文章导读
医药行业作为关系国计民生的重要行业,其合规性一直受到社会各界的高度关注。近年来,随着国家对医药行业的监管力度不断加大,医药企业也愈发认识到医药合规的重要性。海润天睿在医药企业的公司治理、知识产权、刑事预防等方面形成了全链条的服务模式,因此,特设《医药合规专题》把实务经验整理成专业文章,以为医药企业的合规提供参考。
随着生物医药行业的不断发展和数字化进程的加速,数据已成为推动生物医药行业创新与发展的核心驱动力,从药物研发的海量实验数据到患者的个人健康信息,从精准医疗的基因数据到市场推广的客户信息,每一个数据都蕴含着巨大的价值。在市场竞争中,合规的企业也往往更容易获得投资者的信任和支持,吸引更多的资金投入。
随着数据重要性的不断提升,数据合规的挑战也日益严峻。严格的数据保护法规和监管制度如同悬顶之剑,时刻提醒着企业数据合规的重要性,一旦违规,企业可能面临巨额罚款、声誉受损甚至法律制裁。这场风险与机遇的博弈,不仅关系到企业的生存与发展,更关乎患者的权益与社会的公共利益。本文徐婧媛律师团队将探讨生物医药企业数据合规中的机遇与风险,为企业找到平衡与发展之路。
文章关键词:生物医药、数据合规、医疗数据
开始阅读
一、机遇满满:新环境下生物医药企业迎来数据创新机遇
实践中,已经有相当一部分企业乘上了数字化时代的东风,利用生物医药领域的行业特点和优质数据资源,实现升级赋能、经营增长。也有企业已经意识到在数据合规管理方面的有效措施可以推动数据业务的健康发展,促进生物医药数据的合理流通和价值实现:
案例一:昊邦医药集团深耕生物医药和大健康领域,近几年,在数字化技术的加持下,成立了数字中心、搭建“云审方”平台和“云药在线”B2B电商平台、建设互联网医疗中心,实现商业模式升级。昊邦医药集团的第三方医药物流平台实现交易额达50亿,智慧化升级完成后运营成本降低20%。生产效率提高25%以上。
案例二:由于生物医药领域涉及大量敏感个人健康生理信息,对数据出境的合规要求极高,北京自贸试验区(大兴)数据跨境服务中心协助拜耳(中国)有限公司开展数据出境合规自查及整改工作,仅用两个月时间高效完成场景申报,并顺利通过国家网信办评估,其中临床试验和药物警戒全字段通过,为医药行业树立了数据出境合规标杆,这也是我国首个外资生物医药行业企业获批的数据出境安全评估案例。
案例三:药融云数字科技(成都)有限公司 “药融云全球生物医药” 系列产品在数据合规方面表现出色。在数据收集、数据整理和加工、数据交易等环节严格遵守相关法律法规,实现产品成功在上海数据交易所数据交易系统挂牌交易,成为上海数据交易所认可的合规安全产品。
二、挑战重重:强监管下生物医药企业面临数据合规风险
(一)制度监管层面
生物医药企业作为大量敏感数据的持有者和处理者,国家对其所涉数据制定了更为严格和具体的监管规定,范围包括数据类型、生命周期、跨境传输、研究伦理、医疗信息应用、个人信息保护等。笔者简单列举几项如下:
点击查看大图
除了法律法规作为基础支撑,目前国家已经形成了一套完整的、强有力的生物医药数据监管体系,全方位监管企业数据行为
点击查看大图
国家的这些严格要求,给生物医药企业的数据管理带来了巨大的挑战,但同时也为行业的健康发展提供了有力的保障。在强监管的大环境背景下,生物医药企业必须高度重视数据合规问题。
(二)实务层面
在实践中,生物医药企业、医疗机构因为数据合规问题被处罚的案件屡屡发生:
案例一:某大学附属医院与深圳某科技服务有限公司未经许可与英国牛津大学开展中国人类遗传资源国际合作研究,该附属医院未经许可将部分人类遗传资源信息从网上传递出境。监管机关要求医院立即停止该研究工作的执行;销毁该研究工作中所有未出境的遗传资源材料及相关研究数据;停止该医院涉及我国人类遗传资源的国际合作。
案例二:重庆某私立医院未按照网络安全等级保护制度的要求履行安全保护义务,包括:未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施等。黑客通过互联网攻破该医院系统后植入勒索病毒,致使医院业务系统瘫痪。监管机关对医院处以罚款1万元,并对直接负责的主管人员处以罚款人民币5000元的行政处罚。
案例三:广东某健康科技公司申报注册联合检测试剂盒时存在临床试验真实性问题,具体表现为:临床试验数据汇总表检测时间与原始仪器记录检测时间不一致,临床试验总结报告病毒鉴定结果数据与原始文件不一致。监管机关决定对该公司产品不予注册,严重影响了企业的产品研发和上市计划,同时也损害了企业的声誉和行业公信力。
案例四:2024年,美国 FDA 向天津某生物医药科技集团旗下检测机构以及苏州某检测公司发出警告信。指出其数据管理、质量验证、员工培训和监管方面存在严重问题。这两家实验室为医疗器械制造商提供测试和验证数据服务,以向海外监管机构提交上市申请时使用。
