医药企业技术交易实务系列文章之九—中欧美数据跨境传输监管合规及建议

2023-03-04

引言医药行业产品研发及技术发展离不开大样本量、高精细度的验证或试验数据作为基础支撑。因此，在跨境医药技术交易的过程中，交易的技术内容也不可避免地会涉及到一种或多种的数据类型，包括但不限于个人信息、医疗数据、病历资料、人类遗传资源、健康大数据、临床试验数据等。与之相对，近年来各国对于数据、个人信息以及相对应的跨境传输行为的监管越来越严格。以欧盟为例，《欧盟通用数据保护条例》(General Data Protection Regulation，“GDPR”)于2018年5月25日正式施行，对个人数据的处理、传输等进行了全方位的严格规制。由此，对于跨境医药技术交易的各方主体而言，应将数据跨境传输作为一项重要法律问题予以关注，并于交易开始前对所涉国家(地区)的数据跨境传输监管要求进行充分了解与掌握，以妥善安排相关合规事宜，减少交易的违规风险、确保交易的顺利完成。对此，本文作为医药企业技术交易实务系列文章的第九篇，将主要着眼于中欧美数据跨境传输监管合规的相关问题研究。首先，本文将对中国、欧盟、美国的数据跨境传输监管情况进行总结，并进行相应法律风险分析。其次，本文将基于各国(地区)监管法规与监管实践，为各跨境医药技术交易相关主体提供合规建议。中欧美数据跨境传输监管概况及风险分析(一)中国数据跨境传输监管概况及风险分析与欧盟的统一立法监管方式不同，中国的数据跨境传输监管以《民法典》《刑法》《网络安全法》《数据安全法》《个人信息保护法》等为基础法律，并辅以《人类遗传资源管理条例》《关键信息基础设施安全保护条例》《电子病历应用管理规范(试行)》等细分领域规范，构建起一套全方位、多层次的法律法规体系。对于跨境医药技术交易中涉及到的不同数据类型，需遵守不同的对应监管要求。具体而言，以药物临床试验阶段不可避免会涉及到的临床试验数据、健康医疗数据为例，相关主体需对应遵守《国家健康医疗大数据标准、安全和服务管理办法(试行)》《药物临床试验质量管理规范(2020修订)》等法规政策。特别地，对于中国许可方而言，需要格外注意的是，在跨境医药技术交易中：(1)如涉及到了人类遗传资源出境，需取得相应监管部门的批准；以及(2)如涉及到了重要数据和/或个人信息出境，则可能需申报数据出境安全评估并进行数据出境风险自评估。其中，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。基于以上监管要求，若跨境医药技术交易涉及到了需要监管的数据类型，而技术交易相关主体未履行对应审批、申报等义务，则根据所涉数据类型的不同，将面临不同的民事责任、行政责任乃至刑事责任。1.在民事责任层面，以侵犯个人信息为例，将依法承担民事侵权责任。2.在行政责任层面，以违规跨境传输重要数据为例，有关主管部门将责令改正，给予警告和/或对医药企业以及直接负责的主管人员、其他直接责任人员处以相应金额的罚款，乃至责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。3.在刑事责任层面，以违反国家有关规定，非法运送、邮寄、携带中国人类遗传资源材料出境为例，危害公众健康或者社会公共利益的，将根据情节严重程度，依法被处以对应期限的有期徒刑、拘役、管制和/或对应金额的罚金。(二) 欧盟数据跨境传输监管概况及风险分析欧盟跨境数据传输监管的主要特点是统一性。具体而言，在监管主体层面，根据GDPR的有关规定，欧盟数据保护委员会(European Data Protection Board, “EDPB”)于2018年5月正式成立，EDPB由欧盟各成员国数据保护监管机构(the EU national data protection authorities )(national Supervisory Authorities)和欧洲数据保护监管机构(the European Data Protection Supervisor, “EDPS”)代表共同组成,旨在确保GDPR和《执法指令》(Law Enforcement Directive)在欧盟的一致应用，并促进欧盟各成员国数据保护机构之间的合作。