5月16日，上海临港新(xīn)片區(qū)管委会发布《中國(guó)（上海）自由贸易试验區(qū)临港新(xīn)片區(qū)生物(wù)医药领域数据跨境场景化一般数据清单（试行）》（“《生物(wù)医药一般数据清单》"），為(wèi)生物(wù)医药企业在临床试验和研究、药物(wù)警戒、医學(xué)问询与产品投诉、供应商(shāng)管理(lǐ)等场景下的数据跨境流动提供便利。《生物(wù)医药一般数据清单》范围内数据在完成备案后可(kě)实现自由出境流动。五大场景、30项数据类别覆盖生物(wù)医药企业日常经营数据出境需求，明确去标识化技术对受试者个人信息保护效果，不再一概将患者健康医疗数据纳入敏感个人信息监管范畴。筆(bǐ)者尝试从适用(yòng)场景和实操指引进行解读。

一、出境数据适用(yòng)场景及类型

《生物(wù)医药一般数据清单》是《中國(guó)（上海）自由贸易试验區(qū)临港新(xīn)片區(qū)数据跨境流动分(fēn)类分(fēn)级管理(lǐ)办法（试行）》（“《数据跨境流动办法》"）在生物(wù)医药行业得以落地的配套措施。《生物(wù)医药一般数据清单》适用(yòng)于在中國(guó)（上海）自由贸易试验區(qū)及临港新(xīn)片區(qū)内登记注册的，且在临港新(xīn)片區(qū)开展数据跨境流动相关活动的从事研发、生产和销售与生物(wù)医學(xué)、医药學(xué)相关的药品、医疗器械、诊断试剂、生物(wù)制剂和相关服務(wù)的企业、事业单位、机构协会和组织等数据处理(lǐ)者（“数据处理(lǐ)者"），但不适用(yòng)于生物(wù)医药领域关键信息基础设施运营者。目前如何界定在临港新(xīn)片區(qū)开展数据跨境流动相关活动，尚需主管部门进一步解释说明，但筆(bǐ)者认為(wèi)数据出境的关键行為(wèi)须发生在临港新(xīn)片區(qū)范围内，即境内运营中收集和产生的数据/个人信息传输至境外，或是允许境外接收方查询、调取、下载、导出存储于境内的数据/个人信息的活动应当发生在临港新(xīn)片區(qū)。

（一）临床试验和研发场景

1. 场景描述

注册临床试验或临床研究，例如，MRCT中将受试者的临床试验数据、生物(wù)样本信息等传输到参与试验的其他(tā)國(guó)家和地區(qū)或是中心实验室，以便进行统一的数据分(fēn)析、研究和统计。國(guó)际合作研发和AI药物(wù)研发，例如，不同國(guó)家或地區(qū)的合作伙伴共同进行药物(wù)研发或多(duō)个医學(xué)中心合作研究某种新(xīn)技术或者新(xīn)疗法时，可(kě)能(néng)会共享研究数据、实验结果、化合物(wù)库信息等。為(wèi)了改进药物(wù)研发效率，境外创新(xīn)药企可(kě)能(néng)利用(yòng)境内临床数据集训练靶点发现引擎等。

2. 符合条件下自由出境数据类型

临床试验和研发场景下的去标识化受试者的个人基本资料和健康生理(lǐ)信息，以及研究者的个人基本资料和教育工作信息。例如，药品药械临床试验涉及的受试者去标识化的个人基本资料，如受试者鉴认代码、年龄、性别等；或是受试者的健康生理(lǐ)信息，如受试者入选/排除标准、用(yòng)药记录等。

3. 关注人类遗传资源和数据跨境流动的双重监管

如果某國(guó)际合作项目同时触发人类遗传资源监管和数据出境安全监管，则该项目应同时、分(fēn)别申报相应的人类遗传资源审批/备案/事先报告、数据出境前置审批/备案程序。

