数据合规:跨国医药企业数据出境的全栈式合规进路探析(附报告)

来源:北京吴少博律师事务所

文章摘要
前言 在现代全球经济中,数据是最有价值的资源。企业使用数据为客户创造价值,并增加利益相关者的利润。我国也在逐渐探索数据价值,2019年党的十九届四中全会首次将数据作为生产要素纳入生产分配序列。
前言
在现代全球经济中,数据是最有价值的资源。企业使用数据为客户创造价值,并增加利益相关者的利润。我国也在逐渐探索数据价值,2019年党的十九届四中全会首次将数据作为生产要素纳入生产分配序列。2022年6月22日,国家召开中央全面深化改革委员会第二十六次会议审议通过《关于构建数据基础制度 更好发挥数据要素作用的意见》(即《数据二十条》),旨在构建合规高效、场内外结合的数据流通交易制度。在数据流通交易中,跨国公司作为海内外数据存储的庞大数据处理者,经常会涉及到跨境数据合规的问题。为回应这一问题,本文从数据的权利属性出发,借鉴域外跨境数据的监管动态,重点解读了跨国药企的数据出境场景和选择路径,建议跨国药企全面审查风险和提高合规应对能力。
数据本体含义,是一种数字化的证据和依据,是指任何以电子或者其他方式对信息的记录,其载体比较广泛,包括数值、文本、图形、图像、声音、和视频等。数据出境是指数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息。随着数字智能化、大数据时代的到来,数据因具备新型生产要素特征,可以创造和捕获新经济资源,并转换成商业价值。因而,数据已经成为企业的一种无形资产,数据资产需要权利化予以保护,数据出境需要合规化预防风险。
一、理论前提:数据权与数据产权的二重构造分析
(一)数据的权利属性
数据安全出境的前提是数据存在权利基础,受到法律予以保护。数据权利由数据的所有权、采集权、存储权、隐私权、使用权、知情权、可携权等基本权利构成,其主体是公民,是由人格权和数据财产权构成的综合性权利集合。1
1. 数据的人格权属性
关于数据的人格权属性争议颇多,但是多数观点是赞成数据具备人格权属性。目前,我国法律法规未有对数据人格权属性的明确规定,我国立法也没有明确提到“个人数据”的概念,只有对“个人信息”的相关阐述。一般来说,个人信息的电子化保存记录属于数据涵盖的一部分。我国《个人信息保护法》第四条、《网络安全法》第七十六条规定第五款以及《民法典》第一千零三十四条均提出个人信息的基本概念,是一种可以识别的自然人有关的各种信息,包括姓名、健康信息在内的集合性信息,而民法典规定的人格权同样包括了民事主体享有的健康权、姓名权、名称权、肖像权、隐私权等权利,由此可见,数据权与姓名权、隐私权等有重叠特征,具备人格权属性。著名民法学家王利明也指出,网络环境下个人的所有行为都可能被收集为个人信息,所有的个人信息碎片都可以被网络数字化处理形成个人信息的“人格拼图”,2同样赞成个人信息权是一种独立的人格权。另外,从数字人权的角度来看,有学者提出数字人权的具体形态包括上网权、隐私权、网络表达、个人数据权、数字身份权、数字弱势群体的权利等子权利。3个人数据权属于数字人权的一种,同样论证了数据的人格权属性。
2. 数据的财产权属性
数据的财产权属性似乎已经成为一种共识。数据通常包括基于个人信息的数据、商业数据和公共数据等类型。首先,从个人信息数据处分的角度分析,个人有权自主决定是否授权个人信息处理者采集、处理自己的数据,这表明数据属于个人的一种财产。其次,基于企业数据资产的角度,商业数据具有可转让性、可交易性,数据可以为企业带来财产利益。最后,从国家数据层面分析,公共数据同样也是国家财产的组成部分。此外,数据的财产权属性在实践中也得到印证,例如截止2022年我国已经成立了39家大数据交易所,中共中央、国务院在2022年《数据二十条》专门提出要构建数据产权制度、数据要素流通和交易制度、数据要素收益分配制度等,以适应市场经济的需求。
(二)数据产权制度的“三权分置”
1. 数据产权制度的顶层设计
数据产权框架淡化数据所有权,强调数据使用权,以促进数据使用权流通为核心目标,是我国独创的具有中国特色的数据要素产权制度。其基本模式是根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,推进非公共数据按市场化方式“共同使用、共享收益”的新模式,最终为激活数据要素价值创造和价值实现提供基础性制度保障。4
2. 数据三权分置的三权关系厘清
数据资源持有权是数据处理者使用数据权益的前提和基础。合理保护数据处理者可以对依法依规持有的数据实行进行自主管控。5可以发现,此处使用的概念词是“持有权”,而不是“所有权”,是因为数据具有流通性和重复利用性,并且涉及到数据提供者、数据处理者等多方主体,与传统的支配性排他性物权相比,很难界定数据占有、使用、收益、处分的所有权确权模式。