在监管要求层面，欧盟(1)对于个人数据的跨境传输活动，统一适用GDPR；(2)对于非个人数据在欧盟境内不同成员国家之间的传输活动，统一适用《非个人数据自由流动条例》(The Regulation on the free flow of non-personal data)；以及(3)对于非个人数据的跨境传输活动(欧盟成员国家与非欧盟国家(地区)间) ，欧盟于2022年2月23日提出《数据法案(草案)》(Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data)。以GDPR为例，若跨境医药技术交易中涉及到了个人数据，则相关主体可通过(1)充分性认定机制；(2)提供适当保障措施机制；以及(3)征得数据主体明示同意、基于公共利益、履行有利于数据主体的合同或基于组织正当利益等多种途径进行合规跨境传输，以确保交易的顺利进行。其中，欧盟成员国家与通过充分性认定的国家(地区)的医药企业进行数据跨境传输无需再获得欧盟的任何批准。截至目前，根据欧盟委员会官网的公开数据显示，共有14个国家(地区)通过了欧盟委员会的充分性认定，分别是：安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、大韩民国、瑞士、英国以及乌拉圭。值得关注的是，目前中国还未通过欧盟委员会的充分性认定，由此，在跨境医药技术交易过程中，对中国医药企业进行数据跨境传输的，需履行相应程序和/或获得欧盟的对应批准以进行合规跨境传输。相对应地，各跨境医药技术交易相关主体还应关注未遵循以上合规传输途径的法律风险。若违反GDPR的相关规定，将个人数据违规跨境传输，将可能面临最高 2000 万欧元或企业全球年营业额的4%(两者取其高)的巨额罚款。例如，2021年9月27日，挪威数据保护局(Datatilsynet)因挪威Ferde AS公司违反GDPR第28条、第32条及第44条，违法将有关通过收费站的车辆数据向中国数据处理商进行跨境传输，对其处于罚款50万欧元(EUR)。(三)美国数据跨境传输监管概况及风险分析美国与中国相同，在联邦层面，并未出台统一的数据监管法案。而在州及地方层面，美国各州及地方监管机关在其管辖范围内出台了相应数据监管法案。例如，美国加州于2020年1月1日起正式施行了《加州消费者隐私法案》(CCPA)，对消费者的数据安全及隐私予以保护。具体到数据跨境传输领域，第一，美国对于个人信息的跨境传输监管主要通过亚太经济合作组织(APEC)确立的《跨境隐私规则体系》(Cross-Border Privacy Rules System, “CBPR系统”)完成。CBPR系统旨在建立消费者、企业和监管机构对个人信息跨境流动的信任，其要求参与企业实施与APEC隐私框架一致的数据隐私政策。第二，美国对于关键领域数据的跨境传输监管主要通过《外国投资风险评估现代化法案》(The Foreign Investment Risk Review Modernization Act of 2018, “FIRRMA”)、《出口管制条例》(Export Administration Regulations, “EAR”)等法案以外商投资安全审查、出口管制等手段进行相应规制。具体而言：(1)当交易涉及到敏感个人数据(Sensitive Personal Data)时，美国外国投资委员会(“CFIUS”)将有权进行外商投资安全审查，交易参与方必须履行强制申报义务；以及(2)当特定类型出口产品的技术数据进行跨境传输时，需要事先取得出口许可证。