生物医药与健康行业的数据合规要点评析_北京转创国际管理咨询有限公司广东分公司

一、数据收集相关场景

　　生物医药与健康服务企业依托互联网技术对数据资源进行快速积累，收集的数据量日渐增长，收集健康医疗数据面临着越来越大的合规压力。对于生物医药与健康行业的数据收集活动，我们梳理了部分典型场景及相关问题：

　　(1) 典型场景一：体检机构为体检者提供服务

　　提问：体检者自行购买体检服务，赴体检机构进行体检，体检机构收集体检者的健康生理数据、病历资料等个人健康医疗数据，是否要取得体检者的同意？

　　回答：如果涉及《个人信息保护法》规定的无需取得个人同意的情形，则体检机构就相关处理事项无需取得体检者个人的同意，比如属于为订立、履行个人作为一方当事人的合同所必需的。

　　然而，体检机构仍需注意，非基于个人同意处理体检者个人信息的情形仍然无法豁免体检机构的告知义务。体检机构需要以显著方式、清晰易懂的语言真实、准确、完整地向体检者本人告知相关处理事项。此外，体检机构可能通过线上或线下为体检者完成体检服务的确认，线上场景可以通过弹窗提示体检者阅读，线下场景可以通过出示个人信息处理规则文本等方式完成。无论线上还是线下，体检机构都应注意记录告知义务的履行情况以留痕。

　　(2) 典型场景二：临床研究中收集受试者健康医疗数据

　　提问：临床研究中涉及多方主体，可能有医院等临床研究机构、医药企业等申办者、负责实施临床试验的研究者、合同研究组织(CRO)及临床试验现场管理组织(SMO)等辅助机构等。这些机构可能都会参与受试者个人信息收集过程，每个主体都要取得受试者个人同意吗？

　　回答：临床研究涉及主体较多，各自承担了不同的职能和工作，可能被认定为不同的个人信息处理活动相关主体。一般情况下，申办者作为发起该临床研究的角色，属于个人信息处理者；医院等临床研究机构往往与申办者合作开展研究，均可能会参与具体研究涉及需要收集的受试者健康医疗数据和处理目的等的决定，通常也属于个人信息处理者；研究者通常是临床研究机构的人员，不是独立的处理者角色；而CRO/SMO等辅助机构一般根据申办者或临床研究机构的要求开展相应处理工作，一般属于受托处理者。

　　基于上述不同主体在个人信息保护层面的角色认定，我们认为并非每个主体都具有需要取得受试者个人同意的义务。作为个人信息处理者的申办者和临床研究机构应当采取措施取得受试者的个人同意，而作为机构人员的研究者和CRO/SMO等辅助机构则没有取得同意的强制义务。需提请注意的是，以上主体角色认定是基于一般情况展开，在不同类型的临床研究中可能存在不同的情形，需根据实际情况具体分析。

　　提问：临床研究会向受试者提供知情同意书(ICF)，还需要根据个人信息保护法律法规的要求向受试者另外提供个人信息处理规则吗？

　　回答：一般不需要另外单独提供个人信息处理规则，而是在现有成熟的ICF中融入个人信息保护法律法规要求告知的其他事项。比对过ICF和个人信息处理事项的内容，我们发现有许多重合内容，比如处理目的和方式、个人信息种类等，通过融合两份文件的方式向受试者告知并取得个人同意，能够减少受试者阅读负担和提高临床研究效率。在融合两份文件时有以下几点主要关注点，一是注意逐一查漏补缺，避免遗漏应当向受试者告知的处理事项，尤其是涉及人类遗传资源信息等的特殊告知事项；二是注意确认ICF中原本披露的信息颗粒度是否满足个人信息保护相关法律法规的要求；三是对于需要取得单独同意的情形，比如涉及敏感个人信息处理、向其他处理者提供个人信息及跨境提供个人信息的情形，建议通过单独附件并单独签署的方式完成。目前也存在通过勾选框加一次签署的方式取得单独同意的，但这在个人信息保护层面并非合规程度最高的方式，仍然可能存在一定合规风险。

