泰和泰研析 | 中国境内含外资成分医药企业药品研发过程中所涉中国人类遗传资源及临床试验数据出境合规路径探析

一

什么是中国境内含外资成分医药企业

《中华人民共和国生物安全法》第五十六条第四款和《中华人民共和国人类遗传资源管理条例》第七条均规定：境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。

以下简称《生物安全法》。

以下简称《管理条例》。

根据国家科学技术部（以下简称“科技部”）在其官网发布的“常见问题解答”精神，在我国境内依法设立的企业，不论外资股东持股比例如何，股权结构穿透后含有外资成分的企业均被认定为外方单位。

科技部《关于更新人类遗传资源管理常见问题解答的通知》（2022年03月02日）：“一、采集审批/4.有外资成分的医院，能否进行采集许可申报？答：外国组织、个人及其设立或者实际控制的机构（即外方单位）不得在我国境内采集、保藏我国人类遗传资源。”

根据科技部颁布的《中国人类遗传资源国际合作科学研究审批行政许可事项服务指南》第七条第一款第（2）项，港澳台组织及港澳台组织、个人设立或者实际控制的机构参照外方单位进行管理。

综上，中国境内含外资成分医药企业（以下简称“外资成分药企”），是指在中国大陆依法设立的、经穿透后其股东或合伙人中含有外国/港澳台组织或个人的企业。这类企业可能是设立时即含有外资成分，也可能是在企业发展过程中因融资、人才引进、股权激励或上层架构调整等原因造成企业经穿透后含有外资成分。

根据我国现行有效的法律、法规，外资成分药企在药品研发过程中涉及利用我国人类遗传资源，及因业务需要实施数据出境的，相较不含外资成分的境内药企而言，存在一定的限制，这对外资成分药企的药品研发及数据合规提出了更高的要求。

二

外资成分药企出资人及其出资结构对自身业务的影响

01 

外资成分药企不得在我国境内直接开展采集、保藏我国人类遗传资源的业务

外资成分药企由于属于《生物安全法》和《管理条例》认定的境外组织、个人及其设立或者实际控制的机构，因此不得在我国境内实施采集、保藏我国人类遗传资源的行为。

《管理条例》第二条规定：人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料；人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。科技部发布的系列服务指南对人类遗传资源材料和人类遗传资源信息做了进一步细化：

（一）人类遗传资源材料包括：全血、血清、血浆、尿液、粪便、血细胞、脑脊液、骨髓、骨髓涂片、血涂片、组织切片、其他样本（请说明）。

上述人类遗传资源材料的样本类型包括：

① 重要遗传家系，指患有遗传性疾病或具有遗传性特殊体质或生理特征的有血缘关系的群体，患病家系或具有遗传性特殊体质或生理特征成员五人以上，涉及三代。

② 特定地区人类遗传资源，指在隔离或特殊环境下长期生活，并具有特殊体质特征或在生理特征方面有适应性性状发生的人群遗传资源。特定地区不以是否为少数民族聚居区为划分依据。

③ 科技部规定种类、数量的人类遗传资源，规定的种类是指罕见病、具有显著性差异的特殊体质或生理特征的人群；规定数量是指累积500人以上。

（二）人类遗传资源信息包括：临床数据，如人口学信息、一般实验室检查信息等；影像数据，如B超、CT、PET-CT、核磁共振、X射线等；生物标志物数据，如诊断性生物标志物、监测性生物标志物、药效学/反应生物标志物、预测性生物标志物、预后生物标志物、安全性生物标志物、易感性/风险生物标志物；基因数据，如全基因组测序、外显子组测序、目标区域测序、人线粒体测序、全基因组甲基化测序、lnc RNA测序、转录组测序、单细胞转录组测序、small RNA测序等；蛋白质数据；代谢数据。

根据科技部“常见问题解答”，以下不属于人类遗传资源信息：临床图像数据（如心电图数据，B超、CT、PET-CT、核磁共振、X射线等影像数据，介入、眼底镜、内窥镜、皮肤镜、病理诊断等图片数据）、不涉及人群基因研究的临床数据（如血常规、尿常规、肝肾功、血生化等一般实验室检查信息，身高、体重等生长发育指标，问卷信息，影像学/图片结果数据等）

