文/本刊记者王晶
近期,随着数据跨境传输监管政策的调整,跨国医疗企业在数据传输方面面临新的合规挑战。为了帮助这些企业以及从事投资或BD(商务拓展)交易的创新药企有效应对数据跨境流通中的难题,提前做好数据跨境业务的规划,并制定相应的合规风险应对措施,以确保企业跨国业务的顺利进行,本刊访问了医药行业领域的法律专家朱意。在专访中,我们就如何提升数据跨境传输的合规性、安全性与效率等问题进行了深入探讨。
朱意是美国威斯康星大学法学院的杰出校友,她以优异的成绩获得J.D.(法律博士)学位,并取得纽约及威斯康星州的律师执照。在职业生涯中,朱意曾在多家国际律师事务所任职,积累了丰富的法律实务经验。如今,她担任某著名跨国生物制药公司的中国区法务负责人,凭借对医药行业的法务合规工作的深刻理解和丰富经验,为公司在复杂多变的法律环境中保驾护航。
数据跨境传输在大型跨国药企的全球化运营模式和管理体系中占据重要地位,它是总部与各国分支机构之间沟通的桥梁和纽带。然而,数据跨境流动始终是数据合规的难点所在,潜在风险不容忽视。随着《网络安全法》《数据安全法》和《个人信息保护法》等法律法规的相继出台,数据的跨境传输面临着一系列严格的合规要求。特别是在医疗健康领域,个人信息因其高度敏感和隐私性而备受关注。朱意建议,跨国药企在进行跨境数据传输时,应首先全面了解不同场景下的合规要点,如数据传输的目的、范围、接收方等。在此基础上,结合企业自身的业务需求,制定切实可行的应对策略和执行方案。
在我们日常工作中,在遇到需要进行数据跨境传输的情况时,首要任务是对数据的场景类型仔细甄别。据了解,大型跨国医疗企业在经营过程中,经常会遇到的数据跨境场景通常包括六大类:临床试验和研发业务数据、药物警戒业务数据,医疗卫生专业人员交流业务数据、医学问询业务数据、商业合作伙伴管理业务数据,以及人力资源管理业务数据。
每类跨境数据都有严格的界定标准。在处理这些数据时,首先需要准确判定数据所属的场景类型,然后评估数据跨境传输的必要性,并根据相应的合规审核机制进行数据跨境申报工作。
朱意以跨国药企参与的国际临床试验为例,详细阐述了数据跨境传输的合规流程。她指出,作为国际多中心临床试验的境内参与方,跨国药企需要跨境共享临床试验相关的受试者和研究者信息,以实现药品的全球同步研发和注册申请。这些信息包括临床试验和研发相关数据,如受试者、研究者的个人信息,以及多中心临床试验、真实世界研究等试验数据。由于其中涉及敏感个人信息,如医疗数据,数据处理者在收集和处理这些信息时,必须严格遵守《个人信息保护法》中关于处理敏感个人信息的规定,并提前进行个人信息保护影响评估。同时,对于涉及跨境提供的数据,境内数据提供者还需确保符合《个人信息保护法》中关于个人信息跨境提供的规定。在满足数据合规的前提下,还需进一步评估和落实出境方与入境方的技术保障措施及其管理制度措施的充分性和完善性。最后,结合数据出境安全评估文件及其他相关文件的要求,准备完整的申报文件,以进行跨境数据传输审批。
针对目前医疗数据跨境的难点,朱意表示主要在于如何满足跨境合规性的同时,还能适应不同业务场景的需求。在合规性层面,我国关于医疗数据跨境的监管要求分散在多个部门和法律法规中,缺乏明确统一的规定。这导致同一数据处理主体的医疗数据跨境可能面临多重法规的监管,无疑增加了医疗数据跨境应用的难度。此外,朱意还指出,虽然众多法律法规都提及医疗数据跨境需要进行安全评估,但针对具体医疗场景的跨境数据安全评估的量化标准尚待明确。
在谈及数据使用场景和业务时,朱意特别提到了《信息安全技术健康医疗数据安全指南》中列举的典型医疗数据应用场景,这些场景均涉及跨境数据交互。她指出,在不同的跨境场景中,需要交互的数据种类、数量以及数据主体、使用方式、使用范围、使用时长、使用主体和使用目的等要素各不相同。朱意强调,在确保数据跨境合规性的前提下,如何满足不同数据使用场景和业务对数据的需求,成为一个亟待解决的问题。
企业在处理数据跨境传输时,应从自身的业务模式出发,有针对性地遵循《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规的要求,积极开展数据跨境合规工作。结合在工作中的实践,朱意针对上述跨境数据传输场景及医疗数据跨境合规的难点,建议企业可通过建立数据清单、实施数据分级保护,建立数据出境内部合规审查机制,数据出境前的风险评估合规审查,数据出境后安全管理合规审查等方式来解决。
在采访的尾声,朱意坦言,数据的跨境传输已逐渐成为众多跨国医药企业不可或缺的商业需求。随着数据保护和安全立法的不断完善,以及监管力度的日益加强,跨国医疗企业应更加重视数据合规,结合企业自身的实际情况,从技术和管理两个层面出发,构建合规的数据跨境传输机制。同时,企业还需持续跟踪相关监管规则的最新动态,不断优化跨境数据传输方案,以最大限度地降低数据合规风险,从而推动企业更稳健地发展。