創(chuàng)新藥企國際多中心臨床研究中數(shù)據(jù)采集和傳遞��、產(chǎn)品跨境申報和注冊中均可能涉及健康醫(yī)療數(shù)據(jù)跨境傳輸��。重要數(shù)據(jù)和個人信息識別�����、跨境傳輸路徑選擇����、出境標(biāo)準(zhǔn)合同中申辦者的履約義務(wù)以及創(chuàng)新藥企數(shù)據(jù)安全合規(guī)體系構(gòu)建等事項是常見困擾�����。
創(chuàng)新藥企國際多中心臨床研究(Multi-regional clinical trials����,MRCT)中數(shù)據(jù)采集和傳遞����、產(chǎn)品跨境申報和注冊中均可能涉及健康醫(yī)療數(shù)據(jù)跨境傳輸。重要數(shù)據(jù)和個人信息識別����、跨境傳輸路徑選擇、出境標(biāo)準(zhǔn)合同中申辦者的履約義務(wù)以及創(chuàng)新藥企數(shù)據(jù)安全合規(guī)體系構(gòu)建等事項是常見困擾��。尤其在《藥品注冊核查檢驗啟動工作程序(試行)》要求的研發(fā)生產(chǎn)主體合規(guī)背景下�,臨床試驗數(shù)據(jù)合規(guī)性將直接影響創(chuàng)新藥企合規(guī)風(fēng)險等級的判定。本文將結(jié)合國家網(wǎng)信辦于2月24日公布的《個人信息出境標(biāo)準(zhǔn)合同辦法》�����,梳理MRCT數(shù)據(jù)跨境傳輸路徑及醫(yī)藥研發(fā)企業(yè)數(shù)據(jù)合規(guī)管理要點(diǎn),以期為企業(yè)合規(guī)開展數(shù)據(jù)跨境傳輸提供借鑒�,促進(jìn)國際醫(yī)學(xué)研究合作���。
MRCT數(shù)據(jù)跨境傳輸路徑
據(jù)北京網(wǎng)信辦消息�,首都醫(yī)科大學(xué)附屬北京友誼醫(yī)院(“北京友誼醫(yī)院”)普外中心和阿姆斯特丹大學(xué)醫(yī)學(xué)中心普通外科作為全球牽頭中心發(fā)起的國際多中心臨床研究項目通過了數(shù)據(jù)出境安全評估��,成為國內(nèi)首 個數(shù)據(jù)合規(guī)出境案例����。該案例引起熱議的話題之一是北京友誼醫(yī)院因何原因觸發(fā)了數(shù)據(jù)出境安全評估程序,系涉及百余例入組病例的健康醫(yī)療數(shù)據(jù)和遺傳信息/基因信息屬于重要數(shù)據(jù)��,還是大型三甲醫(yī)院構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者(CIIO)���,亦或是因過百萬的接診量構(gòu)成“100萬人以上個人信息”的主體范疇�?
主體身份識別:是否屬于CIIO或是非CIIO中100萬人的個人信息處理規(guī)模企業(yè)
根據(jù)《數(shù)據(jù)安全法》和《數(shù)據(jù)出境安全評估辦法》的有關(guān)規(guī)定[1]����,企業(yè)向境外傳輸、共享臨床試驗數(shù)據(jù)可能會觸發(fā)網(wǎng)信部門的事前安全評估程序�����。安全評估采取“一事一議”原則����,評估周期較長���,且容易觸發(fā)重新申報評估條件,無形中導(dǎo)致企業(yè)合規(guī)成本增加����。在判斷是否涉及申報安全評估時,區(qū)分?jǐn)?shù)據(jù)(個人信息)處理者的身份屬性至關(guān)重要�����。企業(yè)是否屬于CIIO��,需要識別企業(yè)所涉業(yè)務(wù)是否涉及重要行業(yè)和領(lǐng)域���、遭到破壞或者喪失功能的危害后果以及是否高度依賴信息化運(yùn)行方式�。實(shí)踐中����,企業(yè)是否屬于CIIO更多取決于行業(yè)主管機(jī)構(gòu)的認(rèn)定。