数据加工使用权是赋能数据商业价值的必要途径。在保护公共利益、数据安全、数据来源者合法权益的前提下,承认和保护依照法律规定或合同约定获取的数据加工使用权。6鉴于数据庞杂,并非所有的的数据都能实现增值转换,这就需要数据处理者通过科学的分析方法对个人信息数据进行加工、使用,提取有价值的数据,保障其投入的劳动和其他要素贡献获得合理回报。
数据产品经营权是数据产权资源整合的关键。在数据产品的形成过程中,尽管数据产品的内容来源于用户信息等原始数据,但是,数据处理者通过提供服务、签订合同等合法方式收集数据,并通过筛选、特定组合、深度开发、系统整理的大量的劳动赋予了数据更高的价值。7数据产品经营权是数据处理者智力劳动成果的转化,是一种竞争性、知识产权性权益,旨在保护经加工、分析等形成数据或数据衍生产品的经营合法权益。
二、前端进路:跨境数据流通的域外合规监管动态
全球贸易发展已经呈现出产业服务化、服务数据化的演进态势,2019年起全球跨境数据流产生的GDP总值已超过跨境商品流,跨境数据已经从个人信息泛化到包括了非个人信息的一切数据范围。全球各国高度关注跨境数据领域建立国际规则的问题,跨境数据问题已经成为维系世界平衡甚至和平的重要因素。因此,中国企业需要关注国外针对数据出境的监管规则和执法动态。
(一)日本对跨境数据的监管动态
根据日本个人信息保护法第28条第1款规定, 个人信息处理者在向外国的第三方提供个人数据时,需要事先取得个人信息本人同意,并且要符合以下(1)至(3)中的任一项的情况。
首先需要把握数据输出地国法律环境,(1)该第三方作为具有与日本同等水平的个人信息保护制度的国家。(2)该第三方为了继续采取与个人信息处理经营者应采取的措施相当的措施,完善了符合规则规定标准的体制。当然,也有一些(3)其他情形(基于法律法规提供个人信息;为了保护人(包括法人)的生命、身体或财产等具体权益免受侵害,需要提供个人数据,且难以得到本人的同意;为提高公共卫生或培养健全身心的儿童,在特别需要情况下提供个人数据,且难以征得本人同意;国家的机关等在实施法律规定的事务,需要得到民间企业等协助的情况下,关于合作的民间企业等向该国家的机关等提供个人数据,得到本人的同意有可能妨碍该事务的执行;学术研究机构等提供个人数据,且该个人数据的提供基于学术研究成果的公布或教学不得不公布;学术研究机构等接受个人数据的第三方提供的情况,且该学术研究机构等需要以学术研究为目的处理该个人数据的情况等情形)。
关于外国第三方,日本个人信息保护法特别规定外资企业的日本法人向外国的母公司提供个人数据时,该母公司属于“外国的第三方”。针对向外国第三方提供个人数据,日本规定主要方案有同意及相当措施。使用同意方案时,需要向本人提供:1)提供方的第三方所在国的名称;2)通过适当和合理的方法获得的有关外国个人信息保护制度的相关信息;3)对于该第三方采取的个人信息保护措施的信息,在本人认识后同意。使用相当措施方案是指,从旧个人信息保护法时代开始,例如关于委托合同和共同使用合同上,记载了日本个人信息保护法所要求的内容,在集团政策中实施了确保日本个人信息保护法所要求的相当措施。此种情况,向外国第三方提供不需要本人同意。
另外,为应对全体社会数字化,满足个人信息保护和数据流通的双重要求,日本设立了专门委员会作为独立规制机关,处理个人信息,确立集中监督个人信息的体制。由此,委员会对行政机关部门(会计检查院除外)以及公司法人,要求提交资料以及实地调查、指导和建议。委员会与信息公开·个人信息保护审查会通力合作,努力确保个人信息保护法的顺利实施。8
值得注意的是,2016年4月以后,日本与欧盟委员会之间为构建相互顺利转移个人数据的框架开展对话,并于2018年7月,日本个人信息保护委员会和欧盟委员会确认了最终协议。9可谓是有效促进数据流通和数据安全保障。
(二)欧盟对跨境数据的监管动态
欧盟2016年《通用数据保护条例》(GDPR),以及(a)英国2018年《数据保护法案》和英国脱欧后的相关现行法,以及(b)欧盟成员国现行法,允许将个人数据传输到欧洲经济区(EEA)以外的地区,这些地区尚未被指定为对个人数据提供“充分”保护,仅在以下情况下是可以合法传输个人数据。GDPR列出了一些保障措施:1)具有约束力的公司规则-仅适用于公司间转让。2)标准合同条款-目前适用于控制器到控制器,控制器到处理器,转让。正在审查更新的标准合同条款草案,将涵盖处理器对控制器和处理器对处理器的转让。3)批准的认证机制(例如2022年10月7日重新启动的欧盟-美国隐私保护框架)。
当然,在缺少适当保障措施的情况下,仍少许情况(减损条款)可以进行个人数据的转移,包括:1)数据主体在被告知此类传输的风险后,仍明确同意跨境传输。2)基于数据主体的利益,转让是履行数据主体与控制者之间的合同,或控制者与第三方之间的合同所必需的。3)出于欧盟或成员国法律承认的公共利益的重要考量而跨境转让(注意,这通常仅适用于政府当局之间的国际数据交换,很少适用于出于商业目的的传输)。4)基于建立、行使或辩护的法律诉求,需要跨境数据传输。5)在数据主体无法同意的情况下,基于对保护数据主体或其他人的切身利益必要而跨境数据传输。10GDPR跨境数据的域外适用是各国参照和学习的典范。