上述人类遗传资源信息的样本类型同前节。

根据上述规定，外资成分药企不得在我国境内直接开展采集、保藏我国人类遗传资源的业务。

02 

外资成分药企应当采取与我国科研机构、高等学校、医疗机构、企业合作的方式开展与我国人类遗传资源相关的科学研究活动

《管理条例》第二十一条规定：“外国组织及外国组织、个人设立或者实际控制的机构（以下称外方单位）需要利用我国人类遗传资源开展科学研究活动的，应当遵守我国法律、行政法规和国家有关规定，并采取与我国科研机构、高等学校、医疗机构、企业（以下称中方单位）合作的方式进行。”第二十四条规定：“利用我国人类遗传资源开展国际合作科学研究，应当保证中方单位及其研究人员在合作期间全过程、实质性地参与研究，研究过程中的所有记录以及数据信息等完全向中方单位开放并向中方单位提供备份。”

根据上述规定，外资成分药企如需利用我国人类遗传资源开展科学研究活动的，应当根据项目情况采取与中方单位（穿透后不得含有外资成分）合作的方式进行，并保证中方单位及其研究院人员全过程、实质性参与研究。

03 

研究模式与监管方式的关系分析

根据《生物安全法》和《管理条例》，在开展国际合作临床试验的过程中，其监管方式分为两种：（1）国际合作科学研究审批，以及（2）满足一定条件的国际合作临床试验备案。

《生物安全法》第五十六条规定：“从事下列活动，应当经国务院科学技术主管部门批准：

▲ 采集我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术主管部门规定的种类、数量的人类遗传资源；

▲ 保藏我国人类遗传资源；

▲ 利用我国人类遗传资源开展国际科学研究合作；

▲ 将我国人类遗传资源材料运送、邮寄、携带出境。

前款规定不包括以临床诊疗、采供血服务、查处违法犯罪、兴奋剂检测和殡葬等为目的采集、保藏人类遗传资源及开展的相关活动。

为了取得相关药品和医疗器械在我国上市许可，在临床试验机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源出境的，不需要批准；但是，在开展临床试验前应当将拟使用的人类遗传资源种类、数量及用途向国务院科学技术主管部门备案。

境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。”

就药企（包括CRO）而言，涉及人类遗传资源的科学研究活动主要是临床试验阶段。就监管层面而言，大致可分为药品上市前临床试验阶段（即Ⅰ、Ⅱ、Ⅲ期临床试验与生物等效性试验），以及药品上市后的临床研究阶段（即Ⅳ期临床试验）。

根据上述规定，同时满足下列条件的情况下，国际合作临床试验可以不进行审批，仅需合作双方共同向科技部申请备案（具体备案程序及要求详见科技部颁布的《中国人类遗传资源国际合作临床试验备案范围和程序》）：

① 为了取得相关药品和医疗器械在我国上市许可，而开展的临床试验，具体包括Ⅰ、Ⅱ、Ⅲ期临床试验与生物等效性试验。

② 在中方临床机构（穿透后不得含有外资成分）内利用我国人类遗传资源开展，即（a）所涉及的人类遗传资源仅在中方临床机构内采集、检测、分析和剩余样本处理等，（b）所涉及的人类遗传资源在中方临床机构内采集，并由中方临床机构委托的中方单位进行检测、分析和剩余样本处理等，且中方临床机构应与其委托的中方单位签署正式协议，明确委托检测和分析的人类遗传资源材料的种类、数量、检测内容、转运方式、剩余样本和数据信息处理方式等，并对其委托的活动负责。

③ 不涉及我国人类遗传资源材料出境的。

拟开展的国际合作临床试验如无法同时满足上述条件的，则须合作双方共同向科技部申请国际科学研究合作审批，如药品上市后的临床研究（已不满足上述第（1）项要求），具体审批程序及要求详见科技部颁布的《中国人类遗传资源材料出境审批行政许可事项服务指南》。