具體(tǐ)而言，数据处理(lǐ)者对外传输的数据涉及人类遗传资源信息的，数据处理(lǐ)者应当按照《人类遗传资源管理(lǐ)条例》规定，向國(guó)務(wù)院卫生健康主管部门事先报告并提交信息备份。可(kě)能(néng)影响我國(guó)公众健康、國(guó)家安全和社会公共利益的，应当通过國(guó)務(wù)院卫生健康主管部门组织的安全审查。已取得行政许可(kě)的國(guó)际科(kē)學(xué)研究合作或者已完成备案的國(guó)际合作临床试验实施过程中，中方单位向外方单位提供合作产生的人类遗传资源信息的，如國(guó)际合作协议中已约定由合作双方使用(yòng)，不需要单独事先报告和提交信息备份。

（二）药物(wù)警戒和医疗器械不良事件监测场景

1. 场景描述

药物(wù)警戒和医疗器械不良事件监测是药械企业参与國(guó)际市场的法定义務(wù)。对于境内外均上市的药品或医疗器械，通常跨國(guó)药械企业作為(wèi)持有(yǒu)人需要搭建全球药物(wù)警戒和不良事件监测體(tǐ)系，收集在各國(guó)发生的疑似药品或医疗器械的不良反应信息，监测、识别、评估和控制相关的不良反应情况，并将其统一汇总至集团总部进行分(fēn)析和处理(lǐ)。

2. 符合条件下自由出境数据类型

药物(wù)警戒和医疗器械不良事件监测场景下的去标识化的患者个人基本资料、患者基础生理(lǐ)状况信息、患者用(yòng)药记录、患者不良反应信息、去标识化报告人的个人基本资料、事件总结描述等，传输范围涵盖了安全监测和评价所必需的数据类型，但上述跨境数据的使用(yòng)范围仅限用(yòng)于安全性评价目的。

（三）医學(xué)问询场景

1. 场景描述

跨國(guó)药械企业在日常经营中需要依托全球医學(xué)专家资源，有(yǒu)效解答(dá)公众疑问，通过全球平台开展医學(xué)支持，用(yòng)全球视野和资源為(wèi)患者提供更专业、高效的服務(wù)，也為(wèi)國(guó)内医學(xué)专家与國(guó)际同行开展學(xué)术交流创造条件。这些过程中涉及跨境流动相关的医學(xué)问询数据。

2. 符合条件下自由出境数据类型

包括去标识化问询人的个人基本资料、工作信息（如為(wèi)医疗卫生专业人士）以及问询信息记录。例如，如问询人代码、性别、是否為(wèi)医疗卫生专业人士等，或是问询时间、问询记录及内容等。

（四）产品投诉场景

1. 场景描述

跨國(guó)药械企业需要准确、及时、高效地解决有(yǒu)关产品投诉的质量问题和退换货要求等，提升企业全球客户服務(wù)水平和品牌形象，这些过程需要跨境流动产品投诉数据。

2. 符合条件下自由出境数据类型

包括去标识化投诉人的个人基本资料、工作信息（如為(wèi)医疗卫生专业人士）、投诉过程中主动提供的患者去标识化个人基本资料，以及投诉信息记录和汇总信息。

（五）商(shāng)业合作伙伴管理(lǐ)场景

1. 场景描述

跨國(guó)药械企业需要管理(lǐ)全球供应链，包括原材料采購(gòu)、生产、物(wù)流、经销等，实现数字化的采購(gòu)、销售管理(lǐ)，这些过程中可(kě)能(néng)会跨境传输供应商(shāng)和分(fēn)销商(shāng)的数据。

2. 符合条件下自由出境数据类型

包括组织商(shāng)业合作伙伴的背景信息、建档信息、合同管理(lǐ)信息、支付信息、联系人信息、关键项目成员信息、高管信息，以及个人商(shāng)业合作伙伴的个人基本资料、工作信息、银行账户信息和资质信息。

二、数据出境备案指引

生物(wù)医药企业作為(wèi)数据处理(lǐ)者，对在《生物(wù)医药一般数据清单》内的数据，可(kě)向临港新(xīn)片區(qū)管委会申请登记备案，并在满足相关管理(lǐ)要求下自由流动。《生物(wù)医药一般数据清单》中涉及个人信息的，数据处理(lǐ)者应满足自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的条件。

根据《中國(guó)（上海）自由贸易试验區(qū)临港新(xīn)片區(qū)数据跨境流动一般数据清单操作指南（试行）》的有(yǒu)关规定，数据处理(lǐ)者适用(yòng)《生物(wù)医药一般数据清单》包含以下三个环节：