三、律师建议
(一)加强法律意识
生物医药企业应组织专业团队深入研究中国的数据保护相关法律,如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等,这些法律为数据的收集、存储、使用和共享等环节设定了基本规则。
此外,企业还应当重点关注有关医疗大数据的专项法律法规,如《国家健康医疗大数据标准、安全和服务管理办法(试行)》《医疗卫生机构网络安全管理办法》《人口健康信息管理办法(试行)》《信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)》等。
对于那些有出海需求的企业,还应密切关注国外法规动态,通过定期培训和内部交流,确保企业管理层和员工充分理解法规要求,明确数据处理的合法边界。例如,企业可以邀请法律专家进行专题讲座,解读国内外法规的重点条款和实际案例,提高员工的法律意识。
(二)建立健全内部管理机制
企业应制定详细的数据收集、存储、使用、共享和销毁等环节的操作流程和规范,确保数据处理活动的每一个步骤都有章可循。明确不同部门和人员在数据管理中的职责和权限,建立严格的审批机制,防止未经授权的数据访问和处理。
笔者建议,生物医药企业应设立专门的数据合规管理部门或岗位,负责监督和执行企业的数据合规政策。同时,配备专业的数据合规人员,定期对企业的数据处理活动进行内部审计和风险评估,及时发现并纠正不合规行为。
(三)完善全流程数据合规体系
将数据合规的各个流程拆分开来,一般包括如下环节:
1.数据收集环节合规
生物医药企业在收集患者的个人信息、临床试验数据等时,必须获得数据主体的明确同意。企业需要制定清晰、易懂的知情同意书,详细告知数据主体数据收集的目的、范围、使用方式、存储期限以及可能的风险等信息,确保收集行为的合法性。在收集的过程中,严格遵守必要性原则,根据业务需求,只收集必要的数据,避免过度收集。
2.数据存储环节合规
企业应采用加密、访问控制等技术手段,确保数据在存储过程中的安全性和保密性。定期对数据存储系统进行安全评估和漏洞检测,及时发现并修复安全隐患,关注存储技术的发展和更新,及时升级存储系统,提高数据存储的安全性。针对特定的医疗机构医疗数据,还可采用去识别化处理的方式来降低数据泄露等对患者可能带来的潜在风险。
3.数据使用环节合规
企业必须严格按照数据主体的授权范围和企业内部的审批流程使用数据,不得将数据用于未经授权的目的。对于数据分析和挖掘等活动,要确保数据的使用不会侵犯数据主体的权益。
4.数据传输环节合规
企业应采用加密、数字签名等技术手段,确保数据在传输过程中的保密性、完整性和真实性。对于传输的数据,要进行严格的身份验证和访问控制,防止数据被窃取或篡改。如果涉及跨境数据传输,企业要严格遵守国家关于跨境数据传输的相关规定,如进行安全评估、获得相关部门的批准等,格外重点关注包含敏感个人信息、人类遗传资源信息等的生物医药数据。
(四)积极应对数据安全事件
企业应在日常经营中制定数据安全事件应急预案,明确事件的报告流程、应急处理措施、责任分工等内容。定期进行应急演练,提高企业应对数据安全事件的能力。一旦发生数据安全事件,要立即启动应急预案,及时采取措施控制事件的影响范围,防止事件进一步扩大。
同时,要按照规定的时间和方式向相关部门报告事件情况。在数据安全事件处理结束后,要对事件的原因、影响和处理过程进行评估和总结,找出存在的问题和不足,及时进行改进和完善,以提高企业的数据安全管理水平。
作者介绍
徐婧媛
海润天睿 合伙人
xujingyuan@myhrtr.com
徐婧媛律师,武汉大学国际法硕士,数据资产运营高级管理师(国家工业和信息化部颁发证书)、北京市律师协会数字经济与人工智能领域法律专业委员会副秘书长,徐律师团队主要聚焦于通信、广告、金融、医疗、上市投融资场景的数据合规业务。
同时,徐律师深耕知识产权法律业务11年,代理多件最高人民法院和省级高级人民法院的再审和二审胜诉案件。徐律师是国家知识产权局商标品牌建设专家组成员、中国优秀知识产权律师榜TOP50、中南财经政法大学知识产权方向法律硕士校外导师、北京市律师协会涉外人才库律师、北京市工会系统“八五”普法宣讲团特聘讲师、北京电视台《法治进行时》《民法典通解通读》栏目嘉宾律师、北京交叉科学学会法治建设与保障专委会委员。
张喆姝律师助理对本文亦有贡献
推荐阅读
以上文章仅作为法律信息评述,不能作为对任何客户或者事件的法律意见。仅代表作者个人观点,不代表其所在机构立场。如需转载或引用文章中的任何内容,请联系海润天睿市场部,邮箱地址:xucong@myhrtr.com。
编辑丨杨玲玲
初审丨徐 聪
复审丨孟 妮
