”)的要求，只要符合《指南》的规定，数据收集与处理方就可以向海外传输数据，可见《指南》在隐私保护的法律实践中的重要意义。

《指南》在个人信息的海外披露一节同样没有做具体的程序规定，只是沿用了《隐私法》的表述，要求当是数据处理方向海外接收方进行个人信息披露前，必须要采取合理措施确定数据接收方不会违反《指南》的要求，但列举了部分除外情况，如信息接收方对信息能够进行类似于澳大利亚水平的隐私保护、数据主体有可行的法律保护、数据主体在被明确告知后仍同意数据披露、根据国际协议要求共享等，上述情况下，数据可以在不完全满足其他章节的个人信息处理规则时进行跨境传输。

(二) 澳大利亚临床试验数据向中国境内传输的困境及解决措施

(1) 获取个人同意的不确定性

《指南》第6.1条第(a)款规定，能够披露个人信息的条件右二，其一为取得数据主体同意。就临床试验数据而言，受试者往往呈现数量多、分布范围广、群体多样性强的特征，如果事后再逐个征求受试者同意，将要耗费的时间、人力及资金成本都较大，且由于这类数据与个人健康状况、个人基因状况等隐私问题有较强关联，能否取得个人同意不确定性较大。在这一语境下，需要测试机构在试验前与受试者沟通环节就详细说明试验数据的使用和披露情况，并尽量取得由受试者签字确认的同意函，并同时就特定实验扩大受试群体的选择，以保证在过滤需保密信息后能用于分析和处理的数据的绝对数量。

(2) 其他可传输路径要求的严格性或模糊性

《指南》第6.1条第(b)款规定，若未能取得数据主体同意，也有部分例外情况支持数据处理方跨境传输数据：如法律强制行为所必须、澳大利亚法院命令、相关信息为与主要目的(primary purpose)相关的敏感或非敏感数据、作为组织的数据接收方在受允许的情境下进行数据传输。

可见，《指南》能够为澳大利亚的机构向外进行数据传输所开放的口径较窄，特别是就临床试验数据而言，想要在“强制执行”或“法院命令”的层面切入可能性微乎其微，而转而选择“与主要目的相关”或“受允许”的路径，则又因为法律规定不清晰可能导致实践中出现操作性低或事后被认定不合规风险大的问题。

就上述困境而言，要求澳大利亚数据处理方在数据传输之前与当地监管机构进行充分沟通，不能通过对法律条款的自我解读而径行做出相关数据能否对外传输的结论，否则可能面临的事后数据不合规风险较大。

4. 我国临床试验数据合规的未来立法方向

(一) 恒平科学研究和国家及个人安全保护

由于立法意图、立法目的、法律体例上的差异，中国的数据合规监管势必要走区别于数据霸权、商业主义的道路，就目前法律规范的数量、规范覆盖面等因素而言，对数据跨境监管也在事实上呈现规范化、严格化的趋势。通过我国及澳大利亚数据输出法律的梳理，至少有两个明显可见的立法倾向：我国并未采取对数据种类进行细致分类的立法方式，而是把更多的权力和责任调配到监管层面，如重要数据需要通过的“安全评估”，这一方式实际是为数据的传出设立了一个最权威最安全的最后防线，但可能使得评估机构工作数量提升，效率无法保证；诚然，个人信息保护在国家安全主权的巩固方面有着无可辩驳的重要性，但综合欧盟的立法选择而言，临床试验数据作为医药行业产品研发、技术发展及药品注册申请之根基，充分交流仍然是行业创新发展不可规避的路径。站在国际视野之下，国内立法对数据流动仍要在避免绝对本地化以促进科学研究和产业发展同个人信息和国家安全保护的利益上两相恒平 [3] ，具体可以通过为部分受信任主体设定较严格的认定门槛和较流畅的传输流程等方式进行。

(二) 与国际规则接轨

在参与国际规则方面，澳大利亚隐私法与欧盟指令基本兼容，区别在于，澳大利亚规定了年营业额低于300万澳元的小型企业可以免除运营者及雇员的信息留存等责任 [4] 。澳大利亚已参与APEC，为APEC成员，其现有数据隐私保护等立法均在APEC隐私框架下制定，总体与APEC隐私原则保持一致。另外，在美欧有着立法方式、数据法治观念上较大差异的前提下，双方通过订立协议，统一了其对于两国间数据传输的认知和规则范式，数据流通困难得到了大幅的缩减，同时由于设定了同等保护、采取补救措施等手段，且美国通过协定做出了隐私保护的承诺，个人信息的安全也在自由流通下得到了保障。推而广之，如果在国际层面也能够尽早在国家间形成如《数据隐私框架原则》的数据交换协议，减少不必要障碍、提高流通效率的同时也能更进一步实现对数据安全的保护 [5] 。

NOTES

¹参见《药物临床试验质量管理规范》，国家药监局公告2020年第57号。

²参见《人类遗传资源管理条例实施细则》，2023年科学技术部令第21号。

参考文献

[1]	梁燕妮. 企业数据合规治理: 从个人数据保护到跨境数据流动[J]. 社会科学家, 2023(12): 81-85.
[2]	郭壬癸, 胡延杰. 重要数据出境安全评估制度的偏离与修正[J]. 科技与法律, 2024(1): 43-53.
[3]	田广兰. 大数据时代的数据主体权利及其未决问题——以欧盟《一般数据保护条例》为分析对象[J]. 中国人民大学学报, 2023, 34(6): 131-141.
[4]	伦一. 澳大利亚跨境数据流动实践及启示[J]. 信息安全与通信保密, 2017(5): 25-32.
[5]	单文华, 邓娜. 从“数据隐私框架”看欧美数据跨境流动的规则博弈[J]. 太平洋学报, 2024, 32(1): 44-56.

为你推荐

友情链接