而企業(yè)是否“處理個人信息達(dá)到100萬人以上”����,須認(rèn)定所處理的信息能識別或是關(guān)聯(lián)到的信息主體是否合計(包括員工����、客戶�����、用戶)達(dá)到100萬人及以上���。結(jié)合上述案例,北京友誼醫(yī)院可能同時被認(rèn)定是CIIO和處理100萬人以上信息規(guī)模的機(jī)構(gòu)���,因而觸發(fā)安全評估申報����。當(dāng)創(chuàng)新藥企未被認(rèn)為是CIIO或是處理個人信息達(dá)到100萬人以上的實(shí)體時�����,其基于數(shù)據(jù)出境主體身份而觸發(fā)安全評估的可能性便相對減小�。
數(shù)據(jù)屬性判定:重要數(shù)據(jù)or個人信息
《數(shù)據(jù)安全法》和《個人信息保護(hù)法》等法律法規(guī)相繼確立了數(shù)據(jù)和個人信息分級分類保護(hù)制度。正確判斷數(shù)據(jù)屬性是數(shù)據(jù)合規(guī)跨境傳輸?shù)幕?���。是否觸發(fā)安全評估申報���,除了界定企業(yè)主體身份外,還要看擬跨境傳輸?shù)呐R床試驗數(shù)據(jù)是否落入受監(jiān)管的重要數(shù)據(jù)和個人信息范疇����。
申辦者若向境外提供重要數(shù)據(jù),出境前必須要向網(wǎng)信部門申報并通過數(shù)據(jù)出境安全評估����。上述案例中,北京友誼醫(yī)院特別提及在申報準(zhǔn)備初期����,該院建立了“重要數(shù)據(jù)出境的審核、評估和監(jiān)督機(jī)制”�。2022年發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識別指南(征求意見稿)》提出“反映群體健康生理狀況、族群特征��、遺傳信息等的基礎(chǔ)數(shù)據(jù)��,如人口普查資料���、人類遺傳資源信息�、基因測序原始數(shù)據(jù)屬于重要數(shù)據(jù)”。申辦者可重點(diǎn)從兩個維度綜合判斷臨床試驗數(shù)據(jù)是否構(gòu)成重要數(shù)據(jù)�����。“群體性”���,是否包含達(dá)到一定規(guī)模或精度的基因數(shù)據(jù)或是重要遺傳家系和特定地區(qū)的人類遺傳資源信息�;“生物安全性”,是否涉及人類遺傳資源信息�����。觸及任一維度時,申辦者須按“就高原則”考慮適用申報安全評估���,通過后再向境外提供臨床試驗數(shù)據(jù)。若臨床試驗涉及利用我國人類遺傳資源材料或信息���,還應(yīng)同時履行國際合作科學(xué)研究審批、國際合作臨床試驗備案��、對外提供或開放使用的安全審查及信息備份���、人類遺傳資源材料出境證明等要求�。
申辦者向境外提供的臨床試驗數(shù)據(jù)是否會包含個人信息��,甚至是敏感個人信息�?通過比對《信息安全技術(shù) 個人信息安全規(guī)范》和《藥物臨床試驗質(zhì)量管理規(guī)范》對“敏感個人信息”和“源文件”的定義[2],不難發(fā)現(xiàn)臨床試驗的源文件涵蓋受試者的敏感個人信息����。雖然申辦者接觸到的臨床試驗數(shù)據(jù)是以受試者鑒認(rèn)代碼信息進(jìn)行標(biāo)記的,但該等信息尚未達(dá)到“匿名化處理”的程度����,畢竟臨床試驗機(jī)構(gòu)了解鑒認(rèn)代碼與受試者身份的對應(yīng)關(guān)系,必要時�����,臨床試驗機(jī)構(gòu)可以對相關(guān)數(shù)據(jù)進(jìn)行揭盲,從而建立數(shù)據(jù)與某一具體受試者的對應(yīng)關(guān)系��。