《管理条例》第二十六条规定：“利用我国人类遗传资源开展国际合作科学研究，合作双方应当在国际合作活动结束后6个月内共同向国务院科学技术行政部门提交合作研究情况报告。”

科技部《关于更新人类遗传资源管理常见问题解答的通知》（2022年03月02日）：“三、国际合作科学研究审批/1.总结报告要求“在国际合作结束6个月内”提交，“结束”是指？答：以审批决定书中国际合作执行期限为准。”根据该解答，“结束”指审批或备案的国际合作执行期限终止日。

根据上述规定，无论是经审批的国际科学研究合作，还是经备案的国际合作临床试验，外资成分药企与中方单位应在经审批或备案的国际合作执行期限届满后6个月内共同向科技部提交合作研究情况报告。

04 

国际合作过程中我国人类遗传资源信息对外提供或者开放使用的监管要求

《生物安全法》第五十七条规定：“将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的，应当向国务院科学技术主管部门事先报告并提交信息备份。”《管理条例》第二十八条规定：“将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用，不得危害我国公众健康、国家安全和社会公共利益；可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院科学技术行政部门组织的安全审查。

将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的，应当向国务院科学技术行政部门备案并提交信息备份。

利用我国人类遗传资源开展国际合作科学研究产生的人类遗传资源信息，合作双方可以使用。”

《管理条例》第二十四条第一款规定：“利用我国人类遗传资源开展国际合作科学研究，应当保证中方单位及其研究人员在合作期间全过程、实质性地参与研究，研究过程中的所有记录以及数据信息等完全向中方单位开放并向中方单位提供备份。”

根据上述规定，无论是否涉及相关信息的跨境传输，外资成分药企作为外方单位，程序上均应由选定的中方单位按规定将获取的我国人类遗传资源信息向科技部申请备案并提交信息备份后，方可向外资成分药企提供或者开放使用；如可能影响我国公众健康、国家安全和社会公共利益的，应当在通过国务院科学技术行政部门组织的安全审查后方可提供或者开放使用。同时，外资成分药企在研究过程中利用我国人类遗传资源所产生的所有记录以及数据信息等须全部向中方单位开放并提供备份。

根据《中国人类遗传资源信息对外提供或开放使用备案范围和程序》，对外提供包括网络传输、实体存储介质等形式，开放使用包括论文发表、论著发表、信息平台共享、会议发布等形式。

05 

知识产权归属

（一） 国际合作科学研究涉及的知识产权归属

《管理条例》第二十四条第二款规定：“利用我国人类遗传资源开展国际合作科学研究，产生的成果申请专利的，应当由合作双方共同提出申请，专利权归合作双方共有。研究产生的其他科技成果，其使用权、转让权和利益分享办法由合作双方通过合作协议约定；协议没有约定的，合作双方都有使用的权利，但向第三方转让须经合作双方同意，所获利益按合作双方贡献大小分享。”

根据科技部颁布的《中国人类遗传资源国际合作科学研究审批行政许可事项服务指南》，利用我国人类遗传资源开展国际合作科学研究涉及的知识产权包括但不限于专利、著作、数据、标准、工艺流程、软件、产品、商标、其他成果等。根据《管理条例》，利用我国人类遗传资源开展国际合作科学研究产生的成果，除专利权必须归合作双方（中方单位和外方单位）共有外，其他知识产权（包括但不限于所有权、使用权、利益分享权等）均属于自由约定范畴。

（二） 国际合作临床试验涉及的知识产权归属

实践中，药企开展的临床试验通常会经历包括探索性临床试验（以探索有效性为目的）、注册性临床试验（以获得批准上市为目的）在内的试验阶段。据了解，科技部门对不同临床试验阶段的专利权归属存在不同要求。

① 探索性临床试验（以探索有效性为目的）

针对探索性临床试验，一般会要求合作双方在合作协议中明确约定利用我国人类遗传资源所开展的临床试验研究产生的专利权归合作双方共有。实践中，合作协议中涉及专利权归属的条款还需根据项目实际情况由各方充分沟通。

