上正恒泰·威科先行 | 药械企业数据合规实务指引（2024）重磅发布

作者丨杨澜波

机构丨上正恒泰律师事务所

* 本文为威科先行首发内容，未经授权请勿转载

数据合规已成为企业经营管理中不可忽视的一环。企业在经营过程中不可避免会涉及对数据的收集、存储、使用、加工、传输、提供、公开等处理活动。相较一般企业，药械企业可能会涉及处理更多的数据类型以及开展更多样的数据处理活动。例如，药械企业可能会因需要相关专业服务而涉及处理外部顾问（如医生）的个人信息，因临床试验涉及处理研究者、受试者等不同主体的相关个人信息；药械企业也会涉及数据出境；此外，药械企业开展业务活动会涉及人类遗传资源。

威科先行携手上正恒泰律师事务所合伙人杨澜波律师及团队发布《药械企业数据合规实务指引（2024版）》，本指引在此前编写的《数据合规实务指引》基础上，针对药械企业特有的数据处理活动提供更有针对性的实务指引和建议。

本指引分为三章：

第一章，对药械企业在个人信息处理的特定场景下应遵守的合规要求分别介绍；

第二章，对数据出境的三种基本路径以及药械企业应当特别关注的要点予以提示；

第三章，对药械企业涉及处理人类遗传资源时应当遵守的合规要求予以详细梳理。  

对于企业日常经营中通常都会涉及的个人信息处理场景，例如处理员工、劳务派遣人员或外包人员、企业客户/供应商联系人、企业网络和网站的访问者等内外部人员的个人信息，企业履行告知和同意以及个人信息处理的其他合规要求、法律责任等内容，详见《数据合规实务指引》第三章关于个人信息处理合规的部分。

除《数据合规实务指引》第三章讨论的通用场景外，药械企业因其所在行业的特殊性，还可能会涉及处理更多类型主体的个人信息，例如为企业提供服务的顾问个人信息，参与相关临床试验的研究者、受试者的个人信息，用于患者教育的患者的个人信息，以及药物警戒活动中患者的个人信息。对于这些特定场景下的个人信息处理，药械企业应当如何履行“告知-同意”相关法律要求，本章将予以介绍。

在全球化背景下，药械企业同其他行业的企业一样，常常因不同需求而涉及数据出境，例如，数据境外存储、邮件传输、跨境查询或访问数据等方式均可能构成数据出境。本章我们对数据出境合规的基本要点以及药械企业可能涉及的重点内容予以介绍。若需了解更为详细的数据出境监管要求，包括各个数据出境路径应当满足的具体程序和要求、数据本地化存储等内容，可以参看《数据合规实务指引》第二章数据出境部分。

1. 三种数据出境路径及适用情形

2. 三种数据出境路径的基本程序及比较

3. 关于重要数据及人类遗传资源信息

药械企业因其行业特点，可能会在开展业务过程中涉及处理人类遗传资源。人类遗传资源是发展生命科学及相关产业的重要战略资源，从最早国务院办公厅于1998年发布的《人类遗传资源管理暂行办法》，到国务院于2019年正式通过《中华人民共和国人类遗传资源管理条例》（“《管理条例》”），2020年《中华人民共和国生物安全法》（“《生物安全法》”）出台，再到2023年7月1日，《人类遗传资源管理条例实施细则》（“《实施细则》”）正式实施，人类遗传资源的监管经历了一个逐渐完善细化的过程，也体现了国家对其重视程度日益提高。

《实施细则》施行后，科技部即发布了《关于更新人类遗传资源行政许可事项服务指南、备案以及事先报告范围和程序的通知》及六份配套的新版《服务指南》：《采集行政许可事项服务指南》、《保藏行政许可事项服务指南》、《材料出境行政许可事项服务指南》、《国际科学研究合作行政许可事项服务指南》、《国际合作临床试验备案范围和程序》和《信息对外提供或开放使用事先报告范围和程序》，为申请人了解相关的行政程序要求提供指引。

本章主要聚焦《管理条例》和《实施细则》规定的监管对象与监管范围、相关的许可/备案/事先报告制度、行政程序的变更延续手续，以及科技部2023年9月12日针对《实施细则》生效以来申请人咨询的常见问题解答，从实务角度提示相关药械企业在申请行政许可、备案以及对外提供人类遗产资源时需要注意的相关要点。

1. 人类遗传资源信息的范围

2. 中方单位与外方单位的界定

3. 小结

1. 采集许可

2. 保藏许可

3. 国际合作科学研究许可外方单位伦理文件豁免简化

4. 人类遗传资源国际合作临床试验备案

5. 人类遗传资源信息对外提供或开放使用的事先报告制度

6. 小结

1. 变更和延续之程序流程

2. 监管

3. 行政处罚

4. 小结

1. 采集、保藏行政许可

2. 国际合作行政许可与备案

3. 信息对外提供或开放使用事先报告

4. 人类遗传资源监管范围明确