因此�,可將臨床試驗數(shù)據(jù)視為“去標(biāo)識化”的個人信息,并需要遵守《個人信息保護(hù)法》中有關(guān)個人信息跨境處理的規(guī)定��,即向境外提供個人信息可通過安全評估����、標(biāo)準(zhǔn)合同及個人信息保護(hù)認(rèn)證三種法定途徑實(shí)現(xiàn)。若將包含敏感個人信息的臨床試驗數(shù)據(jù)未經(jīng)脫敏處理直接向境外傳輸���,一旦自上年1月1日起已經(jīng)累計向境外提供1萬人敏感個人信息的,再向境外提供哪怕1條個人信息�,也須向網(wǎng)信部門進(jìn)行出境安全評估申報。對于管線研發(fā)能力活躍的創(chuàng)新藥企而言�����,這一門檻數(shù)量較為常見��。企業(yè)需要提前謀劃應(yīng)對方案�,并判斷是否可以避免或減少敏感個人信息的跨境傳輸��,以降低觸及安全評估申報的可能性��。
最優(yōu)傳輸路徑選擇:訂立標(biāo)準(zhǔn)合同
在MRCT場景下��,若申辦者同時符合下列情形���,則可以選擇訂立國家網(wǎng)信辦制定的個人信息出境標(biāo)準(zhǔn)合同(“標(biāo)準(zhǔn)合同”)向境外提供臨床試驗數(shù)據(jù)��,免除申報數(shù)據(jù)出境安全評估程序:一是非CIIO�;二是處理個人信息不滿100萬人的�����;三是自上年1月1日起累計向境外提供個人信息不滿10萬人的����;四是自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的。其中��,“10萬”和“1萬”是指向境外提供個人信息所能識別或是關(guān)聯(lián)到的個人信息主體數(shù)量,包括任何目的����、形式下的跨境傳輸��。此外���,監(jiān)管部門嚴(yán)禁申辦者采取數(shù)量拆分等手段規(guī)避安全評估的法定要求?�?梢灶A(yù)見����,通過訂立標(biāo)準(zhǔn)合同的方式實(shí)現(xiàn)多中心臨床數(shù)據(jù)跨境處理,將成為申辦者最常采用以及合規(guī)成本最小的一種合法路徑��。
以筆者近期服務(wù)的一項MRCT項目為例���。該試驗采用的EDC系統(tǒng)及eCOA應(yīng)用軟件(App)供應(yīng)商的母公司為境外主體且EDC系統(tǒng)的服務(wù)器部署在境外,屬于典型的數(shù)據(jù)出境情形�。筆者對該供應(yīng)商進(jìn)行深入盡調(diào)����,一方面了解該等供應(yīng)商作為境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到我國法律��、行政法規(guī)的規(guī)定和強(qiáng)制性國家標(biāo)準(zhǔn)的要求����,例如涉及向其他境外第三方再傳輸時的權(quán)責(zé)方案�。另一方面核查eCOA App的合規(guī)性,例如eCOA App的隱私政策是否詳述個人信息出境的安排���;受試者登陸eCOA App時是否取得其同意個人信息出境的單獨(dú)同意等�。實(shí)踐中���,有時并非申辦者作為數(shù)據(jù)處理者與境外接收方直接簽署數(shù)據(jù)出境合同��,而是由CRO與該等供應(yīng)商簽署�����。我們需要根據(jù)項目實(shí)際情況評估申辦方���、CRO及相關(guān)供應(yīng)商之間的法律關(guān)系�����,例如哪一方是個人信息處理者���,哪一方是受委托處理個人信息的,是否存在兩個以上個人信息處理者共同決定個人信息的處理目的和方式的情形�����。
標(biāo)準(zhǔn)合同中申辦者涉及哪些履約義務(wù)
面對強(qiáng)監(jiān)管下的行政指導(dǎo)合同�,申辦者作為標(biāo)準(zhǔn)合同中的數(shù)據(jù)處理者,需承擔(dān)哪些強(qiáng)制性義務(wù)���?
