自贸区数据跨境新探索—以生物医药领域为切入口简评天津自贸区数据出境负面清单及上海自贸区数据跨境一般数据清单
2024年3月22日公布并生效的《促进和规范数据跨境流动规定》第六条允许自由贸易试验区在国家数据分类分级保护制度框架下,自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(也就是所谓的“负面清单”)。实际上赋予了各自由贸易试验区在国家数据分类分级保护制度的大框架下,按照各自的实际情况,以负面清单的形式对于本试验区的数据跨境流动监管做出一定个性化调整的权利。
不到两个月后,在2024年5月9日中国(天津)自由贸易试验区发布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下简称“天津自贸区负面清单”)。而在八天之后的5月17日,中国(上海)自由贸易试验区也发布了《中国(上海)自由贸易试验区临港片区数据跨境场景化一般数据清单》(以下简称“上海临港正面清单”)。很有意思的是,上海自贸区并没有采取天津自贸区的“负面清单”模式,而是采用了“正面清单”的模式对三个场景的数据跨境所涉及的一般数据进行了列举,其中包括了上海自贸区临港片区重点扶持的生物医药产业。所以,这两个差不多同一时间发布的清单,从正反两个方向对自贸区数据出境监管做出了初步的探索。本文以生物医药领域相关的数据为切入口,对两份清单进行一个简要的比较。
一. 总体介绍
《天津自贸区负面清单》是一份涉及13个大项,45个小项的综合性清单,基本涵盖了工业、金融、公共安全、交通运输、统计和电子商务等各个方面。而《上海临港正面清单》目前只涉及“生物医药”、“智能网联汽车”和“公募基金”三个临港片区重点扶持的领域。但每个领域又会细分为数个更加具体的场景,每个场景又会进一步分为数个数据类别,并有“典型示例和说明”以及“传输要求”。
《天津自贸区负面清单》适用于“天津自贸试验区企业向境外提供数据”的情况,所以其适用客体是天津自贸试验区内企业。而《上海临港正面清单》适用于在上海自贸试验区临港片区范围内注册,并且在临港片区内实际从事与数据跨境流动相关活动的企业、事业单位、机构协会和组织等。所以,除了注册地要求之外,还需要满足实际开展业务的要求。
此外,两份清单在监管措施上也略有不同。根据《天津自贸区负面清单》的规定,天津自贸区试验区企业向境外提供负面清单外的数据免于申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。但是,根据《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的规定,即便是一般数据清单内的数据,数据处理者也需要向临港片区管理委员会申请登记备案,并在备案之后方能自由流动。
二. 涉及生物医药领域相关内容的比较
如上文所述,《天津自贸区负面清单》是一份涉及多个领域的综合性清单,而《上海临港正面清单》只是一份涉及三个领域的有限清单。两者在体例上存在较大区别,所以下文中我们仅以两份清单中都涉及的生物医药产业来做一个对比。
在《天津自贸区负面清单》中,涉及生物医药产业的规定主要是第九大类“公共卫生类”中,第31项“健康医疗”、第33项“药品”、第34项“生物安全”以及第35项“疾控数据”。而生物医药领域的《上海临港正面清单》主要涉及“临床试验和研发”、“药物警戒和医疗器械不良事件监测”、“医学询问”、“产品投诉”和“商业合作伙伴管理”五个场景。由此可见《上海临港正面清单》的主要着眼点还是在“药”和“器”的研发、生产和经营。对比两份清单,有以下几个问题值得注意。
(一) 有关医疗器械的数据是否绝对不属于负面清单?
《天津自贸区负面清单》第九大类之包括了“药品”项目,并未单列“医疗器械”。 而在《上海临港正面清单》中,“临床试验和研发”以及“药物警戒和医疗器械不良事件监测”两个场景均明确涵盖了药品和医疗器械。
照此行文是否可以认为在天津自贸区所有与医疗器械的研发、生产、经营、售后和警戒相关的数据都不属于负面清单数据?但我们知道,医疗器械和药品在研发、生产、经营和售后等方面有诸多相似之处。比如,药品上市前需要进行临床试验,而一部分医疗器械在上市之前也需要进行临床试验。药品上市后需要建立药物警戒制度,医疗器械上市后也要建立相应的不良事件监测制度。在这些过程中产生的数据以及收集的个人信息具有较高的相似度,似乎针对医疗器械的相关数据也有必要比照药品进行监管。这一点有待后续进一步明确。
(二) 可自由流动的试验数据该如何界定?
《上海临港正面清单》中明确了有4类“临床试验和研发”数据属于可以自由流动的一般数据。分别是去“标识化受试者个人基本资料”、“受试者健康生理信息”、“研究者个人基本资料”以及“研究者教育工作信息”。从内容上来看,这四类都是与临床试验相关的数据,而不包括临床前实验的相关数据。一般而言,临床前试验包括了药效研究、药代动力学研究和毒物研究等基础性实验室研究,似乎没有必要将这些研究产生的数据排除在一般数据的范畴之外。笔者猜测,可能是目前自贸区企业对于临床试验过程中的数据跨境有较为迫切的需求,所以先将临床试验的数据列入了一般数据的范围内。
而在《天津自贸区负面清单》中,“关系人民群众用药安全,影响生物安全、公共安全的数据。如涉及特定药品实验数据,以及与药品生产流程、生产设施有关的试验数据等”被列在了负面清单中。但是“关系人民群众用药安全”的定义十分宽泛。理论上来说所有的临床试验数据都是直接或间接地关系到用药安全的。此外,“涉及特定药品”具体指的是哪些药品也没有明确的定义,有待进一步明确。
(三) 对于人类遗传资源的表述略有不同。
在《上海临港正面清单》中,对于人类遗传资源信息的跨境,原则上按照《人类遗传资源管理条例》办理备案,但对于“可能影响我国公众健康、国家安全和社会公共利益的”应当通过国务院卫生健康主管部门组织的安全审查,其表达与《人类遗传资源管理条例》一致。也就是说涉及人类遗传资源方面的信息并不包含在正面清单内,而需要按照特别法规另行处理。
在《天津自贸区负面清单》第31项目中提到“反映种族整体情况或者关系生物安全的遗传资源数据”属于负面清单数据,其表述与《人类遗传资源管理条例》略有不同。但是,《人类遗传资源管理条例》作为涉及人类遗传资源管理的专门法律,数据处理者在进行人类遗传资源信息跨境提供的时候肯定还是需要优先遵守《人类遗传资源管理条例》的相关规定的,所以在实务中应该不会有太大的差别。
(四) 临床试验、药物警戒以及不良事件监测过程中获取的个人信息该如何处理?
