严格遵守法规要求 保证数据出境安全（上）

□ 刘展 吴骏坤

医药企业因其所在行业性质和业务属性，通常需要掌握和处理大量数据和个人信息。近年来，我国出台一系列法律法规及指导性文件，从人类遗传资源保护、数据安全、个人信息保护等多个维度对数据的出境进行监管。医药企业需要不断学习并跟随监管的最新趋势，完善其内控体系，按要求办理各项监管所需申报程序，以期更为合规高效地开展相关业务。

本文结合近期立法与监管动态，围绕人类遗传资源保护及数据安全两个维度，讨论医药企业数据治理中涉及数据出境的监管问题。

人类遗传资源监管要求

人类遗传资源监管是医药行业在临床试验等诸多场景下可能涉及的监管之一。涉及人类遗传资源的数据跨境传输场景中都可能触发人类遗传资源的监管和申办手续。

监管体系及监管要点

1998年，《人类遗传资源管理暂行办法》发布。2019年，国务院颁布了《中华人民共和国人类遗传资源管理条例》（2024年予以修订，以下简称《条例》）。之后科技部和中国人类遗传资源管理办公室发布了相关指南和问答等形式的文件。2023年，科技部发布《人类遗传资源管理条例实施细则》（以下简称《实施细则》）。2024年，新修订的《条例》将人类遗传资源的管理部门由国务院科学技术行政部门调整为国务院卫生健康主管部门。上述法规及配套文件构筑了我国关于人类遗传资源管理的主要监管体系。

根据《条例》《实施细则》及相关指南，人类遗传资源的定义如下。

人类遗传资源：包括人类遗传资源材料和人类遗传资源信息。

人类遗传资源材料：是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。

人类遗传资源信息：是指利用人类遗传资源材料产生的数据等信息资料。包括利用人类遗传资源材料产生的人类基因、基因组数据等信息资料，不包括临床数据、影像数据、蛋白质数据和代谢数据。根据科技部既往发布的相关指南，人类遗传资源信息包括基因、基因组、转录组、表观组及ctDNA等核酸类生物标志物等数据信息，以及与此数据相关的疾病、人种等关联信息。

人类遗传资源的一大管理要点是对于有外方单位参与情况的监管。设立于境外的主体及满足相关标准的境内主体亦可以构成外方单位。在人类遗传资源信息等相关数据需要跨境传输的情况下，通常会触发涉及外方单位的相关行政许可/备案手续。

根据《条例》，外方单位不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。

对于外方单位自身而言，较为常见的人类遗传资源出境途径则为国际科学研究合作行政许可或国际合作临床试验备案。这一情况主要发生在临床试验（如国际多中心临床试验）等场景下。如满足以下条件，则仅需办理国际合作临床试验备案；反之，则需要办理国际科学研究合作行政许可：一是为取得相关药品和医疗器械在我国上市许可，二是在临床医疗卫生机构利用我国人类遗传资源开展国际合作临床试验，三是不涉及人类遗传资源材料出境。同时，还应满足以下两个条件之一：涉及的人类遗传资源采集、检测、分析和剩余人类遗传资源材料处理等在临床医疗卫生机构内进行；涉及的人类遗传资源在临床医疗卫生机构内采集，并由相关药品和医疗器械上市许可临床试验方案指定的境内单位进行检测、分析和剩余样本处理。

此外，对于相关临床试验涉及的探索性研究部分，仍应当申请人类遗传资源国际科学研究合作行政许可。

如果系中方单位向外方单位对外提供或开放使用中国人类遗传资源信息，则应向国家有关部门事先报告并提交信息备份。需要注意的是，此种情况还有一种特殊情形，即如可能影响我国公众健康、国家安全和社会公共利益的，应当通过国家有关部门组织的安全审查。应当开展安全审查的情形包括：采集重要遗传家系的人类遗传资源信息；采集特定地区的人类遗传资源信息等。