標(biāo)準(zhǔn)合同主要內(nèi)容
合同相關(guān)定義和基本要素�、個人信息處理者和境外接收方的合同義務(wù)�、境外接收方所在國家或者地區(qū)個人信息保護(hù)政策和法規(guī)對合同履行的影響、個人信息主體的權(quán)利和相關(guān)救濟(jì)�����,以及合同解除���、違約責(zé)任��、爭議解決等事項�,以及個人信息出境說明��、雙方約定的其他條款等兩個附錄��。
申辦者作為個人信息處理者的義務(wù)
標(biāo)準(zhǔn)合同適用的其他要點(diǎn)
申辦者如何證明自身妥善履約
標(biāo)準(zhǔn)合同規(guī)定由個人信息處理者承擔(dān)標(biāo)準(zhǔn)合同條款的履約舉證責(zé)任�����。根據(jù)該規(guī)定���,如果個人信息處理者舉證不能��,就可能要面臨被約談或是被處罰的不利后果��。這一制度安排��,要求個人信息處理者作為合同一方必須做到全面履約��、工作留痕����,確保合規(guī)可見。
具體而言��,申辦者須依法開展個人信息保護(hù)影響評估�,記錄履行告知和取得同意等法定義務(wù)的過程。同時���,申辦者須監(jiān)督境外接收方采取必要的技術(shù)和管理措施��,定期查閱境外接收方的數(shù)據(jù)文件和文檔����,適時對其數(shù)據(jù)處理活動開展合規(guī)審計�,并要求境外接收方對個人信息處理活動進(jìn)行記錄并保存至少3年。
個人數(shù)據(jù)保護(hù)協(xié)議(PDPA)如何與標(biāo)準(zhǔn)合同互補(bǔ)
筆者曾在協(xié)助中國客戶處理其與境外合作伙伴的數(shù)據(jù)跨境傳輸合規(guī)事項時��,參與個人數(shù)據(jù)保護(hù)協(xié)議(PDPA���,Personal Data Protection Agreement)的起草與談判����,以完善雙方在數(shù)據(jù)跨境傳輸方面的義務(wù)����。在PDPA中��,除簽署標(biāo)準(zhǔn)合同之外,在不構(gòu)成內(nèi)容沖突的情況下���,雙方還可以就境外合作伙伴法域的數(shù)據(jù)傳輸合規(guī)�����、數(shù)據(jù)安全合規(guī)培訓(xùn)及保密義務(wù)���、境外合作伙伴向其所在其他法域的集團(tuán)公司傳輸數(shù)據(jù)時應(yīng)履行的義務(wù)等事項上作出進(jìn)一步約定。
數(shù)據(jù)出境風(fēng)險自評估/個人信息保護(hù)影響評估要點(diǎn)
在申報數(shù)據(jù)出境安全評估前如何開展數(shù)據(jù)出境風(fēng)險自評估
數(shù)據(jù)處理者在申報數(shù)據(jù)出境安全評估前��,應(yīng)當(dāng)開展數(shù)據(jù)出境風(fēng)險自評估����,重點(diǎn)評估以下事項:一是數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍��、方式等的合法性�、正當(dāng)性、必要性�;二是出境數(shù)據(jù)的規(guī)模、范圍����、種類�、敏感程度��,數(shù)據(jù)出境可能對國家安全�、公共利益、個人或者組織合法權(quán)益帶來的風(fēng)險�;三是境外接收方承諾承擔(dān)的責(zé)任義務(wù),以及履行責(zé)任義務(wù)的管理和技術(shù)措施�、能力等能否保障出境數(shù)據(jù)的安全;四是數(shù)據(jù)出境中和出境后遭到篡改�����、破壞��、泄露�、丟失、轉(zhuǎn)移或者被非法獲取���、非法利用等的風(fēng)險�����,個人信息權(quán)益維護(hù)的渠道是否通暢等����;五是與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù);六是其他可能影響數(shù)據(jù)出境安全的事項���。
結(jié)合北京友誼醫(yī)院的案例,該院著重論證了數(shù)據(jù)出境的必要性��。作為借鑒����,申辦者可以重點(diǎn)對MRCT項目的科學(xué)意義和產(chǎn)出價值進(jìn)行深入評估,尤其對數(shù)據(jù)出境與項目實(shí)施和產(chǎn)出之間的關(guān)系進(jìn)行分析���,從而得出數(shù)據(jù)出境具有必要性的結(jié)論���。
在簽署標(biāo)準(zhǔn)合同的同時如何開展個人信息保護(hù)影響評估
個人信息處理者向境外提供個人信息前,應(yīng)當(dāng)開展個人信息保護(hù)影響評估����,重點(diǎn)評估以下內(nèi)容:一是個人信息處理者和境外接收方處理個人信息的目的、范圍��、方式等的合法性�、正當(dāng)性�、必要性�����;二是出境個人信息的規(guī)模��、范圍����、種類、敏感程度�����,個人信息出境可能對個人信息權(quán)益帶來的風(fēng)險�;三是境外接收方承諾承擔(dān)的義務(wù),以及履行義務(wù)的管理和技術(shù)措施�����、能力等能否保障出境個人信息的安全����;四是個人信息出境后遭到篡改、破壞���、泄露���、丟失��、非法利用等的風(fēng)險�����,個人信息權(quán)益維護(hù)的渠道是否通暢等�����;五是境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)對標(biāo)準(zhǔn)合同履行的影響;六是其他可能影響個人信息出境安全的事項�����。