(三)美国对跨境数据的监管动态
与欧盟不同,美国没有联邦层面的普遍适用和全面的隐私立法制度。一些隐私条款散见于行业性立法中,例如自动驾驶汽车测试法规。此外,虽然加州在颁布州隐私法方面处于领先地位,但包括弗吉尼亚州、科罗拉多州、犹他州和康涅狄格州在内的其他州最近通过了全面的隐私法规,这些法规于2023年生效。
美国最有影响力的通用隐私法是2018年《加州消费者隐私权法案》(CCPA)。CCPA管理与加州居民相关的数据,并适用于所有行业。2020年加州又通过了《加州隐私权法》(CPRA)作为CCPA修正案,该修正案于2023年1月1日生效。CCPA适用于收入在2500万美元或以上,或拥有至少5万名个人数据的组织。根据该法案,加州的每个居民都有权查看公司保存的关于他们的所有数据。如果消费者认为一家公司在数据方面违反了CCPA,他们有权起诉该公司。需要注意的是,该法案适用于加州消费者的个人信息数据,而不是公司的商业数据。因此,即使一个跨国公司在加利福尼亚州没有实体存在,如果它存储任何加州居民的数据,它仍然会受到CCPA的规制。11
在医疗领域,美国制定了《健康保险携带和责任法案》(HIPAA),其中的“隐私规则”范围包括患者医疗信息、基因信息、保险信息等个人信息,规范了患者信息的保密性,适用于大多数医疗健康提供商、健康保险公司和医疗健康信息交流所以及相关业务合作伙伴。12
三、中端进路:跨国医药企业数据出境的模拟场景
2022年上半年,至少有51家中国创新药企在紧锣密鼓地推进“出海”业务。2022年5月18日,国内新药研发投入名列前茅企业恒瑞医药宣布设立全资子公司,大举进军海外市场。我国大型跨国药企业务出海,必定伴随着生成多种类型的数据出境场景和数据出境申请程序。
(一)药企数据出境的类型
1. 人类遗传资源信息数据跨境传输
人类遗传资源是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸(DNA)构建体等遗传材料及相关的信息资料。现实中,医药企业根据自身条件和相关研究开发活动需要,或者为开展国际合作科学研究,提升相关研究开发能力和水平,或者在生产、经营的日常活动中往往会涉及到采集、保藏、利用、对外提供人类遗传资源。
2. 临床试验和新药注册数据跨境传输
如果我国药企向美国申请新药上市,需要向美国食品与药品管理局(FDA)提出新药临床试验审批申请(IND)和新药注册申请(NDA)。IND是指当药品已经具备足够的数据证明该药品是安全时,需要向FDA提交新药临床试验申请。在临床研究申请中,新药申请者必须提交至少两个领域的材料。
首先,新药申请者必须向FDA公布所有临床前研究的结果,提供该药组成的信息,以及该新药的生产与质控程序。
其次,申请者必须提供临床研究的计划书。临床试验结束之后,药物申请者可提交一份NDA,通常需要提供药品生产信息、非临床药理药理和毒理数据、临床数据、病例报告表、专利情况、包装、标签等。
再次,国际多中心临床试验(Multi-regional clinical trual, MRCT)作为跨国医疗合作形式已经被广泛应用,并成为新药注册临床试验数据的主要来源,受到不同国家的新药申请监管。如果我国药企试验申办者将统一数据处理中心设置在了境外,同样涉及到跨境数据流通的问题。
最后,使用EDC临床试验系统,该系统部署在境外服务器上的话,也会涉及到数据跨境传输。电子数据采集(Electronic Data Capture, EDC)是基于IT技术采集临床试验数据,通过软件、硬件、标准操作程序和人员配置的有机结合,以电子化的形式直接采集和传递临床数据。目前,EDC系统已经成为国际公认的数据管理系统。
3. 批量健康管理数据和员工数据跨境传输
跨国药企一般在多个国家和地区设立子公司,其保存的患者个人信息、诊疗信息、健康信息以及员工相关的个人体检信息、健康信息等移动健康数据都有可能涉及到跨境数据流动,虽然医疗相关人员之间具有保密义务,但是企业内部数据流动性较强,往往会忽视数据跨境流动的安全合规性问题。
(二)数据出境的路径选择
2023年2月3日,《个人信息出境标准合同办法》审议通过,标志着我国“三驾马车”《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》正式落地,跨境数据传输路径归于完整。从企业层面,跨国药企数据类型可以划分为重要数据、核心数据、个人信息,分别适用不同的数据出境路径。

四、后端进路:跨国医药数据出境的合规性审查与应对
随着我国数据安全法和个人信息保护法相关法律法规的不断完善,执法机关日趋严格的监管要求,医疗医药行业数据出境迎来了新的合规挑战,建议跨国药企可以从以下维度开展合规性审查工作。