企业应完善其合规体系和制度

医药企业对于涉及人类遗传资源的信息、数据出境，也应相应完善其合规体系和制度。可从以下三方面考虑。

一是强化专门负责人类遗传资源管理的部门/负责人员的职能，设置必要的制度与流程（SOPs），在临床试验等业务场景中放置人类遗传资源板块的审核和业务流程。

二是重视License-out（许可输出）等传统临床试验以外环节的数据跨境传输场景。在境内企业向境外被许可方提供处于上市前阶段的药品许可时，如涉及相应向被许可方提供临床试验阶段的各项数据，可能触发人类遗传资源的对外提供机制。

三是做好跨部门、跨监管维度的协调统筹。在医药企业项目的审核及实施过程中，不同业务部门需要共享相关信息并做好联动，对项目未来时间线中的各个维度予以前瞻式的统筹安排。

数据安全监管要求

除人类遗传资源监管外，我国在数据安全领域对于包括可能涉及数据出境的相关环节也有相应监管要求。

监管体系及监管要点

我国已经建立了以《中华人民共和国网络安全法》（以下简称《网络安全法》）《中华人民共和国数据安全法》（以下简称《数据安全法》）及《中华人民共和国个人信息保护法》为基准的“三驾马车”机制，并在此基础上延伸拓展出若干法律法规及规则，设立了特殊的监管体系。

2024年，上海市委网信办公布了一项处罚案例，被处罚企业主要从事医疗领域教育培训的技术开发服务。该企业的内部生产测试系统部署于云服务平台，其中存储了大量境内的个人信息数据，包含姓名、单位名称、手机号（已采取加密措施）等。上海市委网信办披露，该系统没有采取有效网络安全防护措施，存在未授权访问漏洞，网络和数据安全管理制度不完善，网络日志留存不足6个月，造成数据泄漏被境外窃取，违反了《数据安全法》第二十七条规定。需要注意的是，对于数据出境的形式，《数据出境安全评估申报指南（第二版）》明确，数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出属于数据出境行为的情况之一。尽管这一案例并非“主动”性的数据出境行为，但同样提示医药企业需要对数据治理问题，特别是对可能存在的“非主动”跨境传输/访问给予高度关注。

《数据安全法》第二十七条要求，开展数据处理活动，应当建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。《网络安全法》也对网络运营者提出相同方面的要求。

企业应建立各项管理制度

从企业数据治理角度看，并非严守数据出境程序的通路要求即可“万事无忧”，医药企业也应在前置环节制定好各项管理制度。可考虑以下五方面。

一是建立企业的数据分类与分级制度。医药企业可以参考近年来国家发布的各项指导性文件，特别是于2021年发布的《网络安全标准实践指南——网络数据分类分级指引》以及于2024年公布的《数据安全技术 数据分类分级规则》。在数据分类上，可以根据业务需求，明确数据的类型予以区分（例如个人信息、商业秘密等）。在数据分级上，根据数据的重要性和敏感性进行分级管理，确保不同级别的数据采取不同的保护措施。遵循相关规则中的“点面结合”“动态更新”等原则，基于对应数据的特性和企业技术的实际情况，医药企业需要就此投入资源。

二是设置有效的技术防护措施。医药企业可以在数据传输和存储环节进行加密处理；实施严格的访问控制策略，确保只有获得授权的人员可以访问相关数据，比如实施多因素身份验证（MFA）并据此设立严格的用户权限；对内部网络进行分段隔离处理，在远程访问场景下使用安全的VPN连接；建立数据备份与恢复体系，定期对重要数据进行备份。

三是建立数据访问以及传输的监控与内部/外部审计机制，并可参照2025年2月公布的《个人信息保护合规审计管理办法》等相关法规，及时发现和处置异常行为；此外，医药企业还可以设置安全事件的响应机制。

四是在数据处理和存储过程中进行数据的脱敏处理，并尽可能地采用去标识化/匿名化技术；在数据出境环节设立相应的审批机制和流程，明确数据出境的标准以及对应的负责人及其权限。

五是加强员工的安全培训和宣传，使不同岗位的员工了解数据安全的重要性，并严守其岗位对应的红线。

（作者单位：环球律师事务所）