如何評估境外接收方所在國家或者地區(qū)的個人信息保護(hù)政策和法規(guī)對標(biāo)準(zhǔn)合同履行的影響呢����?參考?xì)W盟數(shù)據(jù)保護(hù)委員會(EDPB)相關(guān)建議及其生效后部分實(shí)踐,至少需要考慮以下因素:(1)當(dāng)?shù)噩F(xiàn)行的個人信息保護(hù)法律法規(guī)�;(2)加入?yún)^(qū)域或全球個人信息保護(hù)組織或做出相關(guān)國際承諾的情況;(3)當(dāng)?shù)芈鋵?shí)個人信息保護(hù)的機(jī)制��;(4)當(dāng)?shù)匦姓⒈O(jiān)管或司法程序等要求調(diào)取個人信息的情況���;(5)個人信息主體在當(dāng)?shù)貙で笏痉ň葷?jì)的可行性等[3]
創(chuàng)新藥企如何建設(shè)數(shù)據(jù)合規(guī)管理體系
縱觀《藥物臨床試驗質(zhì)量管理規(guī)范》的有關(guān)規(guī)定�,申辦者作為臨床試驗的發(fā)起組織者����、經(jīng)費(fèi)提供者和數(shù)據(jù)質(zhì)量的最終責(zé)任人,是臨床試驗的重要主體���。一旦因為申辦者建立的質(zhì)量管理體系不完善導(dǎo)致臨床數(shù)據(jù)缺失�、錯誤�����、泄漏等����,將無法保證數(shù)據(jù)質(zhì)量,進(jìn)而影響藥物臨床試驗全局����。與此同時,根據(jù)《藥品注冊核查檢驗啟動工作程序(試行)》的有關(guān)規(guī)定,臨床試驗數(shù)據(jù)真實(shí)性��、可靠性和完整性方面的瑕疵����,將使得監(jiān)管機(jī)構(gòu)啟動藥品注冊核查,并基于藥物臨床試驗現(xiàn)場啟動注冊核查的風(fēng)險等級判定結(jié)果進(jìn)行風(fēng)險等級標(biāo)注�。《藥品注冊核查要點(diǎn)與判定原則(藥物臨床試驗)(試行)》中明確規(guī)定經(jīng)核查確認(rèn)的下述情形認(rèn)定為“不通過”:隱瞞試驗數(shù)據(jù)�����,無合理解釋地棄用試驗數(shù)據(jù)����,以其他方式違反試驗方案選擇性使用試驗數(shù)據(jù)����;故意損毀、隱匿臨床試驗數(shù)據(jù)或者數(shù)據(jù)存儲介質(zhì)等����。此外,越來越多的企業(yè)在上市審核過程中收到數(shù)據(jù)合規(guī)相關(guān)問題的詢問�����,包括既有數(shù)據(jù)及新增數(shù)據(jù)獲取來源的合法合規(guī)性,以及企業(yè)數(shù)據(jù)合規(guī)管理制度建設(shè)及技術(shù)保障措施落實(shí)情況等�。為此,創(chuàng)新藥企可著力在以下方面實(shí)施數(shù)據(jù)安全合規(guī)建設(shè):
一是在外部專業(yè)機(jī)構(gòu)的幫助下開展數(shù)據(jù)合規(guī)盡調(diào)和風(fēng)險排查�,就業(yè)務(wù)場景、數(shù)據(jù)類別��、安全技術(shù)措施和等保級別等信息進(jìn)行梳理�。在此基礎(chǔ)上搭建數(shù)據(jù)合規(guī)內(nèi)控體系,包括(1)各部門數(shù)據(jù)合規(guī)管理職責(zé)�,尤其是健康醫(yī)療數(shù)據(jù)安全負(fù)責(zé)人及其管理部門制度;(2)數(shù)據(jù)合規(guī)內(nèi)控管理制度體系���,例如數(shù)據(jù)分類分級�、網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險評估機(jī)制�、數(shù)據(jù)安全事件應(yīng)急預(yù)案、醫(yī)療數(shù)據(jù)及個人信息出境等制度�;(3)各類數(shù)據(jù)合規(guī)文本,例如各具體應(yīng)用場景的數(shù)據(jù)清單����、內(nèi)部數(shù)據(jù)處理記錄模板、隱私聲明模板��、跨境傳輸自評估報告、數(shù)據(jù)跨境傳輸協(xié)議模板等��,以期能從業(yè)務(wù)合同簽訂到實(shí)際業(yè)務(wù)操作給予企業(yè)人員明確的指引�����,降低企業(yè)違規(guī)的風(fēng)險����。
二是定期對重要的或新發(fā)的數(shù)據(jù)處理活動實(shí)施風(fēng)險評估。借鑒《個人信息保護(hù)法》項下規(guī)定的個人信息安全影響評估(Personal Information Security Impact Assessment�����,“PIA”)����,根據(jù)與業(yè)務(wù)相關(guān)的數(shù)據(jù)應(yīng)用場景及流轉(zhuǎn)鏈路,模擬處理流程和潛在安全風(fēng)險����,主動出擊設(shè)計應(yīng)對措施��。同時����,須做好服務(wù)供應(yīng)商管理�����,確保其符合國家和行業(yè)規(guī)定及要求���,建立起各方相互匹配的數(shù)據(jù)安全管理、個人信息保護(hù)和應(yīng)急響應(yīng)管理機(jī)制���。