相对应地，若各跨境医药技术交易相关主体未履行上述义务，将依法承担相应责任。具体而言：(1)对于未提交强制申报的，将根据违法行为的性质，处以不超过25万美元或交易价值的民事罚款(以较高者为准)；以及(2)对于违反EAR等法案的出口行为，将面临民事罚款(Civil Monetary Penalties)、拒绝出口特权(Denial of export privileges)、吊销参与资格(Exclusion from practice)、监禁、刑事罚款等制裁或处罚。医药企业技术交易数据跨境传输合规建议(一) 交易前明确拟交易技术是否涉及数据以及数据的类型由于不同的数据类型的监管要求有所区别，因此，各医药企业在开展跨境医药技术交易前建议提前确认本次交易是否涉及到需受监管的数据以及具体的数据类型，从而，对应了解与遵循法律明确的监管要求。通常而言，如果跨境医药技术交易的内容仅为知识产权，则一般不涉及个人信息、人类遗传资源等数据，无需受到对应数据跨境的监管。同理，如跨境医药技术交易的内容为临床前阶段的化学药技术，则一般仅涉及到临床前研究数据，即动物试验研究数据等，因此受到对应监管的可能性也较小。相反，若跨境医药技术交易处于临床试验阶段，由于临床试验是以人体(患者或健康受试者)为对象的试验，其必然涉及到个人信息、健康医疗数据、人类遗传资源等，因此，该交易将受到监管机关的对应监管。有鉴于此，各相关主体应在跨境医药技术交易开展前对交易数据情况进行合理预判，以确保交易的合规顺利进行。(二)交易前明确拟交易技术所涉数据是否涉及出境以及跨境传输的要求在确定交易所涉及到的数据类型后，各医药企业应进一步明确所欲开展的跨境医药技术交易是否涉及到数据出境，如若涉及，则建议对应了解此种数据类型跨境传输的监管要求，以办理相应审批、备案手续或履行安全评估等程序。以个人信息跨境传输为例，根据《个人信息保护法》的相关规定，确需向中国境外提供个人信息的，应具备下列条件之一：(1)依规通过国家网信部门组织的安全评估；(2)依规经专业机构进行个人信息保护认证；(3)按国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；(4)法律、行政法规或者国家网信部门规定的其他条件。需进一步提示各医药企业的是，根据《出境入境管理法》的有关规定，出境是指由中国内地前往其他国家(地区)，包括由中国内地前往香港特别行政区、澳门特别行政区以及台湾地区。中国境内医药企业的交易相对方如为香港、澳门、台湾地区企业，也应遵守数据跨境传输监管要求。(三)事先履行数据跨境传输所需的审批或备案程序是否履行数据跨境传输所需的审批或备案程序关涉到交易整体的合法合规。如跨境医药技术交易有所涉及人类遗传资源材料运送、邮寄、携带出境，则需取得国务院科学技术行政部门(“科技部”)出具的人类遗传资源材料出境证明[ 《人类遗传资源管理条例》第27条。]方可进行。如未依法办理上述审批手续或程序，则各技术交易相关主体将受到对应制裁和/或处罚，阻碍交易的正常进行甚至导致交易失败。如科技部公开的某公司全(犬)血出境处罚案[ 参见国科罚[2016]1号]，该境内X公司违规将X份人类遗传资源(人血清)作为犬血浆出境，科技部对其(1)处以警告；(2)没收并销毁该项目中人类遗传资源材料；以及(3)暂停受理其涉及中国人类遗传资源的国际合作和出境活动的申请，整改验收合格后，再予以恢复。(四)在医药技术交易文件中明确数据跨境传输的合规要求及各方需履行的义务为了确保跨境医药技术交易的平稳顺利进行，建议各医药企业在交易文件中明确交易所涉数据跨境传输的具体合规要求，并以此进一步明确交易各方所需履行的义务内容，从而保证交易的整体合规性。反之，交易所涉主体将可能面临不同程度的法律风险，乃至面临数据被销毁等制裁和/或处罚措施。