临床试验、药物警戒以及不良事件监测过程中获取的个人信息的定性和处理一直都是颇受关注的问题。
比如,在药品临床试验中,由于原则上需要采取双盲模式,所以申办者(药品开发企业)一般接触到的都是受试者的去标识化的个人信息。但是,由于临床试验机构尚可以对该等个人信息进行“揭盲”。所以多数意见认为这类个人信息只属于《个人信息保护法》上的“去标识化”后的信息,尚达不到“匿名化”的标准。而根据《个人信息保护法》的规定,去标识化后的个人信息仍然按照个人信息进行规制。而药品企业在实施药物警戒的过程中则很有可能直接接触到未经去标识化的个人信息。并且,不论是临床试验还是药物警戒,这些个人信息都是涉及信息主体“医疗健康”方面的信息,所以极有可能被归入“敏感个人信息”的范畴。
《天津自贸区负面清单》对于这一问题并没有做出特殊的规定,要求“关键信息基础设施运营者之外的数据处理者自当年1月1日起累计向境外提供100万人以上的个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”的需要办理数据出境安全评估,“关键信息基础设施运营者之外的数据处理者自当年1月1日起累计向境外提供10万人以上的个人信息(不含敏感个人信息)或者不满1万人敏感个人信息”的需要签订个人信息出境标准合同或者通过个人信息保护认证。与《促进和规范数据跨境流动规定》的要求完全相同。
而《上海临港正面清单》将临床试验中“去标识化受试者个人基本资料”和“受试者健康生理信息”以及药物警戒和医疗器械不良事件监测中“去标识化患者个人基本资料”、“患者基础生理状况信息”以及“患者医疗记录”等信息都列入了一般清单中。但是《上海临港正面清单》也在前文部分中按照《促进和规范数据跨境流动规定》的规定明确“一般数据清单中涉及个人信息的,应满足数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)”。
照此表述,似乎可以理解即便是列入《上海临港正面清单》的去标识化的个人信息,只要涉及个人信息的,还是需要按照《促进和规范数据跨境流动规定》来处理。但是,如上文所述,诸如“受试者健康生理信息”和“患者基础生理状况信息”以及“患者医疗记录”等信息几乎肯定属于敏感个人信息,将这些信息纳入一般数据清单管理,是否又与一般数据清单制度的出发点有冲突?这个问题有必要进一步厘清。
三. 总结
不论是《天津自贸区负面清单》还是《上海临港正面清单》都是自贸区在数据跨境方面做出的重要尝试。笔者认为《天津自贸区负面清单》最大的意义在于提供了一份相对来说比较具体的“重要数据”清单。自《数据安全法》生效以来,如何界定“重要数据”一直都是倍受各方关注的问题。并且《促进和规范数据跨境流动规定》也明文规定“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。所以,各界都期待“重要数据”的具体范围和内容可以进一步予以明确,而《天津自贸区负面清单》无疑是一个很好示范。但是,目前来看《天津自贸区负面清单》虽然涵盖面很广,但其表述还是比较模糊,在具体运用的时候可能还是会有一定的不确定性。
《上海临港正面清单》作为一份正面清单,其最大的特点在于所界定的范围和场景比较明确具体,便于实际运用。但笔者认为《上海临港正面清单》最需要明确的一个问题是,是不是没有列在正面清单里的数据就一定不属于一般数据。因为按照《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》的规定,自贸区对于数据跨境采取分级管理模式。将数据分为核心数据、重要数据和一般数据三类。对于重要数据采取重要数据目录管理,对于一般数据采取一般数据清单管理。照此体系,一般数据和重要数据似乎是一个非此即彼的关系,没有列在一般数据清单的数据就都必须按照重要数据来处理。笔者认为,比较合理的做法应该是将正面清单看作是一种非封闭性列举的“安全港”条款。即纳入正面清单的数据肯定属于一般数据,而没有纳入正面清单,也没有纳入重要数据目录的数据仍然有被个别地认定为一般数据的可能,这样才能与负面清单的整体管理体系相契合。
自贸区数据跨境新探索—以生物医药领域为切入口简评天津自贸区数据出境负面清单及上海自贸区数据跨境一般数据清单
如何正确理解《规范和促进数据跨境流动规定(征求意见稿)》
新冠疫情防控政策由“乙类甲管”变更为“乙类乙管”后的劳动管理问题解析
《公司法》修订草案主要看点—从“董事会中心主义”的角度
交易相对方存在破产清算风险时,债权人企业如何应对?
个人信息保护法角度下的职场监控问题
《个人信息保护法》若干重点问题解说
《网络安全法》施行四周年实践观察(三):执法情况及典型处罚案例