② 注册性临床试验（以获得批准上市为目的）

针对注册性临床试验，目前对包括专利权在内的知识产权归属的规定较为宽松，合作双方可在合作协议中对专利权归属自由约定。

三

药企临床试验数据跨境传输（出境）的监管要求及合规路径

01 

数据、个人信息与临床试验数据的基本内涵及三者关系

随着我国《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》《个人信息出境标准合同办法》及相关行业标准的陆续出台，我国对数据安全及个人信息保护的程度正在日趋加强与完善。

《个人信息出境标准合同办法》自2023年06月01日起生效。

我国法律对数据和个人信息的基本定义如下：

根据《信息安全技术 个人信息安全规范》（GB/T 35273-2020），个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

根据《药物临床试验质量管理规范》（Good Clinical Practice，GCP）对部分名词的定义如下：

根据《临床试验数据管理工作技术指南》（以下简称《临床试验数据指南》），在临床试验完成后，应对试验过程中的文档进行存档，包括但不限于临床试验数据、外部数据等各类型信息。其中，临床试验数据是指试验中收集的所有数据，这些数据既包括记录在病例报告表上的数据，也包括非病例报告表收集的数据（例如实验室检查结果，心电图检查结果以及受试者电子日记）。

临床试验数据包括两大部分：一为流程管理信息，二为结果测量指标和观察项目的检测结果。

具体如下：

*：有些试验中，有些指标既是观察项目，又是结果测量指标或安全性指标。

吴泰相、卞兆祥、李幼平、商洪才：《促进我国临床试验数据管理规范化》，载《中国循证医学杂志》，2018年6月，第18卷第6期。

《临床试验数据指南》“五、数据管理工作的主要内容/（三）数据接收与录入”规定：“数据可以通过多种方式进行接收，如传真、邮寄、可追踪有保密措施的快递、监查员亲手传递、网络录入或其他电子方式。数据接收过程应有相应文件记录，以确认数据来源和是否接收。提交数据中心时应有程序保证受试者识别信息的保密。”“五、数据管理工作的主要内容/（十四）数据保密及受试者的个人隐私保护/2.受试者的个人隐私保护”规定：“临床试验受试者的个人隐私应得到充分的保护，受保护医疗信息包含：姓名、生日、单位、住址；身份证/驾照等证件号；电话号码、传真、电子邮件；医疗保险号、病历档案、账户；生物识别（指纹、视网膜、声音等）；照片；爱好、信仰等。个人隐私的保护措施在设计数据库时就应在技术层面考虑，在不影响数据的完整性和不违反GCP原则的条件下尽可能不包括上述受保护医疗信息，比如：数据库不应包括受试者的全名，而应以特定代码指代。”

根据《信息安全技术—个人信息安全规范》（GB/T 35273-2020），个人信息包含：个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息、其他信息；个人信息中的个人敏感信息包含：个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、其他信息。

就药企临床试验而言，个人生物识别信息、个人健康生理信息与临床试验数据的关联度较高。其中，个人生物识别信息包含：个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等；个人健康生理信息包含：个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况相关的信息，如体重、身高、肺活量等。

结合上表及上述规定，临床试验数据与个人信息的对应情况大致如下：

综上，数据与个人信息之间，以及数据与临床试验数据之间，均为包含与被包含关系，其中个人信息与临床试验数据之间存在一定的交叉关系。

02 

临床试验数据跨境传输（出境）的合规路径。

《临床试验数据指南》虽然规定了在数据管理过程中应采用去标识化等技术手段对临床试验受试者包括生物识别在内的个人信息予以充分保护，但根据不同药物的实际研发需要，仍不可避免地需保留部分个人生物识别信息（如个人基因）及个人生理健康信息中的大部分内容，以便于临床试验的开展。

 《个人信息保护法》第七十三条规定：本法下列用语的含义：（三）去标识化，是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

