新规整改倒计时，详细解读《数据出境安全评估办法》落地与实践！

随着《数据出境安全评估办法》整改期限（2023年3月1日）的逐渐临近，医药行业发展、临床试验数据跨境流动与法规政策要求之间的考量成为各方关注的焦点。医药研发数据天然带有极高的敏感性，如何处理数据应用与数据保护之间的紧张关系在当前更是成为国内医药企业亟需解决的问题。

对此，积极响应用户需求，从适用范围、合规实践、申报流程等角度详细解读《数据出境安全评估办法》，并且通过具备前瞻视野的法规团队和先进的临床试验数字化技术为企业规避合规风险、降低合规成本提出了实用的建议和应对方法，为用户营造更为稳定的发展环境。

一、明确适用范围，细化应用场景

面对《数据出境安全评估办法》，我们首先需要确定该法规的适用范围。针对这一问题，详细分析了法规的各项要求，并结合当前医药行业发展情况，细化了数据出境活动的定义和应当申报数据出境安全评估的情形。

《数据出境安全评估办法》规定的数据出境活动主要包括：数据处理者将在境内运营中收集和产生的数据传输、存储至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。对于申办方和CRO而言，常见涉及临床试验数据的出境业务场景有以下三种。

常见出境业务场景

1. 跨境申报新药临床试验审批(“IND”)和新药注册申请(“NDA”)

境内企业向境外药品监管机构申请IND时，一般需要就该临床试验申请向境外药品监管机构提交总体研究计划、研究员手册、临床研究方案、药理和毒理信息、已有人体临床经验等。在NDA阶段，境内企业通常需要向境外监管机构（如FDA）提供药品生产信息、非临床药理和毒理数据、临床试验中产生的人体药代动力学和生物利用度数据、微生物数据、临床数据等。

2. 国际合作研究涉及的临床试验数据出境

外方单位与中国合作方共同开展国家合作研究，涉及临床试验的，可能会伴随相关临床试验数据的出境。在该场景下，企业方除了需根据《人遗条例》就国际合作中涉及的人类遗传资源材料及人类遗传资源信息的出境向科学技术行政部门申请相关审批或备案外，其他不属于人类遗传资源信息的临床数据也可能随着研究项目的开展需要向境外提供。

3. 使用EDC系统或其它系统服务器将临床数据向境外提供或对外开放

当前电子数据采集系统已经在全球临床试验中受到广泛应用，但若该采集系统或其它系统的数据传输设置需要将数据传输出境，或将数据向境外主体开放访问权限，或其服务器和运维部署在境外，都可能构成临床试验数据出境，从而需要申报数据出境安全评估。

二、解读评估条例，引领合规实践

在明确数据出境活动的定义之后，我们再来查看应当申报数据出境安全评估的要求：

申报出境评估条例

1，数据处理者向境外提供重要数据；

2，关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

3，自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

4，国家网信部门规定的其他需要申报数据出境安全评估的情形。

在这四个条款中，第二个条款的门槛相对较高，大部分医药企业不会受到该项要求影响。第四个条款则是作为前三个条款的补充说明，与未来网信部规定变动关联较大，目前没有明确具体范围，且具有极强的不确定性。而第一个条款和第三个条款则将对医药行业的数据出境产生较大影响。

当前，数据主管部门及医疗行业主管部门尚未对医药领域的重要数据制定具体目录，但网信办在2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》中对重要数据进行了定义和列举，其中包括人口与健康数据（监测数据、诊断治疗数据、试验数据等）。《个人信息保护法》更是将“医疗健康”信息（不良反应报告信息等）视为敏感信息，并且要求将个人信息提供给其他个人信息处理者以及向境外提供时都需要获取个人信息主体的单独同意。

显然，无论是第一条的“重要数据”还是第三条的“敏感数据数量要求”，CRO和申办方在实践中都容易触发相应的安全门槛，这也给CRO和申办方带来了更多合规要求。在具体实践上，这些合规要求主要体现在以下两方面：

合规实践要求

取得同意。此等同意必须是个人信息主体明确授权同意。医疗行业通常可采取与个人信息主体签署格式文本的方式，但必须对个人信息的收集、保管、处理、利用等一系列授权信息进行着重标记，并就相关授权的目的、可能产生的风险等向个人信息主体进行解释。

通过评估。一方面，数据处理者自行组织对数据出境涉及到的信息交换的合法性、必要性以及安全影响进行评估，并对评估结果负责，另一方面，数据处理者需要通过国家网信部门数据出境安全评估。

面对法规要求，在此建议相关企业提前制定应对策略，并判断是否可以减少或者避免临床试验数据的出境业务场景，例如选择服务器和运维部署在境内的EDC系统，以降低合规风险。

三、图解申报流程，梳理评估细节

在明确了《数据出境安全评估办法》的适用范围和企业应当采取的合规实践后，我们也针对客户需求，图解了数据出境安全评估的申报流程（下图所示），便于相关企业在处理和向境外提供临床数据的过程中切实履行有关自评估、信息申报等法规要求。

需要注意的是，通过数据出境安全评估的结果有效期为2年，该期限自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估。

重新申报评估情形

1，向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；

2，境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；

3，出现影响出境数据安全的其他情形。

有效期届满，需要继续开展数据出境活动的数据处理者应当在有效期届满60个工作日前重新申报评估。而临床试验持续时间较长，且当前国内外数据保护和出境信息管理法律法规不断完善、细化，这使得医药企业面临更高的合规成本和更不确定的合规挑战。

因此，我们也应该认识到，局限于一个区域中心的数据管理模式已经无法适应全球越发严格的数据保护与管理法规。就长远战略来说， “分布式部署”和“区域化管理”将帮助出海企业和跨国企业抢占全球化发展的市场先机。

未来，将继续跟踪国内外相关法规动态，并不断根据法规的变动和客户的需求不断完善Clinflash系列系统的各项功能，以优质的临床试验数字化技术赋能全球医药研发进程！