　　二、数据共享相关场景

　　随着大数据、互联网、物联网、人工智能等新一代信息技术的更新，除了传统的生物医药研发、医疗服务等业务，生物医药与健康行业中还形成并发展不少“互联网+医疗健康”新业态。参与传统业务和“互联网+”新业态的主体不仅有传统的医药企业、医疗器械企业、保险企业、检测检验机构、医院等传统医疗机构，还有互联网医院、医药电商企业、大健康互联网服务企业等新兴企业或机构。不同的企业或机构纷纷参与到数据处理活动中，数据共享相关的合规风险越来越受到关注。对于生物医药与健康行业的数据共享活动，我们梳理了部分典型场景及相关问题：

　　(1) 典型场景一：临床研究中共享研究数据(含受试者个人健康医疗数据)

　　提问：临床研究中涉及多方主体，不同主体间存在共享研究数据的情况。临床研究中各方主体共享研究数据前，是否都要向患者披露数据接收主体的情况？

　　回答：是否要向患者披露数据接收主体的情况视各方主体之间的个人信息处理法律关系进行判断。

　　提问：某跨国医药企业的中国子公司在中国境内与研究机构开展临床研究合作，研究机构与中国子公司共享研究数据，研究机构的共享行为是否属于跨境传输、共享数据而需要履行数据出境相关义务？

　　回答：从数据出境法律法规的视角看，研究机构的该等共享行为通常不会被认定为跨境传输和共享数据，但涉及某些具体情况需要具体分析，如中国子公司接收数据的服务器部署在境外等。另外，从人类遗传资源信息管理的视角看，如研究机构涉及与中国子公司共享人类遗传资源信息的，可能被认定为向外方单位提供或开放使用人类遗传资源信息，如可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院科学技术行政部门组织的安全审查。

　　(2) 典型场景二：医疗机构与第三方影像诊断机构共享患者医学影像

　　提问：医疗机构通过设备为患者拍摄医学影像，并实时地传输给第三方医学影像诊断机构，以进行高效的图像分割、特征提取、智能分析等工作。

　　1) 医疗机构向第三方影像诊断机构传输患者医学影像时，是否要向患者告知第三方影像诊断机构的情况？

　　回答：第三方影像诊断机构辅助医疗机构及其医疗人员对患者医学影像进行分析并完成诊断，通常属于医疗机构委托第三方影像诊断机构展开患者数据分析的情形。如属于委托处理的情况，医疗机构作为处理者无需向患者明确说明第三方影像诊断机构的基本情况；但是，第三方影像诊断机构如需要对患者医学影像进行委托事项以外的处理，则需要自行向患者告知并取得其个人同意。

　　2) 医疗机构在该等共享场景下应当如何保障数据传输的安全与合规？

　　回答：医疗机构向第三方传输数据前，宜通过签署数据处理协议，约定双方权利与义务、影像诊断机构对数据的保护措施、数据泄漏的应急方案、数据使用的期限等。此外，涉及委托处理的情形还应当开展个人信息保护影响评估，并对相关处理活动进行记录，对于评估报告和处理记录应保存至少三年。

　　在传输过程中，医疗机构可以根据不同的数据等级和类型，采用不同的传输方式。如根据信息的类型、安全级别不同选择采取加密传输、储存的介质载体(USB、移动硬盘)、远程访问、数据沙箱或局域网(内网)传输等不同的传输方式。同时，为确保传输的数据安全，医疗机构还可以结合应用场景、传输方式、数据规模、效率要求等因素，通过校验技术或密码技术保证个人健康医疗数据在传输过程中的保密性、完整性。

　　随着国内生物医药与健康行业的数据合规立法体系的不断完善，以及执法活动的不断深入，行业相关企业的数据合规基准水平也在不断提升。为了避免业务开展受到限制和顺利推进数字化发展，生物医药与健康行业相关企业需及时识别数据处理场景，厘清数据处理活动的具体情况，及时构建风险地图，时刻关注数据立法与行业立法动态，提升自身合规水准。