以中国境内企业引进欧盟成员国家的技术为例，一方面，我们需在交易文件中明确要求Licensor采取必要措施履行欧盟对于个人信息跨境传输的监管要求，保证交易的合规进行。另一方面，作为Licensee一方，根据GDPR的有关规定，可能需协助Licensor对应用适当保障措施(包括数据主体权利)作出具有约束力和可执行的承诺[ GDPR第46条]，从而符合欧盟GDPR项下的监管要求。(五)持续关注医药技术交易过程中数据跨境传输的监管动态和监管新规近年来各国家(地区)对于数据及个人信息的保护力度不断加大，数据领域及个人信息保护领域的新规出台较为频繁，以中国为例，2022年和2023年在数据跨境传输领域更新了《数据出境安全评估办法》《人类遗传资源管理条例实施细则(征求意见稿)》《个人信息出境标准合同办法》等多项法律法规。为减少因数据跨境传输违规问题导致交易的最终无效、失败的情形发生，我们建议跨境医药技术交易的各方主体持续关注数据跨境传输领域的监管动态与监管要求，对应完善自身及交易所涉的政府监管程序和/或审批、备案手续，以保证交易的最终成就和合规长效执行。结语医药领域的数据对于国家安全具有重要意义，各国家(地区)的对应监管越发严格。本文对中欧美数据跨境传输监管要求及合规建议进行了简要分析总结。在跨境医药技术交易过程中，各方主体应提前预判并明确交易所涉数据及数据跨境传输监管要求，从而办理所需审批或备案程序，并在各项交易文件中明确数据跨境传输的合规要求及各方需履行的义务，以便各方依规、如期完成各项合规措施及程序。至此，此次医药企业技术交易实务系列文章对跨境医药技术交易过程中可能涉及到的、需加以重点关注的核心法律问题及合规监管问题，包括但不限于MAH合规监管问题、技术进出口管制问题、税务问题、数据跨境传输合规监管问题等，都进行了相应总结与分析，以期为开展或拟开展跨境医药技术交易的各医药企业提供实务参考。下篇文章也即此次医药企业技术交易实务系列的最后一篇文章，将对医药技术交易文件的其他重要条款进行解析，包括支付对价、合规、合作管理组织、法律适用和争议解决及违约与终止等，欢迎各位读者持续关注。本文作者1.刘婷婷刘婷婷律师是上海市锦天城律师事务所资深律师，现为上海市律协医药健康研究会干事、威科先行医药行业智合规专家成员、中国合规专业人士协会会员等。刘婷婷律师自执业以来精耕于生命科学和医药健康领域，主要为跨国药械企业(包括但不限于阿斯利康、雅培、西门子医疗、默沙东、勃林格殷格翰、罗氏、百济神州、爱施健、美纳里尼、天境生物、邦耀生物等)、医疗机构(包括但不限于国内首家外资三甲综合性医院和顶级公立三甲医院)、医疗(生)集团、互联网医疗健康企业以及专投医疗药械项目的专业基金公司等提供投融资并购、药械技术交易和合作、监管合规及公司日常等法律服务，包括协助京新药业(002020)与德国Evotec公司签署合作协议、拓展EVT201全球授权范围等。联系电话：15216738527(同微信)联系邮箱：tinaliu@allbrightlaw.com2.马傲马傲目前在华东政法大学攻读民商法硕士学位，已通过国家统一法律职业资格考试。专注于生命科学和医药健康领域的法律服务。（备注：文章中脚注内容因外链限制已略”。）往期回顾：医药企业技术交易实务系列文章之八—中欧美跨境医药技术交易税务监管及条款约定关注点医药企业技术交易实务系列文章之七—中欧美医药技术进出口管制合规医药企业技术交易实务系列文章之六—中欧美MAH管理制度和医药技术交易MAH条款约定医药企业技术交易实务系列文章之五—医药企业技术交易之知识产权尽调和条款约定医药企业技术交易实务系列文章之四—医药企业技术交易核心条款之许可范围医药企业技术交易实务系列文章之三—医药企业技术交易核心条款之许可技术或产品医药企业技术交易实务系列文章之二——医药企业技术交易架构设计医药企业技术交易政策背景及趋势——医药企业技术交易实务系列文章之一