三是重點(diǎn)夯實(shí)與企業(yè)主營業(yè)務(wù)相關(guān)的數(shù)據(jù)合規(guī)基礎(chǔ)��。如針對健康醫(yī)療數(shù)據(jù)跨境傳輸與共享����,對于必須本地化處理的數(shù)據(jù)����,應(yīng)當(dāng)做好相應(yīng)的技術(shù)準(zhǔn)備。提前了解境外接收方所在地區(qū)的數(shù)據(jù)保護(hù)政策�,并在標(biāo)準(zhǔn)合同的基礎(chǔ)上,起草更為完善和定制化的個人數(shù)據(jù)保護(hù)協(xié)議��,對雙方義務(wù)進(jìn)行更詳盡明晰的約定���,從而降低合規(guī)成本以及項目延期的風(fēng)險���。與此同時�,及時關(guān)注主管部門后續(xù)發(fā)布的監(jiān)管細(xì)則��,有效��、快速����、隨時應(yīng)對監(jiān)管舉措。必要時��,企業(yè)也可咨詢相關(guān)法域的法律專業(yè)人士�����。
在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等通用領(lǐng)域數(shù)據(jù)合規(guī)立法��、健康醫(yī)療數(shù)據(jù)行業(yè)立規(guī)的大背景下���,生物醫(yī)藥企業(yè)面臨的合規(guī)監(jiān)管態(tài)勢日趨嚴(yán)峻�����,應(yīng)當(dāng)盡早謀劃��,做好數(shù)據(jù)合規(guī)應(yīng)對����。
本文由葛永彬律師團(tuán)隊:葛永彬��、董劍平���、邵亞光共同完成
[1]《數(shù)據(jù)安全法》第三十一條規(guī)定����,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理���,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定����;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法�,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?����!稊?shù)據(jù)出境安全評估辦法》第四條規(guī)定,數(shù)據(jù)處理者向境外提供數(shù)據(jù)�����,有下列情形之一的�,應(yīng)當(dāng)通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:(一)數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);(二)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供個人信息���;(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息����;(四)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形�����。
[2]GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》附錄B中表B.1列示個人健康生理信息指個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄�,如病癥、住院志�����、醫(yī)囑單����、檢驗報告���、手術(shù)及麻 醉記錄��、護(hù)理記錄�����、用藥記錄��、藥物食物過敏信息�����、生育信息�、以往病史、診治情況�����、家族病史��、現(xiàn)病史���、傳染病史等��?��!端幬锱R床試驗質(zhì)量管理規(guī)范》 第十一條第(三十一)項源文件�����,指臨床試驗中產(chǎn)生的原始記錄�����、文件和數(shù)據(jù),如醫(yī)院病歷、醫(yī)學(xué)圖像�、實(shí)驗室記錄����、備忘錄�����、受試者日記或者評估表�����、發(fā)藥記錄�����、儀器自動記錄的數(shù)據(jù)����、縮微膠片�、照相底片、磁介質(zhì)�����、X光片、受試者文件�����,藥房��、實(shí)驗室和醫(yī)技部門保存的臨床試驗相關(guān)的文件和記錄���,包括核證副本等��。源文件包括了源數(shù)據(jù)�����,可以以紙質(zhì)或者電子等形式的載體存在�。
[3]詳見《中國版標(biāo)準(zhǔn)合同條款揭開面紗�����,能否成為個人信息出境的通途(二)����?》https://www.zhonglun.com/Content/2022/07-07/1500551415.html
