王晶

近期，隨著數(shù)據(jù)跨境傳輸監(jiān)管政策的調(diào)整，跨國醫(yī)療企業(yè)在數(shù)據(jù)傳輸方面面臨新的合規(guī)挑戰(zhàn)。為了幫助這些企業(yè)以及從事投資或BD（商務(wù)拓展）交易的創(chuàng)新藥企有效應(yīng)對數(shù)據(jù)跨境流通中的難題，提前做好數(shù)據(jù)跨境業(yè)務(wù)的規(guī)劃，并制定相應(yīng)的合規(guī)風(fēng)險應(yīng)對措施，以確保企業(yè)跨國業(yè)務(wù)的順利進行，本刊訪問了醫(yī)藥行業(yè)領(lǐng)域的法律專家朱意。在專訪中，我們就如何提升數(shù)據(jù)跨境傳輸?shù)暮弦?guī)性、安全性與效率等問題進行了深入探討。

朱意是美國威斯康星大學(xué)法學(xué)院的杰出校友，她以優(yōu)異的成績獲得J.D.（法律博士）學(xué)位，并取得紐約及威斯康星州的律師執(zhí)照。在職業(yè)生涯中，朱意曾在多家國際律師事務(wù)所任職，積累了豐富的法律實務(wù)經(jīng)驗。如今，她擔(dān)任某著名跨國生物制藥公司的中國區(qū)法務(wù)負責(zé)人，憑借對醫(yī)藥行業(yè)的法務(wù)合規(guī)工作的深刻理解和豐富經(jīng)驗，為公司在復(fù)雜多變的法律環(huán)境中保駕護航。

數(shù)據(jù)跨境傳輸在大型跨國藥企的全球化運營模式和管理體系中占據(jù)重要地位，它是總部與各國分支機構(gòu)之間溝通的橋梁和紐帶。然而，數(shù)據(jù)跨境流動始終是數(shù)據(jù)合規(guī)的難點所在，潛在風(fēng)險不容忽視。隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)的相繼出臺，數(shù)據(jù)的跨境傳輸面臨著一系列嚴格的合規(guī)要求。特別是在醫(yī)療健康領(lǐng)域，個人信息因其高度敏感和隱私性而備受關(guān)注。朱意建議，跨國藥企在進行跨境數(shù)據(jù)傳輸時，應(yīng)首先全面了解不同場景下的合規(guī)要點，如數(shù)據(jù)傳輸?shù)哪康?、范圍、接收方等。在此基礎(chǔ)上，結(jié)合企業(yè)自身的業(yè)務(wù)需求，制定切實可行的應(yīng)對策略和執(zhí)行方案。

在我們?nèi)粘９ぷ髦?，在遇到需要進行數(shù)據(jù)跨境傳輸?shù)那闆r時，首要任務(wù)是對數(shù)據(jù)的場景類型仔細甄別。據(jù)了解，大型跨國醫(yī)療企業(yè)在經(jīng)營過程中，經(jīng)常會遇到的數(shù)據(jù)跨境場景通常包括六大類：臨床試驗和研發(fā)業(yè)務(wù)數(shù)據(jù)、藥物警戒業(yè)務(wù)數(shù)據(jù)，醫(yī)療衛(wèi)生專業(yè)人員交流業(yè)務(wù)數(shù)據(jù)、醫(yī)學(xué)問詢業(yè)務(wù)數(shù)據(jù)、商業(yè)合作伙伴管理業(yè)務(wù)數(shù)據(jù)，以及人力資源管理業(yè)務(wù)數(shù)據(jù)。

每類跨境數(shù)據(jù)都有嚴格的界定標(biāo)準(zhǔn)。在處理這些數(shù)據(jù)時，首先需要準(zhǔn)確判定數(shù)據(jù)所屬的場景類型，然后評估數(shù)據(jù)跨境傳輸?shù)谋匾?，并根?jù)相應(yīng)的合規(guī)審核機制進行數(shù)據(jù)跨境申報工作。