 此类信息属于《信息安全技术—个人信息安全规范》（GB/T 35273-2020）规定的“个人信息”范畴。

因此，药企在处理涉及我国临床试验受试者临床试验数据出境（如与境外机构或组织开展国际合作、海外专利申请、论文发表等）时，仍应遵守我国有关数据安全及个人信息保护的相关法律、法规。

《数据安全法》第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

国家互联网办公室制定的《数据出境安全评估办法》第四条规定：

“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

▲数据处理者向境外提供重要数据；

▲关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

▲自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

▲国家网信部门规定的其他需要申报数据出境安全评估的情形。”

《数据出境安全评估申报指南（第一版）》在此基础上进一步明确：

“以下情形属于数据出境行为：

① 数据处理者将在境内运营中收集和产生的数据传输、存储至境外；

② 数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；

药企相关人员在境外期间应避免通过登录企业数据库、网站或邮箱等方式查询、调取、下载、导出相关数据，药企亦可通过技术手段限制境外IP的访问。

③ 国家网信办规定的其他数据出境行为。”

根据《数据出境安全评估办法》第五条，数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估。

尽管目前国家尚未有正式文件对“重要数据”进行明确定义，但根据已公开的《信息安全技术 数据出境安全评估指南（草案）》附录A和《信息安全技术 重要数据识别指南》，临床试验数据（尤其来自我国人类遗传资源的数据）属于“重要数据”。此外，临床试验数据中涉及的个人生物识别信息、个人生理健康信息又属于“个人信息”中的“敏感个人信息”。

《附录A》“A.18.人口健康”重要数据包括但不限于：a）在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息；……g）个人和家族的遗传信息；……

《附录A》“A.21.食品药品”重要数据包括但不限于：a）涉及国家战略安全的药品在药品审批过程中提交的药品实验数据，例如在动物模型上进行的药理、毒理、稳定性、药代动力学等试验数据，在人体中进行的临床试验数据，以及与药品的生产流程、生产设施有关的试验数据；……d）食品药品安全重大（紧急）信息。包括事件发生时间、地点、当前状况、危害程度、先期处置、发展趋势、事件进展、后续应对措施、调查详情、原因分析；……

《个人信息保护法》第三十八条规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

▲依照本法第四十条的规定通过国家网信部门组织的安全评估；

▲按照国家网信部门的规定经专业机构进行个人信息保护认证；

▲按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

▲法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”

《个人信息保护法》第四十条规定：“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”

根据上述规定，数据处理者达到《数据出境安全评估办法》第四条规定标准的，应当在数据出境前开展数据出境风险自评估，并通过所在地省级网信部门向国家网信部门申报数据出境安全评估；未达到上述标准的，且拟出境数据涉及个人信息的，应至少采取个人信息保护认证或者与境外接收方订立合同的方式对拟出境数据中的个人信息进行保护。

因此，药企在全生命周期内，以及因业务需要向境外提供临床试验数据前，应采取包括但不限于以下措施：

① 药企应建立数据安全及个人信息保护的管理机构，制定及落实配套的数据管理制度，并由具备相应专业知识和相关管理工作经历的决策层成员担任负责人。

② 在日常经营过程中，即采取相应技术手段对相关数据是否分别属于我国人类遗传资源、重要数据、个人信息及敏感个人信息进行标记。

③ 拟出境的临床试验数据中如涉及我国人类遗传资源信息的，应由中方单位按规定向科技部申请备案并提交信息备份；其中可能影响我国公众健康、国家安全和社会公共利益的，应当通过国务院科学技术行政部门组织的安全审查。

④ 如相关临床试验数据包含个人信息，且存在以下任一情形的，药企应当事前进行个人信息保护影响评估，并对处理情况进行记录：

⑤ 如拟出境数据存在以下任一情形的，药企应在数据出境前开展数据出境风险自评估（详见《数据出境安全评估申报指南（第一版）》之附件4《数据出境风险自评估报告（模板）》），并通过所在地省级网信部门向国家网信部门申报数据出境安全评估：①拟出境数据为重要数据，②处理100万人以上个人信息的药企向境外提供个人信息，③自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的药企向境外提供个人信息，④国家网信办规定的其他需要申报数据出境安全评估的情形。