(一)建立数据出境合规内部合规审查机制
跨国药企应建立专门的数据出境合规内部审查委员会,由具备计算机和法律等背景的人员构成,对数据资产和信息系统的处理,承担全面责任。数据出境合规内部审查委员会主要负责系统梳理公司内部数据资产、形成数据本地化存储体制、识别数据跨境场景、排查数据潜在风险四个方面开展合规性审查工作。

(二)数据出境前风险自评估的合规性审查
跨国药企在数据出境之前,应充分做好风险评估合规性审查工作。涉及到的风险评估内容包括出境申报风险评估和签订个人信息出境标准合同风险评估。建议跨国药企在数据出境前列举详细的风险清单。
数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估重点事项包括以下内容:

签订个人信息出境标准合同的前提是,个人信息处理者向境外提供个人信息的,应当取得个人信息主体的单独同意。并且,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,审查的重点事项包括以下内容:

(二)数据出境后安全管理的合规性审查
数据出境之后,并不意味着跨国药企针对数据管理不存在任何风险,鉴于数据的不可控性和流动性较强,反而更要加强数据的出境后安全管理工作。跨国药企应高度关注数据出境地的法律监管动态,并建立数据动态监控系统,时刻审查所持有的数据是否有非合规性变动,是否涉及到侵权等问题,建立风险应急处理机制。另外需要额外注意的是,通过数据出境安全评估的结果有效期为2年,有效期届满,如果跨国药企需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。
结语
2023年,国家数据局即将组建成立,我国的数字化治理工作迈上了一个台阶,这也是国家对数据监管的坚定方向,可以预测执法机关针对数据安全、个人信息保护的监管力度会大幅度加强,跨境数据更是伴有国际流动的特点,很有可能成为重点监管对象。因此,跨国企业需要高度重视企业内部数据治理工作,为保持出海业务上的平稳运行,在跨境数据合规的重点领域不容忽视。
参考文献
[1] 连玉明,《数权法1.0:数权的理论基础》,社会科学文献出版社,2018年12月。
[2] 王利明,《论人格权商品化》,法律科学,2013年第4期。
[3] 郑智航,《数字人权的理论证成与自主性内涵》,华东政法大学学报,2023年第1期。
[4] 《关于构建数据基础制度更好发挥数据要素作用的意见》,中共中央国务院,2022年12月2日。
[5] 邓辉,《数据“三权分置”的体系展开与思考》,中国社会科学报,2022年9月28日总第2501期。
[6] 《个人信息保护法律指南(向外国第三方提供编)》,个人信息保护委员会,2021年10月部分修订。
[7] 《日本-欧盟跨境数据转移》,个人信息保护委员会。https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/
[8] See Lisa Acevedo(ed.) , US and EU Data Localization and Data Transfer Restriction Laws, August 10, 2021.
https://www.natlawreview.com/article/data-localization-and-data-transfer-restrictions
[9] See Heather Devane,The Complete Guide to Data Security Compliance Laws and Regulations,November 2, 2022.
https://www.immuta.com/blog/the-complete-guide-to-data-security-compliance-laws-and-regulations/
[10] See Brock Dahl, Kimberly Zelnick and Timothy Howard , Data Privacy & Transfer in Investigations: USA - Global Investigations Review, September 15, 2022.
https://globalinvestigationsreview.com/insight/know-how/data-privacy-and-transfer-in-investigations/report/usa
[11] 《工业和信息化领域数据安全管理办法(试行)》,工业和信息化部,2022年12月23日。
[12] 《数据出境安全评估办法》,国家互联网信息办公室,2022年7月7日。
[13]《个人信息出境标准合同办法》,国家互联网信息办公室,2023年2月3日。
技术驱动法律,专业成就未来