朱意以跨國藥企參與的國際臨床試驗為例，詳細闡述了數(shù)據(jù)跨境傳輸?shù)暮弦?guī)流程。她指出，作為國際多中心臨床試驗的境內(nèi)參與方，跨國藥企需要跨境共享臨床試驗相關(guān)的受試者和研究者信息，以實現(xiàn)藥品的全球同步研發(fā)和注冊申請。這些信息包括臨床試驗和研發(fā)相關(guān)數(shù)據(jù)，如受試者、研究者的個人信息，以及多中心臨床試驗、真實世界研究等試驗數(shù)據(jù)。由于其中涉及敏感個人信息，如醫(yī)療數(shù)據(jù)，數(shù)據(jù)處理者在收集和處理這些信息時，必須嚴格遵守《個人信息保護法》中關(guān)于處理敏感個人信息的規(guī)定，并提前進行個人信息保護影響評估。同時，對于涉及跨境提供的數(shù)據(jù)，境內(nèi)數(shù)據(jù)提供者還需確保符合《個人信息保護法》中關(guān)于個人信息跨境提供的規(guī)定。在滿足數(shù)據(jù)合規(guī)的前提下，還需進一步評估和落實出境方與入境方的技術(shù)保障措施及其管理制度措施的充分性和完善性。最后，結(jié)合數(shù)據(jù)出境安全評估文件及其他相關(guān)文件的要求，準(zhǔn)備完整的申報文件，以進行跨境數(shù)據(jù)傳輸審批。

針對目前醫(yī)療數(shù)據(jù)跨境的難點，朱意表示主要在于如何滿足跨境合規(guī)性的同時，還能適應(yīng)不同業(yè)務(wù)場景的需求。在合規(guī)性層面，我國關(guān)于醫(yī)療數(shù)據(jù)跨境的監(jiān)管要求分散在多個部門和法律法規(guī)中，缺乏明確統(tǒng)一的規(guī)定。這導(dǎo)致同一數(shù)據(jù)處理主體的醫(yī)療數(shù)據(jù)跨境可能面臨多重法規(guī)的監(jiān)管，無疑增加了醫(yī)療數(shù)據(jù)跨境應(yīng)用的難度。此外，朱意還指出，雖然眾多法律法規(guī)都提及醫(yī)療數(shù)據(jù)跨境需要進行安全評估，但針對具體醫(yī)療場景的跨境數(shù)據(jù)安全評估的量化標(biāo)準(zhǔn)尚待明確。

在談及數(shù)據(jù)使用場景和業(yè)務(wù)時，朱意特別提到了《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》中列舉的典型醫(yī)療數(shù)據(jù)應(yīng)用場景，這些場景均涉及跨境數(shù)據(jù)交互。她指出，在不同的跨境場景中，需要交互的數(shù)據(jù)種類、數(shù)量以及數(shù)據(jù)主體、使用方式、使用范圍、使用時長、使用主體和使用目的等要素各不相同。朱意強調(diào)，在確保數(shù)據(jù)跨境合規(guī)性的前提下，如何滿足不同數(shù)據(jù)使用場景和業(yè)務(wù)對數(shù)據(jù)的需求，成為一個亟待解決的問題。

企業(yè)在處理數(shù)據(jù)跨境傳輸時，應(yīng)從自身的業(yè)務(wù)模式出發(fā)，有針對性地遵循《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等相關(guān)法律法規(guī)的要求，積極開展數(shù)據(jù)跨境合規(guī)工作。結(jié)合在工作中的實踐，朱意針對上述跨境數(shù)據(jù)傳輸場景及醫(yī)療數(shù)據(jù)跨境合規(guī)的難點，建議企業(yè)可通過建立數(shù)據(jù)清單、實施數(shù)據(jù)分級保護，建立數(shù)據(jù)出境內(nèi)部合規(guī)審查機制，數(shù)據(jù)出境前的風(fēng)險評估合規(guī)審查，數(shù)據(jù)出境后安全管理合規(guī)審查等方式來解決。

在采訪的尾聲，朱意坦言，數(shù)據(jù)的跨境傳輸已逐漸成為眾多跨國醫(yī)藥企業(yè)不可或缺的商業(yè)需求。隨著數(shù)據(jù)保護和安全立法的不斷完善，以及監(jiān)管力度的日益加強，跨國醫(yī)療企業(yè)應(yīng)更加重視數(shù)據(jù)合規(guī)，結(jié)合企業(yè)自身的實際情況，從技術(shù)和管理兩個層面出發(fā)，構(gòu)建合規(guī)的數(shù)據(jù)跨境傳輸機制。同時，企業(yè)還需持續(xù)跟蹤相關(guān)監(jiān)管規(guī)則的最新動態(tài)，不斷優(yōu)化跨境數(shù)據(jù)傳輸方案，以最大限度地降低數(shù)據(jù)合規(guī)風(fēng)險，從而推動企業(yè)更穩(wěn)健地發(fā)展。