⑥ 拟出境的临床试验数据中如涉及个人信息的，药企在起草知情同意书及其更新件时还应遵照《个人信息保护法》和TC260-PG-20222A《个人信息跨境处理活动安全认证规范》等规定，充分保障受试者对其个人信息出境的知情权、决定权等权利，并落实知情同意书及其更新件的有效签署。

 其中：

1、拟出境数据中的我国人类遗传资源信息，应由中方单位开展数据出境风险自评估及申报数据出境安全评估（如需）。

2、目前涉及人类遗传资源审批、管理等工作主要由国家科技部直属事业单位中国生物技术发展中心的中国人类遗传资源管理办公室牵头负责。根据今年三月国家公布的《国务院机构改革方案》，中国生物技术发展中心划入国家卫生健康委员会（以下简称“国家卫健委”）。由此，中国人类遗传资源管理办公室一并划入国家卫健委，意味着涉及我国人类遗传资源的监管部门将可能发生相应调整，药企应密切关注后续部门调整情况。

3、拟出境的数据如未达到上述第5项所列标准的，药企虽然无需开展数据出境风险自评估及申报数据出境安全评估，但应采取至少其中一项措施：

▲ 按照国家网信部门的规定经专业机构进行个人信息保护认证。药企可向中国网络安全审查技术与认证中心申请个人信息保护认证，并取得认证证书。前述认证工作目前主要由国家市场监督管理总局直属的中国网络安全审查技术与认证中心负责。

▲ 按照国家网信部门制定的标准合同与境外接收方订立合同。药企可按照《个人信息出境标准合同办法》（自2023年06月01日起施行）的规定与境外接收方签订个人信息出境标准合同，并自标准合同生效之日起10个工作日内向所在地省级网信部门备案。

TC260-PG-20222A《个人信息跨境处理活动安全认证规范》第5.1条规定：开展个人信息跨境处理活动的个人信息处理者和境外接收方应签订具有法律约束力和可执行的文件。前述文件的主要内容与个人信息出境标准合同的主要内容大致相同。因此，在本项所列情形下，药企实际上均应与境外接收方签订个人信息出境标准合同并履行备案手续，再根据实际情况考虑是否额外申请个人信息保护认证。

4、根据《数据出境安全评估办法》第十四条，通过数据出境安全评估的结果有效期为2年，如有效期内评估事项发生变更，或者有效期届满需要继续开展数据出境活动的，均需要重新申报评估。

四

法律责任

01 

人类遗传资源

根据《生物安全法》和《管理条例》，违反有关规定的单位及个人，根据违法情节的严重性，除了承担停止开展相关活动、没收违法资源及所得等责任外，最高还将面临1,000万元或者违法所得（100万元以上）20倍的罚款，被限制行业准入或者永久禁入，甚至被追究刑事责任；侵害他人合法权益的，还应承担民事责任。

如有关人类遗传资源属于国家秘密的，还将依照《中华人民共和国保守国家秘密法》和国家其他有关保密规定予以处理。

02 

临床试验数据出境

《数据安全法》第三十一条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

根据《数据安全法》和《个人信息保护法》，违反有关规定的单位，根据违法情节的严重性，除了承担停止违法行为、没收违法所得等责任外，最高还将面临5,000万元或者上一年度营业额5%的罚款，相关责任人员最高将面临100万元的罚款，并被限制行业准入和追究刑事责任。

五

结语

随着我国对人类遗传资源、数据安全、个人信息保护相关法律、法规的逐步完善，药企及其从业人员在业务活动中对有关内容应充分重视，遵守相关规定。

作者简介

朱宏伟 律师

合伙人

业务领域：刑事法律服务、网络安全和数据合规、商事法律服务

胡洋 律师

合伙人

业务领域：证券上市、资本市场 、知识产权

近期研析推荐

ARTICAL