（一）事前备案审核程序

1. 准备申报

数据处理(lǐ)者准备好完备的数据跨境申报材料，主要包括企业统一社会信用(yòng)代码证件、法定代表人身份证件、经办人身份证件、经办人授权委托书、自律合规承诺书、备案申请表、拟出境场景和拟出境一般数据情况说明、与境外接收方拟订立的数据出境相关合同等。

2. 综合评估

（1）风险自评估：可(kě)以委托第三方专业机构对数据处理(lǐ)者进行尽职调查，协助开展PIA（个人信息保护影响评估，Privacy Impact Assessment），再由数据处理(lǐ)者完成合规性自查和风险评估整改。

（2）申请综合评估：完成自评估及整改后，数据处理(lǐ)者可(kě)向主管部门提交数据跨境综合评估申请材料；主管部门组织法律、信息安全等领域专家对申报方案进行评估，评估意见将作為(wèi)备案审核参考。

3. 备案申请

（1）提交备案申请：综合评估通过后，数据处理(lǐ)者正式提交数据跨境备案登记申请。将電(diàn)子材料提交至“临港新(xīn)片區(qū)数据便捷流通公共服務(wù)管理(lǐ)平台"（https://sjkj.lingang.gov.cn/）。

（2）等待审核结果：主管部门组织多(duō)部门联合审核备案申请，确保各监管要求都得到落实。联合审核完成，向数据处理(lǐ)者告知审核结果，颁发备案证明。成功备案后，有(yǒu)效期是一年。

（二）事中传输存证程序

数据跨境备案申请获批后，数据处理(lǐ)者可(kě)以利用(yòng)临港新(xīn)片區(qū)“数据存证监管一體(tǐ)化平台"按备案的传输计划对外发送数据。在此过程中，将对传输数据生成唯一哈希值，作為(wèi)数据指纹传输至存证平台。数据通过备案的安全通道进行跨境传输，全程受控，避免出现实际传输与事先备案不一致的情况。

（三）事后监管抽查阶段

根据《数据跨境流动办法》第十六条的有(yǒu)关规定，临港新(xīn)片區(qū)管委会负责对数据处理(lǐ)者的数据跨境活动进行日常监督检查以及抽查，数据处理(lǐ)者应予以积极配合。

据了解，监管部门通过发起抽查、现场检查等方式，重点核查数据跨境活动与事前备案的一致性。若数据处理(lǐ)者在数据跨境流动过程中未严格履行相关承诺，或出现其他(tā)违规行為(wèi)的，监管部门形成书面的违规情节认定意见后，可(kě)立即暂停或终止数据跨境流动。数据处理(lǐ)者需继续开展数据跨境流动的，应按照要求整改，整改完成后重新(xīn)备案。

三、数据出境工作方案

根据我们从临港新(xīn)片區(qū)数据跨境服務(wù)中心了解到的信息，目前企业适用(yòng)《生物(wù)医药一般数据清单》均采取“一事一议"的方式，监管部门会根据企业实际情况制定个性化的数据跨境流通方案。《生物(wù)医药一般数据清单》的出台為(wèi)特定區(qū)域内医药企业数据跨境活动进行“松绑"，但其并未免除企业应尽法定义務(wù)。结合筆(bǐ)者团队的项目经验，在申请数据跨境备案之前，建议生物(wù)医药企业在律师等专业力量的协助下积极采取以下应对措施：一是判断集团公司内部承担数据处理(lǐ)者职责的主體(tǐ)是否属于《生物(wù)医药一般数据清单》的适用(yòng)范围，如不属于，可(kě)考虑通过在临港新(xīn)片區(qū)新(xīn)设主體(tǐ)、业務(wù)移转和建立业務(wù)连结等方式解决。二是尽早开展个人信息保护影响评估（“PIA"），梳理(lǐ)及识别数据跨境场景、对数据链路进行梳理(lǐ)并分(fēn)析合规差距、完成合规整改。三是关注源数据合规，针对个人信息主體(tǐ)履行告知、取得单独同意等前置义務(wù)。